Nepodcenujte zabezpeceni OpenVPN!

Michal Dobes dobes na tesnet.cz
Středa Květen 24 09:50:34 CEST 2006 

Lubomír Klubus napsal(a):
>> Pak tu je ještě jedno řešení, a to místo OpenVPN použít nativního klienta z
> MS win používajícího L2TP/Ipsec
>> (šel by i >PPTP, ale to už je asi nouzovka). Klient je součástí W2K i XP,
> server pro linux dostupný.
> to máte pravdu, také jsem to před rozchozením přes OpenVPN zkoušel přes
> Openswan, pptpd a l2tpd (ten program už ale není dlouhou dobu aktualizován,
> existuje novější program l2tpns,
>  který jsem ale nezkoušel),
>  ale byli s  tím neuvěřitelné komplikace, otřesně složité logy a 
> nutnost běžení třech obslužných programů na serveru.

Ano, oživit to byl problém, ale teď to běží s méně problémů, než
s OpenVPN (aspoň v některých směrech).
Aspoň kde se lidé připojují, tam bývá často firewall, který
blokuje vše, ale L2TP/IPsec a případně i PPTP nebývá problém.

U NATu byl dříve problém, do Win se muselo dát pár správných patchů,
nicméně je to už obsaženo v aktuálních Service packách. V provozu
NAT občas problém dělá, projevuje se to tak, že se pustí tunel,
on se nespojí, ale pokud se dá připojit hned znovu, tak se komunikace
naváže a jede to dál už OK.

Jinak u OpenVPN se mi nepodařilo vyřešit uspokojivě jeden problém
na straně Windows. Jak rozumně OpenVPN pouštět, pokud uživatelé mají
pouze práva user.
Takže při klasickém OpenVPN s OpenVPN GUI jsou nahraní, neboť se jim 
nepodaří vytvořit TAP-Win32 rozhraní po spuštění tunelu.
Snad jen varianty, že se OpenVPN pouští automaticky jako služba
(což není vždy žádoucí) nebo se vrhnout na vývojovou větev OpenVPN2.1.x,
která to už umí, jen OpenVPN GUI to zatím nepodporovalo (nebo před
časem neumělo, když jsem to zkoušel), takže k tomu dobastlovat vlastní
skriptíky pro user friendly přístup.
Další potenciální problém je, že si můžou velmi snadno konfiguraci
OpenVPN přesunout z počítače kde  je nainstalován na jiný, který už
nemusí být pod vaší kontrolou, což může být hodně velké riziko (špatná
zkušenost z dřívějška). U nativního L2TP/IPsec tunelu toto padá, protože
jednoduše nevyexportují soukromý klíč k certifikátu pro ověření na IPsec
vrstvě, takže si to sami nepřesunou na jiný počítač.

	M.

Další informace o konferenci Linux