VPN propojeni tri pobocek s Centos 5.2

Michal Dobes dobes na tes.eu
Pátek Listopad 7 12:07:05 CET 2008


Pavel Janoušek napsal(a):
> 	Já přece nerozporuji kvalitu OpenVPN (naopak jsem hrdý obránce),
> jen jsem zmínil (z mého pohledu poslední) překážku pro nasazení v 
> enterprise prostředí.... Z příspěvků zde jsem nabyl dojmu, že má výhrada 
> je lichá (byť aktuální rešerše skrze Google mne utvrzuje 
> o přetrvávajícím jejím oprávnění) a tak se pídím po funkční konfiguraci,
> která splňuje zadání.

Obávám se, že vyřešení otázek běhu OpenVPN bez admin práv na klientu
pro větší nasazení není jediný problém.
Nekorektní podpora hiearchických CA a zejména CRL listů, nekorektní
práce s dobou platnosti CRL listů (dlouhá léta na TODO listu OpenVPN).
Chybějící OCSP.
Jednoduše zabránit tomu, aby uživatel přenesl klienta na jiný počítač.
A pár dalších. Na něco z toho existuji patche třetích stran, na něco
ne.
OpenVPN je fajn, relativně jednoduché na správu, ale nakonec jsem vždy
došel k nasazení na MS klientech k L2TP/IPsec. O co je to jednodušší
uchodit na straně klienta, o to horší je to na straně serveru,
pokud si server stranu buduji na linuxu a nepoužiji nějaký blackbox. :-)

Bohužel jsem zatím u všech menších krabiček v krátké době narazil na
celkem nepříjemné problémy, které bránily rozumnému nasazení a výrobci
obvykle odmítali s tím něco mít společného a nechápali, že je něco špatně.

M.



Další informace o konferenci Linux