Задумался над выбором реализации vpn для установления свзязи между филиалами компании и центральным офисом. Шлюзы в филиалах и центре - на FreeBSD.
Ограничений со стороны провайдера вроде никаких нет.Волнует в первую очередь защищенность.
OpenVPN вот насколько я знаю не умеет самостоятельно менять ключи шифрования. А жаль.
Посоветуете что-нибудь еще?
Во вторую - относительная простота. Например, использовать BGP и регистрировать автономные системы нецелесообразно просто для такого небольшого проекта.Какие варианты используете вы? И почему?
> Посоветуете что-нибудь еще?Ну, для начала, поизучать матчасть ...
> Во вторую - относительная простота. Например, использовать BGP и регистрировать автономные системы нецелесообразно просто для такого небольшого проекта.... т.к. каналообразование это одно, а маршрутизация (использование BGP для формирования таблиц маршрутизации) по этим каналам - чуть другое. Ну а третье это то, что AS можно использовать и "серые", которые регистрировать не надо.
В общем, просветляйтесь.
>OpenVPN вот насколько я знаю не умеет самостоятельно менять ключи шифрования. А жаль.
как-то очень любопытно, неужели таки не умеет? Такой серьезный, казалось бы, продукт, а такая фигня с ним.... Ай-яй-яй... Поверю сообщению на форуме, пойду искать альтернативу.
http://openvpn.net/index.php/open-source/documentation/secur...Ман, опции --reneg-bytes --reneg-pkts --reneg-sec
> Ну, для начала, поизучать матчасть ...да, все правильно. я обратился к вам в том числе и потому, что не смог разобраться с матчастью, а в открытых системах - новичок.
например, про серые AS я не знал :)
> http://openvpn.net/index.php/open-source/documentation/secur...
> Ман, опции --reneg-bytes --reneg-pkts --reneg-secискреннее спасибо конечно.
В большинстве описаний настройки и установки openvpn cоединений про время жизни ключей ни слова почему-то.
но еще не доучив матчасть хочу кое-что уточнить..
Можно ли автоматически и регулярно "обновлять" сертификаты клиенту openvpn?
> но еще не доучив матчасть хочу кое-что уточнить..
> Можно ли автоматически и регулярно "обновлять" сертификаты клиенту openvpn?напишите/найдите/установите скрипт и меняйте сертификаты, кто не дает-то.
> Задумался над выбором реализации vpn для установления свзязи между филиалами компании и
> центральным офисом. Шлюзы в филиалах и центре - на FreeBSD.
> Ограничений со стороны провайдера вроде никаких нет.
> Волнует в первую очередь защищенность.
> OpenVPN вот насколько я знаю не умеет самостоятельно менять ключи шифрования. А
> жаль.
> Посоветуете что-нибудь еще?
> Во вторую - относительная простота. Например, использовать BGP и регистрировать автономные
> системы нецелесообразно просто для такого небольшого проекта.
> Какие варианты используете вы? И почему?OpenVPN отличное решение.
Но все же лучше посмотреть в сторону ipsec. Если в дальнейшем будет необходимо заменить оборудование например на cisco или т.п. то не придется ничего перенастраивать.
Привет,> Какие варианты используете вы? И почему?
Промышленный стандарт на это один - IPSec. В Линуксе поднять - минут 10 работы, вряд ли на *BSD дольше будет. Хотя, конечно, не мешает перед этим и теорию прочитать. Уж что-что, а менять ключи на лету IPSec умеет (для этого у него стоит отдельный протокол, чаще всего IKE). Сами ему и укажте как часто это делать, а также какой метод шифрования использовать.
WWell,
> Задумался над выбором реализации vpn для установления свзязи между филиалами компании и
> центральным офисом. Шлюзы в филиалах и центре - на FreeBSD.
> Ограничений со стороны провайдера вроде никаких нет.
> Волнует в первую очередь защищенность.
> OpenVPN вот насколько я знаю не умеет самостоятельно менять ключи шифрования. А
> жаль.
> Посоветуете что-нибудь еще?
> Во вторую - относительная простота. Например, использовать BGP и регистрировать автономные
> системы нецелесообразно просто для такого небольшого проекта.
> Какие варианты используете вы? И почему?С учетом будущего роста лучше выбрать ipsec. Он постоянно меняет ключи (хоть каждую минуту по второй фазе и, обычно, раз в сутки, по первой).
Позже можно будет перенести функции организации туннеля на железку (например cisco) схема в вашем случае site-to-site.
Самолично поднимал на cisco-cisco, linux-cisco, linux-zywall, linux-mikrotik - работает нормально. Так же использовал BGP для анонсирования connected - маршрутов удаленных систем, так как остальные протоколы динамической маршрутизации работают по бродкасту или мультикасту (обычно нормально не работает (или не работает вообще) без допиливаний даже на каналах точка-точка).
>С учетом будущего роста лучше выбрать ipsec. Он постоянно меняет ключи (хоть каждую минуту >по второй фазе и, обычно, раз в сутки, по первой).совместно с ppp?
мне вот порекомендовали порт mpd5> Так же использовал BGP для анонсирования connected - маршрутов удаленных
> систем, так как остальные протоколы динамической маршрутизации работают по бродкасту или
> мультикасту (обычно нормально не работает (или не работает вообще) без допиливаний
> даже на каналах точка-точка).а ммм.. номера AS где брали?
>>С учетом будущего роста лучше выбрать ipsec. Он постоянно меняет ключи (хоть каждую минуту >по второй фазе и, обычно, раз в сутки, по первой).
> совместно с ppp?
> мне вот порекомендовали порт mpd5Нет, я привел пример для протоколов маршрутизации. IPSec сам умеет тунели делать (режимы tunnel или transport)
>> Так же использовал BGP для анонсирования connected - маршрутов удаленных
>> систем, так как остальные протоколы динамической маршрутизации работают по бродкасту или
>> мультикасту (обычно нормально не работает (или не работает вообще) без допиливаний
>> даже на каналах точка-точка).
> а ммм.. номера AS где брали?Для локальных нужд по rfc можно использовать с 64512 по 65535
> С учетом будущего роста лучше выбрать ipsec. Он постоянно меняет ключи
> (хоть каждую минуту по второй фазе и, обычно, раз в сутки, по первой).Да-да-да, так их поймать легче! Обновляёте чаще, нам ждать меньше. :-P