The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Опыт внедрения OpenVPN

19.01.2005 16:45

Евгений Ломакин прислал статью с описанием объединения удаленных локальных сетей используя шифрованный туннель, созданный при помощи пакета OpenVPN. Настройки приводятся как для Linux, так и для FreeBSD.

  1. Главная ссылка к новости (http://www.opennet.me/base/net...)
  2. OpenNews: Знакомство с OpenVPN
  3. OpenNews: Сравнение различных отрытых VPN решений.
  4. OpenNews: Пример построения VPN сети на базе OpenVPN
  5. OpenNews: Интервью с разработчиком OpenVPN
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/4945-vpn
Ключевые слова: vpn, tunnel
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (26) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 22:10, 19/01/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Нафиг такие решения. Сегодня этот OpenVPN есть а завтра уже нет. Необходимо опираться на стандарты (вернее на реализации стандартов) а не на наколенные приложения с неясным будущим.
     
     
  • 2.2, DigitalDevil (?), 23:13, 19/01/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Это как вы заметили "наколенное приложение" работает на порядок лучше многих "реализаций стандартов", и настраивается намного проще... да и существовать будет дольше...
     
     
  • 3.3, неаноним (?), 00:27, 20/01/2005 [^] [^^] [^^^] [ответить]  
  • +/
    А вот как many-to-one не работает. Надо 10 туннелей - заводи 10 процессов на 10 портов. Если я не прав - ткните носом в конфиг
     
     
  • 4.8, klalafuda (?), 09:30, 20/01/2005 [^] [^^] [^^^] [ответить]  
  • +/
    ---cut---
    А вот как many-to-one не работает. Надо 10 туннелей - заводи 10 процессов на 10 портов. Если я не прав - ткните носом в конфиг
    ---cut---

    вы неправы. в 2.x реализована достаточно забавная идея облака и множества динамических клиентов. заточено под mobile. хорошо реализует и many-to-one и many-to-many. причем динамически. иногда очень полезно.

    в конфиг не ткну, могу только посоветовать почитать документацию на ветку 2.x на http://openvpn.net/

    ---cut---
    With OpenVPN, you can:
    * tunnel any IP subnetwork or virtual ethernet adapter over a single UDP or TCP port,
    * configure a scalable, load-balanced VPN server farm using one or more machines which can handle thousands of dynamic connections from incoming VPN clients (OpenVPN 2.0 examples),
    ...
    ---cut---

    many-to-many tested (tm). таки работает :)

    ps: или я неверно понял ваше many-to-one?

    // wbr

     
  • 2.21, disassembler (?), 11:49, 21/01/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Is OpenVPN standards-compliant?

    As a user-space VPN daemon, OpenVPN is compatible with with SSL/TLS, RSA Certificates and X509 PKI, NAT, DHCP, and TUN/TAP virtual devices.


    Чем Вам не реализация стандартов?

     
  • 2.24, Valentin Nechayev (?), 20:19, 01/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >Нафиг такие решения. Сегодня этот OpenVPN есть а завтра уже нет. Необходимо
    >опираться на стандарты (вернее на реализации стандартов) а не на наколенные
    >приложения с неясным будущим.

    Видите ли, если бы эти стандарты ещё давали работать как следует... Например, PPTP. Стандарт, отлично. Только вот в чём проблема: если пакеты фрагментируются на входе в туннель (что типично для случая низкого MTU), а по дороге к другой стороне есть раутеры с хитрой политикой переупорядочения или load-balancing'ом, то вторые половинки фрагментов придут раньше первых. А в PPTP жёстко сказано, что при приходе пакетов
    не по порядку имеющие seq (в GRE заголовке) меньше предыдущих - дропаются нафиг.
    Сделано это для того чтобы управляющие пакеты PPP не путались. OK, не путаются. А пакеты данных при чём тут??
    Дробить пакеты на выходе тоже сложно - заметная часть клиентов такого не понимает.
    Результат - у нас есть категория клиентов у которых PPTP не работает в принципе, потому что повлиять на провайдеров по дороге нельзя.

    Вообще есть три типа туннелирования, каждый со своими граблями:
    - в транспорт негарантированной доставки без управления потоком с дроблением на входе. Примеры - PPTP, L2TP, UDP в OpenVPN, tunnel IPSEC. В подавляющем большинстве реализаций имеют слабоизлечимые проблемы с MTU.
    - в транспорт негарантированной доставки без управления потоком с дроблением на выходе. Обычно страдают проблемой с load-balancing (см. выше).
    - в транспорт типа TCP. Никаких проблем с MTU, но про изохронные потоки (multimedia всех видов, VoIP, heartbeat'ы...) можно забыть как класс.

    OpenVPN по сравнению со всей этой мутной кашей смотрится _очень_ хорошо.

     

  • 1.4, spa (?), 05:58, 20/01/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    на стороне сервера
    server <net> <netmask>
    на стороне клиента
    client

    и будут 10 туннелей на 1 процесс на 1 порту

     
  • 1.5, sauron (?), 06:03, 20/01/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    хм... а ipsec уже не в моде ?
     
  • 1.6, Nikola (??), 08:47, 20/01/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ipsec отдельно, а OpenVPN это ssl решение. Плюс ко всему поддерживается для многих платформ. И если для ipsec соединения BSD==>Windows, нужны танцы с бубнами, то для OpenVPN настройки и файлы одинаковы для обеих платформ.
    P.S. сам юзаю пока ipsec, как выйдет OpenVPN 2, скорее всего перелезу на него.
     
  • 1.7, Agp (??), 08:49, 20/01/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это как обсуждая статью о почтовой системе на postfix, спросить - "A что сендмейл уже не в моде?"
    Каждому своё.
     
  • 1.9, dr (??), 10:11, 20/01/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    OpenVPN очень удобное и простое решение. Больше всего понравилось, что при соединении 2 сетей прописать роутинг можно средствами OpenVPN. Использую с версии 2.0Beta11. Вчера поставил rc6.
    За 3 месяца работы ни одного сбоя. Вообщем, для небольших сетей, рекомендую
     
     
  • 2.10, ZOD (??), 12:41, 20/01/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Харошая штука. Может мобильных виндовых клиентов к серверам присобачивать. И через файрволы и НАТ отлично работает.... И трафик жмёт и шЫфровалово, в общем шоколадная вещь, для моей небольшой сети.
     
     
  • 3.11, Имя (?), 14:28, 20/01/2005 [^] [^^] [^^^] [ответить]  
  • +/
    оффтоп..
    Теперь ясно, почему Вы не любите PAM и Ldap -- у Вас же сеть небольшая :))
     
     
  • 4.12, ZOD (??), 14:48, 20/01/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Про LDAP я ваще ничего не говорил. А без ПАМ и в большой сети шоколадно.
     

  • 1.13, jbond (??), 15:53, 20/01/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    у меня на команду:

    openvpn reg -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650

    говорит что нет такой команды reg

     
     
  • 2.15, nsware (?), 16:20, 20/01/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Есть подозрение, что тут написано с ошибкой, и надо писать openssl...
     
  • 2.17, eugene (??), 19:01, 20/01/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Здесь ошибка была
    openssl reg -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650
     
     
  • 3.26, Nemo (??), 16:04, 22/06/2005 [^] [^^] [^^^] [ответить]  
  • +/
    > openssl reg -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650

    получил вот такое:

    openssl:Error: 'reg' is an invalid command.

    root#boar[p0]/home/nemo>uname -a
    FreeBSD boar.xxx.com 4.7-STABLE FreeBSD 4.7-STABLE #0: Fri Oct 25 16:41:59 EEST 2002     root@boar.xxx.com:/usr/src/sys/compile/BOAR  i386
    root#boar[p0]/home/nemo>

    root#boar[p0]/home/nemo>pkg_info | grep open
    openldap-client-2.2.26 Open source LDAP client implementation
    openssl-0.9.7g      SSL and crypto library
    openvpn-2.0_3       Secure IP/Ethernet tunnel daemon
    root#boar[p0]/home/nemo>

     

  • 1.14, Аноним (1), 16:11, 20/01/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Объединение двух сетей с файрволами на iptables через OpenVPN сделал за 1 рабочий день. Из него ушло время на выбор реализации VPN, сравнение реализаций по описанию на этом сайте, компиляцию, собственно настройку клиент-сервера и подстройку файрволов.
    Да, чуть не забыл. OpenSSL тоже пришлось компилировать, т.к. у меня пакет был старый, и я OpenSSL до этого не использовал. И поддержку драйвера tun/tap также пришлось компилировать, т.к. моё ядро было скомпилировано без него.
    Вывод: прекрасный выбор для лентяя  при объединении двух сетей. При большем количестве подсетей - не знаю, не пробовал.
     
     
  • 2.16, VIadimir (?), 16:56, 20/01/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Абсолютно согласен ;)
    Послепервого опыта подключал еще одну сеть - заняло 20 минут ;)
     

  • 1.18, Barma (?), 08:26, 21/01/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А MPD не катит? Все очень даже "шоколадно" как говорит ZOD. Процесс 1 клиентов несколько (сейчас около 10-15 единовременно) у всех примерно одинаковые настройки за исключением некоторых нюансов по желанию клиента. Все данные и аккаунтинг на radius  завернуто. Работет через netgraph (появляются интефейсы ng0, ng1, ...). Клиенты виндовые, линуксовые, бсдэшные.
     
     
  • 2.19, nsware (?), 08:53, 21/01/2005 [^] [^^] [^^^] [ответить]  
  • +/
    MPD штука хорошая, только вот netgraph никуда не портирован!..

    А так, мне MPD очень нравилась...

     
  • 2.22, Moralez (??), 12:38, 22/01/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Простите, что хорошего в том, что процесс один? я вот считаю это большим минусом, сравнивая с linux-овым poptop+pppd... Упавший (или специально опущенный) poptop совершенно не мешает уже подключенным людям работать. И нагрузка на проц, несмотря на суперперспективность нетграфа и прочие его псевдопрелести больше у mpd, чем у pppd+poptop... :-\

    А соединять две сетки через pptp - как-то неправильно, учитывая, что pptp - какашка...

     

  • 1.20, klexx (?), 10:09, 21/01/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Стабильно, и просто.
    Проект жить будет.

     
  • 1.23, Finch (??), 23:00, 29/01/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не много оффтоп.
    Нужно на предпритятии организовать VPN, чтоб пользователи из филиалов могли заходить читать и забирать почту с нашего почтового сервера, расположенного в локальной сети. она же соединяеться с инетом таким образом:

    [inet, роутер, NAT и переброс пакетов на внутренний ip и порт]
      |
    [DMZ сервера, почтовый шлюз на postfix]
      |
    [локальная сеть и в ней же стоит сам exchange]

    Значит надо организовать VPN сервак, тока где он должен работать в DMZ, или   в самой локалке...
    PPTP работать здесь наверно не будет, т.к. NAT. А OpenVPN будет работать?

     
     
  • 2.25, Michael (??), 16:19, 03/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >Значит надо организовать VPN сервак, тока где он должен работать в DMZ,
    >или   в самой локалке...
    >PPTP работать здесь наверно не будет, т.к. NAT. А OpenVPN будет работать?

    OpenVPN-сервер в данном случае лучше ставить на пограничный роутер.
    Можно поставить и DMZ, но тогда на всех хостах, которые должны взаимодействовать с филиальными хостами, придется прописывать отдельный маршрут(ы) для филиалов.

    Могу добавить, что OpenVPN -очень хороший выбор!
    По моему опыту OpenVPN совершенно нормально работает в массе сетевых конфигураций:
    1) Филиал имеет свою выделенку с фикисированным реальным ip-адресом;
    2) Филиал имеет свою выделенку с "серым" ip-адресом и сидит за НАТ-ом;
    3) Филиал имеет свою выделенку с динамическим ip-адресом (в том числе dial-up и GPRS);
    4) Филиал использует dial-up соединение с центральным офисом, минуя интернет вообще.
    Причем, при наличии соответсвующих разрешений в файерволле, может невидимо для приложений переходить с одного маршрута на другой.
    В частности, оракловая репликация между филиалами, идущая поверх OpenVPN, не замечает перехода филиала на резервный модем в случае пропадания интернета и также не замечает повторные дозвоны модема.

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру