форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение		[Проследить за развитием треда]

"OpenNews: Опыт внедрения OpenVPN"

Сообщение от opennews on 19-Янв-05, 22:10

Евгений Ломакин прислал статью с описанием объединения удаленных локальных сетей используя шифрованный туннель, созданный при помощи пакета OpenVPN (http://openvpn.net/). Настройки приводятся как для Linux, так и для FreeBSD. URL: http://www.opennet.me/base/net/openvpn_setup.txt.html Новость: http://www.opennet.me/opennews/art.shtml?num=4945

Cообщить модератору | Наверх | ^

Сообщения по теме

[Сортировка по времени, UBB]

1. "Опыт внедрения OpenVPN"

Сообщение от Аноним on 19-Янв-05, 22:10

Нафиг такие решения. Сегодня этот OpenVPN есть а завтра уже нет. Необходимо опираться на стандарты (вернее на реализации стандартов) а не на наколенные приложения с неясным будущим.

Cообщить модератору | Наверх | ^

	2. "Опыт внедрения OpenVPN"
	Сообщение от DigitalDevil on 19-Янв-05, 23:13
	Это как вы заметили "наколенное приложение" работает на порядок лучше многих "реализаций стандартов", и настраивается намного проще... да и существовать будет дольше...
	Cообщить модератору | Наверх | ^

	3. "Опыт внедрения OpenVPN"
	Сообщение от неаноним on 20-Янв-05, 00:27
	А вот как many-to-one не работает. Надо 10 туннелей - заводи 10 процессов на 10 портов. Если я не прав - ткните носом в конфиг
	Cообщить модератору | Наверх | ^

	8. "Опыт внедрения OpenVPN"
	Сообщение от klalafuda on 20-Янв-05, 09:30
	---cut--- А вот как many-to-one не работает. Надо 10 туннелей - заводи 10 процессов на 10 портов. Если я не прав - ткните носом в конфиг ---cut--- вы неправы. в 2.x реализована достаточно забавная идея облака и множества динамических клиентов. заточено под mobile. хорошо реализует и many-to-one и many-to-many. причем динамически. иногда очень полезно. в конфиг не ткну, могу только посоветовать почитать документацию на ветку 2.x на http://openvpn.net/ ---cut--- With OpenVPN, you can: * tunnel any IP subnetwork or virtual ethernet adapter over a single UDP or TCP port, * configure a scalable, load-balanced VPN server farm using one or more machines which can handle thousands of dynamic connections from incoming VPN clients (OpenVPN 2.0 examples), ... ---cut--- many-to-many tested (tm). таки работает :) ps: или я неверно понял ваше many-to-one? // wbr
	Cообщить модератору | Наверх | ^

	21. "Опыт внедрения OpenVPN"
	Сообщение от disassembler on 21-Янв-05, 11:49
	Is OpenVPN standards-compliant? As a user-space VPN daemon, OpenVPN is compatible with with SSL/TLS, RSA Certificates and X509 PKI, NAT, DHCP, and TUN/TAP virtual devices. Чем Вам не реализация стандартов?
	Cообщить модератору | Наверх | ^

	24. "Опыт внедрения OpenVPN"
	Сообщение от Valentin Nechayev on 01-Фев-05, 20:19
	>Нафиг такие решения. Сегодня этот OpenVPN есть а завтра уже нет. Необходимо >опираться на стандарты (вернее на реализации стандартов) а не на наколенные >приложения с неясным будущим. Видите ли, если бы эти стандарты ещё давали работать как следует... Например, PPTP. Стандарт, отлично. Только вот в чём проблема: если пакеты фрагментируются на входе в туннель (что типично для случая низкого MTU), а по дороге к другой стороне есть раутеры с хитрой политикой переупорядочения или load-balancing'ом, то вторые половинки фрагментов придут раньше первых. А в PPTP жёстко сказано, что при приходе пакетов не по порядку имеющие seq (в GRE заголовке) меньше предыдущих - дропаются нафиг. Сделано это для того чтобы управляющие пакеты PPP не путались. OK, не путаются. А пакеты данных при чём тут?? Дробить пакеты на выходе тоже сложно - заметная часть клиентов такого не понимает. Результат - у нас есть категория клиентов у которых PPTP не работает в принципе, потому что повлиять на провайдеров по дороге нельзя. Вообще есть три типа туннелирования, каждый со своими граблями: - в транспорт негарантированной доставки без управления потоком с дроблением на входе. Примеры - PPTP, L2TP, UDP в OpenVPN, tunnel IPSEC. В подавляющем большинстве реализаций имеют слабоизлечимые проблемы с MTU. - в транспорт негарантированной доставки без управления потоком с дроблением на выходе. Обычно страдают проблемой с load-balancing (см. выше). - в транспорт типа TCP. Никаких проблем с MTU, но про изохронные потоки (multimedia всех видов, VoIP, heartbeat'ы...) можно забыть как класс. OpenVPN по сравнению со всей этой мутной кашей смотрится _очень_ хорошо.
	Cообщить модератору | Наверх | ^

4. "Опыт внедрения OpenVPN"

Сообщение от spa on 20-Янв-05, 05:58

на стороне сервера server <net> <netmask> на стороне клиента client и будут 10 туннелей на 1 процесс на 1 порту

Cообщить модератору | Наверх | ^

5. "Опыт внедрения OpenVPN"

Сообщение от sauron on 20-Янв-05, 06:03

хм... а ipsec уже не в моде ?

Cообщить модератору | Наверх | ^

6. "Опыт внедрения OpenVPN"

Сообщение от Nikola (??) on 20-Янв-05, 08:47

ipsec отдельно, а OpenVPN это ssl решение. Плюс ко всему поддерживается для многих платформ. И если для ipsec соединения BSD==>Windows, нужны танцы с бубнами, то для OpenVPN настройки и файлы одинаковы для обеих платформ. P.S. сам юзаю пока ipsec, как выйдет OpenVPN 2, скорее всего перелезу на него.

Cообщить модератору | Наверх | ^

7. "Опыт внедрения OpenVPN"

Сообщение от Agp (??) on 20-Янв-05, 08:49

Это как обсуждая статью о почтовой системе на postfix, спросить - "A что сендмейл уже не в моде?" Каждому своё.

Cообщить модератору | Наверх | ^

9. "Опыт внедрения OpenVPN"

Сообщение от dr (??) on 20-Янв-05, 10:11

OpenVPN очень удобное и простое решение. Больше всего понравилось, что при соединении 2 сетей прописать роутинг можно средствами OpenVPN. Использую с версии 2.0Beta11. Вчера поставил rc6. За 3 месяца работы ни одного сбоя. Вообщем, для небольших сетей, рекомендую

Cообщить модератору | Наверх | ^

	10. "Опыт внедрения OpenVPN"
	Сообщение от ZOD (??) on 20-Янв-05, 12:41
	Харошая штука. Может мобильных виндовых клиентов к серверам присобачивать. И через файрволы и НАТ отлично работает.... И трафик жмёт и шЫфровалово, в общем шоколадная вещь, для моей небольшой сети.
	Cообщить модератору | Наверх | ^

	11. "Опыт внедрения OpenVPN"
	Сообщение от Имя on 20-Янв-05, 14:28
	оффтоп.. Теперь ясно, почему Вы не любите PAM и Ldap -- у Вас же сеть небольшая :))
	Cообщить модератору | Наверх | ^

	12. "А я и не администратор...."
	Сообщение от ZOD (??) on 20-Янв-05, 14:48
	Про LDAP я ваще ничего не говорил. А без ПАМ и в большой сети шоколадно.
	Cообщить модератору | Наверх | ^

13. "Опыт внедрения OpenVPN"

Сообщение от jbond (??) on 20-Янв-05, 15:53

у меня на команду: openvpn reg -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650 говорит что нет такой команды reg

Cообщить модератору | Наверх | ^

	15. "Опыт внедрения OpenVPN"
	Сообщение от nsware on 20-Янв-05, 16:20
	Есть подозрение, что тут написано с ошибкой, и надо писать openssl...
	Cообщить модератору | Наверх | ^

	17. "Опыт внедрения OpenVPN"
	Сообщение от eugene (??) on 20-Янв-05, 19:01
	Здесь ошибка была openssl reg -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650
	Cообщить модератору | Наверх | ^

	26. "Опыт внедрения OpenVPN"
	Сообщение от Nemo (??) on 22-Июн-05, 16:04
	> openssl reg -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650 получил вот такое: openssl:Error: 'reg' is an invalid command. root#boar[p0]/home/nemo>uname -a FreeBSD boar.xxx.com 4.7-STABLE FreeBSD 4.7-STABLE #0: Fri Oct 25 16:41:59 EEST 2002     root@boar.xxx.com:/usr/src/sys/compile/BOAR  i386 root#boar[p0]/home/nemo> root#boar[p0]/home/nemo>pkg_info | grep open openldap-client-2.2.26 Open source LDAP client implementation openssl-0.9.7g      SSL and crypto library openvpn-2.0_3       Secure IP/Ethernet tunnel daemon root#boar[p0]/home/nemo>
	Cообщить модератору | Наверх | ^

14. "Опыт внедрения OpenVPN"

Сообщение от Аноним on 20-Янв-05, 16:11

Объединение двух сетей с файрволами на iptables через OpenVPN сделал за 1 рабочий день. Из него ушло время на выбор реализации VPN, сравнение реализаций по описанию на этом сайте, компиляцию, собственно настройку клиент-сервера и подстройку файрволов. Да, чуть не забыл. OpenSSL тоже пришлось компилировать, т.к. у меня пакет был старый, и я OpenSSL до этого не использовал. И поддержку драйвера tun/tap также пришлось компилировать, т.к. моё ядро было скомпилировано без него. Вывод: прекрасный выбор для лентяя  при объединении двух сетей. При большем количестве подсетей - не знаю, не пробовал.

Cообщить модератору | Наверх | ^

	16. "Опыт внедрения OpenVPN"
	Сообщение от VIadimir on 20-Янв-05, 16:56
	Абсолютно согласен ;) Послепервого опыта подключал еще одну сеть - заняло 20 минут ;)
	Cообщить модератору | Наверх | ^

18. "Опыт внедрения OpenVPN"

Сообщение от Barma on 21-Янв-05, 08:26

А MPD не катит? Все очень даже "шоколадно" как говорит ZOD. Процесс 1 клиентов несколько (сейчас около 10-15 единовременно) у всех примерно одинаковые настройки за исключением некоторых нюансов по желанию клиента. Все данные и аккаунтинг на radius  завернуто. Работет через netgraph (появляются интефейсы ng0, ng1, ...). Клиенты виндовые, линуксовые, бсдэшные.

Cообщить модератору | Наверх | ^

	19. "Опыт внедрения OpenVPN"
	Сообщение от nsware on 21-Янв-05, 08:53
	MPD штука хорошая, только вот netgraph никуда не портирован!.. А так, мне MPD очень нравилась...
	Cообщить модератору | Наверх | ^

	22. "Опыт внедрения OpenVPN"
	Сообщение от Moralez (??) on 22-Янв-05, 12:38
	Простите, что хорошего в том, что процесс один? я вот считаю это большим минусом, сравнивая с linux-овым poptop+pppd... Упавший (или специально опущенный) poptop совершенно не мешает уже подключенным людям работать. И нагрузка на проц, несмотря на суперперспективность нетграфа и прочие его псевдопрелести больше у mpd, чем у pppd+poptop... :-\ А соединять две сетки через pptp - как-то неправильно, учитывая, что pptp - какашка...
	Cообщить модератору | Наверх | ^

20. "Опыт внедрения OpenVPN"

Сообщение от klexx on 21-Янв-05, 10:09

Стабильно, и просто. Проект жить будет.

Cообщить модератору | Наверх | ^

23. "OpenNews: Опыт внедрения OpenVPN"

Сообщение от Finch (??) on 29-Янв-05, 23:00

Не много оффтоп. Нужно на предпритятии организовать VPN, чтоб пользователи из филиалов могли заходить читать и забирать почту с нашего почтового сервера, расположенного в локальной сети. она же соединяеться с инетом таким образом: [inet, роутер, NAT и переброс пакетов на внутренний ip и порт]   | [DMZ сервера, почтовый шлюз на postfix]   | [локальная сеть и в ней же стоит сам exchange] Значит надо организовать VPN сервак, тока где он должен работать в DMZ, или   в самой локалке... PPTP работать здесь наверно не будет, т.к. NAT. А OpenVPN будет работать?

Cообщить модератору | Наверх | ^

	25. "OpenNews: Опыт внедрения OpenVPN"
	Сообщение от Michael (??) on 03-Фев-05, 16:19
	>Значит надо организовать VPN сервак, тока где он должен работать в DMZ, >или   в самой локалке... >PPTP работать здесь наверно не будет, т.к. NAT. А OpenVPN будет работать? OpenVPN-сервер в данном случае лучше ставить на пограничный роутер. Можно поставить и DMZ, но тогда на всех хостах, которые должны взаимодействовать с филиальными хостами, придется прописывать отдельный маршрут(ы) для филиалов. Могу добавить, что OpenVPN -очень хороший выбор! По моему опыту OpenVPN совершенно нормально работает в массе сетевых конфигураций: 1) Филиал имеет свою выделенку с фикисированным реальным ip-адресом; 2) Филиал имеет свою выделенку с "серым" ip-адресом и сидит за НАТ-ом; 3) Филиал имеет свою выделенку с динамическим ip-адресом (в том числе dial-up и GPRS); 4) Филиал использует dial-up соединение с центральным офисом, минуя интернет вообще. Причем, при наличии соответсвующих разрешений в файерволле, может невидимо для приложений переходить с одного маршрута на другой. В частности, оракловая репликация между филиалами, идущая поверх OpenVPN, не замечает перехода филиала на резервный модем в случае пропадания интернета и также не замечает повторные дозвоны модема.
	Cообщить модератору | Наверх | ^

Удалить

Индекс форумов | Темы | Пред. тема | След. тема