Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"OpenNews: Опыт внедрения OpenVPN"	+/–
Сообщение от opennews (?), 19-Янв-05, 22:10
Евгений Ломакин прислал статью с описанием объединения удаленных локальных сетей используя шифрованный туннель, созданный при помощи пакета OpenVPN (http://openvpn.net/). Настройки приводятся как для Linux, так и для FreeBSD. URL: http://www.opennet.me/base/net/openvpn_setup.txt.html Новость: http://www.opennet.me/opennews/art.shtml?num=4945
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 19-Янв-05, 22:10	+/–
Нафиг такие решения. Сегодня этот OpenVPN есть а завтра уже нет. Необходимо опираться на стандарты (вернее на реализации стандартов) а не на наколенные приложения с неясным будущим.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #21, #24

2. Сообщение от DigitalDevil (?), 19-Янв-05, 23:13	+/–
Это как вы заметили "наколенное приложение" работает на порядок лучше многих "реализаций стандартов", и настраивается намного проще... да и существовать будет дольше...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #3

3. Сообщение от неаноним (?), 20-Янв-05, 00:27	+/–
А вот как many-to-one не работает. Надо 10 туннелей - заводи 10 процессов на 10 портов. Если я не прав - ткните носом в конфиг
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #8

4. Сообщение от spa (?), 20-Янв-05, 05:58	+/–
на стороне сервера server <net> <netmask> на стороне клиента client и будут 10 туннелей на 1 процесс на 1 порту
Ответить | Правка | Наверх | Cообщить модератору

5. Сообщение от sauron (?), 20-Янв-05, 06:03	+/–
хм... а ipsec уже не в моде ?
Ответить | Правка | Наверх | Cообщить модератору

6. Сообщение от Nikola (??), 20-Янв-05, 08:47	+/–
ipsec отдельно, а OpenVPN это ssl решение. Плюс ко всему поддерживается для многих платформ. И если для ipsec соединения BSD==>Windows, нужны танцы с бубнами, то для OpenVPN настройки и файлы одинаковы для обеих платформ. P.S. сам юзаю пока ipsec, как выйдет OpenVPN 2, скорее всего перелезу на него.
Ответить | Правка | Наверх | Cообщить модератору

7. Сообщение от Agp (??), 20-Янв-05, 08:49	+/–
Это как обсуждая статью о почтовой системе на postfix, спросить - "A что сендмейл уже не в моде?" Каждому своё.
Ответить | Правка | Наверх | Cообщить модератору

8. Сообщение от klalafuda (?), 20-Янв-05, 09:30	+/–
---cut--- А вот как many-to-one не работает. Надо 10 туннелей - заводи 10 процессов на 10 портов. Если я не прав - ткните носом в конфиг ---cut--- вы неправы. в 2.x реализована достаточно забавная идея облака и множества динамических клиентов. заточено под mobile. хорошо реализует и many-to-one и many-to-many. причем динамически. иногда очень полезно. в конфиг не ткну, могу только посоветовать почитать документацию на ветку 2.x на http://openvpn.net/ ---cut--- With OpenVPN, you can: * tunnel any IP subnetwork or virtual ethernet adapter over a single UDP or TCP port, * configure a scalable, load-balanced VPN server farm using one or more machines which can handle thousands of dynamic connections from incoming VPN clients (OpenVPN 2.0 examples), ... ---cut--- many-to-many tested (tm). таки работает :) ps: или я неверно понял ваше many-to-one? // wbr
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

9. Сообщение от dr (??), 20-Янв-05, 10:11	+/–
OpenVPN очень удобное и простое решение. Больше всего понравилось, что при соединении 2 сетей прописать роутинг можно средствами OpenVPN. Использую с версии 2.0Beta11. Вчера поставил rc6. За 3 месяца работы ни одного сбоя. Вообщем, для небольших сетей, рекомендую
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10

10. Сообщение от ZOD (??), 20-Янв-05, 12:41	+/–
Харошая штука. Может мобильных виндовых клиентов к серверам присобачивать. И через файрволы и НАТ отлично работает.... И трафик жмёт и шЫфровалово, в общем шоколадная вещь, для моей небольшой сети.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #11

11. Сообщение от Имя (?), 20-Янв-05, 14:28	+/–
оффтоп.. Теперь ясно, почему Вы не любите PAM и Ldap -- у Вас же сеть небольшая :))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #12

12. Сообщение от ZOD (??), 20-Янв-05, 14:48	+/–
Про LDAP я ваще ничего не говорил. А без ПАМ и в большой сети шоколадно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

13. Сообщение от jbond (??), 20-Янв-05, 15:53	+/–
у меня на команду: openvpn reg -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650 говорит что нет такой команды reg
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15, #17

14. Сообщение от Аноним (1), 20-Янв-05, 16:11	+/–
Объединение двух сетей с файрволами на iptables через OpenVPN сделал за 1 рабочий день. Из него ушло время на выбор реализации VPN, сравнение реализаций по описанию на этом сайте, компиляцию, собственно настройку клиент-сервера и подстройку файрволов. Да, чуть не забыл. OpenSSL тоже пришлось компилировать, т.к. у меня пакет был старый, и я OpenSSL до этого не использовал. И поддержку драйвера tun/tap также пришлось компилировать, т.к. моё ядро было скомпилировано без него. Вывод: прекрасный выбор для лентяя  при объединении двух сетей. При большем количестве подсетей - не знаю, не пробовал.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16

15. Сообщение от nsware (?), 20-Янв-05, 16:20	+/–
Есть подозрение, что тут написано с ошибкой, и надо писать openssl...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

16. Сообщение от VIadimir (?), 20-Янв-05, 16:56	+/–
Абсолютно согласен ;) Послепервого опыта подключал еще одну сеть - заняло 20 минут ;)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

17. Сообщение от eugene (??), 20-Янв-05, 19:01	+/–
Здесь ошибка была openssl reg -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #26

18. Сообщение от Barma (?), 21-Янв-05, 08:26	+/–
А MPD не катит? Все очень даже "шоколадно" как говорит ZOD. Процесс 1 клиентов несколько (сейчас около 10-15 единовременно) у всех примерно одинаковые настройки за исключением некоторых нюансов по желанию клиента. Все данные и аккаунтинг на radius  завернуто. Работет через netgraph (появляются интефейсы ng0, ng1, ...). Клиенты виндовые, линуксовые, бсдэшные.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #19, #22

19. Сообщение от nsware (?), 21-Янв-05, 08:53	+/–
MPD штука хорошая, только вот netgraph никуда не портирован!.. А так, мне MPD очень нравилась...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

20. Сообщение от klexx (?), 21-Янв-05, 10:09	+/–
Стабильно, и просто. Проект жить будет.
Ответить | Правка | Наверх | Cообщить модератору

21. Сообщение от disassembler (?), 21-Янв-05, 11:49	+/–
Is OpenVPN standards-compliant? As a user-space VPN daemon, OpenVPN is compatible with with SSL/TLS, RSA Certificates and X509 PKI, NAT, DHCP, and TUN/TAP virtual devices. Чем Вам не реализация стандартов?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

22. Сообщение от Moralez (??), 22-Янв-05, 12:38	+/–
Простите, что хорошего в том, что процесс один? я вот считаю это большим минусом, сравнивая с linux-овым poptop+pppd... Упавший (или специально опущенный) poptop совершенно не мешает уже подключенным людям работать. И нагрузка на проц, несмотря на суперперспективность нетграфа и прочие его псевдопрелести больше у mpd, чем у pppd+poptop... :-\ А соединять две сетки через pptp - как-то неправильно, учитывая, что pptp - какашка...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

23. Сообщение от Finch (??), 29-Янв-05, 23:00	+/–
Не много оффтоп. Нужно на предпритятии организовать VPN, чтоб пользователи из филиалов могли заходить читать и забирать почту с нашего почтового сервера, расположенного в локальной сети. она же соединяеться с инетом таким образом: [inet, роутер, NAT и переброс пакетов на внутренний ip и порт]   | [DMZ сервера, почтовый шлюз на postfix]   | [локальная сеть и в ней же стоит сам exchange] Значит надо организовать VPN сервак, тока где он должен работать в DMZ, или   в самой локалке... PPTP работать здесь наверно не будет, т.к. NAT. А OpenVPN будет работать?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25

24. Сообщение от Valentin Nechayev (?), 01-Фев-05, 20:19	+/–
>Нафиг такие решения. Сегодня этот OpenVPN есть а завтра уже нет. Необходимо >опираться на стандарты (вернее на реализации стандартов) а не на наколенные >приложения с неясным будущим. Видите ли, если бы эти стандарты ещё давали работать как следует... Например, PPTP. Стандарт, отлично. Только вот в чём проблема: если пакеты фрагментируются на входе в туннель (что типично для случая низкого MTU), а по дороге к другой стороне есть раутеры с хитрой политикой переупорядочения или load-balancing'ом, то вторые половинки фрагментов придут раньше первых. А в PPTP жёстко сказано, что при приходе пакетов не по порядку имеющие seq (в GRE заголовке) меньше предыдущих - дропаются нафиг. Сделано это для того чтобы управляющие пакеты PPP не путались. OK, не путаются. А пакеты данных при чём тут?? Дробить пакеты на выходе тоже сложно - заметная часть клиентов такого не понимает. Результат - у нас есть категория клиентов у которых PPTP не работает в принципе, потому что повлиять на провайдеров по дороге нельзя. Вообще есть три типа туннелирования, каждый со своими граблями: - в транспорт негарантированной доставки без управления потоком с дроблением на входе. Примеры - PPTP, L2TP, UDP в OpenVPN, tunnel IPSEC. В подавляющем большинстве реализаций имеют слабоизлечимые проблемы с MTU. - в транспорт негарантированной доставки без управления потоком с дроблением на выходе. Обычно страдают проблемой с load-balancing (см. выше). - в транспорт типа TCP. Никаких проблем с MTU, но про изохронные потоки (multimedia всех видов, VoIP, heartbeat'ы...) можно забыть как класс. OpenVPN по сравнению со всей этой мутной кашей смотрится _очень_ хорошо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

25. Сообщение от Michael (??), 03-Фев-05, 16:19	+/–
>Значит надо организовать VPN сервак, тока где он должен работать в DMZ, >или   в самой локалке... >PPTP работать здесь наверно не будет, т.к. NAT. А OpenVPN будет работать? OpenVPN-сервер в данном случае лучше ставить на пограничный роутер. Можно поставить и DMZ, но тогда на всех хостах, которые должны взаимодействовать с филиальными хостами, придется прописывать отдельный маршрут(ы) для филиалов. Могу добавить, что OpenVPN -очень хороший выбор! По моему опыту OpenVPN совершенно нормально работает в массе сетевых конфигураций: 1) Филиал имеет свою выделенку с фикисированным реальным ip-адресом; 2) Филиал имеет свою выделенку с "серым" ip-адресом и сидит за НАТ-ом; 3) Филиал имеет свою выделенку с динамическим ip-адресом (в том числе dial-up и GPRS); 4) Филиал использует dial-up соединение с центральным офисом, минуя интернет вообще. Причем, при наличии соответсвующих разрешений в файерволле, может невидимо для приложений переходить с одного маршрута на другой. В частности, оракловая репликация между филиалами, идущая поверх OpenVPN, не замечает перехода филиала на резервный модем в случае пропадания интернета и также не замечает повторные дозвоны модема.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

26. Сообщение от Nemo (??), 22-Июн-05, 16:04	+/–
> openssl reg -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650 получил вот такое: openssl:Error: 'reg' is an invalid command. root#boar[p0]/home/nemo>uname -a FreeBSD boar.xxx.com 4.7-STABLE FreeBSD 4.7-STABLE #0: Fri Oct 25 16:41:59 EEST 2002     root@boar.xxx.com:/usr/src/sys/compile/BOAR  i386 root#boar[p0]/home/nemo> root#boar[p0]/home/nemo>pkg_info | grep open openldap-client-2.2.26 Open source LDAP client implementation openssl-0.9.7g      SSL and crypto library openvpn-2.0_3       Secure IP/Ethernet tunnel daemon root#boar[p0]/home/nemo>
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема