| 1.1, Аноним (1), 22:10, 19/01/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Нафиг такие решения. Сегодня этот OpenVPN есть а завтра уже нет. Необходимо опираться на стандарты (вернее на реализации стандартов) а не на наколенные приложения с неясным будущим. | | |
| |
| 2.2, DigitalDevil (?), 23:13, 19/01/2005 [^] [^^] [^^^] [ответить]
| +/– | |
Это как вы заметили "наколенное приложение" работает на порядок лучше многих "реализаций стандартов", и настраивается намного проще... да и существовать будет дольше... | | |
| |
| 3.3, неаноним (?), 00:27, 20/01/2005 [^] [^^] [^^^] [ответить]
| +/– | |
А вот как many-to-one не работает. Надо 10 туннелей - заводи 10 процессов на 10 портов. Если я не прав - ткните носом в конфиг | | |
| |
| 4.8, klalafuda (?), 09:30, 20/01/2005 [^] [^^] [^^^] [ответить]
| +/– |
---cut---
А вот как many-to-one не работает. Надо 10 туннелей - заводи 10 процессов на 10 портов. Если я не прав - ткните носом в конфиг
---cut---
вы неправы. в 2.x реализована достаточно забавная идея облака и множества динамических клиентов. заточено под mobile. хорошо реализует и many-to-one и many-to-many. причем динамически. иногда очень полезно.
в конфиг не ткну, могу только посоветовать почитать документацию на ветку 2.x на http://openvpn.net/
---cut---
With OpenVPN, you can:
* tunnel any IP subnetwork or virtual ethernet adapter over a single UDP or TCP port,
* configure a scalable, load-balanced VPN server farm using one or more machines which can handle thousands of dynamic connections from incoming VPN clients (OpenVPN 2.0 examples),
...
---cut---
many-to-many tested (tm). таки работает :)
ps: или я неверно понял ваше many-to-one?
// wbr
| | |
|
|
| 2.21, disassembler (?), 11:49, 21/01/2005 [^] [^^] [^^^] [ответить]
| +/– |
 Is OpenVPN standards-compliant?
As a user-space VPN daemon, OpenVPN is compatible with with SSL/TLS, RSA Certificates and X509 PKI, NAT, DHCP, and TUN/TAP virtual devices.
Чем Вам не реализация стандартов? | | |
| 2.24, Valentin Nechayev (?), 20:19, 01/02/2005 [^] [^^] [^^^] [ответить]
| +/– |
 >Нафиг такие решения. Сегодня этот OpenVPN есть а завтра уже нет. Необходимо
>опираться на стандарты (вернее на реализации стандартов) а не на наколенные
>приложения с неясным будущим.
Видите ли, если бы эти стандарты ещё давали работать как следует... Например, PPTP. Стандарт, отлично. Только вот в чём проблема: если пакеты фрагментируются на входе в туннель (что типично для случая низкого MTU), а по дороге к другой стороне есть раутеры с хитрой политикой переупорядочения или load-balancing'ом, то вторые половинки фрагментов придут раньше первых. А в PPTP жёстко сказано, что при приходе пакетов
не по порядку имеющие seq (в GRE заголовке) меньше предыдущих - дропаются нафиг.
Сделано это для того чтобы управляющие пакеты PPP не путались. OK, не путаются. А пакеты данных при чём тут??
Дробить пакеты на выходе тоже сложно - заметная часть клиентов такого не понимает.
Результат - у нас есть категория клиентов у которых PPTP не работает в принципе, потому что повлиять на провайдеров по дороге нельзя.
Вообще есть три типа туннелирования, каждый со своими граблями:
- в транспорт негарантированной доставки без управления потоком с дроблением на входе. Примеры - PPTP, L2TP, UDP в OpenVPN, tunnel IPSEC. В подавляющем большинстве реализаций имеют слабоизлечимые проблемы с MTU.
- в транспорт негарантированной доставки без управления потоком с дроблением на выходе. Обычно страдают проблемой с load-balancing (см. выше).
- в транспорт типа TCP. Никаких проблем с MTU, но про изохронные потоки (multimedia всех видов, VoIP, heartbeat'ы...) можно забыть как класс.
OpenVPN по сравнению со всей этой мутной кашей смотрится _очень_ хорошо.
| | |
|
| 1.4, spa (?), 05:58, 20/01/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 на стороне сервера
server <net> <netmask>
на стороне клиента
client
и будут 10 туннелей на 1 процесс на 1 порту | | |
| 1.6, Nikola (??), 08:47, 20/01/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
ipsec отдельно, а OpenVPN это ssl решение. Плюс ко всему поддерживается для многих платформ. И если для ipsec соединения BSD==>Windows, нужны танцы с бубнами, то для OpenVPN настройки и файлы одинаковы для обеих платформ.
P.S. сам юзаю пока ipsec, как выйдет OpenVPN 2, скорее всего перелезу на него. | | |
| 1.7, Agp (??), 08:49, 20/01/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Это как обсуждая статью о почтовой системе на postfix, спросить - "A что сендмейл уже не в моде?"
Каждому своё. | | |
| 1.9, dr (??), 10:11, 20/01/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 OpenVPN очень удобное и простое решение. Больше всего понравилось, что при соединении 2 сетей прописать роутинг можно средствами OpenVPN. Использую с версии 2.0Beta11. Вчера поставил rc6.
За 3 месяца работы ни одного сбоя. Вообщем, для небольших сетей, рекомендую | | |
| |
| 2.10, ZOD (??), 12:41, 20/01/2005 [^] [^^] [^^^] [ответить]
| +/– | |
Харошая штука. Может мобильных виндовых клиентов к серверам присобачивать. И через файрволы и НАТ отлично работает.... И трафик жмёт и шЫфровалово, в общем шоколадная вещь, для моей небольшой сети. | | |
| |
| 3.11, Имя (?), 14:28, 20/01/2005 [^] [^^] [^^^] [ответить]
| +/– |
оффтоп..
Теперь ясно, почему Вы не любите PAM и Ldap -- у Вас же сеть небольшая :)) | | |
| |
| 4.12, ZOD (??), 14:48, 20/01/2005 [^] [^^] [^^^] [ответить]
| +/– | |
Про LDAP я ваще ничего не говорил. А без ПАМ и в большой сети шоколадно. | | |
|
|
|
| 1.13, jbond (??), 15:53, 20/01/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 у меня на команду:
openvpn reg -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650
говорит что нет такой команды reg | | |
| |
| 2.15, nsware (?), 16:20, 20/01/2005 [^] [^^] [^^^] [ответить]
| +/– | |
Есть подозрение, что тут написано с ошибкой, и надо писать openssl... | | |
| 2.17, eugene (??), 19:01, 20/01/2005 [^] [^^] [^^^] [ответить]
| +/– |
 Здесь ошибка была
openssl reg -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650 | | |
| |
| 3.26, Nemo (??), 16:04, 22/06/2005 [^] [^^] [^^^] [ответить]
| +/– |
 > openssl reg -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650
получил вот такое:
openssl:Error: 'reg' is an invalid command.
root#boar[p0]/home/nemo>uname -a
FreeBSD boar.xxx.com 4.7-STABLE FreeBSD 4.7-STABLE #0: Fri Oct 25 16:41:59 EEST 2002 root@boar.xxx.com:/usr/src/sys/compile/BOAR i386
root#boar[p0]/home/nemo>
root#boar[p0]/home/nemo>pkg_info | grep open
openldap-client-2.2.26 Open source LDAP client implementation
openssl-0.9.7g SSL and crypto library
openvpn-2.0_3 Secure IP/Ethernet tunnel daemon
root#boar[p0]/home/nemo>
| | |
|
|
| 1.14, Аноним (1), 16:11, 20/01/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Объединение двух сетей с файрволами на iptables через OpenVPN сделал за 1 рабочий день. Из него ушло время на выбор реализации VPN, сравнение реализаций по описанию на этом сайте, компиляцию, собственно настройку клиент-сервера и подстройку файрволов.
Да, чуть не забыл. OpenSSL тоже пришлось компилировать, т.к. у меня пакет был старый, и я OpenSSL до этого не использовал. И поддержку драйвера tun/tap также пришлось компилировать, т.к. моё ядро было скомпилировано без него.
Вывод: прекрасный выбор для лентяя при объединении двух сетей. При большем количестве подсетей - не знаю, не пробовал. | | |
| |
| 2.16, VIadimir (?), 16:56, 20/01/2005 [^] [^^] [^^^] [ответить]
| +/– |
Абсолютно согласен ;)
Послепервого опыта подключал еще одну сеть - заняло 20 минут ;) | | |
|
| 1.18, Barma (?), 08:26, 21/01/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
А MPD не катит? Все очень даже "шоколадно" как говорит ZOD. Процесс 1 клиентов несколько (сейчас около 10-15 единовременно) у всех примерно одинаковые настройки за исключением некоторых нюансов по желанию клиента. Все данные и аккаунтинг на radius завернуто. Работет через netgraph (появляются интефейсы ng0, ng1, ...). Клиенты виндовые, линуксовые, бсдэшные. | | |
| |
| 2.19, nsware (?), 08:53, 21/01/2005 [^] [^^] [^^^] [ответить]
| +/– | |
MPD штука хорошая, только вот netgraph никуда не портирован!..
А так, мне MPD очень нравилась... | | |
| 2.22, Moralez (??), 12:38, 22/01/2005 [^] [^^] [^^^] [ответить]
| +/– |
 Простите, что хорошего в том, что процесс один? я вот считаю это большим минусом, сравнивая с linux-овым poptop+pppd... Упавший (или специально опущенный) poptop совершенно не мешает уже подключенным людям работать. И нагрузка на проц, несмотря на суперперспективность нетграфа и прочие его псевдопрелести больше у mpd, чем у pppd+poptop... :-\
А соединять две сетки через pptp - как-то неправильно, учитывая, что pptp - какашка... | | |
|
| 1.23, Finch (??), 23:00, 29/01/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Не много оффтоп.
Нужно на предпритятии организовать VPN, чтоб пользователи из филиалов могли заходить читать и забирать почту с нашего почтового сервера, расположенного в локальной сети. она же соединяеться с инетом таким образом:
[inet, роутер, NAT и переброс пакетов на внутренний ip и порт]
|
[DMZ сервера, почтовый шлюз на postfix]
|
[локальная сеть и в ней же стоит сам exchange]
Значит надо организовать VPN сервак, тока где он должен работать в DMZ, или в самой локалке...
PPTP работать здесь наверно не будет, т.к. NAT. А OpenVPN будет работать?
| | |
| |
| 2.25, Michael (??), 16:19, 03/02/2005 [^] [^^] [^^^] [ответить]
| +/– |
 >Значит надо организовать VPN сервак, тока где он должен работать в DMZ,
>или в самой локалке...
>PPTP работать здесь наверно не будет, т.к. NAT. А OpenVPN будет работать?
OpenVPN-сервер в данном случае лучше ставить на пограничный роутер.
Можно поставить и DMZ, но тогда на всех хостах, которые должны взаимодействовать с филиальными хостами, придется прописывать отдельный маршрут(ы) для филиалов.
Могу добавить, что OpenVPN -очень хороший выбор!
По моему опыту OpenVPN совершенно нормально работает в массе сетевых конфигураций:
1) Филиал имеет свою выделенку с фикисированным реальным ip-адресом;
2) Филиал имеет свою выделенку с "серым" ip-адресом и сидит за НАТ-ом;
3) Филиал имеет свою выделенку с динамическим ip-адресом (в том числе dial-up и GPRS);
4) Филиал использует dial-up соединение с центральным офисом, минуя интернет вообще.
Причем, при наличии соответсвующих разрешений в файерволле, может невидимо для приложений переходить с одного маршрута на другой.
В частности, оракловая репликация между филиалами, идущая поверх OpenVPN, не замечает перехода филиала на резервный модем в случае пропадания интернета и также не замечает повторные дозвоны модема. | | |
|
|
