cranequinier: (65x70)
[personal profile] cranequinier
Вы наверняка давно хотели поговорить про ssh и OpenVPN? Вот и повод!


Есть Линуксный сервер, в него традиционно лазают через всякие ssh-дырки на нетрадиционных портах, а другого доступа в него нету. Иногда через эти дырки всё потом форвардится наружу, чтобы скажем вылезти из-под корпоративного файрволла.

И тут вдруг я чего-то почитал про pptp и OpenVPN и задумался - а не позорное ли это чмошничество, в 21-м веке ssh-ные каналы сверлить, да ещё тем более из них потом наружу вылезать? Как это всё делают настоящие джедаи - небось ведь OpenVPN ставят как по ссылочке снизу написано? Или же вручную конфигурируют pptp сервер - там в меру моего понимания надо штук пять конфигов редактировать, и не дай бог оступиться?

Вобщем поделитесь какими-нибудь мыслями, пожалуйста.

Вот понравившаяся ссылочка:
http://yaui.me/how-to-set-up-openvpn-in-30-seconds-or-less/

Date: 2016-06-09 05:00 am (UTC)
From: [identity profile] anspa.livejournal.com
Не хотели, но пришлось. (с) Нет, не позорное. Правильно построенный ssh в принципе ничего так.

pptp слабый, со слабыми шифрами и мелкой длиной ключей, его ломали давно, еще когда Виндовс его зачем-то себе сделал в качестве default vpn сервиса.

Ipsec, конечно же. OpenVPN, конечно ж. Но если есть ssh c ключами (а не паролями), то в принципе можно и успокоиться ssh тунелями.

У джедаев железные ящики всеми этими делами заведуют. А серверам просто дырку по порту делают и правила прописывают (ну и NAT, если нужно). По определению, софтверному фиерическому волу доверия ноль. Да и сервер пусть занимается тем чем нужно, а не фильтрованием сетевых пакетов. Еще обнаружит в себе слабость какую, переполнение буфера.. а ведь потом это следить и патчить. Уж лучше железяка пусть с оплаченным сервисом и голова будет свободнее для других дел.

Edited Date: 2016-06-09 05:01 am (UTC)

Date: 2016-06-09 05:39 am (UTC)
From: [identity profile] cranequinier.livejournal.com
> Не хотели, но пришлось. (с)

"Ну дела, подумал лось ..."

> Ipsec, конечно же. OpenVPN, конечно ж.

А Винды умеют по-умолчанию Ipsec, или надо будет им специального клиента ставить?

> У джедаев железные ящики всеми этими делами заведуют.

Ну так я и не настоящий джедай. Такой, скажем, ...джедаёнок...

Date: 2016-06-09 04:05 pm (UTC)
From: [identity profile] anspa.livejournal.com
Винды что-то умеют но как обычно только наполовину. Чаще чтоб приконнектиться к далекому VPN сервису приходится ставить отдельный софтверный клиент типа там Cisco, или там Shrew soft.

Date: 2016-07-02 07:21 am (UTC)
From: [identity profile] anonim-legion.livejournal.com
>А Винды умеют по-умолчанию Ipsec, или надо будет им специального клиента ставить?

Умеют, но лучше OpenVPN.

И об определениях.

Date: 2016-06-09 06:00 am (UTC)
From: [identity profile] bowhill.livejournal.com
Количество дыр в железном ящике и в программном может быть не в пользу железного.

RE: И об определениях.

Date: 2016-06-09 03:54 pm (UTC)
From: [identity profile] anspa.livejournal.com
Да, но за железным стоит целая инфраструктура и ответственность, за которую собственно и платят деньги.

RE: И об определениях.

Date: 2016-06-10 06:20 pm (UTC)
From: [identity profile] bowhill.livejournal.com
Именно :) The buck doesn't stop here. И обычно это устраивает всех, просто это не вопрос технического качества.

Date: 2016-07-02 07:21 am (UTC)
From: [identity profile] anonim-legion.livejournal.com
У железных ящиков с OpenVPN всё плоховато. У Ipsec с работой через NAT с плавающим адресом - все тоже так себе.

Date: 2016-07-02 01:33 pm (UTC)
From: [identity profile] anspa.livejournal.com
Если с OpenVPN плоховато, то есть свой клиент который работает. У хостинг провайдеров есть VPN решения тоже.

Date: 2016-06-09 06:06 am (UTC)
From: [identity profile] bowhill.livejournal.com
Нет поводов не использовать ovpn или ipsec, если есть возможность. Иначе вообще как без штанов.

ovpn настраивается один раз -- пишутся текстовые файлы, а потом при появлении необходимости правятся под конфигурацию новой системы. Сложного вообще ничего нет, а незнакомое легко выясняется. Единственное, что бы я посоветовал -- ставить vpn отдельно и не на брандмауэр.

Date: 2016-06-09 06:16 am (UTC)
From: [identity profile] cranequinier.livejournal.com
> Нет поводов не использовать ovpn или ipsec, если есть возможность. Иначе вообще как без штанов.

О, второе авторитетное мнение. Значит точно надо ставить.

> Единственное, что бы я посоветовал -- ставить vpn отдельно и не на брандмауэр.

Речь идет о VPS от RamNode за $10 в месяц. В смысле и брандмауэра тоже нет.

Date: 2016-06-09 03:56 pm (UTC)
From: [identity profile] anspa.livejournal.com
Бывает что у хостинг провайдера есть свой VPN сервис. Может, не трогать Линукс, а потрогать этого или другого провайдера за такие места?

Date: 2016-06-10 06:16 pm (UTC)
From: [identity profile] bowhill.livejournal.com
VPS предмет непростой, для него главное бекап и доступ управления с фиксированных адресов. Но на физических серверах, в том числе и на винде, можно делать виртуальные машины, одну для брандмауэра, другую для vpn, а прикладной сервер в Интернет вообще интерфейсами не выставлять.

Date: 2016-06-09 07:10 am (UTC)
From: [identity profile] freedom_of_sea.livejournal.com
vpn для лохов а ssh для крутых пацанов. Если только вам не нужно сети объединять, бриджи, вот это всё

Date: 2016-06-09 03:34 pm (UTC)
From: [identity profile] cranequinier.livejournal.com
> vpn для лохов а ssh для крутых пацанов

А почему так?

Date: 2016-06-09 07:53 am (UTC)
From: [identity profile] cae32.livejournal.com
В ssh нет роутинга, и постоянно приходится вспоминать номера портов для десятка серверов.
Поставить ovpn один раз, настроить адресацию и view на байнде и ходить откуда угодно почти нативно.
Но если три-четыре сервиса и не предвидится расширения - проще через ssh.

Date: 2016-06-09 03:35 pm (UTC)
From: [identity profile] cranequinier.livejournal.com
Четвертая рекомендация. Надо значит ставить.

Date: 2016-06-09 11:45 am (UTC)
From: [identity profile] leo-sosnine.livejournal.com
Йа на опенвпн с 2007. Всё почти через него.

Date: 2016-06-09 03:34 pm (UTC)
From: [identity profile] cranequinier.livejournal.com
Во. Третья рекомендация.

Date: 2016-06-09 09:32 pm (UTC)
From: [identity profile] romik-g.livejournal.com
OpenVPN требует отдельного сервера и клиента, и это излишне; к тому же требует установки соединения. PPTP устарел. IPSec поддерживается из коробки всеми: Linux, Windows, OS X, Android, iOS, etc; в зависимости от настроек, установка соединения (с точки зрения пользователя) может даже и не требоваться. SSH поддерживает не только "проброс портов", но и полноценные L2 туннели; сложность такая же, как и у OpenVPN; и тоже надо устанавливать соединение.
Вобщем, я за IPSec.

Date: 2016-06-09 09:47 pm (UTC)
From: [identity profile] romik-g.livejournal.com
А ещё OpenVPN вроде до сих пор не умеет в мультитрединг.

Date: 2016-06-10 03:59 pm (UTC)
From: [identity profile] cranequinier.livejournal.com
> Вобщем, я за IPSec.

Ну а как это сделать-то? Вот я хочу чтобы виндовый клиент через линуксный сервер выходил из-под файрволла в неограниченный И-нет. Что я делаю на сервере и на клиенте, чтобы было секъюрно и надежно, не рвалось от перезагрузок?

Особенно на сервере. На клиенте-то всё вроде просто.

Date: 2016-07-02 07:34 am (UTC)
From: [identity profile] anonim-legion.livejournal.com
Вот полное руководство по установке OpenVPN
https://openvpn.net/index.php/open-source/documentation/howto.html

Рекомендую сеть типа TAP, транспорт - UDP, если DHCP вдруг не будет работать - прописать адреса на клиенте статически.

Преимущества - без проблем работает из-за NAT и через интернет от мобильного оператора сети, легко переживает смену адреса клиента, совершенно всеяден, хоть IPX внутри него пускайте. Может маскироваться под соединение через обычный HTTPS, и работать поверх TCP. Требует один открытый порт, а не тридцать три и еще GRE сверху, как некоторые вроде PPTP.

Недостатки - вендоры железок его не любят, из-за NIH-синдрома. Работа с ключами и CCD может быть неочевидна для новичка, это не логин-пароль, хотя через них тоже может работать.
Page generated Sep. 21st, 2017 07:31 pm
Powered by Dreamwidth Studios