Portaal Portaal Pingviini veeb foorumi pealeht
  Viki  |  IRC  |  Otsing  |  Küsimused ja vastused  |  Profiil  |  Privaatsõnumite vaatamiseks logi sisse  | Logi sisse või Registreeru
<empty>
Vaata järgmist teemat
Vaata eelmist teemat

Postita uus teemaVasta teemale
Autor Sõnum
mocambo
Pingviini kasutaja
Pingviini kasutaja



Liitunud: 10.06.2007
Postitused: 82

Distributsioon: Arch Linux
estonia.gif
postituspostitatud: 13.06.2010, 19:06  postituse pealkiri:  VPN - IPSec või OpenVPN ?  

Siit ja sealt googeldades ei paista netis olevat asjalikku (eestikeelset) VPN'i juhendit. Eesmärgiks on pääseda läpakaga (Mandriva 2010.0) väljastpoolt suvalistest kohatest (ka tulemüüri tagant) oma kodusesse kohtvõrku.

Koduse võrgu ja välismaailma vahel seisab mul ruuter/tulemüür, mis toetab IPSec, NAT-T ja võimaldab konfida kuni 10 tunnelit. Kohtvõrgus töötab lisaks väike failiserver (2.6.15 CLI only).

Sellises olukorras ja selliste seadmetega millised oleksid parima lahenduse märksõnad ja miks? Loodan, et on postitamiseks õige koht - kõik on Linux. Smile


obundra
Vana Pingviin
Vana Pingviin


Vanus: 50
Liitunud: 04.08.2005
Postitused: 1213
Asukoht: 127.0.0.1
Distributsioon: RHEL, Solaris, Debian, Gentoo
estonia.gif
postituspostitatud: 13.06.2010, 21:04  postituse pealkiri:  (teema puudub)  

Täitsa asjalikud ja eestikeelsed juhendid on olemas küll:
http://kuutorvaja.eenet.ee/wiki/Vpn
http://kuutorvaja.eenet.ee/wiki/OpenVPN
http://kuutorvaja.eenet.ee/wiki/OpenVPN_kliendi_kasutamine_Debianiga
vahet pole, kas Debian või Mandriva, idee on sama.

_________________
IT teenused

mocambo
Pingviini kasutaja
Pingviini kasutaja



Liitunud: 10.06.2007
Postitused: 82

Distributsioon: Arch Linux
estonia.gif
postituspostitatud: 14.06.2010, 01:08  postituse pealkiri:  (teema puudub)  

obundra kirjutas:
Täitsa asjalikud ja eestikeelsed juhendid on olemas küll:
http://kuutorvaja.eenet.ee/wiki/Vpn
http://kuutorvaja.eenet.ee/wiki/OpenVPN
http://kuutorvaja.eenet.ee/wiki/OpenVPN_kliendi_kasutamine_Debianiga
vahet pole, kas Debian või Mandriva, idee on sama.


Smile Kui mul kunagi läheb vaja VPN'i üle SSH konfida, siis võtan selle teadmiseks.

Algselt tahtsin siiski uurida, mida oma ruuteri IPSec'i toega teha annab või miks ma selle võimaluse välja peaksin praakima.


chris
Pingviini aktivist
Pingviini aktivist



Liitunud: 16.02.2009
Postitused: 146
Asukoht: Tallinn
Distributsioon: Debian 6.0/7.0
estonia.gif
postituspostitatud: 16.06.2010, 12:16  postituse pealkiri:  (teema puudub)  

Esiteks. Kui su eesmärk on oma marsruuterit kasutada, siis võiksid kergitada saladuskatte ruuteri mudelilt ja kasutatava firmware versioonilt. Nii oskab midagi täpsemat öelda.

Teiseks. Olles näppinud poolt tosinat kodukasutusse mõeldud marsruuterit, on mul tekkinud mulje, et VPN-i serverina ei suuda nad töötada.

Peamine põhjus on selles, et marsruuteri riistvaras puudub tugi krüpteerimisfunktsioonildele ja samuti on tekib probleeme juhuarvudega. Riistvara puudujäägi saab küll realiseerida tarkvaras, kuid selline lahendus jääb väga aeglaseks.

Reklaamitud VPN-i tugi tähendab reeglina siiski seda, et marsruuter suudab edukalt läbi lasta krüpteeritud liiklust.


androloog
Pingviini kasutaja
Pingviini kasutaja


Vanus: 46
Liitunud: 21.04.2008
Postitused: 67
Asukoht: Tallinn
Distributsioon: Ubuntu
estonia.gif
postituspostitatud: 16.06.2010, 12:51  postituse pealkiri:  (teema puudub)  

ise kasutan pfsense tulemüüri, seal on sees juba pptp server ja sinna ühenduse tegemine on käkitegu ja sealt edasi juba saad teha vnc päringuid või ssh. http://www.pfsense.com/


mocambo
Pingviini kasutaja
Pingviini kasutaja



Liitunud: 10.06.2007
Postitused: 82

Distributsioon: Arch Linux
estonia.gif
postituspostitatud: 16.06.2010, 12:56  postituse pealkiri:  (teema puudub)  

chris kirjutas:
Esiteks. Kui su eesmärk on oma marsruuterit kasutada, siis võiksid kergitada saladuskatte ruuteri mudelilt ja kasutatava firmware versioonilt. Nii oskab midagi täpsemat öelda.

Teiseks. Olles näppinud poolt tosinat kodukasutusse mõeldud marsruuterit, on mul tekkinud mulje, et VPN-i serverina ei suuda nad töötada.


Ruuterina on mul kasutada huvitav seade nagu CC&C WA-2204A. Seda esineb ka teiste nimeda all:
http://www.bcwireless.net/moin.cgi/GigaFast_WF719-CAPR

Igaks juhuks ka kasutaja manual, kust saab vaadata VPN'i konfimise screen-shot'e:
http://www.atel-electronics.eu/doc/06058ie.pdf

Kasutusel kõige uuem firmware ja häkiga võimalik anda Linuxile seal ruuteris isegi command-line käske.

Kuna tal IPSec'i tugi ehk server max 10 tunneliga on olemas, siis järelikult sisaldab see ka erinevaid krüpteerimisfunktsioone. Jõudluse kohta ei oska midagi arvata, aga kodulahenduse korral ei ole see praegu ka nii oluline.

Eesmärk oleks logida ennast road warriorina mõnest teisest NAT'st selle ruuteri taha võrku ja käia sealtkaudu ka väljaspool avalikus võrgus.

Kliendi arvutis (ehk siis enda läpparis) proovin praegu käima saada Openswan'i. Siiani veel edutult.

# service ipsec status
Failed to parse config setup portion of ipsec.conf

# ipsec verify
Checking your system to see if IPsec got installed and started correctly:
Version check and ipsec on-path [OK]
Linux Openswan U2.6.22/K2.6.31.13-desktop586-1mnb (netkey)
Checking for IPsec support in kernel [OK]
NETKEY detected, testing for disabled ICMP send_redirects [OK]
NETKEY detected, testing for disabled ICMP accept_redirects [OK]
Checking for RSA private key (/etc/openswan/ipsec.secrets) [OK]
Checking that pluto is running [FAILED]
whack: Pluto is not running (no "/var/run/pluto/pluto.ctl")
Two or more interfaces found, checking IP forwarding [FAILED]
whack: Pluto is not running (no "/var/run/pluto/pluto.ctl")
Checking NAT and MASQUERADEing [OK]
Checking for 'ip' command [OK]
Checking for 'iptables' command [OK]

Opportunistic Encryption DNS checks:
Looking for TXT in forward dns zone: localhost.localdomain [MISSING]
Cannot execute command "host -t txt localhost.localdomain": No such file or directory
Does the machine have at least one non-private address? [FAILED]


androloog kirjutas:
ise kasutan pfsense tulemüüri, seal on sees juba pptp server ja sinna ühenduse tegemine on käkitegu ja sealt edasi juba saad teha vnc päringuid või ssh. http://www.pfsense.com/


PPTP ei sobi. Kuuldavasti ei ole see turvaline ja mõeldud eeskätt Windowsi klientidele. Samuti eelistan kasutada VPN'i serverit sisseehitatuna mõnes ruuterikarbis kui eraldi arvutis. Esiteks sellepärast, et ruuteri koormused ei ole suured ja väike ruuter tarbib vähe energiat.


chris
Pingviini aktivist
Pingviini aktivist



Liitunud: 16.02.2009
Postitused: 146
Asukoht: Tallinn
Distributsioon: Debian 6.0/7.0
estonia.gif
postituspostitatud: 16.06.2010, 14:41  postituse pealkiri:  (teema puudub)  

mocambo kirjutas:

Eesmärk oleks logida ennast road warriorina mõnest teisest NAT'st selle ruuteri taha võrku ja käia sealtkaudu ka väljaspool avalikus võrgus.

Kliendi arvutis (ehk siis enda läpparis) proovin praegu käima saada Openswan'i.

OK, selge. Minu teada sinu soovitud informatsiooni eesti keeles saadaval ei ole. Kui ma eksin, siis anna teada.

OpenS/WAN (ja selle eelkäija FreeS/WAN) paketiga olen ka mina hätta jäänud. Kahjuks.

Küll olen aga tööle saanud ipsec-tools asjad. Tarkust jagatakse Linux advanced routing and traffic control how-to's; täpsemalt peaks lugema setsmendat peatüki esimest poolt, kus on juttu manuaalsest ja automaatsest võtmevahetusest ning tunnelitest. How-to's ei ole juttu sellest, kuidas kogu liiklus krüpteerida. Selleks pead looma krüpteeritud tunneli ja suunama vaikimisi marsruudi peale tunneli loomist sinna sisse (tunnelisse). Viimase järgi ei ole mul veel vajadust olnud.

Debianis asub vajalik soft pakettides ipsec-tools ja racoon.

mocambo kirjutas:

PPTP ei sobi. Kuuldavasti ei ole see turvaline ja mõeldud eeskätt Windowsi klientidele. Samuti eelistan kasutada VPN'i serverit sisseehitatuna mõnes ruuterikarbis kui eraldi arvutis. Esiteks sellepärast, et ruuteri koormused ei ole suured ja väike ruuter tarbib vähe energiat.

Hmm... Mulle meenub väide, et PPTP põhiprobleem on krüpteerimisprotokollis, mis õnneks vist ei ole siiski patenteeritud. Turvalisusega ei pidavat sel hetkel veel probleeme olema.


Näita (aja järgi):      
Postita uus teemaVasta teemale


Vaata järgmist teemat
Vaata eelmist teemat
Powered by phpBB2 Plus based on phpBB © 2001/7 phpBB Group