| Autor |
Sõnum |
mocambo
Pingviini kasutaja
Liitunud: 10.06.2007
Postitused: 82
Distributsioon: Arch Linux
|
|
Siit ja sealt googeldades ei paista netis olevat asjalikku (eestikeelset) VPN'i juhendit. Eesmärgiks on pääseda läpakaga (Mandriva 2010.0) väljastpoolt suvalistest kohatest (ka tulemüüri tagant) oma kodusesse kohtvõrku.
Koduse võrgu ja välismaailma vahel seisab mul ruuter/tulemüür, mis toetab IPSec, NAT-T ja võimaldab konfida kuni 10 tunnelit. Kohtvõrgus töötab lisaks väike failiserver (2.6.15 CLI only).
Sellises olukorras ja selliste seadmetega millised oleksid parima lahenduse märksõnad ja miks? Loodan, et on postitamiseks õige koht - kõik on Linux. 
|
|
|
|
|
|
|
  |
obundra
Vana Pingviin
Vanus: 49
Liitunud: 04.08.2005
Postitused: 1213
Asukoht: 127.0.0.1
Distributsioon: RHEL, Solaris, Debian, Gentoo
|
|
|
 |
mocambo
Pingviini kasutaja
Liitunud: 10.06.2007
Postitused: 82
Distributsioon: Arch Linux
|
|
Kui mul kunagi läheb vaja VPN'i üle SSH konfida, siis võtan selle teadmiseks.
Algselt tahtsin siiski uurida, mida oma ruuteri IPSec'i toega teha annab või miks ma selle võimaluse välja peaksin praakima.
|
|
|
|
|
|
|
|
chris
Pingviini aktivist
Liitunud: 16.02.2009
Postitused: 146
Asukoht: Tallinn
Distributsioon: Debian 6.0/7.0
|
|
Esiteks. Kui su eesmärk on oma marsruuterit kasutada, siis võiksid kergitada saladuskatte ruuteri mudelilt ja kasutatava firmware versioonilt. Nii oskab midagi täpsemat öelda.
Teiseks. Olles näppinud poolt tosinat kodukasutusse mõeldud marsruuterit, on mul tekkinud mulje, et VPN-i serverina ei suuda nad töötada.
Peamine põhjus on selles, et marsruuteri riistvaras puudub tugi krüpteerimisfunktsioonildele ja samuti on tekib probleeme juhuarvudega. Riistvara puudujäägi saab küll realiseerida tarkvaras, kuid selline lahendus jääb väga aeglaseks.
Reklaamitud VPN-i tugi tähendab reeglina siiski seda, et marsruuter suudab edukalt läbi lasta krüpteeritud liiklust.
|
|
|
|
|
|
|
|
androloog
Pingviini kasutaja
Vanus: 45
Liitunud: 21.04.2008
Postitused: 67
Asukoht: Tallinn
Distributsioon: Ubuntu
|
|
| ise kasutan pfsense tulemüüri, seal on sees juba pptp server ja sinna ühenduse tegemine on käkitegu ja sealt edasi juba saad teha vnc päringuid või ssh. http://www.pfsense.com/
|
|
|
|
|
|
|
|
mocambo
Pingviini kasutaja
Liitunud: 10.06.2007
Postitused: 82
Distributsioon: Arch Linux
|
|
| chris kirjutas: | | Esiteks. Kui su eesmärk on oma marsruuterit kasutada, siis võiksid kergitada saladuskatte ruuteri mudelilt ja kasutatava firmware versioonilt. Nii oskab midagi täpsemat öelda.
Teiseks. Olles näppinud poolt tosinat kodukasutusse mõeldud marsruuterit, on mul tekkinud mulje, et VPN-i serverina ei suuda nad töötada.
|
Ruuterina on mul kasutada huvitav seade nagu CC&C WA-2204A. Seda esineb ka teiste nimeda all:
http://www.bcwireless.net/moin.cgi/GigaFast_WF719-CAPR
Igaks juhuks ka kasutaja manual, kust saab vaadata VPN'i konfimise screen-shot'e:
http://www.atel-electronics.eu/doc/06058ie.pdf
Kasutusel kõige uuem firmware ja häkiga võimalik anda Linuxile seal ruuteris isegi command-line käske.
Kuna tal IPSec'i tugi ehk server max 10 tunneliga on olemas, siis järelikult sisaldab see ka erinevaid krüpteerimisfunktsioone. Jõudluse kohta ei oska midagi arvata, aga kodulahenduse korral ei ole see praegu ka nii oluline.
Eesmärk oleks logida ennast road warriorina mõnest teisest NAT'st selle ruuteri taha võrku ja käia sealtkaudu ka väljaspool avalikus võrgus.
Kliendi arvutis (ehk siis enda läpparis) proovin praegu käima saada Openswan'i. Siiani veel edutult.
# service ipsec status
Failed to parse config setup portion of ipsec.conf
# ipsec verify
Checking your system to see if IPsec got installed and started correctly:
Version check and ipsec on-path [OK]
Linux Openswan U2.6.22/K2.6.31.13-desktop586-1mnb (netkey)
Checking for IPsec support in kernel [OK]
NETKEY detected, testing for disabled ICMP send_redirects [OK]
NETKEY detected, testing for disabled ICMP accept_redirects [OK]
Checking for RSA private key (/etc/openswan/ipsec.secrets) [OK]
Checking that pluto is running [FAILED]
whack: Pluto is not running (no "/var/run/pluto/pluto.ctl")
Two or more interfaces found, checking IP forwarding [FAILED]
whack: Pluto is not running (no "/var/run/pluto/pluto.ctl")
Checking NAT and MASQUERADEing [OK]
Checking for 'ip' command [OK]
Checking for 'iptables' command [OK]
Opportunistic Encryption DNS checks:
Looking for TXT in forward dns zone: localhost.localdomain [MISSING]
Cannot execute command "host -t txt localhost.localdomain": No such file or directory
Does the machine have at least one non-private address? [FAILED]
| androloog kirjutas: | ise kasutan pfsense tulemüüri, seal on sees juba pptp server ja sinna ühenduse tegemine on käkitegu ja sealt edasi juba saad teha vnc päringuid või ssh. http://www.pfsense.com/ |
PPTP ei sobi. Kuuldavasti ei ole see turvaline ja mõeldud eeskätt Windowsi klientidele. Samuti eelistan kasutada VPN'i serverit sisseehitatuna mõnes ruuterikarbis kui eraldi arvutis. Esiteks sellepärast, et ruuteri koormused ei ole suured ja väike ruuter tarbib vähe energiat.
|
|
|
|
|
|
|
|
chris
Pingviini aktivist
Liitunud: 16.02.2009
Postitused: 146
Asukoht: Tallinn
Distributsioon: Debian 6.0/7.0
|
|
| mocambo kirjutas: | |
Eesmärk oleks logida ennast road warriorina mõnest teisest NAT'st selle ruuteri taha võrku ja käia sealtkaudu ka väljaspool avalikus võrgus.
Kliendi arvutis (ehk siis enda läpparis) proovin praegu käima saada Openswan'i.
|
OK, selge. Minu teada sinu soovitud informatsiooni eesti keeles saadaval ei ole. Kui ma eksin, siis anna teada.
OpenS/WAN (ja selle eelkäija FreeS/WAN) paketiga olen ka mina hätta jäänud. Kahjuks.
Küll olen aga tööle saanud ipsec-tools asjad. Tarkust jagatakse Linux advanced routing and traffic control how-to's; täpsemalt peaks lugema setsmendat peatüki esimest poolt, kus on juttu manuaalsest ja automaatsest võtmevahetusest ning tunnelitest. How-to's ei ole juttu sellest, kuidas kogu liiklus krüpteerida. Selleks pead looma krüpteeritud tunneli ja suunama vaikimisi marsruudi peale tunneli loomist sinna sisse (tunnelisse). Viimase järgi ei ole mul veel vajadust olnud.
Debianis asub vajalik soft pakettides ipsec-tools ja racoon.
| mocambo kirjutas: | |
PPTP ei sobi. Kuuldavasti ei ole see turvaline ja mõeldud eeskätt Windowsi klientidele. Samuti eelistan kasutada VPN'i serverit sisseehitatuna mõnes ruuterikarbis kui eraldi arvutis. Esiteks sellepärast, et ruuteri koormused ei ole suured ja väike ruuter tarbib vähe energiat. |
Hmm... Mulle meenub väide, et PPTP põhiprobleem on krüpteerimisprotokollis, mis õnneks vist ei ole siiski patenteeritud. Turvalisusega ei pidavat sel hetkel veel probleeme olema.
|
|
|
|
|
|
|
|
|
|
