Creazione di un VPN basato su UNIX: puntatori, linee guida e insidie?

  • Qualcuno ha esperienza di prima mano con la creazione di una networking privata virtuale basata su UNIX?
  • Quali sono i migliori client VPN / strumenti disponibili per realizzare questo?
  • Ci sono delle insidie ​​comuni che dovrei evitare?

Nel mio caso particolare, il mio interesse principale va dalle soluzioni compatibili con Debian. Il mio objective principale è quello di far funzionare semplicemente perché non l'ho ancora fatto prima, ma posso vedere alcuni possibili vantaggi nei casi in cui preferirei non utilizzare una connessione SSH.

  • Come interrompere il completamento della scheda bash bloccata?
  • Esecuzione di Linux su un solo disco di lettura - ansible?
  • Interruttore Cisco, come determinare l'indirizzo MAC del dispositivo collegato o il dispositivo di risveglio?
  • Avviare l'applicazione alla console linux all'avvio
  • come rilevare il momento quando le unità di networking mappate vengono perse in Windows 7
  • Quali sono le differenze funzionali tra .profile .bash_profile e .bashrc
  • Debian 6.0 integrazione AD
  • Un modo ottimale per build e distribuire un sito web come un pacchetto .deb
  • elenca i nomi di partizione linux solo in bash
  • Utilizzare un IP specifico in output con Docker
  • Linux Gateway: una scheda di networking come mascherarsi da una substring all'altra
  • Come get la notifica dei problemi di RAID di mdadm?
  • 6 Solutions collect form web for “Creazione di un VPN basato su UNIX: puntatori, linee guida e insidie?”

    in Linux hai due opzioni principali:

    • ipsec compatibile vpn – usa freeswan / openswan / strongswan . come mi ricordo che era abbastanza chellenging per impostare …
    • non standardizzato [ma veramente buono] sslvpn – openvpn . molto facile da installare.

    Il secondo è davvero fantastico, l'ho usata in produzione per un paio di anni. è disponibile in debian come pacchetto standard. si esegue abbastanza bene per le capacità di decine di megabit (anche centinaia, ma non ho le connessioni internet veloci tra uffici)

    alcuni suggerimenti per openvpn:

    • per essere più sicuri non utilizzare il tipo di chiavi 'segreto condiviso' , creare un'autorità cert e utilizzare le chiavi firmate da essa invece.
    • se ansible utilizzare la modalità tun invece di toccare [traffico di rotta via vpn invece di ponti due segmenti ethernet sopra]
    • se andate per la soluzione di autorità cert – tieni presente che le chiavi scadono. impostare i promemory delle coppie per ri-generare le chiavi.
    • per essere sul sicuro utilizzare software watchdog integrato in opensvn [opzione ping-restart] + mettere script additoinal semplice bash che controlla loopscamente se il process openvpn è in esecuzione. openpn è morto per me ~ 2 volte negli ultimi 3 anni.
    • utilizzare tunneling su udp quando si può [invece di tcp]. ho avuto problemi con vpn da ufficio dietro nat [where linux box era dietro dlink router poco costoso non ho potuto controllare] where i pacchetti udp dopo qualche tempo ware bloccato – in quel caso sono stato costretto a utilizzare tcp.
    • godere openvpn da dietro firewall / nati .. finché un lato ha IP pubblico e può essere raggiunto su tcp o udp su una port – è ansible stabilire vpn ad esso, l'altro nodo non ha bisogno di public ip!

    Il vero IPsec non è altro che un mal di testa. Il protocollo si blocca in diverse topologie di networking. I clienti sono universalmente mancanti non import quale sia il sistema operativo. A less che non si richiedano terminali hardware che eseguiranno solo IPsec, quindi evitali a tutti i costi.

    OpenVPN è comunque semplice da configurare, con solido in uso e con client molto intuitivi per Linux, Windows e Mac.

    Prendi in considerazione come intendi gestire nuovi utenti e revocare quelli vecchi. Ciò dipenderà da quanti utenti si prevede di sostenere. Personalmente usiamo i certificati x509 posizionati su gettoni a due fattori, che scalini molto bene, ma richiede un modo per gestire il PKI se crescete.

    Un altro voto per OpenVPN qui. Lo abbiamo usato al mio lavoro precedente ed è stato rock solid e abbiamo avuto less problemi con esso rispetto ai tunnel PPTP e IPSEC VPN che utilizziamo al mio lavoro attuale. È anche difficile battere la flessibilità offerta da OpenVPN. Ma OpenVPN ha un punto debole a mio parere. Attualmente non è supportto da molti smartphone. Infatti non conosco niente che faccia. So che ci sono persone che cercano di portrla all'iPhone, ma non sono sicuro di where si trova il progetto.

    Non hai menzionato il tipo di client che la tua soluzione vpn avrebbe bisogno per supportre. Quindi, con questo in mente se hai bisogno di evitare client di terze parti o bisogno di supporto smart phone allora PPTP può essere una misura migliore. Windows, OSX e molti telefoni intelligenti hanno tutti i client PPTP nativi. Poptop è il progetto Linux che implementa PPTP.

    I due strumenti che posso raccomandare di avere uno sguardo sono OpenVPN (menzionato in precedenza) e Adito (che è stato recentemente rinominato OpenVPN ALS). http://sourceforge.net/projects/adito/ http://adito.wiki.sourceforge.net/

    Una soluzione molto flessibile e ben documentata è OpenVPN ( http://openvpn.net/ ) Questo è disponibile come un pacchetto dal repository standard in Ubuntu e dovrebbe essere anche in Debian.

    Ho usato OpenVPN in azienda per circa due anni. Aveva pochi problemi con esso.

    Stiamo utilizzando configuration specifica per client per assegnare gli utenti IP a diverse reti secondarie. Da allora, possiamo limitare l'accesso alle risorse interne grazie a un firewall.

    Ciò che è less comodo è la gestione PKI (si utilizza il certificato per l'authentication dei client). Ma con 2 o 3 script, questo diventa sopportbile.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.