date:20110330

Re: Re: OT: VPN pro Windows klienty

2011-03-30 Tema obsahu kyli


Zdravim,


openvpn.exe z prikazove radky (navic s pravy administratora)

Zkusenost z WinXP: je potreba pridat uzivatele do skupiny "Network configuration 
operators", jinak nema prava zmenit nastaveni site (routovaci tabulky) a OpenVPN bez 
administratorskych prav nejede.


V.K.



 Původní zpráva 
Od: kron24 
Předmět: Re: OT: VPN pro Windows klienty
Datum: 29.3.2011 00:33:00

Dne 28.3.2011 19:24, Dan Lukes napsal(a):
> On 03/28/11 18:21, kron24:
>> Potrebuju vyresit VPN pripojeni z domacich stanic (vyhradne
>> Windows XP/Vista/Seven, 32 i 64 bit, vetsinou za NATem)
>> do firmy.
>
> IPSEC
> GRE/PPTP
> OpenVPN
>
> Prvni dva umi Wokna nativne, ale ve skutecnosti je nemohu doporucit.
>
> OpenVPN sice vyzaduej instalaci nejen na serverove ale i na klientske
> strane, zato o tom nemohu rict nic spatneho.

Diky za vsechny reakce v konferenci i soukrome. Dalsi jine
moznosti nez ty tri uvedene Danem se neobjevily.

1. Zkusil jsem OpenVPN 2.1.4:
 - server FreeBSD 8.2
 - klient Windows 7 64bit Enterprise
Klientske GUI funguje nejak divne (nebo spis nefunguje), ale
openvpn.exe z prikazove radky (navic s pravy administratora)
fungovalo OK. Vistu a XP zkusim az zitra (vlastne dnes).
Zadny novy problem uz ale necekam.

(Certifikacni autorita vyhrazena jenom pro VPN mi v tuto
chvili pupinky nedela.)

Asi uz zustanu u OpenVPN, ale ciste ze zvedavosti bych se aspon
trochu podival na ty dve dalsi moznosti.

2. Pokud jde o IPsec, handbook ma kapitolku "VPN over IPsec".
Sice predpoklada FreeBSD na obou stranach, ale aspon mam kde
zacit...

3. GRE/PPTP - na prvni "STFG" jsem ziskal dojem, ze nejakou
roli tu mohou hrat porty mpd5, poptop a l2tpd jako
alternativy, ale vic jsem zatim nepobral.

Jestli jeste mate nekdo nejaky komentar ke 2 a 3, budu za nej
rad.

Zatim diky
Oli
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l




--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l

Re: OT: VPN pro Windows klienty

2011-03-30 Tema obsahu kron24


Dobre rano vespolek,

diky za dalsi a dalsi prispevky.

Dne 29.3.2011 17:51, Ivan Dolnák napsal(a):
> neviem akú úroveň zabezpečenia a počet súčasne pripojených
> klientov

Milionova otazka, tim jsem mel samozrejme zacit.

Jde jenom o jednotky klientu. V provozu budou dulezite "velke"
prenosy smerem ke klientovi, latence nehraji az tak velkou roli.

Zabezpeci samozrejme "jen to nejlepsi je dost dobre" :-) No,
realisticky, nechci udelat trivialni chybu - pouzit neco, co ma
proflaknute slabiny, chci se vejit do "best practices".

Od OpenVPN jsem se zatim nikam neposunul a tento tyden uz asi
nebudu mit cas na hrani, tak aspon pro sebe zrekapituju dosavadni
navrhy. Vim, ze je to trochu cinska klasifikace zvirat, ale nejak
utridit si to musim. Plusy a minusy neberte absolutne, je to muj
pohled v tuto chvili a pro moje podminky.

1. FreeBSD, OpenVPN
   + obecne dobre zkusenosti
   + server se jednoduse rozbehne a monitoruje
   - kostrbate rozjeti GUI klienta ve Viste a Seven

2. FreeBSD, IPsec
   + do Windows se nemusi nic instalovat
   + chtel bych se o IPsec neco naucit
   - zatim nevim o jednoduchem navodu (ale Dan uz ho jednou psal,
 tak ho snad najdu); prinejhorsim bych vysel z IPsec VPN mezi
 FreeBSD, pak na jedne strane uchodil dynamickou adresu
 a průchod NATem a nakonec OS vymenil za Windows
   - Honza Dusatko: "IPSec Windows proti FreeBSD je pro mne nocni
 mura"

3. FreeBSD (porty mpd5 nebo poptop), GRE/PPTP
   + do Windows se nemusi nic instalovat
   + jsou k nalezeni jednoduche navody
   - wikipedie pise "serious security vulnerabilities have been
 found in the protocol", neumim to posoudit, jsou presto
 nejake "spravne" zpusoby nasazeni?
   - Dan Lukes: "Neprilis detailne si vybavuju, ze byl velky
 problem uchodit vsechny ruzne verze Woken"

3. FreeBSD (porty mpd5 nebo l2tpd), L2TP
   + do Windows se nemusi nic instalovat
   - Vilem Kebrt: "L2TP je opruz neskutecny"

5. Mikrotik
   + volitelna varianta VPN (IPSec, OpenVPN, PPTP, L2TP)
   - pro me neznama platforma a nemuzu si jednoduse vyzkouset

6. Cisco ISR
   + predpokladam, ze je o neco jako "prumyslovy standard"
   - pro me neznama platforma a nemuzu si jednoduse vyzkouset
   - sveho casu me dost vytacel ten jejich klient

Jestli s necim z toho pohnu, dam vedet, ale tento tyden to
na 99% nebude :-(

Oli
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l

Re: OT: VPN pro Windows klienty

2011-03-30 Tema obsahu Pavel Kislinger


Pro info:
- POPTOP použíme wifi gateway a zvládá to řádově stovky uživatelů, 
omezení je dáno

  především schopnostmi linuxu routovat vyšší rychlosti než 1Gig

- openvpn funguje s grafickým rozhraním i na win7 i na vista (32 i 
64bit), ale musíte

  najít správnou instalaci openvpn pro windows http://openvpn.net/release/
  (rozhodně nepoužívat verzi http://www.openvpn.se/ která je silně 
zastaralá)

- aktuálně používám openvpn-2.1_rc22-install.exe
- openvpn má několik drobných problémů
  * špatně přiděluje přes push-pop adresy dns serverů a dns search domain
  * route push-pop se na klientech pro příkazu pop provede vždy 2x 
(nepodařilo

se vyřešit, ale funkčně ničemu nevadí)
  * některé windows stanice vyžadují v konfiguraci (route-method exe, 
route-delay 2)

liší se podle verze buildu, novější verze to spíše vyžadují
  * značně spolehlivější je TCP varianta (alespoň v prostředí ve kterém 
jsem testoval)


Pavel

Dne 30.3.2011 10:38, kron24 napsal(a):

Dobre rano vespolek,

diky za dalsi a dalsi prispevky.

Dne 29.3.2011 17:51, Ivan Dolnák napsal(a):
> neviem akú úroveň zabezpečenia a počet súčasne pripojených
> klientov

Milionova otazka, tim jsem mel samozrejme zacit.

Jde jenom o jednotky klientu. V provozu budou dulezite "velke"
prenosy smerem ke klientovi, latence nehraji az tak velkou roli.

Zabezpeci samozrejme "jen to nejlepsi je dost dobre" :-) No,
realisticky, nechci udelat trivialni chybu - pouzit neco, co ma
proflaknute slabiny, chci se vejit do "best practices".

Od OpenVPN jsem se zatim nikam neposunul a tento tyden uz asi
nebudu mit cas na hrani, tak aspon pro sebe zrekapituju dosavadni
navrhy. Vim, ze je to trochu cinska klasifikace zvirat, ale nejak
utridit si to musim. Plusy a minusy neberte absolutne, je to muj
pohled v tuto chvili a pro moje podminky.

1. FreeBSD, OpenVPN
   + obecne dobre zkusenosti
   + server se jednoduse rozbehne a monitoruje
   - kostrbate rozjeti GUI klienta ve Viste a Seven

2. FreeBSD, IPsec
   + do Windows se nemusi nic instalovat
   + chtel bych se o IPsec neco naucit
   - zatim nevim o jednoduchem navodu (ale Dan uz ho jednou psal,
 tak ho snad najdu); prinejhorsim bych vysel z IPsec VPN mezi
 FreeBSD, pak na jedne strane uchodil dynamickou adresu
 a průchod NATem a nakonec OS vymenil za Windows
   - Honza Dusatko: "IPSec Windows proti FreeBSD je pro mne nocni
 mura"

3. FreeBSD (porty mpd5 nebo poptop), GRE/PPTP
   + do Windows se nemusi nic instalovat
   + jsou k nalezeni jednoduche navody
   - wikipedie pise "serious security vulnerabilities have been
 found in the protocol", neumim to posoudit, jsou presto
 nejake "spravne" zpusoby nasazeni?
   - Dan Lukes: "Neprilis detailne si vybavuju, ze byl velky
 problem uchodit vsechny ruzne verze Woken"

3. FreeBSD (porty mpd5 nebo l2tpd), L2TP
   + do Windows se nemusi nic instalovat
   - Vilem Kebrt: "L2TP je opruz neskutecny"

5. Mikrotik
   + volitelna varianta VPN (IPSec, OpenVPN, PPTP, L2TP)
   - pro me neznama platforma a nemuzu si jednoduse vyzkouset

6. Cisco ISR
   + predpokladam, ze je o neco jako "prumyslovy standard"
   - pro me neznama platforma a nemuzu si jednoduse vyzkouset
   - sveho casu me dost vytacel ten jejich klient

Jestli s necim z toho pohnu, dam vedet, ale tento tyden to
na 99% nebude :-(

Oli


--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l

Re: OT: VPN pro Windows klienty

2011-03-30 Tema obsahu Dan Lukes

On 03/30/11 10:38, kron24:

- zatim nevim o jednoduchem navodu (ale Dan uz ho jednou psal,
tak ho snad najdu)

Ja ho mezitim nasel ve svem archivu, sice asi nekde v hlubinach archivu
teto konference lezi, snad se ael nestaen tolik, kdyz ho preposlu jeste
jednou. Nezapomente ale, ze nize okopirovany text vznikl na pocatku jara
roku 2002 pojednava o verzich OS ktere nekteri z vas mozna behem sve
odborne kariery uz nestihli potkat.

Text jsem needitoval a tak tam zustala nabidka, z ebudu reagovat an
doplnujici dotazy - nahlednete ale realisticky, ze s odstupem deviti let
bude spise obtizne najit otazku, na kterou bych dokazal uspokojive
odpovedet.

Dan

Informace se tykaji komunikace W2k resp FreeBSD versus FreeBSD, CISCO je
zatim zcela neozkousene.

Takze - nezkonkurencne nejspolehlivejsi je IPSec bez key-managementu,
FreeBSD proti FreeBSD, z pevne adresy na pevnou. To nema vubec zadne
kontraindikace (krome nizsi bezpecnosti kvuli nevymenovanym klicum), je to
spolehlive a i zatizeni CPU je male. Bohuzel, tato varianta neprichazi pro
komunikaci s W2k vubec v uvahu (tam nelze klice staticky nastavit, alespon ne
prostredky o kterych jsem kdy slysel).

Nicmene, pokud chceme dynamickou spravu klicu (tu potrebujeme pokud je
jetna strana W2k), pak to uz je trochu jina.

Oproti dobam, kdy jsem jej naposled pouzival je stabilita prislusneho daemona (racoon) nekonecne lepsi. Nespadl mi ani jednou a klice vymenoval bez zavahani. Je pravda, ze v okamziku vymeny klicu se cas od casu par paketu komunikace ztrati, ale nenastava to vzdy a obvykle jde skutecne spise o jednotky paketu a doba vypadku je rozhodne pod zlomky vterin. Pokouseli jsme se ho ruzne trapit, dokonce jsme mu jinym programem z kernelu mazaly klice, ktere on tam pracne dotlacil a i z toho se (na strane odesilajici) dokaze pomerne slusne vzpamatovat (na strane prijimajici to nedokaze - a neni to ani mozne, na druhou stranu, to, ze mu nekdo v jadre vymaze klice asi nelze povazovat za "normalni"). Nicmene, nejsem zcela klidny - jednak v TODO je poznamka, ze je nutne vylepsit "rekeying" a rto jiste ma nejaky duvod (ackoliv me pripadalo, ze funguje dobre), jednak, problemy, ktere se tehdy ve FIO objevovaly mohly byt zpusobeny tim, ze komunikace probihala po saturovane az pretizene

lince. To sice jsem schopen castecne simulovat, ale nemam poneti nakolik je
takova simulace prukazna.

Zkratka receno, nepodarilo se mi racoona dostat do situace, o ktere se
domnivam, ze by mohla realne nastavat a on by selhal - ale presto mu uplne
neverim. Nicmene, asi bych to s nim zkusil.

Tak. A jake moznosti mame v tomto pripade. Autentizaci M$ Kerberosem vynechavam,
protoze pro ni jsem na FreeBSD stranu nenasel zadny "protikus". Nenasel jsem
ani zminku, ze by to nekdo pouzival.

Autentizace pomoci pre-shared-key - funguje jak ve variante F<->F tak W<->F, Windows by mely mit instalovany
"high-encryption patch" (ten je normalne dostupny). ISAKMP protokol, ktery se na komunikaci pouziva definuje
"main" a "agressive" mod navazovani spojeni - bohuzel, podle vsecho co jsem dokazal zjistit i vydisassemblovat,
Windows umi pouze "main". To naprosto vylucuje (z principu designu protokolu) v tomto pripade variantu, ze by komunikace
probihala mezi Windows s dynamickou adresou - obe strany musi navzajem sve adresy znat predem v konfiguraci.

Autentizace prostrednictvim X509 je jednoducha (tedy az na problem WIndows, jehoz
reseni trvalo skoro 3 hodiny spocivajici v tom, ze databanky klicu jsou ve skutecnosti
dve, o cemz se nikde nemluvi - a vsechny normalni utility umoznuji pracovat s osobnimi
certifikaty v prvni bance, jenze pro ucely IPSec musi byt certifikat vlozen do te druhe).
I tady plati, ze obe adresy musi byt pevne. A bohuzel, je zde jeste jedno omezeni, obe
strany povazuji klic za autenticky pokud jej podepise pevne nakonfigurovana CA. To
bohuzel prakticky znemoznuje revokovat konkretni klice (napr. pri odchodu zamestnance).
Zde jeste neni zkoumani zcela dokonceno - je jiste, ze na strane BSD lze pomerne snadno
zasahnout do konu a logiku "schvalovani" klice zmenit, na stane Windows to ale
takhle nepujde - tam bych ale zase vsadil na moznost, ze WIndows by mohly, mozna, on-line
kontaktovat nejakym protokolem CA a zjistovat zda aktualni klic je stale platny. Pokud to
delaji, je jakz-takz vyhrano, pok

ud ne, je to spise neresitelne.

Co se tyce pripojeni a tunellingu stanic s nahodnou adresou, tam jsem pomerne skepticky. To co
jsem zkousel, bylo "znasilnit" prostredky urcene pro staticke IP pro ucely IP dynamicke -
coz se v zasade nepovedlo. Pro IPSec klice typu "mobileIP" ale neni v jadru FreeBSD vubec
podpora.

Pro ucely techto konfiguraci predpokladam, ze laskavy ctenar je alespon
zakladne seznamem s principy IPSec a jeho implementaci na FreeBSD
(protoze jinak je to na obrovsky dlouhe povidani), vi jaka je uloha
racoon daemona v cele te veci, neni mu uplne neznamy pojem Oakley/ISAKMP
(pro

RE: OT: VPN pro Windows klienty

2011-03-30 Tema obsahu Jan Dušátko

3. FreeBSD (porty mpd5 nebo poptop), GRE/PPTP
+ do Windows se nemusi nic instalovat
+ jsou k nalezeni jednoduche navody
- wikipedie pise "serious security vulnerabilities have been
  found in the protocol", neumim to posoudit, jsou presto
  nejake "spravne" zpusoby nasazeni?
- Dan Lukes: "Neprilis detailne si vybavuju, ze byl velky
  problem uchodit vsechny ruzne verze Woken"


Serious security vulnerabilities - podivejte se zde:
http://www.schneier.com/paper-pptp.html
http://www.schneier.com/paper-pptpv2.html

Navic, z hlediska kompatibility je tu automaticky downgrade protokolu
z pptpv2 na pptp, coz lze vyuzit pro utok. Nejsem si jist, zda konfigurace
poptop umoznuje tuto volbu blokovat.

-- 
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l

Re: OT: VPN pro Windows klienty

2011-03-30 Tema obsahu Vilem Kebrt

Diky dane, zrovna jsem hledal neco podobnyho, zkusim "znasilnit" svuj 
pokus server na 8.2 a kdyztak napisu rozdily.

Vilem

--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l

Re: Re: OT: VPN pro Windows klienty

Re: OT: VPN pro Windows klienty

Re: OT: VPN pro Windows klienty

Re: OT: VPN pro Windows klienty

RE: OT: VPN pro Windows klienty

Re: OT: VPN pro Windows klienty

6 matches

Site Navigation

Mail list logo

Footer information