[SPAMS-HYBRID] Re: VPN
Jacek Osiecki
joshua w hybrid.pl
Czw, 7 Sie 2008, 07:56:42 CEST
On Wed, 6 Aug 2008, GEN wrote:
>> A może prosty router np. Linksysa, skoro mówiłeś o urządzeniu. Serwer
>> możesz łatwo postawić na PLD. Ja gdy konfigurowałem Linksysa BEFSX41
>> jako nat/firewall, zauważyłem, że ma opcje VPN, także sądzę, że będzie
>> dobry. Jako firewall sprawdza się bardzo dobrze, nie grzeje się, nie
>> wiesza, także mogę go spokojnie polecić.
> Serwer jest w oparciu o PLD i raczej sprobuje pobawic sie skonfigurowaniem
> uslugi wlasnie na nim bo Linksys chyba nie bedzie w stanie automatem
> zmieniac ustawien sieciowych na komputerze klienckim w razie braku
> polaczenia VPN (przypominam, ze nie chcialbym instalowac zadnego
> oprogramowania typu openvpn klient na windowsie)
Jeśli koniecznie wolisz korzystać z windowsowego klienta vpn (PPTP), to
polecam linksysa RV-042. Obsługuje połączenia PPTP, ma możliwość podłączenia
dwóch łącz do internetu (wtedy albo balancing albo traktowanie drugiego jako
backup), kilka skrzyneczek w różnych lokalizacjach może sobie zestawić łącza
vpn.
Natomiast co do Twoich obaw o openvpn pod windows - powiem tak: od kiedy
w niemałej firmie wywaliliśmy na zbity pysk windowsowe PPTP i zastąpiliśmy
openvpnem, skończyły się problemy typu:
- nie da się połączyć bo być może router za którym siedzisz wycina GRE
- nie da się połączyć mimo że kolega obok stojący za tym samym routerem
się połączył
- nie da się połączyć bo nie,
- po połączeniu nic nie działa, bo windowsowy klient PPTP "zgaduje" jaka
ma być maska i routing zamiast po prostu zapytać o to serwer,
- alternatywnie do powyższego - działa, pod warunkiem że CAŁY ruch
(włącznie z normalnym przeglądaniem internetu) idzie przez VPN
... itd.
Openvpn nie dość że nie korzysta z parszywego GRE (wystarczy otwarty jeden
port TCP/UDP), to jest bez porównania bardziej diagnozowalny,
konfigurowalny, bezproblemowy. Jak chcesz zrobić serwer PPTP pod linuxem
to osiwiejesz - zaczynając od nakładania na kernel łatek kompresji MS które
działają z tylko niektórymi kernelami, kończąc na sytuacjach gdzie z logów
wywnioskujesz tylko to że "klient z nieznanych przyczyn nie mógł się
połączyć". Przy pptp możesz zapomnieć o tym by w miarę dynamicznie sterować
autoryzacją - np. żeby user x mógł się logować między 16 a 8 i żeby miał
codziennie inne hasło, zaś przy openvpn zależy to tylko od Twojej inwencji :)
Pozdrawiam,
--
Jacek Osiecki joshua w ceti.pl GG:3828944
"To nie logika, to polityka"
(c) Kabaret pod Wyrwigroszem 2006
Więcej informacji o liście dyskusyjnej pld-users-pl