routovani s openVPN

Dan Lukes dan at obluda.cz
Sat Oct 20 01:05:20 CEST 2007


Radomir Tomanek wrote:
>> To, co server routuje urcuje predevsim directiva route. Predpokladam, ze
>> klient-to-klient je defacto route 0.0.0.0 0.0.0.0 a to bych za vyhru
>> nepovazoval.

	Spis je to interni routing provozovany OpenVPN serverem, ktery muze mit 
sdmysl v pripade, ze je fakticky pouzita point-to-multipoint konfigurace:

"When this option is used, each client will "see" the other clients 
which are currently connected. Otherwise, each client will only see the 
server."

> Muzu se tedy zeptat v cem je z bezpečnostního hlediska
> problem v tom, co jsem popsal? Jsou tri situace, které resim:

> 1) spojuji dve nebo vice siti do WAN, potom me zajimai site za vsemi
> koncovymi body tunelu a resim to direktivou clinet-to-client + direktivou
> push route. Resim routovani mezi privatni siti a VPN.

	Pro to, zda ma nebo nema byt pouzivat direktiva client-to-client je 
rozhodujici, jestli se pocitace z takto pripojovanych siti maji nebo 
nemaji videt navzajem. Pokud ani, direktiva tam byt musi. Pokud ne, je 
"liberalni routing" zbytecnym bezpecnostnim rizikem. Pocitace v jedne 
siti mohou, komunikovat s pocitaci v dalsich sitich, coz muze usnadnit 
sireni viru nebo nektere typy utoku. Pokud to je potreba, pak je to 
nutne riziko a nezbyva nez client-to-client povolit, pokud takova 
komunikace potreba neni jde o riziko zbytecne.


> 2) pripojuji se klientem z obecneho internetu do lokalni site, opet
> potrebuji "jit az za VPN server" a opet pouziji direktivu client-to-client,
> muj klient bez dalšího nastaveni stejne nepreroutuje packety z lokalni site
> do tunelu.
> 3) pripojuji se klientem pouze na server (pop, imap apod.) a potom muzu
> zakazat client-to-client.

	Ad 2) i 3): client-to-client nema co delat s moznosti ci nemoznosti 
prochazet "za VPN server", ale pouze s moznosti "prochazet do jinych 
siti pripojenych take prostrednictvim tehoz VPN serveru". Moznost 
komunikovat s jinymi sitemi "za routerem" vyjma tech v predchozi vete 
zminenych je otazkou nastaveni routingu.


	Pouziti flagu se v praxi sice projevi instalovanim urcite route, ale to 
bychom zamenili pricinu a nasledek. Takovou route, pokud ji potrebujes, 
si nainstaluj jinymi k tomu urcenymi direktivami a ne client-to-client, 
ktera ma predevsim jine ucinky. To, zda v konkretnim pripade ucinky 
potrebne/zadouci/akceptovatelne je legitimni otazka, nicmene, otazka 
jina nez routovani z OpenVPN siti do ne-OpenVPN siti za routerem 
pripojenych.

					Dan




More information about the Users-l mailing list