OT: VPN pro Windows klienty
Pavel Kislinger
kislinger at kn.vutbr.cz
Wed Mar 30 11:09:05 CEST 2011
Pro info:
- POPTOP použíme wifi gateway a zvládá to řádově stovky uživatelů,
omezení je dáno
především schopnostmi linuxu routovat vyšší rychlosti než 1Gig
- openvpn funguje s grafickým rozhraním i na win7 i na vista (32 i
64bit), ale musíte
najít správnou instalaci openvpn pro windows http://openvpn.net/release/
(rozhodně nepoužívat verzi http://www.openvpn.se/ která je silně
zastaralá)
- aktuálně používám openvpn-2.1_rc22-install.exe
- openvpn má několik drobných problémů
* špatně přiděluje přes push-pop adresy dns serverů a dns search domain
* route push-pop se na klientech pro příkazu pop provede vždy 2x
(nepodařilo
se vyřešit, ale funkčně ničemu nevadí)
* některé windows stanice vyžadují v konfiguraci (route-method exe,
route-delay 2)
liší se podle verze buildu, novější verze to spíše vyžadují
* značně spolehlivější je TCP varianta (alespoň v prostředí ve kterém
jsem testoval)
Pavel
Dne 30.3.2011 10:38, kron24 napsal(a):
> Dobre rano vespolek,
>
> diky za dalsi a dalsi prispevky.
>
> Dne 29.3.2011 17:51, Ivan Dolnák napsal(a):
> > neviem akú úroveň zabezpečenia a počet súčasne pripojených
> > klientov
>
> Milionova otazka, tim jsem mel samozrejme zacit.
>
> Jde jenom o jednotky klientu. V provozu budou dulezite "velke"
> prenosy smerem ke klientovi, latence nehraji az tak velkou roli.
>
> Zabezpeci samozrejme "jen to nejlepsi je dost dobre" :-) No,
> realisticky, nechci udelat trivialni chybu - pouzit neco, co ma
> proflaknute slabiny, chci se vejit do "best practices".
>
> Od OpenVPN jsem se zatim nikam neposunul a tento tyden uz asi
> nebudu mit cas na hrani, tak aspon pro sebe zrekapituju dosavadni
> navrhy. Vim, ze je to trochu cinska klasifikace zvirat, ale nejak
> utridit si to musim. Plusy a minusy neberte absolutne, je to muj
> pohled v tuto chvili a pro moje podminky.
>
> 1. FreeBSD, OpenVPN
> + obecne dobre zkusenosti
> + server se jednoduse rozbehne a monitoruje
> - kostrbate rozjeti GUI klienta ve Viste a Seven
>
> 2. FreeBSD, IPsec
> + do Windows se nemusi nic instalovat
> + chtel bych se o IPsec neco naucit
> - zatim nevim o jednoduchem navodu (ale Dan uz ho jednou psal,
> tak ho snad najdu); prinejhorsim bych vysel z IPsec VPN mezi
> FreeBSD, pak na jedne strane uchodil dynamickou adresu
> a průchod NATem a nakonec OS vymenil za Windows
> - Honza Dusatko: "IPSec Windows proti FreeBSD je pro mne nocni
> mura"
>
> 3. FreeBSD (porty mpd5 nebo poptop), GRE/PPTP
> + do Windows se nemusi nic instalovat
> + jsou k nalezeni jednoduche navody
> - wikipedie pise "serious security vulnerabilities have been
> found in the protocol", neumim to posoudit, jsou presto
> nejake "spravne" zpusoby nasazeni?
> - Dan Lukes: "Neprilis detailne si vybavuju, ze byl velky
> problem uchodit vsechny ruzne verze Woken"
>
> 3. FreeBSD (porty mpd5 nebo l2tpd), L2TP
> + do Windows se nemusi nic instalovat
> - Vilem Kebrt: "L2TP je opruz neskutecny"
>
> 5. Mikrotik
> + volitelna varianta VPN (IPSec, OpenVPN, PPTP, L2TP)
> - pro me neznama platforma a nemuzu si jednoduse vyzkouset
>
> 6. Cisco ISR
> + predpokladam, ze je o neco jako "prumyslovy standard"
> - pro me neznama platforma a nemuzu si jednoduse vyzkouset
> - sveho casu me dost vytacel ten jejich klient
>
> Jestli s necim z toho pohnu, dam vedet, ale tento tyden to
> na 99% nebude :-(
>
> Oli
More information about the Users-l
mailing list