OT: VPN pro Windows klienty

Pavel Kislinger kislinger at kn.vutbr.cz
Wed Mar 30 11:09:05 CEST 2011


Pro info:
- POPTOP použíme wifi gateway a zvládá to řádově stovky uživatelů, 
omezení je dáno
   především schopnostmi linuxu routovat vyšší rychlosti než 1Gig

- openvpn funguje s grafickým rozhraním i na win7 i na vista (32 i 
64bit), ale musíte
   najít správnou instalaci openvpn pro windows http://openvpn.net/release/
   (rozhodně nepoužívat verzi http://www.openvpn.se/ která je silně 
zastaralá)
- aktuálně používám openvpn-2.1_rc22-install.exe
- openvpn má několik drobných problémů
   * špatně přiděluje přes push-pop adresy dns serverů a dns search domain
   * route push-pop se na klientech pro příkazu pop provede vždy 2x 
(nepodařilo
     se vyřešit, ale funkčně ničemu nevadí)
   * některé windows stanice vyžadují v konfiguraci (route-method exe, 
route-delay 2)
     liší se podle verze buildu, novější verze to spíše vyžadují
   * značně spolehlivější je TCP varianta (alespoň v prostředí ve kterém 
jsem testoval)

Pavel

Dne 30.3.2011 10:38, kron24 napsal(a):
> Dobre rano vespolek,
>
> diky za dalsi a dalsi prispevky.
>
> Dne 29.3.2011 17:51, Ivan Dolnák napsal(a):
> > neviem akú úroveň zabezpečenia a počet súčasne pripojených
> > klientov
>
> Milionova otazka, tim jsem mel samozrejme zacit.
>
> Jde jenom o jednotky klientu. V provozu budou dulezite "velke"
> prenosy smerem ke klientovi, latence nehraji az tak velkou roli.
>
> Zabezpeci samozrejme "jen to nejlepsi je dost dobre" :-) No,
> realisticky, nechci udelat trivialni chybu - pouzit neco, co ma
> proflaknute slabiny, chci se vejit do "best practices".
>
> Od OpenVPN jsem se zatim nikam neposunul a tento tyden uz asi
> nebudu mit cas na hrani, tak aspon pro sebe zrekapituju dosavadni
> navrhy. Vim, ze je to trochu cinska klasifikace zvirat, ale nejak
> utridit si to musim. Plusy a minusy neberte absolutne, je to muj
> pohled v tuto chvili a pro moje podminky.
>
> 1. FreeBSD, OpenVPN
>    + obecne dobre zkusenosti
>    + server se jednoduse rozbehne a monitoruje
>    - kostrbate rozjeti GUI klienta ve Viste a Seven
>
> 2. FreeBSD, IPsec
>    + do Windows se nemusi nic instalovat
>    + chtel bych se o IPsec neco naucit
>    - zatim nevim o jednoduchem navodu (ale Dan uz ho jednou psal,
>      tak ho snad najdu); prinejhorsim bych vysel z IPsec VPN mezi
>      FreeBSD, pak na jedne strane uchodil dynamickou adresu
>      a průchod NATem a nakonec OS vymenil za Windows
>    - Honza Dusatko: "IPSec Windows proti FreeBSD je pro mne nocni
>                      mura"
>
> 3. FreeBSD (porty mpd5 nebo poptop), GRE/PPTP
>    + do Windows se nemusi nic instalovat
>    + jsou k nalezeni jednoduche navody
>    - wikipedie pise "serious security vulnerabilities have been
>      found in the protocol", neumim to posoudit, jsou presto
>      nejake "spravne" zpusoby nasazeni?
>    - Dan Lukes: "Neprilis detailne si vybavuju, ze byl velky
>                  problem uchodit vsechny ruzne verze Woken"
>
> 3. FreeBSD (porty mpd5 nebo l2tpd), L2TP
>    + do Windows se nemusi nic instalovat
>    - Vilem Kebrt: "L2TP je opruz neskutecny"
>
> 5. Mikrotik
>    + volitelna varianta VPN (IPSec, OpenVPN, PPTP, L2TP)
>    - pro me neznama platforma a nemuzu si jednoduse vyzkouset
>
> 6. Cisco ISR
>    + predpokladam, ze je o neco jako "prumyslovy standard"
>    - pro me neznama platforma a nemuzu si jednoduse vyzkouset
>    - sveho casu me dost vytacel ten jejich klient
>
> Jestli s necim z toho pohnu, dam vedet, ale tento tyden to
> na 99% nebude :-(
>
> Oli



More information about the Users-l mailing list