Prosíme přihlašte se nebo zaregistrujte.

Přihlašte se svým uživatelským jménem a heslem.
Vaše pomoc je stále potřeba!

Autor Téma: jak nastavit klient přes openVPN na internet, route (vyřešeno)  (Přečteno 14424 krát)

c0rrupt

  • Aktivní člen
  • *
  • Příspěvků: 201
    • c0
Našel jsem tu pár návodů ale jsem stoho opravdu jelen. VPNko mi běží, spojím se a vidím server na 13.13.1.1, dostanu se na něj ssh...prostě to jede.
Ale nevidím ostatní PC na lokálu kde je VPN server a nedostanu se přes VPN na internet. Něco tu mám blbě, no ono toho bude víc už si stim chvilku hraju :). Na klientovi vidím lokální sít a můžu na internet přes eth0 na tap0 kde je VPN můžu jenom na ten server. Oba počítače vidí svojí lokální sít a můžou na internet. Ted ale potřebuji z klienta vidět né jenom server ale i se dostat na internet přes VPN, pokud možno vidět i ostatní počítače.
 
Router: IP 192.186.1.1 portforward openVPN na 192.186.1.13

Server: IP 192.168.1.13 lokální, běží na něm openVPN na tap0 VPN má IP 13.13.1.1
 route -n:
Kód: [Vybrat]
 13.13.1.0       0.0.0.0         255.255.255.0   U     0      0        0 tap0
  192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
  0.0.0.0         192.168.1.1     0.0.0.0         UG    100    0        0 eth1  
(openVPN) server.conf
Kód: [Vybrat]
mode server
tls-server
dev tap0
port 23
proto tcp-server
ifconfig 13.13.1.1 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
push "route-gateway 13.13.1.0"
# push "redirect-gateway"
ifconfig-pool 13.13.1.2 13.13.1.5 255.255.255.0
duplicate-cn
client-to-client
keepalive 10 120
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
comp-lzo
log-append /home/c0/cvpn.log
status /home/c0/openvpn-status.log

klient: IP 10.2.62.36 lokální, VPN na tap0 IP 13.13.1.2
 route -n
Kód: [Vybrat]
13.13.1.0       0.0.0.0         255.255.255.0   U     0      0        0 tap0
10.2.0.0        0.0.0.0         255.255.0.0     U     1      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 eth0
0.0.0.0         10.2.1.1        0.0.0.0         UG    0      0        0 eth0

(openVPN) client.conf  tohle je asi zbytečné, stejnak si to všechno vytahuje ze serveru.
Kód: [Vybrat]
client
dev tap0
remote 62.24.87.229
port 23
proto tcp-client
pull
ns-cert-type server
ca ca.crt
cert client.crt
key client.key
comp-lzo
verb 3

Předpokládám, že mám nějaké chyby v server.conf a asi bude třeba přidat nebo upravit route na serveru a klientovi. Ale fakt nevim jak, snažil jsem se to googlit a číst si různé jiné návody ale prostě to nechápu. To je tak, když má člověk špatné základy :). Děkuji za rady.
« Poslední změna: 02 Dubna 2010, 20:56:32 od c0rrupt »
Hell is a nice place... Im not there.

Ubuntu 10.04 -64bit xmpp: c0rrupt@jabbim.cz www: http://c0rrupt.cz

DuckD

  • Stálý člen
  • **
  • Příspěvků: 878
  • Open Srdcař
    • www.duckd.cz
8) Lidé žijí v souborech. ===>> LINUXTERO <<=== Pravidelná dávka tvého linuxtera!

c0rrupt

  • Aktivní člen
  • *
  • Příspěvků: 201
    • c0
Re: jak nastavit klient přes openVPN na internet, route
« Odpověď #2 kdy: 02 Dubna 2010, 10:07:05 »
No to samé ale v originálu je na openvpn.net :) to mi nefunguje, gateway redirect, pushlý dnsko a povolený v IP tables a nic se nestalo. Mám tam někde problém s routama. Proto jsem sem psal a pastoval sem všechny ty věci. Samozřejmě jsem se to pokoušel rozchodit sám, číst si posty tu, zkoušel jsem google a samozřejmě si přečetl dokumentaci přes man a na těch stránkách openvpn.net.
Na počítače připojené do VPN odkudkoli se dostanu, nikam jinam ne. Ale hlavně chci přes to VPN mít gateway na internet.

takhle pak vypadal config na serveru
Kód: [Vybrat]
mode server
tls-server
dev tap0
port 23
proto tcp-server
ifconfig 13.13.1.1 255.255.255.0
# push "route 192.168.1.0 255.255.255.0"
# push "route-gateway 192.168.1.1"
push "redirect-gateway def1"
push "dhcp-option DNS 192.168.1.1"
ifconfig-pool 13.13.1.2 13.13.1.5 255.255.255.0
duplicate-cn
client-to-client
keepalive 10 120
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
comp-lzo
log-append /home/c0/cvpn.log
status /home/c0/openvpn-status.log

takhle route -n    na strane klienta

Kód: [Vybrat]
13.13.1.0       0.0.0.0         255.255.255.0   U     0      0        0 tap0
10.2.0.0        0.0.0.0         255.255.0.0     U     1      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 eth0
0.0.0.0         10.2.1.1        0.0.0.0         UG    0      0        0 eth0

log s VPN klienta
Kód: [Vybrat]
Fri Apr  2 11:00:04 2010 OpenVPN 2.1_rc19 x86_64-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] built on Oct 13 2009
Fri Apr  2 11:00:04 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri Apr  2 11:00:04 2010 WARNING: file 'client.key' is group or others accessible
Fri Apr  2 11:00:04 2010 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Fri Apr  2 11:00:04 2010 LZO compression initialized
Fri Apr  2 11:00:04 2010 Control Channel MTU parms [ L:1576 D:140 EF:40 EB:0 ET:0 EL:0 ]
Fri Apr  2 11:00:04 2010 Data Channel MTU parms [ L:1576 D:1450 EF:44 EB:135 ET:32 EL:0 AF:3/1 ]
Fri Apr  2 11:00:04 2010 Local Options hash (VER=V4): '31fdf004'
Fri Apr  2 11:00:04 2010 Expected Remote Options hash (VER=V4): '3e6d1056'
Fri Apr  2 11:00:04 2010 Attempting to establish TCP connection with 62.24.87.229:23 [nonblock]
Fri Apr  2 11:00:05 2010 TCP connection established with 62.24.87.229:23
Fri Apr  2 11:00:05 2010 Socket Buffers: R=[87380->131072] S=[16384->131072]
Fri Apr  2 11:00:05 2010 TCPv4_CLIENT link local: [undef]
Fri Apr  2 11:00:05 2010 TCPv4_CLIENT link remote: 62.24.87.229:23
Fri Apr  2 11:00:05 2010 TLS: Initial packet from 62.24.87.229:23, sid=f37a2eb9 5d627bba
Fri Apr  2 11:00:06 2010 VERIFY OK: depth=1, /C=CZ/ST=PR/L=Prague/O=c0/CN=ca/name=jmike/emailAddress=jmike@email.cz
Fri Apr  2 11:00:06 2010 VERIFY OK: nsCertType=SERVER
Fri Apr  2 11:00:06 2010 VERIFY OK: depth=0, /C=CZ/ST=PR/L=Prague/O=c0/CN=server/name=jmike/emailAddress=jmike@email.cz
Fri Apr  2 11:00:06 2010 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Apr  2 11:00:06 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Apr  2 11:00:06 2010 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Apr  2 11:00:06 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Apr  2 11:00:06 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Fri Apr  2 11:00:06 2010 [server] Peer Connection Initiated with 62.24.87.229:23
Fri Apr  2 11:00:07 2010 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Fri Apr  2 11:00:07 2010 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1,dhcp-option DNS 192.168.1.1,ping 10,ping-restart 120,ifconfig 13.13.1.3 255.255.255.0'
Fri Apr  2 11:00:07 2010 OPTIONS IMPORT: timers and/or timeouts modified
Fri Apr  2 11:00:07 2010 OPTIONS IMPORT: --ifconfig/up options modified
Fri Apr  2 11:00:07 2010 OPTIONS IMPORT: route options modified
Fri Apr  2 11:00:07 2010 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Fri Apr  2 11:00:07 2010 ROUTE default_gateway=10.2.1.1
Fri Apr  2 11:00:07 2010 TUN/TAP device tap0 opened
Fri Apr  2 11:00:07 2010 TUN/TAP TX queue length set to 100
Fri Apr  2 11:00:07 2010 /sbin/ifconfig tap0 13.13.1.3 netmask 255.255.255.0 mtu 1500 broadcast 13.13.1.255
Fri Apr  2 11:00:07 2010 NOTE: unable to redirect default gateway -- VPN gateway parameter (--route-gateway or --ifconfig) is missing
Fri Apr  2 11:00:07 2010 Initialization Sequence Completed

server log z VPN
Kód: [Vybrat]
Fri Apr  2 09:56:03 2010 /sbin/ifconfig tap0 0.0.0.0
Fri Apr  2 09:56:04 2010 SIGTERM[hard,] received, process exiting
Fri Apr  2 09:56:04 2010 OpenVPN 2.1_rc19 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] built on Oct 13 2009
Fri Apr  2 09:56:04 2010 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x.  Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
Fri Apr  2 09:56:04 2010 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Fri Apr  2 09:56:04 2010 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Fri Apr  2 09:56:04 2010 TUN/TAP device tap0 opened
Fri Apr  2 09:56:04 2010 /sbin/ifconfig tap0 13.13.1.1 netmask 255.255.255.0 mtu 1500 broadcast 13.13.1.255
Fri Apr  2 09:56:04 2010 Listening for incoming TCP connection on [undef]:23
Fri Apr  2 09:56:04 2010 TCPv4_SERVER link local (bound): [undef]:23
Fri Apr  2 09:56:04 2010 TCPv4_SERVER link remote: [undef]
Fri Apr  2 09:56:04 2010 Initialization Sequence Completed
Fri Apr  2 09:56:08 2010 Re-using SSL/TLS context
Fri Apr  2 09:56:08 2010 LZO compression initialized
Fri Apr  2 09:56:08 2010 TCP connection established with 192.168.1.7:53327
Fri Apr  2 09:56:08 2010 TCPv4_SERVER link local: [undef]
Fri Apr  2 09:56:08 2010 TCPv4_SERVER link remote: 192.168.1.7:53327
Fri Apr  2 09:56:09 2010 Re-using SSL/TLS context
Fri Apr  2 09:56:09 2010 LZO compression initialized
Fri Apr  2 09:56:09 2010 TCP connection established with 195.113.48.5:19449
Fri Apr  2 09:56:09 2010 TCPv4_SERVER link local: [undef]
Fri Apr  2 09:56:09 2010 TCPv4_SERVER link remote: 195.113.48.5:19449
Fri Apr  2 09:56:09 2010 192.168.1.7:53327 [client] Peer Connection Initiated with 192.168.1.7:53327
Fri Apr  2 09:56:11 2010 195.113.48.5:19449 [client] Peer Connection Initiated with 195.113.48.5:19449


« Poslední změna: 02 Dubna 2010, 11:04:52 od c0rrupt »
Hell is a nice place... Im not there.

Ubuntu 10.04 -64bit xmpp: c0rrupt@jabbim.cz www: http://c0rrupt.cz

c0rrupt

  • Aktivní člen
  • *
  • Příspěvků: 201
    • c0
Re: jak nastavit klient přes openVPN na internet, route
« Odpověď #3 kdy: 02 Dubna 2010, 20:56:09 »
Hmm tak v tomto případě stačilo toto změnit v server configu
Kód: [Vybrat]
push "route-gateway 13.13.1.1"
push "redirect-gateway"
A už to fičí :)
Hell is a nice place... Im not there.

Ubuntu 10.04 -64bit xmpp: c0rrupt@jabbim.cz www: http://c0rrupt.cz

archen

  • Návštěvník
  • Příspěvků: 5
Re: jak nastavit klient přes openVPN na internet, route (vyřešeno)
« Odpověď #4 kdy: 21 Ledna 2011, 23:27:19 »
Zdar postni sem ty funkční konfiguráky. Teď si s tim hraju, vytvořil jsem si jednoduchej  point-to-point typ se statickym klíčem, vpnka mi funguje, ale routování z klienta ne a ne. nepushne mi to tu routu na klientovi...až vydedukuju, co je blbě, tak si vygeneruju ca, klient certifikáty a klíče, a asi to přepnu do server modu, ale teď jsem si rychle udělal konfiguraci na hraní.

na serveru jsem si vygeneroval statický klíč:
Kód: [Vybrat]
openvpn --genkey --secret static.key ten jsem pak přesunul na klienta přes sftp. Samozřejmě tohle není nejkošer zabezpečení, ale jen si s tím hraju, takže mi nevadí, že se to pouští jako vulnerable.

tady jsou moje konfiguráky.
na serveru /etc/openvpn/tun0.conf:
Kód: [Vybrat]
dev tun0
ifconfig 10.9.8.1 10.9.8.2
secret vpnstatic.key


na klientovi
Kód: [Vybrat]
remote XXX.XXX.XXX.XXX
dev tun0
ifconfig 10.9.8.2 10.9.8.1
secret vpnstatic.key

tohle je řekněme minimalistická vpnka, je plně funkční, pingy fungují oboustranně.

Hoď sem svoje funkční konfiguráky, třeba se i něco přiučim a hlavně to rozchodim :-)

archen

  • Návštěvník
  • Příspěvků: 5
Re: jak nastavit klient přes openVPN na internet, route (vyřešeno)
« Odpověď #5 kdy: 22 Ledna 2011, 13:43:26 »
Vídím, že je tohle vlákno sice vedeno jako vyřešeno, ale s čím jsem se dnes potácel se toho týkalo, tak to sem ještě všechno postnu.

Zde je funkční konfigurace openvpn serveru, který operuje na třetí vrstvě OSI modelu:
Nepopisuju zde jak generovat certifikáty, to si každý načte na openvpn.net v dokumentaci, jestli jen statické klíče viz starší příspěvek, nebo certifikáty, každého věc.

Než začnu cokoli dělat vyresetuju si firewall:
Kód: [Vybrat]
#!/bin/bash
echo "Mažu všechny iptables pravidla..."
sleep 1

# reset firewalu
iptables -P INPUT   ACCEPT
iptables -P OUTPUT  ACCEPT
iptables -P FORWARD ACCEPT
iptables -F
iptables -Z
iptables -X

# tabulka nat
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

# tabulka mangle
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P POSTROUTING ACCEPT
iptables -t mangle -P INPUT ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
iptables -t mangle -P FORWARD ACCEPT

for table in filter nat mangle; do
  iptables -t $table -F
  iptables -t $table -X
  iptables -t $table -Z
done

Tento skript lze vhodně rozšířit ověřenými pravidly, které firewall zase nastaví a hodit celý skript do cronu, spuštět třeba jednou za hodinu, nebo častěji, není to žádná náročná činnost. Když se při pokusech na vzdáleném systému něco při nastavovaní iptables zesere  :o, tak se to ve zvoleném intevalu zase přenastaví.

Kofigurace serveru:
Kód: [Vybrat]
# typ zařízení - routování, layer 3 ip pakety, v případě, že chcete rozchodit vpn server pro
# hraní her a využívání windows sharů přes jména, doporučuje se přemostění,
# resp. dev tap.
dev tun

# defaultní protokol
proto udp

# vpn server subnet
server 10.79.1.0 255.255.255.0

# statické přiřazování adres podle hostname
# formát "HOSTNAME, xxx.xxx.xxx.xxx", jeden řádek, jeden záznam
ifconfig-pool-persist ipp.txt

# certifikát certifikační autority
ca ca.crt

# certifikát serveru
cert server.crt

# klíč serveru
key server.key

# Diffie-Hellman pro zabezpečené vyjednávání SSL nebo TLS
# soubor je identický na serveru i klientovi
dh dh1024.pem

# řekne klientovi, aby vytvořil routu do subnetu vpn
# lze konfigurovat i na klientovi
push "route 10.79.1.0 255.255.255.0"

# řekne klientovi, aby přesměroval veškerý síťový provoz na vpn server
# lze konfigurovat i na klientovi, lze tak některé klienty nastavit, aby do šlo vše přes
# vpn server, u kterých to nebude, tak nepůjdou
# jelikož openvpn v tuto chvíli nepodporuje něco jako "multiinstancing rules" :-),
# tak lepší cestou jak dosáhnout klientů, kteří jdou/nejdou přes vpn server do internetu
# je zavedení více separátních instancí (více konfiguračních souborů) openvpn
# je to stále experimentální funkce, spustí příslušné routovací příkazy tak,
# aby byl celý provoz klienta přesměrován na vpn server, na serveru musíte
# zase nastavit přes iptables pravidla tak, aby si s tímhle příchozím provozem
# server poradil tak, že vše přesměruje do internetu
push "redirect-gateway def1"

# komprese roury, tato direktiva musí být na serveru i všech klientech, jinak chyba
comp-lzo

#nastavení pro udržení spojení přes stavové firewally viz dokumentace
keepalive 30 300
ping-timer-rem
persist-tun
persist-key

# dropnout rootovské oprávnění, které je potřeba pro vytvoření tun/tap zařízení
user nobody
group nogroup

# při auto startu openvpn během bootování zademonizuje proces openvpn
daemon

Routy na serveru:
Kód: [Vybrat]
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
10.79.1.2       *               255.255.255.255 UH        0 0          0 tun0
localnet        *               255.255.255.0   U         0 0          0 eth0
10.79.1.0       10.79.1.2       255.255.255.0   UG        0 0          0 tun0
10.79.1.0       *               255.255.255.0   U         0 0          0 eth0
default         xxx.xxx.xxx.xxx 0.0.0.0         UG        0 0          0 eth0
poznámka: xxx.xxx.xxx.xxx je výchozí brána serveru od ISP

Klient:
Kód: [Vybrat]
# mód vpn
client
# typ zařízení - routování, layer 3 ip pakety
dev tun

# protokol
proto udp

# server ip a port
remote xxx.xxx.xxx.xxx 1194

# komprese roury, musí být konzistentní na všech mašinách
comp-lzo

# certifikáty
ca ca.crt
cert ja.crt
key ja.key

# jestli je použit DHCP pro nastavení address na klientovi, je dobré
# vytvářet routy až po nějakém čase,aby se stihly řádně IP addresy nastavit
route-delay 2

# na widláckym (windows) klientovi použij shell příkaz route.exe pro přidání rout
route-method exe

# lze dat spíše do server konfiguráku s direktivou push, direktiva dhcp je pro vícero použití
dhcp-option DNS 10.79.0.1

# ukecanost, hodnoty 0 až patnáct
verb 3

No a routy na klientovi:
Kód: [Vybrat]
Směrovací tabulka v jádru pro IP
Adresát             Brána               Maska                 Přízn    MSS Okno    irtt Rozhraní
10.79.1.5       *               255.255.255.255 UH        0 0          0 tun0
10.79.1.1       10.79.1.5       255.255.255.255 UGH       0 0          0 tun0
46.28.108.174   10.128.195.177  255.255.255.255 UGH       0 0          0 eth0
10.128.195.128  *               255.255.255.192 U         0 0          0 eth0
192.168.69.0    *               255.255.255.0   U         0 0          0 vmnet1
172.16.228.0    *               255.255.255.0   U         0 0          0 vmnet8
10.79.1.0       10.79.1.5       255.255.255.0   UG        0 0          0 tun0
link-local      *               255.255.0.0     U         0 0          0 eth0
default         10.79.1.5       128.0.0.0       UG        0 0          0 tun0
128.0.0.0       10.79.1.5       128.0.0.0       UG        0 0          0 tun0
default         xxx.xxx.xxx.xxx  0.0.0.0         UG        0 0          0 eth0
Poznámka: xxx.xxx.xxx.xxx je výchozí brána na klientovi kterou máš od ISP nebo pokud si na vlastní síti jde o standardní bránu, která je v routovací tabulce vždy při funkční síti, i bez vpn

Takto nastavený klient server je funkční připojení mezi oběma, na klientovi však nefunguje internet, jelikož posílá vše na vpn server, ten ale neví co s příchozími pakety, proto je potřeba na serveru nastavit iptables:
Kód: [Vybrat]
$ iptables -A POSTROUTING -s 10.79.1.0/24 -o eth0 -j MASQUERADE
Teď je nastavený firewall i openvpn server, ale je možné, že připojení do internetu stále nefunguje. To může způsobit nastavení jádra. Je nutné ověřit:
Kód: [Vybrat]
archenroot:~# cat /etc/sysctl.conf | grep ipv4.ip_forward
net.ipv4.ip_forward=1
Pokud je hodnota paremetru 1, je to OK, jestli je tam nula, pak forward nefunguje a klienti se do netu nepřipojí. To napraví bez rebootování serveru následující buď ruční konfigurace souboru /etc/sysctl.conf nebo..
Kód: [Vybrat]
sysctl -w net.ipv4.ip_forward=1
sysctl -p /etc/sysctl.conf
Poslední příkaz přivede parametry ze souboru k životu v jádru bez nutnosti restrartu

Takže teď když se klient připojí k vpn serveru a nahodí prakticky jakýkoli program, který chce komunikovat po síti. je takový požadavek poslán na vpn server, který požadavek přesměruje na svou bránu. Odpověď pak vrátí klientovi. Jak jsem zmínil výše, pro některé speciální aplikace bude tato konfigurace nefunkční, např. windows shary podle názvů, herní servery, apod. Avšak na prohlížení internetových stránek a využití standardních protokolů jako SSH, FTP, HTTP, HTTPS, POP, IMAP atd. to však stačí.

Tato konfigurace je samozřejmě velmi nebezpečná na produkční systém. Po donastavení všech požadovaných služeb je dobré firewall nastavit obráceně, než byl do této doby, kdy povoloval vše. Měl by blokovat vše, a povolovat jen něco. Při testování se ale vyplatí mít vše povolené, abyste hledali případné chyby pouze v konfiguraci vpn a ne zároveň na firewallu, takže nejdří nastavím službu, pak zavřu stavidla.

S nastavení firewallu pomůže velmi snadno rozšiřitelný skript na:
Kód: [Vybrat]
http://svn.openvpn.net/projects/openvpn/trunk/openvpn/sample-config-files/firewall.sh
I když bude firewall dobře nastavený, existuje celá řada faktorů, které umožní takto nastavený openvpn server kompromitovat, budu se tím zabývat později a někam postnu step-by-step návod. Mluvím zde např. o chrootování, integraci autentizačních pluginů jako je pam nebo eurephia, někde vše postnu, je toho spousta, co lze s vpn dělat :D

Zajímavé může být v tomto případě také zajíštění vysoké dostupnosti, buď ať už běži více insancí VPN na jednom serveru, jedna instance na více serverch, nebo více instancí na více serverech. Na klientech se v konfiguráku pomocí bloků <connection> dají nakofigurovat různé profily. Pro tyto profily připojení lze konfigurovat společné nebo specifické parametry. Klient pak zkouší myslím, že náhodně, připojení podle různých profilů dokud se někam nepřipojí. To je dobré  ;D

Blbý je to, že zatím něco podobného neexistuje na úrovni serveru, tj. mám více instancí v jednom konfiguračním souboru.

Celou funkcionalitu testuji na VSP, který je velmi lehce konfigurovatelný. Co. Anonymizační projekt v českých vodách chybí. Po světě jich je vícero, na některých českých fórech jsem se také dočetl o podobných myšlenkách, zatím však nic, co by v českých vodách bylo provozováno s větším úspěchem.

Každopádně good luck s openvpn.

Ladislav  ;)
« Poslední změna: 22 Ledna 2011, 19:55:16 od archen »

 

Provoz zaštiťuje spolek OpenAlt.