Názory k článku
OpenVPN - VPN jednoduše

s bezproblemovosti provozu naprosto souhlasim. pouzivam openvpn dlouhodobe pro staticky PtP tunel po spatnych linkach a nemuzi si to vynachvalit. zkousel jsem i client/server mod s woknousyma klientama z ruznych koncin a nenarazil jsem na zadny problem.

S tim, ze je intalace jednoducha musim souhlasit. Po zkusenostech s IPSEC pred nekolika lety (kernel 2.4, FreeS/WAN), kdy jse me nepodarilo rozchodit Woknous stranu, jsem byl pripraven na nejhorsi. Intalace v rezimu sdileneho klice je tak snadna, az primitivni. Odolnost spojeni na mizerne lince me taky uvadi v uzas.

Pouzivam OpenVPN vyse pol roka a mozem len suhlasit s chvalami, jedinou chybyckou krasy s ktorou som sa stretol je ze sa linuxovy server po preruseni spojenia nevrati do listen modu (skonci) ale na to staci banalny skript.

Divne ze sa o nom nepisalo aj skor, tento softver ma skvelu interoperabilitu aku len tak nenajdete. Fajn vecou je moznost fungovat cez TCP, zvlast ked na hop od klienta nie je moznost nastavit NAT (alebo mate ISP pridelujuceho neroutovatelne IP).

Este dolezita vec: http://secunia.com/product/3952/
(samozrejme SSL treba mat zaplatane)

PS: Spomenul niekto ze to na *nixoch vie pouzivat ethernet bridging cez TAP (tunelovat aj broadcasty)?

neda mi nerypnut - Cisco pouziva standardny IPSEC, ziadne proprietarne riesenie, mal som to prepojene voci freeswanu na linuxe uplne v pohode

Tunelovat IP přez TCP a ješte přez proxy je zoufalost. Uznávám ale, když to jinak nejde (zdravíme koleje ZČU Plzeň), tonoucí se rád stébla chytne.

Jinak pro ostré nasazení snad jen přez UDP, ale ja bych asi vždy radši zvolil IPSEC.

Je prudce stabilni, konfigurace de taky zvládnout, asi před půlrokem tu vyšli výborné články, nakonfigurujete ho i proti "proprietárním řešením" na proprietárním hardwaru či operačním systému.

Osobně bych za proprietární označil spíš OpenVPN

'Tunelovat IP přez TCP a ješte přez proxy je zoufalost.' - suhlasim, ale kazdopadne je to velka vyhoda... zvlast, ked sa niekto ocitne v desne paranoidnej korporacii, kde je mozny pristup na internet iba cez http proxy.
IPSec ma, ako je zname, problemy s NAT (zmeni sa jedna z adries packetu a potom nesedi checksum). Samozrejme existuju rozne NAT traversal finty, ale to je len zaobalenie AH/ESP protokolu do UDP.

Ku kompresii: IPSec zvycajne pouziva na svojej vrstve podstatne vacsie packety (16384 B aj s hlavickami) co umoznouje lepsi kompresny pomer; OpenVPN ma adaptivnu kompresiu, t.j. to co nevie dobre zbalit, vobec nebali.

TUN/TAP ifc je mozne dat do bridge spolu s vnutornym eth ifc firewallu a pridelovat klientom IP cez DHCP + cez to prelezu vsetky mozne windozove broadcasty, takze klient to tak ako by bol vo vnutornej lan.

Moj rezultat: IPSec na budovanie NET <-> NET VPN; OpenVPN jednoznacne pre roadwarriorov...

Btw neviem ako inde a ako to je teraz, ale na Slovensku napr. cez chello su povolene iba protokoly ICMP, UDP a TCP, takze IPSec no-way... skusal som to dost davno, mozno to je uz inak.

pouzivam uz celkom dlhu dobu ipsec cez chello v bratislave a nikdy som nemal problem

Má někdo zkušenost s provozem Open VPN a FreeSwan zároveň ? Tedy FreeSwan pro tunel mezi pobočkami a Open VPN pro RoadWarrior? FreeSwan je skvělé řešení, ale právě kvůli NAT není vždy vhodné pro RoadWarrior.

Zdravim,

vali to pochopitelne bez problemu. Dokonce uspesne kombinujeme super-freeswan, pptp a openvpn, kde super-freeswan pouzivame vyhradne na linuxu a zbytek jak na linuxove, tak na win platforme.

Zdravim

Taky jsem pred par mesici pouzival OpenVPN. Server v multi klient modu bezel na linuxu, klienti na win 2K/XP. Bez jedinyho problemu.

Akorat jeste musim podotknout ze podpora multi klient serveru je zatim v beta fazi, nicmene me to fungovalo bez potizi. V posledni stable verzi to jeste neni.

Zdenek

Nu, autor by mel poznamenat jednu vec. A to, ze pokud se je klient na windozich, tak je nutne, aby klientska adresa a serverova adresa byla z jedne site s maskou 255.255.255.252, coz neni principielne omezujici, nicmene to vcelku zvysuje "rozsah" ruznych IP adres na serveru a vypis rozhrani pak vypada "nepekne".

Zdravim

To se mi vubec nezda. Pouzival jsem multi-server a mel jsem IP 192.168.1.0/24.

Zdenek

.. shodou okolnosti vyslo prave dnes

http://www.gentoo.org/news/en/gwn/20041011-newsletter.xml#doc_chap7

> aby pakety procházely různými NATy a maškarádam
Já jsem myslel, že NAT a maškaráda je to samé.

maskarada je specialni pripad NATu.

Mezi NATy patri hlavne Destination NAT a Source NAT (priznam se, ze nevim, zda existuji i nejake jine krome kombinace obou :) ). Maskarada je pouze specialni pripad Source NATu....

Na tunelovani pouzivam (prozatim) CIPE a tam jsem si zvykl na jednu moc peknou vlastnost. Novy virtualni interface muze mit stejnou IP jako v systemu jiz exitujici fyzicky adapter. Vypada to treba takto:

eth0
Link encap:Ethernet HWaddr 00:12:34:56:78:90
inet addr:10.1.106.64 Bcast:10.1.106.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

cipcb0
Link encap:IPIP Tunnel HWaddr
inet addr:10.1.106.64 P-t-P:10.1.108.16 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MTU:1442 Metric:1

Prislusna route pak vypada:
10.1.108.0 * 255.255.255.192 U 0 0 0 cipcb0

Jde tohle i s OpenVPN (TUN/TAP)?

Tak to netusim, do dneska mne nenapadlo davat dvoum rozhranim stejnou IP :) K cemu je to dobre?

Je to trochu zvlastni. Jeden by skoro rekl proti filozofii IP protokolu.

Nicmene OpenVPN vychazi z CIPE, takze myslim ze umi vsechno co CIPE + dalsi veci.

Je to dobre k tomu, ze se na tunel/"spojku" mezi dvema sitemi nemusi pouzivat dalsi IP podsit, kdyz uz je to stejne "jen" point-to-point.

No tak to je asi stret filozofii, ja bych radsi pouzil treba nejakou 172.16.xx.yy/30 nez abych daval dvema zarizenim stejnou IP :)

S tim stretem filozofii souhlasim. Taky jsem na to docela ziral, kdyz jsem na to v dokumentaci narazil. Dobre je to videt tady: http://sites.inka.de/bigred/devel/cipe-doc/cipe_5.html#SEC30

Jen ze zvedavosti, pokud by ta "spojka" byl klasicky PPP spoj, jake IP adresy byste pro koncove body PPP pouzil? Oba body by spolecne patrily do jedne ze siti, kazdy bod by patril do sve site (na svem konci) a nebo byste udelal samostatnou sit? :-)

Je nejak mozne nakonfigurovat OpenVPN aby prijmalo VPN spojeni od Windows masin pomoci standartniho windousiho (pptp) VPN ?

Rekl bych, ze tohle pujde asi tezko, OpenVPN pouziva svuj komunikacni protokol (vetsinou pres UDP), kdezto PPTP pouziva ridici TCP spojeni a data pak jdou protokolem GRE, takze to asi bude neslucitelne. Pro PPTP tady mame klasiku, pptpd :)

Mně by docela zajímalo, zda je někde nějaké české dobré howto, jak zprovoznit VPN server na Linuxové mašině se Sambou, aby bylo do té "Windows" sítě možno přistupovat zvenčí přes VPN z klasických Win stanic, čili přes PPTP VPN.

V pripade, ze na klientech muze byt nainstalovano OpenVPN, je reseni velice jednoduche (viz dalsi dil :) )

Díky, asi jsem se blbě vyjádřil. Aby z WinXP stanic běhalo takové VPN, aby nebylo třeba nic doinstalovávat, akorát se vytvořilo Nové připojení ve správě síťových připojení.

Jo, tak na to je právě pptpd. Akorát je nutné překompilovat jádro a následně binárku ppp s patchem MPPE (MS Point-to-Point Encryption) a lze používat na 128 bitů s MS_CHAPv2.

How-to:

1. Na klienta nainstalujes OpenVPN
2. nastavis spojeni podle tohodle clanku
3. zkusis ping, jesli se to spolu bavi
4. overis, jesli tap0 je rozhrani, kde samba ma dovoleno komunikovat (smb.conf)
5. jesli mas nastaven ipsec firewall, povol pruchod pres tap* rozhrani na porty samby

Jak proste

Jak mam docilit, aby pocitace "za" serverem s OPENVPN na interni siti interniho sit. rozhranni "videly" pocitac na Internetu, ktery je pripojen se serverem pres OpenVPN v SAMBE pres druhe(externi) sitove rozhranni ? Vidim jen prazdnou pracovni skupinu. ;o(
Na serveru se pingnu na adresu druheho rozhranni, stejne tak na vzdalenem pocitaci se pingnu na IP adresu serveru nastavenou v OpenVPN, takze tunel je propojen.
Poradite ?

Jestli jsem spravne pochopil dotaz, tak na to se pouziva parametr samby "remote announce", ktery urcuje, kam jeste se maji posilat broadcasty pro "network neighbourhood".... Alespon ja takhle v nasi domene vidim pocitac z hostingoveho centra, ktery je pristupny pres OpenVPN.

Vyzkousim, o tomhle jsem jeste neslysel.Diky.
Nahodou se nikomu tady asi nestava, aby OpenVPN 1.6 zhazoval FreeBSD 5.2 ? "Kernel fault"...az po delsi dobe po zastaveni OpenVPN.
Jinak mam FreeBSD stabilni, ale tohle mne trochu odrazuje....

Onedlho budem nuteny pristupovat do firemnej siete cez VPN/IPsec. Chcel by som, aby som na to mohol pouzivat moj pocitac, na ktorom bezi Debian (Linux kernel 2.6.x). Na serveri (vo firemnej sieti) nebudem moct menit ziadne nastavenie. Na klientskej strane by sa mal pouzivat VPN klient pre Win (tusim nejaky Conectivity VPN, alebo ako sa vola).

Otazka znie: je mozne rozchodit doma VPN, ktore budem moct pri danych podmienkach pouzit, a ak ano ako-na-to, kde ziskat informacie...

Ak by sa mi to podarilo, nebudem nuteny instalovat doma Win, resp. nosit domov firemny notebook.

No, jestli se to jmenuje "Contivity VPN", tak k tomu shanim klienta do linuxu uz delsi dobu, bohuzel asi hledam blbe, takze nemam :-/

Ano "Contivity VPN", takze sme na jednej lodi :-\

Autor doporucuje v clanku nejakou starsi verzi Win klienta. Ja s ni mel naopak problem, narozdil od nejnovejsi bety - tusim 11.
Podotykam, ze jsem mel na XP nainstalovan SP2, takze to mozna hralo nejakou roli...

Ja teda doted pouzivam pro tyto ucely SSLtunnel:
http://www.hsc.fr/ressources/outils/ssltunnel/
coz umi pouze tunel pres SSL a pripadne pres proxy. Konfigurace je celkem jednoducha a nepouziva to tun interface ale ppp. Hlavni nevyhodou je to, ze to existuje pouze na Linux a unixy, ne na Widle.
Takze asi vyzkousim tu OpenVPN. Pokud to umi SSL tunel s pouzitim SSL certifikatu, je to prese to co potrebuju na prochazeni firewallem :)

Ako je to s pouzitim SSL certifikatov. Je to platene? U koho sa da takyto certifikat ziskat? Je vhodna OpenVpn aj pre mikrovlnne spojenie alebo existuje nieco vhodnejsie. Vdaka.

O SSL certifikatech je vsude spousta clanku, v principu je mozne si bud
a) nechat vystavit placene certifikaty
b) udelat vlastni certifikacni autoritu
c) vyrabet self-signed certifikaty...
Doporucuju variantu b) a programy openssl nebo TinyCA

pouzivam ovpn s ssl certifikaty pro pripojeni pres 3 ne moc spolehlive wifi spoje.

konfigurace ssl (tvorba vlastni cert. autority a klicu pro obe stany) i obnovy tunelu po vypadku (pingani, nahazovani spadleho tunelu) je dobre popsana v HOWTO:
http://openvpn.sourceforge.net/howto.html

funguje k plne spokojenosti z linuxu i windows.

Mam takuto situaciu:
Jedna strana:
Skola ma linux server, ktory je pripojeny do sveta cez ADSL, ale nema verejnu IP, iba privatnu IP (10.1.2.1), takze je zrejme, ze je to este providerom NAT-ovane. Ale neviem, kolko takych NAT-ov v ceste od providera do Internetu este je. A nepoznam ani verejnu adresu providera (ale slo by to isto zistit, napr. traceroute.)
Druha strana:
Moj server s Linuxom na WI-FI sieti providera, zase s privatnou adresou (10.1.2.x), ani tu neviem, kolko je este v ceste roznych firewallov a nepoznam verejnu IP adresu.

Potrebujem z mojho linux servera sa spojit na skolsky server a spravovat ho aj z domu.
Ako tu sprevadzkovat VPN? Co musim po provideroch pozadovat? Musi mi provider "otvorit" prislusny port?
(Priznavam, ze s teorii VPN niesom este doma...)
Vdaka.

Je potreba, aby se oba pocitace "videli" alespon na jednom portu (ne nutne stejnem). Nejlepsi by bylo mit nejaky pocitac s verejnou adresou a rychlou linkou, ktery by fungoval jako prostrednik.
Pokud to neni k dispozici, tak je potreba umluvit providery, aby oba pocitace byly pod nejakou kombinaci (a pevne danou) IP a portu zvenku pristupne.

Je nutne, aby oba "konce" meli pevne danou IP adresu a port? Mam podobny problem, ale na jedne strane bych byl schopen zajistit pres portforward, aby jeden stroj mel pevne danou IP a port, ale na druhem konci toto zajistit nemohu, lze to zporovoznit i tak?

Přispívajivší, zkuste aspoň trochu přemešlet, než něco napíšete. Jeden napíše počítače viděli, druhej konce měli, snad jste základku úspěšně dokončili, tak se za to nestyďte.

afaik s nemusi nutne videt na ip (remote parametr u serveru). melo by stacit domenove jmeno a jeho aktualizace pomoci DynDNS nebo podobneho systemu.

neni nezbytne, aby byly oba pocitace viditelne a dostupne pres verejnou IP. Nutne je pouze jeden konec dostupny pres verejnou adresu a port. Adresa muze byt i dynamicky podle DNS. Port muze byt klidne forwardovan na cilovy stroj s naslouchajicim OpenVPN. Pokud oba stroje nemaji verejne dostupny aspon jeden port na nejake IP, tak musis bud nekoho umluvit, nebo ti nekdo musi delat server a ty se tam pripojis pres VPN k nemu a k nemu se pripoji i server ve skole. Proste jeden konec musi jit kontaktovat (logicky), potom neni problem. Pokud je odchozi adresa promenna, tak doporucuju pouzit certifikat, aby se tam nekonektil kde kdo.

Ty dva stroje na sebe nemusí nutně přímo vidět. Pokud jsou všechny NATy po cestě dostatečně "rozumné" a zachovají číslo UDP portu, tak stačí nastavit jako remote stranu veřejnou adresu posledního NATu protistrany a taky dostatečně malý ping, aby v některém NATu nestihnul vypršet timeout. Obě strany vlastně kopou tunel a potkají se někde uprostřed.

Použil jsem GUI 1.0 beta 22 v kombinaci s VPN2.0beta15
Když zadám cestu před .p12 a nezdám cesutu před dh soubor tvrdí že nemůže najít openVPN, dh je zkontrolován v pořádku.
V případě že nezadám, žádné cesty a oba soubory umístím do adresáře, kde je umístěn openvpn proběhne jako by inicializace, ale pak nahlásí, že nemůže nalézt dh soubor.

... ale je to přes třetí stranu, o které nic nevíš :-(

Jako jeden z výborných softwarů na VPN bych doporučil program Hamachi…
.
To snad nemyslíte vážně!

... OMG...

Nejprve bych měl program zhodnotit, ale jelikož je to moje první zkušenost s VPN vůbec, nemohu srovnávat. Celkově však na mě působí srozumitelně a jednoduše, takže první dojem je dobrý.

Ale k mému problému. Potřebuju rouchodit VPN komunikaci mezi notebookem a počítačem tak, aby stačilo, že ten počítač jenom někdo zapne a přihlásí se. To znamená asi nějaký bat soubor do složky "po spuštění". Jak jste již správně uhodli, jde mi o win verzi. Celou věc musím vyřešit zítra (respektive dnes) odpoledne (pondělí 8.1.2007). Kdyby někdo věděl, jak mám soubor napsat, prosím písněte mi sem nebo do mailu pavfoltyn@seznam.cz. Pokud se odpovědi nedočkám a vyřeším to, tak to sem napíšu.

Předem díky za pomoc...

W.A.R.forum forever...

Podle tohoto návodu jsem si nastavil vpn tunel, ale veškerá komunikace stále probíhá mimo tunel. Můžete mi poradit jak provoz přesměrovat do tunelu?