Szerintem nem is azért fikázták, mert nem működik vagy nem elég biztonságos... (azt hiszem Te is panaszkodtál egy remote frissítés során bekövetkezett kulcsprobléma miatt...) de ügye az nem OpenVPN probléma hanem distrib policy vs körültekintő frissítés :-).... melyből az előbbi érthető/elvárható utóbbi pedig bocsánatos ;-) a következmény pedig megbocsájthatatlan.
Szakértők szerint csak az a qrva jó VPN, amit magad fejlesztesz, de legalábbis ha csak API hívásokkal dolgozik. :)
Ha valami utility-t hív (pl. ifconfig), akkor már nemjó, mer az akármilyen is lehet. :)
Ettől még kb 6 éve nekem probléma nélkül megy az OpenVPN, gondolom másnak is.
---------------------------------------------------
Talisker Single Malt Scotch Whisky aged 10 years :)
Attol, h minden adando alkalommal bizonygatod az allitasod, attol meg nem lesz jogos a siralmod. :) En is hasznaltam adott helyeken openvpn-t, de ettol meg nem lesz kevesbe fos a kodbazisa.
Es nem az lett bizonygatva, h az a jo vpn amit magad irsz, hanem az, h openvpn-nel csak jobban lehet csinalni.
Milyen minden adandó alkalomról beszélsz? Asszem nem én hoztam fel, hogy anno ment a flém.
Olyan megaatom szakik vagytok, hogy fikázzátok az OpenVPN-t, de azért itt-ott mégis használtad te is.
Persze, ha az OpenVPN-nél csak jobbat lehet csinálni, akkor rajta.
Most biztos jön a "de én ezer VPN fejlesztésben vettem részt és a mind tutibb volt" szöveg.
(Anno persze nem te mondtad ezt, de abban nagy volt az egyetértés, hogy az OpenVPN egy fos.)
---------------------------------------------------
Talisker Single Malt Scotch Whisky aged 10 years :)
Szerintem csak kommunikációbeli félreértés lehetett...
Az OpenVPN létezik, beállítható, használható, könnyen telepíthető legtöbb disztribúcióból, multiplatformos.... biztonság szintjén pedig elfogadható, azaz "elég" biztonságos, hogy a többség használja kompromisszumokkal...
Többen azt nehezményezték, hogy tervezésileg lehetne jobb is, s mivel biztonsági szoftverről lévén szó elengedhetetlen lenne a kötöttebb, letisztultabb tervezés.
Ez okoz azok számukra egyes esetekben "álmatlan" éjszakát akik tudják, hogy a tervezésből adódó hibák előbb-utóbb előjönnek és kihasználhatóan lesznek. A félelmeik Demoklész kardjaként felettük van... s ezért fos :-), mert szeretnének nyugodtan aludni...
Aki esetleg nem látja át annyira a forráskódját vagy nem tudja a hátrányát ennek a kérdésnek, az nyugodtabban alszik, hiszen amikor kiderül valami bug, s javítják akkor egyszerűen frissít. Persze azok akik tudnak valamit nem akarják "feleslegesen" riogatni a nyugodtan alvókat, mert önmagába, hogy nem "szépen" van tervezve még nem 100% hogy kihasználható, csak nagyobb a valószínűsége... (ami sajnos legtöbbször be szokott igazolódni).
Próbáltam szépen összefoglalni, remélem sikerült :-)
Azért titkon reménykedtem, hogy normális ember módjára is lehet véleményt közölni.
Ezúton köszönöm.
Anno mikor azon ment problémázás, hogy miért külső utilityket/scripteket hivogat az OpenVPN, nem pedig API-kat használ, nem igazán értettem, hogy ez mitől probléma. Ha valaki olyan jogot szerez egy masinán, hogy ezeket a scripteket/utilityket kompromittálja, az nem ezzel fog szarakodni, hanem nyit egy hátsó kaput és azon közlekedik.
Értelmes esetben az OpenVPN szerveren nem szokás olyan infókat hagyni, amiből teljes értékű hozzáférés generálható lenne, innen aztán hajára kenheti, ha valaki átvakarja pl az ifconfig-ot.
De persze jobb félni, mint megijedni. Eddig egyetlen törésről sem tudni, ami az OpenVPN bug miatt vagy annak struktúrája miatt vált volna lehetővé. Ettől persze még holnap lehet ilyen, de eléggé hosszú ideje használják igen sokan ahhoz, hogy lehessen bízni benne. Ezért bátorkodtam anno az OpenVPN védelmére kelni, mert a "fos" kategóriánal igencsak jobb.
A minap az RSA-s tokenID-s védelmet sem maga szoftver layer törésével hágták át, hanem a kulcsmemedzsment logika, plusz alapadatok kerültek ki, amivel már át lehetett járkálni az ilyesfajta védelmen.
Tökéletes biztonság nincs, csak max, ha csipőfogóval elvágják a hálókábelt. :)
---------------------------------------------------
Talisker Single Malt Scotch Whisky aged 10 years :)
"az nem ezzel fog szarakodni, hanem nyit egy hátsó kaput és azon közlekedik"
Szerintem meg pont, de.
Ha pedig így gondolod, nem is fogod észrevenni.
Ugyanis, a behatolás után lényeges az észrevétlenség, ahol ugyan azok a szabályok érvényesek, mint a védelemnél -ahol minél több szolgáltatás fut publikusan annál nagyobb a kockázat-... azaz minél több programot/libet/kernel modult módosítasz annál nagyobb az esélye, hogy kiderül vagy egy frissítés után megborul a rendszer.
Olyan megaatom szakik vagytok, hogy fikázzátok az OpenVPN-t, de azért itt-ott mégis használtad te is.
Mert nem vagyok elvakult fanatikus floss/closedsource hivo. Ha egy adott cel elerese erdekeben (es e mellett nem csak muszaki erveket lehet es kell felsorakoztatni hanem minden mas vonatkozast is) akkor azt az eszkozt fogom hasznalni amelyik celszerubb.
Persze, ha az OpenVPN-nél csak jobbat lehet csinálni, akkor rajta.
Koszonom szepen, megtortent, meg a telefonomon is azt hasznalom. Azt hiszem meglepodnel ha elmeselhetnem, h hol hasznaltak/hasznaljak ma is.
ezek szerint akkor klózd szórszos, amit csináltál :-)...
Ha mást nem.... nem akarsz segíteni az OpenVPN-eseknek (ha hagyják), hogy legyen egy letisztultabb VPN a FOSS-nak :-)
konkrétan ezesetben én azt a szempontot lesem, h. mennyi szívás van egy openvpn belövésével vs. sshd felrakásával... nem ugyan az a téma utóbbit nehéz elbaszarintani.
az sshuttle csak tcp kapcsolatokat redirect-ál (iptables nat/prerouting) egy socket proxy felé.. (szerintem ssh -D -hez)
Be is néztem először, hogy nem megy amikor... mert nem tudtam a "tunnelezett" távoli host-ot "pingelni"...
Amúgy hasznos sokszor, de semmiképp nem nevezném "klasszikus" tunnle vagy VPN megoldásnak...
OpenVPN gyakorlatilag már könnyen összehozható a benne levő scriptekkel, de valóban nem egy apt-get install parancsig menő tudást/tanulást igényel. Ha pedig tudod hogy működik a két kulcsú SSL titkosítás, akkor egyáltalán nem vészes beállítani -legtöbben itt véreznek el, hogy mi az a CA- (bár lehet kevésbé biztonságos shared key megoldást is csinálni vele.).
Amúgy ha még nem tudod a két kulcsú titkosítás hogyanját, akkor az a tudás sosem lesz károdra, ha OpenVPN megvalósítás közben tanulod meg.
Kicsit mas a use-case. Olvasd el az sshuttle readme-jet, ha ez tenyleg ugy mukodik, ahogy ott le van irva (meg nem probaltam ki), akkor hianytpotlo.
Aki meg az OpenVPN-t fikazza, az hasznaljon IPSec-et. Lehetoleg Windows legyen az egyik fel es Linux a masik (level 2: az egyik fel legyen valami commercial unix, mondjuk AIX, level 3: legyen Cisco-s cucc). Akkor majd megtanulja, hogy mit jelent az hogy "nehezen konfiguralhato". :P
--- Internet Memetikai Tanszék
Azért egy SShutle vs oVPN tesztet megnéznék.
Másrészt egy egy road warrior megoldás (ha jól értelmeztem).
Harmadrészt, a zuhanó piaci penetrációval bíró kliensek nem igazán fogják/tudják használni.
Hozzászólások
nekem tetszik sokszor hasznos, de szolgáltatást én nem tennék rá, ha ez a kérdés... inkább OpenVPN...
Az OpenVPN-t eléggé fikázták itt nemrég, most akkor jó, vagy nem? Nem feltétlenül a fenti kommentelőt kérdem.
Ha itt fikázták, csak jó lehet.
De legalábbis worksforme.
--
http://csuhai.hu
http://sys-admin.hu
Szerintem nem is azért fikázták, mert nem működik vagy nem elég biztonságos... (azt hiszem Te is panaszkodtál egy remote frissítés során bekövetkezett kulcsprobléma miatt...) de ügye az nem OpenVPN probléma hanem distrib policy vs körültekintő frissítés :-).... melyből az előbbi érthető/elvárható utóbbi pedig bocsánatos ;-) a következmény pedig megbocsájthatatlan.
A debian ssl kavarást azért ne fogjuk már rá az openvpnre, ha lehetne kérni...
--
http://csuhai.hu
http://sys-admin.hu
Jaja ... ment a savazás rendesen ...
Szakértők szerint csak az a qrva jó VPN, amit magad fejlesztesz, de legalábbis ha csak API hívásokkal dolgozik. :)
Ha valami utility-t hív (pl. ifconfig), akkor már nemjó, mer az akármilyen is lehet. :)
Lásd:
http://hup.hu/node/86973
Ettől még kb 6 éve nekem probléma nélkül megy az OpenVPN, gondolom másnak is.
---------------------------------------------------
Talisker Single Malt Scotch Whisky aged 10 years :)
Attol, h minden adando alkalommal bizonygatod az allitasod, attol meg nem lesz jogos a siralmod. :) En is hasznaltam adott helyeken openvpn-t, de ettol meg nem lesz kevesbe fos a kodbazisa.
Es nem az lett bizonygatva, h az a jo vpn amit magad irsz, hanem az, h openvpn-nel csak jobban lehet csinalni.
---
pontscho / fresh!mindworkz
Milyen minden adandó alkalomról beszélsz? Asszem nem én hoztam fel, hogy anno ment a flém.
Olyan megaatom szakik vagytok, hogy fikázzátok az OpenVPN-t, de azért itt-ott mégis használtad te is.
Persze, ha az OpenVPN-nél csak jobbat lehet csinálni, akkor rajta.
Most biztos jön a "de én ezer VPN fejlesztésben vettem részt és a mind tutibb volt" szöveg.
(Anno persze nem te mondtad ezt, de abban nagy volt az egyetértés, hogy az OpenVPN egy fos.)
---------------------------------------------------
Talisker Single Malt Scotch Whisky aged 10 years :)
Szerintem csak kommunikációbeli félreértés lehetett...
Az OpenVPN létezik, beállítható, használható, könnyen telepíthető legtöbb disztribúcióból, multiplatformos.... biztonság szintjén pedig elfogadható, azaz "elég" biztonságos, hogy a többség használja kompromisszumokkal...
Többen azt nehezményezték, hogy tervezésileg lehetne jobb is, s mivel biztonsági szoftverről lévén szó elengedhetetlen lenne a kötöttebb, letisztultabb tervezés.
Ez okoz azok számukra egyes esetekben "álmatlan" éjszakát akik tudják, hogy a tervezésből adódó hibák előbb-utóbb előjönnek és kihasználhatóan lesznek. A félelmeik Demoklész kardjaként felettük van... s ezért fos :-), mert szeretnének nyugodtan aludni...
Aki esetleg nem látja át annyira a forráskódját vagy nem tudja a hátrányát ennek a kérdésnek, az nyugodtabban alszik, hiszen amikor kiderül valami bug, s javítják akkor egyszerűen frissít. Persze azok akik tudnak valamit nem akarják "feleslegesen" riogatni a nyugodtan alvókat, mert önmagába, hogy nem "szépen" van tervezve még nem 100% hogy kihasználható, csak nagyobb a valószínűsége... (ami sajnos legtöbbször be szokott igazolódni).
Próbáltam szépen összefoglalni, remélem sikerült :-)
Azért titkon reménykedtem, hogy normális ember módjára is lehet véleményt közölni.
Ezúton köszönöm.
Anno mikor azon ment problémázás, hogy miért külső utilityket/scripteket hivogat az OpenVPN, nem pedig API-kat használ, nem igazán értettem, hogy ez mitől probléma. Ha valaki olyan jogot szerez egy masinán, hogy ezeket a scripteket/utilityket kompromittálja, az nem ezzel fog szarakodni, hanem nyit egy hátsó kaput és azon közlekedik.
Értelmes esetben az OpenVPN szerveren nem szokás olyan infókat hagyni, amiből teljes értékű hozzáférés generálható lenne, innen aztán hajára kenheti, ha valaki átvakarja pl az ifconfig-ot.
De persze jobb félni, mint megijedni. Eddig egyetlen törésről sem tudni, ami az OpenVPN bug miatt vagy annak struktúrája miatt vált volna lehetővé. Ettől persze még holnap lehet ilyen, de eléggé hosszú ideje használják igen sokan ahhoz, hogy lehessen bízni benne. Ezért bátorkodtam anno az OpenVPN védelmére kelni, mert a "fos" kategóriánal igencsak jobb.
A minap az RSA-s tokenID-s védelmet sem maga szoftver layer törésével hágták át, hanem a kulcsmemedzsment logika, plusz alapadatok kerültek ki, amivel már át lehetett járkálni az ilyesfajta védelmen.
Tökéletes biztonság nincs, csak max, ha csipőfogóval elvágják a hálókábelt. :)
---------------------------------------------------
Talisker Single Malt Scotch Whisky aged 10 years :)
"az nem ezzel fog szarakodni, hanem nyit egy hátsó kaput és azon közlekedik"
Szerintem meg pont, de.
Ha pedig így gondolod, nem is fogod észrevenni.
Ugyanis, a behatolás után lényeges az észrevétlenség, ahol ugyan azok a szabályok érvényesek, mint a védelemnél -ahol minél több szolgáltatás fut publikusan annál nagyobb a kockázat-... azaz minél több programot/libet/kernel modult módosítasz annál nagyobb az esélye, hogy kiderül vagy egy frissítés után megborul a rendszer.
Koszonom szepen, jobbara tokeletesen leirtad, h miert latja rosszul a kollega a "tool kerdest".
---
pontscho / fresh!mindworkz
Olyan megaatom szakik vagytok, hogy fikázzátok az OpenVPN-t, de azért itt-ott mégis használtad te is.
Mert nem vagyok elvakult fanatikus floss/closedsource hivo. Ha egy adott cel elerese erdekeben (es e mellett nem csak muszaki erveket lehet es kell felsorakoztatni hanem minden mas vonatkozast is) akkor azt az eszkozt fogom hasznalni amelyik celszerubb.
Persze, ha az OpenVPN-nél csak jobbat lehet csinálni, akkor rajta.
Koszonom szepen, megtortent, meg a telefonomon is azt hasznalom. Azt hiszem meglepodnel ha elmeselhetnem, h hol hasznaltak/hasznaljak ma is.
---
pontscho / fresh!mindworkz
Forráskód honnan szedhető le? Centosra van csomag? Fedorára? Mindenféle Windowsokra kliens létezik?
Csak mert én meg tegnap hegesztettem itthon a pajtában egy versenyautót ami kenterbe veri a ferrarit, de persze nem mutatom meg senkinek ám....
--
http://csuhai.hu
http://sys-admin.hu
Innen:
---
pontscho / fresh!mindworkz
Jajjjj....
Amúgy az én ferrarim meg innen:
[csuhi@csuhi ferrari]$ pwd
/home/csuhi/pajta/ferrari
[csuhi@csuhi ferrari]$ ls -lai
összesen 8
14024734 drwxrwxr-x. 2 csuhi csuhi 4096 jún 8 19.07 .
14024733 drwxrwxr-x. 3 csuhi csuhi 4096 jún 8 19.05 ..
14024745 -rw-rw-r--. 1 csuhi csuhi 1234 jún 8 19.07 futomu.c
14024744 -rw-rw-r--. 1 csuhi csuhi 5678 jún 8 19.07 futomu.h
14024741 -rw-rw-r--. 1 csuhi csuhi 91011 jún 8 19.06 karosszeria.c
14024740 -rw-rw-r--. 1 csuhi csuhi 121314 jún 8 19.06 karosszeria.h
14024737 -rw-rw-r--. 1 csuhi csuhi 84567 jún 8 19.06 kerek.c
14024736 -rw-rw-r--. 1 csuhi csuhi 13124 jún 8 19.06 kerek.h
14024746 -rw-rw-r--. 1 csuhi csuhi 3426 jún 8 19.07 komany.c
14024747 -rw-rw-r--. 1 csuhi csuhi 12312 jún 8 19.07 komany.h
14024735 -rw-rw-r--. 1 csuhi csuhi 6579 jún 8 19.05 Makefile
14024739 -rw-rw-r--. 1 csuhi csuhi 43125 jún 8 19.06 motor.c
14024738 -rw-rw-r--. 1 csuhi csuhi 12412 jún 8 19.06 motor.h
14024743 -rw-rw-r--. 1 csuhi csuhi 1204 jún 8 19.06 valto.c
14024742 -rw-rw-r--. 1 csuhi csuhi 1234 jún 8 19.06 valto.h
--
http://csuhai.hu
http://sys-admin.hu
Ha csak ilyen bovlira futotta nem csodalkozom a szkepticizmusodon.
---
pontscho / fresh!mindworkz
Most elmegyek kajálni, és iszok egy kis száraz furmintot, addig dobj már légyszi még pár hozzászólást, mert kegyetlen jól szórakozom rajta(d)....
--
http://csuhai.hu
http://sys-admin.hu
Az erzes kolcsonos. :)
Hasonlo elkepzeleseim voltak csak epp tokajival.
---
pontscho / fresh!mindworkz
off
Egészségedre!
Ez is az, vagyis konkrétan bodrogkeresztúri (Gönczy pince).
/off
--
http://csuhai.hu
http://sys-admin.hu
Sarospataki Megyer pinceszet, valamiert ujabban bejon. Cheers.
---
pontscho / fresh!mindworkz
Ez a kód az, amin egy picit együtt dolgoztunk N.V.-sal? ***-ng! :-)
Attila, Perger
-----------------------------------------------------
"Az a szoftver, amelyiket nem fejlesztik, az halott!"
Nem, egy fel bitnyi kozuk sincs egymashoz. Ez kicsit mas elvek menten es mas elkepzelesek alapjan lett megirva teljesen a nullarol ganyolas nelkul.
---
pontscho / fresh!mindworkz
ezek szerint akkor klózd szórszos, amit csináltál :-)...
Ha mást nem.... nem akarsz segíteni az OpenVPN-eseknek (ha hagyják), hogy legyen egy letisztultabb VPN a FOSS-nak :-)
konkrétan ezesetben én azt a szempontot lesem, h. mennyi szívás van egy openvpn belövésével vs. sshd felrakásával... nem ugyan az a téma utóbbit nehéz elbaszarintani.
az sshuttle csak tcp kapcsolatokat redirect-ál (iptables nat/prerouting) egy socket proxy felé.. (szerintem ssh -D -hez)
Be is néztem először, hogy nem megy amikor... mert nem tudtam a "tunnelezett" távoli host-ot "pingelni"...
Amúgy hasznos sokszor, de semmiképp nem nevezném "klasszikus" tunnle vagy VPN megoldásnak...
OpenVPN gyakorlatilag már könnyen összehozható a benne levő scriptekkel, de valóban nem egy apt-get install parancsig menő tudást/tanulást igényel. Ha pedig tudod hogy működik a két kulcsú SSL titkosítás, akkor egyáltalán nem vészes beállítani -legtöbben itt véreznek el, hogy mi az a CA- (bár lehet kevésbé biztonságos shared key megoldást is csinálni vele.).
Amúgy ha még nem tudod a két kulcsú titkosítás hogyanját, akkor az a tudás sosem lesz károdra, ha OpenVPN megvalósítás közben tanulod meg.
--dns
error: option --dns not recognized
sshuttle 0.43a-1
Kicsit mas a use-case. Olvasd el az sshuttle readme-jet, ha ez tenyleg ugy mukodik, ahogy ott le van irva (meg nem probaltam ki), akkor hianytpotlo.
Aki meg az OpenVPN-t fikazza, az hasznaljon IPSec-et. Lehetoleg Windows legyen az egyik fel es Linux a masik (level 2: az egyik fel legyen valami commercial unix, mondjuk AIX, level 3: legyen Cisco-s cucc). Akkor majd megtanulja, hogy mit jelent az hogy "nehezen konfiguralhato". :P
---
Internet Memetikai Tanszék
:)
lvl1 & lvl3 megvolt. Emlekezetes, nekem legalabbis.
subscribe
színes aláírás
Azért egy SShutle vs oVPN tesztet megnéznék.
Másrészt egy egy road warrior megoldás (ha jól értelmeztem).
Harmadrészt, a zuhanó piaci penetrációval bíró kliensek nem igazán fogják/tudják használni.
.py -> innen kezdve felejtős.
----------------
Lvl86 Troll
subscribe
* Én egy indián vagyok. Minden indián hazudik.
Az Openssh a 4.3-as verzió óta tud tun alapú tunnelezést. Semmi más nem kell hozzá.
http://www.undeadly.org/cgi?action=article&sid=20090903183235
http://www.debian-administration.org/articles/539
https://help.ubuntu.com/community/SSH_VPN
jaja, nekem a chroot tetszett, hogy most már tudja Ootb, s nem kell scponlyc.
+1
színes aláírás
Igen, ez egy szuper jo dolog. Egy nagy baj van vele: TCP over TCP :(
Nos ez így van, de ez a (teljesítmény,dos) kérdés nem merült fel eddig.... :)