Hozzászólások
nekem tetszik sokszor hasznos, de szolgáltatást én nem tennék rá, ha ez a kérdés... inkább OpenVPN...
- A hozzászóláshoz be kell jelentkezni
Az OpenVPN-t eléggé fikázták itt nemrég, most akkor jó, vagy nem? Nem feltétlenül a fenti kommentelőt kérdem.
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni
Szerintem nem is azért fikázták, mert nem működik vagy nem elég biztonságos... (azt hiszem Te is panaszkodtál egy remote frissítés során bekövetkezett kulcsprobléma miatt...) de ügye az nem OpenVPN probléma hanem distrib policy vs körültekintő frissítés :-).... melyből az előbbi érthető/elvárható utóbbi pedig bocsánatos ;-) a következmény pedig megbocsájthatatlan.
- A hozzászóláshoz be kell jelentkezni
A debian ssl kavarást azért ne fogjuk már rá az openvpnre, ha lehetne kérni...
- A hozzászóláshoz be kell jelentkezni
Jaja ... ment a savazás rendesen ...
Szakértők szerint csak az a qrva jó VPN, amit magad fejlesztesz, de legalábbis ha csak API hívásokkal dolgozik. :)
Ha valami utility-t hív (pl. ifconfig), akkor már nemjó, mer az akármilyen is lehet. :)
Lásd:
http://hup.hu/node/86973
Ettől még kb 6 éve nekem probléma nélkül megy az OpenVPN, gondolom másnak is.
---------------------------------------------------
Talisker Single Malt Scotch Whisky aged 10 years :)
- A hozzászóláshoz be kell jelentkezni
Attol, h minden adando alkalommal bizonygatod az allitasod, attol meg nem lesz jogos a siralmod. :) En is hasznaltam adott helyeken openvpn-t, de ettol meg nem lesz kevesbe fos a kodbazisa.
Es nem az lett bizonygatva, h az a jo vpn amit magad irsz, hanem az, h openvpn-nel csak jobban lehet csinalni.
---
pontscho / fresh!mindworkz
- A hozzászóláshoz be kell jelentkezni
Milyen minden adandó alkalomról beszélsz? Asszem nem én hoztam fel, hogy anno ment a flém.
Olyan megaatom szakik vagytok, hogy fikázzátok az OpenVPN-t, de azért itt-ott mégis használtad te is.
Persze, ha az OpenVPN-nél csak jobbat lehet csinálni, akkor rajta.
Most biztos jön a "de én ezer VPN fejlesztésben vettem részt és a mind tutibb volt" szöveg.
(Anno persze nem te mondtad ezt, de abban nagy volt az egyetértés, hogy az OpenVPN egy fos.)
---------------------------------------------------
Talisker Single Malt Scotch Whisky aged 10 years :)
- A hozzászóláshoz be kell jelentkezni
Szerintem csak kommunikációbeli félreértés lehetett...
Az OpenVPN létezik, beállítható, használható, könnyen telepíthető legtöbb disztribúcióból, multiplatformos.... biztonság szintjén pedig elfogadható, azaz "elég" biztonságos, hogy a többség használja kompromisszumokkal...
Többen azt nehezményezték, hogy tervezésileg lehetne jobb is, s mivel biztonsági szoftverről lévén szó elengedhetetlen lenne a kötöttebb, letisztultabb tervezés.
Ez okoz azok számukra egyes esetekben "álmatlan" éjszakát akik tudják, hogy a tervezésből adódó hibák előbb-utóbb előjönnek és kihasználhatóan lesznek. A félelmeik Demoklész kardjaként felettük van... s ezért fos :-), mert szeretnének nyugodtan aludni...
Aki esetleg nem látja át annyira a forráskódját vagy nem tudja a hátrányát ennek a kérdésnek, az nyugodtabban alszik, hiszen amikor kiderül valami bug, s javítják akkor egyszerűen frissít. Persze azok akik tudnak valamit nem akarják "feleslegesen" riogatni a nyugodtan alvókat, mert önmagába, hogy nem "szépen" van tervezve még nem 100% hogy kihasználható, csak nagyobb a valószínűsége... (ami sajnos legtöbbször be szokott igazolódni).
Próbáltam szépen összefoglalni, remélem sikerült :-)
- A hozzászóláshoz be kell jelentkezni
Azért titkon reménykedtem, hogy normális ember módjára is lehet véleményt közölni.
Ezúton köszönöm.
Anno mikor azon ment problémázás, hogy miért külső utilityket/scripteket hivogat az OpenVPN, nem pedig API-kat használ, nem igazán értettem, hogy ez mitől probléma. Ha valaki olyan jogot szerez egy masinán, hogy ezeket a scripteket/utilityket kompromittálja, az nem ezzel fog szarakodni, hanem nyit egy hátsó kaput és azon közlekedik.
Értelmes esetben az OpenVPN szerveren nem szokás olyan infókat hagyni, amiből teljes értékű hozzáférés generálható lenne, innen aztán hajára kenheti, ha valaki átvakarja pl az ifconfig-ot.
De persze jobb félni, mint megijedni. Eddig egyetlen törésről sem tudni, ami az OpenVPN bug miatt vagy annak struktúrája miatt vált volna lehetővé. Ettől persze még holnap lehet ilyen, de eléggé hosszú ideje használják igen sokan ahhoz, hogy lehessen bízni benne. Ezért bátorkodtam anno az OpenVPN védelmére kelni, mert a "fos" kategóriánal igencsak jobb.
A minap az RSA-s tokenID-s védelmet sem maga szoftver layer törésével hágták át, hanem a kulcsmemedzsment logika, plusz alapadatok kerültek ki, amivel már át lehetett járkálni az ilyesfajta védelmen.
Tökéletes biztonság nincs, csak max, ha csipőfogóval elvágják a hálókábelt. :)
---------------------------------------------------
Talisker Single Malt Scotch Whisky aged 10 years :)
- A hozzászóláshoz be kell jelentkezni
"az nem ezzel fog szarakodni, hanem nyit egy hátsó kaput és azon közlekedik"
Szerintem meg pont, de.
Ha pedig így gondolod, nem is fogod észrevenni.
Ugyanis, a behatolás után lényeges az észrevétlenség, ahol ugyan azok a szabályok érvényesek, mint a védelemnél -ahol minél több szolgáltatás fut publikusan annál nagyobb a kockázat-... azaz minél több programot/libet/kernel modult módosítasz annál nagyobb az esélye, hogy kiderül vagy egy frissítés után megborul a rendszer.
- A hozzászóláshoz be kell jelentkezni
Koszonom szepen, jobbara tokeletesen leirtad, h miert latja rosszul a kollega a "tool kerdest".
---
pontscho / fresh!mindworkz
- A hozzászóláshoz be kell jelentkezni
Olyan megaatom szakik vagytok, hogy fikázzátok az OpenVPN-t, de azért itt-ott mégis használtad te is.
Mert nem vagyok elvakult fanatikus floss/closedsource hivo. Ha egy adott cel elerese erdekeben (es e mellett nem csak muszaki erveket lehet es kell felsorakoztatni hanem minden mas vonatkozast is) akkor azt az eszkozt fogom hasznalni amelyik celszerubb.
Persze, ha az OpenVPN-nél csak jobbat lehet csinálni, akkor rajta.
Koszonom szepen, megtortent, meg a telefonomon is azt hasznalom. Azt hiszem meglepodnel ha elmeselhetnem, h hol hasznaltak/hasznaljak ma is.
---
pontscho / fresh!mindworkz
- A hozzászóláshoz be kell jelentkezni
Forráskód honnan szedhető le? Centosra van csomag? Fedorára? Mindenféle Windowsokra kliens létezik?
Csak mert én meg tegnap hegesztettem itthon a pajtában egy versenyautót ami kenterbe veri a ferrarit, de persze nem mutatom meg senkinek ám....
- A hozzászóláshoz be kell jelentkezni
Innen:
aeryn:cs pontscho$ cd ~/Code/src/tools/branches/pontscho/cs/
aeryn:cs pontscho$ ls -l
total 680
-rw-r--r-- 1 pontscho staff 2667 Sep 5 2010 Makefile
-rw-r--r-- 1 pontscho staff 797 Jun 3 2010 ToDo
drwxr-xr-x 5 pontscho staff 170 Feb 19 18:14 acl
-rw-r--r-- 1 pontscho staff 10110 Feb 19 17:47 acl.c
-rw-r--r-- 1 pontscho staff 2101 May 10 2010 acl.h
-rw-r--r-- 1 pontscho staff 2210 Jun 3 2010 bio.c
-rw-r--r-- 1 pontscho staff 246 Jan 19 2010 bio.h
-rw-r--r-- 1 pontscho staff 730 Mar 7 19:58 certconv.sh
drwxr-xr-x 10 pontscho staff 340 Jul 20 2010 certs
-rw-r--r-- 1 pontscho staff 470 Jun 3 2010 client.conf
-rw-r--r-- 1 pontscho staff 10318 Dec 3 2010 config.c
-rw-r--r-- 1 pontscho staff 3560 Sep 28 2010 config.h
-rwxr-xr-x 1 pontscho staff 337 Aug 28 2010 createVersion.sh
-rw-r--r-- 1 pontscho staff 6709 Jun 3 2010 crl.c
-rw-r--r-- 1 pontscho staff 1256 Apr 29 2010 crl.h
-rw-r--r-- 1 pontscho staff 4541 May 10 2010 hook.c
-rw-r--r-- 1 pontscho staff 1132 Feb 16 2010 hook.h
drwxr-xr-x 4 pontscho staff 136 Jan 18 2010 osdep
-rw-r--r-- 1 pontscho staff 11791 Mar 7 20:02 proto.c
-rw-r--r-- 1 pontscho staff 5953 Mar 7 19:58 proto.h
-rw-r--r-- 1 pontscho staff 2163 Feb 19 18:14 root-server.conf
-rw-r--r-- 1 pontscho staff 8347 Feb 19 18:29 routing.c
-rw-r--r-- 1 pontscho staff 4121 Jun 16 2010 routing.h
-rw-r--r-- 1 pontscho staff 4550 Dec 3 2010 s-bonding.c
-rw-r--r-- 1 pontscho staff 322 May 10 2010 s-bonding.h
-rw-r--r-- 1 pontscho staff 8210 Mar 7 20:03 s-cfgsrv.c
-rw-r--r-- 1 pontscho staff 1196 May 10 2010 s-cfgsrv.h
-rw-r--r-- 1 pontscho staff 7112 Mar 7 19:58 s-pf.c
-rw-r--r-- 1 pontscho staff 277 May 10 2010 s-pf.h
-rw-r--r-- 1 pontscho staff 2920 Sep 6 2010 s-redir.c
-rw-r--r-- 1 pontscho staff 312 Jan 20 2010 s-redir.h
-rw-r--r-- 1 pontscho staff 6047 Dec 3 2010 s-tap.c
-rw-r--r-- 1 pontscho staff 286 May 10 2010 s-tap.h
-rw-r--r-- 1 pontscho staff 6822 Dec 3 2010 s-tun.c
-rw-r--r-- 1 pontscho staff 286 May 10 2010 s-tun.h
-rw-r--r-- 1 pontscho staff 341 May 6 2010 server.conf
-rw-r--r-- 1 pontscho staff 7976 Feb 6 18:59 ssl_ctx.c
-rw-r--r-- 1 pontscho staff 2370 Feb 17 2010 ssl_ctx.h
-rw-r--r-- 1 pontscho staff 732 Feb 19 15:59 stat.c
-rw-r--r-- 1 pontscho staff 290 Feb 19 15:59 stat.h
-rw-r--r-- 1 pontscho staff 903 Aug 10 2010 sys.c
-rw-r--r-- 1 pontscho staff 330 Aug 10 2010 sys.h
-rw-r--r-- 1 pontscho staff 2737 Jul 5 2010 test-client.c
-rw-r--r-- 1 pontscho staff 3239 Jul 20 2010 test-server.c
-rw-r--r-- 1 pontscho staff 11034 Mar 7 19:58 tunnel.c
-rw-r--r-- 1 pontscho staff 3267 Dec 3 2010 tunnel.h
-rw-r--r-- 1 pontscho staff 635 Dec 3 2010 ui.h
-rw-r--r-- 1 pontscho staff 174 Mar 7 20:13 version.h
-rw-r--r-- 1 pontscho staff 4 Mar 7 20:13 version.p
-rw-r--r-- 1 pontscho staff 6268 Jan 1 15:42 watchdog.c
-rw-r--r-- 1 pontscho staff 736 Jul 4 2010 watchdog.h
aeryn:cs pontscho$
---
pontscho / fresh!mindworkz
- A hozzászóláshoz be kell jelentkezni
Jajjjj....
Amúgy az én ferrarim meg innen:
[csuhi@csuhi ferrari]$ pwd
/home/csuhi/pajta/ferrari
[csuhi@csuhi ferrari]$ ls -lai
összesen 8
14024734 drwxrwxr-x. 2 csuhi csuhi 4096 jún 8 19.07 .
14024733 drwxrwxr-x. 3 csuhi csuhi 4096 jún 8 19.05 ..
14024745 -rw-rw-r--. 1 csuhi csuhi 1234 jún 8 19.07 futomu.c
14024744 -rw-rw-r--. 1 csuhi csuhi 5678 jún 8 19.07 futomu.h
14024741 -rw-rw-r--. 1 csuhi csuhi 91011 jún 8 19.06 karosszeria.c
14024740 -rw-rw-r--. 1 csuhi csuhi 121314 jún 8 19.06 karosszeria.h
14024737 -rw-rw-r--. 1 csuhi csuhi 84567 jún 8 19.06 kerek.c
14024736 -rw-rw-r--. 1 csuhi csuhi 13124 jún 8 19.06 kerek.h
14024746 -rw-rw-r--. 1 csuhi csuhi 3426 jún 8 19.07 komany.c
14024747 -rw-rw-r--. 1 csuhi csuhi 12312 jún 8 19.07 komany.h
14024735 -rw-rw-r--. 1 csuhi csuhi 6579 jún 8 19.05 Makefile
14024739 -rw-rw-r--. 1 csuhi csuhi 43125 jún 8 19.06 motor.c
14024738 -rw-rw-r--. 1 csuhi csuhi 12412 jún 8 19.06 motor.h
14024743 -rw-rw-r--. 1 csuhi csuhi 1204 jún 8 19.06 valto.c
14024742 -rw-rw-r--. 1 csuhi csuhi 1234 jún 8 19.06 valto.h
- A hozzászóláshoz be kell jelentkezni
Ha csak ilyen bovlira futotta nem csodalkozom a szkepticizmusodon.
---
pontscho / fresh!mindworkz
- A hozzászóláshoz be kell jelentkezni
Most elmegyek kajálni, és iszok egy kis száraz furmintot, addig dobj már légyszi még pár hozzászólást, mert kegyetlen jól szórakozom rajta(d)....
- A hozzászóláshoz be kell jelentkezni
Az erzes kolcsonos. :)
Hasonlo elkepzeleseim voltak csak epp tokajival.
---
pontscho / fresh!mindworkz
- A hozzászóláshoz be kell jelentkezni
off
Egészségedre!
Ez is az, vagyis konkrétan bodrogkeresztúri (Gönczy pince).
/off
- A hozzászóláshoz be kell jelentkezni
Sarospataki Megyer pinceszet, valamiert ujabban bejon. Cheers.
---
pontscho / fresh!mindworkz
- A hozzászóláshoz be kell jelentkezni
Ez a kód az, amin egy picit együtt dolgoztunk N.V.-sal? ***-ng! :-)
Attila, Perger
-----------------------------------------------------
"Az a szoftver, amelyiket nem fejlesztik, az halott!"
- A hozzászóláshoz be kell jelentkezni
Nem, egy fel bitnyi kozuk sincs egymashoz. Ez kicsit mas elvek menten es mas elkepzelesek alapjan lett megirva teljesen a nullarol ganyolas nelkul.
---
pontscho / fresh!mindworkz
- A hozzászóláshoz be kell jelentkezni
ezek szerint akkor klózd szórszos, amit csináltál :-)...
Ha mást nem.... nem akarsz segíteni az OpenVPN-eseknek (ha hagyják), hogy legyen egy letisztultabb VPN a FOSS-nak :-)
- A hozzászóláshoz be kell jelentkezni
konkrétan ezesetben én azt a szempontot lesem, h. mennyi szívás van egy openvpn belövésével vs. sshd felrakásával... nem ugyan az a téma utóbbit nehéz elbaszarintani.
- A hozzászóláshoz be kell jelentkezni
az sshuttle csak tcp kapcsolatokat redirect-ál (iptables nat/prerouting) egy socket proxy felé.. (szerintem ssh -D -hez)
Be is néztem először, hogy nem megy amikor... mert nem tudtam a "tunnelezett" távoli host-ot "pingelni"...
Amúgy hasznos sokszor, de semmiképp nem nevezném "klasszikus" tunnle vagy VPN megoldásnak...
OpenVPN gyakorlatilag már könnyen összehozható a benne levő scriptekkel, de valóban nem egy apt-get install parancsig menő tudást/tanulást igényel. Ha pedig tudod hogy működik a két kulcsú SSL titkosítás, akkor egyáltalán nem vészes beállítani -legtöbben itt véreznek el, hogy mi az a CA- (bár lehet kevésbé biztonságos shared key megoldást is csinálni vele.).
Amúgy ha még nem tudod a két kulcsú titkosítás hogyanját, akkor az a tudás sosem lesz károdra, ha OpenVPN megvalósítás közben tanulod meg.
- A hozzászóláshoz be kell jelentkezni
--dns
- A hozzászóláshoz be kell jelentkezni
error: option --dns not recognized
sshuttle 0.43a-1
- A hozzászóláshoz be kell jelentkezni
Kicsit mas a use-case. Olvasd el az sshuttle readme-jet, ha ez tenyleg ugy mukodik, ahogy ott le van irva (meg nem probaltam ki), akkor hianytpotlo.
Aki meg az OpenVPN-t fikazza, az hasznaljon IPSec-et. Lehetoleg Windows legyen az egyik fel es Linux a masik (level 2: az egyik fel legyen valami commercial unix, mondjuk AIX, level 3: legyen Cisco-s cucc). Akkor majd megtanulja, hogy mit jelent az hogy "nehezen konfiguralhato". :P
---
Internet Memetikai Tanszék
- A hozzászóláshoz be kell jelentkezni
:)
- A hozzászóláshoz be kell jelentkezni
lvl1 & lvl3 megvolt. Emlekezetes, nekem legalabbis.
- A hozzászóláshoz be kell jelentkezni
subscribe
színes aláírás
- A hozzászóláshoz be kell jelentkezni
Azért egy SShutle vs oVPN tesztet megnéznék.
Másrészt egy egy road warrior megoldás (ha jól értelmeztem).
Harmadrészt, a zuhanó piaci penetrációval bíró kliensek nem igazán fogják/tudják használni.
- A hozzászóláshoz be kell jelentkezni
.py -> innen kezdve felejtős.
----------------
Lvl86 Troll
- A hozzászóláshoz be kell jelentkezni
subscribe
* Én egy indián vagyok. Minden indián hazudik.
- A hozzászóláshoz be kell jelentkezni
Az Openssh a 4.3-as verzió óta tud tun alapú tunnelezést. Semmi más nem kell hozzá.
http://www.undeadly.org/cgi?action=article&sid=20090903183235
http://www.debian-administration.org/articles/539
https://help.ubuntu.com/community/SSH_VPN
- A hozzászóláshoz be kell jelentkezni
jaja, nekem a chroot tetszett, hogy most már tudja Ootb, s nem kell scponlyc.
- A hozzászóláshoz be kell jelentkezni
+1
színes aláírás
- A hozzászóláshoz be kell jelentkezni
Igen, ez egy szuper jo dolog. Egy nagy baj van vele: TCP over TCP :(
- A hozzászóláshoz be kell jelentkezni
Nos ez így van, de ez a (teljesítmény,dos) kérdés nem merült fel eddig.... :)
- A hozzászóláshoz be kell jelentkezni