OpenVpn

Microsoft Windows

Sziasztok!

Ma betalált a vezetőség egy olyan kéréssel, hogy adott egy Windows 2008 r2 enterprise server és ncomputing(l300) vékonykliensek. A windows serverre feltelepítettem az ncomputing server programját így azok tökéletesen el is érik és be is tudnak lépni a nekik szánt felhasználókkal.
A probléma itt kezdődik, hogy a vezetőség azt akarja hogy legyen openvpn rajta és ezt a dolgozók tudják használni. Itt jön a csavar.
Mivel a serverre csatlakoznak a kliensek így a serveren kell menni az openvpn-nek is. Viszont az openvpn-t úgy kellene használni hogy egyszerre akár több helyre is lehessen csatlakozni.

Ez megoldható???

  • 4635 megtekintés

Kell valamit a configba írni? Mert tegnap próbáltam nem engedett fel egyszerre 2 helyre.
Az jelenthet problémát, hogy akik telepítették az openvpn servert mindenhová a 10.8.40.1-es ip-t adták meg? Gondolom, ha 2 helyre vagyok csatlakozva, vagy akár több és mindenhol a 10.8.40.1 a server ip címe, a kliens nem fogja tudni eldönteni, hogy hová kell éppen gipsz jakab forgalmát irányítania.

Nincs most időm végigolvasni a fórumot..., mások válaszát, de:
-semmi extra beállítás, csak több, egyesével is működő config file.
-nyilván külön alhálózatok kellenek configfile-onként, azaz interface-enként, különben gubanc.
-több interface-t létrehoz magától, ahogy sorban csinálja a config fileok alapján. ( még akár azt is megadhatod a configokban, hogy melyik a tun0, tun1, stb...)

( vl v | 2013. 05. 10., p – 10:55 )

Okés, és a biztonsági vonatkozásaival is tisztában volt, aki ezt kitalálta? Egy op.rendszeren egy IP stack van, azaz bármely felhasználó ugyanazokat a vpn-eket látja. Tehát ha Gipsz Jakab kezdeményezésére nyílik egy vpn az X hálózatba, akkor ezen utána bármely másik felhasználó is pont ugyanúgy lát mindent, mint Gipsz Jakab. Az meg pláne nem működik, hogy ketten is nyitnak ugyanabba a hálózatba vpn-t, és akkor az op.rendszer meg válassza szét a kettejük által generált forgalmat, és mindegyik felhasználó forgalma a hozzátartozó vpn-en keresztül menjen...

Megoldás lehet, ha minden felhasználónak van egy komplett virtualizált op.rendszere, saját IP címmel, saját IP stackkel, saját kernellel...

Aha. És úgy gondolj a VPN -re, minta + halókártyát raknál a gépbe. Azaz mint feljebb írták nehéz lesz felhasználóhoz kötni.
Azt írod, hogy a felhasználóknak kell tudni használni az OpenVPN -t. Nem elég, ha a VPN kapcsolaton keresztül valamilyen szolgáltatást használni tudnak? Pl elernek egy HTTP szervert. Így a felhasználók szűrését a szolgáltatás meg tudja oldani.

ebben az esetben most ez lényegtelen, hogy felhasználóhoz kössem. Az a lényeg hogy több céggel állunk kapcsolatban, mert tőlünk vásároltak vállalatirányítási rendszert. Ez fel van telepítve egy serverre, ami ott van náluk. Mi csak ezt az egy servert érhetjük el bármelyik cégnél.
Minden cégtől itt van az openvpn config, de eddig ez úgy működött hogy mindenkinél külön külön volt telepítve az openvpn és az összes gui ami kell a vállalatirányítási rendszerhez. A guik mérete viszont már elég nagy, ezért akarják egy helyre tenni az összeset hogy ott elérjék a felhasználók, ne kelljen mindig másolgatni.
Tehát ahány cégünk van annyiszor egy tun. A cégeknél át kell írni az aktuális tun ipket külön külön hálózatra. majd új configot generálok kulcsokkal és elvileg működik?

( uid_6201 v | 2013. 05. 10., p – 12:45 )

Miért nem a szerverek hálózatára lépsz OpenVPN-nel? Miért az adott szerverre külön-külön?