Sziasztok,
az alábbi architektúrát szeretném megvalósítani. Cél: hogy a routerek (DDNS címmel rendelkeznek) mögötti hálózati egységek is lássák egymást. Elképzelésem az, hogy openvpn kliensek a routereken futnak (openWRT), az openvpn szerver pedig független gépen lenne.
Köszi a segítséget!
- 4796 megtekintés
Hozzászólások
miert kell a kliensekhez ddns? eleg ha a szerver cimet tudjak, forditva nem kell.
- A hozzászóláshoz be kell jelentkezni
Mi a kérdés?
Amit rajzoltál az alapján semmi köze a DDNS-nek az OpenVPN-hez. OpenVPN kliens csatlakozik (valamilyen IP-ről) az OpenVPN szerverhez. OpenVPN szervernek ajánlott a fix IP.
Ha tunnelt (tap/tun) akarsz építeni, akkor nincs szerver és kliens. Ott már játszhat a DDNS, de egyszerűen a remote sorokba az ip helyett írd be a ddns nevet.
- A hozzászóláshoz be kell jelentkezni
Kérdés az, hogyan lehet ezt koreektül megvalósítani?
- A hozzászóláshoz be kell jelentkezni
Akkor most tunnelt akarsz vagy server-kliens alapú kapcsolatot? :)
- A hozzászóláshoz be kell jelentkezni
Lényeg nekem az, hogy a routerek mögötti gépek egymást lássák. Erre keresem a megoldást.
Mit javasolsz?
- A hozzászóláshoz be kell jelentkezni
Nekem egyszerűbbnek hangzik az OpenVPN tunnel. Viszont az OpenWRT alá egy tunnelt belőni nem lesz egyszerű. Én is sokat olvastam utána mire sikerült beállítani. A szerver oldalhoz milyen OS-t használnál?
- A hozzászóláshoz be kell jelentkezni
Miért nagy ügy belőni egy tunnelt? Van webes interface is hozzá
// Happy debugging, suckers
#define true (rand() > 10)
- A hozzászóláshoz be kell jelentkezni
OpenWRT+OpenVPN alá? Akkor neked elég régi openwrt-d lehet. Ugyanis az Attitude Adjustment LuCi-jából kivették a támogatást, biztonsági problémák miatt. (pontosabban: abban biztosan nincs, de nem kizárt, hogy korábbi verzióból szedték ki)
- A hozzászóláshoz be kell jelentkezni
Ahh, valóban nem most volt, nemrég frissítettem (openvpn csomagot láttam, a luci meg ahogy most nézem teljesen szét van boncolva)
// Happy debugging, suckers
#define true (rand() > 10)
- A hozzászóláshoz be kell jelentkezni
Nehogy már le kelljen ezt ide írni... Nem arról szól a fórum, hogy valaki konkrét üzleti gondját megoldja.
Pénztárcát előveszed és itt klikkelgetsz szorgosan:
http://www.linuxakademia.com/linux-oktatovideo-2013-openvpn-szerver-kes…
http://www.linuxakademia.com/linux-oktatovideo-2013-openvpn-2
- A hozzászóláshoz be kell jelentkezni
Egyet értek. Sokszor van az ,hogy valaki mielőtt olvasgatna a neten egyszerűen bedobja a fórumba a problémáját, hogy valaki majd úgyis megoldja.
A DDNS részhez 2 perc alatt találtam választ a kérdésemre google-el. Azt elismerem,hogy az OpenVPN doksija egy hulladék és semmit nem lehet megtalálni benne (sajnos tapasztalat).
- A hozzászóláshoz be kell jelentkezni
Háát..., az openvpn howto-nál kevés szájbarágósabb van szerintem:-)
http://openvpn.net/index.php/open-source/documentation/howto.html
Itt van a rész, ami még kell a kérdezőnek az alap csatlakozások elérése után:
"Including multiple machines on the client side when using a routed VPN (dev tun)"
- A hozzászóláshoz be kell jelentkezni
semmi akadálya a dolognak, ugyanezt megcsináltam már én is.
routeren mondjuk tomato van, nem openwrt, a központi firewall meg egy endian.
dns-nek ehhez semmi köze, ahogy már írták, a routerek a központi firewallon usernévvel és/vagy certificate-el authentikálnak.
a routingot kell még összehozni, ezt lehet középen is meg a végeken is, ízlés szerint, én középen raktam össze.
--
Gábriel Ákos
http://i-logic.hu
- A hozzászóláshoz be kell jelentkezni
Szerintem csak középen hozható össze, mert itt az a cél, hogy a végpontok mögötti subnetek is lássák egymást. Ha a vpn szerver nem tudja, hogy az adott subnet melyik végpontja mögött látszik, akkor IP szinten úgy route-olsz, ahogy akarsz, az ovpn akkor se fogja tudni, hogy hova kell tolni a csomagot és ezért bukik a dolog.
- A hozzászóláshoz be kell jelentkezni
Ahhoz h a vegpontok lassak egymast, vagy kozpont kell, vagy dinamikus routing.
Utobbi esetben minden vegpont kapcsolodik minden masik vegponthoz - vagy csak a kozponthoz -es hirdeti a sajat tartomanyat a tobbi fele.
- A hozzászóláshoz be kell jelentkezni
Ha jól értem...
Van egy „szerver”-nek nevezett valami, valahol.
És vannak „kliensek” is valahol, amiket nevezzünk most telephelyeknek. Ezeket együttesen külön-külön IP címmel rendelkező hostok (routerek vagy akármik).
A telehelyeken lévő számítógépeknek el kellene érniük -gondolom (majd) megfelelő szabályozás mellett- a többi telephelyen elérhető erőforrásokat.
Ha ez a feladat, mi a tökért kellene „szerver”?
Amíg nem túl nagyszámúak a telephelyek, gyorsabb összeköttetést lehet kialakítani közöttük és nem lesz single-point-of-failure sem a „szerver” alakjában. (És igen, több VPN szervert kell definiálni, viszont hibatűrőbb a rendszer.)
- A hozzászóláshoz be kell jelentkezni
Pont ez jutott eszembe, de már megelőztél:)
- A hozzászóláshoz be kell jelentkezni
Úgy érted, hogy minden telephely, minden telephellyel össze van kötve?
(mondjuk azt el tudom képzelni, hogy biztonsági okokból egy helyen akarják összefogni a VPN authentikációt, nem akarják a telephelyekre hagyni ezt a feladatot)
- A hozzászóláshoz be kell jelentkezni
Pontosan.
Milyen biztonsági okokra gondolsz? (Azon túl, hogy ez az implementáció melósabb, ergo könnyebb hibázni.)
- A hozzászóláshoz be kell jelentkezni
Több authentikációs szerver, több hibalehetőség, esetleg a kompromittálódott adatokat tovább tart mindenhol letiltani adott esetben.
Ilyesmire.
- A hozzászóláshoz be kell jelentkezni
Nos.
Az első kettő triviális, az le is írtam korábban.
A kompromittálódáshoz pedig. Ha nekem kéne csinálnom/csináltatnom, proaktív módon minden „telephely”-hez lenne mondjuk egy script(em), ami néhány másodperc alatt kizárja az adott node-ot minden más node-ról. (Már ha ssh-val elérni a „más node”-okat.)
Ennél viszont jóval fontosabb kérdés, hogy hogyan detektálom a kompromittálódást?
Illetve, ha már kompromittálódás. Az eredeti felvetés szerinti „szerver” kompromittálódásakor mit fog tenni? Mert a telefonok kapkodása magas load-ot okoz a rendszergazdánál.
- A hozzászóláshoz be kell jelentkezni
Egy helyen tárolt kulcsok esetében egyszerűen letiltom amelyik problémássá vált. (jelen esetben feltételezhetjük, hogy kulcsokkal dolgozunk, nem user/jelszó párossal)
Ha szét vannak szórva, akkor ahány helyen használják őket, annyi helyre kell jelezni, hogy valamelyikkel gond van, tiltani kell és kérdés, hogy el tudom-e juttatni elég rövid időn belül mindenhova (nincs-e pl. megszakadva a kapcsolat valamelyik telephellyel, ahol még rendszergazda sincs, akit esetleg mobilon riaszthatnék).
Nem tudnék végigmenni az egészen, részletesen kifejtve a lehetséges buktatókat, mert k. rég láttam ilyet és akkor sem foglalkoztam vele mélyebben.
A detektálása jó kérdés. Passzolom. Mondjuk a helyi rendszergazda, aki hozzáférhetett az adott site privát kulcsához, elküldte anyukájába a főnökét, de még vígan dolgozik otthonról, az elégséges ok? :DDDD
(ahogy én is csináltam ;) )
- A hozzászóláshoz be kell jelentkezni