[Linux-Biella] vpn client vpn server

Matteo Cisilino matteo a cisilino.com
Gio 26 Lug 2007 08:10:57 CEST 

Alle 18:47, mercoledì 25 luglio 2007, leonardo LeOS buffa ha scritto:
> buonasera
> sto valutando alcune possibili soluzioni per realizzare un server
> vpn e, ovviamente anche il software da utilizzare sugli eventuali
> client.
>
> fino a oggi mi sono trovato bene con isakmpd, simpatico e discreto
> porting del isakmp di cisco
>
> funziona discretamente bene seppur con alcune limitazioni (ike, gre)
>
> allora sto pensando: ma questo simpatico e discreto openvpn? vogliamo
> proprio continuare a trascurarlo?
>
>
> qualcuno di voi ha esperienze in merito?
Io uso openvpn in salsa TUN da qualche anno , non ho mai avuto problemi , 
simpatico veloce e portabile Linux | Win | *BSD | OSX magari con bsd è un po 
duro da digerire qualcosa sembra ancora primitivo , ma accrocchiando riesci a 
fare cose ben fatte.

Il server ed il liclient sono differenziati da 2 cose , le chiavi utilizzate ( 
ovvio ) ed il file di configurazione , per cui un client tempo 3 secondi 
diventa un server .

La creazione delle chiavi , sia lato server che client sono geswtiti da script 
semplici ed intuitivi .

Invece di girare a livello kernel , tramite AH SHA usa librerie SSL ( openssl) 
per cui non devi riavviare quando fai qualunque cosa . 

Ha un terminale di gestione raggiungibile via telnet sul server , non rompe le 
palle se il server e/o client hanno ip dinamico .

Il nat non gli rompe le palle , il server non necessita di passtrouh  , puo' 
bindare sia la porta in ascolto che la porta di risposta dove ti pare.

E' svincolato dal protocollo , UDP o TCP sono utilizzabili ( naturlamente il 
TCP è preferibile ) .

Altro fatto simpatico è il fatto che il routing lo gestisce Openvpn , te gli 
dici dove e lui provvede a fare un push delle reti.

Altra cosa molto inteteressante , è il concetto di client-to-client , ogni 
client della subnet definita di default non vede gli altri client, ma 
abilitanto il sopracitato c-t-c puoi far in modo che i client si vedano - cfr 
AMACHI -

di base OpenVpn usa TUN creando una VPN routata - molto facile da gestire via 
PF o iptables- , oppure puoi usare TAP , che sfrutta il bridge mode , 
naturalmente con le limitazioni di sicurezza(filtro) che il bridge da.

Credo di aver detto tutto.

Sul forum ALP forum.alproject.org c'è il mio how to , semplice e diretto per 
l'implementazione "base" di un server OVPN , da cui puoi prendere spunto , 
dato che la doc sul sito è molto caotica.

Mandi
Matteo

Maggiori informazioni sulla lista Linux