форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (VPN / FreeBSD)
Изначальное сообщение		[ Отслеживать ]

"Выбор реализации VPN"	+/–
Сообщение от Hechicero (ok) on 10-Июн-13, 08:57
Задумался над выбором реализации vpn для установления свзязи между филиалами компании и центральным офисом. Шлюзы в филиалах и центре - на FreeBSD. Ограничений со стороны провайдера вроде никаких нет. Волнует в первую очередь защищенность. OpenVPN вот насколько я знаю не умеет самостоятельно менять ключи шифрования. А жаль. Посоветуете что-нибудь еще? Во вторую - относительная простота. Например, использовать BGP и регистрировать автономные системы нецелесообразно просто для такого небольшого проекта. Какие варианты используете вы? И почему?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Выбор реализации VPN"	+/–
Сообщение от PavelR (ok) on 10-Июн-13, 09:04
> Посоветуете что-нибудь еще? Ну, для начала, поизучать матчасть ... > Во вторую - относительная простота. Например, использовать BGP и регистрировать автономные  системы нецелесообразно просто для такого небольшого проекта. ... т.к. каналообразование это одно, а маршрутизация (использование BGP для формирования таблиц маршрутизации) по этим каналам - чуть другое. Ну а третье это то, что AS можно использовать и "серые", которые регистрировать не надо. В общем, просветляйтесь. >OpenVPN вот насколько я знаю не умеет самостоятельно менять ключи шифрования. А жаль. как-то очень любопытно, неужели таки не умеет? Такой серьезный, казалось бы, продукт, а такая фигня с ним.... Ай-яй-яй... Поверю сообщению на форуме, пойду искать альтернативу. http://openvpn.net/index.php/open-source/documentation/secur... Ман, опции --reneg-bytes --reneg-pkts --reneg-sec
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "Выбор реализации VPN"	+/–
	Сообщение от Hechicero (ok) on 10-Июн-13, 14:56
	> Ну, для начала, поизучать матчасть ... да, все правильно. я обратился к вам в том числе и потому, что не смог разобраться с матчастью, а в открытых системах - новичок. например, про серые AS я не знал :) > http://openvpn.net/index.php/open-source/documentation/secur... > Ман, опции --reneg-bytes --reneg-pkts --reneg-sec искреннее спасибо конечно. В большинстве описаний настройки и установки openvpn cоединений про время жизни ключей ни слова почему-то.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	6. "Выбор реализации VPN"	+/–
	Сообщение от Hechicero (ok) on 11-Июн-13, 08:40
	но еще не доучив матчасть хочу кое-что уточнить.. Можно ли автоматически и регулярно "обновлять" сертификаты клиенту openvpn?
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	9. "Выбор реализации VPN"	+/–
	Сообщение от PavelR (ok) on 11-Июн-13, 15:33
	> но еще не доучив матчасть хочу кое-что уточнить.. > Можно ли автоматически и регулярно "обновлять" сертификаты клиенту openvpn? напишите/найдите/установите скрипт и меняйте сертификаты, кто не дает-то.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

2. "Выбор реализации VPN"	+/–
Сообщение от McLeod095 (ok) on 10-Июн-13, 11:58
> Задумался над выбором реализации vpn для установления свзязи между филиалами компании и > центральным офисом. Шлюзы в филиалах и центре - на FreeBSD. > Ограничений со стороны провайдера вроде никаких нет. > Волнует в первую очередь защищенность. > OpenVPN вот насколько я знаю не умеет самостоятельно менять ключи шифрования. А > жаль. > Посоветуете что-нибудь еще? > Во вторую - относительная простота. Например, использовать BGP и регистрировать автономные > системы нецелесообразно просто для такого небольшого проекта. > Какие варианты используете вы? И почему? OpenVPN отличное решение. Но все же лучше посмотреть в сторону ipsec. Если в дальнейшем будет необходимо заменить оборудование например на cisco или т.п. то не придется ничего перенастраивать.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Выбор реализации VPN"	+/–
Сообщение от Mr. Mistoffelees on 10-Июн-13, 13:33
Привет, > Какие варианты используете вы? И почему? Промышленный стандарт на это один - IPSec. В Линуксе поднять - минут 10 работы, вряд ли на *BSD дольше будет. Хотя, конечно, не мешает перед этим и теорию прочитать. Уж что-что, а менять ключи на лету IPSec умеет (для этого у него стоит отдельный протокол, чаще всего IKE). Сами ему и укажте как часто это делать, а также какой метод шифрования использовать. WWell,
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Выбор реализации VPN"	+/–
Сообщение от rusadmin (ok) on 11-Июн-13, 08:26
> Задумался над выбором реализации vpn для установления свзязи между филиалами компании и > центральным офисом. Шлюзы в филиалах и центре - на FreeBSD. > Ограничений со стороны провайдера вроде никаких нет. > Волнует в первую очередь защищенность. > OpenVPN вот насколько я знаю не умеет самостоятельно менять ключи шифрования. А > жаль. > Посоветуете что-нибудь еще? > Во вторую - относительная простота. Например, использовать BGP и регистрировать автономные > системы нецелесообразно просто для такого небольшого проекта. > Какие варианты используете вы? И почему? С учетом будущего роста лучше выбрать ipsec. Он постоянно меняет ключи (хоть каждую минуту по второй фазе и, обычно, раз в сутки, по первой). Позже можно будет перенести функции организации туннеля на железку (например cisco) схема в вашем случае site-to-site. Самолично поднимал на cisco-cisco, linux-cisco, linux-zywall, linux-mikrotik - работает нормально. Так же использовал BGP для анонсирования connected - маршрутов удаленных систем, так как остальные протоколы динамической маршрутизации работают по бродкасту или мультикасту (обычно нормально не работает (или не работает вообще) без допиливаний даже на каналах точка-точка).
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	7. "Выбор реализации VPN"	+/–
	Сообщение от Hechicero (ok) on 11-Июн-13, 08:49
	>С учетом будущего роста лучше выбрать ipsec. Он постоянно меняет ключи (хоть каждую минуту >по второй фазе и, обычно, раз в сутки, по первой). совместно с ppp? мне вот порекомендовали порт mpd5 > Так же использовал BGP для анонсирования connected - маршрутов удаленных > систем, так как остальные протоколы динамической маршрутизации работают по бродкасту или > мультикасту (обычно нормально не работает (или не работает вообще) без допиливаний > даже на каналах точка-точка). а ммм.. номера AS где брали?
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	8. "Выбор реализации VPN"	+/–
	Сообщение от rusadmin (ok) on 11-Июн-13, 11:48
	>>С учетом будущего роста лучше выбрать ipsec. Он постоянно меняет ключи (хоть каждую минуту >по второй фазе и, обычно, раз в сутки, по первой). > совместно с ppp? > мне вот порекомендовали порт mpd5 Нет, я привел пример для протоколов маршрутизации. IPSec сам умеет тунели делать (режимы tunnel или transport) >> Так же использовал BGP для анонсирования connected - маршрутов удаленных >> систем, так как остальные протоколы динамической маршрутизации работают по бродкасту или >> мультикасту (обычно нормально не работает (или не работает вообще) без допиливаний >> даже на каналах точка-точка). > а ммм.. номера AS где брали? Для локальных нужд по rfc можно использовать с 64512 по 65535
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	10. "Выбор реализации VPN"	+/–
	Сообщение от pavlinux (ok) on 12-Июн-13, 04:48
	> С учетом будущего роста лучше выбрать ipsec. Он постоянно меняет ключи > (хоть каждую минуту по второй фазе и, обычно, раз в сутки, по первой). Да-да-да, так их поймать легче! Обновляёте чаще, нам ждать меньше.  :-P
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема