Какво би могъл да предложи OpenVPN

Отговори
Потребителски аватар
stoar08
Мнения: 1548
Регистриран: 09-11-2004 08:15
Име: Стоян Арабаджиев
Местоположение: Самоков

Какво би могъл да предложи OpenVPN

Мнение от stoar08 » 28-12-2008 19:44

Да, имаме ZeBeDee за архивиране и компресия, да - има поддръжка на сертификати, мдааа - знам, че използва точно 1 порт за комуникация :)

OpenVpn от своя страна ни освобождава от задължението да задаваме конкретни портове или да задаваме статични event портове (създава се виртуална мрежова карта, по която "върви" целия tcp/ip стек, с повечко мерак би могло да се прехвърли и IPX).
С инсталацията на OpenVpn идва openssl и с 5-6 реда се създават всички необходими сертификати (ще го опиша, ако има интерес - има 2-3 уловки).
Инсталацията на OpenVpn като услуга се късае до задаване на "автоматичен старт".
Като цяло нивото на сигурност е по-високо.
Има опция да се зададат повече адреси на сървъра (съответно алтернативи при необходимост).
Ако се заделят няколко минути повече - OpenVpn става "лично" hamachi, по което върви windows sharing и т.н.
Да не забравяме и факта, че OpenVpn се поддържа активно и до момента, а ZeBeDee e леко позарязано ...
Двупосочността на връзката също има своите предимства (в ZeBeDee упътването се споменаваше за нещо, но се настройваше допълнително - тук си съществува по принцип)
Не-съвсем безинтересна е опцията за генериране на сертификатите за време, което да се яви като още една лицензна бариера(всеки може да си ги генерира сам, но не всеки може да смени сертификата на fb.unrealsoft.net например ... съответно да си поднови достъпа :) )

Ако има интерес ще опиша идеята и евентуално ще конфигурирам някоя машина, към която ще пусна примерни конфигурации. Компресията не съм я тествал, но ще се опитам да направя някакво сравнение с ZeBeDee.
Моля ви, като прочетете тема пишете по едно мнение да не ви търся по icq/телефон после ...

Потребителски аватар
stoar08
Мнения: 1548
Регистриран: 09-11-2004 08:15
Име: Стоян Арабаджиев
Местоположение: Самоков

Re: Какво би могъл да предложи OpenVPN

Мнение от stoar08 » 04-01-2009 18:10

След като го ползвам около седмица, мога да споделя по-конкретни впечатления.
Като за начало - услугата под windows се държи стабилно. Възнамерявам да опиша и впечатления от работата на OpenVPN под DD-WRT firmware, който съм споменавал във форума.
LZO компресията постигна среден коефициент от 2.6, което според мен е доволно. Според google(при ниво 1) LZO е около 3 пъти по-бързо от zlib (150 срещу 50 мегабайта в секунда компресия на c2d 2.6 GHz) като постига с около 10% по-лош рейтинг (39 срещу 29%).
На мен заменката ми звучи практична, особено при положение, че цялата компресия криптировка и т.н. се "случва" в рутерче (Netgear WGR614L например) и windows машините не се модифицират по никакъв начин. Ще пиша конкретни резултати с въпросното рутерче :)
Моля ви, като прочетете тема пишете по едно мнение да не ви търся по icq/телефон после ...

Потребителски аватар
stoar08
Мнения: 1548
Регистриран: 09-11-2004 08:15
Име: Стоян Арабаджиев
Местоположение: Самоков

Re: Какво би могъл да предложи OpenVPN

Мнение от stoar08 » 09-01-2009 20:18

LZO компресията се държи културно, за firebird трафик осигурява коефициент около 3-4. Конкретния модел Netgear WGR614L, е поне според мен малко "на кантар" за целта, и не е подходящ, ако ще има активен товар след него. При мен основната му и единствена функция ще бъде VPN-а. За предпочитане са рутерчета с >16 MB RAM. Има модел на D-link, който имам желание да пробвам, но не е наличен. Като не-лоша опция е и идеята за x86 DD-WRT, за хората, които не могат/искат да се оправят напълно с Mikrotik или просто обичат linux :)

Една положителна черта, за която не се бях сетил, ме удари при репликата "те редовно си изключват hamachi-то" :) - openvpn би могъл да се пусне без никакъв графичен интерфейс, в който случай далеч по-малко потребители могат да се "извреднят".

ПС - Пускането на hamachi в режим на услуга също е решение (съмняваме някой да седне да му рови в настройките само и само за да го изключи ...)
Моля ви, като прочетете тема пишете по едно мнение да не ви търся по icq/телефон после ...

Потребителски аватар
stoar08
Мнения: 1548
Регистриран: 09-11-2004 08:15
Име: Стоян Арабаджиев
Местоположение: Самоков

Какво все пак предлага?

Мнение от stoar08 » 14-03-2009 11:56

Вече мога смело да кажа, че работи достатъчно дълго и възнамерявам в няколко думи да вложа защо OpenVpn е по-доброто решение от ZeBeDee.

OpenVPN под Windows
Сървърният режим би могъл да е с 1/2 идея по-стабилен. Под XP е необходим рестарт на няколко услуги (може през някакъв вид scheduler) на 2-3 дни. Под 2003 Server изкарва няколко седмици.

Към клиента няма забележки/ограничения. Единствената условност е, че при използването на "novell client for windows", той трябва да бъде инсталиран без NMAS (в противен случай BSOD-ва при browse).
Novell client for Windows работи малко по-странно (при net use не се въжда сървъра, ако не се даде ръчен browse). Работя по-въпроса ;)

OpenVPN под DD-WRT
Забележки няма ;) Конфигурацията е с 3 реда повече от под windows, но е вечно :)
Моля ви, като прочетете тема пишете по едно мнение да не ви търся по icq/телефон после ...

Потребителски аватар
mIRCata
Admin
Мнения: 1065
Регистриран: 15-11-2004 15:25
Име: инж. Мирослав Джоров
Местоположение: Тайна майна
Контакти:

Re: Какво все пак предлага?

Мнение от mIRCata » 16-03-2009 09:37

stoar08 написа: Сървърният режим би могъл да е с 1/2 идея по-стабилен. Под XP е необходим рестарт на няколко услуги (може през някакъв вид scheduler) на 2-3 дни. Под 2003 Server изкарва няколко седмици.
Ами за мен това си е проблем. Особено на сървъра където го използваме. Там нещата са пуснати, настроени и оставени да работят. Вече почти не се влиза да се пипа нещо. Само ако трябва да се пусне архив в момента, а не да се чака автоматичния.
Така както го описваш трябва постоянно някой/нещо да следи дали не е гръмнало и да го оправя.
Представи си какво може да стане, ако клиентите си работят, а ние да речем сме се събрали фирмата на пейнтбола в Пазарджик, на семинар и т.н и услугата спре. Кой ще успее да я пусне, че да могат хората да си вършат работата. Колко време ще мине между спиране, обаждане, че не работи, някой да види какво става та до пускането отново и продължаването на нормалната работа.

Потребителски аватар
stoar08
Мнения: 1548
Регистриран: 09-11-2004 08:15
Име: Стоян Арабаджиев
Местоположение: Самоков

Re: Какво би могъл да предложи OpenVPN

Мнение от stoar08 » 16-03-2009 10:58

По принцип си прав. Имам 2 отговора :
1 Може да направите като мен и всеки ден в например 2 сутринта да се рестартират необходимите услуги (task scheduler), но съм готов да приема, че това не звучи достатъчно убедително
2 OpenVPN остава приложим на отделни обекти(не-хоствани на fb.unrealsoft.net), където да бъде 'клатен' от рутера на клиента и да осигурява сигурен достъп до базата. Като цяло смятам, че в общия случай DD-WRT ще бъде по-удобно за конфигурация от Mikrotik, а забелязвам, че той вече се използва активно.
Моля ви, като прочетете тема пишете по едно мнение да не ви търся по icq/телефон после ...

mitaka
Мнения: 239
Регистриран: 12-11-2004 18:10
Име: Димитър Щерев
Местоположение: Пловдив

Re: Какво би могъл да предложи OpenVPN

Мнение от mitaka » 19-07-2009 01:04

DD-WRT с openvpn е страхотно решение. проблема е че на рутерите им е слабо "ангелчето" и когато има повече конекции се омазва. мисля да инсталирам DD-WRT на ПЦ
Изображение

Потребителски аватар
stoar08
Мнения: 1548
Регистриран: 09-11-2004 08:15
Име: Стоян Арабаджиев
Местоположение: Самоков

Re: Какво би могъл да предложи OpenVPN

Мнение от stoar08 » 19-07-2009 13:42

Повече от 2-3 връзки не съм тествал на рутерче, но и DIR320 и WGR614L прокарват до 15-20 мегабита криптиран трафик за единична връзка ;)
Netgear им идва къс рам-а и забиват от време на време, с D-Link нямам абсолютно никакви забележки за момента.
Имам работещо DD-WRT на x86 с 733 процесор и 256 рам, като през повечето време нищо не прави, но спокойно клати 10 сесии (без да усеща, че е включен ...).

ПС Повечето ми тестове са базирани на Routed mode, за bridged нямам по-сериозни наблюдения.
Моля ви, като прочетете тема пишете по едно мнение да не ви търся по icq/телефон после ...

Отговори