Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Re: TeamViewer helyett VPN
46 views
Skip to first unread message
Stolmár Tamás
Jul 30, 2016, 2:49:04 AM7/30/16
to ele...@tesla.hu
Szia!
Én az OpenVPN rendszerét ajánlanám.
- Teljesen Open Source , nincs rejtett licence, backdoor, több mint 10
éve folyamatosan fejlesztik, hibák javulnak. Multiplatform, windows,
linux, mac, stb.
- csak egy darab UDP port kell hozzá (tud TCP-t is, ha kell, de ha lehet
maradjon az UDP)
- Általában tűri a NAT-olást - az IPSEC itt elvérzik.
- Tud ipv6-ot (de még nem használtam soha)
- RSA kulcspárokkal és X509 tanúsítással dolgozik - nagyfokú biztonság,
és nagy rendszereknél könnyebb kézbentarthatóság. de ez opcionális,
kísérletezésre lehet használni sima közös jelszó-kulcsot amivel hamar
feléleszthető a tunnel -> sikerélmény.
- Ami első pillantásra riasztó lehet, az a milliónyi paraméter, de jó a
dokumentáció, és jók a példa konfigok és tutorialok.
- Nem igényel kernel komponenst a virtuális ethernet kártya kivételével.
Minden user módban fut, akár alacsony jogosultságú felhasználóként ->
még nagyobb biztonság.
- Általában igaz rá, hogy 1 kapcsolat, 1 port, 1 processz. Ez hátrány
(picit több adminisztráció) de nagyobb biztonság (szeparáció, ha az
egyik meghal, jó eséllyel a másik még él, körbe vissza lehet mászni a
routerbe, és feléleszteni a halottat. általában nem fordul ilyen elő, de
én konfigoltam már át így tunneleket távolról, egyiken be, a másikat
átvaria, majd fordítva.)
Két fő üzemmódja van:
1. PONT-PONT konfiguráció
- pl. 3 telephelyet össze lehet úgy kötni, hogy mindegyik telephely
mindegyikkel közvetelenül össze van kötve. Ez azért jó, mert ha az egyik
telephely kiesik, attól még a másik kettő között megmarad a kapcsolat.
- Nem kell hozzá fix IP, de célszerű kérni, hogy a szolgáltató rendes
külső IP-t adjon. Ekkor kell valami dyndns megoldás.
- Két telephely közötti linknél elviseli, ha az egyik mégis szolgáltatói
NAT mögé kerül, például azért, mert a fő internet kapcsolat megszakad,
és belép egy 3G-s modem tartalék.
- Robosztus, ha az internet kapcsolat megszakad, és újraépül, akkor elég
gyorsan magáhoztér.
Saját beállításaim esetén általában 2 percen belül.
2. KLIENS-SZERVER konfiguráció
- Ekkor mindig a kliens csatlakozik a szerverhez, a kliens nyugodtan
lehet NAT mögött.
- A szerver tud konfigurációt küldeni a kliensnek (ip cím, routing tábla
bejegyzés, paraméterek, pl a főnök otthonról a laptojával be tud lépni a
céges hálóra)
- de arra is ez lehez a jó megoldás, hogy a supportolt cégek egy ilyen
linnkel jönnek be egy központi helyre. (a kliens mögött lehet egy
komplett alhálózat)
Min fut / támogatja:
- Linuxon szerviceként (pl hálózatokat összekapcsolni), és gnome network
managerben célszerűen mint kliens (csatlakozni a céges hálóra).
Mindkettőt próbáltam, stabil.
- Windowson serviceként (mint pl egy külső telephelyes, fix gép ami
belép a központra, nem igényel user interakciót, csak megy) vagy gui-val
a főnöki laptopra (ha bent van az irodában akkor le kell kapcsolni a
vpn-t.)
Mindkettőt próbáltam, stabil.
- Mac OS PC-n (kicsit hisztisebb, nem használunk macet, ismerősnek
segítettem beállítani, sikerült)
- Almás nokia (ez kicsit másképp hisztis, de ezzel is sikerült
összerakni valahogy)
- Androidos telefon - biztos van, nem tudom, nem használok ilyet
- Mikrotik routerekben van openvpn modul, de eléggé korlátozott, csak
TCP, és kliens szerver modell. Ha nincs nagy forgalom akkor az is elég
lehet.
Próbáltam, működik, stabil, a korlátait el kell fogadni, szerintem
majdnem minden scenáriót meg lehet vele oldani, legfeljebb fájdalmas.
- OpenWRT-s routerekben teljes tudású OpenVPN van, vagy kézi konfig
file-al, vagy webes felületről paraméterezhető. Ua, mint a linux.
OpenWrt tűzfal rendszerbe integrálható.
Működik, stabil.
- Ubiquiti Edgerouterben teljes tudású OpenVPN van. Itt csak a router
webkonfigja fájdalmas néha.
Működik, stabil, weben található jó leírás, a kézi konfig file-os módi
is elérhető.
- Untangle ismeri ha jól tudom, nem próbáltam.
- 5000 forintos routerek nem tudják
- Nagyon márkás cuccok (pl cisco) nem ismerik (szerintem direkt).
Ha konkrét elképzelés van, segítek a részletekben is.
On 07/30/2016 12:51 AM, charles hoss wrote:
> hogyan kell egy ilyen vpn rendszert osszerakni ? mik az elemei ? parszor
> nekifuttam , de annyifele megoldas van szetelemezgetve hogy nem tudom
> eldonteni hogy mi a helyes irany - mi a gazdasagos megoldas egy nem
> publikus ip cimu halo eleresere - lehetoleg ugy hogy a sajat itthoni halo
> reszekent mukodjon .
>
> bye
> dexter
>
>
> 2016. július 29. 14:21 Jozsef Valkai írta, <vjo...@valkai.net>:
>
>> Vpn kapcsolatban már az sem.
>>
>> --
>> Valkai Jozsef
>> +36703628147
>> vjo...@valkai.net
>> (Mobilról küldve)
>>
>> 2016. júl. 29. du. 2:18 ezt írta ("Orbán Árpád" <orb...@orbel.hu>):
>>
>>> Szia!
>>> A kérdésedre nem tudok válaszolni, de ajánlanék mást:
>>> Régóta az ultravnc sc-t használom ilyenre. Nem igényel külső
>> szolgáltatót,
>>> csak nálam kellett egy port forwardot beállítani.
>>>
>>> Árpi
>>>
>>>
>>> 2016.07.29. 14:02 keltezéssel, Pipi írta:
>>>
>>>> Hali!
>>>> ismeri valaki? Free $0 forever cégnek is
>>>> mennyire használható?
>>>> http://ultraviewer.net/en/
>>>> esetleg más szoftver ingyé/aprópénzé?
>>>>
>>>>
>>>>
>>> -----------------------------------------
>>> elektro[-flame|-etc]
>> -----------------------------------------
>> elektro[-flame|-etc]
> -----------------------------------------
> elektro[-flame|-etc]
Én az OpenVPN rendszerét ajánlanám.
- Teljesen Open Source , nincs rejtett licence, backdoor, több mint 10
éve folyamatosan fejlesztik, hibák javulnak. Multiplatform, windows,
linux, mac, stb.
- csak egy darab UDP port kell hozzá (tud TCP-t is, ha kell, de ha lehet
maradjon az UDP)
- Általában tűri a NAT-olást - az IPSEC itt elvérzik.
- Tud ipv6-ot (de még nem használtam soha)
- RSA kulcspárokkal és X509 tanúsítással dolgozik - nagyfokú biztonság,
és nagy rendszereknél könnyebb kézbentarthatóság. de ez opcionális,
kísérletezésre lehet használni sima közös jelszó-kulcsot amivel hamar
feléleszthető a tunnel -> sikerélmény.
- Ami első pillantásra riasztó lehet, az a milliónyi paraméter, de jó a
dokumentáció, és jók a példa konfigok és tutorialok.
- Nem igényel kernel komponenst a virtuális ethernet kártya kivételével.
Minden user módban fut, akár alacsony jogosultságú felhasználóként ->
még nagyobb biztonság.
- Általában igaz rá, hogy 1 kapcsolat, 1 port, 1 processz. Ez hátrány
(picit több adminisztráció) de nagyobb biztonság (szeparáció, ha az
egyik meghal, jó eséllyel a másik még él, körbe vissza lehet mászni a
routerbe, és feléleszteni a halottat. általában nem fordul ilyen elő, de
én konfigoltam már át így tunneleket távolról, egyiken be, a másikat
átvaria, majd fordítva.)
Két fő üzemmódja van:
1. PONT-PONT konfiguráció
- pl. 3 telephelyet össze lehet úgy kötni, hogy mindegyik telephely
mindegyikkel közvetelenül össze van kötve. Ez azért jó, mert ha az egyik
telephely kiesik, attól még a másik kettő között megmarad a kapcsolat.
- Nem kell hozzá fix IP, de célszerű kérni, hogy a szolgáltató rendes
külső IP-t adjon. Ekkor kell valami dyndns megoldás.
- Két telephely közötti linknél elviseli, ha az egyik mégis szolgáltatói
NAT mögé kerül, például azért, mert a fő internet kapcsolat megszakad,
és belép egy 3G-s modem tartalék.
- Robosztus, ha az internet kapcsolat megszakad, és újraépül, akkor elég
gyorsan magáhoztér.
Saját beállításaim esetén általában 2 percen belül.
2. KLIENS-SZERVER konfiguráció
- Ekkor mindig a kliens csatlakozik a szerverhez, a kliens nyugodtan
lehet NAT mögött.
- A szerver tud konfigurációt küldeni a kliensnek (ip cím, routing tábla
bejegyzés, paraméterek, pl a főnök otthonról a laptojával be tud lépni a
céges hálóra)
- de arra is ez lehez a jó megoldás, hogy a supportolt cégek egy ilyen
linnkel jönnek be egy központi helyre. (a kliens mögött lehet egy
komplett alhálózat)
Min fut / támogatja:
- Linuxon szerviceként (pl hálózatokat összekapcsolni), és gnome network
managerben célszerűen mint kliens (csatlakozni a céges hálóra).
Mindkettőt próbáltam, stabil.
- Windowson serviceként (mint pl egy külső telephelyes, fix gép ami
belép a központra, nem igényel user interakciót, csak megy) vagy gui-val
a főnöki laptopra (ha bent van az irodában akkor le kell kapcsolni a
vpn-t.)
Mindkettőt próbáltam, stabil.
- Mac OS PC-n (kicsit hisztisebb, nem használunk macet, ismerősnek
segítettem beállítani, sikerült)
- Almás nokia (ez kicsit másképp hisztis, de ezzel is sikerült
összerakni valahogy)
- Androidos telefon - biztos van, nem tudom, nem használok ilyet
- Mikrotik routerekben van openvpn modul, de eléggé korlátozott, csak
TCP, és kliens szerver modell. Ha nincs nagy forgalom akkor az is elég
lehet.
Próbáltam, működik, stabil, a korlátait el kell fogadni, szerintem
majdnem minden scenáriót meg lehet vele oldani, legfeljebb fájdalmas.
- OpenWRT-s routerekben teljes tudású OpenVPN van, vagy kézi konfig
file-al, vagy webes felületről paraméterezhető. Ua, mint a linux.
OpenWrt tűzfal rendszerbe integrálható.
Működik, stabil.
- Ubiquiti Edgerouterben teljes tudású OpenVPN van. Itt csak a router
webkonfigja fájdalmas néha.
Működik, stabil, weben található jó leírás, a kézi konfig file-os módi
is elérhető.
- Untangle ismeri ha jól tudom, nem próbáltam.
- 5000 forintos routerek nem tudják
- Nagyon márkás cuccok (pl cisco) nem ismerik (szerintem direkt).
Ha konkrét elképzelés van, segítek a részletekben is.
On 07/30/2016 12:51 AM, charles hoss wrote:
> hogyan kell egy ilyen vpn rendszert osszerakni ? mik az elemei ? parszor
> nekifuttam , de annyifele megoldas van szetelemezgetve hogy nem tudom
> eldonteni hogy mi a helyes irany - mi a gazdasagos megoldas egy nem
> publikus ip cimu halo eleresere - lehetoleg ugy hogy a sajat itthoni halo
> reszekent mukodjon .
>
> bye
> dexter
>
>
> 2016. július 29. 14:21 Jozsef Valkai írta, <vjo...@valkai.net>:
>
>> Vpn kapcsolatban már az sem.
>>
>> --
>> Valkai Jozsef
>> +36703628147
>> vjo...@valkai.net
>> (Mobilról küldve)
>>
>> 2016. júl. 29. du. 2:18 ezt írta ("Orbán Árpád" <orb...@orbel.hu>):
>>
>>> Szia!
>>> A kérdésedre nem tudok válaszolni, de ajánlanék mást:
>>> Régóta az ultravnc sc-t használom ilyenre. Nem igényel külső
>> szolgáltatót,
>>> csak nálam kellett egy port forwardot beállítani.
>>>
>>> Árpi
>>>
>>>
>>> 2016.07.29. 14:02 keltezéssel, Pipi írta:
>>>
>>>> Hali!
>>>> ismeri valaki? Free $0 forever cégnek is
>>>> mennyire használható?
>>>> http://ultraviewer.net/en/
>>>> esetleg más szoftver ingyé/aprópénzé?
>>>>
>>>>
>>>>
>>> -----------------------------------------
>>> elektro[-flame|-etc]
>> -----------------------------------------
>> elektro[-flame|-etc]
> -----------------------------------------
> elektro[-flame|-etc]
charles hoss
Jul 30, 2016, 8:27:39 AM7/30/16
to ele...@tesla.hu
nagyon koszi , igy most lesz mit olvasgatnom - kicsit elboritott a boseg
zavara amikor megprobaltam felderiteni , aztan meg jottek a vizsgak es nem
ment - most viszont munkanelkuli vagyok hosszabb ideig mert itthon nem
szamit ha masfel honap alatt sem allitanak ki egy diplomamellekletet.
bye
dexter
> -----------------------------------------
> elektro[-flame|-etc]
zavara amikor megprobaltam felderiteni , aztan meg jottek a vizsgak es nem
ment - most viszont munkanelkuli vagyok hosszabb ideig mert itthon nem
szamit ha masfel honap alatt sem allitanak ki egy diplomamellekletet.
bye
dexter
> elektro[-flame|-etc]
Stolmár Tamás
Aug 1, 2016, 5:20:59 AM8/1/16
to ele...@tesla.hu
Ha megakadsz, szólj :)
> -----------------------------------------
> elektro[-flame|-etc]
> elektro[-flame|-etc]
charles hoss
Aug 7, 2016, 5:00:39 PM8/7/16
to ele...@tesla.hu
koszi . most papir , pecset, korhaz meg minden egyeb program esett be
hirtelen , de a heten ujra nekifutok .
bye
dexter
> -----------------------------------------
> elektro[-flame|-etc]
>
hirtelen , de a heten ujra nekifutok .
bye
dexter
> elektro[-flame|-etc]
>
0 new messages