On Wed, 2005-01-12 at 15:49 +0200, Iulian wrote: > > Eu zic sa iti pui un Linux si sa > > iticonfigurezi VPN pe el.E mult mai sigur si mai stabil.De altfel ptr o mai > > mare siguranta de dsemenea iti recomand sa iti faci VPN cu IPsec (IP > > security).Multa bafta! ........ > Da de ce e mai sigur IPsec .....ca dupa mine nu e...! > - are modul de kernel .....deci teoretic e posibil ca un buffer overflow > din ipesec sa se propage in kernel! > - mult mai greu de configurat .... deci sansa de face erori de configurare e > mai mare > - greu de intretinut daca sunt necesare multe capete .... sa zicem 100 > - istoric de securitate .... vezi cate bug-ri sunt raportate pt. IPsec, si > cate ai pe openvpn
Pe de alta parte, OpenVPN are o baza de utilizatori mai mica, deci sansele ca un bug sa fie raportat sint mai mici. Per total, si eu ma simt mai comfortabil cu OpenVPN. Singura problema serioasa e ca nu e interoperabil cu VPN-urile IPSec. Pe de alta parte, majoritatea OS-urilor au client de OpenVPN (pe Windows are si GUI), deci nu e o mare tragedie. Practic vorbind, cu OpenVPN ai mai putine moduri in care te poti calca singur pe degete - configuratia e simpla, nu sint zeci de substandarde fiecare usor diferit de celelalte, etc. Faptul ca nu numai ca nu ruleaza in kernel, dar nici nu trebuie sa ruleze ca root e un mare plus. Eu am avut un proiect in care a trebuit sa le pun VPN la unii la o firma. N-aveau bani sa cumpere un appliance, deci a trebuit facut pe un server open source - Linux, OpenBSD, ceva de genul asta. IPSec VPN ar fi mers (ba chiar, ala pe OpenBSD arata chiar bine, pare mai matur decit cel pe Linux), dar partea de client pe Windows e oribila. Nu sint incepator, nici nu mi-e frica sa pun osu' la treaba, dar vreau sa zic ca am injurat ceva pina l-am descilcit, si fara sa ajung sa fiu prea multumit de rezultat. Pe urma am dat peste OpenVPN, l-am incercat intr-o doara, si in juma' de ora aveam doi clienti conectati, unul pe Linux altul pe Windows. ;-) Autentificarea e flexibila, compresia merge beton, rutarea e simpla (sau complicata, daca vrei neaparat), clientul Windows poate fi ori GUI ori chiar doua script-uri .BAT (vpn-up.bat, vpn-down.bat)... Tutorialul de pe fedoranews.org e rezultatul direct al proiectului aluia, care merge bine-mersi si acuma, precum proverbialul server Novell care mergea asa de bine ca au uitat proprietarii de el si l-au ingropat unii in perete. :-) Rulez un server OpenVPN pe serverul de acasa, si am cite un client OpenVPN pe toate statiile de lucru pe care le controlez, inclusiv pe laptop. Oriunde as fi, sint in reteaua de acasa. ;-) Combina asta cu un server IMAP si cu share-uire inteligenta ==> pot lucra de oriunde si mailul plus toate documentele arata la fel. Pina nu-i trage careva o interfata server beton nu prea e gata pentru deployment-uri masive (appliance-urile IPSec inca domina segmentul ala), dar pe retele mici (si chiar mijlocii) as zice ca OpenVPN kicks ass. -- Florin Andrei http://florin.myip.org/ --- Detalii despre listele noastre de mail: http://www.lug.ro/
