OpenVPN. Помогите сделать выбор между tun и tap и настроить шифрование.

1. L2 против L3
2. Это вообще какой-то бред

И вы, конечно, считаете, что дали полный, развернутый ответ, по которому я сразу закрою тему и пойду что-то делать?

поиск по форуму для кого сделан? в гугле чо не написал «tun vs tap»?

попробуй модный нынче SoftEtherVPN

делал для 1с-ки. tun - это udp, возможна потеря пакетов. tap - это tcp, пакеты валидируются (возможны тормоза перевалидации, допересылки пакетов).

начни с tap.

и посмотри по tls-шифрование (кажись, так). Там доп. сертификат нужно сгенерить и прописать.

Херню написал. tun это туннель L3, tap это туннель L2, читай тоже поиск

И по tun и по tap можно пустить как udp, так и tcp.
Сертификаты генерирую, но без строчки cipher BF-CBC в обоих конфигах - шифрования нет.

Я считаю, что если ты не знаешь разницы между вторым и третьим уровнем в сети, то тебе уже ничем не поможешь.

но без строчки cipher BF-CBC в обоих конфигах - шифрования нет.

Ты конечно это по запаху узнал?

1. Я обычно делаю tun по udp. С udp потерь пакетов не будет, т.к. проверка целостности производится на уровне шифрования.

2. Не совсем понятно что имеется в виду. Определись какая именно тебе нужно аутентификация (статический ключ, центр сертификации, еще что-то в довесок). cipher - определяет алгоритм шифрования которым будут зашифрованы пакеты при передаче данных. На аутентификацию это не влияет.

Вообще очень советую: http://openvpn.net/index.php/open-source/documentation/manuals.html

Ох уж эти вэ-пэ-энщики. По-хорошему нужно спалить офис Циски за их тупые ПИХы, АСы и SSL VPN. Разработчиков же OpenVPN нужно при большом стечении народа сжечь током низкого напряжения. За то что свой тупорылый «хакирский» проект распиарили до помутнения сознания хомячковых масс во всем мире.

OpenVPN состоит из 3-х компонентов.

1. TUN/TAP подсистемы в ядре целевой ОС. Она позволяет подключить фронт-енд сетевой подсистемы не к бэк-енд драйверу (который осуществляет непосредственное общение с аппаратурой), а к юзерспейсной программе на уровне 2 (TAP) или уровне 3 (TUN). Т.е. создается «виртуальный сетевой интерфейс» с привязкой к управляющей утилите.

2. TLS. Феерическое творение широко известной корпорации Нетскейп (да-да, той самой). Представляет собой юзерспейсную надстройку над socket API, для обеспечения безопасной передачи на транспортном уровне. Именно поэтому раньше называлось SSL, а после стандартизации в IETF — TLS. Раньше работало исключительно через TCP, с недавних пор — может работать через UDP.

3. Раздутого ЧСВ и феерического идиотизма.

Ясен пень, феерическая идея соединить через сеть две юзерспейсные tun/tap программы витала в воздухе. И конечно же, прийти могла исключительно в тупую бошку школьника-хакира. Не, чисто с хакерской точки зрения идея классная: хошь трафик снифь, хошь свой мегафайрвол делай, хошь шифруй... Но только конченому ублюдку могла в голову прийти идея использовать подобную конфигурацию в условиях реальных сетей.

И даже целый базис под это подвели: мол нехватка адресов, мол NAT, мол простая конфигурация.

Первые версии OpenVPN работали через TCP. Т.е. в TCP пихался еще один IP+TCP. Режим работы называется «тупняк на канале». Особые извращенцы пихали еще и Ethernet+IP+TCP. Этот режим работы называется «и еще прощай MTU».

Когда в OpenSSL таки запилили поддержку DTLS, появилась возможность работы через UDP.

Еще одной вещи, которую вэ-пэ-энщики отказываются понимать, это то что есть программы хронически не приспособленные для работы через интернет. Т.е., говоря простыми словами, начинают феерически тупить в случае возникновения потерь и задержек. Даже без учета тупняка, вносимого туннелем.

Решение, было моментально найдено: пышным цветом расцвели Цитриксы и прочие Терминал серверы. А какой базис под это дело подвели маркетоиды... У-у-у-у. Опенвпнщикам и не снилось...

Короче говоря, слушай сюда. Звонишь своему провайдеру: «Я хочу Ethernet порт от точки А до точки Б». По полученному порту пускаешь IPSec в транспортном режиме. Если хочется чего-то попроще, то stunnel, но учти что он имеет тенденцию тупить на хреновых каналах. Профит.

В последних версиях можно вытащить веб-морду 1С по TLS с аутентификацией по клиентским сертификатам.

И делай мне и себе одолжение: не терпи и не нищебродствуй. 90% российского ИТ состоит из терпил и нищебродов, из-за чего находится в полной ж...

Анус себе током сожги, и провайдера своего забери в тот гондурас или боливию, из диапазонов котороых эти упыри выбирают айпишники внутри своего езернет порта от точки а до точки бэ, а потом настрой за одним натом своё сыско, а с другой — что-то отличное от него, чтобы авторизовало по сертам.

Документаци ОпенВПН неосилятора тред

Крутой комент. Даже осилил. Спрашиваю по делу.

Разработчиков же OpenVPN нужно при большом стечении народа сжечь током низкого напряжения. За то что свой тупорылый «хакирский» проект.

Если забить на:

Еще одной вещи, которую вэ-пэ-энщики отказываются понимать, это то что есть программы хронически не приспособленные для работы через интернет. Т.е., говоря простыми словами, начинают феерически тупить в случае возникновения потерь и задержек. Даже без учета тупняка, вносимого туннелем.

и на хомяков, то чем OpenVPN плох? Ну вот я допустим хочу криптованый тунель от дома к работе или ли на работе гонять все через свою впс (что бы никакой админ корпорации в которой я работаю ничего не видел, ну что я гуглю и т.д.), то чем он не походит?

2. TLS. Феерическое творение широко известной корпорации Нетскейп (да-да, той самой).

Чем TLS плох в том виде к котором он есть? (да у него ейсти недостатки)

да ты что?

это вам на уроке информатике уже про сети начали расазывать?

tun - это udp, возможна потеря пакетов. tap - это tcp

Что за эпический бред?

Если ты можешь выбирать между tun и tap, то выбирай tun

Выдыхай

я работаю ничего не видел, ну что я гуглю и т.д.

Гугл давно и прочно перешел на TLS.

Если у тебя аутентификация по сертификатам, то тебя я разочарую: при TLS хэндшейке сертификаты (и серверный и клиентский) передаются в открытом виде.

Так что если «админ корпорации» захочет видеть, то он увидит достаточно чтобы был повод прийти и расхерачить тебе коленные чашечки разводным ключом.

Не знаю про какие «корпорации» ты тут говоришь, но в корпоративном мире левые VPN запрещены под страхом смертной казни.

SSH, stunnel или SOCKS конечно же не такие брутальные и не так тешат ЧСВ.

Чем TLS плох в том виде к котором он есть?

Не защищает от существующих типов угроз.

Не знаю про какие «корпорации» ты тут говоришь, но в корпоративном мире левые VPN запрещены.

Ну да. Только не под страхом смертной казни.

Конфиг примерно такой:

ca inline
cert inline
key inline
tls-auth inline 1

remote-cert-tls server
ns-cert-type server
cipher AES-256-CBC

Даже с таким конфигом он может если даже захочет видеть мой трафик? (расхерачить мне коленные чашечки разводным ключом)

Даже с таким конфигом он может если даже захочет видеть мой трафик?

А на кой админу твой унылый трафик? Для принятия решения, админу достаточно посмотреть TLS хэндшейк.

Кажется tap можно объединять в мост с eth, но я не пробовал.

Кажется tap можно объединять в мост с eth

Креститься надо, когда кажется. И, да, можно.

Если нужно только IP - выбирай tun.

Одни советуют dev tun, другие dev tap. В чем принципиальные плюсы и минусы того и другого? По опыту знаю только, что tap настроить проще.

Моя темя Рецепт приготовления туннеля между сетями?.

• Я не замечаю, на глазок, что что-то быстрее чего-то в одинаковых условиях.
• Возможности tap шире, он ближе к кабелю, чем к операционной системе. Человек на том конце и его софт будут думать, что он воткнут прямо в switch в офисе. Здесь оверхед появится бродкасты и т.п., если это не разрулить.

Мне tap более удобен. Чем лучше tun на практике («я одну часть головы помыл..., вторую...») я не нашел.

Для 1С может и tap понадобится, все зависит в какой позе, на том конце ее эксплуатировать и как она настроена в офисе. Осбенно если тому концу нужно найти ключ hasp если он в офисе.

Macil, а что скажешь касательно tinc?

Прочитал феерический бред. День прожит не зря.

// а как твоя болезнь называется? промышленное оборудование головного мозга? или что-то другое?

а что скажешь касательно tinc?

Ничего не скажу. Не знаю.

Если ты про то что и tinc использует TUN/TAP и OpenSSL, то я и не критиковал TUN/TAP саму по себе. Повторюсь, с хакерской точки зрения это очень хорошая идея.

С TLS, все несколько сложнее:

1. Во-первых, TLS не обеспечивает Deniable authentication. Что это такое, зачем это нужно, и как реализовывается, рассказать в двух словах сложно... Кроме того, сколько раз я про это не рассказывал, все время встречал волну непонимания. Поэтому, отошлю к трудам и видеолекциям Яна Гольдберга (автора OTR). Он затрагивает очень и очень интересные вопросы, в том числе и философские, которые просто обязан иметь ввиду любой пользователь и разработчик любого криптопротокола.

2. Во-вторых, при TLS хэндшейке сертификаты передаются в открытом виде. Т.е. ты добровольно передаешь уникальную трекинговую куки на каждое свое соединение, да еще и криптографически связанную с твоим закрытым ключом. Кроме того, еще и прилежно передаешь при каждом пересогласовании ключа, а вдруг компетентные органы «забыли» записать в первый раз. Крайне «положительно» влияет на анонимность, правда?

А возвращаясь к tinc, типичный хакерский проект, который прилежно пилится вот уже 15 лет и не претендует на роль единственного спасителя человечества от «демонических сил».

И последнее, есть масса вопросов, которые просто так и не классифицируешь. По мне так реальный эксплоит в виде флешки в PDF (да-да, именно в PDF), эксплуатирующий именно уязвимости флеша, умеющий достаточно глубоко интегрироваться в систему (до патчинга IAT explorer.exe), притом без обладания административными правами и эксплуатации уязвимостей винды, вещь намного более насущная, чем АНБ, Сноуден-бои, призм, криптография, сетевая анонимность и сетевая нейтральность вместе взятые.

Прочитал феерический бред.

А ты опровергни!

Болезнь называется «старость». Доживешь когда-нибудь.

tinc шифрует публичный-приватным ключем, да, полностью согласен, держи плюсик в карму!

и шо оно этим добивается? или ты иронизируешь на тему болезного регистранта-хакира?

для работы в 1С: Предприятие.

Какие базы? Сколько пользователей? Откуда подключаться будут? Это к тому, что толстый клиент 1С требует толстого канала.

На двух мегабитах пара клиентов напрямую к серверу восьмёрки подрубается и без проблем с документами работает, тонкий клиент по гпрсу вполне фурычит, так что не выдумывай

На двух мегабитах пара клиентов напрямую к серверу восьмёрки подрубается и без проблем с документами работает, тонкий клиент по гпрсу вполне фурычит, так что не выдумывай

Пока только ты тут условия задачи ТСа выдумываешь.

нет ты. Там, например, вовсе может не быть живых пользователей 1C.

п.с.: модератор — либерал!

Почему ты лепишь до кучи L2 и L3? Не везде может быть Ethernet. Как на счёт радиолинков? Или при использовании нескольких провайдеров, при этом L2 сегменты провайдеров никак не пересекаются и нужно делать тоннель поверх L3?

Посоны... я тут посмотрел на ваши авы случайно O_O

http://dump.bitcheese.net/images/ugynyfe/07.png

Лучше сдохнуть, чем дожить до такого. %)

Под «Я хочу Ethernet порт от точки А до точки Б» ты скорее всего подразумеваешь MPLS на провайдерской стороне? Надеюсь не предлагаешь каждому абоненту платить за отдельный физический канал? Так вот, Frame Relay/MPLS и всякие l2tp/pptp/openvpn решают несколько разные задачи. Например, мне нужен канал с гарантированной пропускной способностью между 2 зданиями по 500 узлов в каждом - да, MPLS. Или же нам нужно подключить представительство в другом городе с штатом в 5 человек, скорость и доступность не так критичны - l2tp + ipsec. Мухи отдельно, котлеты отдельно. У каждой из этих технологий свой юзкейс.

Там, например, вовсе может не быть живых пользователей 1C.

Не хочешь спросить об этом ТСа? :)

Судя по его вопросу и развитию треда, он мог и руки на себя наложить, так что ответа мы всё равно не дождёмся.

скорость и доступность не так критичны - l2tp + ipsec

У тебя давно пакеты между соседними компами через Франкфурт, или, Господи прости, через Амстердам ходили?

Кстати, заметь, против L2TP я вообще ничего не говорил. И лепить в одну кучу L2TP, OpenVPN а тем более PPTP — не совсем корректно.

Туннели — необходимое зло. Но согласись, во-первых обычно оно смотрит в DMZ головы, а не просто тупо в её сеть, во-вторых, разводить туннели ради подключения 1 (прописью: одного) сервиса — глупо, тем более через TAP.

Почему ты лепишь до кучи L2 и L3?

Не очень понял. Объясни по-подробнее.

Представь, что в крупном городе есть главный офис. А также десяток мелких офисов в пределах города и за его пределами.

Офисы подключены разными провайдерами (даже в городе), потому что нет мегопровайдера, который покрывает всё.

Одни провайдеры продвинутые и предлагают целый пакет услуг, но гораздо больше говнопровайдеров (разного масштаба), которые весьма несговорчивы.

Как ты предлагаешь организовать схему?

но гораздо больше говнопровайдеров

Только инет у говнопровайдеров покупать вообще бесполезняк: у них ничего дельного-то и по каналам можно добиться только прямыми звонками ответственным лицам и только при условии соблюдения определенной схемы обращения. С инетом же, вообще полная засада.

Как ты предлагаешь организовать схему?

Вопрос праздный. Какая структура каналов? Требуется ли офисам общаться между собой? Требуется ли резервирование? Будем ли поднимать динамическую маршрутизацию? Сколько бюджет?

Нет, конечно, можно поставить в голову OpenVPN, и не взирая не физику, лирику, NATы, бродкаст-домены, и тараканы провайдеров (запрет GRE, IPSec и т.д.), запилить сеть в бридж-режиме... Но ведь и бошка ответственным сотрудникам дана не для того чтобы в нее есть.

1) tun.
2) просто не мешай ему это делать.

1) чем? 2) Как удостовериться, что оно есть?

Живые пользователи есть. Толстый клиент по VPN пускать - я еще не собираюсь накладывать на себя руки. Только тонкий.

Вы, по-ходу, единственный, кто пытался сравнить на таком уровне. Спасибо, вопрос был, частично, об этом. Все остальные упираются рогами во фразу «L2 и L3».

Спасибо

Не за что