OpenVPN a kontrola pusnutych route

Zdravim vas pratele, chtel bych se dotaz zkusenejsich na takovy muj koncept/napad, jestli by byl mozny uskutecnit na OpenVPN.

1) Je mozne (i za cenu toho, ze pro kazdeho uzivatele budu mit vlastni config i na strane serveru) pushnout uzivatelum routy?
2) Pokud ano, je mozne nejak kontrolovat, ze si uzivatel neprida dalsi routy v configu, ktere mu nepushnu?
3) Popr. bylo by mozne nejak zkombinovat default routy, ktere se maji pridelovat podle jednotlivych oddeleni + vyjimkam pushnout dalsi routy (samozrejme za predpokladu viz bod 2)?

Predem dekuji za Vase odpovedi a postrehy, nevim, zda jsem problem zformuloval dostatecne srozumitelne - pokud ne a byl by nekdo ochotny mi venovat chvili casu, rad problem popisu lepe.

Odpovědi

Proč nechceš bod 2 řešit firewallem na koncentrátoru, nebo někde na perimetru? Myslím, že je to čistší a jednodušší řešení.

Neznáš nějakou linuxovou distribuci pro Windows?

11.2.2011 19:01 Honza
Rozbalit Rozbalit vše Re: OpenVPN a kontrola pusnutych route

To je pravda, tohle je zatim v takovym konceptu - chtel jsem puvodne koupit napr. Cisco ASA, ale to mi sem bohuzel nikdo nekoupi a nedoslo mi, ze ta tuhle politiku taky zpracovava vlastne firewallem. Jde mi o to, abych se funkcnosti pri pouziti OpenVPN co nejvice priblizil moznostem prave treba Cisco ASA (samozrejme chapu, ze toho nedosahnu, ale alespon ty groups a co nejvetsi orezani moznosti upravy na strane klienta).

11.2.2011 20:51 cynic_asshole | skóre: 28
Rozbalit Rozbalit vše Re: OpenVPN a kontrola pusnutych route

Kolik tam bude nejvíc připojenejch uživatelů v jeden moment? Nezvládnul by to nějakej starší PIX? Na nich se taky daj navazovat VPNky. Nebo něco od Juniperu či Checkpointu?

Neznáš nějakou linuxovou distribuci pro Windows?

13.2.2011 19:27 Honza
Rozbalit Rozbalit vše Re: OpenVPN a kontrola pusnutych route

No samozrejme, kdyby mi tu nekdo schvalil HW, tak jdu do toho..ale tohle je momentalni zadani. Udelat novy VPN server na virtualu (zatim bezi i s dalsimi sluzbami na starym zeleze), s takovyma featurkama co jsem popsal.. VPN vyuziva momentalne cca 250 zamestnancu a soucasne se jich vic jak 50-60 nepripoji.

1) policy

2) firewall

3) ad 1.

11.2.2011 19:01 Honza
Rozbalit Rozbalit vše Re: OpenVPN a kontrola pusnutych route

Dekuju za strucne rady. Proctu Policy a snad budu chytrejsi..

Jeste bych se rad zeptal na dve veci (jinak moc dekuju, kontrolu teda nebudu resit pres nejakej push route ale na iptables primo na serveru):

1) Je mozne pozadovat na openvpn i login:heslo? Aby byla mozna autentizace nejen pomoci ceritifikatu, ktery muze BUF lehce ztratit na CD, popr. nechat nekde nahrany (politika je jedna vec, ale praxe vec druha), ale pozadovat i autentizaci heslem? Nejlepe kontrola oproti LDAPu? Ale to uz si asi hodne vymyslim ;-)

2) Tak na to uz jsem prisel, slo mi o pushnuti dhcp options - ale hned jsem nasel http://openvpn.net/index.php/open-source/documentation/howto.html#dhcp

14.2.2011 09:27 NN
Rozbalit Rozbalit vše Re: OpenVPN a kontrola pusnutych route

Nasel jsem tohle:

http://code.google.com/p/openvpn-auth-ldap/

peipadne neco uz je hotove:

http://openvpn.net/index.php/open-source/documentation/howto.html#auth

14.2.2011 09:27 Honza
Rozbalit Rozbalit vše Re: OpenVPN a kontrola pusnutych route

A jsem slepota, odpovim si opet sam - treba to pomuze nekomu dalsimu az tu bude hledat - http://openvpn.net/index.php/open-source/documentation/howto.html#auth :)

Dotaz: OpenVPN a kontrola pusnutych route

Odpovědi