W dniu niedziela, 29 kwietnia 2018 09:29:16 UTC-5 użytkownik Mateusz Viste napisał:
> On Sun, 29 Apr 2018 07:06:49 -0700, sczygiel wrote:
> > PS. Ja uwielbiam openvpn. majac mala wirtualke w jakims ovh mozna spiac
> > ze soba w siec maszyny siedzace gleboko za nat-ami, w roznych
> > podsieciach, i caloscia zarzadzac calkiem zgrabnie. Byle tylko ktos huba
> > nie shackowal ;)
>
> To o czym piszesz wyżej załatwiam nieco inaczej: IPSec.
> Zestawiam tunele IPSec między satelitami a hubem, następnie w IPSecu
> puszczam tunel EtherIP, i spinam sesję BGP z hubem, który robi wtedy za
> route server i rozsyła ścieżki dynamicznie wszystkim satelitom.
>
> Bardzo fajnie to działa :)
>
> A OpenVPN jakoś nigdy do mnie nie przemawiał. Ma toto w ogóle jakieś
> swoje RFC?
>
>

Chyba ma, nie badalem na tyle dokladnie aby miec potrzebe dlubania. Mi wystarczy ze
dziala i z tego co piszesz jest prostsze niz Twoje rozwiazanie.

Do uzycia trzeba w praktyce trzech komponentow:
-klienta openvpn
-serwera z konfiguracja (tu sie trzeba nieco nadlubac z certyfikatami, CA, adresacja)
-sensownej konfiguracji firewalla

Z praktyki widze ze calosc jest bardzo stabilna, komponenty sie same lacza w
przypadku utraty polaczenia, calosc dziala po udp i trudno jest wykryc ze vpn
nasluchuje bo trzeba mu najpierw odpowiedni zestaw pakietow wyslac z kluczem aby sie
odezwal. Moje instalacje dzialaja latami bez zbytniego dlubania.

Ale w korpo wielu instalacji openvpn nie widzialem. Zazwyczaj cisco albo podobne
konfigi jak opisales.

Generalnie najbardziej mi sie podoba w tym to ze mozna miedzy nat-owanymi serwerami
wykonywac polaczenia jak w LAN-ie. I calosc jest przejrzysta a przy tym relatywnie
bezpieczna. Plus kazdy user ma swojego certyfikata/klucza. Latwo sie wtedy userami
zarzadza bo mozna zablokowac albo wogole wydac certyfikat tylko na miesiac...