OpenVPN server
Zdravím.
Asi neumím hledat.
Jak je to s openvpn pro firemní počitač?
Potřebují něco jen pro 1 max 2 uživatele a šef je škrblik 
Zpět do poradny Odpovědět na původní otázku Nahoru
poradna.net
Neregistrovaný Přihlásit Registrovat
Nestačl by Tor? Proč to firma potřebuje?
How to
Budujeme OpenVPN sieť - Inštalácia klienta
Vygenerujte víc klientských certifikátů do zásoby, poněvadž s jídlem roste chuť.
Na firmě jsou 3 IP kamery a nechceme je davat ven na internet.
U šefa je počítač s win 10, který jede furt a není na něm nic než nějaký servr ke 2 čerpačkám, takže bych to nainstaloval tam.
Toto jsem už zkoušel kdysi.
https://openvpn.net/community-resources/how-to/
Jen nevím jak je to s tou licenci pro firmu.
Já mam doma asus routr s OpenVPN a klienta v noťasu i na tabletu a spokojený
OpenVPN je šířený pod GNU GPL licencí takže to ve firmě řešit nemusíš. Prostě nainstaluj, nastav a aktualizuj.
Na pripojenie do firemnej siete nemusis pouzivat OpenVPN, ale kludne pptp spojenie integrovane priamo v kazdom windowse.
Vyhoda je, ze nemusis nic instalovat a vystavovat ziadne certifikaty. Staci vediet heslo, respektive mat vytvoreny acc na pptp servri.
OpenVPN je vhodny pre paranoidnych ludi, pre pc bez verejnych ip, pre spojenie 2 pobociek a pod.
To jako fakt radis pptp? To pptp, co zvladne cracknout i prumerne script kiddie? To pptp, ktere i sam Microsoft radi nepouzivat vubec na nic?
Od tebe bych si teda infra spravovat nenechal.
Tak mi ho crackni, ked to zvladne aj decko. Puzivam ich desiatky. Jaj ty nemozes, ze? Preco? Ved to zvladne aj decko nie?
Ano radim to, pretoze nikto nebude utocit na malu firmu, co by tym ziskal asi tak a navyse pptp sa neda naburat len tak ako tvrdis...musel by si mat pristup do siete a tam si dovolim tvrdit, ze ti nepomoze ani OpenVPN. Na lanke som bezne na intraku hackoval ssh spojenia, pretoze 99% userov ti odklepne zmenu fingerprintu, pretoze nevedia, co to je.
Ked si paranoidny pouzi l2tp/ipsec, tiez nemusis nic instalovat.
Velkost zabezpecenia sa rovna velkosti rizika, pptp je plne pouzitelny pre beznych userov a ja spravujem desiatky, mozno aj stovky pptp kont pre roznych klientov.
OpenVPN vyzaduje znalosti, musis pochopit ako funguje overovanie, musis vystavovat certifikat a distribuovat ich klientom...atd.
Pri pptp naucis spravovat server aj cvicenu opicu.
Staci te potkat na otevrene wifi a odchytit si tvuj pptp provoz.
A ano, i mala firma muze byt zajimavym cilem.
Takze jeste jednou. Jsi s takovymto pristupem (mala firma je nezajimavy cil) diletant a jako spravce infra bych te nechtel.
Aha, takze budes na mna cihat v otvorenej sieti, budes mat spusteny wireshark a cihat na moje pptp packety.
Tvrdis rovnaku blbost ako keby som tvrdil ja, ze inet banking, ssh, alebo https nie su bezpecne...pretoze si pockam na teba v otvorenej sieti a kedze si bfu spravim mitm a ty si nic nevsnimnes. Alebo rovnako mozem tvrdit, ze na rovnakej wifi sieti ti naburam tvoju sifrovanu komunikaciu cez krack alebo kr00k. Ved je to taka lahke nie? Na kr00k este nevysli ani patche.
Bavime sa o beznych useroch a firmach a tomu zodpoveda aj filozofia bezpecnosti.
Nie kazdy musi jazdit kvoli pocitu bezpecia v tanku...staci aj auto alebo motorka ver mi.
Hlavne nesir bludy ako mi hacknes akekolvek pptp spojenie.
Udelame teda pro mistni osazenstvo verejnou prezentaci? Ja do toho s klidem pujdu.
Neviem, co si pod tym pojmom predstavujes.
No, normalni setkani se nekde (deji se treba srazy lidi z poradny?) a udelat verejnou demonstraci.
Ja si za svym nazorem a schopnostmi stojim.
Zrazy sa uz nerobia, ja si za svojim nazorom stojim tiez.
Neviem kolko mas rokov, ale je kludne mozne, ze ja som hackoval, ked si ty tahal este drevenneho kacera po dvore;o).
Nemusim byt lepsi ako ty, ale skusenosti mam urcite viacej ako ty vzhladom na vek, takze viem o com hovorim.
Skus si precitat moje clanky z drevnej doby, mozno pochopis princip toho, co pisem.
https://pc.poradna.net/articles/344738-hackujeme-lan-siete
https://pc.poradna.net/articles/345083-ne-bezpecnost-bezdrotovych-sieti-hackujeme-wlan-siete
Hlavne druhy sa tyka aj tejto situacie, pretoze som ho pisal v dobe, ked sa tvrdilo, ze wep je zbytocny, pretoze sa dalo prelomit uz v tej dobe pomerne rychlo aktivnou injektazou. Problem bol, ze toto zvladalo par ludi, takze v praxi bolo riziko skoro nulove a moj wepove spojenia neboli nikdy hacknute (aspon o tom neviem;o)). Hlavne, ze ludia na nete vykrikovali ako si treba vypnut wep, pretoze je uz prekonany. Fungoval pomerne spolahlivo este dlhe roky ti mozem potvrdit.
Naopak moja otvorena wifi lakala vselijakych majsterkov, pretoze mali vyclenene pasmo z dhcp, kde mali istu rychlost zdarma (kazda moja wifi bola free zonou), ale akonahle sa pokusil ist do rozsahov mojich klientov zacal som sa bavit ja snifovanim jeho trafficu. Bola sranda ako s tym rychlo prestal, ked som mu napisal, ze mam logy o tom, kde bol, co robil, s kym si pisal a ake ma heslo do emailu. Vacsinou som ho uz na sieti nevidel.
Ja netvrdim, ze pptp nie je prekonany, nicmenej podmienky na jeho prekonanie nemozme zdaleka naz7vat beznymi, a preto je mozne ho pomerne bezpecne pouzivat v praxi.
Nakoniec ty sam sa dozadujes, aby sme boli na jednej wifine, kora musi navyse splnat podmienky (ziadne vlan, izolacie klientov a pod) a potom mi ukazes slabinu pptp.
A ja ti rovnako ukazem slabinu inych protokolov na rovnakej sieti.
Ano hacknut OpenVPN nie je vobec jednoduche a musia byt pri tom splnene este specifickejsie podmienky, ale pouzitie openvpn je pre bezneho usera, admina, ci firmu relativne zlozite.
Aby nedoslo k mylke....pred erou TV som pouzival u vsetkych mojich zakaznikov OpenVPN + TightVNC potom vsak prisla doba MT ako hlavnych bran do sieti a ja som presiel na pohodlnejsie pptp/l2tp alebo pppoe spojenia. Open VPN uz dnes asi nikde nepouzivam.
Btw pripominas mi zopar "core" adminov, ked poviem, ze na sieti s napr viac ako 100 zariadeniami nepouzivam domenu s active directory ako sa na mna divaju s opovrhnutim a to len preto, ze mam nazor, ze v istych situaciach prinasa taketo riesenie viac problemov ako osohu.
Napisem ti este jeden z dovodov preco nemam rad kanony na vrabce.
Vacsina mojich kamosov z vysky robi pre rozne korporatne spolocnosti a tych pribehov som sa uz napocuval dost. Tam je pravidlom, ze IT podporu maju z materskej firmy, alebo ako je trendom v poslednej dobe dokonca externu zahranicnu (vacsinou indicku), takze si vo firme s prisnymi bezpecnostnymi pravidlami nepipnu.
A to je prave ten problem, za prve zbytocne robustny bezpecnostny system, za druhe strasne zle nastaveny system podpory a potom mi povie kamos na lyzovacke (vyrobny riaditel strednej firmy), ze mesiac reklamuje poruchu mailovej komunikacie, ze to napisal ich IT poverencovi, ten mu po 2 tyzdnoch odpisal, ze ma kontaktovat rakusku podporu a ta mu neodpisala dodnes. Ako je to mozne? A to nehovorim o beznych pripadoch, ked AD vo firme je "podporene" hw dodanym materskou firmou a potom riesime uzke hrdla na sieti lebo switche su tam TP-Link a Netgear, ktore by som ja nedal beznemu userovi ani na doma? Hlavne, ze brany su Sophosy lebo Nemcuri nevedia nic ine obsluhovat. Vlastne oni to nevedia ani tak, pretoze sme 2 roky riesili ako rozdelit traffic z firmy cez branu na 2 ISP (jednym z nich som bol ja). Nemci ma dokolecka bombardovali so ziadostami, co je u mna ako u ISP zle nastavene.
A poviem ti toto nie jediny pripad, kde nefunguju zakladne procesy vo firme, cim vacsia tym horsie vacsinou.
Takze snazme sa pre zakaznika spravit funkcny system, ktory nie je zbytocne robustny, nie kazdy musi jazdit na Mercedese, ci BMW, odvezie aj Dacia.
Dufam, ze si pochopil preco su integrovane Win VPN riesenia vhodne pre kopec zakaznikov a preco nemusi byt zabezpecenie vzdy alfou a omegou.