VPN

Klasično vprašanje: za domačo (zastonj pojedina) ali poslovno rabo (koliko ste pripravljeni investirat?)?

Za domačo rabo se je OpenVPN kar precej zasidral, saj je implementiran na vrsti routerjev. Sčasoma se pojavljajo tudi cenejši routerji, ki podpirajo IPSec, vendar tega ni ravno veliko.

Na drugi strani pa se na komercialnem področju najde cela vrsta implementacij IPSec, SSL in L2TP VPN implementacij. Od takšnih, ki so čisti software, pa do namenskih naprav 'SSL Gateway'.
Temu ustrezno pisano je potem tudi področje klientov, ki se uporabljajo za dostop do teh VPN prehodov.

Kaj je za tebe 'masovna stvar'? 10? 100? 10000 uporabnikov?

OpenVPN je krasen, če imaš manjše število uporabnikov. Vendar stvar postane komplicirana, ko število enkrat resno naraste. Takrat moraš začeti gledat za platformo, ki nudi strojno pospeševanje enkripcije, sicer vse skupaj ne bo več šlo nikamor.

Dodatno se ti prične pojavljati težava z upravljanjem uporabnikov, saj boš želel čim manj komplikacij z nameščanjem odjemalcev, dodeljevanjem pravic, kasneje pa tudi z brisanjem uporabnikov, ki nimajo več dostopa.

IPSec velja za bolj 'profesionalnega', ima pa to težavo, da marsikateri hotel ne spušča ven IPSec prometa in moraš imeti na voljo SSL VPN backup, če želiš nuditi dostop od vsepovsod.

Če se gre za poslovno rabo, potem ima tvoja stranka verjetno že kakšno spodobno požarno pregrado (upam!). Ponavadi že te ponujajo VPN dostop za odjemalce. Tako da moraš preveriti tudi to opcijo....

O čem se zdaj pogovarjamo - o VPN strežnikih ali VPN klientih?

Če že imaš določeno, kaj boš uporabljal kot VPN strežnik, potem je zgolj vprašanje, katerega tipa je - IPSec, SSL ali L2TP VPN.

Ker praviš, da si OpenVPN 'že zrihtal', previdevam, da so tvoji strežniki SSL VPN tipa. Večina teh bazira na OpenVPN, zato tudi lahko skoraj pri vseh uporabljaš OpenVPN klient.
Celo komercialni odjemalci pogosto bazirajo na OpenVPN odjemalcih (posumiš po tem, ker se konfiguracijo prenese kot .ovpn datoteka).

Drugače pa mi ni čisto jasno, kaj naj bi se to šel. Cca. miljon uporabnikov ne vem niti, če jih imajo tisti veliki VPN hosting providerji. 1000 VPN serverjev? Samo da ne bo potem še podatek o internetni povezavi, ki ima 100/10 Mbps, lokacija strežnikov pa v kleti poleg kurilnice....

PPTP pozabi - nebi ga priporočal niti starimami s staro Nokijo.
L2TP pa imaš že v Windowsih vgrajen, pa ti ni prišlo na misel, da bi ga preizkusil?

In kako veš, da je težava na strani OpenVPN klienta, ne pa na strani strežnika? Meni npr. na mobitelu OpenVPN klient odlično deluje.

Če TEBI klient nagaja pri tvojem ponudniku hostinga s TVOJEGA računalnika, to še ne pomeni, da tudi vsem drugim uporabnikom.

Pri VPN klientih je drugače hitro lahko težava, če imaš več kot enega nameščenega, tako da imej tudi to v mislih!

Če bi podpiral tudi klasični IPSec, je daleč najbolj 'kompatibilen' klient od nemške firme NCP, ki pa ima za PC platformo kar solidno ceno - medtem ko za mobilne platforme obstaja 'light' verzija, ki stane tam okoli 2€ in mi odlično deluje.

Drugače ima NCP tudi lasten VPN strežnik (software), ki skupaj z njihovim klientom omogoča avtomatski fallback z IPSec na SSL VPN, imajo poseben centralni management za kliente, kot tudi strežnik za odjemalske licence. Skratka ena najbolj celovitih rešitev, ki je na trgu na voljo. Žal za kar solidne denarce.

Kljub vsemu mi ni jasno....

Če si VELIK provider VPN storitev, potem bi moral imeti svojo ekipo, ki skrbi za takšne zadeve, po možnosti pa se tudi povežeš s kakšnim proizvajalcem tovrstnih rešitev, ki se je dokazal na trgu, kot npr. NCP.

Potem se pa pojaviš ti, kot one man band, ki niti dobro ne poznaš VPN Client landscape-a in jih kao neki rešuješ?

Doesn't fit together.....

Nisem Cisco uporabnik, če se pa že moram povezat na keri Cisco, pa uporabim NCP klient.

Mislim, da AnyConnect (kakor sem gledal neke prezentacije) kar precej mučka z raznimi oblačnimi servisi. Ne vem, ali nujno, ali opcijsko. Vsekakor mi ideja, da bi shranjeval VPN konfiguracije nekam v oblake, namesto na lastno omrežje ni ravno preveč pri srcu.

Kot sem rekel, nisem uporabnik AnyConnecta in se lahko motim. Mogoče sem tudi kaj narobe razumel.

Bi pa bil tudi previden pri kompatibilnosti. Kar nekaj teh klientov dela izključno z gatewayi določenega proizvajalca, tako da ni druge, kot testirat in še enkrat testirat. Tudi NCP dela neke OEM variante svojih klientov, ki (namerno) delujejo izključno z gateway rešitvami OEM partnerja.

Za IPSec sem drugače uporabljal še ShrewSoft-ov klient. Saj dela.... samo nima tiste diagnostike, kot jo ima NCP (ko se človek razvadi...).
Kot rečeno, pa meni tudi OpenVPN lepo dela, zato ni 2x za reči, da nimaš kakšne težave na gateway strani in ne na klientovi strani.

Si preizkusil SoftEther VPN? Opensource zadeva, ki baje podpira vse živo, pa še na vseh mogočih platformah dela.

Jaz bi to dal takoj na naslednje mesto za pretestirat.

Pri eni stranki imam Cisco koncentrator in AnyConnect odjemalce. Ne potrebuješ nobenega oblaka za shranjevanje konfiguracij. Deluje brez težav in je dosegljiv za Linux, Windows in OS X platformo. Toda kolikor vem deluje le s CISCO VPN strežniki.

Drugače pa meni najboljši oz. najljubši je OpenVPN in avtomatika za odjemalce itd. Če iščeš Enterprise verzijo serverja z malo več možnostmi upravljanja in automatično namestitev odjemalcev mi je všeč OpenVPN-AS. Je pa res, da je to OpenVPN, ki ti ni všeč.

Ne morem pa govoriti o ogromni številki uporabnikov, največ kar jih imam je cca. 100 uporabnikov na Cisco ASA z AnyConnectom ali Cisco IPSEC Clientom.

Ja, za Anyconnect clienta potrebuješ Javo.

da si malo sposodim temo.
Če imam dinamični ip, v routerju nastavljeno da mi redirekta na no-ip trenutni ip, s katerem pol dostopam do raznih zadev preko domene, me zanima ali bo vpn povezava, ki je nastavljena na routerju(t-link nadgrajen z dd-wrt) delala preko no-ip domene ali moram uporabit dejanski ip.
Načeloma bi moralo delat preko domenskega imena, ali?
Upam, da sem koliko toliko razumljivo napisal.