OpenVPN pro stovky klientů

[Lol Phirae]

To je dobrý, že to je zdůrazněný v manuálu. Eště bys jim k tomu měl dodávat ceduli "Z technických důvodů zavřeno". 

[Reklama]

[javaman ()]

Jen se nenech od zdejších lopat odradit. Umí akorát kecat o tom, jak by se to mělo, ale nikdo z nich nic nedělá

Jen tak dál!

[Tuxik]

Samozřejmě to funguje offline.
Internet to potřebuje jen po zapnutí.
Poté je LUKS otevřený a zamkne se to zase až po restartu.
Samozřejmě pokud dojde ke kolizi a internet spadne a oni při tom budou restartovat raspberry, tak to fungovat nebude do připojení internetu, ale ta pravděpodobnost je fakt minimální a v manuálu je to zdůrazněno.
Poté co se obnoví internet, se pomocí cronu odešlou účtenky do EET.(Máme implementovaný buffer, který skladuje FIK kódy pro možný výpadek internetu.)
A také nabízíme možnost 4G modemu jako záložního zdroje internetu.

Ta pravděpodobnost je bohužel výrazně vyšší, než si myslíš. Stačí zakolísání napětí, všechno ti popadá a obzvláště adaptéry od levných routerů to bohužel až příliš často nedávají a odcházejí. 4G modem je samozřejmě částečně řešení, ale stejně nic moc. Ale tak ve výsledku proč ne. Stejně tak může odejít ta malina nebo její zdroj a stejně nemá nic. Ještě bych možná umožnil doplnit instalaci i USBčkovým wifiovátkem. Sdílení netu přes wifi umí skoro každej chytrej foun a i když někdo nemá na to tarif, jeho zprovoznění je otázkou jednoho telefonátu operátorovi. Asi pořád lepší, než zavírat hospodu a navíc wifi čurapajdl do USB stojí asi 150Kč, což je výrazně míň, než 4G modem.

[Tuxik]

Jen se nenech od zdejších lopat odradit. Umí akorát kecat o tom, jak by se to mělo, ale nikdo z nich nic nedělá

Jen tak dál!

Ano, to byla rozhodně nejkonstruktivnější rada celého tématu.
Javamen to právě vysvětlil, doporučuji lock, již není co dodat.

[javaman ()]

On za něčím jde a dává do toho všechno. Vy akorát kecáte, jak to dělat správně a sami stejně nic neumíte. Trochu pochopení.

Máš tu hromadu blbců, kteří se ptají na úplné píčoviny a nikdo jim nic neřekne. Ale tohle je asi zajímavé, protože ohrožuje lopaťáckou pohodičku a něco dělá.

[Reklama]

[Lol Phirae]

Ta pravděpodobnost je bohužel výrazně vyšší, než si myslíš. Stačí zakolísání napětí, všechno ti popadá a obzvláště adaptéry od levných routerů to bohužel až příliš často nedávají a odcházejí.

On nemusí ani odejít adaptér. Stačí, když ta malina bootuje rychlejc než router a naběhne taky hovno. (Nevím, jak tam má řešený timeouty.) Nicméně teda principiálně mít zařízení, ze kterýho nedostanu data, když dodavatel nefunguje nebo když mu prdne v kouli nebo když mu to někdo hackne a klíče smaže, tak to je teda zákazníkův sen. Zlatej zrecyklovanej Kellnerův tablet s Androidem.

[Tuxik]

On za něčím jde a dává do toho všechno. Vy akorát kecáte, jak to dělat správně a sami stejně nic neumíte. Trochu pochopení.

Máš tu hromadu blbců, kteří se ptají na úplné píčoviny a nikdo jim nic neřekne. Ale tohle je asi zajímavé, protože ohrožuje lopaťáckou pohodičku a něco dělá.

Dovol mi připomenout, že sem přišel pro radu, kterou dostal a evidentně ho zajímají názory ostatních. Ale nebudu kazit další vlákno nesmyslnou debatou s javadebilem, který nechápe ani jednoduché věty. Jestli chceš dokázat, že něco umíš, tak mu něco konstruktivního navrhni. Případně dokaž, že něco umíš. A to o vlákno vedle, kde jsi zatím ukázal jen to, že jsi ani javu, ani nic jinýho z IT neviděl ani z rychlíku. Tím s tebou zde končím.

[Lol Phirae]

Ale nebudu kazit další vlákno nesmyslnou debatou s javadebilem, který nechápe ani jednoduché věty. Jestli chceš dokázat, že něco umíš, tak mu něco konstruktivního navrhni. Případně dokaž, že něco umíš.

To je stejnej dement jako zabanovaná "semestrálka", mám občas podezření, že to snad je von.

[stan]

Každý klient má databázi u sebe v raspberry.
Na serveru je akorát databáze s tím, jaké moduly zakoupil a kdy vyprší a dalšími identifikátory klienta.

Dle toho co pises usuzuji ze planujes uchovavat data pouze v rpi na sd karte a neplanujes zadne pravidelne zalohovani dat. Tohle je dle me velmi blby napad, protoze sd karty jsou znamy svoji "spolehlivosti". Ber v uvahu ze planujes uchovavat zaznamy o EET na stovkach klientu, nedivil bych se kdybys nekolikrat do roka resil, ze se karta sesypala a zakaznik prisel o data(sifrovani zachranu dat neusnadni). Ja bych doporucil, aby vsechny dulezita data byly ulozeny na serveru, na rpi drzet data maximalne vygenerovane v offline rezimu, ktere se po pripojeni odeslou na server.

Klient nemá přístup na server.
Kažý server a každá aplikace v něm mají unikátní heslo.
Nejhorší, co se může stát, je, že se klient dostane do databáze na klientovi a to taky jen v případě, že už byl aktivován.
Partition s databází je šifrovaná LUKSem a odemyká se serverem po dotazu klienta na server.

Kdyz ukradnu rpi, pripojim si modul k netu a server pote rozsifruje  lokalni db. Ano muzes povolit pripojeni jen z urcitych ip, ale stejne v hospody/restartace... maji wifi pro navstevniky + beztak budou mit stejnou IP jak pulka mesta (slava NATU). Dalsi moznost je zablokovat ukradeny modul na serveru, coz by pomohlo pouze v pripade ze zlodej se bude snazit stahnout data pote co zakaznik nahlasi kradez. Pokud ziskam fyzicky pristup k modulu(nebo se na nej pripojim treba pres ssh) tak je ti sifrovani db k nicemu.
Dobra vec na sifrovani je ze si tam muzes dat nalepku ze pouzis sifrovani, ktere hrubou silou prolomis za xxx let. Pokud to chces stejne sifrovat vygeneruj klic treba z id hw, na bezpecnosti to neubere a rpi bude fungovat i bez pocatecni komunikace se serverem v offline modu.
Nabyvam dojmu ze neplanujes sifrovat z duvodu bezpecnosti, ale abys mohl snadneji vymahat penize za licenci. Nezaplatil -> nerozsifruji.

Co se tyce vpn, doporucil bych udelat dve.
Default - sem se budou pripojovat vsechny nove nahrane rpi, vsechny moduly budou mit spolecny certifikat.
Product - sem se budou pripojovat vsechny rpi prirazene k zakazniku, kazdy ma vlastni certifikat.

Umozni ti to mit jeden image pro nahravani modulu. Evidenci modulu uz stejne provadis v nejake aplikaci, tak k tomu staci pripojit nejaky skript co vygeneruje certifikaty, nahraje je na modul.

[Nobody (tenopravdupravej)]

Když tak sleduji, jak se každý sere do pokladen (naprogramovat kasu zvládne každá lopata i javamen), ale ostrý provoz jim nic neříká, už se těším, jak uživatelé po čase zapláčí ... (8 let jsem programoval kasy pro zahraniční firmu - info pro rejpaly)

[Darkhunter]

Takže znova.
Děkuju Javamanovi za podporu.
Tuxik se snaží poradit a já mu za to děkuju.
Data nejsou jen na raspberry. Člověk si může připlatit za replikacia a každodenní zálohu databáze.
A nevím, kde je rozdíl oproti Kellnerovo tabletu. Taky jim na serverech může rupnout v kouli a zákazníci nemají pak nic z jejich dat. Myslím, že se mě snažíš jen hejtovat. Buď trochu konstruktivnější Lol Phirae.
stan:
Jak se pak dostaneš do ukradeného raspberry?
Pokud vezmeš sd kartu a chrootneš jí, tak jí server neautorizuje a neunlockne db partition, protože tam nebudou všechna data z rpi, která k autoirzaci potřebuješ jako seriová čísla hardwaru a tak.
Šifrování je tam samozřejmě z obou důvodů. Mám kamaráda, co právě dělal pro storyous a říkal, že lidé pak licence ochcávali i po vypršení, proto tam ten lock taky je.

Nobody: Ano, přiznávám, že s pokladnami nejsem ostřílený matador a přiznávám, že se provozu bojím. Proto ale taky testuji v pěti hospodách ostrý provoz měsíc před tím, než to vydám.
A pokladny jsem ani dělat nechtěl, ale Babi.sh nařídil, že musí být eet, tkaže náš systém nemá šanci uspět, když každý bude mít pokladnu. Náš systém byl dělaný hlavně pro uzávěrku a automatizaci skladu...

A ano jsem mladý a skoro bez zkušeností, co se snaží prorazit mezi firmama s miliardovýma investicema a chápu, že to vypadá nedůvěryhodně, ale náš tým na tom pracuje každý den vesměs 16 hodin, takže jakékoliv urážky nevnímám, protože narozdíl od člověka, co mě uráží, vím, že se snažím aspoň něco dělat.

[Jenda]

Jak se pak dostaneš do ukradeného raspberry?
Pokud vezmeš sd kartu a chrootneš jí, tak jí server neautorizuje a neunlockne db partition, protože tam nebudou všechna data z rpi, která k autoirzaci potřebuješ jako seriová čísla hardwaru a tak.

Nabízím za 50 kKč standardní pentest nebo za 100 kKč extended pentest (evil SD karta měnící po bootu sektory, modifikace zavaděče aby tajně povolil JTAG, pokus o coldboot). jenda (a) hrach.eu, PGP F0192F8E6527282E. Platba jen při úspěšném prostřelení!

[Petr]

Doporučuju používat SD kartu jen na bootování. Jak se na ní bude něco pravidelně zapisovat, tak většinou dřív nebo pozdějc chcípne a to většinou tak, že totálně (nejde z ní ani číst).

Taky děláme pro zákazníky řešení postavené na RPi. První půlrok čistě s SD kartou. Pak se začaly množit problémy s mrtvýma kartama. Takže se přešlo na řešení se třema úložištěma a to jede už přes 3 roky bez jediné reklamace.

Celej systém je kompletně na USB disku. Na SD je pouze /boot kde je jádru předaný parametr, který říká že root je na /dev/ten_disk. Třetí médium je fleška, na kterou se pro jistotu denně zálohuje db. Důležitý je vést napájení toho disku samostatným přívodem, protože USB RPička to neutáhne. 

[kapr]

Co jste pouzivali za SD karty a kolik jste meli iops?

btw. ovpn pod uzivatelem nobody je to samy jako pod uzivatelem whatever, nobody je "default", jenze kdyz by sis pod nim pustil jeste apache tak se dostanes nejen k souborum co vlastni ovpn, ale i k tem co patri apachi nebo necemu jinymu.

Ja si myslim, ze tam chlapec nebude potrebovat ani hesla a budou stacit certifikaty pro jednotlivy klienty s tim ze max revokne. client-to-client se vypne a defakto ani nepotrebuje routovat celej trafic pres server (neposkytuje vpn branu). Kdyz by nekdo ukradnul cert, tak pokud bude zarizeni na siti, tak bude kolidovat, coz se projevi a nekde to zacne rvat.

[akoze]

chalani, dovolte postreh zo slovenska kde miernejsia verzia EET uz nejaky rok funguje (neni online, namiesto toho mame fiskalnu pamat). servisujeme riesenie kde je pouzita SD karta pre zaznam zurnalu (textovy format, vsetky bloky + nejaka  binarka), z asi 150 pokladni raz do mesiaca odide SDkarta tak, ze data nejdu vycitat, obcas idu vycitat aspon data, obcas je poskodeny zurnal z jedneho dna.
o spolahlivosti SD kariet som si nemyslel vela, ale co sa skutocne deje cloveka prekvapi. a v prvom rade ma problem podnikatel. takze za mna SD karta ani na docasne zalohy, a uz vonkoncom nie nic komplikovanejsie ako textovy format citatelny "volnym okom" ziadne binarky ziadne bloby nedajboze databazy.