Ahoj,
nedavno jsem na rootu resil, jak
sbirat data z nekolika set krabicek. Nakonec jsem se rozhodl pro FTP. FTP prenos bude zabezpeceny VPN tunelem, ten potrebuji i kvuli sprave a monitoringu krabicek (ssh, nagios,...).
Nejradeji bych pouzival pro overovani krabicek jmeno a heslo misto certifikatu (vim, certifikat je lepsi). Kazda krabicka
musi musi dostat vzdy stejnou neverejnou IP, aby ji bylo mozno vzdalene ovladat/monitorovat.
Vsechny krabicky musi videt na server a server na krabicky. Krabicky se mezi sebou nesmi videt. To by nemel byt problem poresit pres iptables.
Databazi uzivatelsky jmen a hesel mam v MySQL. Rad bych ji proto propojil s VPN. Take bych mel rad v db IP adresy krabicek prirazene ke jmenum/heslum.
Krabicky budou mit vsechny OpenWrt.
Ted resim problem, jakou vybrat VPN. Zatim jsem vzdy na vsech serverech pouzival OpenVPN s certifikaty k plne spokojenosti.
Ale ted se chci certifikatum vyhnout.
Overovani jmenem a heslem z MySQL
by melo byt bez problemu.
Problem bude s pevnou IP pro klienty. Nasel jsem hodne navodu pomoci
client-config-dir.
Do konfiguraku serveru se da: "
client-config-dir /etc/openvpn/staticclients"
a kazdy klient pak ma svuj soubor s nastavenim:
$cat /etc/openvpn/staticclients/uzivatelskeJmenoTestovacihoKlienta1
ifconfig-push 10.20.30.123 255.255.255.0
Asi to bude fungovat, ale ja chci mit IP v databazi.
Dalsi co jsem nasel, je nastavit OpenVPN, aby se overovala proti FreeRADIUSu, ktery si taha jmena a hesla z MySQL. Komplikovane, ale asi funkcni. Zatim se mi to zda jeko nejlepsi reseni.
Take jsem dost uvazoval o IPsec. S IPsec mam zkusenosti pouze jako klient, IPsec server jsem nikdy nenastavoval.
Myslite, ze je na to, co popisuji misto OpenVPN lepsi pouzit IPsec?
Trochu jsem googlit info o IPsec v linuxu a mam v tom poradny zmatek. Nasel jsem
racoon,
strongswan a
openswan. Nikde poradne srovnani vyhod/nevyhod co pouzit.
Musim tedy pouzit L2TP/IPSec? IPsec na sifrovani a L2TP na tunel?
Chapu dobre, za IPsec pouziva bud certifikaty, nebo sdileny PSK klic?
Co jsem googlil, tak by melo jit spojit XL2TPD + FreeRADIUS + MySQL - takze budu tahat databazi jmen a hesel uzivatelu z MySQL (to chci). Jak ale poresim jmeno/heslo u IPsec? To budu muset kazde krabicce generovat certifikaty? Spolecne heslo se mi zda jako absolutni nesmysl, vhodny pouze pro domaci VPN...
Pevnou IP klientovi by mohlo jit dat
pomoci radiusu (Framed-IP-Address).
Kdyz vidim v tutorialech na IPsec nastavovani PPP, vzpominam na nastavovani dial-upu. Priserna syntaxe a nastaveni pppd je porad stejna :-(
Jak je na tom IPsec s pruchodem NATy? Asi spatne. OpenVPN ma jeden TCP, nebo UDP port. IPsec ma vice portu a IP protokolu.
Co vybrat?
Na OpenVPN vidim jediny problem: nastaveni pevne IP pro klienta z databaze (ale to mozna
taky pujde).
Na IPsec vidim vice nevyhod, nez vyhod. Mozna proto, ze mu nerozumim. Ale rad se necham presvedcit o opaku a zacnu se o IPsec vice zajimat.
Zatim se mi nejvic libi kombinace OpenVPN + FreeRADIUS + MySQL.