vzdálený síťový disk (home > work)

Zdravím,

potřebuju krapet nakopnout kde začít...
V práci mám jakýsi server na něm disky pro všechny uživatele

A já bych chtěl se z domova (respektive odkudkoliv kde budu mit inet) pripojit na serverový disk s tím že by bylo ideální si jej namapovat jako F: (bo jine pismeno) a normálně z něj číst i zapisovat.

- lze to udělat pouze správným nastavením portů či jiných hejblat na firemním firewalu ?
- nebo je urcite zapotrebi nejaky VPN software napr OpenVPN..

velice laicky si to představuju že bych si chtěl přidat nový sítový disk > zadam IP firewalu+port > dale nastavim cosi na onom serveru > samolitr pod heslo a doufam ze to pobezi....
Lze to takto jednoduše ??

přiznám se že dnes mi to nějak nemyslí a tak nevím odkud začít..

Na tohle je vynikajici sshfs, ale dost pochybuju ze pobezi pod win.

Na win bude asi nejlip pouzit openVPN, ale jelikoz jsem to nezprovoznoval, tak to dost dobre nemuzu komentovat.

ve win asi jedine VPN, ta MS je s v serverech a XP pro /tady jen pro jednoho klienta soucasne/ uz zabudovana.

XPP
http://www.zdnetasia.com/insight/net...0223c-1,00.htm

V servevech je to pod Nastroje pro spravu - Smerovani a Vzdaleny pristup

Potrebujes na to bud plnohodnotnou VPN nebo, pokud mas ve firme nekde sshcko, muzes testnout forwardovani portu pres nej.

A nebo pokud se chces pobavit a byt v bezpeci, tak ipsec tunel - widle ho na l2tp umi! ;D

Jinak k tematu: http://dokan-dev.net/en/download/
Nezkousel jsem, nevim jestli to funguje jak ma (ten program, ne ten princip)

Jo a da se to vyresit forwardem portu, pokud to potahnes pres sshfs, pokud bys to mapoval sambou, tak rozhodne nad sifrovanou VPN

openVPN neni uplne nejtrivialnejsi, napoprve mi to zabralo cca 6 hodin v nejjednoduzsim setupu (navic mi obcas pada a musi se rucne resnout na serveru), o ipsec koluji po netu hruzostrasne zkazky... ja pouzivam SFTP pres WinSCP, je to zdaleka nejjednoduzsi a zaroven jedno z nejbezpecnejsich reseni, ale pripojeni disku jako pismenka to bohuzel neumi. Dalsi moznos je tunelovat SMB po SSH.

koukni dole: http://helpdesk.ugent.be/netdisk/en/bestand_scp.php mozna by ti to stacilo

UPDATE:Ha! http://www.expandrive.com/windows/

Ha! je jen demo, proto jsem ho nelinkoval :) Jinak OpenVPN je primitivni pro cloveka se zkusenostma, pro BFU je to par hodin nastavovani no

no nevim jake a kde jsi cetl hruzostrasne skazky o ipsecu ... jestli se to tyka jen MS tak mozna ale skusenost s tim nemam.
nicmene tenhle tunel pri pouziti kvalitniho SW nebo HW ti zajisti sifrovany prenos jakychkoliv dat, coz se o ostatnich reseni rici neda....

kdyby to bylo tak strasne tak to neni pouzivane... ale kdyz to chce clovek pouzivat tak tomu musi taky rozumnet... na druhou stranu kdyz procitam forum, tak vidim, ze se lidi pokouseji o skvele vysledky za pomoci ubohych prostredku, pritom staci prihodit par tisic a mas solidni reseni, no ale to jsem ujel mimo tema....

asi na peti ruznych webech, kde jsem cetl info ohledne tunelu VPN a podobne, odrazovali od ipsecu s tim, ze i pro pokrocileho admina to muze byt velmi komplikovane. Udajne ma byt problem ve spatne udelane specifikaci a nasledne nekompatibilite ruznych implementaci.

Já bych bral ještě v úvahu SSL WebDAV, Windows to umožňují připojit jako "Místo v síti" a i to se dá.

Jinak Atreide, všechny zde navržené řešení počítají se serverem na Linuxu. Řešení by se dalo tak, že pokud jsou data na Windows stroji, tak je namountovat lokálně přes Sambu do nějakého Linuxového stroje a odtama zpřístupnit přes některý z uvedených způsobů.

Citace:

---

Původně odeslal sasha

nicmene tenhle tunel pri pouziti kvalitniho SW nebo HW ti zajisti sifrovany prenos jakychkoliv dat, coz se o ostatnich reseni rici neda....

---

a co prosimte napriklad openvpn neprenese ?
mimo to, jak skrz ipsec preneses napriklad ethernet ? (jednoduse)

Edit: jinak ja ze svejch zkusenosti muzu ovpn doporucit. bezi mi asi 3 servery, ke kterym se pristupuje nahodne v 1-5ti lidech (vic jsem zatim nepotreboval) a naprosto bez problemu ... zadne vytuhy, zadne padani, nic takovyho.
nejtezsi na celym ovpn setupu je pochopit, jak funguje asymetricky sifrovani, klice, certifikaty, atp. pak je to uz dost simple ...

Citace:

---

Původně odeslal Fox!MURDER

nejtezsi na celym ovpn setupu je pochopit, jak funguje asymetricky sifrovani, klice, certifikaty, atp. pak je to uz dost simple ...

---

Presne ;D

Nebo se taky může na celou asymetrii vykašlat a udělat to přes shared key a má to v cuku letu.

Citace:

---

Původně odeslal Fox!MURDER

a co prosimte napriklad openvpn neprenese ?
mimo to, jak skrz ipsec preneses napriklad ethernet ? (jednoduse)

---

nerikal jsem nic o openVPN.... jen jsem chtel rici, ze neni treba se ipsecu bat... tot vse, ja s nim nemam za poslednich 6 let zadne spatne zkusenosti...
hlavne v klidu sefiku...

Citace:

---

Původně odeslal sasha

nerikal jsem nic o openVPN.... jen jsem chtel rici, ze neni treba se ipsecu bat... tot vse, ja s nim nemam za poslednich 6 let zadne spatne zkusenosti...
hlavne v klidu sefiku...

---

ja jsem v klidu, ale svoje zavery o tom ze neco nejde jinak, nez jak za to platis penize ty, by sis mohl odpustit ...

ale nic takoveho jsem take nerekl, nevim proc bych nemohl poukazat na to, ze existuji reseni (ikdyby na krasne placena) ktera jsou kvalitni a pri pouziti nemene kvalitnich prostredku (sw/hw) odpada reseni vetsiny problemu, o kterych se na tomto i jinych forech clovek muze docist.... vpn, routing, configurace firewallu atd.
s openVPN mam malou, prakticky zadnou zkusenost naopak s ipsecem stalou, tak zcela logicky doporucuji ipsec, samo ze pouziti ipsecu na spatnem stroji nebo software bude delat problemy, ale to plati obecne o cemkoliv, ve vysledku i o openVPN...

navic openVPN je tak bezpecne jak je zabezpeceny server, porovnam-li to s lepsim firewallem tak neni o cem mluvit...
a myslim, ze nema smysl to dal rozvadet...

Muzes prosim rozvezt jak si to myslel s tim "lepsim firewallem" v porovnani se zabezpecenim serveru? predpokladam ze chces zpochybnovat iptables, nebo se pletu? Jsem jedno ucho :)

Citace:

---

Původně odeslal sasha

nicmene tenhle tunel pri pouziti kvalitniho SW nebo HW ti zajisti sifrovany prenos jakychkoliv dat, coz se o ostatnich reseni rici neda....

---

tak me teda vysvetli, co vylucuje napriklad openvpn z ostatnich reseni.

krom toho, by me zajimalo totez, co petrika ...

asi vas zklamu, ale nebudu tady rozepisovat rozdil mezi pouzitim serveru a firewalu jako perimetru, beru to jako vtip :)

Citace:

---

Původně odeslal sasha

asi vas zklamu, ale nebudu tady rozepisovat rozdil mezi pouzitim serveru a firewalu jako perimetru, beru to jako vtip :)

---

jojo, je to vtip, vzhledem k tomu, ze vetsina tehle zarizeni pouziva jen mirne upraveny software co bezi v serverech ...
ale to uz jsme tu vazne offtopic, protoze co jsem pochopil, tak atreid necekal ani zazraky a ani do toho nechtel vrazet penize ... a uz vubec si nepotreboval honit e-penis nad drahym vybavenim, nebo tim, ze na vrabce umi vzit i kanon ;-)

Edit: hehe, jo, jsem vedle v tom, ze s tebou diskutuju ;-) ocividne to nema smysl ...

takze nakonec jsi preci jen vedle.... je skoda, ze spousta lidi ma stejny pristup....

2sasha: Videl sem, jak jedna nejmenovana firma rozchozovala tunel pres IPsec. Presto, ze dotycny evidetne vedel co dela, trvalo mu to cely den. Nebyla to uplne easy konfigurace + narazel na vsemozny potize s NATem (podotykam, ze zucastneny stroj mel primo routovanou verejnou IP, ale byl zaroven za NATem a to se IPsecu hrube nezdalo).

Osobne jsem rozchozoval OpenVPN tunel, verejnou IP mel jen jeden stroj, druhy byl za NATem na privatnim rozsahu a napoprve s nejakym ctenim man stranek sem to delal cca hodinu. Ten tunel byl tux vs win.

Kdyz sem totez testil pres IPsec, dobral sem se k nulovemu vysledku, nebot tuxi implementace kterou sem pouzil nebyla s tou windowsi compatabilni (a na presne toto narazis i u hodne draze placenych krabek).

Možná by si mi sasho mohl napsat PM, protože znám i řadu ne zrovna levných řešení a už z principu své práce se s takovými zařízeními setkávám...
Možná Tě to nepotěší, nebo se mi budeš snažit více či méně úspěšně oponovat, ale velká řada z nich i přes vysoké pořizovací náklady nedosahuje dobře nastavenému a udržovanému open-source řešení.

otazka je co presne potrebujes vedet
moje zkusenost s ipsecem je na ciscu, juniperu a checkpointu, pricemz se tyhle hw/sf platformy i krizi.
nejoblibenejsim a take nejlevnejsim resenim je pro mne juniper, pokud je remote gateway taky od juniperu, je to ponekud jednodussi, ale potom zalezi na tom kdo se o druhou stranu stara (je to jen branch office a nebo 3rd party)

v praci na tom juniperu bezi okolo 300 s2s vpn tunelu
nakonfigurovani ipsecu, routingu a policy pro novou vpn mi trva asi 1-2 hodiny, podle policy
pokud je to cerstvy box tak s upgradem a zakladni konfiguraci tak o hodinu az dve vice.

co se tyce konfigurace samotneho tunelu tak je nekolik moznosti, zakladni jsou postavene na routingu (tunnel se postavi prvni packetem a traffic je poslan do tunnelu na zaklade routingu a povolen pres policy) a na policy (traffic ktery pasuje na danou policy je povolen a encryptovan a nasledne odroutovan)
jinak pouzivam tunnel mode...

vicemene nejvice casu zabere nez vlastni konfigurace vyjednani vsech potrebnych parametru a pak dost casu prida - ten jsem zapomnel pripocist konfigurace NATu - v pripade vpn do 3rd party - vetsinou kvuli overlapping ip addresam a z duvodu zkryti interniho ip rozsahu...)

samozrejme peer muze byt staticky a nebo dynamicky

no a tady je konfigurace route based vpnky:

definovani jednotlivych siti (pripadne hostu, rozsahu, etc)
Corp-VPN-Hub-> set address trust local_lan 10.140.10.0/24
Corp-VPN-Hub-> set address vpn denton_lan 10.70.1.0/24

vytvoreni tunnel interfacu (logicky) a prirazeni fyzickemu portu/interfacu
Corp-VPN-Hub-> set zone name vpn
Corp-VPN-Hub-> set interf tun.10 zone vpn
Corp-VPN-Hub-> set interface tun.10 ip unnumbered interface eth0/3

na druhem firewallu
S1-Denton-> set interface tun.10 ip unnumbered interface eth0/0

routing
Corp-VPN-Hub-> set route 10.70.1.0/24 interface tun.10
S1-Denton-> set route 10.140.10.0/24 interface tun.10

specifikace IKE Phase-1 and Phase-2 parameteru:
Corp-VPN-Hub-> set ike gateway denton address 10.0.1.71 main outgoing-
Interface eth0/3 preshare ocuguru sec-level standard
Corp-VPN-Hub-> set vpn denton gateway denton sec-level standard
Corp-VPN-Hub-> set vpn denton bind interface tun.10

S1-Denton-> set ike gateway corp address 10.140.0.3 main outgoing-
interface eth0/0 preshare ocguru sec-level standard
S1-Denton-> set vpn corp gateway corp sec-level standard
S1-Denton-> set vpn corp bind interface tun.10

samo ze jde pouzit certifikat atd a sec-level jde rucne nadefinovat (to jsou vlastne ike proposals tzn konfigurace jednotlivych fazi a ktere algoritmy jsou pouzity, ten sec-level standard je jeden z defaultnich)

IKE Phase-1 Standard Level:
Id Name Auth Grp ESP-e ESP-a Lifetime
-- ------------------ -------- --- ------ ----- ----------
5 pre-g2-3des-sha Preshare 2 3DES SHA-1 28800
7 pre-g2-aes128-sha Preshare 2 AES128 SHA-1 28800

pokud ma byt vpnka porad nahore z duvodu applikacnich:
Corp-VPN-Hub-> set vpn denton monitor rekey

no a policy na zaver:
Corp-VPN-Hub-> set policy from trust to vpn local_lan denton_lan any
permit policy id = 5
Corp-VPN-Hub-> set pol from vpn to trust denton_lan local_lan any
permit policy id = 6

samo ze jde specifikovat jaky service ma byt povolen...

v tuto chvili mohu lehce videt jestli je vpn nahore, popripadne v ktere fazi kkonci a co je duvodem, logovany traffic atd...

tak snad jsem neco nevynechal uz hlady sotva vidim. takze jak vidite je to proste..
no a samozrejme tu neni konfigurace veci jako jsou dns proxy, alg, dynamicky routing, traffic shaping, content security, high availability, multikastink, virtualni systemy, nat atd...

takze to je pro priklad, pro mini firmu to samozrejme bude moc cool reseni, ale krabicka ktera tohle zvladne stoji okolo 300 dolaru... nevim kolik stoji licence pro klastrovani.... to bych musel zjistit.

jo a konfigurace je mozna pres ssh, telnet, web, https, a mangement gui.
me nejvice asi vyhovuje to ssh viz predchozi post, je to rychlejsi nez klikani a clovek rychle muze zkontrolovat konfiguraci.

co se debugovani tyce, je tu kupa prikazu, ktere primo ukazuji bud pro dany process co se s paketem deje a nebo ukazi cely prubeh, atd...

jo a konfigurace je mozna pres ssh, telnet, web, https, a mangement gui.
me nejvice asi vyhovuje to ssh viz predchozi post, je to rychlejsi nez klikani a clovek rychle muze zkontrolovat konfiguraci.

co se debugovani tyce, je tu kupa prikazu, ktere primo ukazuji bud pro dany process co se s paketem deje a nebo ukazi cely prubeh, atd...

@iptables
300tunnelu x 10 - 30 policy .... tenhle job neberu

@server versus appliance pro firewall
selze appliance dam tam druhou nebo mam backup/standby boxik a jen naliju konfiguraci z konzole nebo tftp a frcim
selze server (pokud nemam stejnou hw konfiguraci a backup file systemu) tak to bude trvat ponekud dele rekl bych :))))

nenabizim tohle reseni kazdemu, vysledek je obecne znamy:
enterprise/corporatni reseni - ...
stredni firmy - ...
male firmicky, domacnosti - ...
to co jsem popsal navrch jde pouzit v ruzne cene pri stejne kvalite ve vsech pripadech, cim niz tim vice je to otazka za co vsechno platit...

snad to pomuze no..

Citace:

---

Původně odeslal sasha

...

---

ja se obavam, ze tva nenavist k opensource resenim spociva v jejich neznalosti ... standby, zalohy, stejna hw konfigurace, online redundance ... vsechno tohle je taaaak snadno resitelny ... staci zvolit spravnej software ...

nema smysl se o tom dohadovat. pokud do toho chces vrazet svoje penize (nebo ti je na to nekdo da), je to urcite fajn. a v tom pripade je to nejjednodussi outsourcovat, protoze pak mas na koho kricet, kdyz to nejde a nic z tohohle vubec resit nemusis ...

pokud ty prachy nemas, nebo te zabezpecena vpn zajima jen proto, ze se chces dostat domu na sdilenej disk (viz. tohle vlaknu), je to, co ty tady popisujes ne kanon, ale minimalne delostrelecka ceta na vrabce ...

stejnetak vyborne reseni je, nosit k ultralehkymu notebooku jeste 2kg krabku od juniperu...

no nevim jak je to s tou neznalosti a taky nevim na ktery juniper jsi se dival, ale ta krabicka za tech par stovek vazi 0,7 kg... jestli se ti zda byt 300 dolaru moc tak fakt nevim kolik te stoji ten server.... ja treba doma nepotrebuji dve grafiky za 5 000 a radeji si zabezpecim domaci sit... znamena to nenavist nebo ze si neco honim?

mimo to reseni ktere jsem tu popsal je site to site, pokud chces clientskou vpn tak staci nainstalovat maly softik do notebooku...

k opensource zadnou nenavist nechovam jen jsem prezentoval svoji zkusenost s jinymi produkty, ktere jsou overeny jako spicky mezi firewally a tvrdim, ze se za slusny peniz daji poridit i domu a ulehcit si konfiguraci a zmensit starosti s bugy, upgrady, balicky atd atd.
navic jsem se snazil popsat technicke reseni jestli te to urazi tak ti asi nerozumim

ano tenhle thread si zada malinke reseni, ale snazil jsem se jen odpoved na otazky jezevce a paola

od tebe mam zatim jen odpoved jak nenavidim opensource :)

pokud na to mas cas a chut, tak prosim prihod jak vypada konfigurace obdobneho scenare na openVPN at maji ostatni srovnani, myslim ze to bude vice uzitecne nez soucasne odpovedi ;-) (nic osobniho :)

Citace:

---

Původně odeslal sasha

...

---

sorry, ale jak jinak to chces nazvat, kdyz tu i pres to, ze to tu x-lidem funguje, porad tlacis, jak je to spatny? krom toho tvrdis, ze na tom nejdou udelat veci, ktery na tom udelat jdou ... coz implikuje, ze o nich nevis. doufam totiz, ze tu nediskutujes s typickou obchodnickou taktikou - vsechny features konkurencniho produktu popreme ...

krabka 0,7kg za $300 je dobra, kdyz tim pripojujes x pobocek ... kdyz si tim chces pripojit jeden domaci pocitac na jeden pracovni pocitac, je to trosku ulet. na tom uz jsme se shodli. stejnetak by me zajimalo, jak k takove VPN pripojis alternativne nakonfigurovane notebooky (rozumej bez windows)

a kdyz te zajimala konfigurace ovpn, jsem teda linej generovat uplne novou konfiguraci jen proto, abychom se tu mohli dohadovat, ale jeden zajimavejsi projekt - firma za dvema NATama bez moznosti do nich realne zasahovat, potrebuje bezpecny pristup z nekolika notebooku do sve vlastni lokalni site + do site za prvnim natem (docela by me zajimalo, jak by se to resilo ajpiskem)
server uplne mimo jejich lan:

Kód:

---

port 12345
proto udp
dev bm
dev-type tun
ca /etc/openvpn/bm/ca.crt
cert /etc/openvpn/bm/x.bm.cz.crt
key /etc/openvpn/bm/x.bm.cz.key
dh /etc/openvpn/bm/dh2048.pem
crl-verify /etc/openvpn/bm/crl.pem
server 192.168.48.0 255.255.255.0 ### rozsah pro klienty
ifconfig-pool-persist ipp.txt ### Soubor, kam si server zapisuje IP prirazene klientum, pri dalsim pripojeni jim tak muze priradit stejne
push "route 192.168.32.0 255.255.240.0" ### nastavuje klientum routy skrz tunel
push "route 192.168.1.0 255.255.255.0" ### dtto
client-config-dir /etc/openvpn/bm/ccd/ ### kazdy klient muze mit vlastni konfiguraci
route 192.168.32.0 255.255.240.0 ### nastavuje lokalni routu serveru (bez ni to bude fungovat, ale ze serveru nebude vpn fungovat)
push "dhcp-option WINS 192.168.33.1" ### nastaveni WINS serveru pro prochazeni vzdalene LAN z notebooku
client-to-client ### povoleni komunikace mezi klienty
tls-auth /etc/openvpn/bm/ta.key 0
cipher AES-128-CBC
comp-lzo
max-clients 100
user openvpn
group openvpn
persist-key
persist-tun
status /etc/openvpn/bm/openvpn-status.log

---

klient za uvnitr site za NATama (konfigurace notebooku je vpodstate shodna pro vsechny OS, ale nemam ji po ruce, jediny co se lisi jsou klice/certifikaty, ty jsou pro kazdeho klienta zvlast)

Kód:

---

client
dev tun
proto udp
remote x.bm.cz 12345 ### kam se pripojit?
nobind
user nobody
group nobody
persist-key
persist-tun
ca bm/ca.crt
cert bm/z.bm.cz.crt
key bm/z.bm.cz.key
ns-cert-type server
tls-auth bm/ta.key 1
cipher AES-128-CBC
comp-lzo
status /var/log/openvpn-status.log

---

/etc/openvpn/bm/ccd/y.bm.cz - konfigurace i.bm.cz, rika openvpn serveru, ze na nej ma smerovat tyhle site

Kód:

---

iroute 192.168.32.0 255.255.240.0
iroute 192.168.1.0 255.255.255.0

---

z obou konfiguraci jsem vyhazel ptakoviny, ktery muzou zustat v defaultu.


je to uz docela dlouho (cca 5 let?) bezici vpn, na kterou se za tu dobu nemuselo sahnout, vyjma uprav v tom, kdo kam muze a tusim jednoho preklicovani...

celkova cena 0,- CZK
doba realizace od prvotniho napadu neco takoveho zridit, vcetne nauceni se, jak poresit interni routovani a hlavne nauceni se, jak pracovat s klicema, cca 6hod


a ad. tva poznamka o grafikach ... ja si radej koupim grafiku za $300, nebo server za $300, protoze mi poskytnou neco navic ... grafika zabavu, server mi doma poslouzi i jako storage, zalozni pracovni stanice, media-server a aplikacni server ... to mi bohuzel krabka s listeckem nenabidne ...

a neboj, par juniperu jsem uz v ruce mel, dokonce vykuchanejch ... pravda z trochu jine kategorie

Citace:

---

Původně odeslal sasha

k opensource zadnou nenavist nechovam jen jsem prezentoval svoji zkusenost s jinymi produkty, ktere jsou overeny jako spicky mezi firewally a tvrdim, ze se za slusny peniz daji poridit i domu a ulehcit si konfiguraci a zmensit starosti s bugy, upgrady, balicky atd atd.
navic jsem se snazil popsat technicke reseni jestli te to urazi tak ti asi nerozumim

---

Bugy...hm nekde jsem videl srovnani proprietalnich FW a iptables v linuxu a iptables vysly jako zdaleka nejmene buggy, navic s velmi rychlou opravou pripadnych bugu. Nevim, zda to byla pravda ci ne, ale kdyz se clovek podiva na pocet chyb v cisco routerech, tak bych tomu klidne veril.

@Fox
- netlacim ze je to spatne, jen jsem napsal porovnani tak jak ho vidim a svoji zkusenost v reakci na tve odpovedi, naopak ty mne v teto pozici presentujes
- zajima me oboji reseni ale v praxi jsem se potkal s tim, ktere jsem popsal
- ipsec dnes uz nema problem s natem
- naklady nejsou nulove, nejak jsi zapomnel na ten server
- doma mam pixik, kolegove treba maji ns5-gt (juniper) a vsichni jsme spokojeni, pokud ti jde o domaci server tak bych rekl ze vetsina lidi ma doma pocitace popripadne server za nejakym routro/fw/adsl/cimkoliv takze jim tam stejne neco maleho vrci. me za tim fw vrci tri pc a jeden servrik...
- kuprikladku ta ns5ka muze mit jak adsl port tak ethernet tak wifi a v ruznych kombinacich (in/out)
- grafika je ciste osobni volba, tipnul bych si a je to videt i z podpisu tady na foru, ze kazdy tech 300$ za ni zkratka neda... (z duvodu penez, prace, rodina atd...)
- hlavne jsem se dostali mimo tema (vpn) protoze ten fw dela spoustu dalsich veci jak jsem napsal drive... ale asi zalezi na tom jak chce kdo mit zabezpeceny webovy nebo databasovy server pred pristupem z internetu...

@Petrik
- urcite kazdy sw/hw ma sve mouchy nicmene nezapomen ze jde o pripadny bug v cemkoliv co na tom serveru bezi - nejde jen o iptables...
- u appliance mas prakticky okamzitou pomoc od vendora (aspon moje zkusenost) u opensource veci pomuze asi vice lidi, ale je otazka jak u tezsiho problemu bude trvat reseni (to se tyka obou) a to asi nejsme schopni srovnat (museli by jsme najit spolecny bug)

kuprikladu openVPN pouziva openSSL (aspon co jsem se docetl) coz znamena ze pro bezpecny provoz je potreba spravna configurace openVPN, openSSL a obe teto aplikace bez chyb a bugu (tento problem zavislosti appliance nema), no a tehle zavislosti bude asi vice.

Citace:

---

Původně odeslal sasha

@Fox
- ipsec dnes uz nema problem s natem

---

ipsec nema problemy s natem, nebo nat nema problemy s ipsecem?

Citace:

---

- naklady nejsou nulove, nejak jsi zapomnel na ten server

---

server uz se davno pouzival jako storage a stejne dobre mohl poslouzit i kterykoliv jiny pocitac v siti...

Citace:

---

- doma mam pixik, kolegove treba maji ns5-gt (juniper) a vsichni jsme spokojeni, pokud ti jde o domaci server tak bych rekl ze vetsina lidi ma doma pocitace popripadne server za nejakym routro/fw/adsl/cimkoliv takze jim tam stejne neco maleho vrci. me za tim fw vrci tri pc a jeden servrik z duvodu me prace a sluzeb na boxech bezicich by byla hloupost nechat tam nejaky assus nebo linksys...

---

ve tvym pripade a v pripade koloegu asi ano, v pripade 99% beznych lidi, je pix, netscreen nebo cokoliv jinyho zbytecnej a drahej overkill, za jehoz cenu si muzou koupit klidne tu grafiku ... opravdu verim, ze velke vetsine beznych uzivatelu (i tady na foru) lip poslouzi hloupej linksys za 500.

Citace:

---

- grafika je ciste osobni volba, tipnul bych si a je to videt i z podpisu tady na foru, ze kazdy tech 300$ za ni zkratka neda... (z duvodu penez, prace, rodina atd...)

---

tim spis neda $300 za krabicku, ktera mu nic navic neprinese ...

Citace:

---

- hlavne jsem se dostali mimo tema (vpn) protoze ten fw nedal jen vpn

---

asi bychom to tu meli ukoncit...

Citace:

---

kuprikladu openVPN pouziva openSSL (aspon co jsem se docetl) coz znamena ze pro bezpecny provoz je potreba spravna configurace openVPN, openSSL a obe teto aplikace bez chyb a bugu (tento problem zavislosti appliance nema), no a tehle zavislosti bude asi vice.

---

tohle vetsinou resi rozumna distribuce - napr. ubuntu ma updaty vetsinou pravidelne a rychle ...

co se reseni problemu a velky spolecnosti tyce, je docela sranda, kdyz u velkyho boxu prijdou na to, ze maj dost mizernej design ... jednu takovou zpravu od cisca jsem cetl :)

OK holky - beru vás obě - až se pořídí nový firewall (což bude cca do 14ti dnů)
tak se můžete stavit oba dva a schválně kdo to udělá lépe a rychleji :)

Výherce čeká odměna :)

jojo design je zaklad, to je bez debat!

bohuzel jsem se nesetkal a ani jsem neslysel o ubuntu na kterem by bezel oracle atd (predpkladam ze chapu dobre ze tvuj server tedy nedela jen vpn a iptables...)

no cose tyce toho natu tak popis co presne potrebujes vedet.
snad budu vedet :)

@atreides: jaky fw chces kupovat? do firmy a nebo domu :)

Teda vy ste se ale rozjeli :)
Nicmene pokud se chceme bavit o vyslovene home reseni, staci i nejaka krabicka na kterou se hodi dd-wrt (tedy slouzi to i k rozvedeni wifi), zvladne to PPTP (trivialni rozchozeni) i OpenVPN (sirsi pouzitelnost za NATama a firewallama).
Nejak nevidim duvod, proc na opravdu domaci komp (sit) pouzivat uz skoro enterprise reseni...

Citace:

---

Původně odeslal sasha

bohuzel jsem se nesetkal a ani jsem neslysel o ubuntu na kterem by bezel oracle atd (predpkladam ze chapu dobre ze tvuj server tedy nedela jen vpn a iptables...)

---

a to je podle tebe jedina aplikace pouzitlena na linuxu? pokud ano, pak nema dalsi debata smysl, pokud ne, nechapu poznamku ...

Citace:

---

Původně odeslal HollyG

Nejak nevidim duvod, proc na opravdu domaci komp (sit) pouzivat uz skoro enterprise reseni...

---

protoze jak už je v nadpisu uvedeno má se propojit domácí komp s prací !!! s firmou čili žádná "domácí" síť.

Citace:

---

Původně odeslal HollyG

Teda vy ste se ale rozjeli :)
Nicmene pokud se chceme bavit o vyslovene home reseni, staci i nejaka krabicka na kterou se hodi dd-wrt (tedy slouzi to i k rozvedeni wifi), zvladne to PPTP (trivialni rozchozeni) i OpenVPN (sirsi pouzitelnost za NATama a firewallama).
Nejak nevidim duvod, proc na opravdu domaci komp (sit) pouzivat uz skoro enterprise reseni...

---

Na finále to můžeš vyřešit za cca 1.300,- koupí Mikrotiku, který je postaven na linuxovém základu, má jak textové, tak grafické rozhraní a na to, co potřebuješ je to víc než dostatečné. Spotřeba 3-20W podle zátěže.
Umí se chovat jako VPN server jak pro OpenVPN, tak IPSec, tak Microsoftí L2TP.

Citace:

---

Původně odeslal sasha

...

---

Ad bugy, o tech radsi nemluv. Kdyz se objevi bug v iptables/... tak ho muzu druhej den opravit, pripadne zvolit jiny reseni danyho problemu (kdyz mi nefunguje aplikace A, tak zvolim aplikaci B). Kdyz narazis na BUG napr v IOSu, muzes se jit leda klouzat (s pravdepodobnosti 70% si dovolim tvrdit, ze umim odstrelit porty na jistem modelu cisca, prisel sem na to ciste nahodou).

Ad PIx a pod, nerek bych ze zrovna tyhle krabky zerou vyslovene "par" W. Dokonce bych se odvazil tvrdit, ze ponekud osefovany PC bude mit pri nasobne vetsi funkcionalni vyuzitelnosti srovnatelnou spotrebu. Mam k dispozici obe reseni a co myslis, ktere pouzivam ? No jasne, tuxe. Jeden stroj mi jede zaroven jako GW/FW/filtrovaci mail server/VPN GW/DNS/.... (podotykam, ze nemluvim o domaci siti). Za tu dobu co to spravuju zdechly provozni (win) stroje kazdej nekolikrat, GW ani jednou.

Kazda ta vec si jede pekne pod svym uctem pripadne v chrootu a jako bonus mi tenhle stroj poskytuje moznost nouzovyho pripojeni do site - jinak receno kdyz jede = jde elektrika = muzu vzdalene delat naprosto cokoli (provozni stroje maj samo management karty).

Drahe krabky, outsource a pod maj smysl, kdyz ve firme neni IT a tudiz to nema kdo nakonfigurovat a udrzovat. Alternativne (taky tu je celkem nedavny thread) se podobne veci aplikuji ve firmach s neschopnym managementem, ktery radsi vyhodi par MKc za to, co by zadarmo fungovalo v nejhorsim uplne stejne blbe.

Citace:

---

Původně odeslal Atreides

protoze jak už je v nadpisu uvedeno má se propojit domácí komp s prací !!! s firmou čili žádná "domácí" síť.

---

jo presne tak a tim to ukoncime, debatu jsem zacal s tim ze jsem chtel hajit ipsec, u ktereho jsem se nesetkal s problemem, pokud jsem videl problem tak na tech krabickach za par stovek proto jsem uvedl ze krabicka za 300$ ten problem nema a je podle mne velmi sikovna a tim se to nejak rozbujelo...

@jezevec
ten muj pix basti 6W
do IOSu nedelam sorry ten je pro routry a ne firewally....
ve vysledku potvrdili mi to i kluci stejne zapaleni do vami uvedenych resni jako vy, ze delat tak velkou sit (routing, vpn, proxy, dns, loadbalancing, idp/ips, application layer filtering a nepocitam dalsi casti infrastructurni mimo applikacni) jako mame v praci na linuxu je tak hodit si akorat masli.... ale je to zkratka objemem dat a velikosti site takze to uz prosim nerozmazavejme

@paolo
to stejne tak mohu dodat k tomu mikrotiku v pripade dynamickych protokolu

jinak dekuji za porovnani, jsem rad ze vam to funguje a jsem rad ze to funguje nam :) a omlouvam se ze jsem na vas tahal ten pozlatkovy tank ;-)

hawk :D jdu pokracovat ve cteni knizky o openVPN dal uz to bude stejne jen OT