Citace Původně odeslal sasha Zobrazit příspěvek
...
sorry, ale jak jinak to chces nazvat, kdyz tu i pres to, ze to tu x-lidem funguje, porad tlacis, jak je to spatny? krom toho tvrdis, ze na tom nejdou udelat veci, ktery na tom udelat jdou ... coz implikuje, ze o nich nevis. doufam totiz, ze tu nediskutujes s typickou obchodnickou taktikou - vsechny features konkurencniho produktu popreme ...

krabka 0,7kg za $300 je dobra, kdyz tim pripojujes x pobocek ... kdyz si tim chces pripojit jeden domaci pocitac na jeden pracovni pocitac, je to trosku ulet. na tom uz jsme se shodli. stejnetak by me zajimalo, jak k takove VPN pripojis alternativne nakonfigurovane notebooky (rozumej bez windows)

a kdyz te zajimala konfigurace ovpn, jsem teda linej generovat uplne novou konfiguraci jen proto, abychom se tu mohli dohadovat, ale jeden zajimavejsi projekt - firma za dvema NATama bez moznosti do nich realne zasahovat, potrebuje bezpecny pristup z nekolika notebooku do sve vlastni lokalni site + do site za prvnim natem (docela by me zajimalo, jak by se to resilo ajpiskem)
server uplne mimo jejich lan:
Kód:
port 12345
proto udp
dev bm
dev-type tun
ca /etc/openvpn/bm/ca.crt
cert /etc/openvpn/bm/x.bm.cz.crt
key /etc/openvpn/bm/x.bm.cz.key
dh /etc/openvpn/bm/dh2048.pem
crl-verify /etc/openvpn/bm/crl.pem
server 192.168.48.0 255.255.255.0 ### rozsah pro klienty
ifconfig-pool-persist ipp.txt ### Soubor, kam si server zapisuje IP prirazene klientum, pri dalsim pripojeni jim tak muze priradit stejne
push "route 192.168.32.0 255.255.240.0" ### nastavuje klientum routy skrz tunel
push "route 192.168.1.0 255.255.255.0" ### dtto
client-config-dir /etc/openvpn/bm/ccd/ ### kazdy klient muze mit vlastni konfiguraci
route 192.168.32.0 255.255.240.0 ### nastavuje lokalni routu serveru (bez ni to bude fungovat, ale ze serveru nebude vpn fungovat)
push "dhcp-option WINS 192.168.33.1" ### nastaveni WINS serveru pro prochazeni vzdalene LAN z notebooku
client-to-client ### povoleni komunikace mezi klienty 
tls-auth /etc/openvpn/bm/ta.key 0
cipher AES-128-CBC
comp-lzo
max-clients 100
user openvpn
group openvpn
persist-key
persist-tun
status /etc/openvpn/bm/openvpn-status.log
klient za uvnitr site za NATama (konfigurace notebooku je vpodstate shodna pro vsechny OS, ale nemam ji po ruce, jediny co se lisi jsou klice/certifikaty, ty jsou pro kazdeho klienta zvlast)
Kód:
client
dev tun
proto udp
remote x.bm.cz 12345 ### kam se pripojit?
nobind
user nobody
group nobody
persist-key
persist-tun
ca bm/ca.crt
cert bm/z.bm.cz.crt
key bm/z.bm.cz.key
ns-cert-type server
tls-auth bm/ta.key 1
cipher AES-128-CBC
comp-lzo
status /var/log/openvpn-status.log
/etc/openvpn/bm/ccd/y.bm.cz - konfigurace i.bm.cz, rika openvpn serveru, ze na nej ma smerovat tyhle site
Kód:
iroute 192.168.32.0 255.255.240.0
iroute 192.168.1.0 255.255.255.0
z obou konfiguraci jsem vyhazel ptakoviny, ktery muzou zustat v defaultu.


je to uz docela dlouho (cca 5 let?) bezici vpn, na kterou se za tu dobu nemuselo sahnout, vyjma uprav v tom, kdo kam muze a tusim jednoho preklicovani...

celkova cena 0,- CZK
doba realizace od prvotniho napadu neco takoveho zridit, vcetne nauceni se, jak poresit interni routovani a hlavne nauceni se, jak pracovat s klicema, cca 6hod


a ad. tva poznamka o grafikach ... ja si radej koupim grafiku za $300, nebo server za $300, protoze mi poskytnou neco navic ... grafika zabavu, server mi doma poslouzi i jako storage, zalozni pracovni stanice, media-server a aplikacni server ... to mi bohuzel krabka s listeckem nenabidne ...

a neboj, par juniperu jsem uz v ruce mel, dokonce vykuchanejch ... pravda z trochu jine kategorie