Názory k článku Nasazujeme OpenVPN snadno a rychle (návod)

OpenVPN je fajn, ale má i své limity a nevýhody.

1, OpenVPN jede vždy přes server, přestože jinak by na sebe klienti třeba i viděli přímo. Tohle umí řešit můj oblíbený Tinc. Jde OpenVPN nakonfigurovat tak, aby automaticky vytvářel optimální mesh? Pokud ano, prosím o návod, Tinc bych opustil, taky má své mouchy.

2, wifi v hotelech, letištích, kavárnách, nemocnicích kromě omezení portů často pouští pouze některé protokoly. Jde vytvořit tunel pomocí http nebo i dns a teprve v tomto tunelu třeba otevřít VPN. Opět, pokud má někdo osvědčený nástroj, tak sem s ním. Fungovalo třeba yourfreedom nebo googlí g-bridge. Nebo na vlastním webserveru http://http-tunnel.sourceforge.net - ale tam bohužel umřel vývoj.

ad 1) nevím, nikdy jsem to neřešil, ale popravdě nezkoumal jsem fíčury posledních verze OpenVPN. Bral jsem to vždy tak, že pokud jsou klienti v (domácí) LAN, není moc důvodů tunelovat komunikaci přes VPN.

ad 2) tohle mám udělané tak, že jsou na serveru spuštěné dva OpenVPN démony, jeden běží na nativním UDP portu a druhý pak přes TCP na 443, konfigurace je stejná včetně certifikátů s rozdílem ve VPN subnetu, zbytek chování doladěn pravidly v Iptables resp. PF.
Klienti mají pak vygenerovány dva konfigurační soubory pro každý typ připojení.
Pokud to šlape přes UDP, je to efektivnější a s lepší latencí, když tohle neprojde kvůli omezení v jeho síti, připojí se klient alternativně přes TCP.
Jinak samozřejmě to jde nechat i jen přes TCP, pokud tuhle dualitu nastavení nechceš řešit a VPN má být primárně dostupná odkudkoliv.
Jde tam nastavit i přesměrování na reálný https server, který běží na tomtéž serveru jako OpenVPN, ale to beru spíš jako takovou nouzovku. Https server se spustí na jiném portu a když openvpn server zjistí, že komunikace na 443 není "jeho", tak ji přesměruje.

OpenVPN lze na 443 celkem snadno zastavit nebo aspoň logovat:
iptables -I FORWARD -o eth0 -p tcp --dport 443 -m string --algo bm --hex-string '|00 0e 38|' --from 20 --to 80 -j LOG

Omluva za minus - děcko chmatlo na displej telefonu...

Na DNS fungovalo iodine. To vlastně rovnou dělá i VPN (vyrobí to interface). Nic aktuálního nad HTTP neznám.

Ahoj,

zkuste se mrknout na Softether. Ten tunel se tváří jako HTTPS. Tak jestli je to ono.
https://www.softether.org/1-features/1._Ultimate_Powerful_VPN_Connectivity

Zároveň to umí i VPN over DNS a VPN over ICMP.

Tohle vypadá, že bude podobné, jako když tu openvpn pustím na tcp/443. Já měl na mysli skutečné HTTP požadavky.

Obfsproxy

Nemam skusenosti, ale nejakemu sofistikovanejsiemu analyzatoru protokolu asi neujde, ze to co tam je nie je len tak nejake obycajne http :)

SoftEther vypadá hezky, pánové to pojali docela komplexně.. Díky za tip!
Určitě se na to někdy podívám.

nahrada za http-tunnel by mohlo byt treba toto https://github.com/mhzed/wstunnel

https://www.stunnel.org/index.html

Diky za clanek. Pridal bych jednu vec, zvlast, pokud clovek generuje klice na delsi dobu (10 let).

Pred spusteni easy-rsa udelejte export KEY_SIZE=4096, bude to generovat 4k klice misto 2k.

Generovat 4096bitovy kluc je vcelku nezmysel. Ak si zoberies o kolko sa ti zvysi bezpecnost (napriek zdaniu ze to musi o moc silnejsie ako 2048 tak to tak nie) o kolko znizi vykon kvoli velkosti kluca tak by som povedal, ze to asi nestoji ani za to.

Jo, tohle uz jsem slysel - akorat jsem tenkrat generoval 2k klice a standard byl 1k...

akurat ze 2048bitovy kluc nie je 2x tak bezpecnejsi ako 1024 ... Faktorizovat 2048 trva o 2^32 dlhsie. Ak by si dnes dokazal faktorizovat 1024bit kluc za 1 sekundu, na 2048 budes potrebovat 136 rokov (na rovnakom zeleze). To skor sa najde nejaky breach, ale tam v principe bude jedno aky dlhy kluc mas.

Pokud chcete provozovat OpenVPN server v Docker containeru, tak už je to připravené tady:
https://hub.docker.com/r/kylemanna/openvpn/
https://github.com/kylemanna/docker-openvpn

Už to nějakou dobu používám a funguje to dobře... Navíc se dá pomocí restart policies zajistit, že vám container najede i po restartu serveru:
http://docs.docker.com/engine/reference/run/#restart-policies-restart

O co prichazim pri pouziti ssh login@hostname -D cisloportu ? Bezpecnost? Rychlost? Snadnejsi pouziti sitovych aplikaci? Jde me o to, ze ssh -D docela spokojene pouzivam, tak premyslim, jestli openvpn ma pro me smysl.

Nejde přes to třeba SIP a možná to může leakovat DNS dotazy.

Myslim, ze SSH muze forwardovat pouze TCP porty. A nekdy potrebujes UDP. Taky muzes narazit, kdyz nejake zarizeni nasloucha na nejakem portu a mas tyhle zarizeni ve vzdalene siti dve a aplikace na PC natvrdo predpoklada tento port a nedovoluje nastavit jiny. Port na prvni zarizeni prostrcis. Ale na druhe zarizeni si uz musis u sebe vymyslet nejakou dalsi ip adresu..., proste VPN je VPN.

Na druhou stranu u VPN musis resit nejake routovani, coz nas laiky dokaze potrapit.

> kdyz nejake zarizeni nasloucha na nejakem portu a mas tyhle zarizeni ve vzdalene siti dve a aplikace na PC natvrdo predpoklada tento port a nedovoluje nastavit jiny

On používá SOCKS proxy, tam se připojíš na vzdálenou IP. (u aplikací co to nepodporují tsocks)

Tak googlim a doplnuji si vzdelani. O SOCKS zatim vim jen to, ze to byva podporovano ve webovych prohlizecich. A koukam na tsocks a jestli dobre hledam, tak to neumi udp. Navic mi to opet prijde jako "narovnavak na ohejbak". (?) (Samozrejme, pokud mu to funguje a staci mu to, tak neni co resit.)

Zvládá i virtuální ethernet, psalo se o i tady na Rootu před čtyřmi lety:
http://www.root.cz/clanky/stavime-tunely-v-openssh/
Tak jak je to popsáno v článku by to jelo jako PTP spojení, ale v manpage pro sshd_config je popsáno i přepnutí z výchozího stavu do emulace ethernetu (direktiva Tunnel).

jeste by bylo fajn popsat rozdil mezi tun a tap a alternativni konfiguraci pro tap. (Tap se tvari jako zarizani na lokalni ethernet siti. Nektere aplikace na tun nepobezi. Tap zase prenasi vice dat.)

https://en.wikipedia.org/wiki/TUN/TAP

Pěkný článek, škoda že nebyl o půl roku dřív, kdy jsem s těmito základy začínal.
Doufám, že bude nějaké pokračování pro pokročilé, neboť teď zrovna řeším, jak připojit celou lokální síť a to bez nutnosti to nějak na serveru konfigurovat.

To se koupí a zapojí taková malá krabička a je to.
:-)

Stacilo hladat. Step-by-step navod ako rozbehat opvpn je uz dlhe roky na https://openvpn.net/index.php/open-source/documentation/howto.html#pki

Dnes uverejneny je len prelozeny original + pridane veci o <ca><cert><key>

Asi jsem se nejasně vyjádřil:
Mám serveer, mám klienta, klíče atd. a klient se automaticky připojí, dostane dynamickou IP a jeho CN se zapíše do známých hostů, takže se na něj dostanu bez znalosti IP. Až sem se to dá vyčíst v návodu.
No a teď potřebuji lokální síť na straně klienta připojit také, ale nějak automaticky, bez nutnosti konfigurovat server. A také nějak automaticky přenést všechny hostnames do hosts na serveru. Zatím jen vím o možnosti každý počítač v lokální síti se připojuje jako samostatný klient a to jaksi není ono - spojení je totiž gprs.

Jde to. Ale bez konfigurace na strane serveru tezko uz z principu povahy klient-server reseni.
Kazdopadne, "automaticky prenest vsechny hostnames do hosts na serveru" - co to je za piiiicovinu?

Na pripojenie k domacej sieti pouzivam router Asus RT-N66U a RT-AC68U. Openvpn server na tychto routroch vygeneruje nastavovaci subor - max par kB.
V Androide ho jednoducho nacitam do openvpn klienta, upravim nastavenie routovania a uz to fici.
Hladal som az sa mi spotilo celo ako to takto urobit na linuxe alebo Windows ale nenasiel.
Vie niekto poradit? Dakujem

Předpokládám, že je to ten konfigurák, který je zmíněný v článku.

Na Linuxu spustíš "openvpn soubor.ovpn" jako root.

Na Windows spustíš "openvpn.exe soubor.ovpn" jako Administrator.

na windowse mas v baliku OpenVPN GUI. Konfigurak hodis do Program Files\OpenVPN\con­fig\ a nazves ho ABCD.ovpn. Po spusteni GUI v http://www.viewtvabroad.com/support/openvpnwin-guide-01.png das "Connect". Akurat ikonka je uz trochu ina (flat dizajn... co uz, pokrok je nezastavitelny).

GUI navyse nacita aj viac kofigurakov, takze je mozne ovladat viac ovpn spojeni naraz.

Dakujem pripojim sa ale ako sa dostanem do domacej siete?
Som v sieti s adresami 192.168.1.xx. Domaca siet ma 192.168.123.xx. Ked sa chcem pripojit k serveru 192.168.123.45, tak ho jednoducho nenajdem.

Sorry uz som to nasiel c configuraku, este raz dakujem.

Zial unahlil som sa. Pokial zadam 10.8.0.1 tak sa vo webovom prehliadaci dostanem na stranku routra. Ale to je tak vsetko, ziadna moznost pripojit sa na zdielane disky, TAP adapter nema IP adresu a je bez pripojenia.
Vygooglil som, ze sa moze jednat o bug vo windows 10. Uz som na vsetkych pocitacoch migroval na 10-ky takze nemam moznost overit, ci pod win 7 to ide.

Kde vzit OpenVPN bez pouziti Google Market? Stranky openvpn.net jsou bohuzel desne.

https://f-droid.org/repository/browse/?fdid=de.blinkt.openvpn