Názory k článku Nastavení OpenVPN pro přístup na stroje za NATem

Skusal uz niekto pwnat? Nevyzaduje ziadne VPS.

Pěkný článek,
expiraci certifikátů jsem řešil cca před měsícem stejným způsobem. Co mě ale zaujalo je ta volba délky platnosti na 10 let "export EASYRSA_CERT_EX­PIRE=3650". At dělám co dělám nemohu přijít jak to aplikovat. Stále se mě generují certifikáty na 3 roky.

Netuším, jak je to v distribučních instalacích EasyRSA, já obvykle pracuju s variantou staženou z GITu OpenVPN a tam se to nastavuje v souboru ./vars, případně v novejších verzích v ./pki/vars (vztaženo adresáři EasyRSA). Je tam i hromada dalších nastavení...
https://github.com/OpenVPN/easy-rsa

Aha, díky. Zkouším na Debianu s easy-rsa 3 z repozitářů. Kouknu do těch vars.

Mně to v easy-rsa z repozitáře z Debianu stable i unstable respektuje uvedenou proměnnou prostředí:

/tmp/easy-rsa> /usr/share/easy-rsa/easyrsa build-client-full bagr nopass
[...]
Certificate is to be certified until Jan 15 12:38:53 2025 GMT (825 days)

/tmp/easy-rsa> export EASYRSA_CERT_EXPIRE=3650
/tmp/easy-rsa> /usr/share/easy-rsa/easyrsa build-client-full bagr2 nopass
[...]
Certificate is to be certified until Oct 10 12:39:08 2032 GMT (3650 days)

13. 10. 2022, 14:40 editováno autorem komentáře

Já mám certíky generované přes openssl, platnost si nastavuji dle potřeby. To easy-rsa jsem používal jen dokud nebyly potřeba jinde, než na OpenVPN....

> Elegantnější řešení by bylo pomocí hlavičky HTTP Host a SNI přesměrovávat podle hostname, ale o tom třeba někdy příště.

Zrovna tohle by me zajimalo :-)

Uz jsem to asi nasel: https://gist.github.com/kekru/c09dbab5e78bf76402966b13fa72b9d2#non-terminating-tls-pass-through

Měl bych připomínku k odstavci IPSec. IPSec od verze IKEv2 (už pár let aktuální verze) má defaultně zapnuté rozšíření mobike, které pokud detekuje NAT, tak veškerý traffic (včetně ESP) encapsuluje do UDP/4500.

A IKEv1 je uz i na ceste k formalnimu zavrhnuti. A clovek by se mu mel pokud mozno vyhybat - uz jen proto ze tam pouzitelne sifrovaci/hashovaci algoritmy jsou tak trochu za moralnim zenitem a nove se ani nepridavaji...

Ma 15leta zkusenost.. OpenVPN. - OpenWRT 6 spojenych siti bezna rychlost vetsi nez internet provider. (tj.. 300MB a vic). Ted zkoumam pfSense, ale zatim mi nepadl uplne do oka.. OpenVPN mi tam jede, ale je to toporne nastavit - nemluve o zmenach a jejich archivace.
OpenVPN na Microtik je nocni mura (ale nevim jak nova verze OS.., - kazdopadne bezny vykon cipu na to nestaci a neumi radu vlastnosti)
Certifikaty delam pres OpenSSH. Expirace CA 10let. Takze jsem nedavno aktualizoval (da se hacknout tak, ze se prodlouzi a CA samotne zustane stejny).

Pro uvedeny priklad mi to ale prijde overkill. Z povahy veci je OpenVPN centralni uzel (coz muze mi sve kouzlo), ale pro zajisteni pristupu k ssh pro uzavrenou skupinu - je lepsi nejakej NAT traverzujici daemon. Server muze byt minimalni (nekteri takovy nabizeji i zdarma) - komunikace pak probiha naprimo bez vykonnostnich pozadavku na VPN server nebo sirku pasma.

Já nějak nevím, proč by měl dnes někdo používat tu neohrabanou OpenVPN, když tady máme WG. :) Možná pokud chcete propoj na L2, ale jinak mi to přijde jako přežitá technologie.

Třeba proto, že potřebuje spojit několik sítí - a tam je IMHO OpenVPN ověřené, stabilní řešení. (Ne, že by to s WG nešlo...)
Pro připojování klientů k jedné síti je asi WG jednodušší, OpenVPN má určitou "administrátorskou režii".

Na s2s používám spíš IPSec. Ale kdybych neměl všude IPSec, také bych to už řešil spíš WG.

Jak už řekli předřečníci, těch důvodů je spousta.
Třeba přístup "jediná šifra" (poslední roky jsem nesledoval, ale pochybuji že se změnil, kdyžtak mě opravte) efektivně vede k nehezké časované bombě ve chvíli, kdy máte VPN s více partnery - představa, že naplánujete okno, během kterého si všichni aktualizují verzi na novou šifru je v praxi iluzorní už u jednotek partnerů, alespoň pokud nejste státní správa. Tam zlatý IPSec nebo i OpenVPN, kde můžete podporovat paralelně šifer kolik chcete, takže přechod na novější je mnohem hladší.

Pak se Vám třeba nemusí líbit, že WG není na iPhonech nativní, s velmi nepříjemným dopadem nemožnosti použití na Always-ON VPN (ale to není ani OVPN, ale ipsec ano.) Možnosti tunelingu OVPN jsou taky docela ucházející.
O specialitách, jako protáhnout si domů nebo na cesty IPv6 ze serveru v housingu nebo jiné L2 hrátky nemluvě vůbec.

Například proto, že s OpenVPN lze používat autentizaci HW klíčem (např. yubikey) a tím zvednout bezpečnost na uvěřitelnou úroveň.

Pár možných důvodů jsem napsal do srovnání.

Každopádně jestli WG běžně používáš, tak by mě zajímaly nějaké poznatky a jak to máš udělané: zejména potřebuju vědět kdy se klient připojil a odpojil (kdy jsem dostal poslední keepalive) - to máš nad tím nějaké vlastní logovátko, nebo to loguje samo? A co používáš k tomu abys v různých výpisech viděl „lidské“ jméno klienta a ne veřejný klíč? (můžu si napsat samodomo skript kterým cokoli profiltruju a on mi to nahradí…)

OpenVPN jsem například nasadil tam, kde jsem potřeboval dostat klienty na firemní veřejné adresy. Problém je v tom, že klientů bylo cca 40000 a dostupných veřejných adres 1000 (stačilo to, průměr byl cca 700 konkurenčních spojení). Dá se to řešit pomocí WG?

Nenapadá mě, co bhy na tom konkrétně nemělo jít. To je jen routing skrz ten tunel.

Na L2 propojení s PLC modulem (modbus) jsem nahodil ZeroTier, taky pěkná VPN.

Pro spojení P2P přes OpenVPN lze použít jen statický klíč a netřeba dělat celou CA.
openvpn --genkey secret mujklic.key

Ahoj,
lze použít WG na MikroTik když nemám veřejnou adresu ale mám VPS s veřejnou adresou kde běží např. Debian? Aktuálně mi funguje reverzni SSH tunel a přes něj OpenVPN, který běží na MikroTik s neveřejnou IP.

Stejným způsobem ale nefunguje WG. Mám úplně stejný tunel, ale nespojím klienta z venku dovnitř...

Díky předem za radu kdyby někdo měl odzkoušeno.

PS: V případě stovek uživatelů, lze provozovat na VPS Cloud Hosted Router (CHR) a mít tam stovky WG pro různé uživatele? Nevíte jak se to řeší licenčně? CHR je pokud vím licencován.

Děkuji.

Michal