Názory k článku
Mezera ve VPN může odhalit skutečnou IP adresu uživatele

Problem s IPSec moze byt aj tym, ze nepouziva dva klasicke protokoly UDP a TCP, ale AH a ESP. Dodavatel ich softveroveho riesenia napriklad nemusel implementovat NAT helper pre ne alebo sa im to proste neoplati riesit, kedze pocet zakaznikov, ktori to mozu potrebovat sa limitne blizi nule. Dovodov proste moze byt vela a niektore mozu byt velmi konkretne a technickeho charakteru.

VPNky riesime uz vela rokov a presli sme si peklom najprv s PPTP, neskor s IPSec a tak sme si povedali, ze nebudeme to uz viac natahovat a presli sme na OpenVPN cez klasicke TCP a UDP. Mame stovky klientov, ktori vkuse cestuju a teda sa pripajaju z letisk, roznych mobilnych sieti, internetovych kaviarni a podobenych pochybnych lokalit. Riesime to tak, ze mame cluster serverov kde kazdy ma vyhradeny cely rozsah portov od 1 po 4000 na oboch UDP aj TCP a klient sa pokusa pripajat na dlhy zoznam beznych portov na oboch protokoloch. Bol by v tom cert, aby to nakoniec k nam nejako nepreliezlo.

Aby som doplnil ukazku, takto vyzera bezny config:
server-poll-timeout 5
remote x.rnd.int.sagev­pn.com 3000 udp
remote x.rnd.int.sagev­pn.com 69 udp
remote x.rnd.int.sagev­pn.com 53 udp
remote x.rnd.int.sagev­pn.com 123 udp
remote x.rnd.int.sagev­pn.com 3000 tcp
remote x.rnd.int.sagev­pn.com 80 tcp
remote x.rnd.int.sagev­pn.com 443 tcp
remote x.rnd.int.sagev­pn.com 22 tcp
remote x.rnd.int.sagev­pn.com 993 tcp
remote x.rnd.int.sagev­pn.com 995 tcp
remote x.rnd.int.sagev­pn.com 110 tcp
remote x.rnd.int.sagev­pn.com 143 tcp
remote-random-hostname
resolv-retry infinite

Zatial sa to odmietlo pripojit len z jedneho hotela niekde v USA. Inak to preslo vzdy.