OpenVPN como uma rede de malha paranóica

Navegue suas respostas
0

Eu gostaria de configurar uma VPN com uma topologia semelhante a uma rede Hamachi: cada computador se conecta ao outro, como uma "malha", mas o tráfego entre eles ainda é seguro. O OpenVPN pode fazer isso?

Ou, se isso não for possível, é possível configurar a VPN para que não seja necessário que os clientes confiem no servidor (eu chamo isso de "paranóico")?

    
por thirtythreeforty 10.10.2013 / 17:40

2 respostas

1

  1. É possível usar a opção cliente-cliente do OpenVPN, mas todos os túneis do cliente são encerrados no servidor.

  2. Defina confiança? Você pode criar um arquivo conf comum com a opção "duplicate-cn". Desta forma, o cliente que possui o arquivo é TRUSTED / permitido conectar-se pelo servidor.

por 10.10.2013 / 18:13
1

Uma conexão OpenVPN requer que uma extremidade seja um cliente e que a outra seja um servidor.

Portanto, você precisará construir sua malha manualmente, garantindo que cada nó tenha uma configuração de servidor e uma configuração de cliente. Cada nó precisará executar duas instâncias do OpenVPN, uma para o cliente e outra para o servidor.

O OpenVPN suporta publicidade de rotas disponíveis por trás da interface virtual que cria. Assim, você pode fazer com que os nós do OpenVPN redirecionem o tráfego não destinado a esse nó para outro nó. Novamente, você precisa configurá-lo manualmente com as instruções iroute em seus arquivos de configuração.

Em cada arquivo de configuração, você pode especificar vários servidores para um cliente para tentar se conectar. Assim, você pode especificar vários nós de entrada para cada arquivo de configuração.

Para fazer isso da maneira correta, você precisa criar uma autoridade de certificação para cada par de cliente e servidor. Você pode comprometer e ter uma única CA para toda a malha. Você pode comprometer ainda mais e apenas fazer senhas, mas ainda precisa de certificados para identificação do servidor.

Acho que, para estar realmente seguro, você precisaria de outra rede virtual interior que não seja acessível diretamente por clientes externos, mas acessível a qualquer coisa, uma vez que eles estejam na rede virtual.

Muito trabalho para acompanhar tudo, mas com certeza é possível.

Se os clientes não confiarem no servidor, eles precisam se comunicar pelo servidor usando criptografia. Você poderia ir tão longe a ponto de executar o Tor internamente nessa rede mesh em cada servidor, então a correlação direta entre um nó e um serviço seria difícil de fazer.

    
por 10.10.2013 / 18:36

Tags

O microfone precisa de permissão do google chrome Convertendo o lote do Windows para o script Linux (Lote criar links simbólicos pelo primeiro caractere)