Como lidar com o cliente OpenVPN como um serviço, quando o laptop já está fisicamente na rede?

4

A configuração

Eu obtive o OpenVPN trabalhando em nossos laptops com Windows XP. Os usuários são limitados, então fui em frente e configurei o cliente OpenVPN para rodar como um serviço, o que é ótimo, porque isso significa que eles estão na VPN antes de fazer login, então os scripts de login funcionam, além disso podemos fazer suporte remoto mesmo que o usuário possa não logar (como conectar via VNC ou redefinir senhas). Ele também é configurado para enviar todo o tráfego pelo túnel, portanto, quando, por exemplo, eles navegam na Internet, é como navegar pela nossa rede corporativa.

O (s) Qestion (s)

Então, eu estou querendo saber como o cliente OpenVPN atua quando o computador já está fisicamente na mesma rede que o servidor OpenVPN? No momento, o cliente está configurado para conectar o nome dns público que será resolvido ao endereço IP público, que NÃO será refletido de volta ao servidor OpenVPN, portanto, é bloqueado de forma afetiva para se conectar ao servidor OpenVPN enquanto estiver na rede. Isso é uma coisa boa? Ou será que ele tentará se conectar constantemente, usando recursos do sistema e recursos de rede? Provavelmente teremos centenas de laptops regularmente na rede física com isso, para que isso possa contribuir para muitas conversas desnecessárias na rede.

Alternativamente

Seria melhor que o firewall refletisse a porta de volta para o servidor OpenVPN e permitisse a conexão? Ou nosso dns interno resolve o nome para o ip privado e permite que eles se conectem diretamente? O tráfego passaria então pela conexão vpn (que eu não quero, quando já estou na rede física)? Ou é possível dizer a ele para ignorar a conexão quando o cliente e o servidor já estão na mesma rede?

TLDR

Qual é a maneira sadia de lidar com o cliente OpenVPN sendo executado como um serviço sempre ativo quando o cliente e o servidor estarão frequentemente na mesma rede?

    
por James 01.03.2012 / 23:55

1 resposta

1

Continue fazendo o que você está fazendo.

O OpenVPN como um serviço que está tentando se reconectar e fracassar vai se traduzir em tráfego mínimo. Uma verificação rápida revelou que o pacote inicial "Gostaria de me conectar a você" para o openvpn era de 14 bytes de dados. Levando em consideração o UDP, IP e uma sobrecarga do Frame Ethernet, eu obtenho 56 bytes no total.

Evite usar o OpenVPN internamente, pois ele realmente adicionaria mais sobrecarga do que apenas o OpenVPN não conseguirá se conectar.

    
por 19.03.2012 / 02:57

Tags