Criando uma VPN baseada em UNIX: ponteiros, diretrizes e armadilhas?

no linux você tem duas opções principais:

• vpn compatível com ipsec - use freeswan / openswan / strongswan . como eu me lembro, foi muito chique para configurar ...
• não-standarized [mas realmente bom] sslvpn - openvpn . muito fácil de configurar.

O segundo é realmente ótimo, eu tenho usado em produção há alguns anos. está disponível no debian como pacote padrão. Ele funciona muito bem para capacidades de dezenas de megabits [centenas também, mas eu não tenho que conexões de internet rápida entre escritórios]

algumas dicas para o openvpn:

• para ser mais seguro, não use 'compartilhado segredo ' tipo de chaves, criar autoridade cert e use as chaves assinadas por ele .
• se possível, use o modo tun em vez de tocar em [route traffic via vpn em vez de fazer uma ponte sobre dois segmentos ethernet]
• se você optar pela solução cert authority - lembre-se de que as chaves expiram. defina lembretes em pares para regenerar as chaves.
• para estar no lado seguro use o watchdog de software embutido no opensvn [opção ping-restart] + coloque o script bash additoinal simples que verifica ciclicamente se o processo openvpn está rodando. openpn morreu por mim ~ 2 vezes nos últimos 3 anos.
• use tunelamento sobre o udp sempre que puder [em vez de tcp]. Eu tive problema com vpn do escritório por trás nat [onde linux caixa estava por trás do roteador dlink barato eu não podia controlar] onde pacotes udp depois de algum tempo ware bloqueado - nesse caso eu fui forçado a usar tcp.
• aproveite o openvpn de trás do firewalls / nats .. contanto que um lado possua ip público e possa ser acessado por tcp ou udp em uma porta - vc pode estabelecer vpn nele, o outro nó não precisa ter ip público!

O verdadeiro IPsec não é senão uma dor de cabeça. O protocolo tropeça em diferentes topologias de rede. Os clientes são universalmente carentes, não importa o que o sistema operacional. A menos que você exija pontos de extremidade de hardware que façam apenas IPsec, evite-os a todo custo.

O OpenVPN, no entanto, é simples de configurar, tem um uso sólido e possui clientes muito intuitivos para Linux, Windows e Mac.

Considere como você gerenciará novos usuários e revogará os antigos. Isso dependerá de quantos usuários você está esperando para suportar. Pessoalmente, usamos certificados x509 colocados em tokens de dois fatores, que são muito bem dimensionados, mas exigem uma maneira de gerenciar a PKI se você crescer.

Outra votação para o OpenVPN aqui. Usamos isso no meu trabalho anterior e foi sólido e tivemos menos problemas com ele em comparação com os túneis VPN PPTP e IPSEC que usamos no meu trabalho atual. Também é difícil superar a flexibilidade que o OpenVPN oferece. Mas o OpenVPN tem um ponto fraco na minha opinião. Atualmente não é suportado por muitos telefones inteligentes. Na verdade eu não sei de nenhum que faça. Eu sei que há pessoas tentando portá-lo para o iPhone, mas não tenho certeza de onde é esse projeto.

Você não mencionou que tipo de clientes sua solução vpn precisava suportar. Então, com isso em mente, se você precisar evitar clientes de terceiros ou precisar de suporte por telefone inteligente, o PPTP poderá ser mais adequado. Windows, OSX e muitos telefones inteligentes têm clientes PPTP nativos. Poptop é o projeto Linux que implementa o PPTP.

Uma solução muito flexível e bem documentada é o OpenVPN ( link ) disponível como um pacote do repositório padrão no Ubuntu e deve estar em Debian também.

Eu usei o OpenVPN na minha empresa por cerca de dois anos. Tinha pouquíssimos problemas com isso.

Estamos usando a configuração específica do cliente para atribuir o IP dos usuários em diferentes sub-redes. A partir de então, podemos limitar o acesso a recursos internos graças a um firewall.

O que é menos confortável é o gerenciamento de PKI (usamos certificado para autenticar clientes). Mas com 2 ou 3 scripts, isso se torna suportável.