VPN em um servidor Ubuntu limitado a determinados ips

2

Eu tenho um servidor rodando o Ubuntu Server 9.10 e preciso de acesso a ele e a outras partes da minha rede quando não estou em casa. Há dois lugares dos quais preciso acessar a VPN. Um dos lugares para um IP estático e o outro tem uma dinâmica, mas com a configuração do DynDNS, para que eu possa sempre obter o IP atual, se eu quiser.

Agora, quando se trata de servidores, as pessoas me chamam de paranóico, mas segurança é sempre minha prioridade número um e eu nunca gosto de permitir acesso ao servidor fora da rede. Tenho duas coisas que preciso ter nessa VPN. Uma que não deveria ser acessada de nenhum outro IP, então esses dois e dois tem que usar uma chave muito segura, então será virtualmente impossível forçar a força bruta até mesmo dos ditos IPs.

Eu não tenho experiência alguma na configuração de VPNs, usei o tunelamento SSH, mas nunca uma VPN real. Então, qual seria a melhor, mais estável, mais segura e eficiente maneira de configurar isso em um servidor Ubuntu? É possível ou devo apenas configurar algum tipo de túnel SSH?

Obrigado antecipadamente por respostas.

    
por Hultner 23.04.2010 / 19:27

2 respostas

1
Concorde, o OpenVPN é a solução mais fácil de configurar. Você também pode olhar para servidor OpenVPN-AS , que é extremamente fácil de configurar no Ubuntu e fornece uma ótima interface de gerenciamento web. É gratuito para 1-2 conexões simultâneas e até 10 conexões podem ser licenciadas por US $ 50.

Para limitar a VPN a determinados IPs, no Ubuntu você pode simplesmente usar o ufw:

#CAUTION - Be careful if you're doing this remotely 
# over ssh or other as you could easily lock yourself out.
sudo ufw disable
sudo ufw default deny
sudo ufw allow proto udp from 10.0.0.1 to 192.168.0.1 port 1194
sudo ufw allow proto udp from 10.0.0.2 to 192.168.0.1 port 1194
sudo ufw allow proto tcp from 192.168.0.0/24 to 192.168.0.1 port 22
sudo ufw allow proto tcp from 192.168.0.0/24 to 192.168.0.1 port 443
sudo ufw enable

Este exemplo abre a porta UDP 1194 (porta de escuta padrão do OpenVPN) para 2 endereços IP diferentes e permite o acesso via Web ssh e seguro a IPs na mesma sub-rede que o servidor para gerenciamento.

    
por 23.04.2010 / 22:09
2

Na minha experiência, o serviço VPN mais confiável que você pode executar é o OpenVPN . Obtendo a configuração dos certificados pela primeira vez é um pouco complicado. Usar algo como TinyCA deve tornar a criação do certificado muito mais fácil, em seguida, criá-los manualmente. Consulte os documentos e as questões aqui marcadas openvpn para dicas sobre como configurá-lo.

Se um túnel SSH puder atender às suas necessidades, sugiro que você continue com isso. É muito fácil de trabalhar e bastante flexível. Se você quiser usar o ssh regularmente, convém usar um gerenciador de túneis para tornar o dia-a-dia Uso do dia-a-dia mais fácil.

    
por 23.04.2010 / 20:00