Openvpn в офисе с cypher none плохая идея?

0

1

Есть необходимость в смешанной сети (50/50 Windows/Linux) научиться однозначно идентифицировать пользователей на L3.

Конечные хосты мне фактически не подконтрольны, поэтому все танцы с доменами и dhcp/dns отпадают.

VPN видится решением. PPTP очень не хочется, хотя он и быстрый. OpenVPN с нормальным шифрованием на такое количество рыл потребует мощного сервера и при этом один фиг не даст честный гигабит.

Учитывая задачу (идентификация), мне видится, что шифрование мне вообще не нужно, необходимо лишь возможность аутентифицироваться, а трафик можно гнать чистым.

Возникает вопрос, есть ли здесь подводные камни. Типа, отключу шифрование и любой дурак сможет подделать трафик так, что выдаст себя за соседа. Есть ли у кого опыт?

Ссылка

←	Сделать ipv6 порт доступным на ipv4

apt-cache policy | grep = WTF

→

А чем не угодил пптп? Вендузятники бы спасибо сказали. Кстати, а чего там у openvpn с многоядерностью, научилось?

thesis ★★★★★
(05.11.15 20:12:15 MSK)
Последнее исправление: thesis 05.11.15 20:16:30 MSK (всего исправлений: 1)

Я не разбираюсь в тонкостях вопроса, но мне кажется, ваше понимание вопроса достаточно, чтобы ответить на ваш же вопрос. То есть теоретическую угрозу вы понимаете верно.

Andrey_Utkin ★★
(05.11.15 20:13:09 MSK)

Ответ на: комментарий от Andrey_Utkin 05.11.15 20:13:09 MSK

Теоретически да, но я не разбираюсь в том как именно openvpn упаковывает пакеты. Например подписывает ли он их ключом или просто помечает тегом? Во-втором случае, очевидно это легко подделать, в первом нет. Надеюсь тут есть спецы.

zloelamo ★★★★
(05.11.15 20:16:22 MSK) автор топика

Ответ на: комментарий от thesis 05.11.15 20:12:15 MSK

У начальства на него алергия :) Хотя начальство сидит на винде. Я виндой не пользуюсь уже лет 10-12, поэтому верю ему на слово.

zloelamo ★★★★
(05.11.15 20:17:43 MSK) автор топика

Ответ на: комментарий от zloelamo 05.11.15 20:16:22 MSK

я бы по такому тонкому вопросу (не шифровать, но подписывать чтоб), если он не раскрыт в доступной документации, консультировался в юзерском мейллисте openvpn, или напрямую у разработчиков.

Andrey_Utkin ★★
(05.11.15 20:18:29 MSK)

Ссылка

Ответ на: комментарий от thesis 05.11.15 20:12:15 MSK

Ты ничего не понимаешь, без ни с чем не совместимого вендорлока вендузятники не оценят.

anonymous
(05.11.15 20:18:58 MSK)

Ссылка

Ответ на: комментарий от thesis 05.11.15 20:12:15 MSK

Кстати, а чего там у openvpn с многоядерностью, научилось?

Последний раз когда ковырял - не было. Только грязные хаки с бондингом :).

zloelamo ★★★★
(05.11.15 20:20:56 MSK) автор топика

Ссылка

Ответ на: комментарий от zloelamo 05.11.15 20:17:43 MSK

Мне ни разу не удавалось настроить pptp vpn на линуксе в конфиг-файлах самостоятельно. Надо править несколько файлов в /etc/ppp, угадывать какие-то опции. В общем, я его не понимаю и у меня на него тоже аллергия. С OpenVPN проще - принято скидывать сразу конфиг-файл (и сертификаты).

Andrey_Utkin ★★
(05.11.15 20:21:29 MSK)

Ответ на: комментарий от Andrey_Utkin 05.11.15 20:21:29 MSK

C openvpn тоже не все сладко. Как только пытаешься сделать что-нибудь большее чем соединить две сети через интернет, сталкиваешься с кучей бед: многопоточности нормальной нет, токены на винде не поддерживает, сплит днс на винде не выходит нормально, шифрует в юзерспейсе, а не в кернеле и со свежими акселеторами в свежих процессорах вечная беда (хотя это скорее беда openssl).

zloelamo ★★★★
(05.11.15 22:14:24 MSK) автор топика