LINUX.ORG.RU
ФорумAdmin

Strongwan как сделать еще stronger?

 , , ,


0

1

Доброго дня! Настроил vpn канал через VPS. Использую strongwan.
Какие можете дать рекомендации по повышению безопасности vpn канала?
Конфиги следующие. Сервер

conn my-super-vpn
  auto=add
  compress=no
  type=tunnel  # defines the type of connection, tunnel.
  keyexchange=ikev2
  fragmentation=yes
  forceencaps=yes
  dpdaction=clear
  dpddelay=300s
  rekey=no
  left=%any
  leftauth=pubkey
  leftid=@my.super.vpn    #If using IP, define it without the @ sign
  leftsourceip=18.18.18.18
  leftcert=vpn_server_cert.pem  #Reads the VPN server cert in /etc/ipsec.d/certs
  leftsendcert=always
  leftsubnet=0.0.0.0/0
  right=%any
  rightid=%any
  rightauth=eap-mschapv2
  rightsourceip=10.0.1.0/24  #IP address Pool to be assigned to the clients
#	rightdns=8.8.8.8  
  rightsendcert=never
  eap_identity=%identity  #Defines the identity the client uses to reply to an EAP Identity request.
Клиент:
conn my-super-vpn
  auto=start
  right=18.18.18.18
  rightid=my.super.vpn
  rightsubnet=0.0.0.0/0
  rightauth=pubkey
  leftsourceip=%config
  leftid=client1
  leftauth=eap-mschapv2
  eap_identity=%identity

Ответ на: комментарий от thesis

Не хочу просто чтоб в сеть предприятия залетело какое нибудь говно. И потом чтоб я не гонялся, в попытках все исправить

ettaluni ()
Ответ на: RTFM от thesis

Мать честная, этож целая портянка

ettaluni ()
Ответ на: комментарий от Jopich1

Дак wireguard тоже готовить нужно уметь. Там тоже свои настройки безопасности.

Я еле-еле настроил strongswan. И openVPN и wireguard у меня не завелись.

ettaluni ()
Ответ на: комментарий от ettaluni

Там один ассиметрический алгоритм, один симметрический алгоритм, и один хэш. Нечего настраивать.

token_polyak ★★ ()
Ответ на: комментарий от ettaluni

Говно залетит не снаружи, а изнутри. Можешь сколько угодно VPN'ов наставить.

zgen ★★★★★ ()
Ответ на: комментарий от ettaluni

И openVPN и wireguard у меня не завелись.

Чтобы wireguard не завёлся это што-ж такое, люди добрые, происходит ? Конфиги прям готовенькие заготовлены, аж по три строки на ноду, а всё туда-же, не завелись.

Кстати, в Макдональдсах сейчас, говорят, набор персонала открыт, вакансий много разных и нужных, пишут, что расширяться планируют. Загляните к ним, там wireguard не нужен между кассой и раздачей.

NHS7 ()
Ответ на: комментарий от zgen

лучше шапочку из фольги

Фольга нынче в дефиците, все приоделись же, модники…

NHS7 ()
Ответ на: комментарий от ettaluni

Ты уже даже не стесняешься, прямым текстом оскорбляешь

Божеупаси, спаси и сохрани ! Было высказано две мысли, совершенно отдельные, через точку. Одна - про то, что у них набор на труд. Вторая - про то, что у них нет wireguard и тем, кому wireguard не пришёлся там будет хорошо перекусить и без него.

По сути: wireguard если вкурить, то он попрёт хорошо. Только что в конфиге мало чего есть, обескураживает, ну после openvpn. Ну и клиент виндовый, который типа официал, у него какой-то стремноватый, сам апдеитится, когда не просят ну и вообще. Но ты же тут не про виндовс спрашивал ? Так что попрёт.

NHS7 ()
Ограничение на отправку комментариев: только для зарегистрированных пользователей