Господа. VPN SERVER. С помощью чего его лучше сделать?

openvpn конечно

У меня опенвпн везде, но оно не любит адсл модемы, так что если у тебя оно, то сразу переключай модем в режим бриджа и настраивай pppoe на компьютере, а то запаришься модем ребутать.

Может MTU просто покрутить и полюбит тогда?

Не хочу клиентское ПО ставить на винды

Ну вот, собственно, и ответ насчет openvpn.

А это mschap

Это только в этих наших кривых люниксах, да и то уже есть рабочий костыль: http://sourceforge.net/projects/l2tp-ipsec-vpn/files/ppp-2.4.5-eaptls-mppe/
Ищи в репозиториях любимого дистрибутива, если ниасилишь *swan.

OpenVPN тут без вопрсов

Ды крутил. Рекомендованный провайдером ставил и убавлял и добавлял - порожняк. Переключился в бридж и проблемы не стало.

OpenVPN, потому что лучше защищен и менее критичен к качеству канала и прохождению специфических протоколов.

Спасибо за ваши ответы! :) Буду ставить openvpn.

У меня опенвпн везде, но оно не любит адсл модемы,

Ты что курил?

OpenVPN, потому что лучше защищен

Лучше чем что? IPSEC существенно безопаснее. Просто openvpn более гибкий в настройке, но какими-либо сетевыми железяками не поддерживается.

IPSEC существенно безопаснее.

Да ну? Давай пруфлинки.

А полскажыте, господа любезные. Если использовать openvpn в качестве vpn сервера для доступа скажем 50 пользователям, то им (пользователям) нужно будет доставлять ещё какоето ПО на свои форточки или нет?

Да. Openvpn в качестве vpn-клиента, конечно.

Спасибо.

IPSEC существенно безопаснее

Один хрен.
Главное достоинство айписека — в изкоробочной поддержке всякими популярными осями. Ну там, красивенькая графа в апплете подключений семерочки, то-сё.

Да ну? Давай пруфлинки.

Пруфлинки ищи сам - в двух словах не скажешь. Про ipsec точно найдешь в rfc3602. Важен весь процесс в комплексе, а не только то, что ты увидишь в качестве алгоритмов шифрования, например введя

openvpn --show-ciphers

Самое хреновое в vpn - процедура обмена ключами.

Главное достоинство айписека — в изкоробочной поддержке всякими популярными осями.

А ничего, что реализации от разных производителей не всегда между собой стыкуются?

Ну там, красивенькая графа в апплете подключений

блондинко что-ле?

Пруфлинки ищи сам

балабол детектед.

А ты хочешь увидеть подробный анализ работы алгоритмов шифрования в разных режимах работы, механизмов, входящих в ipsec и сравнить это с openvpn? Так удачи в чтении материалов по криптоанализу и работе различных алгоритмов. Я тебе ответил быстро и по делу. Пруфлинки на мурзилки из принципа даже искать не буду.

Ты их искать не будешь не из принципа, а потому что их нет

А ничего, что реализации от разных производителей не всегда между собой стыкуются?

Ничего.

блондинко что-ле?
что-ле

Ну поговори, раскройся.

опенвпн везде, но оно не любит адсл модемы

а конкретнее? попахивает ересью

поздравляю шарик, ты - балбес.
по крайней мере до тех пор, пока не приведешь хотя бы один вменяемый аргумент

++
ну он наверное говорит о тех случаях, когда клиент качает с сервера ключ плейнтекстом через канал злоумышленника.
тогда конечно да, опенвпн не безопасен, лол.

Модемы TP-link. Часто пользователь не может прицепиться к серверу, в логах на сервере видится такое

TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)

При этом я спокойно захожу на сервер по ssh и httpd на сервере тоже доступен.

Я заверяю, что с ключами полный порядок, тем более, что после банального ребута модема, пользователь спокойно цепляется.

Проблемы не стало после переключения модема в бридж.

Табак. Рядом мой пост с объяснениями.

Инкрементирую OpenVPN, у меня полсотни клиентов из всевозможных глубин географий, включая забугорье, соединяются. Ни адсл, и 3гы препятствием не являются.

как все печально у тебя

Ничего печального, я все свое хозяйство давно в бридж переключил. Ну их нафиг эти недоустройства.

поздравляю шарик, ты - балбес.
ну он наверное говорит о тех случаях, когда клиент качает с сервера ключ плейнтекстом через канал злоумышленника.

Про ассиметричное шифрование ты не слышал и про то как осуществляется обмен ключами, гений.

Ты их искать не будешь не из принципа, а потому что их нет

Как все тяжело...Гугл ipsec framework layer ipsec protocol

Поснифай свою сетку. Модемы сходят с ума, если через них проходит много tcp сессий. Еще если ты модем шил на другую прошивку, и openvpn поднят с модема, то велика вероятность загрузки процессора модема (поставь шифрование попроще чтобы снизить нагрузку на проц).

Модемы сходят с ума, если через них проходит много tcp сессий

Естественно, в одной конторе ~50, в другой ~30 пользователей. Потому и отказался от модемов как от маршрутизаторов.

Зачем мне это, если между модемом и сетью стоит полноценный компьютер.

Потому и отказался от модемов как от маршрутизаторов

Для твоего случая это правильное решение. Но использовать компьютер как маршрутизатор - это не очень хорошее решение. Я бы задумался над реализацией vpn на таки на маршрутизаторах или МЭ - количество пользователей намекает. В центральном офисе железка должна быть покруче и канал потолще, а в удаленных чуть попроще и канал меньший. Да и в решении проблем будет проще понять не работает сетка или приложения. Кроме того ты разносишь функции по разным устройствам, а если все они будут выполняться на одном, то устранять неполадки сложнее.

Кстати, а какая SOHO железка (для дома) может нормально держать openvpn?

TP-Link 1043 c DD-WRT при BlowFish шифровании сильно скорость режет (с 50-60 мбит до 3-5 мбит)

Ты линки, линки давай.
На конкретные проверенные ресурсы.
Гуглить я получше твоего умею.

Из этого сегмента ценового - никакая. Тут нужно аппаратное ускорение шифрования.

Насчет линков я уже говорил. А если гуглить ты умеешь лучше меня, то в чем проблема? Непонятно что ты хочешь найти-то. Я уже сказал, что из всего айписека надо смотреть уровень ipsec protocol, который будет более интересным чем openvpn. Кроме того в любом vpn есть проблема доверия при обмене ключами.

на опенвпн есть 3des?

в чем проблема

проблема в том, что ты развел тут 4.2, а при попытках тебя попросить предоставить доказательства твоих слов - дергаешься, будто у тебя сковорода раскаленная под задницей, но доказательств не предоставляешь. Это говорит лишь о том, что твое 4.2 в лучшем случае принадлежит к классу «слышал звон, да не знаю где он», а в худшем - к классу намеренного толстотроллинга. Человеку, уверенному в своих словах, такое поведение не пристало.

На опенвпн есть не только 3des, но и blowfish.

1043nd у меня работает повеселее. Дома могу померить и отписаться в топик. Для офиса надо брать что-то посерьезнее. Смотри zyxel zywall, forigate 20c - что-то такого плана хотя бы.

но доказательств не предоставляешь

из всего айписека надо смотреть уровень ipsec protocol. ESP+AH. 4.2 ты же разводишь, заявляя о «OpenVPN, потому что лучше защищен».

А микротик вроде 4-5 стоит - они умеют аппаратно шифровать?

openvpn конечно.

А зачем 3des? Blowfish шустрее будет

openvpn --show-ciphers
 
The following ciphers and cipher modes are available
for use with OpenVPN.  Each cipher shown below may be
used as a parameter to the --cipher option.  The default
key size is shown as well as whether or not it can be
changed with the --keysize directive.  Using a CBC mode
is recommended.

DES-CFB 64 bit default key (fixed)
DES-CBC 64 bit default key (fixed)
RC2-CBC 128 bit default key (variable)
RC2-CFB 128 bit default key (variable)
RC2-OFB 128 bit default key (variable)
DES-EDE-CBC 128 bit default key (fixed)
DES-EDE3-CBC 192 bit default key (fixed)
DES-OFB 64 bit default key (fixed)
DES-EDE-CFB 128 bit default key (fixed)
DES-EDE3-CFB 192 bit default key (fixed)
DES-EDE-OFB 128 bit default key (fixed)
DES-EDE3-OFB 192 bit default key (fixed)
DESX-CBC 192 bit default key (fixed)
BF-CBC 128 bit default key (variable)
BF-CFB 128 bit default key (variable)
BF-OFB 128 bit default key (variable)
RC2-40-CBC 40 bit default key (variable)
CAST5-CBC 128 bit default key (variable)
CAST5-CFB 128 bit default key (variable)
CAST5-OFB 128 bit default key (variable)
RC2-64-CBC 64 bit default key (variable)
AES-128-CBC 128 bit default key (fixed)
AES-128-OFB 128 bit default key (fixed)
AES-128-CFB 128 bit default key (fixed)
AES-192-CBC 192 bit default key (fixed)
AES-192-OFB 192 bit default key (fixed)
AES-192-CFB 192 bit default key (fixed)
AES-256-CBC 256 bit default key (fixed)
AES-256-OFB 256 bit default key (fixed)
AES-256-CFB 256 bit default key (fixed)
AES-128-CFB1 128 bit default key (fixed)
AES-192-CFB1 192 bit default key (fixed)
AES-256-CFB1 256 bit default key (fixed)
AES-128-CFB8 128 bit default key (fixed)
AES-192-CFB8 192 bit default key (fixed)
AES-256-CFB8 256 bit default key (fixed)
DES-CFB1 64 bit default key (fixed)
DES-CFB8 64 bit default key (fixed)
DES-EDE3-CFB1 192 bit default key (fixed)
DES-EDE3-CFB8 192 bit default key (fixed)
CAMELLIA-128-CBC 128 bit default key (fixed)
CAMELLIA-192-CBC 192 bit default key (fixed)
CAMELLIA-256-CBC 256 bit default key (fixed)
CAMELLIA-128-CFB 128 bit default key (fixed)
CAMELLIA-192-CFB 192 bit default key (fixed)
CAMELLIA-256-CFB 256 bit default key (fixed)
CAMELLIA-128-CFB1 128 bit default key (fixed)
CAMELLIA-192-CFB1 192 bit default key (fixed)
CAMELLIA-256-CFB1 256 bit default key (fixed)
CAMELLIA-128-CFB8 128 bit default key (fixed)
CAMELLIA-192-CFB8 192 bit default key (fixed)
CAMELLIA-256-CFB8 256 bit default key (fixed)
CAMELLIA-128-OFB 128 bit default key (fixed)
CAMELLIA-192-OFB 192 bit default key (fixed)
CAMELLIA-256-OFB 256 bit default key (fixed)
SEED-CBC 128 bit default key (fixed)
SEED-OFB 128 bit default key (fixed)
SEED-CFB 128 bit default key (fixed)

Ну их нафиг эти недоустройства.
опенвпн везде, но оно не любит адсл модемы

таки проблема в конкретной кривой железке, а не в openvpn

Именно так, я про опенвпн ничего плохого никогда не говорил. Пользуюсь и пользоваться буду.

Ого, господа. Вот вы развели. :-) Я поставил openvpn на сервер. Меня все устраивает.