שלום לחברי הפורום.

זכור לי שדובר בפורום לא מעט בזמנו על OPEN VPN שהוא שרת VPN חינמי ועדיף מאשר להשתמש ב VPN של מייקרוסופט.
האם הוא עדיין חינמי ובמידה וכן, האם הוא פשוט להתקנה, הגדרה והטמעה בתור אחד שלא עשה זאת מעולם. אני לא מפחד לנסות אלא רק לעזור לחברה קטנה בהתהוות. בינתיים יצרתי חיבור VPN PPTP, זה הדבר היחידי אותו אני יודע להגדיר וזה עובד מצויין לחברה, רק שברור לי שזה לא מאובטח מספיק או בכלל. חלק מהאנשים במשרד משתמשים במאקים וחלק בחלונות. במידה וזה פתרון טוב, אוכל פשוט ליצור VM שישמש אותי רק לצורך VPNSERVER.
כרגע ברשת יש ראוטר יחסית פשוט, סרבר 2008 שמשמש בתור DC. את ה IP מחלק הראוטר.

אשמח לרעיונות מכל אחד שיכול לעזור.

דבר נוסף...

יש צורך בחברה ליצור דרך כלשהי לחיבור לרשת מרוחקת של חברה שאנו נותנים לה שירותים.
יש צורך ליצור חיבור מרוחק לחברה הזאת אבל עם תנאים מגבילים כגון : כשמישהו מחובר אליהם, לא תהיה לו גישה לדיסק און קי במחשב הפיסי שלו, לא תהיה גישה לאינטרנט ועדיפות לכך שיוכל להתחבר רק אליהם ולא לשום מחשב אחר.
חשבתי ליצור איזה DC נוסף ולהגדיר עליו GP יחסית חזק שיגביל את הדברים הללו ואז כדי ליצור חיבור אל הלקוח, אותו עובד יהיה חייב להתחבר לדומיין המאובטח יותר ורק ממנו לצאת בחיבור VPN אל מחשב הלקוח.
אולי סיבכתי את השאלה שלי קצת אבל האם יש דרך לעשות זאת ולא דרך DC? אולי דרך פשוטה יותר?

תודה מראש לכל העונים והמנסים לעזור.

חתימתכם הוסרה כיוון שלא עמדה בחוקי האתר. לפרטים נוספים לחצו כאן. תוכלו לקבל עזרה להתאמת החתימה לחוקים בפורום חתימות וצלמיות.

openvpn לא יכול להפסיק להיות חינמי משום שהוא שוחרר ברשיון GPL, וקוד המקור שלו הועתק הצידה.

אם זה מסובך? לדעתי לא, אם עוקבים אחרי המדריך.

כמובן שרצוי שהוא ישב בעצמו על מערכת הפעלה בטוחה ושכל שאר הדברים יהיו סגורים לאינטרנט...

אשר לדברים האחרים - לעניות דעתי (ויש בהחלט מי שיחלוק) - מדובר בבולשיט מבחינת אבטחת מידע. אני עדיין מנסה לחשוב של מי היה הרעיון האווילי לעשות את זה בפעם הראשונה. אכיפה מסוג זה קיימת בלקוחות VPN מסחריים, בעיקר, ואתה יכול להשתמש במוצר מסחרי שכזה. מדגיש שוב שיש אפס הגנה של אבטחת מידע בעניין הזה, וחוץ מלהטריד את המשתמש (לעתים עד לרמה שהוא ידפוק את הראש בקיר על האוויל שעושה לו את השטויות האלה), זה לא מועיל בדבר - הוא פשוט יתנתק ויתחבר מה VPN כמו טמבל ויעביר את מה שחסום בזמן שה VPN מחובר.

ולפני שיעלה הטיעון העתיק: דליפת מידע ו/או חסימת מזיקים מכניסה לרשת הארגונית - ההגבלה הזו לא עושה. על זה שהמידע דולף ישירות מתוך הרשת הפנימי, ששם בד"כ... כן יש אינטרנט, אני בכלל לא הולך לדבר. (וגם אם אין אינטרנט, זה לא משנה. ברגע שיש VPN, יש אינטרנט =])

נמאס לכם לזכור סיסמאות? לחצו כאן!

אין לי בעיה ליצור VM עם מע' הפעלה לינוקס ועליו להתקין את ה OPENVPN SERVER. מעולם לא התקנתי מע' הפעלה לינוקס, מעולם לא עבדתי עם כזאת אבל במידה ויש מדריך מפורט איך לעשות זאת, אין לי בעיה לנסות.

אני מניח שבסופו של תהליך כל שאצטרך לעשות זה לפתוח איזשהו פורט בראוטר לכתובת ה IP של שרת ה VPN ובמחשבי העובדים להתקין את הקליינט וזהו. אני טועה?

יש מדריך מסודר איך עושים את מה שאני רוצה?
חיפשתי באתר שלהם ולא הבנתי בכלל מאיפה להתחיל.
מה אני צריך להוריד - מאיפה מתחילים בכלל. האם יש איזה קובץ ISO שבא כבר עם מע' ההפעלה ועם הסרבר בתוכו ואז כל מה שנשאר לי זה רק להגדיר את ההגדרות כגון שמות משתמשים וכו'?
או שהגזמתי עם הבקשה שלי...

ולגבי הנושא השני...
זה לא משהו שתלוי כ"כ בי וגם לא בחברה.
הלקוח בא בדרישה כזאת (והלקוח הוא גדול בקנה מידע עולמי) אז גם אנשי אבטחת המידע בארגוני ענק כנראה לא מובנים לך
בכל זאת, האם יש דרך ליישם דבר כזה בצורה פשוטה יחסית או שהדרך שכתבתי היא הדרך הפשוטה \ נוחה ביותר שחסר ניסיון כמוני יכול ליישם?
תודה.

חתימתכם הוסרה כיוון שלא עמדה בחוקי האתר. לפרטים נוספים לחצו כאן. תוכלו לקבל עזרה להתאמת החתימה לחוקים בפורום חתימות וצלמיות.

לגבי ההתקנה של ה openvpn, אף שישנה אפשרות להוריד מכונה מוכנה ומותקנת, מדובר על גרסה שהיא מסחרית ונקראת Access Server. אתה מקבל רשיונות לשני משתמשים בחינם אבל מעבר לזה צריך לשלם.
מה שאתה צריך זה להרים שרת עם לינוקס ואז להתקין עליו את ה openvpn community.
ואז כמובן להיעזר ב How-to הדי מוצלח שלהם בשביל ההגדרות.

IF there is no LOVE there is Nothing

אני לא יודע אם זה רעיון טוב לעשות את הכל בבום בלי נסיון, כי אולי כן תפספס דברים...

בסופו של דבר לשרת ה VPN אמורה להיות גישה למחשבים שמאחוריו, וללקוחות באינטרנט אמורה להיות גישה רק ל IP/Port של ה daemon של ה VPN...

יש להם גירסת Appliance (מה שאתה קורא ISO) אבל היא לא חינמית. בהפצות לינוקס שונות זה קיים כחבילה מובנית במאגר החבילות של ההפצה, או כקובץ שאפשר להוריד, או להוריד קוד מקור ולקמפל (ת'אכלס שלוש פקודות בערך...). את קוד המקור ניתן להוריד כאן: http://openvpn.net/index.php/open-source/downloads.html

העבודה הטיפוסית של OpenVPN היא באמצעות הנפקת תעודות (בנייה של PKI לצורכי VPN), ולא באמצעות שמות משתמשים וסיסמאות, אפשר גם שם משתמש וסיסמא אני חושב, אבל זה בוודאי פחות בטוח מאשר הזדהות באמצעי הצפנה (וכן, אני יודע שלרוב המוצרים המסחריים לא עובדים ככה. מי אמר שהם בטוחים יותר...)

הגדרות קונפיגים של לקוח ושרת של OpenVPN (עם תעודות) ניתן למצוא כאן: http://openvpn.net/index.php/open-s...o.html#examples

אשר לניהול ה PKI, יש הסברים כאן: http://www.oreillynet.com/pub/a/sec...ns_and_pki.html (יש חבילת סקריפטים שמגיעה עם openvpn שנקראת easy-rsa, שמאוד מפשטת את העסק, פשוט להריץ את הסקריפטים השונים...)

לגבי הנושא השני, ברור לי שהדרישה הגיעה מ"אנשי אבטחת מידע" a.k.a. "אנחנו מפעילים את כל האפשרויות בג'וניפר/פורטיגייט/סיסקו שלנו ואז זה מאובטח". בהתאמה, אני מציע לך לרכוש את אחד מהנ"ל (על שלל בעיות האבטחה שלו ), כי האנשים האלה גם לא יקבלו שום פתרון אחר שתביא, ובפרט OpenVPN, שהוא, שוד ושבר, קוד פתוח "ולכן כל אחד יכול להכניס בו שינויים" (שישלחו לבזוקה...). אחרי שיפרצו להם לרשת, בטוח שיהיה תירוץ שיצדיק את זה...

נמאס לכם לזכור סיסמאות? לחצו כאן!