Создание основанной на UNIX VPN: указатели, инструкции и ловушки?
Зависит.
Действительно ли это - внезапное, внезапно производительность является мертвой медленной проблемой, или это - долгосрочный случай общей низкой производительности?
Если это будет первый, то я запущу со связанного с выполнением DMVs (sys.dm_exec_requests). Там кто-либо блокируется? Есть ли запрос, который это выполняет чрезмерно долго или использует крупные ресурсы. В основном я буду искать что-то аварийное (примечание, чтобы смочь видеть, что, я должен знать то, что нормально),
Если это будет последний, то я буду использовать метод, о котором я записал в этих статьях.
в Linux у Вас есть две главных опции:
- ipsec совместимые vpn - используют freeswan/openswan/strongswan., поскольку я помню это, был вполне chellenging для установки...
- не-standarized [но действительно хороший] sslvpn - openvpn. очень легкий настроить.
2-й является действительно большим, я использовал его в производстве в течение нескольких лет. это доступно в debian как стандартный пакет. это выполняет вполне хорошо для мощностей десятков мегабит [сотни также, но у меня нет этого быстрыми соединениями между офисами]
некоторые подсказки для openvpn:
- чтобы быть более безопасным не используют 'совместно использованный секретный' тип ключей, создают полномочия сертификата и используют ключи, подписанные им вместо этого.
- если режим бочки возможного применения вместо касания [направляет трафик через vpn вместо того, чтобы соединить два сегмента Ethernet мостом по нему]
- если Вы идете для решения для полномочий сертификата - имеют в виду, что ключи истекают. напоминания о паре набора для себя, чтобы повторно создать ключи.
- чтобы быть на безопасном сторожевом таймере программного обеспечения использования стороны, встроенном в opensvn [опция перезапуска ping] + поместила additoinal простой сценарий удара, который циклически проверяет, работает ли процесс openvpn. openpn умер за меня ~2 раза за прошлые 3 года.
- используйте туннелирование по udp каждый раз, когда Вы можете [вместо tcp]. у меня была проблема с vpn из офиса позади туземного [где поле Linux было позади дешевого маршрутизатора мигания, я не мог управлять], где udp пакеты через какое-то время заблокированное изделие - в этом случае я был вынужден использовать tcp.
- наслаждайтесь openvpn из-за брандмауэров / nats.. целая одна сторона имеет общедоступный IP и может быть вытянута tcp или udp на одном порте - можно установить vpn к нему, другой узел не должен иметь общедоступного IP!
-
1OpenVPN goooood... *Swan baaaaaaad... – womble♦ 17 June 2009 в 13:42
-
2+1 для OpenVPN, ipsec действительно не стоит того... – rkthkr 17 June 2009 в 14:18
-
3вздох I' ve имел проблемы с OpenVPN на Windows7 (даже использующий совместимость Vista и выполнение поскольку права администратора) и на OSX, использующем или tunnelblick или компилирующем собственный клиент из портов. Так как это - эти два Ose, которые я использую больше всего когда I' m далеко от работы... it' s отчасти пропустил меня в холоде. – Karl Katzke 29 July 2009 в 22:25
-
4Необходимо использовать Вязкость для OpenVPN на MacOS, it' s действительно большой. – Antoine Benkemoun 26 August 2009 в 15:53
Истинный IPsec является только головной болью. Протокол спотыкается через различные топологии сети. Клиентам универсально недостает независимо от того, что ОС. Если Вы не требуете аппаратных конечных точек, которые только сделают IPsec, затем избежать его любой ценой.
OpenVPN однако прост, чтобы установить, качать используемое тело и имеет очень обладающие интуицией клиенты для Linux, Windows и Mac.
Рассмотрите, как Вы собираетесь управлять новыми пользователями и отменить старые. Это будет зависеть от того, сколько пользователей Вы ожидаете для поддержки. Лично мы используем x509 сертификаты, помещенные в маркеры с двумя факторами, который масштабируется очень хорошо, но действительно требует некоторого способа управлять PKI, если Вы растете.
-
1@Dan C - хороший. какие маркеры с двумя факторами Вы используете - secureid от rsa? openwikid? что-то еще? – pQd 17 June 2009 в 13:52
-
2Мы используем Аладдина eTokens, которые являются форм-фактором USB. Интеграция PKCS работает из поля начиная с OpenVPN 2.1 и we' ve никогда не имел жалоб. Не как годы проблемы, что IPsec вызвал меня. – Dan Carley 17 June 2009 в 13:58
Другое голосование за OpenVPN здесь. Мы использовали его в моем предыдущем задании, и это было горное тело, и у нас было меньше проблем с ним по сравнению с PPTP и туннелями VPN IPSEC, которые мы используем в моем текущем задании. Также трудно разбить гибкость, которую предлагает OpenVPN. Но OpenVPN действительно имеет одно слабое место, по-моему. Это в настоящее время не поддерживается многими смартфонами. На самом деле я не знаю ни о ком, которые делают. Я действительно знаю, что существуют люди, пытающиеся портировать его на iPhone, но я не уверен, где тот проект.
Вы не упоминали, какие клиенты Ваше vpn решение должно было поддерживать. Таким образом с этим в памяти, если необходимо избежать сторонних клиентов или нуждаться в поддержке смартфона затем, PPTP может быть лучшим соответствием. Windows, OSX и много смартфонов у всех есть собственные клиенты PPTP. Poptop является проектом Linux, который реализует PPTP.
-
1В зависимости от Вашего определения смартфона (с или без сенсорного экрана) I' ve имел порт PPC, работающий прежде. – Dan Carley 17 June 2009 в 17:12
Одним очень гибким и хорошо зарегистрированным решением является OpenVPN (http://openvpn.net/), Это доступно как пакет из стандартного репозитория в Ubuntu и должно быть в Debian также.
Этими двумя инструментами, на которые я могу рекомендовать взглянуть, является OpenVPN (упомянутый прежде) и Adito (который был недавно переименован к OpenVPN ALS). http://sourceforge.net/projects/adito/ http://adito.wiki.sourceforge.net/
Я использовал OpenVPN в своей компании в течение приблизительно 2 лет теперь. Имел очень немного проблем с ним.
Мы используем определенную для клиента конфигурацию для присвоения пользовательского IP в различных подсетях. С того времени мы можем ограничить доступ к внутренним ресурсам благодаря брандмауэру.
То, что менее удобно, является управлением PKI (мы используем сертификат для аутентификации клиентов). Но с 2 или 3 сценариями, это становится терпимым.