[eside-ghost] OpenVPN 2

[zgor]

Aupi,

>Con el fin de evitar que ataquen al cliente desde Internet o desde tu red,
>para utilizarlo como pasarela hacia la VPN, muchas soluciones comerciales
>cortan toda conexion con la red de area local (y Internet por tanto) una vez
>esta abierta la VPN. Como se podria implementar eso con OpenVPN 2?
>inyectando una ruta por defecto al arrancar la VPN? no cortaria eso la
>propia VPN ya que los paquetes de la misma no saldrian a Internet?
>  
>

Lo que suelen hacer por defecto algunas soluciones vpn es encaminar todo 
el trafico por el tunel:

1-añadir la ruta para llegar hasta el server vpn:
route add -host server.vpn.com gw ip.del.gw.normal
2-Borrar la ruta por defecto
route del default gw
(Con esto ya puedes llegar hasta el server vpn por internet pero a nada mas)
3-arrancar VPN
4-Poner ruta por defecto por el tunel
route add default gw otro.extremo.del.tunel
(con esto ya encaminamos todo por el extremo del tunel)

Lo que pasa que el host sigue siendo vulnerable a un ataque desde la red 
o desde internet(esto ultimo en parte  ya que solo podrá recibir 
paquetes no responderlos ya que los enviaria por el tunel y 
supuestamente tara firewalleado y eso el extremo :D).

Con Linux bastaria un minimo de scripting con iptables (que se puede 
ejecutar en el ip.up del tunel) que firewallee y tal.
Con Win2k el tema del firewalling nativo funciona mas o menos bien 
algunas cosas que he hecho, (Politicas de seguridad IPSEC, aunque no 
tenga que ver con IPSEC siempre se llama asi XDDD) Puedes hacer cositas, 
lo que pasa que no se si sera scripteable, aunque se me ocurre que 
quizas con net start ipsecservice en el ip.up de la configuracion de 
openvpn ¿?

Aunque bastante bricolaging mitico XDD

Que caña, has catado la nueva consola de control de openvpn tiene una 
pinta mu wapa
Por cierto, puedes asignar configuraciones propias por cliente en 
funcion de su certificado quizas te valga para algo concreto


enga
suerte!