[eside-ghost] OpenVPN 2
Jose Ignacio Sanchez
sanchez en osha.eu.int
Jue Mar 3 11:56:36 CET 2005
Hola zgor,
Mnnn claro, buena idea lo de añadir una ruta hacia internet solamente para
llegar al server VPN. Para los paquetes entrantes solamente habria que
configurar bien el FW del SP2 del XP y pista. Las nuevas rutas las puedes
inyectar con el mismo cliente openvpn.
La nueva consola del OpenVPN que hablas es para el servidor o para el
cliente? Te permite generar los certificados automagicamente en vez de
hacerlo a mano con el openssl?
Por cierto, se sabe algun rumor de cuando se va a pasar a estable?
Saludoss
> -----Original Message-----
> From: eside-ghost-bounces en deusto.es
> [mailto:eside-ghost-bounces en deusto.es]On Behalf Of zgor
> Sent: jueves, 03 de marzo de 2005 11:16
> To: Lista de eside-ghost
> Subject: Re: [eside-ghost] OpenVPN 2
>
>
> Aupi,
>
> >Con el fin de evitar que ataquen al cliente desde Internet o
> desde tu red,
> >para utilizarlo como pasarela hacia la VPN, muchas
> soluciones comerciales
> >cortan toda conexion con la red de area local (y Internet
> por tanto) una vez
> >esta abierta la VPN. Como se podria implementar eso con OpenVPN 2?
> >inyectando una ruta por defecto al arrancar la VPN? no
> cortaria eso la
> >propia VPN ya que los paquetes de la misma no saldrian a Internet?
> >
> >
>
> Lo que suelen hacer por defecto algunas soluciones vpn es
> encaminar todo
> el trafico por el tunel:
>
> 1-añadir la ruta para llegar hasta el server vpn:
> route add -host server.vpn.com gw ip.del.gw.normal
> 2-Borrar la ruta por defecto
> route del default gw
> (Con esto ya puedes llegar hasta el server vpn por internet
> pero a nada mas)
> 3-arrancar VPN
> 4-Poner ruta por defecto por el tunel
> route add default gw otro.extremo.del.tunel
> (con esto ya encaminamos todo por el extremo del tunel)
>
> Lo que pasa que el host sigue siendo vulnerable a un ataque
> desde la red
> o desde internet(esto ultimo en parte ya que solo podrá recibir
> paquetes no responderlos ya que los enviaria por el tunel y
> supuestamente tara firewalleado y eso el extremo :D).
>
> Con Linux bastaria un minimo de scripting con iptables (que se puede
> ejecutar en el ip.up del tunel) que firewallee y tal.
> Con Win2k el tema del firewalling nativo funciona mas o menos bien
> algunas cosas que he hecho, (Politicas de seguridad IPSEC, aunque no
> tenga que ver con IPSEC siempre se llama asi XDDD) Puedes
> hacer cositas,
> lo que pasa que no se si sera scripteable, aunque se me ocurre que
> quizas con net start ipsecservice en el ip.up de la configuracion de
> openvpn ¿?
>
> Aunque bastante bricolaging mitico XDD
>
> Que caña, has catado la nueva consola de control de openvpn tiene una
> pinta mu wapa
> Por cierto, puedes asignar configuraciones propias por cliente en
> funcion de su certificado quizas te valga para algo concreto
>
>
> enga
> suerte!
>
> _______________________________________________
> eside-ghost mailing list
> eside-ghost en deusto.es
> https://listas.deusto.es/mailman/listinfo/eside-ghost
Más información sobre la lista de distribución eside-ghost