Как правильно организовать VPN?

Сейчас стоит комп openbsd c openvpn сервером
к нему подключаются клиенты openbsd, freebsd, windows
теперь к этому зоопарку добавится mikrotik
еще месяца 3 назад перевел все на tcp протокол вместо udp, отключил comp-lzo (из расчета на то что в будущем появится mikrotik)
все нормально работает, но вот вчера приехал ко мне новый микротик и я решил его настроить, но вылезла проблема что он те поддерживает tls-auth.. и надо все перенастраивать...

посоветуйте что делать, убирать везде tls-auth и не парится, или ...?
переживаю на счет безопасности
  • Вопрос задан
  • 3762 просмотра
Пригласить эксперта
Ответы на вопрос 3
nimbo
@nimbo
ovpn tcp режим ip, повесить на 443 порт, SHA1-CBC AES-128. если модель вашего тика поддерживает аппаратное шифрование - включаем aes-256 и спокойно спим.
tls-auth вам и не нужно по факту-то...
Ответ написан
ifaustrue
@ifaustrue
Пишу интересное в теллеграмм канале @cooladmin
А может поднять IPSec?
Ответ написан
merryjane
@merryjane
Системный администратор
Вот, что написано в документации:
The tls-auth directive adds an additional HMAC signature to all SSL/TLS handshake packets for integrity verification. Any UDP packet not bearing the correct HMAC signature can be dropped without further processing. The tls-auth HMAC signature provides an additional level of security above and beyond that provided by SSL/TLS. It can protect against:

DoS attacks or port flooding on the OpenVPN UDP port.
Port scanning to determine which server UDP ports are in a listening state.
Buffer overflow vulnerabilities in the SSL/TLS implementation.
SSL/TLS handshake initiations from unauthorized machines (while such handshakes would ultimately fail to authenticate, tls-auth can cut them off at a much earlier point).

Из данной информации следует, что tls-auth- это дополнительный уровень защиты от перечисленных видов атак. По сути трафик и без него будет шифроваться алгоритмом указанным у Вас в конфиге.

Если у Вас подключаемые к нему клиенты со статичными IP-адресами, то можно на сервере открыть его только на эти IP средствами iptables или что у Вас установлено на сервере.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы