Как правильно организовать VPN?

Question

[Александр]

Сейчас стоит комп openbsd c openvpn сервером
к нему подключаются клиенты openbsd, freebsd, windows
теперь к этому зоопарку добавится mikrotik
еще месяца 3 назад перевел все на tcp протокол вместо udp, отключил comp-lzo (из расчета на то что в будущем появится mikrotik)
все нормально работает, но вот вчера приехал ко мне новый микротик и я решил его настроить, но вылезла проблема что он те поддерживает tls-auth.. и надо все перенастраивать...

посоветуйте что делать, убирать везде tls-auth и не парится, или ...?
переживаю на счет безопасности

Answer 1

[nimbo]

ovpn tcp режим ip, повесить на 443 порт, SHA1-CBC AES-128. если модель вашего тика поддерживает аппаратное шифрование - включаем aes-256 и спокойно спим.
tls-auth вам и не нужно по факту-то...

Answer 2

[Клёвый Админ]

А может поднять IPSec?

Answer 3

[Игорь]

Вот, что написано в документации:

The tls-auth directive adds an additional HMAC signature to all SSL/TLS handshake packets for integrity verification. Any UDP packet not bearing the correct HMAC signature can be dropped without further processing. The tls-auth HMAC signature provides an additional level of security above and beyond that provided by SSL/TLS. It can protect against:

DoS attacks or port flooding on the OpenVPN UDP port.
Port scanning to determine which server UDP ports are in a listening state.
Buffer overflow vulnerabilities in the SSL/TLS implementation.
SSL/TLS handshake initiations from unauthorized machines (while such handshakes would ultimately fail to authenticate, tls-auth can cut them off at a much earlier point).

Из данной информации следует, что tls-auth- это дополнительный уровень защиты от перечисленных видов атак. По сути трафик и без него будет шифроваться алгоритмом указанным у Вас в конфиге.

Если у Вас подключаемые к нему клиенты со статичными IP-адресами, то можно на сервере открыть его только на эти IP средствами iptables или что у Вас установлено на сервере.