ettaluni
@ettaluni
ERROR MEME

Strongwan как сделать еще stronger?

Доброго дня! Настроил vpn канал через VPS. Использую strongwan. Какие можете дать рекомендации по повышению безопасности vpn канала?
Конфиги следующие.
Сервер
conn my-super-vpn
	auto=add
	compress=no
	type=tunnel  # defines the type of connection, tunnel.
	keyexchange=ikev2
	fragmentation=yes
	forceencaps=yes
	dpdaction=clear
	dpddelay=300s
	rekey=no
	left=%any
	leftauth=pubkey
	leftid=@my.super.vpn    #If using IP, define it without the @ sign
	leftsourceip=18.18.18.18
	leftcert=vpn_server_cert.pem  #Reads the VPN server cert in /etc/ipsec.d/certs
	leftsendcert=always
	leftsubnet=0.0.0.0/0
	right=%any
	rightid=%any
	rightauth=eap-mschapv2
	rightsourceip=10.0.1.0/24  #IP address Pool to be assigned to the clients
#	rightdns=8.8.8.8  
	rightsendcert=never
	eap_identity=%identity  #Defines the identity the client uses to reply to an EAP Identity request.

Клиент:
conn my-super-vpn
	auto=start
	right=18.18.18.18
	rightid=my.super.vpn
	rightsubnet=0.0.0.0/0
	rightauth=pubkey
	leftsourceip=%config
	leftid=client1
	leftauth=eap-mschapv2
	eap_identity=%identity
  • Вопрос задан
  • 103 просмотра
Решения вопроса 1
CityCat4
@CityCat4 Куратор тега VPN
Если я чешу в затылке - не беда!
Перейти на сертификаты полностью. Ну и конечно же для начала нужно задать себе вопрос "Кто и каким образом угрожает моей безопасности" (модель нарушителя называется), а то может быть и VPN-то не нужен :)
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
@alexvdem
Никак не надо. Ну если очень хочется, то смени аутентификацию с EAP на сертификат+ключ, не вижу в этом особого смысла, но если очень хочется помучится, то нет препятствий патриотам. :)
DNS менять не надо, это чушь, наоборот, если нужна приватность, то лучше использовать не DNS провайдера, а гугловский DNS или 1.1.1.1 Cloudfire.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы