[GTER] VPN com muitos clientes

Eduardo Sachs edu.sachs at gmail.com
Wed Sep 1 20:02:18 -03 2010


Pessoal, a solução tinha que ser algo realmente simples de ser
implementado nos clientes, e barato, além de uma facil administração.
O certificado digital serve para todos, ele não é revogado. Mas o
certificado digital é trocado de 2 em 2 meses (sem falha), e repassado
para os clientes através de uma intranet usando um instalador de
poucos Kbytes.

O usuário consegue estabelecer VPN quando ele esta no grupo chamado
VPN da base LDAP, se o usuário não estiver neste grupo, ele não vai
conseguir se autenticar.

Eu também posso colocar um tempo de validade para o usuário, o
OpenLDAP tem um modulo chamado ppolicy para trabalhar com expiração de
conta e outras coisas relacionados a qualidade da senha, eu posso
dizer que a conta do usuário é valida até o dia X.

Obviamente, a comunicação entre o OpenVPN e o OpenLDAP é feita através
de SSL, e a senha é SSHA.

Todos os servidores envolvidos nesta VPN estão em uma DMZ isolada da rede local.

Eu gerencio esses usuários através do phpLDAPadmin, mas você pode usar
outros softwares, como o LDAPAdmin para Windows.

phpLDAPadmin: http://phpldapadmin.sourceforge.net/
LDAPAdmin: http://ldapadmin.sourceforge.net/



Em 1 de setembro de 2010 18:13, Fernando Zanini
<fernandozanini at gmail.com> escreveu:
> Como voce está gerenciando esse tanto de cliente? Para revogar certificado,
> gerar auditoria, etc?
> Tive olhando a solução paga deles, $5 por cliente, mas ainda nao instalei
> para testar.
> OpenVPN está na lista das opções pelo valor baixo de investimento. Além do
> LDAP e certificado digital (com raiz sendo o proprio servidor de vpn),
> utilizaremos o "token" para aumentar ainda + a segurança.
>
> Obrigado pelo contato e aguardo as respostas.
> []s
>
> Em 1 de setembro de 2010 16:19, Eduardo Sachs <edu.sachs at gmail.com>
> escreveu:
>>
>> Olha,
>>
>> Eu já coloquei 1500 clientes no OpenVPN, usando certificado digital e
>> autenticação no OpenLDAP. Tinha no máximo 1000 clientes conectados ao
>> mesmo tempo, mas a gente redimencionou o link de Internet somente para
>> acessos ao Terminal Service. Pois os clientes iram conectar-se somente
>> ao Terminal Service.
>>
>> Esta funcionando muito bem, as etapas primordiais para a implementação
>> foi:
>> - Redimencionamento do Link de Internet para o devido acesso ao
>> Terminal Service.
>> - Ajustamos algumas configurações do Terminal Service para utilizar
>> menos banda (ex.: o TS era auto-configuravel somente para usar 256
>> cores).
>> - Aplicamos QoS tanto no link de internet quanto no tunnel
>> estabelecido pelo cliente, isso quer dizer, QoS sendo feito pelo IP
>> privado do cliente.
>>
>> Abraços.
>>
>> Em 31 de agosto de 2010 12:26, Fernando Zanini
>> <fernandozanini at gmail.com> escreveu:
>> > Olá pessoal,
>> > estou dimensionando uma vpn para 5000 clientes e gostaria de opiniões a
>> > respeito de quem tem uma implementação de proporção equivalente e que
>> > produto (e protocolos) utiliza.
>> >
>> > grato
>> > --
>> > Fernando Zanini
>> > --
>> > gter list    https://eng.registro.br/mailman/listinfo/gter
>> >
>>
>>
>>
>> --
>> Att,
>>
>> Eduardo Sachs - www.eduardosachs.org
>> LPIC-1 Junior Level Linux Professional
>> LPIC-2 Advanced Level Linux Professional
>> Novell Certified Linux Administrator 11
>> Novell Data Center Technical Specialist
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>
>
>
> --
> Fernando Zanini
> Analista de Redes - COMDATA
>



-- 
Att,

Eduardo Sachs - www.eduardosachs.org
LPIC-1 Junior Level Linux Professional
LPIC-2 Advanced Level Linux Professional
Novell Certified Linux Administrator 11
Novell Data Center Technical Specialist



More information about the gter mailing list