[GTER] VPN com muitos clientes
Eduardo Sachs
edu.sachs at gmail.com
Thu Sep 2 08:49:18 -03 2010
Tem um outro software para gerenciar os usuários do OpenVPN, eu nunca
testei, mas o nome é WiKID Strong Authentication.
Tem varios artigos na internet mostrando a integração do OpenVPN to
use WiKID Strong Authentication com o OpenVPN.
Em 1 de setembro de 2010 22:20, Eduardo Sachs <edu.sachs at gmail.com> escreveu:
> Tem um gerenciador de certificados do OpenVPN feito em PHP.
> Olhem o projeto: http://openvpn-web-gui.sourceforge.net/
>
> Em 1 de setembro de 2010 20:02, Eduardo Sachs <edu.sachs at gmail.com> escreveu:
>> Pessoal, a solução tinha que ser algo realmente simples de ser
>> implementado nos clientes, e barato, além de uma facil administração.
>> O certificado digital serve para todos, ele não é revogado. Mas o
>> certificado digital é trocado de 2 em 2 meses (sem falha), e repassado
>> para os clientes através de uma intranet usando um instalador de
>> poucos Kbytes.
>>
>> O usuário consegue estabelecer VPN quando ele esta no grupo chamado
>> VPN da base LDAP, se o usuário não estiver neste grupo, ele não vai
>> conseguir se autenticar.
>>
>> Eu também posso colocar um tempo de validade para o usuário, o
>> OpenLDAP tem um modulo chamado ppolicy para trabalhar com expiração de
>> conta e outras coisas relacionados a qualidade da senha, eu posso
>> dizer que a conta do usuário é valida até o dia X.
>>
>> Obviamente, a comunicação entre o OpenVPN e o OpenLDAP é feita através
>> de SSL, e a senha é SSHA.
>>
>> Todos os servidores envolvidos nesta VPN estão em uma DMZ isolada da rede local.
>>
>> Eu gerencio esses usuários através do phpLDAPadmin, mas você pode usar
>> outros softwares, como o LDAPAdmin para Windows.
>>
>> phpLDAPadmin: http://phpldapadmin.sourceforge.net/
>> LDAPAdmin: http://ldapadmin.sourceforge.net/
>>
>>
>>
>> Em 1 de setembro de 2010 18:13, Fernando Zanini
>> <fernandozanini at gmail.com> escreveu:
>>> Como voce está gerenciando esse tanto de cliente? Para revogar certificado,
>>> gerar auditoria, etc?
>>> Tive olhando a solução paga deles, $5 por cliente, mas ainda nao instalei
>>> para testar.
>>> OpenVPN está na lista das opções pelo valor baixo de investimento. Além do
>>> LDAP e certificado digital (com raiz sendo o proprio servidor de vpn),
>>> utilizaremos o "token" para aumentar ainda + a segurança.
>>>
>>> Obrigado pelo contato e aguardo as respostas.
>>> []s
>>>
>>> Em 1 de setembro de 2010 16:19, Eduardo Sachs <edu.sachs at gmail.com>
>>> escreveu:
>>>>
>>>> Olha,
>>>>
>>>> Eu já coloquei 1500 clientes no OpenVPN, usando certificado digital e
>>>> autenticação no OpenLDAP. Tinha no máximo 1000 clientes conectados ao
>>>> mesmo tempo, mas a gente redimencionou o link de Internet somente para
>>>> acessos ao Terminal Service. Pois os clientes iram conectar-se somente
>>>> ao Terminal Service.
>>>>
>>>> Esta funcionando muito bem, as etapas primordiais para a implementação
>>>> foi:
>>>> - Redimencionamento do Link de Internet para o devido acesso ao
>>>> Terminal Service.
>>>> - Ajustamos algumas configurações do Terminal Service para utilizar
>>>> menos banda (ex.: o TS era auto-configuravel somente para usar 256
>>>> cores).
>>>> - Aplicamos QoS tanto no link de internet quanto no tunnel
>>>> estabelecido pelo cliente, isso quer dizer, QoS sendo feito pelo IP
>>>> privado do cliente.
>>>>
>>>> Abraços.
>>>>
>>>> Em 31 de agosto de 2010 12:26, Fernando Zanini
>>>> <fernandozanini at gmail.com> escreveu:
>>>> > Olá pessoal,
>>>> > estou dimensionando uma vpn para 5000 clientes e gostaria de opiniões a
>>>> > respeito de quem tem uma implementação de proporção equivalente e que
>>>> > produto (e protocolos) utiliza.
>>>> >
>>>> > grato
>>>> > --
>>>> > Fernando Zanini
>>>> > --
>>>> > gter list https://eng.registro.br/mailman/listinfo/gter
>>>> >
>>>>
>>>>
>>>>
>>>> --
>>>> Att,
>>>>
>>>> Eduardo Sachs - www.eduardosachs.org
>>>> LPIC-1 Junior Level Linux Professional
>>>> LPIC-2 Advanced Level Linux Professional
>>>> Novell Certified Linux Administrator 11
>>>> Novell Data Center Technical Specialist
>>>> --
>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>
>>>
>>>
>>> --
>>> Fernando Zanini
>>> Analista de Redes - COMDATA
>>>
>>
>>
>>
>> --
>> Att,
>>
>> Eduardo Sachs - www.eduardosachs.org
>> LPIC-1 Junior Level Linux Professional
>> LPIC-2 Advanced Level Linux Professional
>> Novell Certified Linux Administrator 11
>> Novell Data Center Technical Specialist
>>
>
>
>
> --
> Att,
>
> Eduardo Sachs - www.eduardosachs.org
> LPIC-1 Junior Level Linux Professional
> LPIC-2 Advanced Level Linux Professional
> Novell Certified Linux Administrator 11
> Novell Data Center Technical Specialist
>
--
Att,
Eduardo Sachs - www.eduardosachs.org
LPIC-1 Junior Level Linux Professional
LPIC-2 Advanced Level Linux Professional
Novell Certified Linux Administrator 11
Novell Data Center Technical Specialist
More information about the gter
mailing list