[MASOCH-L] OpenVPN para acesso aos clientes

Vinícius Fontes contato at viniciusfontes.com
Thu May 14 10:00:43 BRT 2015 

Ótimas dicas, já tinha implementado a maioria no meu ambiente de teste.

Outro problema que me ocorreu é caso o cliente utilize em sua rede interna
o mesmo bloco privado que eu atribuí à VPN. Por exemplo, 172.16.2.0/24.
Para evitar isso, estou pensando em usar o bloco 100.64.0.0/10, que é
definido pela RFC 6598 para utilização em CGNAT.

Em 14 de maio de 2015 09:43, Leonardo Rodrigues <leolistas at solutti.com.br>
escreveu:

> On 14/05/15 09:21, Vinícius Fontes wrote:
>
>> Tenho conhecimento técnico para implementar esta solução, mas gostaria da
>> opinião dos colegas (que tem muito mais conhecimento e experiência do que
>> eu). Isso é uma boa idéia? Existe algum problema nessa solução que não
>> estou enxergando? Um problema que pensei seria o servidor do cliente ser
>> comprometido, e isso ser um vetor de ataques à minha rede, mas creio que
>> isso pode ser mitigado por regras de firewall.
>>
>>      Ótima idéia e, com poucas observações, torna-se uma solução
> imbatível e bastante segura. Tenho algo parecido rodando hoje em dia sem
> grandes problemas.
>
> 1) use o OpenVPN em modo TLS, gere 1 certificado pra cada servidor que
> você precisa acesso, já que assim você pode revogar certificados
> individualmente e não se preocupar com que suas chaves (no caso de uma VPN
> de chave estática, por exemplo) vaze;
> 2) não use a dobradinha "server" e "ifconfig-pool-persist" para distribuir
> IPs pros seus clientes (seus servidores), já que essa solução não garante
> que cada cliente vai receber sempre o mesmo IP. Use "ccd-exclusive" e um
> arquivo de configuração por certificado (= por servidor) com um
> "ifconfig-push". Assim você tem certeza que cada certificado, quando
> conectado, vai receber sempre o mesmo IP
> 3) regras de firewall conseguem evitar o tráfego originado do cliente pra
> sua rede, essa é fácil
> 4) pra dificultar a vida de algum atacante, um "tls-auth" vai sempre bem !
> 5) não esqueça de ajustar o max-clients de acordo com a quantidade de
> clientes (servidores) que irão usar a solução
>
>
>     o que me vem à cabeça é isso ...
>
>
>
>
> --
>
>
>         Atenciosamente / Sincerily,
>         Leonardo Rodrigues
>         Solutti Tecnologia
>         http://www.solutti.com.br
>
>         Minha armadilha de SPAM, NÃO mandem email
>         gertrudes at solutti.com.br
>         My SPAMTRAP, do not email it
>
>
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>

More information about the masoch-l mailing list