❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
openvpn vs L2TP?
openvpn vs L2TP?
co by jste použili? abych pravdu řek, nevidím v tom rozdíl...
0 x
Citace: Ubiquiti jsou produkty pro lidi, kteří neumí a nerozumí sítím a chtějí aby “vše na jeden klik fungovalo”. Pokud po Ubiquiti produktech chceme obecně něco více, je to opravdu ZLO. Navíc tupé zlo, jen je designově hezké.
Dle mě záleží kde to chceš používat, OpenVPN má možnost TCP i UDP tunelu. Výhody TCP je, že pokud jej nastavíš třeba na klasický porty webu (80 či 443) tak projde téměř každym firewallem. Nevýhoda TCP tunnelingu je "TCP Meltdown problem" (tcp over tcp). V praxi se to projeví tak že skrze tunel je značně nižší propustnost a o dost vyšší latence než je na nižší vrstvě.
VPN tunelující přes UDP tímhle problémem netrpí ale mohou být někde zablokovány, L2TP bez i s IPSEC jede přes UDP. Kladem OpenVPN je taky v tom, že klient je prakticky pro každou platformu od mobilů přes MACa až po PC. Nicméně pro nováčka si troufám říct, že nastavení OpenVPN je složitější.
VPN tunelující přes UDP tímhle problémem netrpí ale mohou být někde zablokovány, L2TP bez i s IPSEC jede přes UDP. Kladem OpenVPN je taky v tom, že klient je prakticky pro každou platformu od mobilů přes MACa až po PC. Nicméně pro nováčka si troufám říct, že nastavení OpenVPN je složitější.
0 x
Fang píše:Dle mě záleží kde to chceš používat, OpenVPN má možnost TCP i UDP tunelu. Výhody TCP je, že pokud jej nastavíš třeba na klasický porty webu (80 či 443) tak projde téměř každym firewallem. Nevýhoda TCP tunnelingu je "TCP Meltdown problem" (tcp over tcp). V praxi se to projeví tak že skrze tunel je značně nižší propustnost a o dost vyšší latence než je na vyšší vrstvě.
VPN tunelující přes UDP tímhle problémem netrpí ale mohou být někde zablokovány, L2TP bez i s IPSEC jede přes UDP. Kladem OpenVPN je taky v tom, že klient je prakticky pro každou platformu od mobilů přes MACa až po PC. Nicméně pro nováčka si troufám říct, že nastavení OpenVPN je složitější.
Děkuji za vyčerpávájící příspěvek
openvpn neni asi problem, zacatecnik nejsem
spis jsem chtel vedet rozdil mezi temito technologiemi, l2tp, ovpn, ptpt
ps: chci donutit android pripojit se pres t-mobile, vse
0 x
Citace: Ubiquiti jsou produkty pro lidi, kteří neumí a nerozumí sítím a chtějí aby “vše na jeden klik fungovalo”. Pokud po Ubiquiti produktech chceme obecně něco více, je to opravdu ZLO. Navíc tupé zlo, jen je designově hezké.
Fang píše:Dle mě záleží kde to chceš používat, OpenVPN má možnost TCP i UDP tunelu. Výhody TCP je, že pokud jej nastavíš třeba na klasický porty webu (80 či 443) tak projde téměř každym firewallem. Nevýhoda TCP tunnelingu je "TCP Meltdown problem" (tcp over tcp). V praxi se to projeví tak že skrze tunel je značně nižší propustnost a o dost vyšší latence než je na vyšší vrstvě.
VPN tunelující přes UDP tímhle problémem netrpí ale mohou být někde zablokovány, L2TP bez i s IPSEC jede přes UDP. Kladem OpenVPN je taky v tom, že klient je prakticky pro každou platformu od mobilů přes MACa až po PC. Nicméně pro nováčka si troufám říct, že nastavení OpenVPN je složitější.
Děkuji za vyčerpávájící příspěvek
openvpn neni asi problem, zacatecnik nejsem
spis jsem chtel vedet rozdil mezi temito technologiemi, l2tp, ovpn, ptpt
ps: chci donutit android pripojit se pres t-mobile, vse
0 x
Citace: Ubiquiti jsou produkty pro lidi, kteří neumí a nerozumí sítím a chtějí aby “vše na jeden klik fungovalo”. Pokud po Ubiquiti produktech chceme obecně něco více, je to opravdu ZLO. Navíc tupé zlo, jen je designově hezké.
Fang píše:Dle mě záleží kde to chceš používat, OpenVPN má možnost TCP i UDP tunelu. Výhody TCP je, že pokud jej nastavíš třeba na klasický porty webu (80 či 443) tak projde téměř každym firewallem. Nevýhoda TCP tunnelingu je "TCP Meltdown problem" (tcp over tcp). V praxi se to projeví tak že skrze tunel je značně nižší propustnost a o dost vyšší latence než je na nižší vrstvě.
VPN tunelující přes UDP tímhle problémem netrpí ale mohou být někde zablokovány, L2TP bez i s IPSEC jede přes UDP. Kladem OpenVPN je taky v tom, že klient je prakticky pro každou platformu od mobilů přes MACa až po PC. Nicméně pro nováčka si troufám říct, že nastavení OpenVPN je složitější.
já bych to viděl přesně opačně, na TCP se lehce může stát že to vyhnije na několika trackingách narozdíl od l2tp, openvpn bych se vyhnul obloukem kvůli bezpečnosti pokud mohu doporučit jistotu že to nikdo neodrovná tak použít sstp a certifikáty
0 x
Povoláním ISP není jen připojovat lidi k internetu, ale také jim dokázat vysvětlit, že bez pořádné investice do HW nelze udělat kvalitní přípojku a domácí síť...
Co je na OpenVPN tak nebezpečného? S SSTP mám zkušenost, že funguje poměrně dobře až na již zmíněný TCP meltdown.
0 x
tak třeba už jen to že používá knihovnu openssl kde byl nedávno problém a určitě to nebude poslední, pokud je ta možnost sstp, tak prostě jasná volba.
dále mám pocit že v určité fázi ověřování přístupu je tam nezabezpečená komunikace, která by se dala využít pro prolomení, už přesně nevím, navíc nechápu uživatele, který používají openvpn na windows
dále mám pocit že v určité fázi ověřování přístupu je tam nezabezpečená komunikace, která by se dala využít pro prolomení, už přesně nevím, navíc nechápu uživatele, který používají openvpn na windows
0 x
Povoláním ISP není jen připojovat lidi k internetu, ale také jim dokázat vysvětlit, že bez pořádné investice do HW nelze udělat kvalitní přípojku a domácí síť...
-
Petr Bačina
- Příspěvky: 1361
- Registrován: 10 years ago
- Bydliště: Horní Slavkov
- Kontaktovat uživatele:
může, ale nemusí
0 x
Povoláním ISP není jen připojovat lidi k internetu, ale také jim dokázat vysvětlit, že bez pořádné investice do HW nelze udělat kvalitní přípojku a domácí síť...
I OpenVPN nemusí používat certifikáty OpenSSL, stačí je vygenerovat nečím jiným, neř pomocí openssl knihovny. Asi se plete víc věcí dohromady.
Ten poslendí útok na TLS tunel se týká DH výměny, která se provádí vždy, certifiát se použije až potom pro ověření server strany, že nedochází k aktivnímu MITM útoku. Takže vypnutím cetrtifikátů na straně serveru u SSTP situaci jen zhorším a útočníkovi výrazně zjednoduším. Daný DH problém je odstraněn v ROS6.29.
Jak bylo zmíněno, OpenVPN má na RBčku problém s TCPinTCP, protože je podporován jen TCP transport. Úplně stejný problém má i SSTP. L2TP, PPTP, IPsec tímto netrpí. Nicméně problém L2TP a PPTP je, to jsou dávno zlomené protokoly, kde když dodáte pár prvních zachycených paketů, tak dešifrovací klíč vám dneska specializované služby dodají v řádu několika minut za 20 USD poplatek a na nic se neptají - zkrátka neodolávají ani pasivnímu odposledu. Proto se také normálně L2TP balí do IPsec transportu.
Ohlendě průchodu NATem je na otm SSTP a OpenVPN podobně. Blbě PPTP a IPsec. L2TP holý bez problémů prochází (L2TP/IPsec mívá někdy větší problémy, než holý IPsec tunel, pkkud NAT s epokusí o nějakou IPsec helper inteligenci).
Co se týká Androidu, tak jsem si všiml, že je přítomen v základu i ve starších L2TP/IPsec klient (a PPTP, ale ten bych ignoroval), takže bych použil ten. Pro novější je i oficiální OpenVPN (Androind4.0 a výše, na starších jede pokud jsou rootnuté), takže také možnost.
Pro mobiláře provozujeme hlavně L2TP/IPsec se sdíleným heslem pro IPsec vrstvu (Mobily moc nepodporují v tomto certifikáty) a pak SSTP, který umí hlavně mobilní wokna, pokud je jako VPN server Mikrotik. Problém je jen s Blackberry 10 platformou, která jede IPsec IKEv2, což snad bude v ROS7, tam je nyní proti Milrotiku problém.
Asi se plete víc věcí dohromady.Ten poslendí útok na TLS tunel se týká DH výměny, která se provádí vždy, certifiát se použije až potom pro ověření server strany, že nedochází k aktivnímu MITM útoku. Takže vypnutím cetrtifikátů na straně serveru u SSTP situaci jen zhorším a útočníkovi výrazně zjednoduším. Daný DH problém je odstraněn v ROS6.29.
Jak bylo zmíněno, OpenVPN má na RBčku problém s TCPinTCP, protože je podporován jen TCP transport. Úplně stejný problém má i SSTP. L2TP, PPTP, IPsec tímto netrpí. Nicméně problém L2TP a PPTP je, to jsou dávno zlomené protokoly, kde když dodáte pár prvních zachycených paketů, tak dešifrovací klíč vám dneska specializované služby dodají v řádu několika minut za 20 USD poplatek a na nic se neptají - zkrátka neodolávají ani pasivnímu odposledu. Proto se také normálně L2TP balí do IPsec transportu.
Ohlendě průchodu NATem je na otm SSTP a OpenVPN podobně. Blbě PPTP a IPsec. L2TP holý bez problémů prochází (L2TP/IPsec mívá někdy větší problémy, než holý IPsec tunel, pkkud NAT s epokusí o nějakou IPsec helper inteligenci).
Co se týká Androidu, tak jsem si všiml, že je přítomen v základu i ve starších L2TP/IPsec klient (a PPTP, ale ten bych ignoroval), takže bych použil ten. Pro novější je i oficiální OpenVPN (Androind4.0 a výše, na starších jede pokud jsou rootnuté), takže také možnost.
Pro mobiláře provozujeme hlavně L2TP/IPsec se sdíleným heslem pro IPsec vrstvu (Mobily moc nepodporují v tomto certifikáty) a pak SSTP, který umí hlavně mobilní wokna, pokud je jako VPN server Mikrotik. Problém je jen s Blackberry 10 platformou, která jede IPsec IKEv2, což snad bude v ROS7, tam je nyní proti Milrotiku problém.
0 x
Zeptám se, má situaci kdy mám VPN, kterou se hlásí do sítě zaměstnanci.
Dále mám externí zaměstnance.
Je možné udělat to, že v L2TP/IPSec budu mít 2 PSK klíče? Interní zaměstnanci budou mít jeden a ti externí druhý?
Díky
Dále mám externí zaměstnance.
Je možné udělat to, že v L2TP/IPSec budu mít 2 PSK klíče? Interní zaměstnanci budou mít jeden a ti externí druhý?
Díky
0 x
basty píše:Je možné udělat to, že v L2TP/IPSec budu mít 2 PSK klíče? Interní zaměstnanci budou mít jeden a ti externí druhý?
Ano, jde to, ale musíš mít 2 IP adresy na tom VPN serveru, pak nastavíš, že pro spojneí n IP1 platí PSK1 a na IP2 platí PSK2 a firemní se budou spojovat na 1. IP a externisti na druhou IP. Pokud máš na routeru jen jednu veřejnou IP dostupnou, tak to nejde.
Použij certifikáty pro ověřování IPsec vrstvy. Múžeš dát každému člověku vlastní certifikát (firemním i externistům) a jednotlivě je pak třeba zneplatňovat. Nebo nimálně dáš jeden certifikát všem zaměstnancům a druhý externistům a bloknutím toho jednoho vyřadíš naráz danou půlku.
0 x