Я хотел бы настроить VPN с топологией, аналогичной сети Hamachi: каждый компьютер соединяется с другим как «сетка», но трафик между ними все еще защищен. Может ли OpenVPN сделать это?

Или, если это невозможно, можно ли настроить VPN так, чтобы клиентам не требовалось доверять серверу (я называю это "параноиком")?

2 ответа2

1
  1. Можно использовать опцию «клиент-клиент» в OpenVPN, но все клиентские туннели заканчиваются на сервере.

  2. Определить доверие? Вы можете создать общий файл conf с опцией «duplicate-cn». Таким образом, клиент, имеющий файл, ДОВЕРЯЕТСЯ / разрешается подключаться сервером.

1

Соединение OpenVPN требует, чтобы один конец был клиентом, а другой - сервером.

Поэтому вам нужно будет построить свою сетку вручную, убедившись, что у каждого узла есть конфигурация сервера и конфигурация клиента. Каждый узел должен будет запустить два экземпляра OpenVPN, один для клиента и один для сервера.

OpenVPN поддерживает рекламу маршрутов, доступных за виртуальным интерфейсом, который он создает. Таким образом, вы можете заставить узлы OpenVPN пересылать трафик, не предназначенный для этого узла, другому узлу. Опять же, вам нужно настроить это вручную с помощью операторов iroute в ваших конфигурационных файлах.

В каждом файле конфигурации вы можете указать несколько серверов, к которым клиент должен подключиться. Таким образом, вы можете указать несколько узлов ввода для каждого файла конфигурации.

Чтобы сделать это правильно, вам нужно создать CA для каждой пары клиент-сервер. Вы можете пойти на компромисс и иметь один CA для всей сетки. Вы можете пойти дальше и просто сделать пароли, но вам все еще нужны сертификаты для идентификации сервера.

Я предполагаю, что для полной безопасности вам потребуется другая внутренняя виртуальная сеть, которая не доступна напрямую внешним клиентам, но доступна всем, когда они находятся в виртуальной сети.

Много работы, чтобы отслеживать все, но, конечно, возможно.

Если клиенты не доверяют серверу, им нужно общаться через сервер с использованием шифрования. Вы можете зайти так далеко, что запустите Tor внутри этой ячеистой сети на каждом сервере, и тогда будет трудно установить прямую корреляцию между узлом и сервисом.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .