Hallo,
Kennt jemand ein Programm, mit dem ich zwischen mehreren Servern (auch bei verschiedenen Providern) ein VPN aufbauen kann, um sozusagen ein virtuelles LAN zu erschaffen? Es sollen 3 Server in einem virtuellen LAN zusammen geschalten werden.
Hallo,
Kennt jemand ein Programm, mit dem ich zwischen mehreren Servern (auch bei verschiedenen Providern) ein VPN aufbauen kann, um sozusagen ein virtuelles LAN zu erschaffen? Es sollen 3 Server in einem virtuellen LAN zusammen geschalten werden.
tinc
Gleiches Prinzip wie bei tinc: https://github.com/Kuebler-IT/MeshVPN (Fork von https://github.com/peervpn/peervpn)
Auf meiner Liste von Programmen die ich zu diesem Thema noch testen will stehen neben
Tinc (Ansible Playbook hierzu https://github.com/samsk/ansible-tinc)
noch
https://github.com/sshuttle/sshuttle (verwendet SSH)
und
https://www.wireguard.com/ (soll sogar in den Linux Kernel aufgenommen werden)
Falls Du welche testen solltest, wäre es super, wenn Du über Deine Erfahrung berichten würdest
Moin
Ich würde momentan noch Tinc bevorzugen. Das setze ich schon länger ein und es läuft sehr zuverlässig und performant.
Einziges Manko ist die nicht vorhandene Schlüsselverwaltung. Wenn du die Kontrolle über einen Private Key verlierst, musst Du immer alle Keys erneuern. Also dein VPN quasi neu aufsetzen.
Wireguard macht einen sehr guten Eindruck, ist mir aber noch nicht Produktion Ready genug.
Einziges Manko ist die nicht vorhandene Schlüsselverwaltung. Wenn du die Kontrolle über einen Private Key verlierst, musst Du immer alle Keys erneuern. Also dein VPN quasi neu aufsetzen.
Wieso musst du es komplett neu aufsetzen? :o
Du musst nur den kompromittierten Key austauschen und den öffentlichen Key dann wieder verteilen…
tinc nutze ich auch sehr gerne ein. Ich nutze dann tinc aber nur als L2-Netz, IP Verwaltung mache ich über die normalen Kernel-Tools.
Was nutzt Tinc eigentlich? X.509 Zertifikate? Haben die keine Unterstützung für eine CRL?
Was nutzt Tinc eigentlich? X.509 Zertifikate? Haben die keine Unterstützung für eine CRL?
leider nicht, das wäre mein absoluter Favorit. Erst vorgestern recherchiert für tinc 2.0 ist das geplant aber es entwickelt halt keiner dran
Tinc benutzt normale PKI - weiß aber nicht genau welches Verfahren.
Ich verwendet hierfür OpenVPN.
Wie es bei tinc aussieht, weiß ich nicht, aber für OpenVPN braucht man einen zentralen Server.
(Ist der nicht erreichbar ist dein ganzes Netz tot)
leider nicht, das wäre mein absoluter Favorit. Erst vorgestern recherchiert für tinc 2.0 ist das geplant aber es entwickelt halt keiner dran
Ein sehr interessant aussehendes Projekt, welches auch aktuelle Commits "sieht", ist https://github.com/freelan-developers/freelan (http://www.freelan.org/) – bin erst heute darüber gestolpert, aber wenn's jemand ausprobieren möchte…
(https://github.com/freelan-developers/freelan/issues/34 diskutiert übrigens die "Nachteile" von X.509)
Hecke29 KB19 RSA - ohne Hierarchie.
Jeder Teilnehmer hat die öffentlichen Schlüssel aller anderen. Alles läuft asymmetrisch. Zurück gesendet wird mit dem öffentlichen Schlüssel der bei dem Teilnehmer hinterlegt wurde. Vertrauen heißt: liegt bei mir in einem Ordner. Entweder der Teilnehmer kann die Nachricht entschlüsseln, oder nicht. Jeder Teilnehmer braucht die öffentlichen Schlüssel aller Netzteilnehmer - ansonsten wird indirekt über einen anderen gesendet (who has...).
Ich hatte in der Mailingliste letztens noch etwas zu Tinc 2 gelesen.
Moin
Wieso musst du es komplett neu aufsetzen? :o
Ich habe "quasi neu aufsetzen" geschrieben.
Du musst, wenn Du einen kompromittierten Key hast, alle Nodes einmal neu starten (zeitgleich) und mit den aktualisierten Keys versorgen. Sonst kann es sein, das ein Knoten den kompromittierten Key noch kennt und akzeptiert.
Ein Vorteil des L3 Modus von Tinc ist gerade, das Du dabei ein eigenständiges Netz bekommst und die Pakete nicht durch den Kernel verarbeitet werden (es sei denn Du willst das).