Hola: Javier Aquino H. escribió: > Estimados Listeros, > > Reciban un cordial saludo. > > Necesito instalar un servidor VPN tipo client-to-site o más conocido como > road-warrior. Estuve evaluando dos posibilidades. > > 1 L2TP sobre IPSec > 2 OpenVPN > > El primero es el que me interesa mas ya que En el lado del cliente (WinBugs) > solo necesito configurar el certificado, IPSec y posteriormente la VPN, pero > no requiero de software adicional, además de que el IPSec me garantiza la > confidencialidad de la información ya que hay un proceso de encriptación y > encapsulamiento de IP, pero por otro lado los paquetes que implementan L2TP > para Linux no los veo muy activos, lo cual me hace presumir que tal vez no > sea muy recomendable usar esta tecnología. > > Entonces, Aquí viene mi primera pregunta ... Si hay alguien que ha realizado > una configuración de L2TP sobre IPSec puede darme algunos comentarios al > respecto ??? y si es posible algunos enlaces de interés seria genial. > > Siento no tener la experiencia en el tema para orientarte sobre L2TP con IPSEC. > Con respecto a OpenVPN, quisiera saber si hay forma de restringir a los > clientes a que solo usen una determinada PC (WinBugs) para conectarse a la > VPN, ya que un punto muy débil que vi en esta solución es que uno puede > instalarse OpenVPN y copiarse los archivos a su PC y listo, ya tiene ingreso > a la VPN :-( ... algún comentario al respecto. > > Una primera fase de validación de usuarios es el uso de esos archivos (certificados digitales) y sí, es cierto que cualquiera que lo copie puede usarlo, pero no podrían usar los mismos certificados para conectarse a la vez (a menos que habilites la opción duplicate-cn en el servidor openvpn).
Pero puedes implementar una segunda fase de validación a través de autenticación de modo tal que OpenVPN requiera no sólo un certificado de cliente válido sino también la validación de credenciales a través de un usuario y password. Así podrías autenticar a los usuarios contra Linux PAM, LDAP, Active Directory u otras opciones. Esto si bien es cierto no logra el objetivo que tu esperas que es limitar sólo a una PC la conexión de cliente VPN, pero puede superar el punto débil de la copia & uso de los certificados digitales por varios usuarios como tú lo comentaste. Espero esta sugerencia te pueda servir. > De antemano mil gracias por vuestros consejos y/o comentarios. > > Saludos, > > Javier. > > > _______________________________________________ > Lista de correo Linux-plug > Temática: Discusión general sobre Linux > Peruvian Linux User Group (http://www.linux.org.pe) > > Participa suscribiéndote y escribiendo a: [email protected] > Para darte de alta, de baja o hacer ajustes a tu suscripción visita: > http://listas.linux.org.pe/mailman/listinfo/linux-plug > > IMPORTANTE: Reglas y recomendaciones > http://www.linux.org.pe/listas/reglas.php > http://www.linux.org.pe/listas/comportamiento.php > http://www.linux.org.pe/listas/recomendaciones.php > -- Angel Rengifo Cancino RHCE 5 | LPIC 1 Director Comercial SFI Networks EIRL Nextel: 127*7460 Cel: +511 997835382 Telf: +511 4583539 E-mail: [email protected] Website: http://www.sfinetworks.com _______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://listas.linux.org.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php
