id: Гость   вход   регистрация
текущее время 20:32 28/03/2024
создать
просмотр
ссылки

"Модный" OpenVPN от SatGate

Здравствуйте!
Помогите разобраться с реализацией OpenVPN соединения от спутникового интернет провайдера SatGate.
Провайдер по данной ссылке http://support.satgate.net/openvpn/index.php предлагает скачать инсталяционный дистрибутив, который содержит в директории /config в том числе конфигурационные файлы и файл с секретным приватным ключом – client.key (RSA PRIVATE KEY).


Персональный ключей SatGate не предоставляет.
Получается, что используется один секретный ключ, находящий в свободном доступе, для всех клиентов?
Тогда, что это за VPN, такой? Если секретный ключ известен всем?
Я правильно понимаю, что для "рыболовов" любителей, расшифровка моего входящего трафика, идущего через спутник, не составляет большого труда (из-за знания секретного ключа)?


Содержимое satgate.ovpn


nobind
remote xxx.xxx.xxx.xxx
port 1194
dev tap
proto udp
auth-user-pass authinfo
pull
tls-client
reneg-sec 1209600
ca tmp-ca.crt
cert client.crt
key client.key
comp-lzo


 
Комментарии
— SATtva (15/12/2007 21:08)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
предлагает скачать инсталяционный дистрибутив, который содержит в директории /config в том числе конфигурационные файлы и файл с секретным приватным ключом

Ключ генерируется установленной программой или поставляется в самом дистрибутиве?
— BeeMoon (15/12/2007 21:11)   профиль/связь   <#>
комментариев: 2   документов: 0   редакций: 0
Ключ поставляется в самом дистибутиве, и имеет дату создания 01.11.2005г.
— SATtva (15/12/2007 21:38)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Тогда это довольно странный VPN...
— torrero05 (03/01/2008 15:36)   <#>
Вы заблуждаетесь в одном – satgate использует openVPN не для защиты информации, а для маршрутизации.
Защита даже в этом случае, конечно, от "рыболовов" защищает, так как поставляемые ключи и сертификат используются только для организации защищённого канала управления по земле (и то я не до конца уверен в том, что канал управления тоже использует временные ключи) и общей аутентификации своих клиентов (по единому сертификату), персональная аутентификация клиента идёт по паролю, а защита канала данных использует временные сеансовые ключи.
Например, вот кусочек моего лога – ключи сбросились через час

Можете быть спокойны, защита работает на 100%.
— BeeMoon (14/01/2008 21:25)   профиль/связь   <#>
комментариев: 2   документов: 0   редакций: 0
Да кстати, использование OpenVPN как средства для маршрутизации, а не для защиты информации оправдывает использование тестового приватного ключа. Только как то не аккуратненько получается, без ссылочки на официальном сайте провайдера.
Только меня смутила фраза:
torrero05:
так как поставляемые ключи и сертификат используются только для организации защищённого канала управления по земле

до этого мне казалось, что в приведенном файле конфигурации нет явной команды использовать шифрования трафика только для наземного канала.

torrero05:
Например, вот кусочек моего лога – ключи сбросились через час

Я так понимаю, что ежечасного обновления ключа, Вы добились исключив из .ovpn файла параметра reneg-sec 1209600?
— torrero05 (27/01/2008 00:06, исправлен 27/01/2008 00:09)   профиль/связь   <#>
комментариев: 3   документов: 1   редакций: 0
BeeMoon
torrero05
так как поставляемые ключи и сертификат используются только для организации защищённого канала управления по земле
до этого мне казалось, что в приведенном файле конфигурации нет явной команды использовать шифрования трафика только для наземного канала.

Эээээ, ну вот, неточно выразился, и понеслось. Для защиты канала данных (идущего обратно через спутник) используется временный сеансовый ключ, в данном случае с заданным сроком жизни 1209600 секунд. А явной командой использовать шифрование является tls-client, которая так же задаёт и другое поведение и параметры. Чтобы явно отключить шифрование в этом случае, нужно вместе с tls-client указывать
cipher none

BeeMoon
Я так понимаю, что ежечасного обновления ключа, Вы добились исключив из .ovpn файла параметра reneg-sec 1209600?

Я привёл кусок лога не от этого провайдера, там специальной настройки для срока жизни ключей канала данных не указывалось, поэтому используется default 3600 секунд. В принципе, да, если в этой конфигурации удалить reneg-sec 1209600, то клиент будет каждые (default) 3600 сек. требовать у сервера сменить ключ, и фиг тот откажется.
— Гость (26/04/2011 05:14)   <#>
Объясните мне. Нафиг нужен спутниковый интернет в современном мире? (кроме вариантов: еду по пустыне срочно нужно новости посмотреть)
— Гость (26/04/2011 05:42)   <#>
Корабли в море ещё, да и много мест в мире есть, где с сотовым покрытием неахти.
— Гость (26/04/2011 08:26)   <#>
Корабли ладно, там "стационарные" станции то что ставится на машинах и яхтах. Но вот так чтобы был "походный" вариант просто трубочка и инет работал, я такого нигде не нашел – посему смысл в спутниковом "мобильном" теряется, т.к. по-настоящему мобильного еще не существует или он есть и безумно дорог? Есть ссылки на дуплексное МОБИЛЬНОЕ оборудование?
— unknown (26/04/2011 10:08)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Это призыв к скрытой (анти)рекламе? Цены, мобильность и удобство можете оценить например здесь.
— Гость (03/05/2011 10:41)   <#>
Нет, это был прямой вопрос и Ваш ответ на него я получил. Спасибо!
— Гость (03/05/2011 12:22)   <#>
По вышеназванной ссылке жутко драконовские тарифы (145р/МБ, 30р/мин и т.д.), по сравнению с например: http://www.skymost.ru/main/internet/two/ http://sisnet.ru/axgate.php http://www.skymost.ru/main/internet/two/
Остается открытым вопрос: есть ли мобильность как по Вашей ссылке и тарифы приблизительно к моим ссылкам? ;)
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3