"Модный" OpenVPN от SatGate
Здравствуйте!
Помогите разобраться с реализацией OpenVPN соединения от спутникового интернет провайдера SatGate.
Провайдер по данной ссылке http://support.satgate.net/openvpn/index.php предлагает скачать инсталяционный дистрибутив, который содержит в директории /config в том числе конфигурационные файлы и файл с секретным приватным ключом – client.key (RSA PRIVATE KEY).
Персональный ключей SatGate не предоставляет.
Получается, что используется один секретный ключ, находящий в свободном доступе, для всех клиентов?
Тогда, что это за VPN, такой? Если секретный ключ известен всем?
Я правильно понимаю, что для "рыболовов" любителей, расшифровка моего входящего трафика, идущего через спутник, не составляет большого труда (из-за знания секретного ключа)?
Содержимое satgate.ovpn
nobind
remote xxx.xxx.xxx.xxx
port 1194
dev tap
proto udp
auth-user-pass authinfo
pull
tls-client
reneg-sec 1209600
ca tmp-ca.crt
cert client.crt
key client.key
comp-lzo
комментариев: 11558 документов: 1036 редакций: 4118
Ключ генерируется установленной программой или поставляется в самом дистрибутиве?
комментариев: 2 документов: 0 редакций: 0
комментариев: 11558 документов: 1036 редакций: 4118
Защита даже в этом случае, конечно, от "рыболовов" защищает, так как поставляемые ключи и сертификат используются только для организации защищённого канала управления по земле (и то я не до конца уверен в том, что канал управления тоже использует временные ключи) и общей аутентификации своих клиентов (по единому сертификату), персональная аутентификация клиента идёт по паролю, а защита канала данных использует временные сеансовые ключи.
Например, вот кусочек моего лога – ключи сбросились через час
Можете быть спокойны, защита работает на 100%.
комментариев: 2 документов: 0 редакций: 0
Только меня смутила фраза:
до этого мне казалось, что в приведенном файле конфигурации нет явной команды использовать шифрования трафика только для наземного канала.
Я так понимаю, что ежечасного обновления ключа, Вы добились исключив из .ovpn файла параметра reneg-sec 1209600?
комментариев: 3 документов: 1 редакций: 0
Эээээ, ну вот, неточно выразился, и понеслось. Для защиты канала данных (идущего обратно через спутник) используется временный сеансовый ключ, в данном случае с заданным сроком жизни 1209600 секунд. А явной командой использовать шифрование является tls-client, которая так же задаёт и другое поведение и параметры. Чтобы явно отключить шифрование в этом случае, нужно вместе с tls-client указывать
cipher none
Я привёл кусок лога не от этого провайдера, там специальной настройки для срока жизни ключей канала данных не указывалось, поэтому используется default 3600 секунд. В принципе, да, если в этой конфигурации удалить reneg-sec 1209600, то клиент будет каждые (default) 3600 сек. требовать у сервера сменить ключ, и фиг тот откажется.
комментариев: 9796 документов: 488 редакций: 5664
Остается открытым вопрос: есть ли мобильность как по Вашей ссылке и тарифы приблизительно к моим ссылкам? ;)