"Модный" OpenVPN от SatGate
Здравствуйте!Помогите разобраться с реализацией OpenVPN соединения от спутникового интернет провайдера SatGate.
Провайдер по данной ссылке http://support.satgate.net/openvpn/index.php предлагает скачать инсталяционный дистрибутив,который содержит в директории /config в том числе конфигурационные файлы и файл с секретным приватным ключом – client.key (RSA PRIVATE KEY).
Персональный ключей SatGate не предоставляет.
Получается, что используется один секретный ключ, находящий в свободном доступе, для всех клиентов?
Тогда, что это за VPN, такой? Если секретный ключ известен всем?
Я правильно понимаю, что для "рыболовов" любителей, расшифровка моего входящего трафика, идущего через спутник, не составляет большого труда (из-за знания секретного ключа)?
Содержимое satgate.ovpn
nobind
remote xxx.xxx.xxx.xxx
port 1194
dev tap
proto udp
auth-user-pass authinfo
pull
tls-client
reneg-sec 1209600
ca tmp-ca.crt
cert client.crt
key client.key
comp-lzo
Ссылки
[link1] http://www.mvsgteast.ru/equip_bgan.html
Ключ генерируется установленной программой или поставляется в самом дистрибутиве?
Ключ поставляется в самом дистибутиве, и имеет дату создания 01.11.2005г.
Тогда это довольно странный VPN...
Вы заблуждаетесь в одном – satgate использует openVPN не для защиты информации, а для маршрутизации.
Защита даже в этом случае, конечно, от "рыболовов" защищает, так как поставляемые ключи и сертификат используются только для организации защищённого канала управления по земле (и то я не до конца уверен в том, что канал управления тоже использует временные ключи) и общей аутентификации своих клиентов (по единому сертификату), персональная аутентификация клиента идёт по паролю, а защита канала данных использует временные сеансовые ключи.
Например, вот кусочек моего лога – ключи сбросились через час
Можете быть спокойны, защита работает на 100%.
Да кстати, использование OpenVPN как средства для маршрутизации, а не для защиты информации оправдывает использование тестового приватного ключа. Только как то не аккуратненько получается, без ссылочки на официальном сайте провайдера.
Только меня смутила фраза:
до этого мне казалось, что в приведенном файле конфигурации нет явной команды использовать шифрования трафика только для наземного канала.
Я так понимаю, что ежечасного обновления ключа, Вы добились исключив из .ovpn файла параметра reneg-sec 1209600?
Эээээ, ну вот, неточно выразился, и понеслось. Для защиты канала данных (идущего обратно через спутник) используется временный сеансовый ключ, в данном случае с заданным сроком жизни 1209600 секунд. А явной командой использовать шифрование является tls-client, которая так же задаёт и другое поведение и параметры. Чтобы явно отключить шифрование в этом случае, нужно вместе с tls-client указывать
cipher none
Я привёл кусок лога не от этого провайдера, там специальной настройки для срока жизни ключей канала данных не указывалось, поэтому используется default 3600 секунд. В принципе, да, если в этой конфигурации удалить reneg-sec 1209600, то клиент будет каждые (default) 3600 сек. требовать у сервера сменить ключ, и фиг тот откажется.
Объясните мне. Нафиг нужен спутниковый интернет в современном мире? (кроме вариантов: еду по пустыне срочно нужно новости посмотреть)
Корабли в море ещё, да и много мест в мире есть, где с сотовым покрытием неахти.
Корабли ладно, там "стационарные" станции то что ставится на машинах и яхтах. Но вот так чтобы был "походный" вариант просто трубочка и инет работал, я такого нигде не нашел – посему смысл в спутниковом "мобильном" теряется, т.к. по-настоящему мобильного еще не существует или он есть и безумно дорог? Есть ссылки на дуплексное МОБИЛЬНОЕ оборудование?
Это призыв к скрытой (анти)рекламе? Цены, мобильность и удобство можете оценить например здесь[link1].
Нет, это был прямой вопрос и Ваш ответ на него я получил. Спасибо!
По вышеназванной ссылке жутко драконовские тарифы (145р/МБ, 30р/мин и т.д.), по сравнению с например: http://www.skymost.ru/main/internet/two/ http://sisnet.ru/axgate.php http://www.skymost.ru/main/internet/two/
Остается открытым вопрос: есть ли мобильность как по Вашей ссылке и тарифы приблизительно к моим ссылкам? ;)