есть ли windows решения VPN over SSh не на уровне прокси а на уровне ethernet интерфейса?
т.е. чтобы создавался сетевой интерфейс как при использовании OpenVpn трафик шел через него, заворачивался на ssh(весь включая udp и dns запросы).
желательно фри/опенсорс.
Лучше по ключам сделайте. Оно же просто делается, куча манулов по интернету, погладьте их.
В правилах iptables/pf разрешите пакеты нужному user'у только с IP-адреса/интерфейса, ассоциированного с данным туннелем. Полностью запретите IPv6 и ICMP-трафик с вашей машины.
Заодно в authorized_files можете прописать разрешение авторизовываться только с определённого IP, обсуждалось в /comment36073 (конфиг pf там не вполне безопасен, т.к. разрешает ICMP-пакеты).
Теоретически надо бы дать его админу, чтобы он положил его в ~/.ssh/authorized_keys. За неимением доступа к админу обычно приходится довольствоваться тем, что 1ый раз входите по паролю, затем загружаете сами туда свой открытый ключ (sftp или scp), а следующие разы авторизуетесь только по ключу.
/comment51316
а матерые линуксятнике давая ссылки даже не утруждают себя проверкой их работоспособности
по иронии судьбы http://unix-like.info/ сейчас варезняк с софтом под винду :D
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 11558 документов: 1036 редакций: 4118
- Сервер высылает клиенту ключ
- Клиент проверяет его отпечаток
- Клиент шифрует свой публичный ключ публичным ключом сервера и передаёт ему
- Сервер и клиент имеют ключи друг друга. Каждый может шифровать сообщения и посылать один другому.
Для отсылки сообщения Алиса генерирует случайный пароль, шифрует им передаваемое сообщение, а сам пароль шифрует ключом Боба. Оба шифртекста (как шифрованный ключом пароль, так и сами данные, шифрованные этим паролем) пакуются в один PGP-пакет и посылаются в сеть. Ответ от Боба Алисе посылается аналогично. Так работает [вроде бы], PGP-шифрование в XMPP.По умолчанию? Наверное, зависит от ОС. В /var/log/authlog бывает информация типа следующей:
комментариев: 9796 документов: 488 редакций: 5664
Такой протокол когда-то существовал, не помню для OpenSSH или OpenVPN. Он устаревший, по причине того, что нет смысла переносить изначально оффлайновые протоколы в онлайн-сессию. Реальный протокол основан на согласовании эфемерного ключа Диффи-Хеллмана со сверкой подписи отпечатков и выведении из него симметричного ключа сессии. Это даёт преимущество в том, что так в онлайн-протоколах естественным образом появляется свойство "наперёд заданной секретности" (Perfect Forward Security) — PFS. Будущие потенциальные компрометации ключей (MITM, взлом серверов, похищение ключей, но естественно не полный криптоаналитический взлом) не позволяют расшифровать предыдущие нескомпрометированые сеансы.
1. ppp через ssh. Если есть сервер pppd под windows, то наверное можно сделать по аналогии с linux. Рецептов в Интрернете множество, например http://citforum.ru/operating_systems/linux/linux_vpn/
2. Построение туннеля средствами одного ssh с помощью опции -w. Для этого нужно установить драйвер виртуального интерфейса tun, под windows он вроде есть.
Второй способ требует рутовый вход на ssh сервер, поэтому менее безопасен. Хотя наверное можно создать пользователя и наделить его нужными привилегиями, но в данном случае это не совсем просто.
Ещё вариант – установить cygwin, тогда vpn наверное строится в точности как в linux.