June 6th, 2006 by depesz | | 13 comments »
Did it help? If yes - maybe you can help me?

większośc z was zapewne zna skrót vpn – virtual private network.

rozwiązań umożliwiających zestawienie takich połączeń jest sporo. najpopularniejszy jest zasadniczo openvpn. w środowisku windows jest pptp (są też implementacje poza windowsowe), ale jest z nim trochę problemów – wprowadzonych przez microsoft.

od pewnego czasu jest dostępy wielobiony przeze mnie openvpn.

natomiast relatywnie niedawno pojawił się nowy produkt. i wygląda bardzo interesująco.

program o którym mowa ot hamachi.

twórcy postawili na łatwość używania oraz użyteczność w “trudnych" lokalizacjach. jako trudne rozumiem sytuacje gdy obie strony połączenia są za routerami z nat'em.

hamachi jest prosty. jest przenośny (są wersje na windows i na linuksa, wersja na macosx jest w fazie testów). działa poprzez naty. i nie zawraca użytkownikowi głowy technologią.

większość darmowego oprogramowanie (zwłaszcza tego od bezpieczeństwa) odstrasza użytkowników topornymi interfejsami czy plikami konfiguracyjnymi. hamachi jest inny. jest ładny i prosty. każdy użytkownik po zarejestrowaniu ma swoje konto i hasło. może się przypisać do dowolnych sieci, konfigurować te sieci z użyciem dowolnej ilości komputerów.

a aby użyć? ściagamy klienta hamachi, wpisujemy podstawowe dane i oprogramowanie zestawia tunel. w 97% przypadków udaje się wynegocjować bezpośrednie połączenie – mimo firewalli, nat'ów itd.

jak każde oprogramowanie tak i hamachi ma swoje wady. za największą uważam brak kodu źródłowego – w przypadku aplikacji związanych z bezpieczeństwem to zasadniczo zbrodnia. no i brak dokumentacji. ale biorąc pod uwagę prostotę używania – nie wydaje mi się to akurat bardzo istotne.

polecam obejrzenie, poczytanie. jest polska strona wsparcia hamachi – tam można pogadać 🙂

  1. 13 comments

  2. # Paweł Rutkowski
    Jun 6, 2006

    Moim zdaniem taki VPN jest malo “Private” 🙂 On zestawia generalnie dwie sesje do serwera hamachi – wiec administrator serwera moze sobie wszystko ladnie poogladac. Osobiscie wole OpenVPN ktory tez ma interface pod windows (inna sprawa ze konfiguracja jest troche klopotliwa dla typowego end-usera).

  3. # D-
    Jun 6, 2006

    Brak kodu to nie jest problem (w końcu kodu źródłowego IOSa też nie masz), a przynajmniej nie taki duży.
    Brak nadzoru nad centralnym serwerem to _jest_ problem.

  4. Jun 6, 2006

    paweł – o ile mi wiadomo to nie do końca jest tak.
    z tego co wiem to:
    1. serwer jest wykorzystywany tylko (upraszczając) do nat-traverstalu, a potem już działa się bezpośrednio
    2. kryprografia jest oparta o klucz publiczny, czyli właściciel serwera niewiele może.

    oczywiście – to zakładając, że naprawdę jest oparta o pki – ale tego bez dostępu do źródeł i tak nie sprawdzimy.

    d-, nie uzywam iosa. 🙂 w szczególności nie używam go do kryptografii.
    tak jak napisałem pawłowi – zgodnie z opisem metody działania – brak kontroli serwera centralnego nie narusza bezpieczeństwa – o ile to faktycznie działa jak opisane.

    sam nie przestanę uzywać openvpn – właśnie dlatego, że nie mam źródeł do hamachi. ale brakuje mi w openvpn nattraversala i z tego powiodu uznaje hamachi za interesujaca alternatywne do okreslonych zastosowan.

    zawsze mozna zestawic hamachi i *wewnatrz* hamachi postawic openvpn’a – laczymy wtedy zalety hamachi (nattraversal) z bezpieczenstwem jakie daje openvpn.

  5. # Paweł Rutkowski
    Jun 6, 2006

    A to jest tak ze klucze musza byc na obu klientach ? Jezeli tak to zachodzi podejzenie 🙂 ze moze jednak nie dotykaja ruchu. Ja sobie to wyobrazalem jak dwa openvpn zaterminowane na jednym serwerze – cos w rodzaju HUBa. Ale proponuje EOT bo teoretyzujemy (przynajmniej ja:)

  6. # D-
    Jun 6, 2006

    Zgodnie z opisem. Skype zgodnie z opisem też jest tylko komunikatorem. A jednak nie jest to do końca takie pewne. Niestety tu może być podobnie a agresywne “uciekanie” z NATa skutkuje też zazwyczaj niemożliwością rozróżnienia ruchu dobrego i złego generowanego przez taką aplikację.

    Jak to działa bez źródeł też można przeanalizować, tylko to dużo więcej pracy i pewnie troche wody upłynie zanim się komuś będzie chciało.

    A mi tak średnio, może dlatego, że póki co jeszcze mi OpenVPNa nie odfiltrowali nigdzie. A jak już mnie odfiltrują, to pewnie sprawdze jak działa wersja via TCP i HTTP proxy 😉 Bo z za samego NATa to przecie działa.

  7. Jun 6, 2006

    klucze musza byc. i nie – to nie jest cos jak 2 openvpny terminowane w jednym miejscu. serwer sluzy do rozbudowanego handshakingu.

  8. Jun 6, 2006

    openvpn działa przez nat, ale tylko w jedną stronę.
    jeśli masz układ:

    [servera] – [router-z-nat] ——– [router-z-nat] – [serverb]

    to nie połączysz servera z serverb bezpośrednio. z dzięki hamachi – tak.
    i to jest to czego mi brakuje w openvpn.

    co do puszczania via tcp/http – fajnie, ale puszczanie vpn’ów via tcp ma swoje problemy i raczej wolałbym czegoś takiego nie robić.

    tak więc
    tak jak pisałem – hamachi jest miły i łatwy i prosty. i jak potrzebujesz szybko cos postawic – w sam raz.
    openvpn jest zdecydowanie bezpieczniejszy. no i ma wiecej mozliwosci.

  9. # D-
    Jun 6, 2006

    Hm…
    Tylko jak ty mi mówisz to, co mysle, że ty mi mówisz czyli, że to to pozwala zestawić tunel VNP w przypadku, kiedy z obu stron jest mapowanie N:1, nie ma żadnego mądrzejszego “wystawienia portu” na routerach i nie da się normalnie wysłać pakietu z a do b, to na mój mały rozumek znaczy, że nie prawdą jest, że serwer hamachi tylko handshake.
    Ale ja tam się oczywiście nie znam :>

  10. Jun 6, 2006

    “handshake”.
    czyli serwer posredniczy w nawiazaniu polaczenia (no bo potrzebujesz 3rd party aby zrobic nattraversal), ale potem juz gadacie bezposrednio.

    z naszego ukladu z serwerami a i b.
    a gada do serwera hamachi
    b gada do serwera hamachi
    hamachi wysyla im wzajemnie informacje potrzebne do zrobienia nat traversal i autentykuje.
    a gada z b
    b gada z a

    koniec. rola serwera hamachi sie skonczyla. ruch jako taki nie przechodzi przez nich – gdyby mial – ufff. to hamachi bylby platny i to sporo – zobacz na oferty hotspotvpn, gotomypc, publicvpn czy chociazby anonymizera (tez ma taka usluge).

  11. # D-
    Jun 6, 2006

    Znaczy moge to sobie wyobrazić przy optymistycznym założeniu, że NAT wybiera sobie porty po kolei a nie losowo.
    Może ja evil firewali używam co się łapią na te 3 evil % i stąd mam kłopot ze zrozumieniem 😉

  12. # D-
    Jul 18, 2006

    Oooo… Spam…

  13. Jul 18, 2006

    gdzie???? ;-P wywaliłem już. czy to, że dostaję spamerwskie komentarze znaczy, że mój blog staje się popularny?

  14. # D-
    Jul 18, 2006

    Albo, że trzeba jakoś bardzej logowanie wprowadzić ;>

Leave a comment