większośc z was zapewne zna skrót vpn – virtual private network.
rozwiązań umożliwiających zestawienie takich połączeń jest sporo. najpopularniejszy jest zasadniczo openvpn. w środowisku windows jest pptp (są też implementacje poza windowsowe), ale jest z nim trochę problemów – wprowadzonych przez microsoft.
od pewnego czasu jest dostępy wielobiony przeze mnie openvpn.
natomiast relatywnie niedawno pojawił się nowy produkt. i wygląda bardzo interesująco.
program o którym mowa ot hamachi.
twórcy postawili na łatwość używania oraz użyteczność w “trudnych" lokalizacjach. jako trudne rozumiem sytuacje gdy obie strony połączenia są za routerami z nat'em.
hamachi jest prosty. jest przenośny (są wersje na windows i na linuksa, wersja na macosx jest w fazie testów). działa poprzez naty. i nie zawraca użytkownikowi głowy technologią.
większość darmowego oprogramowanie (zwłaszcza tego od bezpieczeństwa) odstrasza użytkowników topornymi interfejsami czy plikami konfiguracyjnymi. hamachi jest inny. jest ładny i prosty. każdy użytkownik po zarejestrowaniu ma swoje konto i hasło. może się przypisać do dowolnych sieci, konfigurować te sieci z użyciem dowolnej ilości komputerów.
a aby użyć? ściagamy klienta hamachi, wpisujemy podstawowe dane i oprogramowanie zestawia tunel. w 97% przypadków udaje się wynegocjować bezpośrednie połączenie – mimo firewalli, nat'ów itd.
jak każde oprogramowanie tak i hamachi ma swoje wady. za największą uważam brak kodu źródłowego – w przypadku aplikacji związanych z bezpieczeństwem to zasadniczo zbrodnia. no i brak dokumentacji. ale biorąc pod uwagę prostotę używania – nie wydaje mi się to akurat bardzo istotne.
polecam obejrzenie, poczytanie. jest polska strona wsparcia hamachi – tam można pogadać 🙂
Moim zdaniem taki VPN jest malo “Private” 🙂 On zestawia generalnie dwie sesje do serwera hamachi – wiec administrator serwera moze sobie wszystko ladnie poogladac. Osobiscie wole OpenVPN ktory tez ma interface pod windows (inna sprawa ze konfiguracja jest troche klopotliwa dla typowego end-usera).
Brak kodu to nie jest problem (w końcu kodu źródłowego IOSa też nie masz), a przynajmniej nie taki duży.
Brak nadzoru nad centralnym serwerem to _jest_ problem.
paweł – o ile mi wiadomo to nie do końca jest tak.
z tego co wiem to:
1. serwer jest wykorzystywany tylko (upraszczając) do nat-traverstalu, a potem już działa się bezpośrednio
2. kryprografia jest oparta o klucz publiczny, czyli właściciel serwera niewiele może.
oczywiście – to zakładając, że naprawdę jest oparta o pki – ale tego bez dostępu do źródeł i tak nie sprawdzimy.
d-, nie uzywam iosa. 🙂 w szczególności nie używam go do kryptografii.
tak jak napisałem pawłowi – zgodnie z opisem metody działania – brak kontroli serwera centralnego nie narusza bezpieczeństwa – o ile to faktycznie działa jak opisane.
sam nie przestanę uzywać openvpn – właśnie dlatego, że nie mam źródeł do hamachi. ale brakuje mi w openvpn nattraversala i z tego powiodu uznaje hamachi za interesujaca alternatywne do okreslonych zastosowan.
zawsze mozna zestawic hamachi i *wewnatrz* hamachi postawic openvpn’a – laczymy wtedy zalety hamachi (nattraversal) z bezpieczenstwem jakie daje openvpn.
A to jest tak ze klucze musza byc na obu klientach ? Jezeli tak to zachodzi podejzenie 🙂 ze moze jednak nie dotykaja ruchu. Ja sobie to wyobrazalem jak dwa openvpn zaterminowane na jednym serwerze – cos w rodzaju HUBa. Ale proponuje EOT bo teoretyzujemy (przynajmniej ja:)
Zgodnie z opisem. Skype zgodnie z opisem też jest tylko komunikatorem. A jednak nie jest to do końca takie pewne. Niestety tu może być podobnie a agresywne “uciekanie” z NATa skutkuje też zazwyczaj niemożliwością rozróżnienia ruchu dobrego i złego generowanego przez taką aplikację.
Jak to działa bez źródeł też można przeanalizować, tylko to dużo więcej pracy i pewnie troche wody upłynie zanim się komuś będzie chciało.
A mi tak średnio, może dlatego, że póki co jeszcze mi OpenVPNa nie odfiltrowali nigdzie. A jak już mnie odfiltrują, to pewnie sprawdze jak działa wersja via TCP i HTTP proxy 😉 Bo z za samego NATa to przecie działa.
klucze musza byc. i nie – to nie jest cos jak 2 openvpny terminowane w jednym miejscu. serwer sluzy do rozbudowanego handshakingu.
openvpn działa przez nat, ale tylko w jedną stronę.
jeśli masz układ:
[servera] – [router-z-nat] ——– [router-z-nat] – [serverb]
to nie połączysz servera z serverb bezpośrednio. z dzięki hamachi – tak.
i to jest to czego mi brakuje w openvpn.
co do puszczania via tcp/http – fajnie, ale puszczanie vpn’ów via tcp ma swoje problemy i raczej wolałbym czegoś takiego nie robić.
tak więc
tak jak pisałem – hamachi jest miły i łatwy i prosty. i jak potrzebujesz szybko cos postawic – w sam raz.
openvpn jest zdecydowanie bezpieczniejszy. no i ma wiecej mozliwosci.
Hm…
Tylko jak ty mi mówisz to, co mysle, że ty mi mówisz czyli, że to to pozwala zestawić tunel VNP w przypadku, kiedy z obu stron jest mapowanie N:1, nie ma żadnego mądrzejszego “wystawienia portu” na routerach i nie da się normalnie wysłać pakietu z a do b, to na mój mały rozumek znaczy, że nie prawdą jest, że serwer hamachi tylko handshake.
Ale ja tam się oczywiście nie znam :>
“handshake”.
czyli serwer posredniczy w nawiazaniu polaczenia (no bo potrzebujesz 3rd party aby zrobic nattraversal), ale potem juz gadacie bezposrednio.
z naszego ukladu z serwerami a i b.
a gada do serwera hamachi
b gada do serwera hamachi
hamachi wysyla im wzajemnie informacje potrzebne do zrobienia nat traversal i autentykuje.
a gada z b
b gada z a
koniec. rola serwera hamachi sie skonczyla. ruch jako taki nie przechodzi przez nich – gdyby mial – ufff. to hamachi bylby platny i to sporo – zobacz na oferty hotspotvpn, gotomypc, publicvpn czy chociazby anonymizera (tez ma taka usluge).
Znaczy moge to sobie wyobrazić przy optymistycznym założeniu, że NAT wybiera sobie porty po kolei a nie losowo.
Może ja evil firewali używam co się łapią na te 3 evil % i stąd mam kłopot ze zrozumieniem 😉
Oooo… Spam…
gdzie???? ;-P wywaliłem już. czy to, że dostaję spamerwskie komentarze znaczy, że mój blog staje się popularny?
Albo, że trzeba jakoś bardzej logowanie wprowadzić ;>