Vraag fileserver lokaal netwerk + internet

On Thu, 09 Apr 2009 12:50:58 +0200

Post by Richard Rasker
Kortom: wat is de beste aanpak om een dergelijke fileserver op te zetten?

Waarom geen tunnel? OpenVPN bijvoorbeeld.
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+

Richard Rasker

2009-04-09 11:15:59 UTC

Post by richard lucassen
On Thu, 09 Apr 2009 12:50:58 +0200

Post by Richard Rasker
Kortom: wat is de beste aanpak om een dergelijke fileserver op te zetten?

Waarom geen tunnel? OpenVPN bijvoorbeeld.

Hm, goede suggestie -- alleen heb ik daar nog helemaal geen kaas van
gegeten. OK, we gaan maar weer eens wat uitzoeken en leren :-)

Richard Rasker

--
http://www.linetec.nl

richard lucassen

2009-04-09 11:22:46 UTC

On Thu, 09 Apr 2009 13:15:59 +0200

Post by richard lucassen
On Thu, 09 Apr 2009 12:50:58 +0200

Post by Richard Rasker
Kortom: wat is de beste aanpak om een dergelijke fileserver op te zetten?

Waarom geen tunnel? OpenVPN bijvoorbeeld.

Hm, goede suggestie -- alleen heb ik daar nog helemaal geen kaas van
gegeten. OK, we gaan maar weer eens wat uitzoeken en leren :-)

Superhandig. Leer meteen een beetje met certificaten omgaan (apt-get
install tinyca) en je kunt per user bepalen wie wat mag en wie wat
gepusht krijgt. Laat 'm op 443/tcp draaien en je kunt er zelfs via
proxies bij.
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+

Richard Rasker

2009-04-09 12:42:02 UTC

Post by richard lucassen
On Thu, 09 Apr 2009 13:15:59 +0200

Post by richard lucassen
On Thu, 09 Apr 2009 12:50:58 +0200

Post by Richard Rasker
Kortom: wat is de beste aanpak om een dergelijke fileserver op te zetten?

Waarom geen tunnel? OpenVPN bijvoorbeeld.

Hm, goede suggestie -- alleen heb ik daar nog helemaal geen kaas van
gegeten. OK, we gaan maar weer eens wat uitzoeken en leren :-)

Superhandig. Leer meteen een beetje met certificaten omgaan (apt-get
install tinyca)

Hmja ... certificaten ... toch nog maar weer eens induiken, want op een of
andere manier krijg ik ze nog steeds niet goed voor elkaar, en zeuren de
webbrowsers die verbinding maken dat ze de boel niet vertrouwen omdat er
dingen niet kloppen. Allemaal niet onoverkomelijk, maar netjes is anders.
Van tinyca had ik overigens nog niet gehoord. Werkt dat gemakkelijker dan
het hele gedoe met CA.pl?

Post by richard lucassen
en je kunt per user bepalen wie wat mag en wie wat gepusht krijgt. Laat 'm
op 443/tcp draaien en je kunt er zelfs via proxies bij.

We gaan volgende week eens fluks aan de slag. Nogmaals mijn dank, en ik zal
me ongetwijfeld nog wel een paar keer melden met diverse domme vragen
(bijvoorbeeld hoe ik het best een printserver op diezelfde machine kan
inrichten -- puur CUPS of ook via Samba) :-)

Richard Rasker

--
http://www.linetec.nl

richard lucassen

2009-04-09 12:53:44 UTC

On Thu, 09 Apr 2009 14:42:02 +0200

Post by richard lucassen
Superhandig. Leer meteen een beetje met certificaten omgaan (apt-get
install tinyca)

Hmja ... certificaten ... toch nog maar weer eens induiken, want op
een of andere manier krijg ik ze nog steeds niet goed voor elkaar, en
zeuren de webbrowsers die verbinding maken dat ze de boel niet
vertrouwen omdat er dingen niet kloppen. Allemaal niet onoverkomelijk,
maar netjes is anders. Van tinyca had ik overigens nog niet gehoord.
Werkt dat gemakkelijker dan het hele gedoe met CA.pl?

CA.pl heb ik ooit eens mee zitten spelen en toen maar spartaans voor
openssl gekozen. Nu ik weet hoe het zit ben ik met tinyca aan de
gang gegaan. Erg handig ding. Maak voor jezelf een root-CA aan voor 30
jaar of zoiets en sign daar al je certs mee. Met tinyca is dat een
fluitje van een cent.

Post by richard lucassen
en je kunt per user bepalen wie wat mag en wie wat gepusht krijgt.
Laat 'm op 443/tcp draaien en je kunt er zelfs via proxies bij.

We gaan volgende week eens fluks aan de slag. Nogmaals mijn dank, en
ik zal me ongetwijfeld nog wel een paar keer melden met diverse domme
vragen (bijvoorbeeld hoe ik het best een printserver op diezelfde
machine kan inrichten -- puur CUPS of ook via Samba) :-)

Of rechtreeks naar de printer bij een site/LAN to LAN VPN.
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+

Edwin van den Oetelaar

2009-04-09 14:20:23 UTC

Ik heb daar wel eens PPTP voor gebruikt. (tunnel)
zie http://www.poptop.org/
Daar overheen dan naar je samba server.
Bij windows voeg je dan een VPN connectie toe (username/wachtwoord) en dan werkt het.
(als je router openstaat voor tcp/1723 en GRE/proto 47)

Ze kunnen dan bij de netwerk-drives via //localip/sharename
Is dit veilig genoeg voor je?
Het kan vast veel beter, maar of het voor je windows gebruikers makkelijker is weet ik niet.
Groet,
Edwin

richard lucassen

2009-04-09 14:32:03 UTC

Post by Edwin van den Oetelaar

On Thu, 09 Apr 2009 16:20:23 +0200

Post by Richard Rasker
Een van mijn gebruikers wil graag een fileserver hebben die binnen
het lokale netwerk (overwegend Windows-machines) als Samba-server
benaderbaar is, maar die ook via internet toegankelijk is --
uiteraard met een zo goed mogelijke beveiliging.

Ik heb daar wel eens PPTP voor gebruikt. (tunnel)
zie http://www.poptop.org/
Daar overheen dan naar je samba server.
Bij windows voeg je dan een VPN connectie toe (username/wachtwoord) en
dan werkt het. (als je router openstaat voor tcp/1723 en GRE/proto 47)
Ze kunnen dan bij de netwerk-drives via //localip/sharename
Is dit veilig genoeg voor je?
Het kan vast veel beter, maar of het voor je windows gebruikers
makkelijker is weet ik niet. Groet,

OpenVPN heeft uitstekende clients voor windows en OSX. Alles netjes over
een enkelpoorts tcp of udp verbinding zonder gedonder met
controlekanalen en gre-protocollen :)

Dat pptp hoort netzoals ftp op de digitale schroothoop. Weg ermee met
die zooi. IPSEC mag er ook bij wat mij betreft ;-)
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+

Ximinez

2009-04-09 14:52:17 UTC

Post by Edwin van den Oetelaar

Post by richard lucassen
On Thu, 09 Apr 2009 16:20:23 +0200

Ik heb daar wel eens PPTP voor gebruikt. (tunnel)
zie http://www.poptop.org/
Daar overheen dan naar je samba server.
Bij windows voeg je dan een VPN connectie toe (username/wachtwoord) en
dan werkt het. (als je router openstaat voor tcp/1723 en GRE/proto 47)
Ze kunnen dan bij de netwerk-drives via //localip/sharename
Is dit veilig genoeg voor je?
Het kan vast veel beter, maar of het voor je windows gebruikers
makkelijker is weet ik niet. Groet,

OpenVPN heeft uitstekende clients voor windows en OSX. Alles netjes over
een enkelpoorts tcp of udp verbinding zonder gedonder met
controlekanalen en gre-protocollen :)

OpenVPN is idd perfect. De GUI-client houdt gewoon permanent een tunnel
open (als je dat wilt).

Het is alleen nog niet zo user friendly om op te zetten.

X.

richard lucassen

2009-04-09 14:55:58 UTC

On Thu, 09 Apr 2009 16:52:17 +0200

Post by Ximinez

Post by richard lucassen
OpenVPN heeft uitstekende clients voor windows en OSX. Alles netjes
over een enkelpoorts tcp of udp verbinding zonder gedonder met
controlekanalen en gre-protocollen :)

OpenVPN is idd perfect. De GUI-client houdt gewoon permanent een
tunnel open (als je dat wilt).
Het is alleen nog niet zo user friendly om op te zetten.

Er is een windows geval:

http://openvpn.se/

Nooit geinstalleerd, maar de admins aan wie ik het geef kunnen ermee uit
de voeten. Of simpele users het kunnen weet ik niet. Het zal
waarschijnlijk niet next-next-ok zijn.
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+

Ximinez

2009-04-09 17:25:55 UTC

Post by richard lucassen
On Thu, 09 Apr 2009 16:52:17 +0200

Post by Ximinez

Post by richard lucassen
OpenVPN heeft uitstekende clients voor windows en OSX. Alles netjes
over een enkelpoorts tcp of udp verbinding zonder gedonder met
controlekanalen en gre-protocollen :)

OpenVPN is idd perfect. De GUI-client houdt gewoon permanent een
tunnel open (als je dat wilt).
Het is alleen nog niet zo user friendly om op te zetten.

http://openvpn.se/

Ik gebruik 'm dagelijks op 4 systemen.
Als hij eenmaal geinstalleerd is werkt ie gewoon op de achtergrond. Mijn
vriendin draait 'm en ze gebruikt 'm maar daar heeft ze geen idee van.

Post by richard lucassen
Nooit geinstalleerd, maar de admins aan wie ik het geef kunnen ermee uit
de voeten. Of simpele users het kunnen weet ik niet. Het zal
waarschijnlijk niet next-next-ok zijn.

De client installeren is wel simpel, maar je moet de config bestanden en
de keys ergens onder program files zetten. En die dingen moet jij als
server beheerder natuurlijk eerst genereren. Dat is wat gedoe, maar met
enige moeite kun je het vast mooi stroomlijnen.

X.

Fred Mobach

2009-04-09 18:57:21 UTC

Post by richard lucassen
On Thu, 09 Apr 2009 16:20:23 +0200

Post by Edwin van den Oetelaar
Ik heb daar wel eens PPTP voor gebruikt. (tunnel)
zie http://www.poptop.org/
Daar overheen dan naar je samba server.
Bij windows voeg je dan een VPN connectie toe (username/wachtwoord)
en dan werkt het. (als je router openstaat voor tcp/1723 en GRE/proto
47)
Ze kunnen dan bij de netwerk-drives via //localip/sharename
Is dit veilig genoeg voor je?
Het kan vast veel beter, maar of het voor je windows gebruikers
makkelijker is weet ik niet. Groet,

OpenVPN heeft uitstekende clients voor windows en OSX. Alles netjes
over een enkelpoorts tcp of udp verbinding zonder gedonder met
controlekanalen en gre-protocollen :)

Helemaal mee eens. En nog rete stabiel daarbij ook, wat niet altijd bij
GRE het geval is.

Post by richard lucassen
Dat pptp hoort netzoals ftp op de digitale schroothoop. Weg ermee met
die zooi. IPSEC mag er ook bij wat mij betreft ;-)

Bijna helemaal mee eens.

IPSec dient een ander doel dan OpenVPN (net als Xen en VirtualBox). De
een gebruik je best voor permanente verbindingen tussen netwerken, de
ander voor connecties van clients.

Maar ik heb gemakkelijk praten, we genereren, installeren en activeren
die configuraties volledig automagisch. ;-)

--
Fred Mobach - ***@mobach.nl
website : http://fred.mobach.nl
.... In God we trust ....
.. The rest we monitor ..

richard lucassen

2009-04-09 20:15:28 UTC

On Thu, 09 Apr 2009 20:57:21 +0200

Post by richard lucassen
OpenVPN heeft uitstekende clients voor windows en OSX. Alles netjes
over een enkelpoorts tcp of udp verbinding zonder gedonder met
controlekanalen en gre-protocollen :)

Helemaal mee eens. En nog rete stabiel daarbij ook, wat niet altijd
bij GRE het geval is.

Post by richard lucassen
Dat pptp hoort netzoals ftp op de digitale schroothoop. Weg ermee
met die zooi. IPSEC mag er ook bij wat mij betreft ;-)

Je weet hoezeer ik je technische kennis waardeer, maar ik vrees dat we
dan iets van menimg verschillen Fred :) Ik heb (o.a.) 1 (zegge: een)
OpenVPN server al 7 (zegge: zeven) jaar draaien met 80 (zegge: tachtig)
permanente LAN-to-LAN verbindingen die 24/24 gebruikt worden. Ik zie
niet waarom OpenVPN daar minder geschikt voor zou zijn dan het IMHO
academische IPSEC protocol.

(was OpenVPN niet een van de eerste 8 applicaties met een triple-A
rating op securitygebied, ook al valt die term sinds het begin van de
crisis in een ander daglicht?)

Post by Fred Mobach
Maar ik heb gemakkelijk praten, we genereren, installeren en activeren
die configuraties volledig automagisch. ;-)

Tussen bekende doosjes zal dat zeker werken. Kunst, dat lukt wel, ik heb
ze totnutoe ook altijd wel aan de praat gekregen. Maar probeer eens een
IPSEC op te zetten tussen een Cisco of een SonicWall of een van die
fijne klik-en-sleep appliances en een Linuxdoos, maar nu /zonder/ gezeur
dat de een de reset van de ander niet snapt en dat soort gezever, of van
die mooie effecten dat na 80% van de TTL de ene doos met de ene SA werkt
en de andere al met de nieuwe omdat ze elkaar niet 100% snappen.

En dan heb ik het nog niet eens over dat brakke Linux-gedoe met de ipsec
in de kernel waarmee je geen tunnel-device hebt. Je ziet de routes ook
zo fijn in de route-tabel staan (mag ik een teiltje). Ook zo'n mooi
voordeel van IPSEC onder Linux. Kun je wel weer OpenSWAN gaan draaien,
maar voordat ik me door de eerste pagina van de howto heb geworsteld,
heb ik al twintig OpenVPN tunnels draaien ;-)

Helaas word ook ik nog regelmatig gedwongen tot het gebruik van IPSEC,
gewoon omdat aan "de overkant" zo'n glimmende appliance staat die alleen
maar zijn versie van IPSEC praat (want ja, commercieel gezien horen er
aan alle kanten ook van dezelfde glimmende appliances staan). Het
vervelende komt pas als er moeilijkheden zijn, de meeste "beheerders"
weten dan alleen nog maar "dat het zo moet werken want met die andere
doosjes werkt het ook". Want een tunnel opzetten is niets meer dan
next-next-ok.

Protocol 50, protocol 51, gestuurd op UDP poort 500. Lijkt verdacht veel
op ftp en pptp. Nee Fred, op de schroothoop ermee. Naast ftp en pptp is
er vast nog wel plek, en anders kunnen telnet en rcp/rsh nog wel wat
opschuiven ;-)

R.
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+

Fred Mobach

2009-04-10 19:59:12 UTC

Post by richard lucassen
On Thu, 09 Apr 2009 20:57:21 +0200

Post by richard lucassen
Dat pptp hoort netzoals ftp op de digitale schroothoop. Weg ermee
met die zooi. IPSEC mag er ook bij wat mij betreft ;-)

Je weet hoezeer ik je technische kennis waardeer, maar ik vrees dat we
dan iets van menimg verschillen Fred :)

Waar op zich niets op tegen is. Ik laat me graag overtuigen door
argumenten, zolang daar maar niet woorden als "gemakkelijk" tussen
zitten.

Post by richard lucassen
Ik heb (o.a.) 1 (zegge: een)
tachtig) permanente LAN-to-LAN verbindingen die 24/24 gebruikt worden.
Ik zie niet waarom OpenVPN daar minder geschikt voor zou zijn dan het
IMHO academische IPSEC protocol.

Om de een of andere reden heb ik nets tegen "academische" protocollen.
Overigens ook niets tegen OpenVPN.

Post by richard lucassen
(was OpenVPN niet een van de eerste 8 applicaties met een triple-A
rating op securitygebied, ook al valt die term sinds het begin van de
crisis in een ander daglicht?)

Welke crisis ? Ik merk er niks van. :-)

Post by Fred Mobach
Maar ik heb gemakkelijk praten, we genereren, installeren en
activeren die configuraties volledig automagisch. ;-)

Waarom denk je dat ik bij voorkeur beide eindpunten beheer (en dat ook
vertaal naar een begrijpelijke geldelijke propositie) ? Als elk
eindpunt door een andere partij wordt beheerd is dat vragen om ellende,
lagere beschikbaarheidstijden en veel meer benodigde tijd voor
ondersteuning. Dat lukt nooit bij een vaste prijs aanbieding voor
beheer.

Post by richard lucassen
En dan heb ik het nog niet eens over dat brakke Linux-gedoe met de
ipsec in de kernel waarmee je geen tunnel-device hebt. Je ziet de
routes ook zo fijn in de route-tabel staan (mag ik een teiltje). Ook
zo'n mooi voordeel van IPSEC onder Linux. Kun je wel weer OpenSWAN
gaan draaien, maar voordat ik me door de eerste pagina van de howto
heb geworsteld, heb ik al twintig OpenVPN tunnels draaien ;-)

OpenSWAN is (net als StrongSWAN) een opvolger van FreeSWAN.
Softwarematig zijn de verschillen minimaal. Ik ben blij dat ik geen
tunnel device nodig heb voor zo'n VPN maar gun jou je blijdschap.

Het scheelt misschien dat ik met OpenSUSE gewoon OpenSWAN installeer en
die een gegenereerde config aanbied. Simpel, en het werkt altijd.

Post by richard lucassen
Helaas word ook ik nog regelmatig gedwongen tot het gebruik van IPSEC,
gewoon omdat aan "de overkant" zo'n glimmende appliance staat die
alleen maar zijn versie van IPSEC praat ...

Dat kom ik dus eigenlijk niet tegen, ik beheer immers ook de "overkant".

Post by richard lucassen
Protocol 50, protocol 51, gestuurd op UDP poort 500. Lijkt verdacht
veel op ftp en pptp. Nee Fred, op de schroothoop ermee. Naast ftp en
pptp is er vast nog wel plek, en anders kunnen telnet en rcp/rsh nog
wel wat opschuiven ;-)

Als je je eens gaat verdiepen in IPSec zul je zien dat je gemeenlijk
alleen maar het volgende nodig hebt :
- UDP poort 500
- protocol 50 of, als je NAT nodig hebt, UDP poort 4500.

Heel vreemd, maar het werkt al ruim 10 jaar goed voor me.

--
Fred Mobach - ***@mobach.nl
website : http://fred.mobach.nl
.... In God we trust ....
.. The rest we monitor ..

richard lucassen

2009-04-10 20:17:51 UTC

On Fri, 10 Apr 2009 21:59:12 +0200

Post by Fred Mobach
Waarom denk je dat ik bij voorkeur beide eindpunten beheer (en dat ook
vertaal naar een begrijpelijke geldelijke propositie) ? Als elk
eindpunt door een andere partij wordt beheerd is dat vragen om
ellende, lagere beschikbaarheidstijden en veel meer benodigde tijd
voor ondersteuning. Dat lukt nooit bij een vaste prijs aanbieding voor
beheer.

Die keuze heb je nu eenmaal niet altijd ;-)

OpenSWAN is (net als StrongSWAN) een opvolger van FreeSWAN.
Softwarematig zijn de verschillen minimaal. Ik ben blij dat ik geen
tunnel device nodig heb voor zo'n VPN maar gun jou je blijdschap.

Even tcpdumpen in de tunnel-if is er niet bij. Net zoals dat de routes
niet in de route tabel staan. Vervelend vind ik dat ja ;-)

Post by Fred Mobach
Het scheelt misschien dat ik met OpenSUSE gewoon OpenSWAN installeer
en die een gegenereerde config aanbied. Simpel, en het werkt altijd.

Dan heb je ook ipsecX devices. Of is dat veranderd?

Post by richard lucassen
Helaas word ook ik nog regelmatig gedwongen tot het gebruik van
IPSEC, gewoon omdat aan "de overkant" zo'n glimmende appliance staat
die alleen maar zijn versie van IPSEC praat ...

Dat kom ik dus eigenlijk niet tegen, ik beheer immers ook de
"overkant".

Ik zou bijna gaan roepen dat Mobach een nog niet veroordeeld monopolist
is :)

Als je je eens gaat verdiepen in IPSec zul je zien dat je gemeenlijk
- UDP poort 500
- protocol 50 of, als je NAT nodig hebt, UDP poort 4500.

Uiteraard, afhankelijk van de config die de andere kant vereist. Maar AH
ben ik inderdaad weinig tegengekomen ;-)

Post by Fred Mobach
Heel vreemd, maar het werkt al ruim 10 jaar goed voor me.

Ik zeg niet dat het niet stabiel werkt als het werkt. Maar jij bent in
een positie dat je geen tunnels hoeft te graven naar andere netwerken.

R.
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+

Fred Mobach

2009-04-11 15:13:42 UTC

Post by richard lucassen
On Fri, 10 Apr 2009 21:59:12 +0200

Post by richard lucassen
En dan heb ik het nog niet eens over dat brakke Linux-gedoe met de
ipsec in de kernel waarmee je geen tunnel-device hebt. Je ziet de
routes ook zo fijn in de route-tabel staan (mag ik een teiltje).
Ook zo'n mooi voordeel van IPSEC onder Linux. Kun je wel weer
OpenSWAN gaan draaien, maar voordat ik me door de eerste pagina van
de howto heb geworsteld, heb ik al twintig OpenVPN tunnels draaien
;-)

OpenSWAN is (net als StrongSWAN) een opvolger van FreeSWAN.
Softwarematig zijn de verschillen minimaal. Ik ben blij dat ik geen
tunnel device nodig heb voor zo'n VPN maar gun jou je blijdschap.

Even tcpdumpen in de tunnel-if is er niet bij. Net zoals dat de routes
niet in de route tabel staan. Vervelend vind ik dat ja ;-)

Jij draait echt een andere IPSec dan ik in dat geval. Wat betreft
tcpdump kan ik lezen op de NIC aan het private LAN, wat betreft routes
zie ik hier op een firewall / IPSec doos een hele route tabel met wel
30 extra regels vanwege IPSec tunnels.

Post by Fred Mobach
Het scheelt misschien dat ik met OpenSUSE gewoon OpenSWAN installeer
en die een gegenereerde config aanbied. Simpel, en het werkt altijd.

Dan heb je ook ipsecX devices. Of is dat veranderd?

Die heb ik niet.

Post by richard lucassen
Helaas word ook ik nog regelmatig gedwongen tot het gebruik van
IPSEC, gewoon omdat aan "de overkant" zo'n glimmende appliance
staat die alleen maar zijn versie van IPSEC praat ...

Dat kom ik dus eigenlijk niet tegen, ik beheer immers ook de
"overkant".

Ik zou bijna gaan roepen dat Mobach een nog niet veroordeeld
monopolist is :)

Lijkt me lastig te combineren met jouw uitspraken over "glimmende
appliances". Die kunnen niet van mij zijn, dus is er concurrentie. :-)

--
Fred Mobach - ***@mobach.nl
website : http://fred.mobach.nl
.... In God we trust ....
.. The rest we monitor ..

richard lucassen

2009-04-11 15:51:15 UTC

On Sat, 11 Apr 2009 17:13:42 +0200

Post by richard lucassen
Even tcpdumpen in de tunnel-if is er niet bij. Net zoals dat de
routes niet in de route tabel staan. Vervelend vind ik dat ja ;-)

Dat zal dan wel openswan zijn, maar daar heb ik de laatste jaren geen
ervaring meer mee. En tcpdumpen kan natuurlijk ook op de LAN if en ook
op de uitgaande ipsec if (met filter), maar wat is er nou makkelijker
dan een tap of tun device waar alles doorheen vloeit?

Post by richard lucassen
Ik zou bijna gaan roepen dat Mobach een nog niet veroordeeld
monopolist is :)

Lijkt me lastig te combineren met jouw uitspraken over "glimmende
appliances". Die kunnen niet van mij zijn, dus is er concurrentie. :-)

Kijk maar uit dat je niet opgekocht wordt :)
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+

Fred Mobach

2009-04-13 15:11:28 UTC

Post by richard lucassen
On Sat, 11 Apr 2009 17:13:42 +0200

Post by richard lucassen
Even tcpdumpen in de tunnel-if is er niet bij. Net zoals dat de
routes niet in de route tabel staan. Vervelend vind ik dat ja ;-)

Jij draait echt een andere IPSec dan ik in dat geval. Wat betreft
tcpdump kan ik lezen op de NIC aan het private LAN, wat betreft
routes zie ik hier op een firewall / IPSec doos een hele route tabel
met wel 30 extra regels vanwege IPSec tunnels.

"Makkelijker" komt in mijn argumentenlijst niet voor. Ik heb geen
bezwaar tegen een tap of tun device, maar nodig heb ik het ook niet. In
het kader van de minimalistische opzet kan ik het dan ook heel goed
missen.

Post by richard lucassen
Ik zou bijna gaan roepen dat Mobach een nog niet veroordeeld
monopolist is :)

Lijkt me lastig te combineren met jouw uitspraken over "glimmende
appliances". Die kunnen niet van mij zijn, dus is er concurrentie. :-)

Kijk maar uit dat je niet opgekocht wordt :)

Moet iemand wel _willen_ verkopen.

--
Fred Mobach - ***@mobach.nl
website : http://fred.mobach.nl
.... In God we trust ....
.. The rest we monitor ..

richard lucassen

2009-04-13 15:30:43 UTC

On Mon, 13 Apr 2009 17:11:28 +0200

Post by richard lucassen
Dat zal dan wel openswan zijn, maar daar heb ik de laatste jaren
geen ervaring meer mee. En tcpdumpen kan natuurlijk ook op de LAN if
en ook op de uitgaande ipsec if (met filter), maar wat is er nou
makkelijker dan een tap of tun device waar alles doorheen vloeit?

"Makkelijker" komt in mijn argumentenlijst niet voor. Ik heb geen
bezwaar tegen een tap of tun device, maar nodig heb ik het ook niet.
In het kader van de minimalistische opzet kan ik het dan ook heel goed
missen.

Daar verschillen we dan over van mening. Moet kunnen in unixland waar
iedereen het altijd 100% met elkaar eens is :)

Post by richard lucassen
Ik zou bijna gaan roepen dat Mobach een nog niet veroordeeld
monopolist is :)

Lijkt me lastig te combineren met jouw uitspraken over "glimmende
appliances". Die kunnen niet van mij zijn, dus is er concurrentie. :-)

Kijk maar uit dat je niet opgekocht wordt :)

Moet iemand wel _willen_ verkopen.

Als ene meneer Gates bij je op de stoep staat met een onbeschrijfelijk
zak geld dan vraag ik me af of je daar geen nee tegen zegt :)

Maar wees gerust Fred, de kans op de jackpot in de staatloterij (de
aanhouder verliest) is vele malen groter vrees ik.
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+

Paul van der Vlis

2009-04-10 08:58:46 UTC

Post by richard lucassen
On Thu, 09 Apr 2009 16:20:23 +0200

OpenVPN heeft uitstekende clients voor windows en OSX. Alles netjes
over een enkelpoorts tcp of udp verbinding zonder gedonder met
controlekanalen en gre-protocollen :)

Helemaal mee eens. En nog rete stabiel daarbij ook, wat niet altijd bij
GRE het geval is.

Post by richard lucassen
Dat pptp hoort netzoals ftp op de digitale schroothoop. Weg ermee met
die zooi. IPSEC mag er ook bij wat mij betreft ;-)

OpenVPN is naar mijn ervaring ook heel geschikt voor permanente
verbindingen van netwerken. Ik ben ooit overgestapt van IPsec naar OpenVPN.

Wat voor voordelen zie je in IPsec?

Met vriendelijke groet,
Paul van der Vlis.

--
http://www.vandervlis.nl/

EeBie

2009-04-09 18:16:49 UTC

Post by Richard Rasker
Ter info: zelf gebruik ik domweg Konqueror met fish:// of sftp:// en
gedeelde SSH-sleutels om eenvoudig en veilig te kunnen slepen met bestanden
op allerlei machines op allerlei locaties, maar ik heb iets dergelijks nog
niet onder Windows kunnen vinden. Bovendien is de ondersteuning van het
openen en vooral ook opslaan van bestanden op afstand gebrekkig; zo kan
KWrite het wel, maar OpenOffice niet -- misschien doordat de genoemde
protocollen alleen in KDE-toepassingen worden ondersteund? Wellicht weet
iemand hier meer over?

Ik weet daar niets meer over maar de hierboven genoemde problemen onder
linux kan je makkelijk tackelen door een ssh server te mounten dmv sshfs
http://fuse.sourceforge.net/sshfs.html
Voor alle applicaties lijkt het dan een gewone directory.

--
EeBie

Paul van der Vlis

2009-04-10 09:05:58 UTC

SFTP of FTP is inderdaad een mogelijkheid als het gaat om maar een paar
mensen. Ik doe dan meestal SFTP, alleen toegankelijk vanaf een paar IP's.

Post by Richard Rasker
maar ik vraag me af of dit beheerstechnisch wel zo
handig is.

Niet echt, maar het kan wel. Ik doe dat wel door ervoor te zorgen dat ik
helemaal niets regel via Samba (qua rechten), maar alles via het
filesysteem. Dat is niet echt eenvoudig, maar het meeste is te
realiseren. Voordeel daarvan is ook dat alles ook werkt via NFS of via
het filesystem op de server zelf. Ik werk veel met thin-clients en dan
heb je zoiets nodig.

Post by Richard Rasker
Aan de andere kant lijkt me het aanbieden van bestanden via een
webserver ook niet optimaal, onder meer omdat dit extra scripting vereist
voor allerlei basisfunctionaliteit (zoals bestanden uploaden). De vraag is
ook wat de veiligste oplossing is.

Het Horde project heeft zoiets. http://www.horde.org/gollem/

Post by Richard Rasker
Kortom: wat is de beste aanpak om een dergelijke fileserver op te zetten?

Zo in eerste instantie lijkt me OpenVPN een goede oplossing, al vereist
die wel een installatie op de client. Het is niet echt heel moeilijk.

Met vriendelijke groet,
Paul van der Vlis.

--
http://www.vandervlis.nl/

Johan Swenker

2009-04-10 09:37:20 UTC