SSTP czy L2TP?

od wersji w2k8 jest nowy, ‘wbudowany’ typ VPN – Secure Socket Tunneling Protocol, czyli Microsoftowa implementacja SSL VPN dla Windows. ogólnie świetny pomysł – świat sieci generalnie zmierza w kierunku ‘all-over-443’, pojedynczy otwarty port, nie ma konieczności obsługi GRE na brzegu czy innych protokołów wspierających, czyli łatwość działania w fajerłolowanych środowiskach (;

no więc przestawiać się w pełni na SSTP czy pozostać przy starym dobrym L2TP? pomimo, iż od wprowadzenia SSTP minęło już kilka lat, ma niestety zbyt wiele wad beniaminka:

  • natywnie wspierany tylko przez systemy Vista SP1+
    • szczęśliwie są aplikacje firm 3cich, obsługujące SSTP dla Linux i Windows XP.
  • wymaga certyfikatu serwera – nie jest to problem w środowisku domenowym, gdzie cert CA jest dystrybuowany via GPO jednak robiąc VPN dla osób ‘z zewnątrz’ trzeba pamiętać aby przesłać im cały cert chain do zaimportowania, ew. mieć wykupiony cert podpisany przez komercyjny CA
  • dodatkowym warunkiem są dostępne listy CRL. zazwyczaj wewnętrzne CA mają skonfigurowane AIA i CRL wyłącznie z wewnętrznymi adresami. ciężko powiedzieć czy to błąd czy nie – zależnie od założeń, ale dla VPN to krytyczne. VPN zestawia się zazwyczaj z Internetu, a to oznacza, że nie będzie dostępu do CRL i AIA. standardowo SSTP VPN weryfikuje CRL i nie mogąc ich sprawdzić odrzuci połączenie. są opcje:
    • albo poprawi się certyfikaty, umieszczając CRL dostępny z Internetu – co może być dość pracochłonne w ‘żywym’ PKI
    • albo wyłączy się weryfikację CRL dla SSTP VPN. to również może być dość upierdliwe – zarówno dla własnych klientów jak zewnętrznych
    • to, czego nie testowałem, to czy całość zadziała z jakimś certyfikatem self-signed z pustym CRL. to by ułatwiło, ale nie wiem czy jest wykonalne.
  • brak klientów dla urządzeń mobilnych – nawet na Windows Phone. być może będzie klient dla Android – ale to tryb przypuszczający w czasie przyszłym /:

w efekcie: standardowo – jeśli nie wiadomo która opcja, najlepiej użyć obu na raz i włączyć zarówno L2TP jak SSTP. dzięki temu, przy prawidłowej konfiguracji [zwłaszcza w kwestii certyfikatów] klienci firmowi z w7 będą mieli dostęp do sieci LAN nawet będąc gdzieś gdzie są puszczone tylko 80/443, a pracownicy zewnętrzni oraz userzy z XP będą mieli protezę w postaci standardowego L2TP.

eN.

Pompka do pena

Powiększ swojego pena

image

[screen z narzędzia HP do tworzenia bootowalnych USB z image do cienkich klientów]

niestety po zakończeniu operacji nadal ma 16GB… ):

eN.

USB 3.o

do tej pory nie miałem okazji poznać się z tym panem… pojawia się dużo urządzeń zewnętrznych ale trzeba jeszcze mieć odpowiednie złącze w samym kompie… chwile to potrwa, zanim standard będzie standardem q: oczywiście wraz z nową wersją nowe kabelki. każdy z 3ech typów doczekał się rozszerzonej wersji:

image image

pełna specyfikacja: http://www.usb.org/developers/docs/

teoretyczna wydajność: 5Gbps /: chciałbym to zobaczyć… dyski SATA revision 3.x mają teoretycznie 6Gbps a więc niby się da.

eN.

Na naszych oczach

To że się robię nostalgiczny nie jest tajemnicą, dla osób które są obok mnie, a że mój  syn upodobał sobie film Apollo 13 i oglądamy go na okrągło, skłoniło mnie do przemyśleń.
W 1969 roku, więc niemal na naszych oczach wylądował załogowy statek na księżycu, nie chcę się tutaj za dużo rozwodzić o samym fakcie, ale ci co byli centrum NASA (Przylądek Canaveral) lub chociaż oglądali jakiś film o misjach Apollo wiedzą, że obecnie strażak w Żabiej Górce Zdroju ma lesze wyposażenie niż ówcześni kosmonauci. Nie było porządnych materiałów, nie było doświadczenia i praktycznie nie było komputerów. Większość rzeczy było sterowanych elektrycznie lub manualnie.  Do tego nie było praktycznie zupełnie grafiki komputerowej więc telewizja w odcieniach szarości pokazywał plansze  ze strzałkami Adama Słodowego.

Przykład jest tutaj.

Kult metalu, szkła i ogromnej ilości paliwa…

Przez te kilkadziesiąt lat zmieniło się praktycznie wszystko a zmieni się jeszcze więcej. Żeby się za bardzo nie rozpisywać możemy sobie porównać co elektronika dała nam w ostatnich latach na przykładzie lądowania łazików na Marsie. Kolejny raz pomijając całą złożoność tematu (tu nie miejsce na to) dwa lądowania. Pierwsze jeszcze w starym stylu … łubudu

Opportunity wylądował efektownie, skutecznie, ale niedbale. Były problemy po lądowaniu … mamy już obraz 3d i oczywiście pełne elektroniczne, samodzielne sterowanie lądowaniem i raptem kilka lat później … majstersztyk

Jak to pierwszy raz zobaczyłem, byłem przekonany, że oglądam coś co jest tylko wizją pisarza SF. Ale udało się, wylądował w stylu pięknym.

Piękne animacje NASA oraz doskonały sprzęt na łaziku … kamery wielospektralne oraz cuda jak ChemCam (silny laser, który jest w stanie z odległości kilku metrów odparować fragment marsjańskich skał – urządzenie pozwalające wykrywać skład chemiczny i wykonywać mikrofotografie pobranych próbek) powodują że dla mnie osadzonego cały czas w czasach Appolo 13 wydaje się to literacką fikcją.

Bonusik

Nie wiem gdzie nastąpił większy rozwój, w możliwościach animacji, rozwoju materiałów, organizacji wielkich projektów … ale oglądając te rzeczy krew mnie zaczyna zalewać, bo pewno dzisiaj przestanie mi działać jaki przełącznik w laptopie, nie będę mógł zmusić skanera sieciowego do przesłania pliku na dysk a domowy router 4 razy utraci połączenie z LTE i trzeba będzie to gówno restartować! Do tego w tym tygodniu spotkam kilka osób opowiadających o tym jaki to MS jest do dupy, bo on mają XP i już nie ma wsparcia. (nawiązanie tematyczne do bloga ;p )

Wiem że za jakieś 15 lat coś fajnego poleci na Marsa balonem i na miejscu z jednego małego panelu słonecznego rozpierdzieli 10t skał dzidą laserową a ja w tym czasie będę tankował samochód który będzie palił 10l / 100 km wysokooktanówki. Wiem też że zabawka mojego syna przetrwa 20 lat i nawet antenka się nie odłamie a przyciski w pilocie telewizyjnym przestaną reagować za 2 lata …. I mógłbym tak dalej … i mógłbym zadawać pytania …. Ale niestety chyba znam odpowiedzi…

Ja chce do NASA!!!