Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 25 replies
  • Subscribers 1 subscriber
  • Views 15852 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN over dynamic IP?

jfeller
Hello all together

It should be possible for the Astaro guys to add the feature to use hostname instead IPs in the VPN connections. FreeS /WAN can make a VPN connection with hostnames on both sides! I had tested that with two Debian Boxes and tow dynamic IPs without any Problems!

About the Shell Script I have the same opinion like Guillermo Lovato.

So I think the only thing what we need, is the option to use DNS hostnames in the VPN configuration of the Astaro GUI. But this will be a task for the Astaro developers.
  


This thread was automatically locked due to age.
Parents
  • 0
    Having your firewall taking its marching orders from a DNS server is ill advised. You should be doing DNSSEC.

    Some in the security business would even debate that! And for good reasons -see DNS Cache Poisoning - The Next Generation; I quote from the article: "Even detecting such an attack would be difficult, since the hijack would be largely independent of your [DNSSEC] servers...". I would clarify that it would be safe if you are talking directly to a DNSSEC server that hosts the records, or if you are talking to a chain of DNSSEC servers, but that often will not be the case. And to top it all off,  the only complete implementation of DNSSEC is presently only provided by bind; you know them, right? The guys with the stellar security track record??

    Getting all that configured (along with the Dynamic) and thoroughly tested for the stringent security requirements that a firewall is expected to meet is not a trivial task!!

    Astaro's responsibility is to insure that what they deliver you is rock solid reliable and doesn't cost an arm and a leg. OK, what's "an arm and a leg"? I'm talking about the many thousands of dollars that the 'old guard' of the firewall business charges. If you want to have hairy functionality (Dynamic DNSSEC, or multiple load balancing links with far dead gateway detection, etc.) TODAY at the prices I suspect most of you would like to pay, it is not possible yet. Someday it may be, but that day is not tomorrow or next week or even a few months from now.

    If you're cost-conscious (and most people are these days!), and you need these technologies today, you'll just have to do it yourself. Be thankful that you can do it! With most other company's products you have to just sit around and suck eggs -or spend a skillion dollars...
  • 0 in reply to SecApp
    SecApp is correct - trusting hostnames without DNSSec is not a secure way to do this.

    In order to have safe & secure dynamic VPN's between 2 (or more) sites, you'd need DNSSec, plus a reliable method of detecting when one of the other sides disappears.  The Dead Peer Detection IETF draft covers most of this, and is a forthcoming feature in Super FreeS/WAN (which is what Astaro is using under the hood).

    Sadly, DNSSec isn't something that can be quickly implemented, as it requires the trust chain to go all the way up to the root TLD & ccTLD's.  Currently on .nl has DNSSec up to the root, though I've been told both .de  registars are looking into it as well.  
Reply
  • 0 in reply to SecApp
    SecApp is correct - trusting hostnames without DNSSec is not a secure way to do this.

    In order to have safe & secure dynamic VPN's between 2 (or more) sites, you'd need DNSSec, plus a reliable method of detecting when one of the other sides disappears.  The Dead Peer Detection IETF draft covers most of this, and is a forthcoming feature in Super FreeS/WAN (which is what Astaro is using under the hood).

    Sadly, DNSSec isn't something that can be quickly implemented, as it requires the trust chain to go all the way up to the root TLD & ccTLD's.  Currently on .nl has DNSSec up to the root, though I've been told both .de  registars are looking into it as well.  
Children
No Data
Cookie Information Banner