<div dir="ltr"><div class="gmail_default" style="font-size:small">Well you can turn passwords off using ssh and just use the keys to authenticate.<br>
<br>OpenSSH and OpenVPN use different ciphers. I don't think arcfour is even listed as a cipher option for OpenVPN. The protocols are different too, so you get different network behavior using them.<br><br>You could choose not to use ssh tunneling on your clients if you're using a VPN, so that gets rid of the "messy". No point in an encrypted tunnel in an encrypted tunnel. Unless of course one is clinically paranoid.<br>


<br></div><div class="gmail_default" style="font-size:small">Of course using either ssh or a VPN is pretty secure as long as they're well implemented.<br><br></div><div class="gmail_default" style="font-size:small">I still don't like encrypted  tunnels through my firewall that I can't inspect.
</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, Apr 8, 2014 at 2:05 PM, Jim Kinney <span dir="ltr"><<a href="mailto:jim.kinney@gmail.com" target="_blank">jim.kinney@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><p dir="ltr">Same encryption algorithms on ssh and openvpn. Ssh through VPN is bloated and overkill for k12 needs. Can manage ssh keys with freeIPA on centos6 as ssh knows through Pam to check LDAP for user keys (slick!). Big issue is requiring password on ssh keys for users.</p>


<div class="gmail_quote">On Apr 8, 2014 2:10 PM, "Roger Nutbeam" <<a href="mailto:gnutbeam@gmail.com" target="_blank">gnutbeam@gmail.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div dir="ltr"><div class="gmail_default" style="font-size:small">I know both will use ssh tunneling, but I find a VPN easier to manage on a larger scale than ssh clients, keys and tunnels. It also doesn't give me the warm fuzzies forwarding ssh through my firewall to internal machines.<br>


</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, Apr 8, 2014 at 12:52 PM, Les Mikesell <span dir="ltr"><<a href="mailto:lesmikesell@gmail.com" target="_blank">lesmikesell@gmail.com</a>></span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Tue, Apr 8, 2014 at 12:43 PM, Roger Nutbeam <<a href="mailto:gnutbeam@gmail.com" target="_blank">gnutbeam@gmail.com</a>> wrote:<br>



> You'd definitely want to run your outside<-in connections over a VPN too. I<br>
> use OpenVPN and it works well.<br>
<br>
That's always a good idea - but both NX and x2go will use ssh for<br>
their connection and tunnel everything through it anyway.   X2go will<br>
also transparently fire up a pass-through connection using rdp to a<br>
windows desktop if you need remote access and want the<br>
encryption/compression/caching features.<br>
<span><font color="#888888"><br>
--<br>
   Les Mikesell<br>
     <a href="mailto:lesmikesell@gmail.com" target="_blank">lesmikesell@gmail.com</a><br>
<br>
_______________________________________________<br>
K12OSN mailing list<br>
<a href="mailto:K12OSN@redhat.com" target="_blank">K12OSN@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/k12osn" target="_blank">https://www.redhat.com/mailman/listinfo/k12osn</a><br>
For more info see <<a href="http://www.k12os.org" target="_blank">http://www.k12os.org</a>><br>
</font></span></blockquote></div><br></div>
<br>_______________________________________________<br>
K12OSN mailing list<br>
<a href="mailto:K12OSN@redhat.com" target="_blank">K12OSN@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/k12osn" target="_blank">https://www.redhat.com/mailman/listinfo/k12osn</a><br>
For more info see <<a href="http://www.k12os.org" target="_blank">http://www.k12os.org</a>><br></blockquote></div>
<br>_______________________________________________<br>
K12OSN mailing list<br>
<a href="mailto:K12OSN@redhat.com">K12OSN@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/k12osn" target="_blank">https://www.redhat.com/mailman/listinfo/k12osn</a><br>
For more info see <<a href="http://www.k12os.org" target="_blank">http://www.k12os.org</a>><br></blockquote></div><br></div>