The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS


Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы [ Отслеживать ]

Оглавление

В ядро DragonFly BSD добавлена поддержка VPN WireGuard , opennews (??), 10-Фев-24, (0) [смотреть все]

Сообщения [Сортировка по времени | RSS]


27. "В ядро DragonFly BSD добавлена поддержка VPN WireGuard "  +/
Сообщение от пох. (?), 10-Фев-24, 18:47 
А нельзя ли как-нибудь для винды нормальный клиент запилить, а не вот это вот недоразумение?
Ответить | Правка | Наверх | Cообщить модератору

42. "В ядро DragonFly BSD добавлена поддержка VPN WireGuard "  –2 +/
Сообщение от Аноним (-), 10-Фев-24, 19:27 
> А нельзя ли как-нибудь для винды нормальный клиент запилить, а не вот
> это вот недоразумение?

А нормальный - наверное майкрософт писать должен. Кто еще на этой планете нормальные драйвера режима ядра для виндов писать умеет теперь? Они так хотели усложнить жизнь системщикам - что это получилось. А теперь вам там что-то не нравится? Пишите в саппорт майкрософт.

Ответить | Правка | Наверх | Cообщить модератору

48. "В ядро DragonFly BSD добавлена поддержка VPN WireGuard "  +2 +/
Сообщение от Аноним (48), 10-Фев-24, 19:49 
Нельзя. Сиди и не дергайся, Майкрософт сам решит когда и что тебе надо.
Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

56. "В ядро DragonFly BSD добавлена поддержка VPN WireGuard "  +/
Сообщение от User (??), 10-Фев-24, 20:46 
Ну, всегда есть возможность стопами BSD пойти - поднимаешь виртуалку с *wrt...
Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

60. "В ядро DragonFly BSD добавлена поддержка VPN WireGuard "  –1 +/
Сообщение от Аноним (60), 10-Фев-24, 21:41 
Уже давно запили, и я тебе про него не раз писал, но ты ж ерепенишься и ноешь, что шашечки не того цвета.

Tailscale отлично работает и на винде, и на андроиде, и на макосах, и на линуксах. Для борцунов с системой и здравым смыслом написан опенсорсный сервер, благословлённый самим же Tailscale. Я нескольким кастомерам деплоил, все счастливы, в самой большой сетке почти 300 клиентов, из которых большинство люди с мобилами катающиеся по городам и весям. Ни единого разрыва.

А если тебе для себя любимого, то не дури голову — бесплатного аккаунта на CloudFlare и копеечного впс хватит за глаза. Когда дело дойдет до блокировки глобальной инфраструктуры CF, чебурнет будет уже 2.0.

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

79. "В ядро DragonFly BSD добавлена поддержка VPN WireGuard "  +/
Сообщение от iPony129412 (?), 11-Фев-24, 05:04 
Так вопрос был про клиент, а это про целиком готовое решение, которое некаждого устроит.
Ответить | Правка | Наверх | Cообщить модератору

87. "В ядро DragonFly BSD добавлена поддержка VPN WireGuard "  +/
Сообщение от Аноним (60), 11-Фев-24, 06:29 
И этому шашечки…
Ответить | Правка | Наверх | Cообщить модератору

92. "В ядро DragonFly BSD добавлена поддержка VPN WireGuard "  +1 +/
Сообщение от User (??), 11-Фев-24, 06:59 
Не-не-не. У людей обычно задача - подключиться к чужому пионэрнету, а не городить свой, только хуже.
Ответить | Правка | Наверх | Cообщить модератору

140. "В ядро DragonFly BSD добавлена поддержка VPN WireGuard "  +/
Сообщение от Аноним (60), 11-Фев-24, 20:11 
У людей обычно задача предоставить безопасный ограниченный доступ к внутренним ресурсам снаружи для узкого круга лиц. И это решается многими разными способами, в том числе при помощи Tailscale. То, что ты описал — это задача уровня обслуги ДЦ: подключить cat6a одним концом в порт на этой панели, а другим — в порт на той. И как бы я ни любил шутить про то, что пох. уборщик в ДЦ, это всё же остаётся шуткой.
Ответить | Правка | Наверх | Cообщить модератору

146. "В ядро DragonFly BSD добавлена поддержка VPN WireGuard "  +/
Сообщение от User (??), 11-Фев-24, 21:32 
> У людей обычно задача предоставить безопасный ограниченный доступ к внутренним ресурсам
> снаружи для узкого круга лиц. И это решается многими разными способами,
> в том числе при помощи Tailscale. То, что ты описал —
> это задача уровня обслуги ДЦ: подключить cat6a одним концом в порт
> на этой панели, а другим — в порт на той. И
> как бы я ни любил шутить про то, что пох. уборщик
> в ДЦ, это всё же остаётся шуткой.

Не-не. Если мне нужно филиалы в разных городах присутствия объединять - я пойду к ростелику с мегафоном на предмет mpls vpn, и пожалуй что еще какие сертифицированные s-terra'ы понапихаю - дабы на дурацкие вопросы "за персональные данные" отвечать проще было - ну или для отдельно упоротых просто vipnet какой возьму "согласно требованиям..."
Если мне нужно например точки продаж по городу объединить - я опять же куплю пачку железок так, чтоб с запасом и позанастраиваю что там производитель поклал, скорее всего тот же l2tp+ipsec, но в принципе возможны варианты - wireguard per se мне опять же не нужен, мне zero maintenance на выносе надь.
Если нужно пользаков в режиме roadwarrior к корп. ресурсам пустить - то тут основные драйверы выбора - централизованное управление с интеграцией с корп. IDM\сервером каталогов, аудит\отчетность, возможность гранулярного предоставления ресурсов с привязкой по ролям, поддержка windows + macos as first class citizen, комплаенс-менеджмент устройств, коммерческий саппорт, 2fa и т.д. - сам wg тут может вот ровно "ни-че-го", а что там вокруг него уже напердолено - без реальной задачи выяснять лень.
Вот в кубике при "гибридно-облачном" развертывании или там во внешнем ЦОДе wg на cni вместо istio - нууэээ моооожеееет быыыть - но тут прям смотреть\думать надо - а больше и хрен знает, накой оно (мне) может понадобиться.
А вот задача "прицепиться к чужому пионЭрнету" - таки да, встречалась - и решать её вот этим вот, гм, клиентом - было не то, чтобы приятно.
Как-то так.

Ответить | Правка | Наверх | Cообщить модератору

168. "В ядро DragonFly BSD добавлена поддержка VPN WireGuard "  +/
Сообщение от Аноним (60), 11-Фев-24, 23:01 
> Если мне нужно филиалы в разных городах присутствия объединять […]

Мелкому бизнесу или команде разрабов только mpls vpn не хватает для полного счастья :) Контроллеры домена через tailscale установленный прямо на контроллере работали как ни в чём ни бывало, но там всех юзеров с полсотни в офисе на одном конце страны, и чуть меньше трёхсот в офисе и мне офиса на другом. Тут буквально что угодно будет работать, поэтому выбран был самый удобный конечному пользователю вариант. А у среднего и крупного есть и задачи, и деньги на админов, там и без tailscale разберутся.

> Если нужно пользаков в режиме roadwarrior к корп. ресурсам пустить - то тут основные драйверы выбора - централизованное управление с интеграцией с корп. IDM\сервером каталогов, аудит\отчетность, возможность гранулярного предоставления ресурсов с привязкой по ролям, поддержка windows + macos as first class citizen, комплаенс-менеджмент устройств, коммерческий саппорт, 2fa и т.д. - сам wg тут может вот ровно "ни-че-го", а что там вокруг него уже напердолено - без реальной задачи выяснять лень.

Вот это всё умеет Tailscale, в том числе с опенсорсным сервером. Поддержка Windows и MacOS (а так же Android и iOS) на высшем уровне — подписанное производителем приложение в сторе, куда лучше-то? Коммерческий саппорт тоже есть, но мне не пригодился. Комплаенс и так далее, включая 2fa тоже поддерживается — напрямую с твоего AD, с группами и ограничениями кому что можно и что нельзя. Проверил уже несколько раз на разных компаниях. Дёшево и сердито, малый бизнес пищал от счастья, особенно их аутсорснутые админы доменов были рады — завёл OIDC и больше ничего делать не надо.

> Вот в кубике при "гибридно-облачном" развертывании или там во внешнем ЦОДе wg на cni вместо istio - нууэээ моооожеееет быыыть - но тут прям смотреть\думать надо - а больше и хрен знает, накой оно (мне) может понадобиться.

Подключить к своему tailnet кластер можно, и работает тоже очень хорошо: и ACL, funnel, и всё остальное. Но для объединения кластеров, как по мне, Cilium + Istio и проще, и быстрее будет. Гибридные варианты, когда основные ноды on-prem, а клауд используется для компенсации пиков и failover скорее всего всё равно будут либо подключены через какой-то роутер, а там проще централизованный VPN настроить или прямое соединение в точке обмена поднять. Локалхостный k8s из двух нод тоже работал, что ему станется-то. Сейчас вот бэкапы льются через tailscale, но опять же, это вопрос чисто моего персонального удобства, а не необходимости. Бэкапы и через SSH-тоннель залились бы, да и между нодами можно вручную что угодно завести.

> А вот задача "прицепиться к чужому пионЭрнету" - таки да, встречалась - и решать её вот этим вот, гм, клиентом - было не то, чтобы приятно.

Чужой пионернет придётся костылить так или иначе, если ты не на Линуксе. ВГ под винду ужасный, если верить поху, так что либо линукс в bhyve^Whyper-v^WWSL, либо роутить через какую-то внешнюю машину (на DragonflyBSD, конечно же ;), подключенную и к твоему tailnet, и к пионернету.

Ответить | Правка | Наверх | Cообщить модератору

189. "В ядро DragonFly BSD добавлена поддержка VPN WireGuard "  +/
Сообщение от User (??), 12-Фев-24, 09:04 
> Мелкому бизнесу или команде разрабов только mpls vpn не хватает для полного
> счастья :)

А. Я лет 15 с SMB-сегментом дел не имел, если честно.
>Контроллеры домена через tailscale установленный прямо на контроллере работали
> как ни в чём ни бывало, но там всех юзеров с
> полсотни в офисе на одном конце страны, и чуть меньше трёхсот
> в офисе и мне офиса на другом.

И вот после слов "установленный на контроллере домена" - становится смешно и грустно...
>Тут буквально что угодно
> будет работать, поэтому выбран был самый удобный конечному пользователю вариант. А
> у среднего и крупного есть и задачи, и деньги на админов,
> там и без tailscale разберутся.

Ну, в общем-то и разбираются, да.

> Вот это всё умеет Tailscale, в том числе с опенсорсным сервером. Поддержка
> Windows и MacOS (а так же Android и iOS) на высшем
> уровне — подписанное производителем приложение в сторе, куда лучше-то? Коммерческий
> саппорт тоже есть, но мне не пригодился. Комплаенс и так далее,
> включая 2fa тоже поддерживается — напрямую с твоего AD, с группами
> и ограничениями кому что можно и что нельзя. Проверил уже несколько
> раз на разных компаниях. Дёшево и сердито, малый бизнес пищал от
> счастья, особенно их аутсорснутые админы доменов были рады — завёл OIDC и
> больше ничего делать не надо.

Ээээ... Комплаенс в бете и может примерно "ничего", насколько я понял, 2FA - на уровне identity provider'а (Что он умеет, то и будет - сам ts тут не при делах) - ну и "малый бизнес" с ADFS у меня как-то не очень ассоциируются. Про AO\SBL - тоже хз.

>[оверквотинг удален]
> ACL, funnel, и всё остальное. Но для объединения кластеров, как по
> мне, Cilium + Istio и проще, и быстрее будет. Гибридные варианты,
> когда основные ноды on-prem, а клауд используется для компенсации пиков и
> failover скорее всего всё равно будут либо подключены через какой-то роутер,
> а там проще централизованный VPN настроить или прямое соединение в точке
> обмена поднять. Локалхостный k8s из двух нод тоже работал, что ему
> станется-то. Сейчас вот бэкапы льются через tailscale, но опять же, это
> вопрос чисто моего персонального удобства, а не необходимости. Бэкапы и через
> SSH-тоннель залились бы, да и между нодами можно вручную что угодно
> завести.

Не-не, я не про tailnet говорю, а про необходимость\применимость технологии wg - у того же cilium'а поддержка WG есть - но ipsec как бы не быстрее в реальных кейсах, да и требования по шифрованию оверлейной сети - есть не у всех и не всегда.

> Чужой пионернет придётся костылить так или иначе, если ты не на Линуксе.
> ВГ под винду ужасный, если верить поху, так что либо линукс
> в bhyve^Whyper-v^WWSL, либо роутить через какую-то внешнюю машину (на DragonflyBSD, конечно
> же ;), подключенную и к твоему tailnet, и к пионернету.

Ну, не то, чтобы совсем "ужасный", но... да, ужасный. В этом-то и ужас-ужас, о котором в стартовом комменте и писано - а вот нет ли для поддержки протокола _нормального_ клиента? Ответ "нет", но есть для "готового решения на базе протокола" и этот ответ нет, не устраивает - т.к. сильно не все пользователи аналоговнеты используют вот это вот конкретное "готовое решение" - и говорить на предложение подключиться "ваш WG <censored> разворачивайте новый VPN на tailscale" можно не только лишь во всех случаях.

Ответить | Правка | Наверх | Cообщить модератору

213. "В ядро DragonFly BSD добавлена поддержка VPN WireGuard "  +/
Сообщение от Аноним (60), 12-Фев-24, 22:44 
> А. Я лет 15 с SMB-сегментом дел не имел, если честно.

Софт дожирает мир, и малый бизнес часть того немногого, что он пока не доел до конца. У меня новый клиент, сверлят и обслуживают колодцы в районе со 100к населения. В этом году они решили модернизировать бизнес-процессы, так как их система документооборота на бумажных формах и человеке для вбивания в эксель начала этот самый бизнес  тормозить. Из каменного века сразу в клауд. Люди приятные, деньги у них самые настоящие. Ну вот как с такими хорошими дел не иметь? ;)

> И вот после слов "установленный на контроллере домена" - становится смешно и грустно...

Два контроллера связаны через VPN. Не вижу проблемы. Когда дорастут до своих роутеров, сделают лучше. Если дорастут.

> Ээээ... Комплаенс в бете и может примерно "ничего",

Я не знаю какой именно тебе комплаенс нужен, возможно в ts его действительно нет.

> насколько я понял, 2FA - на уровне identity provider'а (Что он умеет, то и будет - сам ts тут не при делах)

Так хорошо же, что не при делах. В своём IdP ты можешь сделать, что нужно лично тебе и так, как нужно тебе, а не ждать пока там кто-то где-то фичу запилит. А если нет времени на это — вагон сторонних. Да хоть к аккаунтам организации на гитхабе прицепи, если нужно девелоперов куда-то пускать. Это по-моему одна из самых лучших фич. Как по мне, так поддержка OIDC должна быть вообще везде, где нужно аккаунты группировать.

> "малый бизнес" с ADFS у меня как-то не очень ассоциируются. Про AO\SBL - тоже хз.

У тебя не ассоциируется потому, что ты привык к энтерпрайзным деплоям. А Майкрософт c Office365 for business даёт самый настоящий AD. Набор фич зависит от типа аккаунта, но теми что есть можно пользоваться точно так же, как ты бы пользовался on-prem. Разница лишь в том, что бэкапы и HA аутсорснуты в автоматику Azure.

> ответ нет, не устраивает

Ну раз не устраивает, тогда только костылями. Но костылями тут любой может и без советов анонимов.

Ответить | Правка | Наверх | Cообщить модератору

216. "В ядро DragonFly BSD добавлена поддержка VPN WireGuard "  +/
Сообщение от User (??), 13-Фев-24, 07:18 
> Софт дожирает мир, и малый бизнес часть того немногого, что он пока
> не доел до конца. У меня новый клиент, сверлят и обслуживают
> колодцы в районе со 100к населения. В этом году они решили
> модернизировать бизнес-процессы, так как их система документооборота на бумажных формах
> и человеке для вбивания в эксель начала этот самый бизнес  
> тормозить. Из каменного века сразу в клауд. Люди приятные, деньги у
> них самые настоящие. Ну вот как с такими хорошими дел не
> иметь? ;)

Предполагаю, что им своя инфраструктура нужна примерно "низачем". Сервисы яндекс для вашего домена с автоматизацией формочек, 1цэ как услуга и алга.

>> И вот после слов "установленный на контроллере домена" - становится смешно и грустно...
> Два контроллера связаны через VPN. Не вижу проблемы. Когда дорастут до своих
> роутеров, сделают лучше. Если дорастут.

Ну, если не видите - то я и объяснять не буду.

>> Ээээ... Комплаенс в бете и может примерно "ничего",
> Я не знаю какой именно тебе комплаенс нужен, возможно в ts его
> действительно нет.

Банально - чеки, что ноут в домене, накачены обязательные обновления от ИБ, стоит антивирусник с обновленными не позднее, чем ... - базами, жесткий диск ноута зашифрован. Джентльменский стандарт, можно сказать.

>> насколько я понял, 2FA - на уровне identity provider'а (Что он умеет, то и будет - сам ts тут не при делах)
> Так хорошо же, что не при делах. В своём IdP ты можешь
> сделать, что нужно лично тебе и так, как нужно тебе, а
> не ждать пока там кто-то где-то фичу запилит. А если нет
> времени на это — вагон сторонних. Да хоть к аккаунтам организации
> на гитхабе прицепи, если нужно девелоперов куда-то пускать. Это по-моему одна
> из самых лучших фич. Как по мне, так поддержка OIDC должна
> быть вообще везде, где нужно аккаунты группировать.

Дополнительная инфра, которая on-prem нужна не всем и не всегда. И не сказать, чтобы инфра простая и необслуживаемая так-то. Что adfs тащить, что какой-нибудь keycloak с федерацией разворачивать на сколько-нибудь заметных масштабах с SLA, который требует бизнес - нифига не просто.

>> "малый бизнес" с ADFS у меня как-то не очень ассоциируются. Про AO\SBL - тоже хз.
> У тебя не ассоциируется потому, что ты привык к энтерпрайзным деплоям. А
> Майкрософт c Office365 for business даёт самый настоящий AD. Набор фич
> зависит от типа аккаунта, но теми что есть можно пользоваться точно
> так же, как ты бы пользовался on-prem. Разница лишь в том,
> что бэкапы и HA аутсорснуты в автоматику Azure.

Нууууээээ... инфра MS в 2024 на 1\6 части суши? Круто, чо.
Не, если у тебя ВСЬО в облаке - то облачный VPN как бы и ничего, мокрому дождь не страшен.

>> ответ нет, не устраивает
> Ну раз не устраивает, тогда только костылями. Но костылями тут любой может
> и без советов анонимов.

Ну или "блажен муж, что не ходит на совет нечестивых..."

Ответить | Правка | Наверх | Cообщить модератору

226. "В ядро DragonFly BSD добавлена поддержка VPN WireGuard "  +/
Сообщение от Аноним (60), 13-Фев-24, 20:44 
> Сервисы яндекс для вашего домена с автоматизацией формочек, 1цэ как услуга и алга.

Почти так, только o365 и пара функции на ажуре для формочек и экселя. У нас тут наверное про 1С даже не слышали.

> Банально - чеки, что ноут в домене, накачены обязательные обновления от ИБ, стоит антивирусник с обновленными не позднее, чем ... - базами, жесткий диск ноута зашифрован. Джентльменский стандарт, можно сказать.

Это точно не забота VPN. Для этого есть групповые политики и специальные решения для «BYOD в наш Zero Trust чтобы делать там GitOps».

> Дополнительная инфра, которая on-prem нужна не всем и не всегда. И не сказать, чтобы инфра простая и необслуживаемая так-то. Что adfs тащить, что какой-нибудь keycloak с федерацией разворачивать на сколько-нибудь заметных масштабах с SLA, который требует бизнес - нифига не просто.

Ну так не разворачивай, коммерческих IdP навалом. И у большинства есть бесплатные или ультрадешёвые тарифы, если уж совсем жаба душит.

> Нууууээээ... инфра MS в 2024 на 1\6 части суши? Круто, чо.

Окстись, я на 1/6 не был лет десять, а работать с кем угодно оттуда себе дороже. Особенно сейчас, когда рашка сотоварищи окончательно стали изгоями. Айтишникам мировой рынок труда целиком доступен, зачем эти проблемы на ровном месте?

> Не, если у тебя ВСЬО в облаке - то облачный VPN как бы и ничего, мокрому дождь не страшен.

Чем лясы точить в очередной раз про хорошее/плохое облако, рекомендую эссе «The Eternal Mainframe». От себя добавлю, что это просто бизнес. Когда за администрирование on-prem опять начнут больше, чем сейчас за клауд — вернусь к on-prem. А для души у меня в гараже микро-стойка на 6 юнитов и б/у делл r720 под виртуалки с линуксом.

Ответить | Правка | Наверх | Cообщить модератору

228. "В ядро DragonFly BSD добавлена поддержка VPN WireGuard "  +/
Сообщение от User (??), 13-Фев-24, 21:19 
> Почти так, только o365 и пара функции на ажуре для формочек и
> экселя. У нас тут наверное про 1С даже не слышали.

А. Ну, тут белым человекам повезло.

>> Банально - чеки, что ноут в домене, накачены обязательные обновления от ИБ, стоит антивирусник с обновленными не позднее, чем ... - базами, жесткий диск ноута зашифрован. Джентльменский стандарт, можно сказать.
> Это точно не забота VPN. Для этого есть групповые политики и специальные
> решения для «BYOD в наш Zero Trust чтобы делать там GitOps».

Ну вот цискам с цитриксам как-то не объяснили, что не их это дело, да?

>> Дополнительная инфра, которая on-prem нужна не всем и не всегда. И не сказать, чтобы инфра простая и необслуживаемая так-то. Что adfs тащить, что какой-нибудь keycloak с федерацией разворачивать на сколько-нибудь заметных масштабах с SLA, который требует бизнес - нифига не просто.
> Ну так не разворачивай, коммерческих IdP навалом. И у большинства есть бесплатные
> или ультрадешёвые тарифы, если уж совсем жаба душит.

Ну да, ну да - а потом в новостях - клаудфларь накернили через okta - НИКОГДА такого не было и вот... но SMB на это может и пох.

>> Нууууээээ... инфра MS в 2024 на 1\6 части суши? Круто, чо.
> Окстись, я на 1/6 не был лет десять, а работать с кем
> угодно оттуда себе дороже. Особенно сейчас, когда рашка сотоварищи окончательно стали
> изгоями. Айтишникам мировой рынок труда целиком доступен, зачем эти проблемы на
> ровном месте?

Ну, тут повезло. Правда, без шуток.

>> Не, если у тебя ВСЬО в облаке - то облачный VPN как бы и ничего, мокрому дождь не страшен.
> Чем лясы точить в очередной раз про хорошее/плохое облако, рекомендую эссе «The
> Eternal Mainframe». От себя добавлю, что это просто бизнес. Когда за
> администрирование on-prem опять начнут больше, чем сейчас за клауд — вернусь
> к on-prem. А для души у меня в гараже микро-стойка на
> 6 юнитов и б/у делл r720 под виртуалки с линуксом.

Так я не то, чтобы "руками и ногами за" во всех случаях - просто вот не в данной локации и не в КИИ сегменте. Как-то так.

Ответить | Правка | Наверх | Cообщить модератору

230. "В ядро DragonFly BSD добавлена поддержка VPN WireGuard "  +/
Сообщение от Аноним (60), 14-Фев-24, 00:02 
> Ну вот цискам с цитриксам как-то не объяснили, что не их это дело, да?

Если коротко, то да. Когда циски и цитриксы своё добро клепали, никто толком не знал как оно вообще должно быть, и куда всё движется. Сделали то, что нужно было рынку сегодня. А дальше как и с любым продуктом — любое развитие возможно только если не шатать всё текущим клиентам. Но и эти постепенно их клиенты придут к тому, что ВПН это одно, а комплаенс — другое и не надо их смешивать.

> Ну да, ну да - а потом в новостях - клаудфларь накернили через okta - НИКОГДА такого не было и вот... но SMB на это может и пох.

Так не накренили же ведь. Потыкались в случайное ненужно и ушли не солоно хлебавши. И таки ты прав, SMB до лампочки что там в Окте произошло. Мне один бывший клиент отфорвардил то, что ему Окта прислала, я провёл все необходимые манипуляции, на следующий день счёт уже был оплачен. Вот и вся драма. Мой знакомый на зарплате у «большого энтерпрайза» сказал, что их этот инцидент аж на четыре дня затормозил, но у них и аккаунты тысячами исчисляются. Неприятно, конечно и убытки прямые (четыре дня люди с фонариками бегают и плесневелые токены ищут!), на то и щука в реке, чтобы карась не дремал. Заодно инвентаризацию провели, говорит.

Ответить | Правка | К родителю #228 | Наверх | Cообщить модератору

232. "В ядро DragonFly BSD добавлена поддержка VPN WireGuard "  +/
Сообщение от User (??), 14-Фев-24, 07:18 
> Если коротко, то да. Когда циски и цитриксы своё добро клепали, никто
> толком не знал как оно вообще должно быть, и куда всё
> движется. Сделали то, что нужно было рынку сегодня. А дальше как
> и с любым продуктом — любое развитие возможно только если не
> шатать всё текущим клиентам. Но и эти постепенно их клиенты придут
> к тому, что ВПН это одно, а комплаенс — другое и не
> надо их смешивать.

Ну вот в жизни вышло строго наоборот. Вот прям на 180. К защищенной сети подключаются с устройств разных вендоров и сваливать все задачи на групповые политики от MS - как-то даже и смешно, да? А проверку соответствия требованиям - делать надо. И вот MS о каком-то "хренберри" может знать примерно "ничего", а производитель VPN-клиента для "хренберри" - определенно что-то да знает.
Опять же милые проблемы - чтобы получить данные этих самых групповых политик, описывающих требования к настройке надо - внезапно - подключиться до этого самого DC (Причем сильно не по одному порту\протоколу - тут тебе и лдапс, и керберос, и днс, и даже цифс - и все это потенциально ненадежному участнику коммуникации, ага). Тут конечно можно скрафтить какой RODC в DMZ к которому цепляемся через AO\SBL vpn (И так, в общем-то делают) - но то такоЭ, проще держать эти compliance policy на собственно VPN-сервере к которому ты один хрен, должен подключиться (или не подключаться - если не соответствуешь).
Ergo?

>[оверквотинг удален]
> Так не накренили же ведь. Потыкались в случайное ненужно и ушли не
> солоно хлебавши. И таки ты прав, SMB до лампочки что там
> в Окте произошло. Мне один бывший клиент отфорвардил то, что ему
> Окта прислала, я провёл все необходимые манипуляции, на следующий день счёт
> уже был оплачен. Вот и вся драма. Мой знакомый на зарплате
> у «большого энтерпрайза» сказал, что их этот инцидент аж на четыре
> дня затормозил, но у них и аккаунты тысячами исчисляются. Неприятно, конечно
> и убытки прямые (четыре дня люди с фонариками бегают и плесневелые
> токены ищут!), на то и щука в реке, чтобы карась не
> дремал. Заодно инвентаризацию провели, говорит.

Ну да - два уровня безопасности - "high" и "нехай..." - тут и VPN-то по большому счету хрен пойми зачем.

Ответить | Правка | К родителю #230 | Наверх | Cообщить модератору

128. "В ядро DragonFly BSD добавлена поддержка VPN WireGuard "  +1 +/
Сообщение от нах. (?), 11-Фев-24, 18:05 
Step 1: Sign up for an account

Sign up for a Tailscale account. Get started with a free plan for an organizational plan.

Tailscale requires a Single Sign-On (SSO) provider, so you’ll need an Apple, Google, Microsoft, GitHub, Okta, OneLogin, or other supported SSO identity provider account to begin.

простите, но мне - впн, а не очередной ан@льный зонт.
Ну или хотя бы закройте его!

>А если тебе для себя любимого, то не дури голову — бесплатного аккаунта на CloudFlare
> и копеечного впс хватит за глаза.

да мне не нужен копеечный впс, я тебе сам за рупь продам пять штук.

Мне клиент вайргада под венду нужен - написанный кем-нибудь кто хотя бы для отладки им пользуется (потому что то что напсал донефельд - он явно запускал один-единственный раз в жизни)


Ответить | Правка | К родителю #60 | Наверх | Cообщить модератору

137. "В ядро DragonFly BSD добавлена поддержка VPN WireGuard "  +/
Сообщение от Аноним (-), 11-Фев-24, 19:47 
> Step 1: Sign up for an account
> Sign up for a Tailscale account. Get started with a free plan
> for an organizational plan.

Видимо считают что юзеры виндочки - к такому привычные :). Хотя конечно сделать сие для впн где можно пару ключей самому, нахаляву, а клиент и сервер почти равноправны - это сильно конечно.

Разница? Примерно как между гит и гитхаб. Первое можно юзать никого не спрашивая, сколько угодно реп, лишь бы на диск лехло. Второе постоянно делает мозг, требует капчи, номера телефонов, подтверждения что не верблюд и какие там еще 2FA и сдачу ДНК на анализ.

> простите, но мне - впн, а не очередной ан@льный зонт.
> Ну или хотя бы закройте его!

Погоди, а разве майкрософт тебе не привел в порядок всякие технологические отверстия?!

> для отладки им пользуется (потому что то что напсал донефельд -
> он явно запускал один-единственный раз в жизни)

Ну он так то - линуксоид походу. А виндовый - проверил что в его конфиге, вроде, работает :)

Ответить | Правка | Наверх | Cообщить модератору

139. "В ядро DragonFly BSD добавлена поддержка VPN WireGuard "  +/
Сообщение от Аноним (60), 11-Фев-24, 20:03 
> other supported SSO identity provider account to begin

В качестве вот этого самого может выступать даже твой любимый AD. Если это не закрывает тебе зонт — ставь себе опенсорсный headscale, и можешь не иметь вообще ничего общего с Tailscale и их инфраструктурой, даже их DERP-серверами можешь не пользоваться, headscale сам себе DERP. Официальные клиенты официально работают с любым сервером. Код открыт и доступен. Можешь почитать сам на предмет зондирования, если умеешь.

> впн, а не очередной ан@льный зонт.

Именно это и получишь — VPN, с пользователями, ACL, и прочим. Поди не маленький, разберёшься как там роутингом управлять, это настолько просто, что даже объяснять лень.

> простите, но мне - впн
> Мне клиент вайргада под венду нужен

Так тебе нужен ВПН, клиент вайргарда под венду, или шашечки? Ты уж определись, родной. Первое — я тебе вон выше описал, для второго шли пулл-реквесты, а на счёт третьего обращайся в спортлото.

Ответить | Правка | К родителю #128 | Наверх | Cообщить модератору

78. "В ядро DragonFly BSD добавлена поддержка VPN WireGuard "  –1 +/
Сообщение от iPony129412 (?), 11-Фев-24, 05:02 
Да там везде с гуями плохо.
На macOS перевод на русский просто ужасен.
Но это ладно, только им плевать на MR уже несколько лет — итак сойдёт.
Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

126. "В ядро DragonFly BSD добавлена поддержка VPN WireGuard "  +/
Сообщение от нах. (?), 11-Фев-24, 18:00 
Ну сделайте хотя бы без гуев хорошо (нахрен впну какой гуй вообще сдался?)

Вот там лет пять помнится назад этот донефельд обсиpaл какой-то альтернативно-виндовый клиент - никто не помнит, что это вообще было?

Ответить | Правка | Наверх | Cообщить модератору

121. "В ядро DragonFly BSD добавлена поддержка VPN WireGuard "  +/
Сообщение от Аноним (121), 11-Фев-24, 15:32 
>А нельзя ли как-нибудь для винды нормальный клиент запилить, а не вот это вот недоразумение?

Толпы индусов тебе напишут, ибо писать будет только MS, а в MS кроме них никого больше и нет. Накладут тебе полный таз той самой коричневой субстанции, которой ты так восхищаешься в венде.

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

129. "В ядро DragonFly BSD добавлена поддержка VPN WireGuard "  +/
Сообщение от нах. (?), 11-Фев-24, 18:05 
толпам индусов неинтересно.
Мы тут про шва6.. открытый софт вообще-то.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру