Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Обновление OpenVPN 2.4.9"	+/–
Сообщение от opennews (??), 17-Апр-20, 08:59
Сформирован корректирующий выпуск пакета для создания виртуальных частных сетей OpenVPN 2.4.9. В новой версии устранена  уязвимость (CVE-2020-11810), позволяющая перевести сеанс клиента на новый IP-адрес, который до этого не был авторизирован. Проблема может быть использована для прерывания только что подключившегося клиента, для которого ещё не завершено согласование сессионных ключей... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52752
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 17-Апр-20, 08:59	–23 +/–
Все уже давно на WireGuard.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #18, #30, #42, #47, #115

2. Сообщение от Sergey (??), 17-Апр-20, 08:59	–3 +/–
На оффсайте по ссылке написано обратное: fix condition where a client's session could "float" to a new IP address that is not authorized ("fix illegal client float"). This can be used to disrupt service to a freshly connected client (no session keys negotiated yet). >>> It can not be used to inject or steal VPN traffic. CVE-2020-11810, trac #1272). <<<
Ответить | Правка | Наверх | Cообщить модератору

3. Сообщение от Аноним (3), 17-Апр-20, 09:00	–6 +/–
Почему всем не использовать стандартный ipsec? Ладно удобство openvpn можно понять. Wireguard прозапас? А зачем нужно столько реализаций: openswan,libreswan, freeswan, strongswan...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #6, #7, #8, #12, #13, #17, #19, #31, #50, #93

4. Сообщение от Аноним (4), 17-Апр-20, 09:02	–11 +/–
>все уже давно на зонде Исправил.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #11, #14, #64

5. Сообщение от Аноним (5), 17-Апр-20, 09:08	+3 +/–
> Почему всем не использовать стандартный ipsec? В каком месте он стандартный? Для чего он стандартный?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #9, #69

6. Сообщение от гтщс_г34 (?), 17-Апр-20, 09:11	+/–
Потому, что он тортовый!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

7. Сообщение от Аноним (7), 17-Апр-20, 09:24	+2 +/–
Всмысле стандратный?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #15

8. Сообщение от Аноним (8), 17-Апр-20, 09:30	+3 +/–
> А зачем нужно столько реализаций: openswan,libreswan, freeswan, strongswan... Ты сам ответил на свой вопрос - они все СТАНДАРТНЫЕ
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

9. Сообщение от llolik (ok), 17-Апр-20, 09:37	+1 +/–
Я так понял имелось ввиду, что реализация ipsec в том или ином виде везде есть (даже в смартфонах). OpenVPN нужно помимо сервера везде ещё и клиенты воздвигать. ЗЫ. Сам в связи с этими танцами с удалёнкой за три недели несколько раз поднимал StrongSwan+xl2tpd в разных местах (не только у себя - у меня уже давно есть).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #10, #16, #65, #72, #94

10. Сообщение от Аноним (5), 17-Апр-20, 09:44	+/–
> имелось ввиду, что реализация ipsec в том или ином виде везде есть Ну да, на _слово_ IPSec можно наткнуться везде. Но муля в том, что везде он именно что "в том или ином виде"... Иногда настолько ином, что и фиг знает, что с ним, таким иным, делать. Вон, ввинде его вообще зачем-то гвоздями к l2tp прибили. А в опенке, кажется, вообще две разных реализации протокола. Так что о стандарте говорить неполиткорректно :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #20, #44, #70

11. Сообщение от Аноним (11), 17-Апр-20, 09:50	+3 +/–
И я чём зондовость WireGuard?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #59

12. Сообщение от бублички (?), 17-Апр-20, 09:53	+3 +/–
тебя забанили в гугл? Freeswan заброшен в 2004-м году, его форкам стали Openswan (корпорация добра Xelerance) и Strongswan (вдальнейшем был практически переписан). Libreswan форк Openswan. если ты когда-либо пользовался хоть одним, то ты бы знал что доступны для использования лишь Libreswan и Strongswan, про Openswan в большинстве случаев можно забыть
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #92

13. Сообщение от Аноним (11), 17-Апр-20, 09:54	+2 +/–
>Почему всем не использовать стандартный ipsec? Overenginering
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

14. Сообщение от Аноним (14), 17-Апр-20, 09:55	+/–
Если в бочку дегтя добавить ложку дегтя. Она все равно останется бочкой дегтя.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

15. Сообщение от бублички (?), 17-Апр-20, 09:57	+/–
человек предлагает использовать стандартный, взамен всех этих бесконечных сущностей типа freeswan, openswan, strongswan, libreswan :D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #52

16. Сообщение от КО (?), 17-Апр-20, 10:00	+1 +/–
Ы том то и дело, "что реализация ipsec в том или ином виде"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

17. Сообщение от бублички (?), 17-Апр-20, 10:02	+1 +/–
> Почему всем не использовать стандартный ipsec? тот который на бумаге? используй на здоровье :D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

18. Сообщение от КО (?), 17-Апр-20, 10:04	–3 +/–
Тото в первый раз слышу
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #21

19. Сообщение от mumu (ok), 17-Апр-20, 10:06	+3 +/–
Все эти IKE проектировали люди в белых халатах, а не те, кто реально админит системы. Просто диву даешься, как можно быть настолько покрытыми всеми этими комитетами и стандартами и настолько несовместимыми одновременно. Есть стойкое ощущение ощущение, что там кто-то получал грант за каждый новый используемый порт и внутренний протокол.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #24, #49

20. Сообщение от llolik (ok), 17-Апр-20, 10:13	+/–
> делать. Вон, ввинде его вообще зачем-то гвоздями к l2tp прибили. Это c 8.1/10 повелось? Мне интересно, потому что я сразу с l2tp поднимаю и возможно не сталкивался. Семёрка, насколько я знаю, умеет и без l2tp. > в опенке, кажется, вообще две разных реализации протокола. Ни разу не встречал Опёнка в проде в живой природе, но допускаю, что кто-то использует. Из серьёзных траблов встречалось, пока, что Андроид стандартно IKEv2 не умеет. Только или StrongSwan клиент ставить или на сервере оставлять fallback IKEv1. Возможно нарвусь ещё на какие траблы, потому что пока дело ограничивалось вверенным предприятием - более менее знаешь где что может вылезти. А вот сейчас пришлось помогать соседям ... может что и новое узнаю.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #27

21. Сообщение от Аноним (21), 17-Апр-20, 10:22	–2 +/–
Эх совсем ты нафталином пропах. На просвещайся https://www.opennet.ru/opennews/art.shtml?num=52636
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #38

22. Сообщение от Аноним (22), 17-Апр-20, 10:22	+/–
На практике из сотен машин оно тормозит и нестабильно.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25, #51, #61

23. Сообщение от хотел спросить (?), 17-Апр-20, 10:23	+/–
https://openvpn.net/community-downloads/ 2.4.8 последний.. CVE есть а фикса нет ))
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #26, #28

24. Сообщение от Аноним (21), 17-Апр-20, 10:24	+1 +/–
Комитет всегда найдет в реализации другого стандарта изъян. Даже тот что другой стандарт сделали не они.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

25. Сообщение от Аноним (21), 17-Апр-20, 10:26	–5 +/–
WireGuard же уже подъехал он обгоняет и опенвпн и всякие ипсеки https://xakinfo.ru/os/wireguard-%D0%BA%D0.../
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #32, #43

26. Сообщение от Аноним (21), 17-Апр-20, 10:31	+/–
А что им надо было большим буквами написать не шмогли?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

27. Сообщение от Аноним (5), 17-Апр-20, 10:36	–1 +/–
> Это c 8.1/10 повелось? Мне интересно, потому что я сразу с l2tp поднимаю и возможно не сталкивался. Семёрка, насколько я знаю, умеет и без l2tp. Это уже в XP было... Да, умеет, и в 8, и в 10... но это все через танцы с бубном вокруг реестра. Потому и говорю про гвозди...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

28. Сообщение от Аноним (28), 17-Апр-20, 11:42	+1 +/–
На сайте коммьюнити нету, но на гитхабе все есть. Вероятно, это делают разные люди, и чувак, который апдейтит сайт, скорее всего завтыкал на самоизоляции. Не волнуйся так.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #56

29. Сообщение от Аноним (29), 17-Апр-20, 11:52	+/–
> позволяющая перевести сеанс клиента на новый IP-адрес, который до этого не был авторизирован В идентификатор VPN сессии же не входит IP адрес? Я могу после установки VPN соединения поменять IP адрес моего компа. Или даже вытащить провод и переключиться на WiFi и VPN сессия не прервется. Или тут какое-то расширение, дополенение протокола используется?
Ответить | Правка | Наверх | Cообщить модератору

30. Сообщение от llol (?), 17-Апр-20, 11:52	+10 +/–
> Все уже давно на WireGuard. И давно уже эта поделка, где во главу угла поставлено "там всего 4000 строк кода" умеет хотябы сотую часть того, что умеет OpenVPN? Где динамические маршруты для клиентов? Wireguard либо может гнать весь траффик через себя, либо все клиенты (а их могут быть тысячи) должны ручками прописывать подсеточки, в которые ходить через VPN. Так что вирегард для мамкиных хацкиров. Компании уровня Яндекс продолжают использовать OpenVPN. ;))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #33, #34

31. Сообщение от llol (?), 17-Апр-20, 11:56	+1 +/–
> Почему всем не использовать стандартный ipsec? Что такое "стандартный ipsec"? Я навскидку только 5 или 6 реализаций могу вспомнить. И какая имеется в виду авторизация? IKEv1, IKEv2, L2TP? Парольная, сертификатная, с preshared key, без?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #74

32. Сообщение от llol (?), 17-Апр-20, 11:57	+3 +/–
> WireGuard же уже подъехал он обгоняет и опенвпн и всякие ипсеки Во влажных мечтах администраторов локалхоста, если только ;))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #40

33. Сообщение от Аноним (21), 17-Апр-20, 12:07	–3 +/–
Все эти свистелки только тормозят и скорость занижают. А компании уровня Тындекса всегда могут залить проблему железом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #37

34. Сообщение от llolik (ok), 17-Апр-20, 12:08	+6 +/–
> Так что вирегард для мамкиных хацкиров. Ну почему. Туннель-то можно сделать. Другое дело что это ТОЛЬКО туннель и ни на что другое оно не подписывалось, а его предлагают зачем-то совать всюду, куда оно даже и в принципе не натягивается.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #36, #89

36. Сообщение от Аноним (21), 17-Апр-20, 12:12	+1 +/–
Это синдром Гитлаба надо быть сразу всем и все включить в себя. С одной стороны удобно с другой стороны не всем нужны эти неповоротливые комбайны.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

37. Сообщение от llol (?), 17-Апр-20, 12:37	+3 +/–
> А компании уровня Тындекса всегда могут залить проблему железом. Как ты собираешься заливать железом проблему того, что 10000 сотрудников надо регулярно менять конфиг и добавлять сетки, в которые нужно роутить трафик, чукча? ;)) И как то, что openvpn пушит не default route, а 20 подсетей, "скорость занижает", эгзперд ты мамкин, llol? ;)))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

38. Сообщение от AlexYeCu_not_logged (?), 17-Апр-20, 12:40	+5 +/–
>Эх совсем ты нафталином пропах. Деточка, ты кидаешь взрослым дядям ссылку чуть более, чем двухнедельной давности на релиз под номером один. Ты хоть понимаешь, как смешно на этом фоне выглядят громкие утверждения вида «все уже давно»? «Давно» это ну пусть десять лет как. Но уж никак не две недели.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #48

39. Сообщение от Аноним (39), 17-Апр-20, 12:42	–1 +/–
у меня 2 МБ/c на openvpn (vps) против 25 МБ/c без openvpn
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #55, #95

40. Сообщение от Аноним (40), 17-Апр-20, 12:51	–2 +/–
>> WireGuard же уже подъехал он обгоняет и опенвпн и всякие ипсеки > Во влажных мечтах администраторов локалхоста, если только ;)) А какой еще хост должен быть если не хост? Ты наркоман?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #54

41. Сообщение от InuYasha (?), 17-Апр-20, 12:51	+/–
Так чем, в итоге, пользоваться-то? Чтоб максимально универсально и стандартно. Этим или не этим?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #46, #53, #58, #77

42. Сообщение от Анином (?), 17-Апр-20, 12:57	+2 +/–
Услышал новое козырное слово? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

43. Сообщение от Crazy Alex (ok), 17-Апр-20, 13:11	+/–
Пока не будет нормального provisioning он годится только для энтузиастов
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

44. Сообщение от YetAnotherOnanym (ok), 17-Апр-20, 13:20	–1 +/–
> ввинде его вообще зачем-то гвоздями к l2tp прибили Это, мягко говоря, не совсем так.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

46. Сообщение от Аноним (21), 17-Апр-20, 13:29	+/–
Чтобы как у всех этим, чтобы быстро не этим.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

47. Сообщение от Аноним (47), 17-Апр-20, 13:56	+1 +/–
Он же TCP не поддерживает
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

48. Сообщение от Michael Shigorin (ok), 17-Апр-20, 14:01	–1 +/–
Осторожно, набьёте деточке психотравмочку! http://vz.ru/opinions/2020/4/16/1034111.print.html
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #62, #91

49. Сообщение от Аноним (47), 17-Апр-20, 14:03	+/–
Как с jabber, куча не обязательных XEP и в результате мало совместимые друг с другом клиенты и серверы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #60

50. Сообщение от Michael Shigorin (ok), 17-Апр-20, 14:05	+1 +/–
> Почему всем не использовать стандартный ipsec? У него баланс возможностей к головняку сильно хуже, чем у сабжа, как не только мне кажется. > А зачем нужно столько реализаций: > openswan, libreswan, freeswan, strongswan... Ну вот, опять на http://0x1.tv/2a9-lets-cross-forks-shigorin ссылаться...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #107

51. Сообщение от Аноним (47), 17-Апр-20, 14:05	+2 +/–
На практике из тысяч машин всё работает идеально.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

52. Сообщение от Michael Shigorin (ok), 17-Апр-20, 14:06	–1 +/–
Ну они (реализации) и используют (протокол). :]
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #73

53. Сообщение от Аноним (47), 17-Апр-20, 14:08	–1 +/–
Спросите у вашего системного администратора.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

54. Сообщение от Michael Shigorin (ok), 17-Апр-20, 14:09	–2 +/–
Даю справку: админ локалхоста не замечает, что творится чуточку далее него.  Например, что "обгонять", упёршись в транспорт, тупо не выйдет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

55. Сообщение от Аноним (47), 17-Апр-20, 14:09	+/–
у меня 25 МБ/c на openvpn (vps), а без openvpn 0, связи нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

56. Сообщение от Аноним (47), 17-Апр-20, 14:10	+/–
смешно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #57

57. Сообщение от Аноним (57), 17-Апр-20, 14:47	+/–
Модератор! Да ты издеваешься! Надо было вместе с постом "смешно" удалять. Я ж теперь спать не смогу. Что же там смешное было. Что, ЧТО?!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #63

58. Сообщение от Сейд (ok), 17-Апр-20, 14:48	–2 +/–
L2TP
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #75, #84

59. Сообщение от OpenEcho (?), 17-Апр-20, 14:54	–2 +/–
>И я чём зондовость WireGuard? https://www.opennet.ru/openforum/vsluhforumID3/118881.html?n... IMHO, Единственное что поменялось, так это aудит
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #113

60. Сообщение от zzz (??), 17-Апр-20, 14:59	+/–
XMPP уже давно ввел XMPP Compliance Suites.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #66

61. Сообщение от OpenEcho (?), 17-Апр-20, 15:12	+/–
Вы не правильно его варите... постарайтесь перейти с raspberry pi на что то более мощное, начните с канала во вне, т.к. (скорость_канала/100) должно даже в теории становится медленее
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #83

62. Сообщение от Аноним (62), 17-Апр-20, 15:22	+1 +/–
Не читайте советских газет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

63. Сообщение от Аноним (62), 17-Апр-20, 15:23	+/–
На поржи https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi?az=l...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #109

64. Сообщение от Аноним (64), 17-Апр-20, 15:27	+/–
Так вставай с зонда, кто мешает?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

65. Сообщение от НяшМяш (ok), 17-Апр-20, 15:29	+/–
> StrongSwan+xl2tpd Я вот с такой связкой намучался в своё время (там миллион этих параметров, а разные документации и гайды противоречат в их настройке) - то связь нестабильная, то скорость 0.3 мегабита. Собрал на впске SoftEther - вещь как раз для такого краба как я. Есть гуй для настройки мышетыкательный (правда виндовый, но под вайном работает отлично), из коробки L2TP и OpenVPN. Moжет и зонд, но для своего локалхоста и пары друганов сойдёт.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #68

66. Сообщение от llolik (ok), 17-Апр-20, 15:36	+/–
> XMPP уже давно ввел XMPP Compliance Suites. Ну ввести-то он, положим, ввел. Только разброд и шатание, в плане поддержки протокола, как было так и осталось. Если сервера ещё что-то как-то более-менее полно охватывают (да и не так много их), то с клиентами полный бардак.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

67. Сообщение от Японский Бог (?), 17-Апр-20, 15:39	+/–
Я так и не пoнял, зачем OpenVPN изменил дизайн? Ощущение, что они свой gui переписали на электрон. Всё глючное, настройки куда-то запрятаны.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #78, #108

68. Сообщение от llolik (ok), 17-Апр-20, 15:58	+/–
Ну, да, согласен, настройка этой связки - то ещё приключение. С другой стороны, с приходящим опытом уже и не кажется так сложно, когда делаешь уже сам, а не по ошмёткам чужих записок в сети.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65

69. Сообщение от Dmytro (?), 17-Апр-20, 16:31	–2 +/–
> В каком месте он стандартный? Для чего он стандартный? RFC 2401 (Security Architecture for the Internet Protocol) — архитектура защиты для протокола IP. RFC 2402 (IP Authentication header) — аутентификационный заголовок IP. RFC 2403 (The Use of HMAC-MD5-96 within ESP and AH) — использование алгоритма хеширования MD-5 для создания аутентификационного заголовка. RFC 2404 (The Use of HMAC-SHA-1-96 within ESP and AH) — использование алгоритма хеширования SHA-1 для создания аутентификационного заголовка. RFC 2405 (The ESP DES-CBC Cipher Algorithm With Explicit IV) — использование алгоритма шифрования DES. RFC 4303 (ранее RFC 2406) (IP Encapsulating Security Payload [ESP]) — шифрование данных. RFC 2407 (The Internet IP Security Domain of Interpretation for ISAKMP) — область применения протокола управления ключами. RFC 2408 (Internet Security Association and Key Management Protocol [ISAKMP]) — управление ключами и аутентификаторами защищённых соединений. RFC 2409 (The Internet Key Exchange [IKE]) — обмен ключами. RFC 2410 (The NULL Encryption Algorithm and Its Use With IPsec) — нулевой алгоритм шифрования и его использование. RFC 2411 (IP Security Document Roadmap) — дальнейшее развитие стандарта. RFC 2412 (The OAKLEY Key Determination Protocol) — проверка соответствия ключа.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #76

70. Сообщение от Catwoolfii (ok), 17-Апр-20, 17:08	+2 +/–
>Вон, ввинде его вообще зачем-то гвоздями к l2tp прибили да ладно? про ikev2 не слышал?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #82

72. Сообщение от бублички (?), 17-Апр-20, 17:36	+1 +/–
ты, товарищ, мхом оброс, как и твой L2TP
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

73. Сообщение от бублички (?), 17-Апр-20, 17:43	+/–
тише ты, может человек вот-вот да и сорвётся в бездну знаний и опыта, чтоб воплотить всё целиком, заново и по стандарту, взамен всех уже существующих реализаций (тех же самых стандартов). вдруг у него да и получится? да-да, простой себе очередной Аноним с OpenNET и вот на тебе. а!? лет 30 назад над одним финским школьником тоже все смеялись :D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

74. Сообщение от бублички (?), 17-Апр-20, 17:48	+3 +/–
ну стандартный же, ну. как ты не понимаешь!? :D такой чтоб в 2 клика мышкой, без чтения документации, с двумя кнопками [OK|Exit]. СТАНДАРТНЫЙ! :D лучше если и пароль будет стандартным, чтоб макисмально по стандарту :D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

75. Сообщение от бублички (?), 17-Апр-20, 17:52	+/–
> L2TP был обнаружен среди костей мамонтов
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #80

76. Сообщение от Аноним (76), 17-Апр-20, 17:55	+/–
Гуглить ты уже научился, теперь учись читать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69 Ответы: #86

77. Сообщение от бублички (?), 17-Апр-20, 18:02	+/–
смотря по случаю. лично в моих случаях OpenVPN непригоден (слишком медленный, т.к. целиком в user-space), но я полностью счастлив с IPSec (Strongswan, IKEv2). учти что полнофункциональные клиенты есть не везде. для примера попробуй настрой IKEv2 в MacOS, или найди хоть один SOHO маршрутизатор что умеет OpenVPN с заводской прошивкой
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #98

78. Сообщение от Anon from Mars (?), 17-Апр-20, 18:05	+/–
Такова цена унификации.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

79. Сообщение от Anon from Mars (?), 17-Апр-20, 18:11	+/–
Насколько же смешно (настолько же и грустно), читать эти опусы от фанатов WireGuard. Ну удачи вам поднять сервер(-ы) и настроить около 500 клиентов разных мастей (Linux, MacOS, Windows) с определенными маршрутами до внутренних ресурсов (чтобы внешечку домашнюю через себя не пускать, но при этом домашние устройства не должны превращаться в сетевую тыкву, они же все-таки домашние). Это учитывая, что для Windows (как топ ОС на рабочих станциях и домашних устройствах сотрудников) до сих пор нет официальной реализации WireGuard, если я не ошибаюсь. И нет, не все компании в состоянии под рукой иметь парк ноутбуков на каждого сотрудника (у большинства из которых глаза не видят ничего на экранах меньше 17 дюймов, спасибо 1С). Было бы интересно.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #81

80. Сообщение от Сейд (ok), 17-Апр-20, 19:13	+1 +/–
L2TP встроен во все современные операционные системы и VPN-совместимые устройства и легко может быть настроен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75

81. Сообщение от муу (?), 17-Апр-20, 19:15	–1 +/–
> до сих пор нет официальной реализации WireGuard, если я не ошибаюсь. ошибаешься https://www.wireguard.com/install/ и между прочим прекрасно работает и в остальном тоже ошибаешься единственный минус wireguard - что нельзя пушить маршруты с сервера, жёстко в конфиге клиента надо прописывать (ессно если не юзается 0.0.0.0, который редко когда нужен) для своей конторы я давно сделал отдельный vpn сервак, который умеет и в openvpn и в pptp/l2tp/ipsec и в wireguard что позволяет дать клиентам то что лучше подходит для каждого конкретного случая что весьма пригодилось с не так давно возникшей ситуёвиной и удалёнками, всё давно отлажено и проверено, раздал нужное кол-во конфигов тем у кого их не было и всё, всё работает, никто (тьфу-тьфу) не сношает моск не надо фанатеть, надо просто юзать правильные инструменты, чем больше выбор доступных инструментов тем лучше
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79 Ответы: #85, #97, #101, #119

82. Сообщение от Аноним (5), 17-Апр-20, 19:27	–1 +/–
Я глазами не слушаю, но допустим, "слышал". И че? Это не отменяет наличия по соседству помеси ежа и ужа из l2tp и ipsec И это опять же говорит "какой, нафиг, стандарт-мандарт, тут три одеколона в одном флаконе"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70

83. Сообщение от Аноним (22), 17-Апр-20, 20:59	+/–
Сеть из компов через разных провайдырей. Там, где модемы вообще беда, надо вручную переподключать или скриптами
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61 Ответы: #87

84. Сообщение от Аноним (22), 17-Апр-20, 21:00	+1 +/–
L2TP over IPSec. А чё? Я использую для торрентов на VDSке.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

85. Сообщение от бублички (?), 17-Апр-20, 23:14	+/–
пишешь про pptp и тут-же про правильные инструменты? pptp это диагноз тебе и твоей конторе
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81 Ответы: #105

86. Сообщение от Dmytro (?), 17-Апр-20, 23:47	+/–
Вот возьми и почитай, вопросов меньше будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76

87. Сообщение от OpenEcho (?), 17-Апр-20, 23:49	+1 +/–
А ОпенВПН то здесь причем ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83

88. Сообщение от Аноним (88), 18-Апр-20, 00:34	+/–
Расскажите про --enable-async-push. Достаточно собрать с этой опцией клиент и сервер и оно автоматически работать будет?
Ответить | Правка | Наверх | Cообщить модератору

89. Сообщение от 000001 (?), 18-Апр-20, 00:41	+/–
этот вуайергад просто ширма под завесой которой в ядро вставили скомпрометированную криптографичекую систему.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

90. Сообщение от Аноним (-), 18-Апр-20, 02:57	+/–
> (запрос пароля средствами OpenVPN через вывод приглашения в консоли прекращён); люто, неистово минусую. Твари.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #96, #104

91. Сообщение от Аноним (-), 18-Апр-20, 03:03	+/–
самоирония норм, одобряю, в кои-то веки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

92. Сообщение от Аноним (-), 18-Апр-20, 03:08	+1 +/–
> вдальнейшем эти слова пишутся раздельно; в дальнейшем предлагаю и Вам так писать - если, конечно, Вы русский язык используете, а не создаёте свой DSL (Dooraq Specific Language).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #100

93. Сообщение от СеменСеменыч777 (?), 18-Апр-20, 04:13	+/–
в разработке IPSec участвовало АНБ. Сноуден.jpg
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

94. Сообщение от лютый жабби__ (?), 18-Апр-20, 08:12	+/–
>что реализация ipsec в том или ином виде везде есть (даже в смартфонах) Оно T-NAT умеет? Сколько смартфонов имеют реальный IP?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

95. Сообщение от лютый жабби__ (?), 18-Апр-20, 08:16	+/–
у openvpn один плюс, работает через http прокси. Соответственно, с опенвпн тормоза (я больше 15-20мбит вообще не смог разогнать), но без него совсем никак. В остальном опенвпн не нужен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #112

96. Сообщение от СеменСеменыч777 (?), 18-Апр-20, 08:26	+/–
сделайте форк. OpenOpenVPN.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90

97. Сообщение от InuYasha (?), 18-Апр-20, 12:49	+1 +/–
> ошибаешься https://www.wireguard.com/install/ и между прочим прекрасно работает https://f-droid.org/en/packages/com.wireguard.android/ Permissions take pictures and videos modify or delete the contents of your shared storage use biometric hardware use fingerprint hardware Вот это фига себе замашки!!!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81 Ответы: #102

98. Сообщение от InuYasha (?), 18-Апр-20, 13:02	+/–
> смотря по случаю. лично в моих случаях OpenVPN непригоден (слишком медленный, т.к. > целиком в user-space), но я полностью счастлив с IPSec (Strongswan, IKEv2). > учти что полнофункциональные клиенты есть не везде. для примера попробуй настрой > IKEv2 в MacOS, или найди хоть один SOHO маршрутизатор что умеет > OpenVPN с заводской прошивкой С Wireguard и IPSec я не знаком вообще - так что, всё равно, что изучать. Вот только раздражает, например, то, что у wg под android совершенно дикие требования permissions.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77 Ответы: #103

99. Сообщение от InuYasha (?), 18-Апр-20, 14:12	–1 +/–
!!! Всем на заметку: easyrsa использовать (до сих пор) НЕЛЬЗЯ!!! Она забагована, vars игнорит и герерит совсем не то, что вы от неё хотите!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #111

100. Сообщение от бублички (?), 18-Апр-20, 14:30	+/–
таки нашёл к чему придраться? молодец, ставь мне минус. по секрету, лишь тебе одному скажу, я в россии никогда не жил и даже толком не бывал нигде кроме Москвы и тогда ещё Ленинграда. русский язык изучал в школе, которую закончил в 93-м году. конечно многое забыл с тех пор, особенно что касается орфографии
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #92

101. Сообщение от microsoft (?), 18-Апр-20, 14:37	+/–
Чем больше инструментов тем хуже их качество
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81 Ответы: #106

102. Сообщение от microsoft (?), 18-Апр-20, 14:39	+/–
И еще кусочек скальпа с жопы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97

103. Сообщение от бублички (?), 18-Апр-20, 14:39	–1 +/–
на мой взгляд Wireguard пока ещё оторван от реальности (полноценно не работает, но где-то уже вполне удобен в применении), в то время как по факту IPSec уже много лет является стандартом (есть практически везде в той или иной мере). бесспорно, минусы есть во всём, как и плюсы. образования заради посмотри оба плюс конечно OpenVPN
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98

104. Сообщение от microsoft (?), 18-Апр-20, 14:40	+/–
А альтернативу сделали или как всегда?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90

105. Сообщение от муу (?), 18-Апр-20, 14:47	+/–
диагноз это у тебя, до тебя таки не дошло то что я хотел сказать а у меня есть _возможность_ его использовать если понадобится и более правильный впн по какойто причине невозможен
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85

106. Сообщение от муу (?), 18-Апр-20, 14:47	+/–
это у вас в рэдмонде
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101

107. Сообщение от Аноним (-), 18-Апр-20, 17:28	+1 +/–
[оффтоп] Перешел по ссылке и внезапно узнал что товарищ Шигорин на аватарке в очках!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

108. Сообщение от Аноним (-), 18-Апр-20, 17:38	+1 +/–
У него есть gui? О_О
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67 Ответы: #110

109. Сообщение от Аноним (39), 18-Апр-20, 17:42	+/–
чёт я не понял, сфигали это удалили
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

110. Сообщение от Аноним (39), 18-Апр-20, 17:45	+/–
под винду есть. под линукс без понятия, не нужен же
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #108

111. Сообщение от Аноним (39), 18-Апр-20, 17:46	+/–
без сопливых разберутся
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #99

112. Сообщение от Аноним (112), 18-Апр-20, 18:49	+/–
а что wireguard уже PAM умеет? с LDAP прикручивается?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #95

113. Сообщение от Аноним (113), 19-Апр-20, 01:51	–1 +/–
Ну и зачем клиенту знать валидность сервера если соединение тупо не установится? Каким образом будешь организовывать MITM? Твой  OpenEcho дурик.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #120

114. Сообщение от Shodan (ok), 19-Апр-20, 08:33	–1 +/–
Пытались в компании внедрить опенвпн + AD, после энного кол-ва написанных костылей, плюнули и перешли на циско впн.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #116

115. Сообщение от Ilya Indigo (ok), 19-Апр-20, 16:22	+/–
Его по дефолту только в последнем ядре добавили, которое далеко не LTS! Так что ещё далеко не все.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

116. Сообщение от бублички (?), 19-Апр-20, 18:10	+/–
помню вполне успешно интегрировал OpenVPN (2 сервера для HA) с AD ещё в далёком 2012-м году - прекрасно работало без всяких костылей. похоже в вашей компании плохо читали документацию (не имеют опыта интеграции с AD). но лично мне OpenVPN никогда не нравился - слишком медленный. предпочитал использовать Strongswan с IKEv2/EAP-RADIUS и OpenLDAP
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #114 Ответы: #118

118. Сообщение от Shodan (ok), 19-Апр-20, 18:55	+/–
> помню вполне успешно интегрировал OpenVPN (2 сервера для HA) с AD ещё > в далёком 2012-м году - прекрасно работало без всяких костылей. похоже > в вашей компании плохо читали документацию (не имеют опыта интеграции с > AD). но лично мне OpenVPN никогда не нравился - слишком медленный. > предпочитал использовать Strongswan с IKEv2/EAP-RADIUS и OpenLDAP Смотря какие требования, если просто учетка в домене с какимто атрибутом, то допускаю что это можно сделать и без костылей. В данном случае требовались security groups с отдельными полиси для каждой группы
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #116

119. Сообщение от edo (ok), 20-Апр-20, 00:29	+/–
> единственный минус wireguard - что нельзя пушить маршруты с сервера Можно подумать, что остальное можно пушить. Мне нужно было пушить клиентский адрес, например, взял openvpn именно потому, что в нём это делается в пару строчек конфига.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81

120. Сообщение от OpenEcho (?), 20-Апр-20, 13:10	+/–
> Ну и зачем клиенту знать валидность сервера если соединение тупо не установится? > Каким образом будешь организовывать MITM? Твой  OpenEcho дурик. Если "не дурик" орграничен домашним raspberry pi, на котором были сгенерированы ключи для сервера и телефона/клиента находящиеся в одной и той же комнате, то ты "выиграл", нет канала для обмена ключами, - нет МИТМ... Но вот если у "не дурика" большая, разнесенная сеть по всему миру и не всегда есть возможность оплатить курьера, который прилетит ASAP и получит ключики из руки в руки, под расписку, то ключиками прийдется обмениваться через стороний канал. А если есть канал, значит кто то  может быть MITM. Значит валидировать сервер(и клиента) очень даже полезно, даже "не дурику" ...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #113

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема