Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Обновление OpenVPN 2.6.13"	+/–
Сообщение от opennews (??), 17-Янв-25, 09:10
Опубликован выпуск пакета для создания виртуальных частных сетей OpenVPN 2.6.13, позволяющего организовать шифрованное соединение между двумя клиентскими машинами или обеспечить работу централизованного VPN-сервера для одновременной работы нескольких клиентов. Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62573
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

3. Сообщение от Ананий (?), 17-Янв-25, 10:03	+/–
Вопрос не совсем по теме: OpenVPN с preshared ключами,.т.е. без аунтификации по паролю, детектится или нет? Предположем что сжатие отключено (оно и так по-умолчанию того) и используется нестандартный порт.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #6, #7, #16, #19, #24, #28

4. Сообщение от Аноним (4), 17-Янв-25, 10:06	+1 +/–
Поясните знатоки, openvpn на чистом tls с сертификатами у нас блокируется в обе стороны ?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #21

5. Сообщение от Аноним (5), 17-Янв-25, 10:20	+3 +/–
Детектится чем? Если ТСПУ, то ещё как детектится, по заголовку в TLS хендшейке.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #8, #22

6. Сообщение от User (??), 17-Янв-25, 10:52	+1 +/–
Одно время - помогало, потом - помогало переключение на tcp, потом - tls-crypt-v2 - сейчас скорее "нет". Сам протокол ни в одном месте не дизайнился с прицелом на недетектируемость.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #11

7. Сообщение от Anon111111111111111111111111 (-), 17-Янв-25, 10:53	+/–
BPF в помощь (модификация полезной нагрузки)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #14

8. Сообщение от User (??), 17-Янв-25, 10:58	+3 +/–
А там того... нету TLS handshake'а. Обмена ключами - нет, согласования параметров шифрования - нет, нафиг тут TLS? А на ТСПУ хук (уже) есть, да.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #17, #27

9. Сообщение от Аноним (9), 17-Янв-25, 11:05	+1 +/–
> Реализована отправка клиентом параметра IV_PLAT_VER, содержащего информацию о релизе операционной системы, выдаваемую функцией uname(), что позволяет на серверах собирать статистику о версиях ОС, используемых клиентами. Это ещё зачем?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10

10. Сообщение от User (??), 17-Янв-25, 11:10	+2 +/–
А это "ученый изнасиловал журналиста": --push-peer-info который эт самое отправляет с незапамятных (2.4?) времен был, но раньше там вроде версию ядра посылали или еще что, а сейчас: "on non-windows clients (MacOS, Linux, Unix) send "release" string from uname() call as IV_PLAT_VER to server - while highly OS specific this is still helpful to keep track of OS versions used on the client side (​#637)"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

11. Сообщение от Ананий (?), 17-Янв-25, 11:21	+1 +/–
> Одно время - помогало, потом - помогало переключение на tcp, потом - > tls-crypt-v2 - сейчас скорее "нет". Сам протокол ни в одном месте > не дизайнился с прицелом на недетектируемость. Не совсем понятно как детектится. Там же с первого пакета идет шифрованный "мусор". Или нет?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #12

12. Сообщение от User (??), 17-Янв-25, 11:27	+/–
>> Одно время - помогало, потом - помогало переключение на tcp, потом - >> tls-crypt-v2 - сейчас скорее "нет". Сам протокол ни в одном месте >> не дизайнился с прицелом на недетектируемость. > Не совсем понятно как детектится. Там же с первого пакета идет шифрованный > "мусор". > Или нет? Читал, что там пинг пакет в канале управления очень уж характерный - но тут без гарантий, к настройке тспу отношения не имею - я с другой стороны сижу)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

14. Сообщение от Аноним (14), 17-Янв-25, 12:00	+/–
Зачем BPF ? Таблица mangle в помощь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

15. Сообщение от Аноним (15), 17-Янв-25, 12:08	+/–
Хехе, фикс просто кричит "зачем проверять входные данные!?" - if (!read_string(buf, options, TLS_OPTIONS_LEN)) + if (read_string(buf, options, TLS_OPTIONS_LEN) < 0)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25

16. Сообщение от аНОНИМ (?), 17-Янв-25, 12:25	+/–
Детектится даже вайршарком. Но есть патчи типа xorvpn
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

17. Сообщение от Аноним (17), 17-Янв-25, 14:48	–2 +/–
без пароля нет хендшейка? дни жертв еге на опеннете?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #20

19. Сообщение от Аноним (22), 17-Янв-25, 15:16	+/–
https://opennet.ru/61790-wireshark
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

20. Сообщение от User (??), 17-Янв-25, 15:24	+3 +/–
> без пароля нет хендшейка? > дни жертв еге на опеннете? Тут должны быть рассказы на тему "Что такое TLS" и "Что же делается при handshake'е?" с дополнительной ссылкой на доку по OpenVPN - но их не будет, ибо по пятницам - не подаю.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

21. Сообщение от Аноним (21), 17-Янв-25, 15:37	+/–
Зависит от провайдера... Бывает, что дико режут скорость если соединяешься с заграницей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

22. Сообщение от Аноним (22), 17-Янв-25, 15:59	+/–
https://www.opennet.ru/opennews/art.shtml?num=55226
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

23. Сообщение от Аноним (-), 17-Янв-25, 17:31	+/–
когда в конфигах клиента можно будет использовать прокси на локалхост?
Ответить | Правка | Наверх | Cообщить модератору

24. Сообщение от Аноним (-), 17-Янв-25, 17:39	+/–
обфускация с stunnel/obfs4 не поможет?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

25. Сообщение от commiethebeastie (ok), 17-Янв-25, 17:42	+/–
Какой-то странный фикс, что read_string возвращает?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

27. Сообщение от Аноним (-), 18-Янв-25, 13:48	+/–
> А там того... нету TLS handshake'а. Обмена ключами - нет, > согласования параметров шифрования - нет, нафиг тут TLS? Если у openvpn оторвать TLS хэндшейк, это будет - не openvpn уже. Он изначально сватался как "tls vpn". Если TLS VPN оборвать TLS - это как?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #29

28. Сообщение от Аноним (-), 18-Янв-25, 13:51	+/–
> OpenVPN с preshared ключами,.т.е. без аунтификации по паролю, детектится или нет? > Предположем что сжатие отключено (оно и так по-умолчанию того) и > используется нестандартный порт. На самом деле все проще. DPI не может рюхать все flow с полной скоростью канала. И как правило рюхает первые пакеты. Что делать по этому поводу дальше - догадайся сам, дабы сообщение не стерли за способы обхода и проч.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

29. Сообщение от User (??), 18-Янв-25, 15:25	+/–
>> А там того... нету TLS handshake'а. Обмена ключами - нет, >> согласования параметров шифрования - нет, нафиг тут TLS? > Если у openvpn оторвать TLS хэндшейк, это будет - не openvpn уже. > Он изначально сватался как "tls vpn". Если TLS VPN оборвать TLS > - это как? А доку открыть да посмотреть - шариат не велит?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема