The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Обновление OpenVPN 2.4.9"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление OpenVPN 2.4.9"  +/
Сообщение от opennews (??), 17-Апр-20, 08:59 
Сформирован корректирующий выпуск пакета для создания виртуальных частных сетей OpenVPN 2.4.9. В новой версии устранена  уязвимость (CVE-2020-11810), позволяющая перевести сеанс клиента на новый IP-адрес, который до этого не был авторизирован. Проблема может быть использована для прерывания только что подключившегося клиента, для которого ещё не завершено согласование сессионных ключей...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52752

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Обновление OpenVPN 2.4.9"  –23 +/
Сообщение от Аноним (1), 17-Апр-20, 08:59 
Все уже давно на WireGuard.
Ответить | Правка | Наверх | Cообщить модератору

4. "Обновление OpenVPN 2.4.9"  –11 +/
Сообщение от Аноним (4), 17-Апр-20, 09:02 
>все уже давно на зонде

Исправил.

Ответить | Правка | Наверх | Cообщить модератору

11. "Обновление OpenVPN 2.4.9"  +3 +/
Сообщение от Аноним (11), 17-Апр-20, 09:50 
И я чём зондовость WireGuard?
Ответить | Правка | Наверх | Cообщить модератору

59. "Обновление OpenVPN 2.4.9"  –2 +/
Сообщение от OpenEcho (?), 17-Апр-20, 14:54 
>И я чём зондовость WireGuard?

https://www.opennet.ru/openforum/vsluhforumID3/118881.html?n...

IMHO, Единственное что поменялось, так это aудит

Ответить | Правка | Наверх | Cообщить модератору

113. "Обновление OpenVPN 2.4.9"  –1 +/
Сообщение от Аноним (113), 19-Апр-20, 01:51 
Ну и зачем клиенту знать валидность сервера если соединение тупо не установится? Каким образом будешь организовывать MITM? Твой  OpenEcho дурик.
Ответить | Правка | Наверх | Cообщить модератору

120. "Обновление OpenVPN 2.4.9"  +/
Сообщение от OpenEcho (?), 20-Апр-20, 13:10 
> Ну и зачем клиенту знать валидность сервера если соединение тупо не установится?
> Каким образом будешь организовывать MITM? Твой  OpenEcho дурик.

Если "не дурик" орграничен домашним raspberry pi, на котором были сгенерированы ключи для сервера и телефона/клиента находящиеся в одной и той же комнате, то ты "выиграл", нет канала для обмена ключами, - нет МИТМ...

Но вот если у "не дурика" большая, разнесенная сеть по всему миру и не всегда есть возможность оплатить курьера, который прилетит ASAP и получит ключики из руки в руки, под расписку, то ключиками прийдется обмениваться через стороний канал. А если есть канал, значит кто то  может быть MITM. Значит валидировать сервер(и клиента) очень даже полезно, даже "не дурику" ...

Ответить | Правка | Наверх | Cообщить модератору

14. "Обновление OpenVPN 2.4.9"  +/
Сообщение от Аноним (14), 17-Апр-20, 09:55 
Если в бочку дегтя добавить ложку дегтя. Она все равно останется бочкой дегтя.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

64. "Обновление OpenVPN 2.4.9"  +/
Сообщение от Аноним (64), 17-Апр-20, 15:27 
Так вставай с зонда, кто мешает?
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

18. "Обновление OpenVPN 2.4.9"  –3 +/
Сообщение от КО (?), 17-Апр-20, 10:04 
Тото в первый раз слышу
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

21. "Обновление OpenVPN 2.4.9"  –2 +/
Сообщение от Аноним (21), 17-Апр-20, 10:22 
Эх совсем ты нафталином пропах. На просвещайся https://www.opennet.ru/opennews/art.shtml?num=52636
Ответить | Правка | Наверх | Cообщить модератору

38. "Обновление OpenVPN 2.4.9"  +5 +/
Сообщение от AlexYeCu_not_logged (?), 17-Апр-20, 12:40 
>Эх совсем ты нафталином пропах.

Деточка, ты кидаешь взрослым дядям ссылку чуть более, чем двухнедельной давности на релиз под номером один. Ты хоть понимаешь, как смешно на этом фоне выглядят громкие утверждения вида «все уже давно»? «Давно» это ну пусть десять лет как. Но уж никак не две недели.

Ответить | Правка | Наверх | Cообщить модератору

48. "(offtopic) 'это было недавно, это было давно'"  –1 +/
Сообщение от Michael Shigorinemail (ok), 17-Апр-20, 14:01 
Осторожно, набьёте деточке психотравмочку!

http://vz.ru/opinions/2020/4/16/1034111.print.html

Ответить | Правка | Наверх | Cообщить модератору

62. "(offtopic) 'это было недавно, это было давно'"  +1 +/
Сообщение от Аноним (62), 17-Апр-20, 15:22 
Не читайте советских газет.
Ответить | Правка | Наверх | Cообщить модератору

91. "(offtopic) 'это было недавно, это было давно'"  +/
Сообщение от Аноним (-), 18-Апр-20, 03:03 
самоирония норм, одобряю, в кои-то веки.
Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

30. "Обновление OpenVPN 2.4.9"  +10 +/
Сообщение от llol (?), 17-Апр-20, 11:52 
> Все уже давно на WireGuard.

И давно уже эта поделка, где во главу угла поставлено "там всего 4000 строк кода" умеет хотябы сотую часть того, что умеет OpenVPN? Где динамические маршруты для клиентов? Wireguard либо может гнать весь траффик через себя, либо все клиенты (а их могут быть тысячи) должны ручками прописывать подсеточки, в которые ходить через VPN.

Так что вирегард для мамкиных хацкиров. Компании уровня Яндекс продолжают использовать OpenVPN. ;))

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

33. "Обновление OpenVPN 2.4.9"  –3 +/
Сообщение от Аноним (21), 17-Апр-20, 12:07 
Все эти свистелки только тормозят и скорость занижают. А компании уровня Тындекса всегда могут залить проблему железом.
Ответить | Правка | Наверх | Cообщить модератору

37. "Обновление OpenVPN 2.4.9"  +3 +/
Сообщение от llol (?), 17-Апр-20, 12:37 
> А компании уровня Тындекса всегда могут залить проблему железом.

Как ты собираешься заливать железом проблему того, что 10000 сотрудников надо регулярно менять конфиг и добавлять сетки, в которые нужно роутить трафик, чукча? ;))

И как то, что openvpn пушит не default route, а 20 подсетей, "скорость занижает", эгзперд ты мамкин, llol? ;)))

Ответить | Правка | Наверх | Cообщить модератору

34. "Обновление OpenVPN 2.4.9"  +6 +/
Сообщение от llolik (ok), 17-Апр-20, 12:08 
> Так что вирегард для мамкиных хацкиров.

Ну почему. Туннель-то можно сделать. Другое дело что это ТОЛЬКО туннель и ни на что другое оно не подписывалось, а его предлагают зачем-то совать всюду, куда оно даже и в принципе не натягивается.

Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

36. "Обновление OpenVPN 2.4.9"  +1 +/
Сообщение от Аноним (21), 17-Апр-20, 12:12 
Это синдром Гитлаба надо быть сразу всем и все включить в себя. С одной стороны удобно с другой стороны не всем нужны эти неповоротливые комбайны.
Ответить | Правка | Наверх | Cообщить модератору

89. "Обновление OpenVPN 2.4.9"  +/
Сообщение от 000001 (?), 18-Апр-20, 00:41 
этот вуайергад просто ширма под завесой которой в ядро вставили скомпрометированную криптографичекую систему.
Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

42. "Обновление OpenVPN 2.4.9"  +2 +/
Сообщение от Анином (?), 17-Апр-20, 12:57 
Услышал новое козырное слово? :)
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

47. "Обновление OpenVPN 2.4.9"  +1 +/
Сообщение от Аноним (47), 17-Апр-20, 13:56 
Он же TCP не поддерживает
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

115. "Обновление OpenVPN 2.4.9"  +/
Сообщение от Ilya Indigo (ok), 19-Апр-20, 16:22 
Его по дефолту только в последнем ядре добавили, которое далеко не LTS!
Так что ещё далеко не все.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "Обновление OpenVPN 2.4.9"  –3 +/
Сообщение от Sergey (??), 17-Апр-20, 08:59 
На оффсайте по ссылке написано обратное:

fix condition where a client's session could "float" to a new IP address that is not authorized ("fix illegal client float").

This can be used to disrupt service to a freshly connected client (no session keys negotiated yet).

>>> It can not be used to inject or steal VPN traffic. CVE-2020-11810, trac #1272). <<<

Ответить | Правка | Наверх | Cообщить модератору

3. "Обновление OpenVPN 2.4.9"  –6 +/
Сообщение от Аноним (3), 17-Апр-20, 09:00 
Почему всем не использовать стандартный ipsec?

Ладно удобство openvpn можно понять.

Wireguard прозапас?

А зачем нужно столько реализаций: openswan,libreswan, freeswan, strongswan...

Ответить | Правка | Наверх | Cообщить модератору

5. "Обновление OpenVPN 2.4.9"  +3 +/
Сообщение от Аноним (5), 17-Апр-20, 09:08 
> Почему всем не использовать стандартный ipsec?

В каком месте он стандартный? Для чего он стандартный?

Ответить | Правка | Наверх | Cообщить модератору

9. "Обновление OpenVPN 2.4.9"  +1 +/
Сообщение от llolik (ok), 17-Апр-20, 09:37 
Я так понял имелось ввиду, что реализация ipsec в том или ином виде везде есть (даже в смартфонах). OpenVPN нужно помимо сервера везде ещё и клиенты воздвигать.

ЗЫ. Сам в связи с этими танцами с удалёнкой за три недели несколько раз поднимал StrongSwan+xl2tpd в разных местах (не только у себя - у меня уже давно есть).

Ответить | Правка | Наверх | Cообщить модератору

10. "Обновление OpenVPN 2.4.9"  +/
Сообщение от Аноним (5), 17-Апр-20, 09:44 
> имелось ввиду, что реализация ipsec в том или ином виде везде есть

Ну да, на _слово_ IPSec можно наткнуться везде. Но муля в том, что везде он именно что "в том или ином виде"... Иногда настолько ином, что и фиг знает, что с ним, таким иным, делать. Вон, ввинде его вообще зачем-то гвоздями к l2tp прибили. А в опенке, кажется, вообще две разных реализации протокола. Так что о стандарте говорить неполиткорректно :)

Ответить | Правка | Наверх | Cообщить модератору

20. "Обновление OpenVPN 2.4.9"  +/
Сообщение от llolik (ok), 17-Апр-20, 10:13 
> делать. Вон, ввинде его вообще зачем-то гвоздями к l2tp прибили.

Это c 8.1/10 повелось? Мне интересно, потому что я сразу с l2tp поднимаю и возможно не сталкивался. Семёрка, насколько я знаю, умеет и без l2tp.
> в опенке, кажется, вообще две разных реализации протокола.

Ни разу не встречал Опёнка в проде в живой природе, но допускаю, что кто-то использует.

Из серьёзных траблов встречалось, пока, что Андроид стандартно IKEv2 не умеет. Только или StrongSwan клиент ставить или на сервере оставлять fallback IKEv1. Возможно нарвусь ещё на какие траблы, потому что пока дело ограничивалось вверенным предприятием - более менее знаешь где что может вылезти. А вот сейчас пришлось помогать соседям ... может что и новое узнаю.

Ответить | Правка | Наверх | Cообщить модератору

27. "Обновление OpenVPN 2.4.9"  –1 +/
Сообщение от Аноним (5), 17-Апр-20, 10:36 
> Это c 8.1/10 повелось? Мне интересно, потому что я сразу с l2tp поднимаю и возможно не сталкивался. Семёрка, насколько я знаю, умеет и без l2tp.

Это уже в XP было...
Да, умеет, и в 8, и в 10... но это все через танцы с бубном вокруг реестра. Потому и говорю про гвозди...

Ответить | Правка | Наверх | Cообщить модератору

44. "Обновление OpenVPN 2.4.9"  –1 +/
Сообщение от YetAnotherOnanym (ok), 17-Апр-20, 13:20 
> ввинде его вообще зачем-то гвоздями к l2tp прибили

Это, мягко говоря, не совсем так.

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

70. "Обновление OpenVPN 2.4.9"  +2 +/
Сообщение от Catwoolfiiemail (ok), 17-Апр-20, 17:08 
>Вон, ввинде его вообще зачем-то гвоздями к l2tp прибили

да ладно? про ikev2 не слышал?

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

82. "Обновление OpenVPN 2.4.9"  –1 +/
Сообщение от Аноним (5), 17-Апр-20, 19:27 
Я глазами не слушаю, но допустим, "слышал". И че?
Это не отменяет наличия по соседству помеси ежа и ужа из l2tp и ipsec
И это опять же говорит "какой, нафиг, стандарт-мандарт, тут три одеколона в одном флаконе"
Ответить | Правка | Наверх | Cообщить модератору

16. "Обновление OpenVPN 2.4.9"  +1 +/
Сообщение от КО (?), 17-Апр-20, 10:00 
Ы том то и дело, "что реализация ipsec в том или ином виде"
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

65. "Обновление OpenVPN 2.4.9"  +/
Сообщение от НяшМяш (ok), 17-Апр-20, 15:29 
> StrongSwan+xl2tpd

Я вот с такой связкой намучался в своё время (там миллион этих параметров, а разные документации и гайды противоречат в их настройке) - то связь нестабильная, то скорость 0.3 мегабита. Собрал на впске SoftEther - вещь как раз для такого краба как я. Есть гуй для настройки мышетыкательный (правда виндовый, но под вайном работает отлично), из коробки L2TP и OpenVPN. Moжет и зонд, но для своего локалхоста и пары друганов сойдёт.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

68. "Обновление OpenVPN 2.4.9"  +/
Сообщение от llolik (ok), 17-Апр-20, 15:58 
Ну, да, согласен, настройка этой связки - то ещё приключение. С другой стороны, с приходящим опытом уже и не кажется так сложно, когда делаешь уже сам, а не по ошмёткам чужих записок в сети.
Ответить | Правка | Наверх | Cообщить модератору

72. "Обновление OpenVPN 2.4.9"  +1 +/
Сообщение от бублички (?), 17-Апр-20, 17:36 
ты, товарищ, мхом оброс, как и твой L2TP
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

94. "Обновление OpenVPN 2.4.9"  +/
Сообщение от лютый жабби__ (?), 18-Апр-20, 08:12 
>что реализация ipsec в том или ином виде везде есть (даже в смартфонах)

Оно T-NAT умеет? Сколько смартфонов имеют реальный IP?

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

69. "Обновление OpenVPN 2.4.9"  –2 +/
Сообщение от Dmytro (?), 17-Апр-20, 16:31 
> В каком месте он стандартный? Для чего он стандартный?

RFC 2401 (Security Architecture for the Internet Protocol) — архитектура защиты для протокола IP.
RFC 2402 (IP Authentication header) — аутентификационный заголовок IP.
RFC 2403 (The Use of HMAC-MD5-96 within ESP and AH) — использование алгоритма хеширования MD-5 для создания аутентификационного заголовка.
RFC 2404 (The Use of HMAC-SHA-1-96 within ESP and AH) — использование алгоритма хеширования SHA-1 для создания аутентификационного заголовка.
RFC 2405 (The ESP DES-CBC Cipher Algorithm With Explicit IV) — использование алгоритма шифрования DES.
RFC 4303 (ранее RFC 2406) (IP Encapsulating Security Payload [ESP]) — шифрование данных.
RFC 2407 (The Internet IP Security Domain of Interpretation for ISAKMP) — область применения протокола управления ключами.
RFC 2408 (Internet Security Association and Key Management Protocol [ISAKMP]) — управление ключами и аутентификаторами защищённых соединений.
RFC 2409 (The Internet Key Exchange [IKE]) — обмен ключами.
RFC 2410 (The NULL Encryption Algorithm and Its Use With IPsec) — нулевой алгоритм шифрования и его использование.
RFC 2411 (IP Security Document Roadmap) — дальнейшее развитие стандарта.
RFC 2412 (The OAKLEY Key Determination Protocol) — проверка соответствия ключа.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

76. "Обновление OpenVPN 2.4.9"  +/
Сообщение от Аноним (76), 17-Апр-20, 17:55 
Гуглить ты уже научился, теперь учись читать.
Ответить | Правка | Наверх | Cообщить модератору

86. "Обновление OpenVPN 2.4.9"  +/
Сообщение от Dmytro (?), 17-Апр-20, 23:47 
Вот возьми и почитай, вопросов меньше будет.
Ответить | Правка | Наверх | Cообщить модератору

6. "Обновление OpenVPN 2.4.9"  +/
Сообщение от гтщс_г34 (?), 17-Апр-20, 09:11 
Потому, что он тортовый!
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

7. "Обновление OpenVPN 2.4.9"  +2 +/
Сообщение от Аноним (7), 17-Апр-20, 09:24 
Всмысле стандратный?
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

15. "Обновление OpenVPN 2.4.9"  +/
Сообщение от бублички (?), 17-Апр-20, 09:57 
человек предлагает использовать стандартный, взамен всех этих бесконечных сущностей типа freeswan, openswan, strongswan, libreswan :D
Ответить | Правка | Наверх | Cообщить модератору

52. "Обновление OpenVPN 2.4.9"  –1 +/
Сообщение от Michael Shigorinemail (ok), 17-Апр-20, 14:06 
Ну они (реализации) и используют (протокол). :]
Ответить | Правка | Наверх | Cообщить модератору

73. "Обновление OpenVPN 2.4.9"  +/
Сообщение от бублички (?), 17-Апр-20, 17:43 
тише ты, может человек вот-вот да и сорвётся в бездну знаний и опыта, чтоб воплотить всё целиком, заново и по стандарту, взамен всех уже существующих реализаций (тех же самых стандартов). вдруг у него да и получится? да-да, простой себе очередной Аноним с OpenNET и вот на тебе. а!? лет 30 назад над одним финским школьником тоже все смеялись :D
Ответить | Правка | Наверх | Cообщить модератору

8. "Обновление OpenVPN 2.4.9"  +3 +/
Сообщение от Аноним (8), 17-Апр-20, 09:30 
> А зачем нужно столько реализаций: openswan,libreswan, freeswan, strongswan...

Ты сам ответил на свой вопрос - они все СТАНДАРТНЫЕ

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

12. "Обновление OpenVPN 2.4.9"  +3 +/
Сообщение от бублички (?), 17-Апр-20, 09:53 
тебя забанили в гугл? Freeswan заброшен в 2004-м году, его форкам стали Openswan (корпорация добра Xelerance) и Strongswan (вдальнейшем был практически переписан). Libreswan форк Openswan. если ты когда-либо пользовался хоть одним, то ты бы знал что доступны для использования лишь Libreswan и Strongswan, про Openswan в большинстве случаев можно забыть
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

92. "Обновление OpenVPN 2.4.9"  +1 +/
Сообщение от Аноним (-), 18-Апр-20, 03:08 
> вдальнейшем

эти слова пишутся раздельно; в дальнейшем предлагаю и Вам так писать - если, конечно, Вы русский язык используете, а не создаёте свой DSL (Dooraq Specific Language).

Ответить | Правка | Наверх | Cообщить модератору

100. "Обновление OpenVPN 2.4.9"  +/
Сообщение от бублички (?), 18-Апр-20, 14:30 
таки нашёл к чему придраться? молодец, ставь мне минус. по секрету, лишь тебе одному скажу, я в россии никогда не жил и даже толком не бывал нигде кроме Москвы и тогда ещё Ленинграда. русский язык изучал в школе, которую закончил в 93-м году. конечно многое забыл с тех пор, особенно что касается орфографии
Ответить | Правка | Наверх | Cообщить модератору

13. "Обновление OpenVPN 2.4.9"  +2 +/
Сообщение от Аноним (11), 17-Апр-20, 09:54 
>Почему всем не использовать стандартный ipsec?

Overenginering

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

17. "Обновление OpenVPN 2.4.9"  +1 +/
Сообщение от бублички (?), 17-Апр-20, 10:02 
> Почему всем не использовать стандартный ipsec?

тот который на бумаге? используй на здоровье :D

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

19. "Обновление OpenVPN 2.4.9"  +3 +/
Сообщение от mumu (ok), 17-Апр-20, 10:06 
Все эти IKE проектировали люди в белых халатах, а не те, кто реально админит системы. Просто диву даешься, как можно быть настолько покрытыми всеми этими комитетами и стандартами и настолько несовместимыми одновременно.
Есть стойкое ощущение ощущение, что там кто-то получал грант за каждый новый используемый порт и внутренний протокол.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

24. "Обновление OpenVPN 2.4.9"  +1 +/
Сообщение от Аноним (21), 17-Апр-20, 10:24 
Комитет всегда найдет в реализации другого стандарта изъян. Даже тот что другой стандарт сделали не они.
Ответить | Правка | Наверх | Cообщить модератору

49. "Обновление OpenVPN 2.4.9"  +/
Сообщение от Аноним (47), 17-Апр-20, 14:03 
Как с jabber, куча не обязательных XEP и в результате мало совместимые друг с другом клиенты и серверы.
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

60. "Обновление OpenVPN 2.4.9"  +/
Сообщение от zzz (??), 17-Апр-20, 14:59 
XMPP уже давно ввел XMPP Compliance Suites.
Ответить | Правка | Наверх | Cообщить модератору

66. "Обновление OpenVPN 2.4.9"  +/
Сообщение от llolik (ok), 17-Апр-20, 15:36 
> XMPP уже давно ввел XMPP Compliance Suites.

Ну ввести-то он, положим, ввел. Только разброд и шатание, в плане поддержки протокола, как было так и осталось. Если сервера ещё что-то как-то более-менее полно охватывают (да и не так много их), то с клиентами полный бардак.

Ответить | Правка | Наверх | Cообщить модератору

31. "Обновление OpenVPN 2.4.9"  +1 +/
Сообщение от llol (?), 17-Апр-20, 11:56 
> Почему всем не использовать стандартный ipsec?

Что такое "стандартный ipsec"?
Я навскидку только 5 или 6 реализаций могу вспомнить. И какая имеется в виду авторизация? IKEv1, IKEv2, L2TP? Парольная, сертификатная, с preshared key, без?

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

74. "Обновление OpenVPN 2.4.9"  +3 +/
Сообщение от бублички (?), 17-Апр-20, 17:48 
ну стандартный же, ну. как ты не понимаешь!? :D такой чтоб в 2 клика мышкой, без чтения документации, с двумя кнопками [OK|Exit]. СТАНДАРТНЫЙ! :D лучше если и пароль будет стандартным, чтоб макисмально по стандарту :D
Ответить | Правка | Наверх | Cообщить модератору

50. "Обновление OpenVPN 2.4.9"  +1 +/
Сообщение от Michael Shigorinemail (ok), 17-Апр-20, 14:05 
> Почему всем не использовать стандартный ipsec?

У него баланс возможностей к головняку сильно хуже, чем у сабжа, как не только мне кажется.

> А зачем нужно столько реализаций:
> openswan, libreswan, freeswan, strongswan...

Ну вот, опять на http://0x1.tv/2a9-lets-cross-forks-shigorin ссылаться...

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

107. "Обновление OpenVPN 2.4.9"  +1 +/
Сообщение от Аноним (-), 18-Апр-20, 17:28 
[оффтоп] Перешел по ссылке и внезапно узнал что товарищ Шигорин на аватарке в очках!
Ответить | Правка | Наверх | Cообщить модератору

93. "Обновление OpenVPN 2.4.9"  +/
Сообщение от СеменСеменыч777 (?), 18-Апр-20, 04:13 
в разработке IPSec участвовало АНБ.
Сноуден.jpg
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

22. "Обновление OpenVPN 2.4.9"  +/
Сообщение от Аноним (22), 17-Апр-20, 10:22 
На практике из сотен машин оно тормозит и нестабильно.
Ответить | Правка | Наверх | Cообщить модератору

25. "Обновление OpenVPN 2.4.9"  –5 +/
Сообщение от Аноним (21), 17-Апр-20, 10:26 
WireGuard же уже подъехал он обгоняет и опенвпн и всякие ипсеки https://xakinfo.ru/os/wireguard-%D0%BA%D0.../
Ответить | Правка | Наверх | Cообщить модератору

32. "Обновление OpenVPN 2.4.9"  +3 +/
Сообщение от llol (?), 17-Апр-20, 11:57 
> WireGuard же уже подъехал он обгоняет и опенвпн и всякие ипсеки

Во влажных мечтах администраторов локалхоста, если только ;))

Ответить | Правка | Наверх | Cообщить модератору

40. Скрыто модератором  –2 +/
Сообщение от Анонимemail (40), 17-Апр-20, 12:51 
Ответить | Правка | Наверх | Cообщить модератору

54. Скрыто модератором  –2 +/
Сообщение от Michael Shigorinemail (ok), 17-Апр-20, 14:09 
Ответить | Правка | Наверх | Cообщить модератору

43. "Обновление OpenVPN 2.4.9"  +/
Сообщение от Crazy Alex (ok), 17-Апр-20, 13:11 
Пока не будет нормального provisioning он годится только для энтузиастов
Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

51. "Обновление OpenVPN 2.4.9"  +2 +/
Сообщение от Аноним (47), 17-Апр-20, 14:05 
На практике из тысяч машин всё работает идеально.
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

61. "Обновление OpenVPN 2.4.9"  +/
Сообщение от OpenEcho (?), 17-Апр-20, 15:12 
Вы не правильно его варите... постарайтесь перейти с raspberry pi на что то более мощное,
начните с канала во вне, т.к. (скорость_канала/100) должно даже в теории становится медленее
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

83. "Обновление OpenVPN 2.4.9"  +/
Сообщение от Аноним (22), 17-Апр-20, 20:59 
Сеть из компов через разных провайдырей. Там, где модемы вообще беда, надо вручную переподключать или скриптами
Ответить | Правка | Наверх | Cообщить модератору

87. "Обновление OpenVPN 2.4.9"  +1 +/
Сообщение от OpenEcho (?), 17-Апр-20, 23:49 
А ОпенВПН то здесь причем ?


Ответить | Правка | Наверх | Cообщить модератору

23. "Обновление OpenVPN 2.4.9"  +/
Сообщение от хотел спросить (?), 17-Апр-20, 10:23 
https://openvpn.net/community-downloads/

2.4.8 последний.. CVE есть а фикса нет ))

Ответить | Правка | Наверх | Cообщить модератору

26. "Обновление OpenVPN 2.4.9"  +/
Сообщение от Аноним (21), 17-Апр-20, 10:31 
А что им надо было большим буквами написать не шмогли?
Ответить | Правка | Наверх | Cообщить модератору

28. "Обновление OpenVPN 2.4.9"  +1 +/
Сообщение от Аноним (28), 17-Апр-20, 11:42 
На сайте коммьюнити нету, но на гитхабе все есть. Вероятно, это делают разные люди, и чувак, который апдейтит сайт, скорее всего завтыкал на самоизоляции. Не волнуйся так.
Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

29. "Обновление OpenVPN 2.4.9"  +/
Сообщение от Аноним (29), 17-Апр-20, 11:52 
> позволяющая перевести сеанс клиента на новый IP-адрес, который до этого не был авторизирован

В идентификатор VPN сессии же не входит IP адрес?
Я могу после установки VPN соединения поменять IP адрес моего компа.
Или даже вытащить провод и переключиться на WiFi и VPN сессия не прервется.

Или тут какое-то расширение, дополенение протокола используется?

Ответить | Правка | Наверх | Cообщить модератору

39. "Обновление OpenVPN 2.4.9"  –1 +/
Сообщение от Аноним (39), 17-Апр-20, 12:42 
у меня 2 МБ/c на openvpn (vps) против 25 МБ/c без openvpn
Ответить | Правка | Наверх | Cообщить модератору
Часть нити удалена модератором

56. "Обновление OpenVPN 2.4.9"  +/
Сообщение от Аноним (47), 17-Апр-20, 14:10 
смешно
Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

57. "Обновление OpenVPN 2.4.9"  +/
Сообщение от Аноним (57), 17-Апр-20, 14:47 
Модератор!
Да ты издеваешься!
Надо было вместе с постом "смешно" удалять.
Я ж теперь спать не смогу. Что же там смешное было.
Что, ЧТО?!
Ответить | Правка | Наверх | Cообщить модератору

63. "Обновление OpenVPN 2.4.9"  +/
Сообщение от Аноним (62), 17-Апр-20, 15:23 
На поржи https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi?az=l...
Ответить | Правка | Наверх | Cообщить модератору

109. "Обновление OpenVPN 2.4.9"  +/
Сообщение от Аноним (39), 18-Апр-20, 17:42 
чёт я не понял, сфигали это удалили
Ответить | Правка | Наверх | Cообщить модератору

55. "Обновление OpenVPN 2.4.9"  +/
Сообщение от Аноним (47), 17-Апр-20, 14:09 
у меня 25 МБ/c на openvpn (vps), а без openvpn 0, связи нет.
Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

95. "Обновление OpenVPN 2.4.9"  +/
Сообщение от лютый жабби__ (?), 18-Апр-20, 08:16 
у openvpn один плюс, работает через http прокси.
Соответственно, с опенвпн тормоза (я больше 15-20мбит вообще не смог разогнать), но без него совсем никак.

В остальном опенвпн не нужен.

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

112. "Обновление OpenVPN 2.4.9"  +/
Сообщение от Аноним (112), 18-Апр-20, 18:49 
а что wireguard уже PAM умеет? с LDAP прикручивается?
Ответить | Правка | Наверх | Cообщить модератору

41. "Обновление OpenVPN 2.4.9"  +/
Сообщение от InuYasha (?), 17-Апр-20, 12:51 
Так чем, в итоге, пользоваться-то?
Чтоб максимально универсально и стандартно.
Этим или не этим?
Ответить | Правка | Наверх | Cообщить модератору

46. "Обновление OpenVPN 2.4.9"  +/
Сообщение от Аноним (21), 17-Апр-20, 13:29 
Чтобы как у всех этим, чтобы быстро не этим.
Ответить | Правка | Наверх | Cообщить модератору

53. "Обновление OpenVPN 2.4.9"  –1 +/
Сообщение от Аноним (47), 17-Апр-20, 14:08 
Спросите у вашего системного администратора.
Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

58. "Обновление OpenVPN 2.4.9"  –2 +/
Сообщение от Сейд (ok), 17-Апр-20, 14:48 
L2TP
Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

75. "Обновление OpenVPN 2.4.9"  +/
Сообщение от бублички (?), 17-Апр-20, 17:52 
> L2TP

был обнаружен среди костей мамонтов

Ответить | Правка | Наверх | Cообщить модератору

80. "Обновление OpenVPN 2.4.9"  +1 +/
Сообщение от Сейд (ok), 17-Апр-20, 19:13 
L2TP встроен во все современные операционные системы и VPN-совместимые устройства и легко может быть настроен.
Ответить | Правка | Наверх | Cообщить модератору

84. "Обновление OpenVPN 2.4.9"  +1 +/
Сообщение от Аноним (22), 17-Апр-20, 21:00 
L2TP over IPSec. А чё? Я использую для торрентов на VDSке.
Ответить | Правка | К родителю #58 | Наверх | Cообщить модератору

77. "Обновление OpenVPN 2.4.9"  +/
Сообщение от бублички (?), 17-Апр-20, 18:02 
смотря по случаю. лично в моих случаях OpenVPN непригоден (слишком медленный, т.к. целиком в user-space), но я полностью счастлив с IPSec (Strongswan, IKEv2). учти что полнофункциональные клиенты есть не везде. для примера попробуй настрой IKEv2 в MacOS, или найди хоть один SOHO маршрутизатор что умеет OpenVPN с заводской прошивкой
Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

98. "Обновление OpenVPN 2.4.9"  +/
Сообщение от InuYasha (?), 18-Апр-20, 13:02 
> смотря по случаю. лично в моих случаях OpenVPN непригоден (слишком медленный, т.к.
> целиком в user-space), но я полностью счастлив с IPSec (Strongswan, IKEv2).
> учти что полнофункциональные клиенты есть не везде. для примера попробуй настрой
> IKEv2 в MacOS, или найди хоть один SOHO маршрутизатор что умеет
> OpenVPN с заводской прошивкой

С Wireguard и IPSec я не знаком вообще - так что, всё равно, что изучать. Вот только раздражает, например, то, что у wg под android совершенно дикие требования permissions.

Ответить | Правка | Наверх | Cообщить модератору

103. "Обновление OpenVPN 2.4.9"  –1 +/
Сообщение от бублички (?), 18-Апр-20, 14:39 
на мой взгляд Wireguard пока ещё оторван от реальности (полноценно не работает, но где-то уже вполне удобен в применении), в то время как по факту IPSec уже много лет является стандартом (есть практически везде в той или иной мере). бесспорно, минусы есть во всём, как и плюсы. образования заради посмотри оба плюс конечно OpenVPN
Ответить | Правка | Наверх | Cообщить модератору

67. "Обновление OpenVPN 2.4.9"  +/
Сообщение от Японский Бог (?), 17-Апр-20, 15:39 
Я так и не пoнял, зачем OpenVPN изменил дизайн? Ощущение, что они свой gui переписали на электрон. Всё глючное, настройки куда-то запрятаны.
Ответить | Правка | Наверх | Cообщить модератору

78. "Обновление OpenVPN 2.4.9"  +/
Сообщение от Anon from Mars (?), 17-Апр-20, 18:05 
Такова цена унификации.
Ответить | Правка | Наверх | Cообщить модератору

108. "Обновление OpenVPN 2.4.9"  +1 +/
Сообщение от Аноним (-), 18-Апр-20, 17:38 
У него есть gui? О_О
Ответить | Правка | К родителю #67 | Наверх | Cообщить модератору

110. "Обновление OpenVPN 2.4.9"  +/
Сообщение от Аноним (39), 18-Апр-20, 17:45 
под винду есть. под линукс без понятия, не нужен же
Ответить | Правка | Наверх | Cообщить модератору

79. "Обновление OpenVPN 2.4.9"  +/
Сообщение от Anon from Mars (?), 17-Апр-20, 18:11 
Насколько же смешно (настолько же и грустно), читать эти опусы от фанатов WireGuard.

Ну удачи вам поднять сервер(-ы) и настроить около 500 клиентов разных мастей (Linux, MacOS, Windows) с определенными маршрутами до внутренних ресурсов (чтобы внешечку домашнюю через себя не пускать, но при этом домашние устройства не должны превращаться в сетевую тыкву, они же все-таки домашние). Это учитывая, что для Windows (как топ ОС на рабочих станциях и домашних устройствах сотрудников) до сих пор нет официальной реализации WireGuard, если я не ошибаюсь.

И нет, не все компании в состоянии под рукой иметь парк ноутбуков на каждого сотрудника (у большинства из которых глаза не видят ничего на экранах меньше 17 дюймов, спасибо 1С).

Было бы интересно.

Ответить | Правка | Наверх | Cообщить модератору

81. "Обновление OpenVPN 2.4.9"  –1 +/
Сообщение от муу (?), 17-Апр-20, 19:15 
> до сих пор нет официальной реализации WireGuard, если я не ошибаюсь.

ошибаешься https://www.wireguard.com/install/ и между прочим прекрасно работает

и в остальном тоже ошибаешься

единственный минус wireguard - что нельзя пушить маршруты с сервера, жёстко в конфиге клиента надо прописывать (ессно если не юзается 0.0.0.0, который редко когда нужен)

для своей конторы я давно сделал отдельный vpn сервак, который умеет и в openvpn и в pptp/l2tp/ipsec и в wireguard что позволяет дать клиентам то что лучше подходит для каждого конкретного случая
что весьма пригодилось с не так давно возникшей ситуёвиной и удалёнками, всё давно отлажено и проверено, раздал нужное кол-во конфигов тем у кого их не было и всё, всё работает, никто (тьфу-тьфу) не сношает моск

не надо фанатеть, надо просто юзать правильные инструменты, чем больше выбор доступных инструментов тем лучше

Ответить | Правка | Наверх | Cообщить модератору

85. "Обновление OpenVPN 2.4.9"  +/
Сообщение от бублички (?), 17-Апр-20, 23:14 
пишешь про pptp и тут-же про правильные инструменты? pptp это диагноз тебе и твоей конторе
Ответить | Правка | Наверх | Cообщить модератору

105. "Обновление OpenVPN 2.4.9"  +/
Сообщение от муу (?), 18-Апр-20, 14:47 
диагноз это у тебя, до тебя таки не дошло то что я хотел сказать
а у меня есть _возможность_ его использовать если понадобится и более правильный впн по какойто причине невозможен
Ответить | Правка | Наверх | Cообщить модератору

97. "Обновление OpenVPN 2.4.9"  +1 +/
Сообщение от InuYasha (?), 18-Апр-20, 12:49 
> ошибаешься https://www.wireguard.com/install/ и между прочим прекрасно работает

https://f-droid.org/en/packages/com.wireguard.android/
Permissions
take pictures and videos
modify or delete the contents of your shared storage
use biometric hardware
use fingerprint hardware

Вот это фига себе замашки!!!

Ответить | Правка | К родителю #81 | Наверх | Cообщить модератору

102. "Обновление OpenVPN 2.4.9"  +/
Сообщение от microsoft (?), 18-Апр-20, 14:39 
И еще кусочек скальпа с жопы.
Ответить | Правка | Наверх | Cообщить модератору

101. "Обновление OpenVPN 2.4.9"  +/
Сообщение от microsoft (?), 18-Апр-20, 14:37 
Чем больше инструментов тем хуже их качество
Ответить | Правка | К родителю #81 | Наверх | Cообщить модератору

106. "Обновление OpenVPN 2.4.9"  +/
Сообщение от муу (?), 18-Апр-20, 14:47 
это у вас в рэдмонде
Ответить | Правка | Наверх | Cообщить модератору

119. "Обновление OpenVPN 2.4.9"  +/
Сообщение от edo (ok), 20-Апр-20, 00:29 
> единственный минус wireguard - что нельзя пушить маршруты с сервера

Можно подумать, что остальное можно пушить. Мне нужно было пушить клиентский адрес, например, взял openvpn именно потому, что в нём это делается в пару строчек конфига.

Ответить | Правка | К родителю #81 | Наверх | Cообщить модератору

88. "Обновление OpenVPN 2.4.9"  +/
Сообщение от Аноним (88), 18-Апр-20, 00:34 
Расскажите про --enable-async-push. Достаточно собрать с этой опцией клиент и сервер и оно автоматически работать будет?
Ответить | Правка | Наверх | Cообщить модератору

90. "Обновление OpenVPN 2.4.9"  +/
Сообщение от Аноним (-), 18-Апр-20, 02:57 
> (запрос пароля средствами OpenVPN через вывод приглашения в консоли прекращён);

люто, неистово минусую. Твари.

Ответить | Правка | Наверх | Cообщить модератору

96. "Обновление OpenVPN 2.4.9"  +/
Сообщение от СеменСеменыч777 (?), 18-Апр-20, 08:26 
сделайте форк. OpenOpenVPN.
Ответить | Правка | Наверх | Cообщить модератору

104. "Обновление OpenVPN 2.4.9"  +/
Сообщение от microsoft (?), 18-Апр-20, 14:40 
А альтернативу сделали или как всегда?
Ответить | Правка | К родителю #90 | Наверх | Cообщить модератору

99. "Обновление OpenVPN 2.4.9"  –1 +/
Сообщение от InuYasha (?), 18-Апр-20, 14:12 
!!! Всем на заметку: easyrsa использовать (до сих пор) НЕЛЬЗЯ!!! Она забагована, vars игнорит и герерит совсем не то, что вы от неё хотите!
Ответить | Правка | Наверх | Cообщить модератору

111. "Обновление OpenVPN 2.4.9"  +/
Сообщение от Аноним (39), 18-Апр-20, 17:46 
без сопливых разберутся
Ответить | Правка | Наверх | Cообщить модератору

114. "Обновление OpenVPN 2.4.9"  –1 +/
Сообщение от Shodan (ok), 19-Апр-20, 08:33 
Пытались в компании внедрить опенвпн + AD, после энного кол-ва написанных костылей, плюнули и перешли на циско впн.
Ответить | Правка | Наверх | Cообщить модератору

116. "Обновление OpenVPN 2.4.9"  +/
Сообщение от бублички (?), 19-Апр-20, 18:10 
помню вполне успешно интегрировал OpenVPN (2 сервера для HA) с AD ещё в далёком 2012-м году - прекрасно работало без всяких костылей. похоже в вашей компании плохо читали документацию (не имеют опыта интеграции с AD). но лично мне OpenVPN никогда не нравился - слишком медленный. предпочитал использовать Strongswan с IKEv2/EAP-RADIUS и OpenLDAP
Ответить | Правка | Наверх | Cообщить модератору

118. "Обновление OpenVPN 2.4.9"  +/
Сообщение от Shodan (ok), 19-Апр-20, 18:55 
> помню вполне успешно интегрировал OpenVPN (2 сервера для HA) с AD ещё
> в далёком 2012-м году - прекрасно работало без всяких костылей. похоже
> в вашей компании плохо читали документацию (не имеют опыта интеграции с
> AD). но лично мне OpenVPN никогда не нравился - слишком медленный.
> предпочитал использовать Strongswan с IKEv2/EAP-RADIUS и OpenLDAP

Смотря какие требования, если просто учетка в домене с какимто атрибутом, то допускаю что это можно сделать и без костылей. В данном случае требовались security groups с отдельными полиси для каждой группы

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру