| 1.1, Аноним (1), 10:35, 28/10/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –12 +/– |
 Интересный коленкор, узлы не доверяют друг другу, но открытый сертификат хранят.. И что будет, если один из узлов хакнут?
| | |
| |
| 2.6, Fyjybv755 (?), 11:45, 28/10/2018 [^] [^^] [^^^] [ответить]
| +5 +/– | |
И что можно сделать с сертификатами других узлов?
Вы с закрытыми ключами не путаете?
| | |
| 2.46, Аноним (46), 08:37, 29/10/2018 [^] [^^] [^^^] [ответить]
| +/– |
Зачем хакать? Достаточно вырубить промежуточный узел из розетки :)
| | |
| 2.65, Игорь (??), 15:23, 29/10/2018 [^] [^^] [^^^] [ответить]
| +/– |
Имелась ввиду среда передачи, такие как интернет или чужие сети
все то же самое, что для vtun, tinc, openvpn
| | |
| 2.73, Аноним (73), 04:09, 31/10/2018 [^] [^^] [^^^] [ответить]
| +/– |
Очевидно, атакующий сможет посылать пакеты от имени хакнутого узла. Ваш Кэп.
| | |
|
| |
| 2.8, пох (?), 12:03, 28/10/2018 [^] [^^] [^^^] [ответить]
| +3 +/– | |
tinc? А, это те ребята, у которых путем подсовывания левого udp пакетика все шифрование множилось на ноль? Не, и не надо про них слушать.
очередная любительская поделка, как, собственно, и этот.
разумеется, ну конечно же, основанная на openssl.
то есть они умудряются налажать даже не в криптографии, которой вообще не владеют, освоили дерганье готовых апи, а в совсем тривиальных вещах. (а в крипто за них налажают "специалисты")
впрочем, что та поделка, что эта, полагаю, примерно одинаково бесполезны. wireguard может еще и взлетит, если перестанет быть линyпc-онли. А пока - пользуемся дальше ipsec.
| | |
| |
| 3.10, asd (??), 12:10, 28/10/2018 [^] [^^] [^^^] [ответить]
| +/– |
А что такого в wireguard? Ну линуксовый, и хорошо? Али нужен како ещё?
| | |
| |
| 4.20, пох (?), 14:22, 28/10/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
> А что такого в wireguard? Ну линуксовый, и хорошо? Али нужен како
> ещё?
ну в целом он вообще не нужен, конечно.
Но лайтвейт-крипто без громадных мутных usermode демонов и tap overuse имел бы ограниченный успех в небольших проектиках. Если бы был где-то кроме линукса. Который тоже в небольших ненужно, особенно, когда подсовывает тебе "удобные" вендорлоки, а в больших, уже писалось - тем более ненужно, там за вас все уже специальные люди на специальном железе делать будут.
| | |
| |
| 5.40, Аноним (40), 21:17, 28/10/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
Специальные люди на специальном железе со специальными бекдорами.
| | |
| |
| 6.61, пох (?), 14:58, 29/10/2018 [^] [^^] [^^^] [ответить]
| –2 +/– | |
а в модных неверифицированных djb-алгоритмах бэкдоры неспециальные, тебе они больше нравятся?
(за что купил, за то и продаю - в смысле, я в те бэкдоры верю примерно как в эти)
| | |
| |
| 7.76, Аноним (-), 06:24, 31/10/2018 [^] [^^] [^^^] [ответить] | +/– | То что DJB выдал на гора - толпа приличных криптографов смотрела и довольно мног... большой текст свёрнут, показать | | |
|
|
|
|
| 3.13, Аноним (3), 13:40, 28/10/2018 [^] [^^] [^^^] [ответить]
| +/– |
множилось или множиться? а так то от ошибок никто не застрахован.
| | |
| 3.17, Аноним (3), 13:42, 28/10/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
и вообще мой комментарий был к тому, что уже есть проект с подобной идеей и можно было его развивать вместо создания нового
| | |
| |
| 4.21, пох (?), 14:25, 28/10/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
> и вообще мой комментарий был к тому, что уже есть проект с
> подобной идеей и можно было его развивать вместо создания нового
я бы вот попросил бы, насчет "нового". gvpe лет поболее десяти уже, в среднюю школу поди, осенью пошел. А что толку от него все те десять или сколько там лет никакого -ну так что ты хочешь от любительской поделочки, героически развиваемой одним-единственным программистом ? Вот, надысь даже mac посложнее sha1 освоил (правда, как сам же автор и отмечает, даром не надо, если тебе не подходит md4, то, наверное, ты вообще выбрал не ту программку)
зато gpl2+,встолман одобряэ.
| | |
|
| 3.18, fske (?), 13:45, 28/10/2018 [^] [^^] [^^^] [ответить]
| +4 +/– | |
>wireguard может еще и взлетит, если перестанет быть линyпc-онли. А пока - пользуемся дальше ipsec.
И много ли ты айписеком всякие маковендофряхи между собой связываешь? И да, речь не про твои локалхосты.
| | |
| |
| 4.19, пох (?), 14:18, 28/10/2018 [^] [^^] [^^^] [ответить]
| –4 +/– | |
> И много ли ты айписеком всякие маковендофряхи между собой связываешь?
знаток детектед.
к твоему сведению, в маке и виндах с ipsec все прекрасненько - никаких кривых пакетов, падучих демонов с мутным недокументированным конфигом и прочих радостей. Как и раскладывания каких-то там ключей вручную.
> И да, речь не про твои локалхосты.
там где у меня не локалхосты, ipsec'ом занимаются специально обученные железки. И у них тоже все прекрасненько. Ну вот разьве что да, с линукса хрен подключишься, ну так фанатики должны же страдать.
| | |
| |
| 5.34, Аноним (34), 17:33, 28/10/2018 [^] [^^] [^^^] [ответить]
| +/– |
И как твой ipsec работает при наличие двух каналов на обоих сторонах?
| | |
| |
| |
| 7.69, Аноним (69), 21:15, 29/10/2018 [^] [^^] [^^^] [ответить]
| +/– |
не было бы интересно не спрашивал. Везде где задаются этим вопросом, советуют смотреть в сторону dmvpn.
| | |
|
|
| 5.37, fske (?), 19:06, 28/10/2018 [^] [^^] [^^^] [ответить] | +5 +/– | В линуксе с ipsec тоже всё нормально, просто реализаций больше чем одна и они др... большой текст свёрнут, показать | | |
| |
| 6.45, Аноним (45), 04:58, 29/10/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
cisco и juniper с помощью ipsec вполне себе рабочая тема и без видосиков..
| | |
|
| 5.42, Наше имя Легион (?), 22:13, 28/10/2018 [^] [^^] [^^^] [ответить]
| +/– |
а ведь на говновендах реализация айписек - тоже говнище ещё то! ;)
The built-in Windows 10 VPN client has some issues with IKEv2 connections and the workaround solution is to create first an L2TP connection and change it to IKEv2 lately.
поссеялся от души
| | |
| |
| 6.55, пох (?), 13:22, 29/10/2018 [^] [^^] [^^^] [ответить]
| –2 +/– | |
а вот и не пользуйтесь ike2, оно и железом поддерживается только новым-модным, с новыми модными дырами. Сколько там лет racoon2 - 10? 15? Поскольку придумали это японцы, никто в их коде с тех пор разобраться и не смог.
| | |
|
| 5.48, EHLO (?), 09:15, 29/10/2018 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>к твоему сведению, в маке и виндах с ipsec все прекрасненько - никаких кривых пакетов, падучих демонов с мутным недокументированным конфигом и прочих радостей. Как и раскладывания каких-то там ключей вручную.
Давай, рассказывай про падучие демоны, недокументированные конфиги у *Swan и как у тебя ключи в вендах и маках автоматизированно раскладываются.
| | |
| 5.78, Аноним (-), 15:44, 31/10/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> к твоему сведению, в маке и виндах с ipsec все прекрасненько -
Кроме того что настраивается через зад и работает так же. Настройка ipsec в винде - рокетсайнс, это не вайргаду ключи указать. А в кафешке или аэропорту не больно попросишь админа ради тебя nat/фаер переконфигурить. Так что мобильный работник и прочие road warrior'ы на раз останутся без впн-а. И нафига оно такое надо?
| | |
|
| 4.43, Аноним (43), 23:41, 28/10/2018 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> маковендофряхи
мак не юзал, а виндовый ipsec (xp и 7) прекрасно работает с фряшным (и с енотом, и с лебедем).
| | |
| |
| 5.47, EHLO (?), 09:05, 29/10/2018 [^] [^^] [^^^] [ответить]
| +/– |
Только если параметры SA у пиров дауншифтить до уровня винды. IKEv1, PFS=no и тому подобное. Но может это и нормально, никто же не ждёт от форточек нормальной секурности.
И tunnel mode твои xp и 7 тоже не могут и поэтому L2TP там практикуют.
| | |
| 5.79, Аноним (-), 15:46, 31/10/2018 [^] [^^] [^^^] [ответить]
| +/– |
> мак не юзал, а виндовый ipsec (xp и 7) прекрасно работает с
> фряшным (и с енотом, и с лебедем).
Пока нат или фаер по пути не попадется. С ними ipsec не работает вообще никак - потому что у него видите ли не TCP и не UDP как таковые, а свои уникальные пакеты, требующие от допустим NAT весьма отдельного внимания.
| | |
|
|
| |
| 4.31, пох (?), 16:44, 28/10/2018 [^] [^^] [^^^] [ответить]
| +/– |
>> если перестанет быть линyпc-онли
> https://tunsafe.com/
оно довольно уныло - это обычная userlevel реализация, лазящая в сеть через tap, а один openvpn у нас уже и так есть.
но вообще, конечно, молодцы, что выложили хоть такой код - и судя по гиту, активно пилят.
| | |
| |
| 5.38, fske (?), 19:11, 28/10/2018 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>молодцы, что выложили хоть такой код
Вот она новая звезда погромирования! Поприветствуем!
| | |
| 5.75, Аноним (-), 04:21, 31/10/2018 [^] [^^] [^^^] [ответить] | +/– | А ты надеешься сподвигнуть майкрософт или эпл написать тебе нормальный впн в ядр... большой текст свёрнут, показать | | |
|
| |
| 5.85, Аноним (-), 01:32, 01/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
Контора жжот напалмом:
Your connection is not secure
The website tried to negotiate an inadequate level of security.
tunsafe.com uses security technology that is outdated and vulnerable to attack. An attacker could easily reveal information which you thought to be safe. The website administrator will need to fix the server first before you can visit the site.
Error code: NS_ERROR_NET_INADEQUATE_SECURITY
У такой компании самое оно VPN покупать.
| | |
| |
| 6.88, пох (?), 18:58, 01/11/2018 [^] [^^] [^^^] [ответить]
| +/– | |
ок, пользователи браузера, выводящего полное окно вранья, fud и мусора вместо внятного описания проблемы и кнопки "я знаю, и совсем не бюсь что nsa, о ужас, прочитает мой заход на этот сайт, уже и так спаленый sni", слепо верящие в любую глупость от швятой мурзилки и не менее швятого гугля - не их клиенты.
пользуйтесь gvpe с md4, у них сайт как надо.
| | |
| 6.89, Гентушник (ok), 11:02, 02/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
 > У такой компании самое оно VPN покупать.
Но они ничего не продают... (пока)
| | |
|
|
|
| 3.74, Аноним (-), 04:16, 31/10/2018 [^] [^^] [^^^] [ответить] | +/– | Они это исправили сто лет в обед А так то да, сложное дело криптография Исполь... большой текст свёрнут, показать | | |
|
|
| 1.5, Нанобот (ok), 11:43, 28/10/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 > На всех узлах виртуальной сети размещается один общий файл конфигурации, неизменный для всех хостов
т.е. при добавлении нового узла админ должен зайти на каждый из узлов и заменить файл конфигурации? Ну допустим. Вот только это противоречит тому, что написано чуть ранее в том же абзаце: "система спроектирована для ... и простоты в настройке"
| | |
| |
| 2.7, Аноним (7), 11:50, 28/10/2018 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Откройте для системы управления конфигурациями.
Думаю, тут будет уместен agentless ансибл.
| | |
| |
| 3.50, Ktoto (?), 10:12, 29/10/2018 [^] [^^] [^^^] [ответить]
| +/– |
Он не агент "лесс" - ему нужен пасивный (offline) питон, иначе это просто баш скрипт :-)
| | |
| 3.53, Нанобот (ok), 13:05, 29/10/2018 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Откройте для системы управления конфигурациями.
а я тут причём? от того, что я придумаю систему костылей и подпорок для упрощения своей работы, проблема в системе никуда не денется, просто она перестанет меня беспокоить. я вообще-то писал о том, что заявленая простота не соответствует действительности, а не спрашивал, что мне с этим делать
| | |
| |
| 4.83, Аноним (83), 16:04, 31/10/2018 [^] [^^] [^^^] [ответить]
| +/– |
> а я тут причём? от того, что я придумаю систему костылей и
> подпорок для упрощения своей работы, проблема в системе никуда не денется
Внезапно, все и вся предусмотреть невозможно - поэтому администрирование состоит из костылей и подпорок. А если это отпадет, пожалуй, гламурный манагер в энтерпрайзном управляторе галочки то и сам расставит, а админов тогда можно вообще уволить на мороз будет - они вообще зачем? Ну там оставить пару ботов для протяжки витухи и замены мышек, платя им копье, потому что это может почти каждый. А админ в чистом виде... хыхы...
| | |
|
|
| 2.82, Аноним (83), 16:00, 31/10/2018 [^] [^^] [^^^] [ответить] | +/– | Так у нормальных админов у которых множество узлов - это сделает энтерпрайзный у... большой текст свёрнут, показать | | |
| |
| 3.87, Нанобот (ok), 14:53, 01/11/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> это сделает энтерпрайзный управлятор
или это сделает сабж...точнее мог бы сделать, если бы умел. и тогда бы заявленая 'простота в настройке' соответствовала действительности
| | |
|
|
| |
| |
| 3.36, fske (?), 18:55, 28/10/2018 [^] [^^] [^^^] [ответить]
| +6 +/– |
Пох, и его брат нах, - это местные задрoты-неадекваты, их комментарии не стоят даже упоминания
| | |
| |
| 4.80, Аноним (-), 15:48, 31/10/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Пох, и его брат нах, - это местные задрoты-неадекваты, их комментарии не
> стоят даже упоминания
Два брата-акробата, типа-крутых-wannabe-юниксоида. Которые однако ж судя по коментам для себя используют обычный маздай. Что делом доказывает - их экспертиза гроша ломаного не стоит, они даже сами себя обслужить не могут своими знаниями и скиллами, так что идут сдаваться в стойло майкрософта, такие все из себя юниксвэйные.
| | |
|
| 3.41, Аноним (41), 21:27, 28/10/2018 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> См. комментарий пох выше.
Использование умных слов и наличие уверенного вида у данного индивида еще не означают отсутствие лажи. Не раз уже ловили на этом.
| | |
| |
| 4.72, Аноним (72), 15:45, 30/10/2018 [^] [^^] [^^^] [ответить]
| +/– |
Примерно в 5% случаев его посты считаю полезными. Ещё 5 нейтральными. В остальном согласен с вами.
| | |
| |
| 5.81, Аноним (-), 15:51, 31/10/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Примерно в 5% случаев его посты считаю полезными. Ещё 5 нейтральными. В
> остальном согласен с вами.
Да, иногда на поха находит прозрение и он дело говорит. Но в данном случае он полностью невменяем, достаточно его точку зрения на ipsec посмотреть. И сравнить с точкой зрения нормальных криптографов, безопасников и тех кто впнами на практике пользуется для разнообразных целей. В данном случае господин явно назло бабушке отмораживает уши. Последовать примеру конечно можно, но болеть ущи потом все-таки будут.
| | |
|
|
|
|
| 1.15, Аноним (15), 13:40, 28/10/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– | |
> простоты в настройке. Выбор шифров осуществляется на этапе сборки
очень легко настраивать. нужно выбрать другой шифр - пересобери.
| | |
| |
| 2.35, FSA (??), 18:24, 28/10/2018 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> нужно выбрать другой шифр
Я бы перефразировал как "нужен другой шифр, чем используется по умолчанию, пересобери. Таким образом, чтобы атаковать узлы сети нужно ещё и шифр используемый знать. Как защиту конечно нельзя использовать, но, как минимум, дополнительный гемор для взломщика создаёт.
| | |
|
| |
| 2.51, johny (??), 10:43, 29/10/2018 [^] [^^] [^^^] [ответить]
| +/– |
может быть тем, что с softether большинство всего заявленного тупо не работает?
Два дня убил пытаясь подружить его с mikrotik по eoip , оказалось не реализовано
| | |
| |
| |
| 4.60, пох (?), 14:56, 29/10/2018 [^] [^^] [^^^] [ответить]
| –1 +/– | |
"softether - виноват!"(c)яндекс
на самом деле виноват - ну нету у него гармошки.
| | |
| |
| 5.77, Аноним (-), 06:27, 31/10/2018 [^] [^^] [^^^] [ответить]
| +/– |
У мокротиков vpn-ы традиционно сделаны через известное место. У них и openvpn без гармошки, поэтому с половиной конуигураций тупо не работает. Зато левелов лицензий больше чем у д?рака фантиков...
| | |
| |
| 6.86, Аноним (86), 11:14, 01/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
А чего тебя в левелах лицензии не устраивает?
0 - демка на 24 часа;
1 - демка без wi-fi и по 1 подключению к каждому туннелю
2 - нет
3 - продается только с wi-fi мостами, ограничение на 1 wi-fi соединение.
4-6 - весь функционал, отличается только числом туннелей(минимум вроде 200 что уже дофига).
Полноценный OpenVPN ожидается в ROS7, остальные туннели прекрасно работают.
Касательно eoip, так автор ССЗБ - это чисто микротовская закрытая технология, есть реализации от васянов с гитхаба, но их можно рассматривать только как proof-of-concrpt.
| | |
|
|
|
|
| 2.58, пох (?), 13:47, 29/10/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> Интересно, но я не совсем понял, чем это лучше SoftEther ?
его (se) не нужно перекомпилировать на всех системах ради смены MAC algo ;-)
Ну люди, ну будьте снисходительны - автор этой штуки написал ее за ДЕСЯТЬ гребаных лет до японца.
он не виноват что в одиночку большего у него не вышло.
| | |
| |
| 3.84, Аноним (84), 16:09, 31/10/2018 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> он не виноват что в одиночку большего у него не вышло.
И это к лучшему - потому что когда берутся за наворачивание кода и фич оптом, ничего хорошего не получается. Получится очередной openvpn. Который в дефолтной конфигурации вообще не безопасен в результате, очевидную дырень клиенту надо конопатить явно, иначе его может поиметь целый легион. Хотя softether пошел еше дальше и набил в разы больше барахла в свою софтину. Так что сколько там багов и в результате вулнов и возможностей прострелить себе пятку - остается только гадать. Потому что пока оно на правах неуловимого джо и всем лениво в это месиво нос совать.
| | |
|
|
|
