https://opennet.me/openforum/vsluhforumID3/119190.html Дэйвид Миллер (David S. Miller), отвечающий за сетевую подсистему ядра Linux, принял в состав ветки net-next патчи с реализацией VPN-интерфейса от проекта WireGuard. В начале следующего года изменения, накапливаемые в ветке net-next, лягут в основу выпуска ядра Linux 5.6...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=51997<br> https://opennet.me/openforum/vsluhforumID3/119190.html#236 Wed, 15 Jan 2020 14:19:22 GMT &gt; Навалом хостингов продающих виртуалки по 1-2$/mo. Хоть что загружай, на что ресурсов хватит.<br><br>В смысле, разве в виртуалке за $1-2 можно загрузить свой ядерный модуль wireguard? Хотелось бы ссылочку на такую виртуалку.<br> https://opennet.me/openforum/vsluhforumID3/119190.html#235 Fri, 10 Jan 2020 05:36:06 GMT &gt; Ну с чего им быть дырявым, если все копипастят именно этот образец? <br><br>Видимо все-таки не этот - потому что вот это вот приходилось самому вписывать в случаях когда конфиг выдавали другие. Я не знаю как так у них получается, но эффект имеет место быть.<br><br>&gt; чо - самому что ли писать, с нуля? Ты еще скажи, что <br>&gt; индус вообще знает, что туда написать-то. <br><br>Немного знать приходится. Потому что иначе или нифига не работает или саппорт на ушах стоит. А под именно openvpn появилось к тому же несколько странных полусовместимых реализаций, умеющих не все фичи (e.g. микротики) или очень странное понимание как и что должно работать (кто-то из клиентов зачем-то требует клиентский серт с валидным привкеем с ножом к горлу если уж используется PKI - и просто не работает если не дать ему это, на радость саапортам).<br><br>&gt; Теи более что ни синтаксис, ни семантика ни разу не являются простыми и очевидными.<br><br>Да обычный там синтаксис, по сути то же что в командлайне, только в конфиге.<br><br>&gt; сертификат (или вовсе chain) там и https://opennet.me/openforum/vsluhforumID3/119190.html#234 Fri, 10 Jan 2020 05:27:11 GMT &gt; ну блин. не сэкономить мне двадцать баксофф... ловить этих клиентов с их <br>&gt; неправильными конфигурациями в переходе и отжимать ноуты - дело явно тухлое. <br><br>Единственное чего я в той истории не понял - чего разработчикам мешало В КОДЕ сделать дефолты такими что тип серта проверяется, а если кому это мешает - вот тогда пусть и отключает из конфига или где там еще.<br><br>Это либо общий уровень дилетантизма в секурити и крипто, либо заморочки совместимости с какой-то окаменелой версией, либо пофигизм к юзкейсам. Вероятно, какая-то смесь этого. Ну и вообще, на TLS в силу его сложности довольно много дурных атак, типа даунгрейдов версий и шифров. На вайргада этот класс атак просто не работает - он так просто не умеет.<br> https://opennet.me/openforum/vsluhforumID3/119190.html#233 Thu, 09 Jan 2020 15:08:29 GMT &gt;&gt; дятлу поиметь всю сеть.<br>&gt; В случае вайргада дятл имеет ровно столько сколько ему прописано в конфиг. <br><br>еще и все, до чего дотянется через туннель.<br><br>&gt; И там это довольно красиво сделано - привязка ключей шифрования к <br>&gt; адресам или диапазонам. На самом деле это гениально по своей простоте, <br>&gt; эстетичности и результативности. Даже если и оскорбляет взор маститых айписеков.<br><br>sa тоже привязывается к адресам - правда, нормальными масками, а не "диапазонами" - еще ж инженеры проектировали, им это не казалось трудно. И вплоть до портов.<br><br>&gt;&gt; А для удаленного доступа ssh справится и без оберток.<br>&gt; Очень зависит от того доступ к чему подразумевается. SSH хорош для управления <br>&gt; вон тем компьютером. И только.<br><br>ssh хорош для всего, для чего годится шелл. Причем шелл, в котором есть икс-сокет (ах, ну да, ну да - новые ж стандарты не умеют. Ну значит ssh вычеркиваем, подставляем rdp)<br><br>С вон того компьютера очень много чем можно поуправлять. Настолько, что иногда приходится намеренно изолировать.<br><br><br><br> https://opennet.me/openforum/vsluhforumID3/119190.html#232 Thu, 09 Jan 2020 11:42:45 GMT &gt; Я не понимаю как еще понятнее объяснить: я видел толпу уязвимых конфигураций <br>&gt; openvpn в диком виде. И это - не фича.<br><br>ну блин. не сэкономить мне двадцать баксофф... ловить этих клиентов с их неправильными конфигурациями в переходе и отжимать ноуты - дело явно тухлое.<br><br><br><br> https://opennet.me/openforum/vsluhforumID3/119190.html#231 Thu, 09 Jan 2020 11:38:39 GMT Ну с чего им быть дырявым, если все копипастят именно этот образец?<br><br>&gt; да и кому тот референсный конфиг надо?<br><br>чо - самому что ли писать, с нуля? Ты еще скажи, что индус вообще знает, что туда написать-то. Теи более что ни синтаксис, ни семантика ни разу не являются простыми и очевидными.<br><br>сертификат (или вовсе chain) там и должен быть полноценный, как еще-то? Приватный ключ в нем при этом - не нужен, юзверь все равно от него пароль не знает, и вводить его некуда. Нужен только ключ от юзерского сертификата.<br><br> https://opennet.me/openforum/vsluhforumID3/119190.html#230 Wed, 08 Jan 2020 08:11:10 GMT Как еще понятнее объяснить что в результате на практике половина конфиг - дырявы? К тому же некоторые странные ovpn клиенты почему-то хотят в такой конфигурации именно полноценный сертификат, с приватным ключом и проч. И только так. Без этого они просто не работают. Сапортам энтерпрайзов и продавцов впнов греют мозг - и приходится делать вот так. А про проверку все благополучно забывают, да и кому тот референсный конфиг надо?<br> https://opennet.me/openforum/vsluhforumID3/119190.html#229 Sun, 29 Dec 2019 01:21:39 GMT &gt; дятлу поиметь всю сеть.<br><br>В случае вайргада дятл имеет ровно столько сколько ему прописано в конфиг. И там это довольно красиво сделано - привязка ключей шифрования к адресам или диапазонам. На самом деле это гениально по своей простоте, эстетичности и результативности. Даже если и оскорбляет взор маститых айписеков.<br><br>&gt; А для удаленного доступа ssh справится и без оберток.<br><br>Очень зависит от того доступ к чему подразумевается. SSH хорош для управления вон тем компьютером. И только.<br> https://opennet.me/openforum/vsluhforumID3/119190.html#228 Tue, 24 Dec 2019 10:13:36 GMT &gt; ну как бы предполагается, что если у тебя кто-то может подменить сервер, <br><br>Для себя я буду предполагать что я не хочу разминировать инструментарий до того как пользоваться им. Чем меньше телодвижений такого плана - тем лучше для меня инструмент.<br><br>&gt; да еще и чисто случайно у него откуда-то взялся полноценный серт<br><br>Чисто случайно, клиентские сертификаты - достаточно полноценны для этого. Еще более случайно, некоторые реализации опенвпн-а не хотят работать если клиенту в подобной конфигурации сертификат не дать. В целом по планете это сколлапсировало в вот такую ситуацию: много конфигураций где сертификаты "пришлось выдать" (иначе саппортам все время делают мозг) - а защитой от этого самого не озаботились.<br> <br>&gt; - ты настолько в глубокой оппе, что можно уже не париться мелочами.<br><br>А с вайргадом те же господа в именно такую оппу все-таки не попадут. Это просто не предусмотрено.<br><br>&gt; Хотя ручка в принципе и предусмотрена, корявенькая<br><br>Оно предусмотрено, но почему-то везде где меня волновало - это вообще сам