URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 120356
[ Назад ]
Исходное сообщение
"Обновление OpenVPN 2.4.9"
Отправлено opennews , 17-Апр-20 08:59 
Сформирован корректирующий выпуск пакета для создания виртуальных частных сетей OpenVPN 2.4.9. В новой версии устранена  уязвимость (CVE-2020-11810), позволяющая перевести сеанс клиента на новый IP-адрес, который до этого не был авторизирован. Проблема может быть использована для прерывания только что подключившегося клиента, для которого ещё не завершено согласование сессионных ключей...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=52752

Содержание
Сообщения в этом обсуждении
"Обновление OpenVPN 2.4.9"
Отправлено Аноним , 17-Апр-20 08:59 
Все уже давно на WireGuard.
"Обновление OpenVPN 2.4.9"
Отправлено Аноним , 17-Апр-20 09:02 
>все уже давно на зонде

Исправил.

"Обновление OpenVPN 2.4.9"
Отправлено Аноним , 17-Апр-20 09:50 
И я чём зондовость WireGuard?
"Обновление OpenVPN 2.4.9"
Отправлено OpenEcho , 17-Апр-20 14:54 
>И я чём зондовость WireGuard?

https://www.opennet.dev/openforum/vsluhforumID3/118881.html?n...

IMHO, Единственное что поменялось, так это aудит

"Обновление OpenVPN 2.4.9"
Отправлено Аноним , 19-Апр-20 01:51 
Ну и зачем клиенту знать валидность сервера если соединение тупо не установится? Каким образом будешь организовывать MITM? Твой  OpenEcho дурик.
"Обновление OpenVPN 2.4.9"
Отправлено OpenEcho , 20-Апр-20 13:10 
> Ну и зачем клиенту знать валидность сервера если соединение тупо не установится?
> Каким образом будешь организовывать MITM? Твой  OpenEcho дурик.

Если "не дурик" орграничен домашним raspberry pi, на котором были сгенерированы ключи для сервера и телефона/клиента находящиеся в одной и той же комнате, то ты "выиграл", нет канала для обмена ключами, - нет МИТМ...

Но вот если у "не дурика" большая, разнесенная сеть по всему миру и не всегда есть возможность оплатить курьера, который прилетит ASAP и получит ключики из руки в руки, под расписку, то ключиками прийдется обмениваться через стороний канал. А если есть канал, значит кто то  может быть MITM. Значит валидировать сервер(и клиента) очень даже полезно, даже "не дурику" ...

"Обновление OpenVPN 2.4.9"
Отправлено Аноним , 17-Апр-20 09:55 
Если в бочку дегтя добавить ложку дегтя. Она все равно останется бочкой дегтя.
"Обновление OpenVPN 2.4.9"
Отправлено Аноним , 17-Апр-20 15:27 
Так вставай с зонда, кто мешает?
"Обновление OpenVPN 2.4.9"
Отправлено КО , 17-Апр-20 10:04 
Тото в первый раз слышу
"Обновление OpenVPN 2.4.9"
Отправлено Аноним , 17-Апр-20 10:22 
Эх совсем ты нафталином пропах. На просвещайся https://www.opennet.dev/opennews/art.shtml?num=52636
"Обновление OpenVPN 2.4.9"
Отправлено AlexYeCu_not_logged , 17-Апр-20 12:40 
>Эх совсем ты нафталином пропах.

Деточка, ты кидаешь взрослым дядям ссылку чуть более, чем двухнедельной давности на релиз под номером один. Ты хоть понимаешь, как смешно на этом фоне выглядят громкие утверждения вида «все уже давно»? «Давно» это ну пусть десять лет как. Но уж никак не две недели.

"(offtopic) 'это было недавно, это было давно'"
Отправлено Michael Shigorin , 17-Апр-20 14:01 
Осторожно, набьёте деточке психотравмочку!

http://vz.ru/opinions/2020/4/16/1034111.print.html

"(offtopic) 'это было недавно, это было давно'"
Отправлено Аноним , 17-Апр-20 15:22 
Не читайте советских газет.
"(offtopic) 'это было недавно, это было давно'"
Отправлено Аноним , 18-Апр-20 03:03 
самоирония норм, одобряю, в кои-то веки.
"Обновление OpenVPN 2.4.9"
Отправлено llol , 17-Апр-20 11:52 
> Все уже давно на WireGuard.

И давно уже эта поделка, где во главу угла поставлено "там всего 4000 строк кода" умеет хотябы сотую часть того, что умеет OpenVPN? Где динамические маршруты для клиентов? Wireguard либо может гнать весь траффик через себя, либо все клиенты (а их могут быть тысячи) должны ручками прописывать подсеточки, в которые ходить через VPN.

Так что вирегард для мамкиных хацкиров. Компании уровня Яндекс продолжают использовать OpenVPN. ;))

"Обновление OpenVPN 2.4.9"
Отправлено Аноним , 17-Апр-20 12:07 
Все эти свистелки только тормозят и скорость занижают. А компании уровня Тындекса всегда могут залить проблему железом.
"Обновление OpenVPN 2.4.9"
Отправлено llol , 17-Апр-20 12:37 
> А компании уровня Тындекса всегда могут залить проблему железом.

Как ты собираешься заливать железом проблему того, что 10000 сотрудников надо регулярно менять конфиг и добавлять сетки, в которые нужно роутить трафик, чукча? ;))

И как то, что openvpn пушит не default route, а 20 подсетей, "скорость занижает", эгзперд ты мамкин, llol? ;)))

"Обновление OpenVPN 2.4.9"
Отправлено llolik , 17-Апр-20 12:08 
> Так что вирегард для мамкиных хацкиров.

Ну почему. Туннель-то можно сделать. Другое дело что это ТОЛЬКО туннель и ни на что другое оно не подписывалось, а его предлагают зачем-то совать всюду, куда оно даже и в принципе не натягивается.

"Обновление OpenVPN 2.4.9"
Отправлено Аноним , 17-Апр-20 12:12 
Это синдром Гитлаба надо быть сразу всем и все включить в себя. С одной стороны удобно с другой стороны не всем нужны эти неповоротливые комбайны.
"Обновление OpenVPN 2.4.9"
Отправлено 000001 , 18-Апр-20 00:41 
этот вуайергад просто ширма под завесой которой в ядро вставили скомпрометированную криптографичекую систему.
"Обновление OpenVPN 2.4.9"
Отправлено Анином , 17-Апр-20 12:57 
Услышал новое козырное слово? :)
"Обновление OpenVPN 2.4.9"
Отправлено Аноним , 17-Апр-20 13:56 
Он же TCP не поддерживает
"Обновление OpenVPN 2.4.9"
Отправлено Ilya Indigo , 19-Апр-20 16:22 
Его по дефолту только в последнем ядре добавили, которое далеко не LTS!
Так что ещё далеко не все.
"Обновление OpenVPN 2.4.9"
Отправлено Sergey , 17-Апр-20 08:59 
На оффсайте по ссылке написано обратное:

fix condition where a client's session could "float" to a new IP address that is not authorized ("fix illegal client float").

This can be used to disrupt service to a freshly connected client (no session keys negotiated yet).

>>> It can not be used to inject or steal VPN traffic. CVE-2020-11810, trac #1272). <<<

"Обновление OpenVPN 2.4.9"
Отправлено Аноним , 17-Апр-20 09:00 
Почему всем не использовать стандартный ipsec?

Ладно удобство openvpn можно понять.

Wireguard прозапас?

А зачем нужно столько реализаций: openswan,libreswan, freeswan, strongswan...

"Обновление OpenVPN 2.4.9"
Отправлено Аноним , 17-Апр-20 09:08 
> Почему всем не использовать стандартный ipsec?

В каком месте он стандартный? Для чего он стандартный?

"Обновление OpenVPN 2.4.9"
Отправлено llolik , 17-Апр-20 09:37 
Я так понял имелось ввиду, что реализация ipsec в том или ином виде везде есть (даже в смартфонах). OpenVPN нужно помимо сервера везде ещё и клиенты воздвигать.

ЗЫ. Сам в связи с этими танцами с удалёнкой за три недели несколько раз поднимал StrongSwan+xl2tpd в разных местах (не только у себя - у меня уже давно есть).

"Обновление OpenVPN 2.4.9"
Отправлено Аноним , 17-Апр-20 09:44 
> имелось ввиду, что реализация ipsec в том или ином виде везде есть

Ну да, на _слово_ IPSec можно наткнуться везде. Но муля в том, что везде он именно что "в том или ином виде"... Иногда настолько ином, что и фиг знает, что с ним, таким иным, делать. Вон, ввинде его вообще зачем-то гвоздями к l2tp прибили. А в опенке, кажется, вообще две разных реализации протокола. Так что о стандарте говорить неполиткорректно :)

"Обновление OpenVPN 2.4.9"
Отправлено llolik , 17-Апр-20 10:13 
> делать. Вон, ввинде его вообще зачем-то гвоздями к l2tp прибили.

Это c 8.1/10 повелось? Мне интересно, потому что я сразу с l2tp поднимаю и возможно не сталкивался. Семёрка, насколько я знаю, умеет и без l2tp.
> в опенке, кажется, вообще две разных реализации протокола.

Ни разу не встречал Опёнка в проде в живой природе, но допускаю, что кто-то использует.

Из серьёзных траблов встречалось, пока, что Андроид стандартно IKEv2 не умеет. Только или StrongSwan клиент ставить или на сервере оставлять fallback IKEv1. Возможно нарвусь ещё на какие траблы, потому что пока дело ограничивалось вверенным предприятием - более менее знаешь где что может вылезти. А вот сейчас пришлось помогать соседям ... может что и новое узнаю.

"Обновление OpenVPN 2.4.9"
Отправлено Аноним , 17-Апр-20 10:36 
> Это c 8.1/10 повелось? Мне интересно, потому что я сразу с l2tp поднимаю и возможно не сталкивался. Семёрка, насколько я знаю, умеет и без l2tp.

Это уже в XP было...
Да, умеет, и в 8, и в 10... но это все через танцы с бубном вокруг реестра. Потому и говорю про гвозди...

"Обновление OpenVPN 2.4.9"
Отправлено YetAnotherOnanym , 17-Апр-20 13:20 
> ввинде его вообще зачем-то гвоздями к l2tp прибили

Это, мягко говоря, не совсем так.

"Обновление OpenVPN 2.4.9"
Отправлено Catwoolfii , 17-Апр-20 17:08 
>Вон, ввинде его вообще зачем-то гвоздями к l2tp прибили

да ладно? про ikev2 не слышал?

"Обновление OpenVPN 2.4.9"
Отправлено Аноним , 17-Апр-20 19:27 
Я глазами не слушаю, но допустим, "слышал". И че?
Это не отменяет наличия по соседству помеси ежа и ужа из l2tp и ipsec
И это опять же говорит "какой, нафиг, стандарт-мандарт, тут три одеколона в одном флаконе"
"Обновление OpenVPN 2.4.9"
Отправлено КО , 17-Апр-20 10:00 
Ы том то и дело, "что реализация ipsec в том или ином виде"
"Обновление OpenVPN 2.4.9"
Отправлено НяшМяш , 17-Апр-20 15:29 
> StrongSwan+xl2tpd

Я вот с такой связкой намучался в своё время (там миллион этих параметров, а разные документации и гайды противоречат в их настройке) - то связь нестабильная, то скорость 0.3 мегабита. Собрал на впске SoftEther - вещь как раз для такого краба как я. Есть гуй для настройки мышетыкательный (правда виндовый, но под вайном работает отлично), из коробки L2TP и OpenVPN. Moжет и зонд, но для своего локалхоста и пары друганов сойдёт.

"Обновление OpenVPN 2.4.9"
Отправлено llolik , 17-Апр-20 15:58 
Ну, да, согласен, настройка этой связки - то ещё приключение. С другой стороны, с приходящим опытом уже и не кажется так сложно, когда делаешь уже сам, а не по ошмёткам чужих записок в сети.
"Обновление OpenVPN 2.4.9"
Отправлено бублички , 17-Апр-20 17:36 
ты, товарищ, мхом оброс, как и твой L2TP
"Обновление OpenVPN 2.4.9"
Отправлено лютый жабби__ , 18-Апр-20 08:12 
>что реализация ipsec в том или ином виде везде есть (даже в смартфонах)

Оно T-NAT умеет? Сколько смартфонов имеют реальный IP?

"Обновление OpenVPN 2.4.9"
Отправлено Dmytro , 17-Апр-20 16:31 
> В каком месте он стандартный? Для чего он стандартный?

RFC 2401 (Security Architecture for the Internet Protocol) — архитектура защиты для протокола IP.
RFC 2402 (IP Authentication header) — аутентификационный заголовок IP.
RFC 2403 (The Use of HMAC-MD5-96 within ESP and AH) — использование алгоритма хеширования MD-5 для создания аутентификационного заголовка.
RFC 2404 (The Use of HMAC-SHA-1-96 within ESP and AH) — использование алгоритма хеширования SHA-1 для создания аутентификационного заголовка.
RFC 2405 (The ESP DES-CBC Cipher Algorithm With Explicit IV) — использование алгоритма шифрования DES.
RFC 4303 (ранее RFC 2406) (IP Encapsulating Security Payload [ESP]) — шифрование данных.
RFC 2407 (The Internet IP Security Domain of Interpretation for ISAKMP) — область применения протокола управления ключами.
RFC 2408 (Internet Security Association and Key Management Protocol [ISAKMP]) — управление ключами и аутентификаторами защищённых соединений.
RFC 2409 (The Internet Key Exchange [IKE]) — обмен ключами.
RFC 2410 (The NULL Encryption Algorithm and Its Use With IPsec) — нулевой алгоритм шифрования и его использование.
RFC 2411 (IP Security Document Roadmap) — дальнейшее развитие стандарта.
RFC 2412 (The OAKLEY Key Determination Protocol) — проверка соответствия ключа.

"Обновление OpenVPN 2.4.9"
Отправлено Аноним , 17-Апр-20 17:55 
Гуглить ты уже научился, теперь учись читать.
"Обновление OpenVPN 2.4.9"
Отправлено Dmytro , 17-Апр-20 23:47 
Вот возьми и почитай, вопросов меньше будет.
"Обновление OpenVPN 2.4.9"
Отправлено гтщс_г34 , 17-Апр-20 09:11 
Потому, что он тортовый!
"Обновление OpenVPN 2.4.9"
Отправлено Аноним , 17-Апр-20 09:24 
Всмысле стандратный?
"Обновление OpenVPN 2.4.9"
Отправлено бублички , 17-Апр-20 09:57 
человек предлагает использовать стандартный, взамен всех этих бесконечных сущностей типа freeswan, openswan, strongswan, libreswan :D
"Обновление OpenVPN 2.4.9"
Отправлено Michael Shigorin , 17-Апр-20 14:06 
Ну они (реализации) и используют (протокол). :]
"Обновление OpenVPN 2.4.9"
Отправлено бублички , 17-Апр-20 17:43 
тише ты, может человек вот-вот да и сорвётся в бездну знаний и опыта, чтоб воплотить всё целиком, заново и по стандарту, взамен всех уже существующих реализаций (тех же самых стандартов). вдруг у него да и получится? да-да, простой себе очередной Аноним с OpenNET и вот на тебе. а!? лет 30 назад над одним финским школьником тоже все смеялись :D
"Обновление OpenVPN 2.4.9"
Отправлено Аноним , 17-Апр-20 09:30 
> А зачем нужно столько реализаций: openswan,libreswan, freeswan, strongswan...

Ты сам ответил на свой вопрос - они все СТАНДАРТНЫЕ

"Обновление OpenVPN 2.4.9"
Отправлено бублички , 17-Апр-20 09:53 
тебя забанили в гугл? Freeswan заброшен в 2004-м году, его форкам стали Openswan (корпорация добра Xelerance) и Strongswan (вдальнейшем был практически переписан). Libreswan форк Openswan. если ты когда-либо пользовался хоть одним, то ты бы знал что доступны для использования лишь Libreswan и Strongswan, про Openswan в большинстве случаев можно забыть
"Обновление OpenVPN 2.4.9"
Отправлено Аноним , 18-Апр-20 03:08 
> вдальнейшем

эти слова пишутся раздельно; в дальнейшем предлагаю и Вам так писать - если, конечно, Вы русский язык используете, а не создаёте свой DSL (Dooraq Specific Language).

"Обновление OpenVPN 2.4.9"
Отправлено бублички , 18-Апр-20 14:30 
таки нашёл к чему придраться? молодец, ставь мне минус. по секрету, лишь тебе одному скажу, я в россии никогда не жил и даже толком не бывал нигде кроме Москвы и тогда ещё Ленинграда. русский язык изучал в школе, которую закончил в 93-м году. конечно многое забыл с тех пор, особенно что касается орфографии
"Обновление OpenVPN 2.4.9"
Отправлено Аноним , 17-Апр-20 09:54 
>Почему всем не использовать стандартный ipsec?

Overenginering

"Обновление OpenVPN 2.4.9"
Отправлено бублички , 17-Апр-20 10:02 
> Почему всем не использовать стандартный ipsec?

тот который на бумаге? используй на здоровье :D

"Обновление OpenVPN 2.4.9"
Отправлено mumu , 17-Апр-20 10:06 
Все эти IKE проектировали люди в белых халатах, а не те, кто реально админит системы. Просто диву даешься, как можно быть настолько покрытыми всеми этими комитетами и стандартами и настолько несовместимыми одновременно.
Есть стойкое ощущение ощущение, что там кто-то получал грант за каждый новый используемый порт и внутренний протокол.
"Обновление OpenVPN 2.4.9"
Отправлено Аноним , 17-Апр-20 10:24 
Комитет всегда найдет в реализации другого стандарта изъян. Даже тот что другой стандарт сделали не они.
"Обновление OpenVPN 2.4.9"
Отправлено Аноним , 17-Апр-20 14:03 
Как с jabber, куча не обязательных XEP и в результате мало совместимые друг с другом клиенты и серверы.
"Обновление OpenVPN 2.4.9"
Отправлено zzz , 17-Апр-20 14:59 
XMPP уже давно ввел XMPP Compliance Suites.
"Обновление OpenVPN 2.4.9"
Отправлено llolik , 17-Апр-20 15:36 
> XMPP уже давно ввел XMPP Compliance Suites.

Ну ввести-то он, положим, ввел. Только разброд и шатание, в плане поддержки протокола, как было так и осталось. Если сервера ещё что-то как-то более-менее полно охватывают (да и не так много их), то с клиентами полный бардак.

"Обновление OpenVPN 2.4.9"
Отправлено llol , 17-Апр-20 11:56 
> Почему всем не использовать стандартный ipsec?

Что такое "стандартный ipsec"?
Я навскидку только 5 или 6 реализаций могу вспомнить. И какая имеется в виду авторизация? IKEv1, IKEv2, L2TP? Парольная, сертификатная, с preshared key, без?

"Обновление OpenVPN 2.4.9"
Отправлено бублички , 17-Апр-20 17:48 
ну стандартный же, ну. как ты не понимаешь!? :D такой чтоб в 2 клика мышкой, без чтения документации, с двумя кнопками [OK|Exit]. СТАНДАРТНЫЙ! :D лучше если и пароль будет стандартным, чтоб макисмально по стандарту :D
"Обновление OpenVPN 2.4.9"
Отправлено Michael Shigorin , 17-Апр-20 14:05 
> Почему всем не использовать стандартный ipsec?

У него баланс возможностей к головняку сильно хуже, чем у сабжа, как не только мне кажется.

> А зачем нужно столько реализаций:
> openswan, libreswan, freeswan, strongswan...

Ну вот, опять на http://0x1.tv/2a9-lets-cross-forks-shigorin ссылаться...

"Обновление OpenVPN 2.4.9"
Отправлено Аноним , 18-Апр-20 17:28 
[оффтоп] Перешел по ссылке и внезапно узнал что товарищ Шигорин на аватарке в очках!
"Обновление OpenVPN 2.4.9"
Отправлено СеменСеменыч777 , 18-Апр-20 04:13 
в разработке IPSec участвовало АНБ.
Сноуден.jpg
"Обновление OpenVPN 2.4.9"
Отправлено Аноним , 17-Апр-20 10:22 
На практике из сотен машин оно тормозит и нестабильно.
"Обновление OpenVPN 2.4.9"
Отправлено Аноним , 17-Апр-20 10:26 
WireGuard же уже подъехал он обгоняет и опенвпн и всякие ипсеки https://xakinfo.ru/os/wireguard-%D0%BA%D0.../
"Обновление OpenVPN 2.4.9"
Отправлено llol , 17-Апр-20 11:57 
> WireGuard же уже подъехал он обгоняет и опенвпн и всякие ипсеки

Во влажных мечтах администраторов локалхоста, если только ;))

"Обновление OpenVPN 2.4.9"
Отправлено Аноним , 17-Апр-20 12:51 
>> WireGuard же уже подъехал он обгоняет и опенвпн и всякие ипсеки
> Во влажных мечтах администраторов локалхоста, если только ;))

А какой еще хост должен быть если не хост? Ты наркоман?

"Обновление OpenVPN 2.4.9"
Отправлено Michael Shigorin , 17-Апр-20 14:09 
Даю справку: админ локалхоста не замечает, что творится чуточку далее него.  Например, что "обгонять", упёршись в транспорт, тупо не выйдет.
"Обновление OpenVPN 2.4.9"
Отправлено Crazy Alex , 17-Апр-20 13:11 
Пока не будет нормального provisioning он годится только для энтузиастов
"Обновление OpenVPN 2.4.9"
Отправлено Аноним , 17-Апр-20 14:05 
На практике из тысяч машин всё работает идеально.
"Обновление OpenVPN 2.4.9"
Отправлено OpenEcho , 17-Апр-20 15:12 
Вы не правильно его варите... постарайтесь перейти с raspberry pi на что то более мощное,
начните с канала во вне, т.к. (скорость_канала/100) должно даже в теории становится медленее
"Обновление OpenVPN 2.4.9"
Отправлено Аноним , 17-Апр-20 20:59 
Сеть из компов через разных провайдырей. Там, где модемы вообще беда, надо вручную переподключать или скриптами
"Обновление OpenVPN 2.4.9"
Отправлено OpenEcho , 17-Апр-20 23:49 
А ОпенВПН то здесь причем ?


"Обновление OpenVPN 2.4.9"
Отправлено хотел спросить , 17-Апр-20 10:23 
https://openvpn.net/community-downloads/

2.4.8 последний.. CVE есть а фикса нет ))

"Обновление OpenVPN 2.4.9"
Отправлено Аноним , 17-Апр-20 10:31 
А что им надо было большим буквами написать не шмогли?
"Обновление OpenVPN 2.4.9"
Отправлено Аноним , 17-Апр-20 11:42 
На сайте коммьюнити нету, но на гитхабе все есть. Вероятно, это делают разные люди, и чувак, который апдейтит сайт, скорее всего завтыкал на самоизоляции. Не волнуйся так.
"Обновление OpenVPN 2.4.9"
Отправлено Аноним , 17-Апр-20 11:52 
> позволяющая перевести сеанс клиента на новый IP-адрес, который до этого не был авторизирован

В идентификатор VPN сессии же не входит IP адрес?
Я могу после установки VPN соединения поменять IP адрес моего компа.
Или даже вытащить провод и переключиться на WiFi и VPN сессия не прервется.

Или тут какое-то расширение, дополенение протокола используется?

"Обновление OpenVPN 2.4.9"
Отправлено Аноним , 17-Апр-20 12:42 
у меня 2 МБ/c на openvpn (vps) против 25 МБ/c без openvpn
"Обновление OpenVPN 2.4.9"
Отправлено Аноним , 17-Апр-20 14:10 
смешно
"Обновление OpenVPN 2.4.9"
Отправлено Аноним , 17-Апр-20 14:47 
Модератор!
Да ты издеваешься!
Надо было вместе с постом "смешно" удалять.
Я ж теперь спать не смогу. Что же там смешное было.
Что, ЧТО?!
"Обновление OpenVPN 2.4.9"
Отправлено Аноним , 17-Апр-20 15:23 
На поржи https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi?az=l...
"Обновление OpenVPN 2.4.9"
Отправлено Аноним , 18-Апр-20 17:42 
чёт я не понял, сфигали это удалили
"Обновление OpenVPN 2.4.9"
Отправлено Аноним , 17-Апр-20 14:09 
у меня 25 МБ/c на openvpn (vps), а без openvpn 0, связи нет.
"Обновление OpenVPN 2.4.9"
Отправлено лютый жабби__ , 18-Апр-20 08:16 
у openvpn один плюс, работает через http прокси.
Соответственно, с опенвпн тормоза (я больше 15-20мбит вообще не смог разогнать), но без него совсем никак.

В остальном опенвпн не нужен.

"Обновление OpenVPN 2.4.9"
Отправлено Аноним , 18-Апр-20 18:49 
а что wireguard уже PAM умеет? с LDAP прикручивается?
"Обновление OpenVPN 2.4.9"
Отправлено InuYasha , 17-Апр-20 12:51 
Так чем, в итоге, пользоваться-то?
Чтоб максимально универсально и стандартно.
Этим или не этим?
"Обновление OpenVPN 2.4.9"
Отправлено Аноним , 17-Апр-20 13:29 
Чтобы как у всех этим, чтобы быстро не этим.
"Обновление OpenVPN 2.4.9"
Отправлено Аноним , 17-Апр-20 14:08 
Спросите у вашего системного администратора.
"Обновление OpenVPN 2.4.9"
Отправлено Сейд , 17-Апр-20 14:48 
L2TP
"Обновление OpenVPN 2.4.9"
Отправлено бублички , 17-Апр-20 17:52 
> L2TP

был обнаружен среди костей мамонтов

"Обновление OpenVPN 2.4.9"
Отправлено Сейд , 17-Апр-20 19:13 
L2TP встроен во все современные операционные системы и VPN-совместимые устройства и легко может быть настроен.
"Обновление OpenVPN 2.4.9"
Отправлено Аноним , 17-Апр-20 21:00 
L2TP over IPSec. А чё? Я использую для торрентов на VDSке.
"Обновление OpenVPN 2.4.9"
Отправлено бублички , 17-Апр-20 18:02 
смотря по случаю. лично в моих случаях OpenVPN непригоден (слишком медленный, т.к. целиком в user-space), но я полностью счастлив с IPSec (Strongswan, IKEv2). учти что полнофункциональные клиенты есть не везде. для примера попробуй настрой IKEv2 в MacOS, или найди хоть один SOHO маршрутизатор что умеет OpenVPN с заводской прошивкой
"Обновление OpenVPN 2.4.9"
Отправлено InuYasha , 18-Апр-20 13:02 
> смотря по случаю. лично в моих случаях OpenVPN непригоден (слишком медленный, т.к.
> целиком в user-space), но я полностью счастлив с IPSec (Strongswan, IKEv2).
> учти что полнофункциональные клиенты есть не везде. для примера попробуй настрой
> IKEv2 в MacOS, или найди хоть один SOHO маршрутизатор что умеет
> OpenVPN с заводской прошивкой

С Wireguard и IPSec я не знаком вообще - так что, всё равно, что изучать. Вот только раздражает, например, то, что у wg под android совершенно дикие требования permissions.

"Обновление OpenVPN 2.4.9"
Отправлено бублички , 18-Апр-20 14:39 
на мой взгляд Wireguard пока ещё оторван от реальности (полноценно не работает, но где-то уже вполне удобен в применении), в то время как по факту IPSec уже много лет является стандартом (есть практически везде в той или иной мере). бесспорно, минусы есть во всём, как и плюсы. образования заради посмотри оба плюс конечно OpenVPN
"Обновление OpenVPN 2.4.9"
Отправлено Японский Бог , 17-Апр-20 15:39 
Я так и не пoнял, зачем OpenVPN изменил дизайн? Ощущение, что они свой gui переписали на электрон. Всё глючное, настройки куда-то запрятаны.
"Обновление OpenVPN 2.4.9"
Отправлено Anon from Mars , 17-Апр-20 18:05 
Такова цена унификации.
"Обновление OpenVPN 2.4.9"
Отправлено Аноним , 18-Апр-20 17:38 
У него есть gui? О_О
"Обновление OpenVPN 2.4.9"
Отправлено Аноним , 18-Апр-20 17:45 
под винду есть. под линукс без понятия, не нужен же
"Обновление OpenVPN 2.4.9"
Отправлено Anon from Mars , 17-Апр-20 18:11 
Насколько же смешно (настолько же и грустно), читать эти опусы от фанатов WireGuard.

Ну удачи вам поднять сервер(-ы) и настроить около 500 клиентов разных мастей (Linux, MacOS, Windows) с определенными маршрутами до внутренних ресурсов (чтобы внешечку домашнюю через себя не пускать, но при этом домашние устройства не должны превращаться в сетевую тыкву, они же все-таки домашние). Это учитывая, что для Windows (как топ ОС на рабочих станциях и домашних устройствах сотрудников) до сих пор нет официальной реализации WireGuard, если я не ошибаюсь.

И нет, не все компании в состоянии под рукой иметь парк ноутбуков на каждого сотрудника (у большинства из которых глаза не видят ничего на экранах меньше 17 дюймов, спасибо 1С).

Было бы интересно.

"Обновление OpenVPN 2.4.9"
Отправлено муу , 17-Апр-20 19:15 
> до сих пор нет официальной реализации WireGuard, если я не ошибаюсь.

ошибаешься https://www.wireguard.com/install/ и между прочим прекрасно работает

и в остальном тоже ошибаешься

единственный минус wireguard - что нельзя пушить маршруты с сервера, жёстко в конфиге клиента надо прописывать (ессно если не юзается 0.0.0.0, который редко когда нужен)

для своей конторы я давно сделал отдельный vpn сервак, который умеет и в openvpn и в pptp/l2tp/ipsec и в wireguard что позволяет дать клиентам то что лучше подходит для каждого конкретного случая
что весьма пригодилось с не так давно возникшей ситуёвиной и удалёнками, всё давно отлажено и проверено, раздал нужное кол-во конфигов тем у кого их не было и всё, всё работает, никто (тьфу-тьфу) не сношает моск

не надо фанатеть, надо просто юзать правильные инструменты, чем больше выбор доступных инструментов тем лучше

"Обновление OpenVPN 2.4.9"
Отправлено бублички , 17-Апр-20 23:14 
пишешь про pptp и тут-же про правильные инструменты? pptp это диагноз тебе и твоей конторе
"Обновление OpenVPN 2.4.9"
Отправлено муу , 18-Апр-20 14:47 
диагноз это у тебя, до тебя таки не дошло то что я хотел сказать
а у меня есть _возможность_ его использовать если понадобится и более правильный впн по какойто причине невозможен
"Обновление OpenVPN 2.4.9"
Отправлено InuYasha , 18-Апр-20 12:49 
> ошибаешься https://www.wireguard.com/install/ и между прочим прекрасно работает

https://f-droid.org/en/packages/com.wireguard.android/
Permissions
take pictures and videos
modify or delete the contents of your shared storage
use biometric hardware
use fingerprint hardware

Вот это фига себе замашки!!!

"Обновление OpenVPN 2.4.9"
Отправлено microsoft , 18-Апр-20 14:39 
И еще кусочек скальпа с жопы.
"Обновление OpenVPN 2.4.9"
Отправлено microsoft , 18-Апр-20 14:37 
Чем больше инструментов тем хуже их качество
"Обновление OpenVPN 2.4.9"
Отправлено муу , 18-Апр-20 14:47 
это у вас в рэдмонде
"Обновление OpenVPN 2.4.9"
Отправлено edo , 20-Апр-20 00:29 
> единственный минус wireguard - что нельзя пушить маршруты с сервера

Можно подумать, что остальное можно пушить. Мне нужно было пушить клиентский адрес, например, взял openvpn именно потому, что в нём это делается в пару строчек конфига.

"Обновление OpenVPN 2.4.9"
Отправлено Аноним , 18-Апр-20 00:34 
Расскажите про --enable-async-push. Достаточно собрать с этой опцией клиент и сервер и оно автоматически работать будет?
"Обновление OpenVPN 2.4.9"
Отправлено Аноним , 18-Апр-20 02:57 
> (запрос пароля средствами OpenVPN через вывод приглашения в консоли прекращён);

люто, неистово минусую. Твари.

"Обновление OpenVPN 2.4.9"
Отправлено СеменСеменыч777 , 18-Апр-20 08:26 
сделайте форк. OpenOpenVPN.
"Обновление OpenVPN 2.4.9"
Отправлено microsoft , 18-Апр-20 14:40 
А альтернативу сделали или как всегда?
"Обновление OpenVPN 2.4.9"
Отправлено InuYasha , 18-Апр-20 14:12 
!!! Всем на заметку: easyrsa использовать (до сих пор) НЕЛЬЗЯ!!! Она забагована, vars игнорит и герерит совсем не то, что вы от неё хотите!
"Обновление OpenVPN 2.4.9"
Отправлено Аноним , 18-Апр-20 17:46 
без сопливых разберутся
"Обновление OpenVPN 2.4.9"
Отправлено Shodan , 19-Апр-20 08:33 
Пытались в компании внедрить опенвпн + AD, после энного кол-ва написанных костылей, плюнули и перешли на циско впн.
"Обновление OpenVPN 2.4.9"
Отправлено бублички , 19-Апр-20 18:10 
помню вполне успешно интегрировал OpenVPN (2 сервера для HA) с AD ещё в далёком 2012-м году - прекрасно работало без всяких костылей. похоже в вашей компании плохо читали документацию (не имеют опыта интеграции с AD). но лично мне OpenVPN никогда не нравился - слишком медленный. предпочитал использовать Strongswan с IKEv2/EAP-RADIUS и OpenLDAP
"Обновление OpenVPN 2.4.9"
Отправлено Shodan , 19-Апр-20 18:55 
> помню вполне успешно интегрировал OpenVPN (2 сервера для HA) с AD ещё
> в далёком 2012-м году - прекрасно работало без всяких костылей. похоже
> в вашей компании плохо читали документацию (не имеют опыта интеграции с
> AD). но лично мне OpenVPN никогда не нравился - слишком медленный.
> предпочитал использовать Strongswan с IKEv2/EAP-RADIUS и OpenLDAP

Смотря какие требования, если просто учетка в домене с какимто атрибутом, то допускаю что это можно сделать и без костылей. В данном случае требовались security groups с отдельными полиси для каждой группы