После трёх лет с момента публикации ветки 2.6 подготовлен релиз OpenVPN 2.7.0, пакета для создания виртуальных частных сетей, позволяющего организовать шифрованное соединение между двумя клиентскими машинами или обеспечить работу централизованного VPN-сервера для одновременной работы нескольких клиентов. Код OpenVPN распространяется под лицензией GPLv2, готовые бинарные пакеты формируются для Debian, Ubuntu, CentOS, RHEL и Windows...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64779
Легаси. Все постепенно переходят на wg. Пох конечно начнёт ныть, что когда он на шкаф с виндой залазит, ему там что-то мешается. Но по факту, wg работает быстрее и настраивается проще.
WG это же просто про создание зашифрованного канала (и только лишь), функций и возможностей у опенвпн несравнимо больше.
Так в подавляющем большинстве случаев и нужен шифрованный канал (и только лишь). Для консьюмеров поверх wg настрогали годнейших решений. А кому нужен хардкор для remote workforce, у тех Cisco.
Угу, когда в прошлом сентябре в этой Cisco нашли rce в ssl vpn, это был настоящий хардкор
Бывает. Как будто в OpenVPN дыр не находили. Правда, в случае с Циской аккаунт-менеджеры извинились в рамках соглашений урегулировали вопросик. А в случае с сабжем писать только на деревню дедушке, ибо AS IS.
Больше и не нужно. Это же vpn а не systemd.
Dco модуль в ядро втащили. А шифрование aes ускоряется. Так что wireguard ждут тёмные времена. По скорости они вряд ли будут отличаться. А по функционалу однозначно openvpn лучше.
Да процентов 80 этот функционал не используют. Что нужно-то - защищенный канал и маршруты.
Да split tunnel и split dns, да желательно динамические
Ну и saml или хотя бы mfa было бы неплохо
ничего с wg не случится, он уже мейнстрим.
openvpn до сих пор крутится там, где его настраивали еще 10-15 лет назад, но скорее всего выполняет ту же функцию, потому что тогда ничего другого просто не было.
меня лично как юзера (именно юзера, а не поехавшего корпоратаста, которому нужны именно корпорацкие фичи) больше всего от openvpn отталкивает необходимость менеджментить сертификаты, а не пары priv/pub ключей.
скрипт делается за 30 мин, скрипт, который генерит готовый конфиг клиента со всеми сертами, 25 из этих минут нужно будет одним пальцем выравнивать отступы.
А смысл писать скрипт 25 минут, если через это время клиент уже будет пользоваться awg.
на самом деле не совсем.
openvpn и wg разные на сетевых уровнях - захочешь tap - получишь tap, а на wg такого не будет.
правда, на телефоне каком-нибудь ты этого не получишь, но не суть - оно не для этого.
просто в тех юзкейсах, где используется уровень tun, wg действительно просто лучше, и настраивать его проще, т.к. сертификатных вопросов никаких нету.
Расскажи мне, в каких случаях я вдруг могу захотеть tap. Для коммерческого прода кроме IP ничего не нужно, а где нужно, там опять Циска стоит и хоть ты тресни.
В OpenVPN тоже несколько лет как нету сертификатных вопросов. Через peer-fingerprint можно в конфиг напрямую доверенные сертификаты добавлять, самоподписанные, и не нужно коряжится с CA. Работает прекрасно и новых юзеров (виндузятников) заводить легко - кидаешь им батник который конфиг выплёвывает, а тебе обратно только этот FP и скидывают, без утечки конфига с ключом в сеть.
и чем все это лучше ipsec/ikev2?
единственный нормальный vpn
а когда добавят возможность отключить этот tls? А также отключить хантшнейки? Это важно, если у тебя протокол замедляет ИИ
https://opennet.ru/53520-https
Хороший релиз, особенно для тех кому важно, что бы гарантировано блокировался провайдером.
Думаете провайдерам только это и надо ? https://habr.com/ru/news/995512/
В режиме TCP на 443 порту оно от любого другого TLS на базе OpenSSL не отличается. Тор вон тоже "заблокировали", а по факту достаточно прикинуться дурачком на 443 порту и отдавать страницу "мая первая вебморда" при некорректном сертификате клиента.
ovpn только с определёнными видами шифрования доступен, что каждый раз забывают упомянуть...