The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  +/
Сообщение от opennews (??), 28-Окт-18, 10:35 
Представлен (https://www.mail-archive.com/info-gnu@gnu.org/msg02510....) новый выпуск инструментария GVPE 3.1 (http://software.schmorp.de/pkg/gvpe.html) (GNU Virtual Private Ethernet), позволяющего  поверх не заслуживающей доверия коммуникационной среды развернуть VPN, связывающий защищённым каналом связи сразу несколько узлов (many-to-many VPN). В выпуске  GVPE 3.1 добавлена официальная поддержка библиотеки LibreSSL и API OpenSSL 1.1. Проект GVPE позволяет создавать виртуальные защищённые Ethernet-сети, объединяя хосты шифрованными туннелями и работая в условиях, когда узлы не доверяют друг другу.  Наиболее типичным применением GVPE является безопасное соединение территориально разнесённых сетевых шлюзов филиалов предприятия.

Туннели могут создаваться поверх различных транспортных протоколов (http://pod.tst.eu/http://cvs.schmorp.de/gvpe/doc/gvpe.protoc...) (UDP, TCP, RAW IP, ICMP, DNS). В отличие от традиционных VPN, создающих один туннель, в GVPE воссоздаётся структура реальной сети, в которой все узлы соединяются друг с другом отдельными шифрованными туннелями. Система спроектирована для обеспечения высокой надёжности и простоты в настройке. Выбор шифров осуществляется на этапе сборки. На всех узлах виртуальной сети размещается один общий файл конфигурации, неизменный для всех хостов. Каждый узел хранит своё закрытый RSA-ключ и открытые ключи остальных узлов.

Механизм аутентификации основан (http://pod.tst.eu/http://cvs.schmorp.de/gvpe/doc/gvpe.protoc...) на ключах ECDH (curve25519) и шифрвоании RSA-OEAP (https://ru.wikipedia.org/wiki/%D0%9E%D0%...). Для шифрования канала связи могут применяться  AES-128, AES-192 или AES-256 с кодами проверки подлинности и аутентификации источника данных (HMAC). Для хэширования могут использоваться алгоритмы MD4, SHA1, RIPEMD160, SHA256 и Blowfish. Алгоритмы выбираются в зависимости от требований к производительности и защищённости. Для защиты от сниффинга и подстановки фиктивных пакетов применяется фильтрация пакетов на основе MAC (Message Authentication Code), все пакеты каждого узла аутентифицируются.


URL: https://www.mail-archive.com/info-gnu@gnu.org/msg02510....
Новость: https://www.opennet.ru/opennews/art.shtml?num=49513

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Проект GNU выпустил GVPE 3.1, инструментарий для создания много"  –12 +/
Сообщение от Анонимemail (1), 28-Окт-18, 10:35 
Интересный коленкор, узлы не доверяют друг другу, но открытый сертификат хранят.. И что будет, если один из узлов хакнут?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Проект GNU выпустил GVPE 3.1, инструментарий для создания много"  +5 +/
Сообщение от Fyjybv755 (?), 28-Окт-18, 11:45 
И что можно сделать с сертификатами других узлов?

Вы с закрытыми ключами не путаете?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

46. "Проект GNU выпустил GVPE 3.1, инструментарий для создания много"  +/
Сообщение от Аноним (46), 29-Окт-18, 08:37 
Зачем хакать? Достаточно вырубить промежуточный узел из розетки :)
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

65. "Проект GNU выпустил GVPE 3.1, инструментарий для создания много"  +/
Сообщение от Игорь (??), 29-Окт-18, 15:23 
Имелась ввиду среда передачи, такие как интернет или чужие сети
все то же самое, что для vtun, tinc, openvpn
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

73. "Проект GNU выпустил GVPE 3.1, инструментарий для создания много"  +/
Сообщение от Аноним (73), 31-Окт-18, 04:09 
Очевидно, атакующий сможет посылать пакеты от имени хакнутого узла. Ваш Кэп.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  +1 +/
Сообщение от Аноним (2), 28-Окт-18, 10:36 
А как по скорости?
кто тестил?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  –5 +/
Сообщение от GNU (?), 28-Окт-18, 14:43 
А как по скорости Tor?
ты тестил?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

44. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  –1 +/
Сообщение от Аноним (44), 29-Окт-18, 00:49 
the Onion router
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

3. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  +3 +/
Сообщение от Аноним (3), 28-Окт-18, 11:08 
tinc? не не слышали.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  +3 +/
Сообщение от пох (?), 28-Окт-18, 12:03 
tinc? А, это те ребята, у которых путем подсовывания левого udp пакетика все шифрование множилось на ноль? Не, и не надо про них слушать.

очередная любительская поделка, как, собственно, и этот.
разумеется, ну конечно же, основанная на openssl.

то есть они умудряются налажать даже не в криптографии, которой вообще не владеют, освоили дерганье готовых апи, а в совсем тривиальных вещах. (а в крипто за них налажают "специалисты")

впрочем, что та поделка, что эта, полагаю, примерно одинаково бесполезны. wireguard может еще и взлетит, если перестанет быть линyпc-онли. А пока - пользуемся дальше ipsec.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

10. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  +/
Сообщение от asd (??), 28-Окт-18, 12:10 
А что такого в wireguard? Ну линуксовый, и хорошо? Али нужен како ещё?
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

20. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  –2 +/
Сообщение от пох (?), 28-Окт-18, 14:22 
> А что такого в wireguard? Ну линуксовый, и хорошо? Али нужен како
> ещё?

ну в целом он вообще не нужен, конечно.

Но лайтвейт-крипто без громадных мутных usermode демонов и tap overuse имел бы ограниченный успех в небольших проектиках. Если бы был где-то кроме линукса. Который тоже в небольших ненужно, особенно, когда подсовывает тебе "удобные" вендорлоки, а в больших, уже писалось - тем более ненужно, там за вас все уже специальные люди на специальном железе делать будут.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

40. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  +2 +/
Сообщение от Аноним (40), 28-Окт-18, 21:17 
Специальные люди на специальном железе со специальными бекдорами.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

61. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  –2 +/
Сообщение от пох (?), 29-Окт-18, 14:58 
а в модных неверифицированных djb-алгоритмах бэкдоры неспециальные, тебе они больше нравятся?

(за что купил, за то и продаю - в смысле, я в те бэкдоры верю примерно как в эти)

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

76. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  +/
Сообщение от Аноним (-), 31-Окт-18, 06:24 
> а в модных неверифицированных djb-алгоритмах бэкдоры неспециальные,

То что DJB выдал на гора - толпа приличных криптографов смотрела и довольно много лет. Сами по себе алгоритмы довольно неплохие кажется получились - за столько лет атаки нашлись весьма дохлые (индикатор того что их искали) - на сильно ослабленные версии алгоритмов, так что в целом это свидетельствует что DJB воткнул хороший запас прочности. Он умеет разумно компоновать алгоритмы. Делом доказал.

> (за что купил, за то и продаю - в смысле, я в те бэкдоры верю примерно как в эти)

Если б DJB хотел впаривать бэкдоры - он не делал бы апи простым как тапка, и код в объеме котором его еще и прочитать реально. Потому что при таком раскладе код еще и читать реально будут и на бэкдоре в два счета засыпаться можно. И после этого репутации хана. АНБ с своими speck'ами (как раз вынесли из ядра в 4.20, хоть оно там без году неделю) и drbg (это вообще никуда не успело толком пролезть) проверяло как это работает...

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

13. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  +/
Сообщение от Аноним (3), 28-Окт-18, 13:40 
множилось или множиться? а так то от ошибок никто не застрахован.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

17. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  +1 +/
Сообщение от Аноним (3), 28-Окт-18, 13:42 
и вообще мой комментарий был к тому, что уже есть проект с подобной идеей и можно было его развивать вместо создания нового
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

21. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  –2 +/
Сообщение от пох (?), 28-Окт-18, 14:25 
> и вообще мой комментарий был к тому, что уже есть проект с
> подобной идеей и можно было его развивать вместо создания нового

я бы вот попросил бы, насчет "нового". gvpe лет поболее десяти уже, в среднюю школу поди, осенью пошел. А что толку от него все те десять или сколько там лет никакого  -ну так что ты хочешь от любительской поделочки, героически развиваемой одним-единственным программистом ? Вот, надысь даже mac посложнее sha1 освоил (правда, как сам же автор и отмечает, даром не надо, если тебе не подходит md4, то, наверное, ты вообще выбрал не ту программку)

зато gpl2+,встолман одобряэ.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

18. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  +4 +/
Сообщение от fske (?), 28-Окт-18, 13:45 
>wireguard может еще и взлетит, если перестанет быть линyпc-онли. А пока - пользуемся дальше ipsec.

И много ли ты айписеком всякие маковендофряхи между собой связываешь? И да, речь не про твои локалхосты.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

19. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  –4 +/
Сообщение от пох (?), 28-Окт-18, 14:18 
> И много ли ты айписеком всякие маковендофряхи между собой связываешь?

знаток детектед.
к твоему сведению, в маке и виндах с ipsec все прекрасненько - никаких кривых пакетов, падучих демонов с мутным недокументированным конфигом и прочих радостей. Как и раскладывания каких-то там ключей вручную.

> И да, речь не про твои локалхосты.

там где у меня не локалхосты, ipsec'ом занимаются специально обученные железки. И у них тоже все прекрасненько. Ну вот разьве что да, с линукса хрен подключишься, ну так фанатики должны же страдать.

  

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

34. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  +/
Сообщение от Аноним (34), 28-Окт-18, 17:33 
И как твой ipsec работает при наличие двух каналов на обоих сторонах?
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

49. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  –1 +/
Сообщение от Евгений (??), 29-Окт-18, 10:10 
Это действительно интересно? Работает, хорошо работает.
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

69. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  +/
Сообщение от Аноним (69), 29-Окт-18, 21:15 
не было бы интересно не спрашивал. Везде где задаются этим вопросом, советуют смотреть в сторону dmvpn.
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

71. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  +/
Сообщение от Евгений (??), 30-Окт-18, 10:43 
Советую обойтись без туннельных интерфейсов. Баг, на который Вы намекаете, не относится к ipsec. Или, "смотрите в сторону" vrf.
Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

37. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  +5 +/
Сообщение от fske (?), 28-Окт-18, 19:06 
>к твоему сведению, в маке и виндах с ipsec все прекрасненько - никаких кривых пакетов, падучих демонов с мутным недокументированным конфигом и прочих радостей. Как и раскладывания каких-то там ключей вручную.

В линуксе с ipsec тоже всё нормально, просто реализаций больше чем одна и они друг с другом не уживаются. Но маковендослоупокаам это неизвестно.

>там где у меня не локалхосты, ipsec'ом занимаются специально обученные железки. И у них тоже все прекрасненько. Ну вот разьве что да, с линукса хрен подключишься, ну так фанатики должны же страдать.

Жду недождусь от писдаболика Поха видосика, про подключение маковенды к ipsec от Cisco, ну или Juniper. А еще, там кто-то кукарекал про не линукс-онли - жду видосик про соединение cisco и juniper с помощью ipsec. Давай тужься, у тебя получится

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

45. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  +2 +/
Сообщение от Аноним (45), 29-Окт-18, 04:58 
cisco и juniper с помощью ipsec вполне себе рабочая тема и без видосиков..
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

42. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  +/
Сообщение от Наше имя Легион (?), 28-Окт-18, 22:13 
а ведь на говновендах реализация айписек - тоже говнище ещё то! ;)
The built-in Windows 10 VPN client has some issues with IKEv2 connections and the workaround solution is to create first an L2TP connection and change it to IKEv2 lately.
поссеялся от души
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

55. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  –2 +/
Сообщение от пох (?), 29-Окт-18, 13:22 
а вот и не пользуйтесь ike2, оно и железом поддерживается только новым-модным, с новыми модными дырами. Сколько там лет racoon2  - 10? 15? Поскольку придумали это японцы, никто в их коде с тех пор разобраться и не смог.


Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

48. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  +1 +/
Сообщение от EHLO (?), 29-Окт-18, 09:15 
>к твоему сведению, в маке и виндах с ipsec все прекрасненько - никаких кривых пакетов, падучих демонов с мутным недокументированным конфигом и прочих радостей. Как и раскладывания каких-то там ключей вручную.

Давай, рассказывай про падучие демоны, недокументированные конфиги у *Swan и как у тебя ключи в вендах и маках автоматизированно раскладываются.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

78. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  +/
Сообщение от Аноним (-), 31-Окт-18, 15:44 
> к твоему сведению, в маке и виндах с ipsec все прекрасненько -

Кроме того что настраивается через зад и работает так же. Настройка ipsec в винде -  рокетсайнс, это не вайргаду ключи указать. А в кафешке или аэропорту не больно попросишь админа ради тебя nat/фаер переконфигурить. Так что мобильный работник и прочие road warrior'ы на раз останутся без впн-а. И нафига оно такое надо?

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

43. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  –1 +/
Сообщение от Аноним (43), 28-Окт-18, 23:41 
> маковендофряхи

мак не юзал, а виндовый ipsec (xp и 7) прекрасно работает с фряшным (и с енотом, и с лебедем).

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

47. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  +/
Сообщение от EHLO (?), 29-Окт-18, 09:05 
Только если параметры SA у пиров дауншифтить до уровня винды. IKEv1, PFS=no и тому подобное. Но может это и нормально, никто же не ждёт от форточек нормальной секурности.
И tunnel mode твои xp и 7 тоже не могут и поэтому L2TP там практикуют.
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

79. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  +/
Сообщение от Аноним (-), 31-Окт-18, 15:46 
> мак не юзал, а виндовый ipsec (xp и 7) прекрасно работает с
> фряшным (и с енотом, и с лебедем).

Пока нат или фаер по пути не попадется. С ними ipsec не работает вообще никак - потому что у него видите ли не TCP и не UDP как таковые, а свои уникальные пакеты, требующие от допустим NAT весьма отдельного внимания.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

30. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  +1 +/
Сообщение от Аноним (30), 28-Окт-18, 16:08 
> если перестанет быть линyпc-онли

https://tunsafe.com/

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

31. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  +/
Сообщение от пох (?), 28-Окт-18, 16:44 
>> если перестанет быть линyпc-онли
> https://tunsafe.com/

оно довольно уныло - это обычная userlevel реализация, лазящая в сеть через tap, а один openvpn у нас уже и так есть.

но вообще, конечно, молодцы, что выложили хоть такой код - и судя по гиту, активно пилят.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

38. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  –1 +/
Сообщение от fske (?), 28-Окт-18, 19:11 
>молодцы, что выложили хоть такой код

Вот она новая звезда погромирования! Поприветствуем!

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

75. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  +/
Сообщение от Аноним (-), 31-Окт-18, 04:21 
> оно довольно уныло - это обычная userlevel реализация,

А ты надеешься сподвигнуть майкрософт или эпл написать тебе нормальный впн в ядре? Удачи! Но рак на горе свистнет гораздо быстрее. Гугл от безысходности QUIC родил - потому что убедить MS хотя-бы нормальный шедулинг пакетов сделать - да сейчас! А юзерье с полудохлыми беспроводными линками претензии гугелю выкатывает за такую работу TCP/IP, который думает что это - congestion, а вовсе не. Линуксоиды то врубают какой-нибудь CDG или BBR и им не так мерзко, но юзеры винды то воют и громко.

Ждем когда мазила начнет пиндеть что гугл не только юзерам хрома более компактные картинки в webp грузит, ускоряя загрузку относительно мазилы, но еще и quic использует, так что их сервисы в хром нормально грузятся даже по бельевым веревкам, покуда мазила и прочие IE протупляют на TCP, думающем что это congestion такой...

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

70. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  +/
Сообщение от Гентушник (ok), 30-Окт-18, 06:46 
> https://tunsafe.com/

На всякий случай напоминаю что владелец tunsafe это бывший владелец utorrent.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

85. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  +/
Сообщение от Аноним (-), 01-Ноя-18, 01:32 
Контора жжот напалмом:

Your connection is not secure

The website tried to negotiate an inadequate level of security.

tunsafe.com uses security technology that is outdated and vulnerable to attack. An attacker could easily reveal information which you thought to be safe. The website administrator will need to fix the server first before you can visit the site.

Error code: NS_ERROR_NET_INADEQUATE_SECURITY


У такой компании самое оно VPN покупать.
Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

88. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  +/
Сообщение от пох (?), 01-Ноя-18, 18:58 
ок, пользователи браузера, выводящего полное окно вранья, fud и мусора вместо внятного описания проблемы и кнопки "я знаю, и совсем не бюсь что nsa, о ужас, прочитает мой заход на этот сайт, уже и так спаленый sni", слепо верящие в любую глупость от швятой мурзилки и не менее швятого гугля - не их клиенты.

пользуйтесь gvpe с md4, у них сайт как надо.

Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

89. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  +/
Сообщение от Гентушник (ok), 02-Ноя-18, 11:02 
> У такой компании самое оно VPN покупать.

Но они ничего не продают... (пока)

Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

74. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  +/
Сообщение от Аноним (-), 31-Окт-18, 04:16 
> tinc? А, это те ребята, у которых путем подсовывания левого udp пакетика
> все шифрование множилось на ноль?

Они это исправили сто лет в обед. А так то да, сложное дело криптография. Использовать ее и не лохануться - еще уметь надо.

> очередная любительская поделка, как, собственно, и этот.
> разумеется, ну конечно же, основанная на openssl.

Ну вон openvpn - вполне себе энтерпрайзный. И там столько кода, что ты родишь быстрее чем все это перечитаешь. А сейчас мы еще плагинов донакатим, в перерывах между патчами вулнов в openssl, от которого оно зависит целиком и полностью...

> в крипто за них налажают "специалисты")

Поэтому дяденька DJB подогнал нам правильное апи. В котором трудно лажануть даже нубу.

> еще и взлетит, если перестанет быть линyпc-онли.

Он и линукс-онли взлетит, как интерконект линуксов. Какие-то виндузоиды уже написали реализацию и для винды. Правда, это какаой-то кошмарик чуть ли не на дотнете, но нормальные разработчики с винды здорово поудирали после внедрежки кейлогеров, онлайн акаунтов и прочего, так что уж кушайте что есть. Скажите спасибо что не на электроне! Кейлогеры и онлайн акаунты только таким разработчикам по вкусу. Так что будете жрать ссылки с ютуба оформленные электроном, из виндостора, и только так. Уже проверенная на виндофоне технология. А, и заплатить за это конечно же, монетизация - наше все!

> А пока - пользуемся дальше ipsec.

...который застревает на первом же фаере/нате/чудесатом прове. Если админ раньше не спятит при попытке его конфигурации.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

4. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  +/
Сообщение от Анастасияemail (??), 28-Окт-18, 11:09 
То есть не звезда, а каждый с каждым.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  –1 +/
Сообщение от Нанобот (ok), 28-Окт-18, 11:43 
> На всех узлах виртуальной сети размещается один общий файл конфигурации, неизменный для всех хостов

т.е. при добавлении нового узла админ должен зайти на каждый из узлов и заменить файл конфигурации? Ну допустим. Вот только это противоречит тому, что написано чуть ранее в том же абзаце: "система спроектирована для ... и простоты в настройке"

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  –1 +/
Сообщение от Аноним (7), 28-Окт-18, 11:50 
Откройте для системы управления конфигурациями.

Думаю, тут будет уместен agentless ансибл.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

50. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  +/
Сообщение от Ktoto (?), 29-Окт-18, 10:12 
Он не агент "лесс" - ему нужен пасивный (offline) питон, иначе это просто баш скрипт :-)
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

62. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  –1 +/
Сообщение от SysA (?), 29-Окт-18, 14:59 
А еще где-то есть нормальные системы без питона?
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

53. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  +2 +/
Сообщение от Нанобот (ok), 29-Окт-18, 13:05 
> Откройте для системы управления конфигурациями.

а я тут причём? от того, что я придумаю систему костылей и подпорок для упрощения своей работы, проблема в системе никуда не денется, просто она перестанет меня беспокоить. я вообще-то писал о том, что заявленая простота не соответствует действительности, а не спрашивал, что мне с этим делать

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

83. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  +/
Сообщение от Аноним (83), 31-Окт-18, 16:04 
> а я тут причём? от того, что я придумаю систему костылей и
> подпорок для упрощения своей работы, проблема в системе никуда не денется

Внезапно, все и вся предусмотреть невозможно - поэтому администрирование состоит из костылей и подпорок. А если это отпадет, пожалуй, гламурный манагер в энтерпрайзном управляторе галочки то и сам расставит, а админов тогда можно вообще уволить на мороз будет - они вообще зачем? Ну там оставить пару ботов для протяжки витухи и замены мышек, платя им копье, потому что это может почти каждый. А админ в чистом виде... хыхы...

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

82. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  +/
Сообщение от Аноним (83), 31-Окт-18, 16:00 
> т.е. при добавлении нового узла админ должен зайти на каждый из узлов
> и заменить файл конфигурации? Ну допустим. Вот только это противоречит тому,
> что написано чуть ранее в том же абзаце: "система спроектирована для
> ... и простоты в настройке"

Так у нормальных админов у которых множество узлов - это сделает энтерпрайзный управлятор. Или если это слишком круто - элементарный скрипт на баше. Предусмотрительный админ вообще оформит это пакетом и вместо "зайти на каждый из узлов и заменить файл конфигурации" пакетный менеджер по расписанию сам утянет новый пакет, например, если заранее предполагалось что новую конфигурацию надо раздавать на кучу машин.

А так, внезапно, зайти управлятором или скриптом на машину и положить конфиг ничем не лучше и не хуже чем WMI каким-нибудь или политиками AD реестр патчить. Только еще и выбор инструментов есть, так что можно выбрать адекватный задаче. А у кой-кого только 1-2 глюкавейших инструмента - и даже если работает плохо, фиг чего с этим сделаешь.

Так что как говорится, "Вы не любите кошек? Да вы просто не умеете их готовить!"

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

87. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  +/
Сообщение от Нанобот (ok), 01-Ноя-18, 14:53 
> это сделает энтерпрайзный управлятор

или это сделает сабж...точнее мог бы сделать, если бы умел. и тогда бы заявленая 'простота в настройке' соответствовала действительности

Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

11. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  +/
Сообщение от Гентушник (ok), 28-Окт-18, 12:24 
Чем это лучше tinc?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Чем плох tinc"  –2 +/
Сообщение от Аноним (28), 28-Окт-18, 16:02 
См. комментарий пох выше.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

36. "Чем плох tinc"  +6 +/
Сообщение от fske (?), 28-Окт-18, 18:55 
Пох, и его брат нах, - это местные задрoты-неадекваты, их комментарии не стоят даже упоминания
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

80. "Чем плох tinc"  +/
Сообщение от Аноним (-), 31-Окт-18, 15:48 
> Пох, и его брат нах, - это местные задрoты-неадекваты, их комментарии не
> стоят даже упоминания

Два брата-акробата, типа-крутых-wannabe-юниксоида. Которые однако ж судя по коментам для себя используют обычный маздай. Что делом доказывает - их экспертиза гроша ломаного не стоит, они даже сами себя обслужить не могут своими знаниями и скиллами, так что идут сдаваться в стойло майкрософта, такие все из себя юниксвэйные.

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

41. "Чем плох tinc"  +1 +/
Сообщение от Аноним (41), 28-Окт-18, 21:27 
> См. комментарий пох выше.

Использование умных слов и наличие уверенного вида у данного индивида еще не означают отсутствие лажи. Не раз уже ловили на этом.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

72. "Чем плох tinc"  +/
Сообщение от Аноним (72), 30-Окт-18, 15:45 
Примерно в 5% случаев его посты считаю полезными. Ещё 5 нейтральными. В остальном согласен с вами.
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

81. "Чем плох tinc"  +/
Сообщение от Аноним (-), 31-Окт-18, 15:51 
> Примерно в 5% случаев его посты считаю полезными. Ещё 5 нейтральными. В
> остальном согласен с вами.

Да, иногда на поха находит прозрение и он дело говорит. Но в данном случае он полностью невменяем, достаточно его точку зрения на ipsec посмотреть. И сравнить с точкой зрения нормальных криптографов, безопасников и тех кто впнами на практике пользуется для разнообразных целей. В данном случае господин явно назло бабушке отмораживает уши. Последовать примеру конечно можно, но болеть ущи потом все-таки будут.

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

52. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  +/
Сообщение от Catwoolfii (ok), 29-Окт-18, 11:43 
Встречаются мнения, что tinc нестабилен. Например:
https://habr.com/post/185624/#comment_18918235
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

15. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  +5 +/
Сообщение от Аноним (15), 28-Окт-18, 13:40 
> простоты в настройке. Выбор шифров осуществляется на этапе сборки

очень легко настраивать. нужно выбрать другой шифр - пересобери.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

35. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  –1 +/
Сообщение от FSA (??), 28-Окт-18, 18:24 
> нужно выбрать другой шифр

Я бы перефразировал как "нужен другой шифр, чем используется по умолчанию, пересобери. Таким образом, чтобы атаковать узлы сети нужно ещё и шифр используемый знать. Как защиту конечно нельзя использовать, но, как минимум, дополнительный гемор для взломщика создаёт.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

39. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  +/
Сообщение от dr.rulez (ok), 28-Окт-18, 20:05 
Интересно, но я не совсем понял, чем это лучше SoftEther ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

51. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  +/
Сообщение от johny (??), 29-Окт-18, 10:43 
может быть тем, что с softether большинство всего заявленного тупо не работает?
Два дня убил пытаясь подружить его с mikrotik по eoip , оказалось не реализовано
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

59. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  +/
Сообщение от ктокто (?), 29-Окт-18, 14:29 
ну конечно в этом виноват softether, а не присвятой микротИк
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

60. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  –1 +/
Сообщение от пох (?), 29-Окт-18, 14:56 
"softether - виноват!"(c)яндекс

на самом деле виноват - ну нету у него гармошки.

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

77. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  +/
Сообщение от Аноним (-), 31-Окт-18, 06:27 
У мокротиков vpn-ы традиционно сделаны через известное место. У них и openvpn без гармошки, поэтому с половиной конуигураций тупо не работает. Зато левелов лицензий больше чем у д?рака фантиков...
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

86. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  +/
Сообщение от Аноним (86), 01-Ноя-18, 11:14 
А чего тебя в левелах лицензии не устраивает?
0 - демка на 24 часа;
1 - демка без wi-fi и по 1 подключению к каждому туннелю
2 - нет
3 - продается только с wi-fi мостами, ограничение на 1 wi-fi соединение.
4-6 - весь функционал, отличается только числом туннелей(минимум вроде 200 что уже дофига).

Полноценный OpenVPN ожидается в ROS7, остальные туннели прекрасно работают.

Касательно eoip, так автор ССЗБ - это чисто микротовская закрытая технология, есть реализации от васянов с гитхаба, но их можно рассматривать только как proof-of-concrpt.

Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

58. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  +/
Сообщение от пох (?), 29-Окт-18, 13:47 
> Интересно, но я не совсем понял, чем это лучше SoftEther ?

его (se) не нужно перекомпилировать на всех системах ради  смены  MAC algo ;-)

Ну люди, ну будьте снисходительны - автор этой штуки написал ее за ДЕСЯТЬ гребаных лет до японца.
он не виноват что в одиночку большего у него не вышло.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

84. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  –1 +/
Сообщение от Аноним (84), 31-Окт-18, 16:09 
> он не виноват что в одиночку большего у него не вышло.

И это к лучшему - потому что когда берутся за наворачивание кода и фич оптом, ничего хорошего не получается. Получится очередной openvpn. Который в дефолтной конфигурации вообще не безопасен в результате, очевидную дырень клиенту надо конопатить явно, иначе его может поиметь целый легион. Хотя softether пошел еше дальше и набил в разы больше барахла в свою софтину. Так что сколько там багов и в результате вулнов и возможностей прострелить себе пятку - остается только гадать. Потому что пока оно на правах неуловимого джо и всем лениво в это месиво нос совать.

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

63. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  +/
Сообщение от anonymous (??), 29-Окт-18, 15:08 
есть же fastd: https://fastd.readthedocs.io/en/v18/
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

64. "Проект GNU выпустил GVPE 3.1, инструментарий для создания мн..."  +/
Сообщение от Your Anonymous (?), 29-Окт-18, 15:10 
GVPE - классная штука. Использую у себя кое-где. Очень удобно можно быстро развернуть VPN.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру