The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

28.10.2018 10:25  Проект GNU выпустил GVPE 3.1, инструментарий для создания многоузлового VPN

Представлен новый выпуск инструментария GVPE 3.1 (GNU Virtual Private Ethernet), позволяющего поверх не заслуживающей доверия коммуникационной среды развернуть VPN, связывающий защищённым каналом связи сразу несколько узлов (many-to-many VPN). В выпуске GVPE 3.1 добавлена официальная поддержка библиотеки LibreSSL и API OpenSSL 1.1. Проект GVPE позволяет создавать виртуальные защищённые Ethernet-сети, объединяя хосты шифрованными туннелями и работая в условиях, когда узлы не доверяют друг другу. Наиболее типичным применением GVPE является безопасное соединение территориально разнесённых сетевых шлюзов филиалов предприятия.

Туннели могут создаваться поверх различных транспортных протоколов (UDP, TCP, RAW IP, ICMP, DNS). В отличие от традиционных VPN, создающих один туннель, в GVPE воссоздаётся структура реальной сети, в которой все узлы соединяются друг с другом отдельными шифрованными туннелями. Система спроектирована для обеспечения высокой надёжности и простоты в настройке. Выбор шифров осуществляется на этапе сборки. На всех узлах виртуальной сети размещается один общий файл конфигурации, неизменный для всех хостов. Каждый узел хранит свой закрытый RSA-ключ и открытые ключи остальных узлов.

Механизм аутентификации основан на ключах ECDH (curve25519) и шифровании RSA-OEAP. Для шифрования канала связи могут применяться AES-128, AES-192 или AES-256 с кодами проверки подлинности и аутентификации источника данных (HMAC). Для хэширования могут использоваться алгоритмы MD4, SHA1, RIPEMD160, SHA256 и Blowfish. Алгоритмы выбираются в зависимости от требований к производительности и защищённости. Для защиты от сниффинга и подстановки фиктивных пакетов применяется фильтрация пакетов на основе MAC (Message Authentication Code), все пакеты каждого узла аутентифицируются.

  1. Главная ссылка к новости (https://www.mail-archive.com/i...)
  2. OpenNews: Для включения в состав ядра Linux предложен VPN WireGuard
  3. OpenNews: Зафиксирована подмена Chrome-дополнения Hola VPN, имеющего 8.7 млн пользователей
  4. OpenNews: 20% VPN раскрывают внутренний IP-адрес пользователя через WebRTC
  5. OpenNews: В SoftEther VPN найдено 11 уязвимостей
  6. OpenNews: Обновление OpenVPN 2.4.4 с устранением уязвимости
Лицензия: CC-BY
Тип: Программы
Ключевые слова: vpn, gvpe
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (1), 10:35, 28/10/2018 [ответить] [показать ветку] [···]    [к модератору]
  • –12 +/
    Интересный коленкор, узлы не доверяют друг другу, но открытый сертификат хранят.. И что будет, если один из узлов хакнут?
     
     
  • 2.6, Fyjybv755 (?), 11:45, 28/10/2018 [^] [ответить]    [к модератору]
  • +5 +/
    И что можно сделать с сертификатами других узлов?

    Вы с закрытыми ключами не путаете?

     
  • 2.46, Аноним (46), 08:37, 29/10/2018 [^] [ответить]    [к модератору]
  • +/
    Зачем хакать? Достаточно вырубить промежуточный узел из розетки :)
     
  • 2.65, Игорь (??), 15:23, 29/10/2018 [^] [ответить]    [к модератору]
  • +/
    Имелась ввиду среда передачи, такие как интернет или чужие сети
    все то же самое, что для vtun, tinc, openvpn
     
  • 2.73, Аноним (73), 04:09, 31/10/2018 [^] [ответить]    [к модератору]
  • +/
    Очевидно, атакующий сможет посылать пакеты от имени хакнутого узла. Ваш Кэп.
     
  • 1.2, Аноним (2), 10:36, 28/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    А как по скорости?
    кто тестил?
     
     
  • 2.24, GNU (?), 14:43, 28/10/2018 [^] [ответить]    [к модератору]  
  • –5 +/
    А как по скорости Tor?
    ты тестил?
     
     
  • 3.44, Аноним (44), 00:49, 29/10/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    the Onion router
     
  • 1.3, Аноним (3), 11:08, 28/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    tinc? не не слышали.
     
     
  • 2.8, пох (?), 12:03, 28/10/2018 [^] [ответить]     [к модератору]  
  • +3 +/
    tinc А, это те ребята, у которых путем подсовывания левого udp пакетика все шиф... весь текст скрыт [показать]
     
     
  • 3.10, asd (??), 12:10, 28/10/2018 [^] [ответить]    [к модератору]  
  • +/
    А что такого в wireguard? Ну линуксовый, и хорошо? Али нужен како ещё?
     
     
  • 4.20, пох (?), 14:22, 28/10/2018 [^] [ответить]     [к модератору]  
  • –2 +/
    ну в целом он вообще не нужен, конечно Но лайтвейт-крипто без громадных мутных ... весь текст скрыт [показать]
     
     
  • 5.40, Аноним (40), 21:17, 28/10/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Специальные люди на специальном железе со специальными бекдорами.
     
     
  • 6.61, пох (?), 14:58, 29/10/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    а в модных неверифицированных djb-алгоритмах бэкдоры неспециальные, тебе они больше нравятся?

    (за что купил, за то и продаю - в смысле, я в те бэкдоры верю примерно как в эти)

     
     
  • 7.76, Аноним (-), 06:24, 31/10/2018 [^] [ответить]     [к модератору]  
  • +/
    То что DJB выдал на гора - толпа приличных криптографов смотрела и довольно мног... весь текст скрыт [показать]
     
  • 3.13, Аноним (3), 13:40, 28/10/2018 [^] [ответить]    [к модератору]  
  • +/
    множилось или множиться? а так то от ошибок никто не застрахован.
     
  • 3.17, Аноним (3), 13:42, 28/10/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    и вообще мой комментарий был к тому, что уже есть проект с подобной идеей и можно было его развивать вместо создания нового
     
     
  • 4.21, пох (?), 14:25, 28/10/2018 [^] [ответить]     [к модератору]  
  • –2 +/
    я бы вот попросил бы, насчет нового gvpe лет поболее десяти уже, в среднюю шк... весь текст скрыт [показать]
     
  • 3.18, fske (?), 13:45, 28/10/2018 [^] [ответить]     [к модератору]  
  • +4 +/
    И много ли ты айписеком всякие маковендофряхи между собой связываешь И да, речь... весь текст скрыт [показать]
     
     
  • 4.19, пох (?), 14:18, 28/10/2018 [^] [ответить]     [к модератору]  
  • –4 +/
    знаток детектед к твоему сведению, в маке и виндах с ipsec все прекрасненько - ... весь текст скрыт [показать]
     
     
  • 5.34, Аноним (34), 17:33, 28/10/2018 [^] [ответить]    [к модератору]  
  • +/
    И как твой ipsec работает при наличие двух каналов на обоих сторонах?
     
     
  • 6.49, Евгений (??), 10:10, 29/10/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Это действительно интересно? Работает, хорошо работает.
     
     
  • 7.69, Аноним (69), 21:15, 29/10/2018 [^] [ответить]    [к модератору]  
  • +/
    не было бы интересно не спрашивал. Везде где задаются этим вопросом, советуют смотреть в сторону dmvpn.
     
     
  • 8.71, Евгений (??), 10:43, 30/10/2018 [^] [ответить]    [к модератору]  
  • +/
    Советую обойтись без туннельных интерфейсов. Баг, на который Вы намекаете, не относится к ipsec. Или, "смотрите в сторону" vrf.
     
  • 5.37, fske (?), 19:06, 28/10/2018 [^] [ответить]     [к модератору]  
  • +5 +/
    В линуксе с ipsec тоже всё нормально, просто реализаций больше чем одна и они др... весь текст скрыт [показать]
     
     
  • 6.45, Аноним (45), 04:58, 29/10/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    cisco и juniper с помощью ipsec вполне себе рабочая тема и без видосиков..
     
  • 5.42, Наше имя Легион (?), 22:13, 28/10/2018 [^] [ответить]     [к модератору]  
  • +/
    а ведь на говновендах реализация айписек - тоже говнище ещё то The built-in ... весь текст скрыт [показать]
     
     
  • 6.55, пох (?), 13:22, 29/10/2018 [^] [ответить]     [к модератору]  
  • –2 +/
    а вот и не пользуйтесь ike2, оно и железом поддерживается только новым-модным, с... весь текст скрыт [показать]
     
  • 5.48, EHLO (?), 09:15, 29/10/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Давай, рассказывай про падучие демоны, недокументированные конфиги у Swan и как... весь текст скрыт [показать]
     
  • 5.78, Аноним (-), 15:44, 31/10/2018 [^] [ответить]     [к модератору]  
  • +/
    Кроме того что настраивается через зад и работает так же Настройка ipsec в винд... весь текст скрыт [показать]
     
  • 4.43, Аноним (43), 23:41, 28/10/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    > маковендофряхи

    мак не юзал, а виндовый ipsec (xp и 7) прекрасно работает с фряшным (и с енотом, и с лебедем).

     
     
  • 5.47, EHLO (?), 09:05, 29/10/2018 [^] [ответить]     [к модератору]  
  • +/
    Только если параметры SA у пиров дауншифтить до уровня винды IKEv1, PFS no и то... весь текст скрыт [показать]
     
  • 5.79, Аноним (-), 15:46, 31/10/2018 [^] [ответить]     [к модератору]  
  • +/
    Пока нат или фаер по пути не попадется С ними ipsec не работает вообще никак - ... весь текст скрыт [показать]
     
  • 3.30, Аноним (30), 16:08, 28/10/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > если перестанет быть линyпc-онли

    https://tunsafe.com/

     
     
  • 4.31, пох (?), 16:44, 28/10/2018 [^] [ответить]     [к модератору]  
  • +/
    оно довольно уныло - это обычная userlevel реализация, лазящая в сеть через tap,... весь текст скрыт [показать]
     
     
  • 5.38, fske (?), 19:11, 28/10/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    >молодцы, что выложили хоть такой код

    Вот она новая звезда погромирования! Поприветствуем!

     
  • 5.75, Аноним (-), 04:21, 31/10/2018 [^] [ответить]     [к модератору]  
  • +/
    А ты надеешься сподвигнуть майкрософт или эпл написать тебе нормальный впн в ядр... весь текст скрыт [показать]
     
  • 4.70, Гентушник (ok), 06:46, 30/10/2018 [^] [ответить]    [к модератору]  
  • +/
    > https://tunsafe.com/

    На всякий случай напоминаю что владелец tunsafe это бывший владелец utorrent.

     
     
  • 5.85, Аноним (-), 01:32, 01/11/2018 [^] [ответить]     [к модератору]  
  • +/
    Контора жжот напалмом code Your connection is not secure The website tried to... весь текст скрыт [показать]
     
     
  • 6.88, пох (?), 18:58, 01/11/2018 [^] [ответить]    [к модератору]  
  • +/
    ок, пользователи браузера, выводящего полное окно вранья, fud и мусора вместо внятного описания проблемы и кнопки "я знаю, и совсем не бюсь что nsa, о ужас, прочитает мой заход на этот сайт, уже и так спаленый sni", слепо верящие в любую глупость от швятой мурзилки и не менее швятого гугля - не их клиенты.

    пользуйтесь gvpe с md4, у них сайт как надо.

     
  • 6.89, Гентушник (ok), 11:02, 02/11/2018 [^] [ответить]    [к модератору]  
  • +/
    > У такой компании самое оно VPN покупать.

    Но они ничего не продают... (пока)

     
  • 3.74, Аноним (-), 04:16, 31/10/2018 [^] [ответить]     [к модератору]  
  • +/
    Они это исправили сто лет в обед А так то да, сложное дело криптография Исполь... весь текст скрыт [показать]
     
     ....нить скрыта, показать (33)

  • 1.4, Анастасия (??), 11:09, 28/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    То есть не звезда, а каждый с каждым.
     
  • 1.5, Нанобот (ok), 11:43, 28/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    > На всех узлах виртуальной сети размещается один общий файл конфигурации, неизменный для всех хостов

    т.е. при добавлении нового узла админ должен зайти на каждый из узлов и заменить файл конфигурации? Ну допустим. Вот только это противоречит тому, что написано чуть ранее в том же абзаце: "система спроектирована для ... и простоты в настройке"

     
     
  • 2.7, Аноним (7), 11:50, 28/10/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Откройте для системы управления конфигурациями.

    Думаю, тут будет уместен agentless ансибл.

     
     
  • 3.50, Ktoto (?), 10:12, 29/10/2018 [^] [ответить]    [к модератору]  
  • +/
    Он не агент "лесс" - ему нужен пасивный (offline) питон, иначе это просто баш скрипт :-)
     
     
  • 4.62, SysA (?), 14:59, 29/10/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    А еще где-то есть нормальные системы без питона?
     
  • 3.53, Нанобот (ok), 13:05, 29/10/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    а я тут причём от того, что я придумаю систему костылей и подпорок для упрощени... весь текст скрыт [показать]
     
     
  • 4.83, Аноним (83), 16:04, 31/10/2018 [^] [ответить]     [к модератору]  
  • +/
    Внезапно, все и вся предусмотреть невозможно - поэтому администрирование состоит... весь текст скрыт [показать]
     
  • 2.82, Аноним (83), 16:00, 31/10/2018 [^] [ответить]     [к модератору]  
  • +/
    Так у нормальных админов у которых множество узлов - это сделает энтерпрайзный у... весь текст скрыт [показать]
     
     
  • 3.87, Нанобот (ok), 14:53, 01/11/2018 [^] [ответить]    [к модератору]  
  • +/
    > это сделает энтерпрайзный управлятор

    или это сделает сабж...точнее мог бы сделать, если бы умел. и тогда бы заявленая 'простота в настройке' соответствовала действительности

     
  • 1.11, Гентушник (ok), 12:24, 28/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Чем это лучше tinc?
     
     
  • 2.28, Аноним (28), 16:02, 28/10/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    См. комментарий пох выше.
     
     
  • 3.36, fske (?), 18:55, 28/10/2018 [^] [ответить]    [к модератору]  
  • +6 +/
    Пох, и его брат нах, - это местные задрoты-неадекваты, их комментарии не стоят даже упоминания
     
     
  • 4.80, Аноним (-), 15:48, 31/10/2018 [^] [ответить]     [к модератору]  
  • +/
    Два брата-акробата, типа-крутых-wannabe-юниксоида Которые однако ж судя по коме... весь текст скрыт [показать]
     
  • 3.41, Аноним (41), 21:27, 28/10/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > См. комментарий пох выше.

    Использование умных слов и наличие уверенного вида у данного индивида еще не означают отсутствие лажи. Не раз уже ловили на этом.

     
     
  • 4.72, Аноним (72), 15:45, 30/10/2018 [^] [ответить]    [к модератору]  
  • +/
    Примерно в 5% случаев его посты считаю полезными. Ещё 5 нейтральными. В остальном согласен с вами.
     
     
  • 5.81, Аноним (-), 15:51, 31/10/2018 [^] [ответить]     [к модератору]  
  • +/
    Да, иногда на поха находит прозрение и он дело говорит Но в данном случае он по... весь текст скрыт [показать]
     
  • 2.52, Catwoolfii (ok), 11:43, 29/10/2018 [^] [ответить]    [к модератору]  
  • +/
    Встречаются мнения, что tinc нестабилен. Например:
    https://habr.com/post/185624/#comment_18918235
     
  • 1.15, Аноним (15), 13:40, 28/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +5 +/
    > простоты в настройке. Выбор шифров осуществляется на этапе сборки

    очень легко настраивать. нужно выбрать другой шифр - пересобери.

     
     
  • 2.35, FSA (??), 18:24, 28/10/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Я бы перефразировал как нужен другой шифр, чем используется по умолчанию, перес... весь текст скрыт [показать]
     
  • 1.39, dr.rulez (ok), 20:05, 28/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Интересно, но я не совсем понял, чем это лучше SoftEther ?
     
     
  • 2.51, johny (??), 10:43, 29/10/2018 [^] [ответить]    [к модератору]  
  • +/
    может быть тем, что с softether большинство всего заявленного тупо не работает?
    Два дня убил пытаясь подружить его с mikrotik по eoip , оказалось не реализовано
     
     
  • 3.59, ктокто (?), 14:29, 29/10/2018 [^] [ответить]    [к модератору]  
  • +/
    ну конечно в этом виноват softether, а не присвятой микротИк
     
     
  • 4.60, пох (?), 14:56, 29/10/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    "softether - виноват!"(c)яндекс

    на самом деле виноват - ну нету у него гармошки.

     
     
  • 5.77, Аноним (-), 06:27, 31/10/2018 [^] [ответить]    [к модератору]  
  • +/
    У мокротиков vpn-ы традиционно сделаны через известное место. У них и openvpn без гармошки, поэтому с половиной конуигураций тупо не работает. Зато левелов лицензий больше чем у д?рака фантиков...
     
     
  • 6.86, Аноним (86), 11:14, 01/11/2018 [^] [ответить]     [к модератору]  
  • +/
    А чего тебя в левелах лицензии не устраивает 0 - демка на 24 часа 1 - демка бе... весь текст скрыт [показать]
     
  • 2.58, пох (?), 13:47, 29/10/2018 [^] [ответить]     [к модератору]  
  • +/
    его se не нужно перекомпилировать на всех системах ради смены MAC algo - Н... весь текст скрыт [показать]
     
     
  • 3.84, Аноним (84), 16:09, 31/10/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    И это к лучшему - потому что когда берутся за наворачивание кода и фич оптом, ни... весь текст скрыт [показать]
     
  • 1.63, anonymous (??), 15:08, 29/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    есть же fastd: https://fastd.readthedocs.io/en/v18/
     
  • 1.64, Your Anonymous (?), 15:10, 29/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    GVPE - классная штука. Использую у себя кое-где. Очень удобно можно быстро развернуть VPN.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor