Цукубский университет (Япония) объявил (http://www.softether.org/9-about/News/800-open-source) об открытии исходных текстов мультипротокольного и мультиплатформенного VPN-сервера SoftEther VPN (http://www.softether.org/), развиваемого в качестве универсальной и высокопроизводительной альтернативы OpenVPN и VPN-продуктам компании Microsoft. Код опубликован (https://github.com/SoftEtherVPN/SoftEtherVPN/) под лицензией GPLv2. Особенностью SoftEther VPN является поддержка широкого спектра протоколов VPN, что позволяет использовать сервер на базе SoftEther VPN со штатными клиентами Windows (L2TP, SSTP), OS X (L2TP), iOS (L2TP) и Android (L2TP), а также в качестве прозрачной замены сервера OpenVPN.
Ключевые особенности (http://www.softether.org/3-spec) SoftEther VPN:- Поддержка протоколов OpenVPN, L2TP, IPsec, EtherIP, L2TPv3, Cisco VPN Routers и MS-SSTP;
- Поддержка режимов соединения remote-access и site-to-site, на уровнях L2 (Ethernet-bridging) и L3 (IP);
- Совместимость с оригинальними клиентами OpenVPN;
- Туннелирование SSL-VPN посредством HTTPS, позволяет обходить блокировки на уровне межсетевого экрана;
- Возможность работы поверх ICMP и DNS;
- Встроенные механизмы динамического DNS и обхода NAT для обеспечения работы на хостах без постоянного выделенного IP-адреса;
- Высокая производительность, обеспечивающая скорость соединения 1Gbs без существенных требований к объемам оперативной памяти и минимальной нагрузке на центральный процессор;
- Двойной IPv4/IPv6 стек;
- Использование для шифрования AES 256 и RSA 4096;
- Наличие графического интерфейса для настройки и интерфейса командной строки в стиле Cisco IOS;
- Поддержка сервером Windows, Linux, FreeBSD, Solaris и OS X. Поддержка клиентов для Windows, Linux, OS X, Android, iPhone, iPad и Windows Phone.<center><a href="http://www.softether.org/@api/deki/files/4/=1.2.jpg&quo... src="https://www.opennet.ru/opennews/pics_base/0_1389602863.jpg" style="border-style: solid; border-color: #606060; border-width: 1px;" title="" border=0></a></center>
URL: http://www.softether.org/9-about/News/800-open-source
Новость: https://www.opennet.ru/opennews/art.shtml?num=38840
Эмм.. в чем подвох?
у автора закончился контракт с компанией владеющей правами на продажу SoftEther
VPN Server Manager supports the following operating systems.Windows 98 / 98 SE / ME / NT 4.0 SP6a / 2000 SP4 / XP SP2, SP3 /
Server 2003 SP2 / Vista SP1, SP2 / Server 2008 SP1, SP2 /
Hyper-V Server 2008 / 7 SP1 / Server 2008 R2 SP1 /
Hyper-V Server 2008 R2 / 8 / Server 2012 / Hyper-V Server 20122.4.6 Limitations
SoftEther VPN Server Manager is superior administration software whereby
all operation can be conducted from GUI, but it has the following limitations.
Because it supports a Windows GUI, the software will not run on any operating
system other than Windows. Consequently Linux or other UNIX systems cannot
be used to administer SoftEther VPN Server. (SoftEther VPN Server running on
Linux or UNIX system can however be administered from a Windows terminal.)Because it is GUI software, it is not easy to automate administration by
importing script commands that are hard to operate by input from command
line. (It can be done by using other automation tool of GUI operation,
but is not common.)"reboot" command is not implemented in vpncmd command.
Не понимаю, столько "фич" а гуй зачем-то на винду завязали. Сделали уж вебморду, как сейчас модно.Откуда у них вообще любовь к винде при их отношению к пиратству? Еще их любовь к IE.
http://www.linkedin.com/groups/Why-is-Internet-Explorer-stil...Странные они :)
Подвох в GPL2 для клиент-серверной разработки. Она не обеспечивает адекватной защиты от "интеллектуальной собственности".
> Эмм.. в чем подвох?1) Код в несколько раз жирнее openvpn -> намного больше багов.
2) Поддержка несекурных протоколов VPN позволит кому попало снифать как миниму часть траффа закрытой сети. Ну да с openvpn не прокатит проснифать хреново защищенный PPTP, за его отсутствием...
> 2) Поддержка несекурных протоколов VPN позволит кому попало снифать как миниму часть
> траффа закрытой сети. Ну да с openvpn не прокатит проснифать хреново
> защищенный PPTP, за его отсутствием...PPTP там ради заботы о пользователях винды, а не для безопасности. Винда и безопасность несовместимы.
Примеры небезопасности кроме перебора паролец в студию.
Я может хочу заюзать на андроиде.
А зачем что-то еще, кроме перебора, если оно перебором вскрывается на счет раз?
> PPTP там ради заботы о пользователях винды, а не для безопасности. Винда
> и безопасность несовместимы.Однако, поскольку безопасность системы определяется самым слабым звеном, это подставляет и другие, более защищенные системы. Потенциально пуская в огороженный интранет совершенно левых субъектов вломившихся через "не совсем надежный" VPN, разумеется.
> Ну да с openvpn не прокатит проснифать хреново защищенный PPTP, за его отсутствием...ЕМНИП Брюс критиковал в первую очередь виндовую реализацию PPTP, а не сам протокол: https://www.schneier.com/pptp.html (спешащим указать на даты: не слышал, чтоб с тех пор что-то в этой части менялось, хотя с тех пор купили Криспина).
>> Ну да с openvpn не прокатит проснифать хреново защищенный PPTP, за его отсутствием...
> ЕМНИП Брюс критиковал в первую очередь виндовую реализацию PPTPДык его вроде МС и придумали, не?
Не, придумали его US Robotics, затем лицензировала CISCO, а затем уже Microsoft.
> ЕМНИП Брюс критиковал в первую очередь виндовую реализацию PPTP, а не сам протокол:А если абастргироваться от Брюса, то я не вижу чего хорошего можно сказать про PPTP как таковой. Безблагодатный протокол в кривой реализации от подозрительной компании - это, конечно, пи...ц в квадрате, но...
> А если абастргироваться от Брюса, то я не вижу чего хорошего можно
> сказать про PPTP как таковой. Безблагодатный протоколС учётом того, что известные мне благодатные протоколы все как на подбор имеют небинарную реализацию, то лучше от Брюса всё-таки в обсуждении безопасности PPTP не абстрагироваться. :)
>> Эмм.. в чем подвох?
> 2) Поддержка несекурных протоколов VPN позволит кому попало снифать как миниму часть
> траффа закрытой сети.Это от пользователя зависит... в линуксах тоже есть несекурные протоколы...
> Это от пользователя зависит... в линуксах тоже есть несекурные протоколы...Только их там не сватают как официальное решение от производителя. В отличие от PPTP VPN в винде.
ого и это бесплатно?
кучеряво...ждём в репозиториях
Кучеряво там или лохмато, может показать только независимый аудит кода.
<sarcazm>
QNX и NetBSD нет - не нужно, можно закапывать
</sarcazm>=)
<sarcazm>
QNX и NetBSD нет - не нужно, можно закапывать
</sarcazm>
Э-э-э, как это NetBSD не нужно? А если я хочу на своём тостере VPN-концентратор поднять?-)
> Э-э-э, как это NetBSD не нужно? А если я хочу на своём тостере VPN-концентратор поднять?-)Напоминаю, что на легендарном "тостере с NetBSD" с завода стоял линукс.
Может для вас без запятых надо написать, чтобы бы поняли, что я применил двойное отрицание, которое означает, что если нет поддержки netbsd и qnx в этом продукте.
Ты сам запутался в своих отрицаниях и не понимаешь сарказма больше своего собеседника.
Ваш КО.
Разрабатывал много лет для университета, бесплатный продукт, внезапно открыли... Подозрительно годный продукт. Да еще и одна из немногих реализаций MS SSTP. Как то все подозрительно сладенько.
Университет случайно не АНБ спонсируется?
> Университет случайно не АНБ спонсируется?Тогда бы наоборот, закрыли сорцы. Во избежание.
> Тогда бы наоборот, закрыли сорцы. Во избежание.Может у них новая тактика? Это нечто поддерживает кучу несекурных VPN протоколов, типа PPTP всяких. Весь трафф товарищмайор конечно не хапнет, но приличный кусок оного урвать очень даже можно. По сравнению с полным обломом в более надежных протоколах - и такое тоже хлеб...
> Может у них новая тактика? Это нечто поддерживает кучу несекурных VPN протоколов,Один несчастный PPTP (не поддерживать который - значит, положить буй на 90% пользователей-виндyзятников) - это как-то не очень большая куча.
L2TP over IPSec в винде нынче так же поддерживается. В образовательных целях не так давно настраивал между виртуалками.
> Один несчастный PPTP (не поддерживать который - значит, положить буй на 90%
> пользователей-виндyзятников) - это как-то не очень большая куча.Пользователи-виндyзятники могут и openvpn поставить, он для винды есть, если что.
> Packet FilteringРазве в задачи VPN-сервера входит функциональность фаервола? Попахивает леннардом.
> Listen on Multiple TCP/UDP Ports
Вообще-то OpenVPN использует модель "один порт - один процесс". Можно запустить несколько процессов с разными конфигурациями. Очень полезная фича, не факт, что есть в SoftEnter.
А если нужно несколько портов для одного процесса - никто не мешает сделать редирект портов.> GUI Management
Windows-only?
>> Packet Filtering
>Разве в задачи VPN-сервера входит функциональность фаервола? Попахивает леннардом.Вряд ли это леннардизм, имхо. Хоть по проявлениям и похоже. Вспомните, что это был закрытый коммерческий продукт (а, значит, нужны "фичи" и как можно больше "все включено") да ещё и с поддержкой винды (а это автоматом означает, что без комбайна "все-в-одном" ничего относительно эффективного не получится).
У них в офисе гадюшник знатный:
http://www.softether.org/9-about
Our Laboratory :D
Какая лаборатория, такой и код.
Там у них на мониторах игрушка какая-то. Зря времени не теряли.
Нормально, явно приятное место для работы
Поду в Age of Empires II гамают ...
Подвохи:
1. открыть код чтобы парни из правительства не выкручивали руки
2. парням из правительства легче устроить MiM, если открыты исходники и все вокруг думают что здесь все в порядке.
3. Заметен новый тренд: модель внедрения через закрытое ПО дискредитирована, надо переходить на модель внедрения через открытое ПО (обновление, хайджек на дистрибутивы и пр.).
Какой-то фуфел
// Process starting function
void StartProcess() {InitCedar();
StInit();
StStartServer(false);
}
Где InitCedar(); это
void InitCedar() {
if ((init_cedar_counter++) > 0)
return;
InitProtocol();
}
Где InitProtocol(); это
void InitProtocol() {
}Пароль не больше 20
UCHAR MemberPassword[SHA1_SIZE];
#define SHA1_SIZE 20
ifdef UNIX_LINUX
t = UnixExec("/bin/dmesg");Накой им мой dmesg???
---
YESSSS!!! Оно ещё и sysctl за нас рулить будет!!!
И например в SuSE и Debian sysctl живёт в /sbin/sysctl! :D
// Enable / disable the ESP processing in the kernel
void UnixSetEnableKernelEspProcessing(bool b)
{
if (GetOsInfo()->OsType == OSTYPE_MACOS_X)
{
// Mac OS X
if (b)
{
UnixExecSilent("/usr/sbin/sysctl -w net.inet.ipsec.esp_port=4500");
}
else
{
UnixExecSilent("/usr/sbin/sysctl -w net.inet.ipsec.esp_port=4501");
}
}
}А ещё приоритетами. Вот так, просто взяли и врубили nice по максимуму.
Фигня, что на большом трафике может задоссится вся система...
// Raise the priority of the process
void UnixSetHighPriority()
{
if (high_process == false)
{
UINT pid = getpid();
UINT pgid = getpgid(pid);high_process = true;
nice(-20);setpriority(PRIO_PROCESS, pid, -20);
setpriority(PRIO_PGRP, pgid, -20);
}
}
Не считая синтаксической ошибки, это просто проверка (через глобальную переменную),чтобы инициализация была только одна. Все это Заглушки для кода.
void InitCedar() {
if ((init_cedar_counter++) > 0)
return;
InitProtocol();
}
> Все это Заглушки для кода.Просто-так, только кошки родятся.
Согласен. Выглядит очень подозрительно.
>> Все это Заглушки для кода.
> Просто-так, только кошки родятся.Скажем так: код выглядит легко управляемым )
>>> Все это Заглушки для кода.
>> Просто-так, только кошки родятся.
> Скажем так: код выглядит легко управляемым )Да, заморочек не видно! Но чувствуется, что почистили :)
А еще UNIX-way слабо пахнет.
// Close the standard I/O
void UnixCloseIO()
{
static bool close_io_first = false;// Execute only once
if (close_io_first)
{
return;
}
else
{
close(0);
close(1);
close(2);
open("/dev/null", O_RDWR);
dup2(0, 1);
dup2(0, 2);
close_io_first = false; // почаму тут опять false ?
}
}Я конешна понимаю, оптимистичный код, и что open() вернёт первый
свободный файловый дескриптор, но блин - close(0) может не сработать.
А ещё более вероятнее open(/dev/null), например на системах с SELinux
> но блин - close(0) может не сработать.Ээээ это ты еще не видел бакланов использующих "кульные технологии" типа RAII в си++. Там на такие мелочи вообще совершенно штатно кладут с прибором.
Навскидку твоя чушь:
1) Они рулят sysctl в макоси. При чем здесь дебиан с сусью?
2) сюрприз - sha1-хеш - 20 байт. Хеш у них там, а не сырой пароль.
> Навскидку твоя чушь:Я в детали не углублялся.
> YESSSS!!! Оно ещё и sysctl за нас рулить будет!!!
> И например в SuSE и Debian sysctl живёт в /sbin/sysctl! :DВо-первых, насколько я помню, в сусе начиная с 12.3 sysctl в /usr/sbin.
Во-вторых, я бы прежде всего обратил внимание на название настройки net.inet.ipsec.esp_port. В линуксе, насколько я знаю, такой нет.
>> YESSSS!!! Оно ещё и sysctl за нас рулить будет!!!
>> И например в SuSE и Debian sysctl живёт в /sbin/sysctl! :D
> Во-первых, насколько я помню, в сусе начиная с 12.3 sysctl в /usr/sbin.Есть ещё 12 версий до него, и 100500 других дистрибутивов.
> Во-вторых, я бы прежде всего обратил внимание на название настройки net.inet.ipsec.esp_port.
> В линуксе, насколько я знаю, такой нет.Да, это макосьная.
/ Initialize Cedar communication module
void InitCedar()
{
if ((init_cedar_counter++) > 0)
{
return;
}синтаксическая ошибка
x++ + ++x == ?Никогда не понимал зачем делать инкремент прямо в условии. Хорошо хоть не undefined behavior, как в знаменитом примере выше.
> x++ + ++x == ?TRUE
(не, если конечно в это время сдохнет сумматор в процессоре, то ZF станет 1 и вернётся FALSE )
UB. Смотри стандарт. Это не ассемблер, здесь компилятор что угодно накрутить имеет право.
Ясно, в понедельник юмор не работает, у него стоит знак == (сравнение)
а результат его работы только TRUE и FALSE :)
> Никогда не понимал зачем делать инкремент прямо в условииМожет ты ещё for в 5 строчек пишешь?
>> Никогда не понимал зачем делать инкремент прямо в условии
> Может ты ещё for в 5 строчек пишешь?Я обычно делаю i = N; while(i--){…}
Но, по крайней мере в циклах наличие инкремента/декремента подразумевается. Оно там логично и уместно, а вот пихать его в условие ветвления как-то нелогично и неуместно. Тем более, что значение повышается на 1 не зависимо от того входим ли мы в true-ветку или нет и это поведение не очевидно.
Скомпилил это чудо, получилось 4 бинарника - vpnbridge, vpnclient, vpncmd и vpnserver[root@darkstar vpnserver]# ./vpnserver --help
SoftEther VPN Server Service Program
Copyright (c) SoftEther VPN Project. All Rights Reserved.vpnserver Command Usage:
vpnserver start - Start SoftEther VPN Server Service.
vpnserver stop - Stop SoftEther VPN Server Service if the service is already started.[root@darkstar vpnserver]#
Почитал доки, получается 3 из 4 умеют только запускаться и останавливаться, а vpncmd их конфигурит, причем вся документация на сайте, в архиве с исходниками нет ничерта, и на сайте доки по больщей части сплошные скрины виндовых форточек, где всякие няшные галочки стоят, есть раздел о консольной конфигураторе - vpncmd, в нем самом есть кое-какая хэлпа по отдельным командам, имхо, оно тянет с собой добрый кусок требуемых либов в скомипиленном виде, и соответственно компилится в жирные бинарники с минимумом зависимостей, то есть портировать это на встраеваемые системы хрен получится. судя по указанному кол-ву строк кода, и кол-ву дублированных системных функций, таких как генерация ключей, которых в винде может и нет, но в других-то системах есть, функционал не шибко превосходит тот же openvpn, уж всяко не в 3 раза.
будем надеяться что сформируется сообщество, которое запилит и вебморду, и код сделает более правильным и гуйню на qt сделает, и только после этого можно будет пытаться использовать эту штуку на реальных линуксах.
да фиг его знает, а кому это надо? линукс и сам по себе комбайн ни слабый, можно трафиком вертеть как угодно. Впн овер днс - это зачем вообще, ну поиграться, ну найдется пара тройка реальных примеров использования, кстате, у меня провайдер из числа особо одаренных - они раздают белые ip, но при блокировке режут только исходящий канал и соответственно днс остается доступен для отправки и приема пакетов для доступа к личному кабинету, то есть можно замутить отправку пакетов через днс, и прием через udp, но сильно сомневаюсь, что эта софтина позволит это сделать. да и если так уж юзать активно эту дыру закроют ее легко и все будет зря.
> да фиг его знает, а кому это надо? линукс и сам по
> себе комбайн ни слабый, можно трафиком вертеть как угодно. Впн овер
> днс - это зачем вообще, ну поиграться, ну найдется пара тройка
> реальных примеров использования, кстате, у меня провайдер из числа особо одаренных
> - они раздают белые ip, но при блокировке режут только исходящий
> канал и соответственно днс остается доступен для отправки и приема пакетов
> для доступа к личному кабинету, то есть можно замутить отправку пакетов
> через днс, и прием через udp, но сильно сомневаюсь, что эта
> софтина позволит это сделать. да и если так уж юзать активно
> эту дыру закроют ее легко и все будет зря.пару лет подобное было у киевстара на услуге с посуточной оплатой, тока там если не было счету что-то вроде 7 грн за сутки, активировался контекст но закрывался tcp наружу. udp в мир - и опенвпн, и esp udp encap ходили. тормозное, правда, потому что едж.
Всё, что делается в университетах/коммерческих фирмах, как правило, феерическое говноhttps://github.com/SoftEtherVPN/SoftEtherVPN/blob/master/con...
https://github.com/SoftEtherVPN/SoftEtherVPN/blob/master/src...
Сильное подозрение что это чудо вообще не работает =)
Ну к примеру https://github.com/SoftEtherVPN/SoftEtherVPN/blob/master/src...
Такое ощущение, что весь ит мир ждал всю эпоху кросплатформенного, многопротокольного, скоростного, легко рабочего свободного L2 туннеля (черт побери, я не верю!), и когда запестрили новости об этом, у всех случился ступор. Если не ошибаюсь, то там у них проблемы с открытием некоторых модулей, ориентировочно к лету должны максифри сделать. С нетерпением жду(м)!
а какже его банить теперь?
http://services.netscreen.com/documentation/signatures/P2P:A...
И плюсуют и плюсуют подобные новости несведущие хомлюди.Неужели вы до сих пор не поняли, что софт, на разработку которого затрачены миллионы и десятки миллионов, открывают лишь в нескольких случаях.
Во-первых, например Google, делает это когда софт теряет свою актуальность, корпорация его больше не использует и они типо такой подарок делают, всё равно выкидывать.
Во-вторых, одну версию делают открытой, а другая - платная, открытая версия является лишь урезанной рекламкой платной версии.
В-третьих, софт открытый, но реально прогой можно пользоваться только заплатив, службы платные или программу делают сложной и берут бабло за консультации, обслуживание, техпомощь итд.Дополняйте...
Open VPN vs SoftEther VPN .... Fight!
Странно, что они сравнивают только с OpenVPN. Такое впечатление, что они не знают других VPN серверов.
