The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление OpenVPN 2.4.9

17.04.2020 08:33

Сформирован корректирующий выпуск пакета для создания виртуальных частных сетей OpenVPN 2.4.9. В новой версии устранена уязвимость (CVE-2020-11810), позволяющая перевести сеанс клиента на новый IP-адрес, который до этого не был авторизирован. Проблема может быть использована для прерывания только что подключившегося клиента на стадии, когда уже сформирован peer-id, но не завершено согласование сессионных ключей (один клиент может остановить сеансы других клиентов).

Среди других изменений:

  • На платформе Windows разрешено использовать поисковые unicode-строки в опции "--cryptoapicert";
  • Обеспечен пропуск просроченных сертификатов в хранилище сертификатов Windows;
  • Решена проблема с невозможностью загрузки нескольких размещённых в одном файле CRL (Certificate Revocation List) при использовании опции "--crl-verify" на системах c OpenSSL;
  • При использовании опции"--auth-user-pass file" при наличии в файле только имени пользователя для запроса пароля теперь требуется наличие интерфейса для управления учётными данными (запрос пароля средствами OpenVPN через вывод приглашения в консоли прекращён);
  • Изменён порядок проверки интерактивных сервисов пользователя (в Windows вначале проверяется местоположение конфигурации, а затем отправляется запрос контроллеру домена);
  • Решены проблемы со сборкой на платформе FreeBSD при использовании флага "--enable-async-push".


  1. Главная ссылка к новости (https://github.com/OpenVPN/ope...)
  2. OpenNews: Обновление OpenVPN 2.4.8
  3. OpenNews: Доступен VPN WireGuard 1.0.0
  4. OpenNews: Уязвимость в OpenVPN, которая может привести к выполнению кода на сервере
  5. OpenNews: Выпуск SoftEther VPN Developer Edition 5.01.9671
  6. OpenNews: Завершён аудит проекта OpenVPN
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/52752-openvpn
Ключевые слова: openvpn, vpn, tunnel
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (116) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 08:59, 17/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –23 +/
    Все уже давно на WireGuard.
     
     
  • 2.4, Аноним (4), 09:02, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • –11 +/
    >все уже давно на зонде

    Исправил.

     
     
  • 3.11, Аноним (11), 09:50, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    И я чём зондовость WireGuard?
     
     
  • 4.59, OpenEcho (?), 14:54, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >И я чём зондовость WireGuard?

    https://www.opennet.ru/openforum/vsluhforumID3/118881.html?n=OpenEcho#29

    IMHO, Единственное что поменялось, так это aудит

     
     
  • 5.113, Аноним (113), 01:51, 19/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну и зачем клиенту знать валидность сервера если соединение тупо не установится? Каким образом будешь организовывать MITM? Твой  OpenEcho дурик.
     
     
  • 6.120, OpenEcho (?), 13:10, 20/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну и зачем клиенту знать валидность сервера если соединение тупо не установится?
    > Каким образом будешь организовывать MITM? Твой  OpenEcho дурик.

    Если "не дурик" орграничен домашним raspberry pi, на котором были сгенерированы ключи для сервера и телефона/клиента находящиеся в одной и той же комнате, то ты "выиграл", нет канала для обмена ключами, - нет МИТМ...

    Но вот если у "не дурика" большая, разнесенная сеть по всему миру и не всегда есть возможность оплатить курьера, который прилетит ASAP и получит ключики из руки в руки, под расписку, то ключиками прийдется обмениваться через стороний канал. А если есть канал, значит кто то  может быть MITM. Значит валидировать сервер(и клиента) очень даже полезно, даже "не дурику" ...

     
  • 3.14, Аноним (14), 09:55, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Если в бочку дегтя добавить ложку дегтя. Она все равно останется бочкой дегтя.
     
  • 3.64, Аноним (64), 15:27, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Так вставай с зонда, кто мешает?
     
  • 2.18, КО (?), 10:04, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Тото в первый раз слышу
     
     
  • 3.21, Аноним (21), 10:22, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Эх совсем ты нафталином пропах. На просвещайся https://www.opennet.ru/opennews/art.shtml?num=52636
     
     
  • 4.38, AlexYeCu_not_logged (?), 12:40, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    >Эх совсем ты нафталином пропах.

    Деточка, ты кидаешь взрослым дядям ссылку чуть более, чем двухнедельной давности на релиз под номером один. Ты хоть понимаешь, как смешно на этом фоне выглядят громкие утверждения вида «все уже давно»? «Давно» это ну пусть десять лет как. Но уж никак не две недели.

     
     
  • 5.48, Michael Shigorin (ok), 14:01, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Осторожно, набьёте деточке психотравмочку!

    http://vz.ru/opinions/2020/4/16/1034111.print.html

     
     
  • 6.62, Аноним (62), 15:22, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не читайте советских газет.
     
  • 6.91, Аноним (-), 03:03, 18/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    самоирония норм, одобряю, в кои-то веки.
     
  • 2.30, llol (?), 11:52, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +10 +/
    > Все уже давно на WireGuard.

    И давно уже эта поделка, где во главу угла поставлено "там всего 4000 строк кода" умеет хотябы сотую часть того, что умеет OpenVPN? Где динамические маршруты для клиентов? Wireguard либо может гнать весь траффик через себя, либо все клиенты (а их могут быть тысячи) должны ручками прописывать подсеточки, в которые ходить через VPN.

    Так что вирегард для мамкиных хацкиров. Компании уровня Яндекс продолжают использовать OpenVPN. ;))

     
     
  • 3.33, Аноним (21), 12:07, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Все эти свистелки только тормозят и скорость занижают. А компании уровня Тындекса всегда могут залить проблему железом.
     
     
  • 4.37, llol (?), 12:37, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > А компании уровня Тындекса всегда могут залить проблему железом.

    Как ты собираешься заливать железом проблему того, что 10000 сотрудников надо регулярно менять конфиг и добавлять сетки, в которые нужно роутить трафик, чукча? ;))

    И как то, что openvpn пушит не default route, а 20 подсетей, "скорость занижает", эгзперд ты мамкин, llol? ;)))

     
  • 3.34, llolik (ok), 12:08, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > Так что вирегард для мамкиных хацкиров.

    Ну почему. Туннель-то можно сделать. Другое дело что это ТОЛЬКО туннель и ни на что другое оно не подписывалось, а его предлагают зачем-то совать всюду, куда оно даже и в принципе не натягивается.

     
     
  • 4.36, Аноним (21), 12:12, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это синдром Гитлаба надо быть сразу всем и все включить в себя. С одной стороны удобно с другой стороны не всем нужны эти неповоротливые комбайны.
     
  • 4.89, 000001 (?), 00:41, 18/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    этот вуайергад просто ширма под завесой которой в ядро вставили скомпрометированную криптографичекую систему.
     
  • 2.42, Анином (?), 12:57, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Услышал новое козырное слово? :)
     
  • 2.47, Аноним (47), 13:56, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Он же TCP не поддерживает
     
  • 2.115, Ilya Indigo (ok), 16:22, 19/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Его по дефолту только в последнем ядре добавили, которое далеко не LTS!
    Так что ещё далеко не все.
     

  • 1.2, Sergey (??), 08:59, 17/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    На оффсайте по ссылке написано обратное:

    fix condition where a client's session could "float" to a new IP address that is not authorized ("fix illegal client float").

    This can be used to disrupt service to a freshly connected client (no session keys negotiated yet).

    >>> It can not be used to inject or steal VPN traffic. CVE-2020-11810, trac #1272). <<<

     
  • 1.3, Аноним (3), 09:00, 17/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    Почему всем не использовать стандартный ipsec?

    Ладно удобство openvpn можно понять.

    Wireguard прозапас?

    А зачем нужно столько реализаций: openswan,libreswan, freeswan, strongswan...

     
     
  • 2.5, Аноним (5), 09:08, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Почему всем не использовать стандартный ipsec?

    В каком месте он стандартный? Для чего он стандартный?

     
     
  • 3.9, llolik (ok), 09:37, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я так понял имелось ввиду, что реализация ipsec в том или ином виде везде есть (даже в смартфонах). OpenVPN нужно помимо сервера везде ещё и клиенты воздвигать.

    ЗЫ. Сам в связи с этими танцами с удалёнкой за три недели несколько раз поднимал StrongSwan+xl2tpd в разных местах (не только у себя - у меня уже давно есть).

     
     
  • 4.10, Аноним (5), 09:44, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > имелось ввиду, что реализация ipsec в том или ином виде везде есть

    Ну да, на _слово_ IPSec можно наткнуться везде. Но муля в том, что везде он именно что "в том или ином виде"... Иногда настолько ином, что и фиг знает, что с ним, таким иным, делать. Вон, ввинде его вообще зачем-то гвоздями к l2tp прибили. А в опенке, кажется, вообще две разных реализации протокола. Так что о стандарте говорить неполиткорректно :)

     
     
  • 5.20, llolik (ok), 10:13, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > делать. Вон, ввинде его вообще зачем-то гвоздями к l2tp прибили.

    Это c 8.1/10 повелось? Мне интересно, потому что я сразу с l2tp поднимаю и возможно не сталкивался. Семёрка, насколько я знаю, умеет и без l2tp.
    > в опенке, кажется, вообще две разных реализации протокола.

    Ни разу не встречал Опёнка в проде в живой природе, но допускаю, что кто-то использует.

    Из серьёзных траблов встречалось, пока, что Андроид стандартно IKEv2 не умеет. Только или StrongSwan клиент ставить или на сервере оставлять fallback IKEv1. Возможно нарвусь ещё на какие траблы, потому что пока дело ограничивалось вверенным предприятием - более менее знаешь где что может вылезти. А вот сейчас пришлось помогать соседям ... может что и новое узнаю.

     
     
  • 6.27, Аноним (5), 10:36, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Это c 8.1/10 повелось? Мне интересно, потому что я сразу с l2tp поднимаю и возможно не сталкивался. Семёрка, насколько я знаю, умеет и без l2tp.

    Это уже в XP было...
    Да, умеет, и в 8, и в 10... но это все через танцы с бубном вокруг реестра. Потому и говорю про гвозди...

     
  • 5.44, YetAnotherOnanym (ok), 13:20, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > ввинде его вообще зачем-то гвоздями к l2tp прибили

    Это, мягко говоря, не совсем так.

     
  • 5.70, Catwoolfii (ok), 17:08, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Вон, ввинде его вообще зачем-то гвоздями к l2tp прибили

    да ладно? про ikev2 не слышал?

     
     
  • 6.82, Аноним (5), 19:27, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я глазами не слушаю, но допустим, "слышал". И че?
    Это не отменяет наличия по соседству помеси ежа и ужа из l2tp и ipsec
    И это опять же говорит "какой, нафиг, стандарт-мандарт, тут три одеколона в одном флаконе"
     
  • 4.16, КО (?), 10:00, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ы том то и дело, "что реализация ipsec в [b]том[/b] или [b]ином[/b] виде"
     
  • 4.65, НяшМяш (ok), 15:29, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > StrongSwan+xl2tpd

    Я вот с такой связкой намучался в своё время (там миллион этих параметров, а разные документации и гайды противоречат в их настройке) - то связь нестабильная, то скорость 0.3 мегабита. Собрал на впске SoftEther - вещь как раз для такого краба как я. Есть гуй для настройки мышетыкательный (правда виндовый, но под вайном работает отлично), из коробки L2TP и OpenVPN. Moжет и зонд, но для своего локалхоста и пары друганов сойдёт.

     
     
  • 5.68, llolik (ok), 15:58, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, да, согласен, настройка этой связки - то ещё приключение. С другой стороны, с приходящим опытом уже и не кажется так сложно, когда делаешь уже сам, а не по ошмёткам чужих записок в сети.
     
  • 4.72, бублички (?), 17:36, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ты, товарищ, мхом оброс, как и твой L2TP
     
  • 4.94, лютый жабби__ (?), 08:12, 18/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >что реализация ipsec в том или ином виде везде есть (даже в смартфонах)

    Оно T-NAT умеет? Сколько смартфонов имеют реальный IP?

     
  • 3.69, Dmytro (?), 16:31, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    RFC 2401 Security Architecture for the Internet Protocol 8212 архитектура з... большой текст свёрнут, показать
     
     
  • 4.76, Аноним (76), 17:55, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Гуглить ты уже научился, теперь учись читать.
     
     
  • 5.86, Dmytro (?), 23:47, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вот возьми и почитай, вопросов меньше будет.
     
  • 2.6, гтщс_г34 (?), 09:11, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Потому, что он тортовый!
     
  • 2.7, Аноним (7), 09:24, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Всмысле стандратный?
     
     
  • 3.15, бублички (?), 09:57, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    человек предлагает использовать стандартный, взамен всех этих бесконечных сущностей типа freeswan, openswan, strongswan, libreswan :D
     
     
  • 4.52, Michael Shigorin (ok), 14:06, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну они (реализации) и используют (протокол). :]
     
     
  • 5.73, бублички (?), 17:43, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    тише ты, может человек вот-вот да и сорвётся в бездну знаний и опыта, чтоб воплотить всё целиком, заново и по стандарту, взамен всех уже существующих реализаций (тех же самых стандартов). вдруг у него да и получится? да-да, простой себе очередной Аноним с OpenNET и вот на тебе. а!? лет 30 назад над одним финским школьником тоже все смеялись :D
     
  • 2.8, Аноним (8), 09:30, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > А зачем нужно столько реализаций: openswan,libreswan, freeswan, strongswan...

    Ты сам ответил на свой вопрос - они все СТАНДАРТНЫЕ

     
  • 2.12, бублички (?), 09:53, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    тебя забанили в гугл? Freeswan заброшен в 2004-м году, его форкам стали Openswan (корпорация добра Xelerance) и Strongswan (вдальнейшем был практически переписан). Libreswan форк Openswan. если ты когда-либо пользовался хоть одним, то ты бы знал что доступны для использования лишь Libreswan и Strongswan, про Openswan в большинстве случаев можно забыть
     
     
  • 3.92, Аноним (-), 03:08, 18/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > вдальнейшем

    эти слова пишутся раздельно; в дальнейшем предлагаю и Вам так писать - если, конечно, Вы русский язык используете, а не создаёте свой DSL (Dooraq Specific Language).

     
     
  • 4.100, бублички (?), 14:30, 18/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    таки нашёл к чему придраться? молодец, ставь мне минус. по секрету, лишь тебе одному скажу, я в россии никогда не жил и даже толком не бывал нигде кроме Москвы и тогда ещё Ленинграда. русский язык изучал в школе, которую закончил в 93-м году. конечно многое забыл с тех пор, особенно что касается орфографии
     
  • 2.13, Аноним (11), 09:54, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Почему всем не использовать стандартный ipsec?

    Overenginering

     
  • 2.17, бублички (?), 10:02, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Почему всем не использовать стандартный ipsec?

    тот который на бумаге? используй на здоровье :D

     
  • 2.19, mumu (ok), 10:06, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Все эти IKE проектировали люди в белых халатах, а не те, кто реально админит системы. Просто диву даешься, как можно быть настолько покрытыми всеми этими комитетами и стандартами и настолько несовместимыми одновременно.
    Есть стойкое ощущение ощущение, что там кто-то получал грант за каждый новый используемый порт и внутренний протокол.
     
     
  • 3.24, Аноним (21), 10:24, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Комитет всегда найдет в реализации другого стандарта изъян. Даже тот что другой стандарт сделали не они.
     
  • 3.49, Аноним (47), 14:03, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Как с jabber, куча не обязательных XEP и в результате мало совместимые друг с другом клиенты и серверы.
     
     
  • 4.60, zzz (??), 14:59, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    XMPP уже давно ввел XMPP Compliance Suites.
     
     
  • 5.66, llolik (ok), 15:36, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > XMPP уже давно ввел XMPP Compliance Suites.

    Ну ввести-то он, положим, ввел. Только разброд и шатание, в плане поддержки протокола, как было так и осталось. Если сервера ещё что-то как-то более-менее полно охватывают (да и не так много их), то с клиентами полный бардак.

     
  • 2.31, llol (?), 11:56, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Почему всем не использовать стандартный ipsec?

    Что такое "стандартный ipsec"?
    Я навскидку только 5 или 6 реализаций могу вспомнить. И какая имеется в виду авторизация? IKEv1, IKEv2, L2TP? Парольная, сертификатная, с preshared key, без?

     
     
  • 3.74, бублички (?), 17:48, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    ну стандартный же, ну. как ты не понимаешь!? :D такой чтоб в 2 клика мышкой, без чтения документации, с двумя кнопками [OK|Exit]. СТАНДАРТНЫЙ! :D лучше если и пароль будет стандартным, чтоб макисмально по стандарту :D
     
  • 2.50, Michael Shigorin (ok), 14:05, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Почему всем не использовать стандартный ipsec?

    У него баланс возможностей к головняку сильно хуже, чем у сабжа, как не только мне кажется.

    > А зачем нужно столько реализаций:
    > openswan, libreswan, freeswan, strongswan...

    Ну вот, опять на http://0x1.tv/2a9-lets-cross-forks-shigorin ссылаться...

     
     
  • 3.107, Аноним (-), 17:28, 18/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    [оффтоп] Перешел по ссылке и внезапно узнал что товарищ Шигорин на аватарке в очках!
     
  • 2.93, СеменСеменыч777 (?), 04:13, 18/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    в разработке IPSec участвовало АНБ.
    Сноуден.jpg
     

  • 1.22, Аноним (22), 10:22, 17/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    На практике из сотен машин оно тормозит и нестабильно.
     
     
  • 2.25, Аноним (21), 10:26, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • –5 +/
    WireGuard же уже подъехал он обгоняет и опенвпн и всякие ипсеки https://xakinfo.ru/os/wireguard-%D0%BA%D0%B0%D0%
     
     
  • 3.32, llol (?), 11:57, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > WireGuard же уже подъехал он обгоняет и опенвпн и всякие ипсеки

    Во влажных мечтах администраторов локалхоста, если только ;))

     
     
  • 4.40, Аноним (40), 12:51, 17/04/2020 Скрыто модератором
  • –2 +/
     
     
  • 5.54, Michael Shigorin (ok), 14:09, 17/04/2020 Скрыто модератором
  • –2 +/
     
  • 3.43, Crazy Alex (ok), 13:11, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Пока не будет нормального provisioning он годится только для энтузиастов
     
  • 2.51, Аноним (47), 14:05, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    На практике из тысяч машин всё работает идеально.
     
  • 2.61, OpenEcho (?), 15:12, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вы не правильно его варите... постарайтесь перейти с raspberry pi на что то более мощное,
    начните с канала во вне, т.к. (скорость_канала/100) должно даже в теории становится медленее
     
     
  • 3.83, Аноним (22), 20:59, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Сеть из компов через разных провайдырей. Там, где модемы вообще беда, надо вручную переподключать или скриптами
     
     
  • 4.87, OpenEcho (?), 23:49, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А ОпенВПН то здесь причем ?


     

  • 1.23, хотел спросить (?), 10:23, 17/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    https://openvpn.net/community-downloads/

    2.4.8 последний.. CVE есть а фикса нет ))

     
     
  • 2.26, Аноним (21), 10:31, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А что им надо было большим буквами написать не шмогли?
     
  • 2.28, Аноним (28), 11:42, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    На сайте коммьюнити нету, но на гитхабе все есть. Вероятно, это делают разные люди, и чувак, который апдейтит сайт, скорее всего завтыкал на самоизоляции. Не волнуйся так.
     

  • 1.29, Аноним (29), 11:52, 17/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > позволяющая перевести сеанс клиента на новый IP-адрес, который до этого не был авторизирован

    В идентификатор VPN сессии же не входит IP адрес?
    Я могу после установки VPN соединения поменять IP адрес моего компа.
    Или даже вытащить провод и переключиться на WiFi и VPN сессия не прервется.

    Или тут какое-то расширение, дополенение протокола используется?

     
  • 1.39, Аноним (39), 12:42, 17/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    у меня 2 МБ/c на openvpn (vps) против 25 МБ/c без openvpn
     
     
     
    Часть нити удалена модератором

  • 3.56, Аноним (47), 14:10, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    смешно
     
     
  • 4.57, Аноним (57), 14:47, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Модератор!
    Да ты издеваешься!
    Надо было вместе с постом "смешно" удалять.
    Я ж теперь спать не смогу. Что же там смешное было.
    Что, ЧТО?!
     
     
  • 5.63, Аноним (62), 15:23, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    На поржи https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi?az=list&forum=vsluhfor
     
     
  • 6.109, Аноним (39), 17:42, 18/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    чёт я не понял, сфигали это удалили
     
  • 2.55, Аноним (47), 14:09, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    у меня 25 МБ/c на openvpn (vps), а без openvpn 0, связи нет.
     
  • 2.95, лютый жабби__ (?), 08:16, 18/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    у openvpn один плюс, работает через http прокси.
    Соответственно, с опенвпн тормоза (я больше 15-20мбит вообще не смог разогнать), но без него совсем никак.

    В остальном опенвпн не нужен.

     
     
  • 3.112, Аноним (112), 18:49, 18/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    а что wireguard уже PAM умеет? с LDAP прикручивается?
     

  • 1.41, InuYasha (?), 12:51, 17/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Так чем, в итоге, пользоваться-то?
    Чтоб максимально универсально и стандартно.
    Этим или не этим?
     
     
  • 2.46, Аноним (21), 13:29, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Чтобы как у всех этим, чтобы быстро не этим.
     
  • 2.53, Аноним (47), 14:08, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Спросите у вашего системного администратора.
     
  • 2.58, Сейд (ok), 14:48, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    L2TP
     
     
  • 3.75, бублички (?), 17:52, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > L2TP

    был обнаружен среди костей мамонтов

     
     
  • 4.80, Сейд (ok), 19:13, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    L2TP встроен во все современные операционные системы и VPN-совместимые устройства и легко может быть настроен.
     
  • 3.84, Аноним (22), 21:00, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    L2TP over IPSec. А чё? Я использую для торрентов на VDSке.
     
  • 2.77, бублички (?), 18:02, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    смотря по случаю. лично в моих случаях OpenVPN непригоден (слишком медленный, т.к. целиком в user-space), но я полностью счастлив с IPSec (Strongswan, IKEv2). учти что полнофункциональные клиенты есть не везде. для примера попробуй настрой IKEv2 в MacOS, или найди хоть один SOHO маршрутизатор что умеет OpenVPN с заводской прошивкой
     
     
  • 3.98, InuYasha (?), 13:02, 18/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > смотря по случаю. лично в моих случаях OpenVPN непригоден (слишком медленный, т.к.
    > целиком в user-space), но я полностью счастлив с IPSec (Strongswan, IKEv2).
    > учти что полнофункциональные клиенты есть не везде. для примера попробуй настрой
    > IKEv2 в MacOS, или найди хоть один SOHO маршрутизатор что умеет
    > OpenVPN с заводской прошивкой

    С Wireguard и IPSec я не знаком вообще - так что, всё равно, что изучать. Вот только раздражает, например, то, что у wg под android совершенно дикие требования permissions.

     
     
  • 4.103, бублички (?), 14:39, 18/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    на мой взгляд Wireguard пока ещё оторван от реальности (полноценно не работает, но где-то уже вполне удобен в применении), в то время как по факту IPSec уже много лет является стандартом (есть практически везде в той или иной мере). бесспорно, минусы есть во всём, как и плюсы. образования заради посмотри оба плюс конечно OpenVPN
     

  • 1.67, Японский Бог (?), 15:39, 17/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я так и не пoнял, зачем OpenVPN изменил дизайн? Ощущение, что они свой gui переписали на электрон. Всё глючное, настройки куда-то запрятаны.
     
     
  • 2.78, Anon from Mars (?), 18:05, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Такова цена унификации.
     
  • 2.108, Аноним (-), 17:38, 18/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У него есть gui? О_О
     
     
  • 3.110, Аноним (39), 17:45, 18/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    под винду есть. под линукс без понятия, не нужен же
     

  • 1.79, Anon from Mars (?), 18:11, 17/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Насколько же смешно (настолько же и грустно), читать эти опусы от фанатов WireGuard.

    Ну удачи вам поднять сервер(-ы) и настроить около 500 клиентов разных мастей (Linux, MacOS, Windows) с определенными маршрутами до внутренних ресурсов (чтобы внешечку домашнюю через себя не пускать, но при этом домашние устройства не должны превращаться в сетевую тыкву, они же все-таки домашние). Это учитывая, что для Windows (как топ ОС на рабочих станциях и домашних устройствах сотрудников) до сих пор нет официальной реализации WireGuard, если я не ошибаюсь.

    И нет, не все компании в состоянии под рукой иметь парк ноутбуков на каждого сотрудника (у большинства из которых глаза не видят ничего на экранах меньше 17 дюймов, спасибо 1С).

    Было бы интересно.

     
     
  • 2.81, муу (?), 19:15, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > до сих пор нет официальной реализации WireGuard, если я не ошибаюсь.

    ошибаешься https://www.wireguard.com/install/ и между прочим прекрасно работает

    и в остальном тоже ошибаешься

    единственный минус wireguard - что нельзя пушить маршруты с сервера, жёстко в конфиге клиента надо прописывать (ессно если не юзается 0.0.0.0, который редко когда нужен)

    для своей конторы я давно сделал отдельный vpn сервак, который умеет и в openvpn и в pptp/l2tp/ipsec и в wireguard что позволяет дать клиентам то что лучше подходит для каждого конкретного случая
    что весьма пригодилось с не так давно возникшей ситуёвиной и удалёнками, всё давно отлажено и проверено, раздал нужное кол-во конфигов тем у кого их не было и всё, всё работает, никто (тьфу-тьфу) не сношает моск

    не надо фанатеть, надо просто юзать правильные инструменты, чем больше выбор доступных инструментов тем лучше

     
     
  • 3.85, бублички (?), 23:14, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    пишешь про pptp и тут-же про правильные инструменты? pptp это диагноз тебе и твоей конторе
     
     
  • 4.105, муу (?), 14:47, 18/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    диагноз это у тебя, до тебя таки не дошло то что я хотел сказать
    а у меня есть _возможность_ его использовать если понадобится и более правильный впн по какойто причине невозможен
     
  • 3.97, InuYasha (?), 12:49, 18/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > ошибаешься https://www.wireguard.com/install/ и между прочим прекрасно работает

    https://f-droid.org/en/packages/com.wireguard.android/
    Permissions
    take pictures and videos
    modify or delete the contents of your shared storage
    use biometric hardware
    use fingerprint hardware

    Вот это фига себе замашки!!!

     
     
  • 4.102, microsoft (?), 14:39, 18/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    И еще кусочек скальпа с жопы.
     
  • 3.101, microsoft (?), 14:37, 18/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Чем больше инструментов тем хуже их качество
     
     
  • 4.106, муу (?), 14:47, 18/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    это у вас в рэдмонде
     
  • 3.119, edo (ok), 00:29, 20/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > единственный минус wireguard - что нельзя пушить маршруты с сервера

    Можно подумать, что остальное можно пушить. Мне нужно было пушить клиентский адрес, например, взял openvpn именно потому, что в нём это делается в пару строчек конфига.

     

  • 1.88, Аноним (88), 00:34, 18/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Расскажите про --enable-async-push. Достаточно собрать с этой опцией клиент и сервер и оно автоматически работать будет?
     
  • 1.90, Аноним (-), 02:57, 18/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > (запрос пароля средствами OpenVPN через вывод приглашения в консоли прекращён);

    люто, неистово минусую. Твари.

     
     
  • 2.96, СеменСеменыч777 (?), 08:26, 18/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    сделайте форк. OpenOpenVPN.
     
  • 2.104, microsoft (?), 14:40, 18/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А альтернативу сделали или как всегда?
     

  • 1.99, InuYasha (?), 14:12, 18/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    !!! Всем на заметку: easyrsa использовать (до сих пор) НЕЛЬЗЯ!!! Она забагована, vars игнорит и герерит совсем не то, что вы от неё хотите!
     
     
  • 2.111, Аноним (39), 17:46, 18/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    без сопливых разберутся
     

  • 1.114, Shodan (ok), 08:33, 19/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Пытались в компании внедрить опенвпн + AD, после энного кол-ва написанных костылей, плюнули и перешли на циско впн.
     
     
  • 2.116, бублички (?), 18:10, 19/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    помню вполне успешно интегрировал OpenVPN (2 сервера для HA) с AD ещё в далёком 2012-м году - прекрасно работало без всяких костылей. похоже в вашей компании плохо читали документацию (не имеют опыта интеграции с AD). но лично мне OpenVPN никогда не нравился - слишком медленный. предпочитал использовать Strongswan с IKEv2/EAP-RADIUS и OpenLDAP
     
     
  • 3.118, Shodan (ok), 18:55, 19/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > помню вполне успешно интегрировал OpenVPN (2 сервера для HA) с AD ещё
    > в далёком 2012-м году - прекрасно работало без всяких костылей. похоже
    > в вашей компании плохо читали документацию (не имеют опыта интеграции с
    > AD). но лично мне OpenVPN никогда не нравился - слишком медленный.
    > предпочитал использовать Strongswan с IKEv2/EAP-RADIUS и OpenLDAP

    Смотря какие требования, если просто учетка в домене с какимто атрибутом, то допускаю что это можно сделать и без костылей. В данном случае требовались security groups с отдельными полиси для каждой группы

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру