Подготовлен корректирующий релиз OpenVPN 2.5.1, пакета для создания виртуальных частных сетей, позволяющего организовать шифрованное соединение между двумя клиентскими машинами или обеспечить работу централизованного VPN-сервера для одновременной работы нескольких клиентов. Код OpenVPN распространяется под лицензией GPLv2, готовые бинарные пакеты формируются для Debian, Ubuntu, CentOS, RHEL и Windows...Подробнее: https://www.opennet.me/opennews/art.shtml?num=54673
>>Удалена поддержка initd;Спасибо вам за ваш вклад в развитие. Пойду срочно обновляться. Это то что так долго мы все ждали. Постепенно вообще весь код можете удалить.
Да не стоит благодарности...
Не забудьте задонатить.
Ну в общем-то это сугубо вендоспецифичная поделка, Есть же правило: хорошую вещь опен/либре не назовут -- лицемерие уже прямо в названии.
А что того же назначения посоветуете для Линукса?
> А что того же назначения посоветуете для Линукса?Лично я использовал softether, но сейчас наверно стоит посмотреть на wireguard.
Спасибо!
посмотреть и удалить. оно не дотягивает до openvpn как примерно рукой до луны дотянуться
Как обычно скулхацкер сравнил мпх с трамвайной ручкой.ЗЫ: опенвпн не нужен. В быту тоже.
Да нет. Свой впн не нужен, если у тебя белый айпи, и скажем на телефоне белый айпи проблематично организовать.
> Да нет. Свой впн не нужен, если у тебя белый айпи,
> и скажем на телефоне белый айпи проблематично организовать.Почему не нужен-то?
Основное назначение впн это организация в одну сеточку, но типичный юзкейс это подключение "серых" устройств. Если все устройства "белые", нет никакой особой нужды в прослойках, понижающих производительность и эффективность -- скоординировать такие устройства можно и напрямую.
Когда трава была зеленее, угонщики паролей диалапа прекрасно координировались с торчащими наружу тазиками с 98-ой виндой. Веселья с координацией в те времена было - хоть отбавляй. Нонешняя молодежь решила еще раз поскакать по граблям, лол.
>Основное назначение впн это организация в одну сеточку"Лучше молчать и показаться дураком, чем заговорить и развеять все сомнения."(с)
Если ты полагаешь иначе, тебе стоило бы хорошенько подумать ещё разок.
> Основное назначение впн это организация в одну сеточку, но типичный юзкейс это
> подключение "серых" устройств. Если все устройства "белые", нет никакой особой нужды
> в прослойках, понижающих производительность и эффективность -- скоординировать такие
> устройства можно и напрямую.А я не хочу торчать голой ж-ой в интернет.
И в чём же будет отличие между роутером в метре и промежуточном сервере в 5000000м?
В том, что трафик от роутера до клиента будет весь зашифрован и в сеть не будут торчать 100500 сервисов.
> В том, что трафик от роутера до клиента будет весь зашифрован и
> в сеть не будут торчать 100500 сервисов.Как это не будут? Конечно же будут, иначе зачем они там там нужны? Шифрование сомнительная тема, тем более что по остальной части пути ничего зашифровано в любом случае не будет. Мы, конечно, не рассматриваем случаи где за пределы уютной локалочки выходить не понадобится, что, надо признать, тоже один из вариантов, однако же это отдельный случай.
>> В том, что трафик от роутера до клиента будет весь зашифрован и
>> в сеть не будут торчать 100500 сервисов.
> Как это не будут? Конечно же будут, иначе зачем они там там
> нужны? Шифрование сомнительная тема, тем более что по остальной части пути
> ничего зашифровано в любом случае не будет. Мы, конечно, не рассматриваем
> случаи где за пределы уютной локалочки выходить не понадобится, что, надо
> признать, тоже один из вариантов, однако же это отдельный случай.Аббревиатуру ВПН тебе расшифровать?
Ты невменяемый.
Сам живи в мирке, где все устройства "белые". А я тут, в "сером" мирке перетопчусь.
Твой "белый" мирок означает смерть или зомбирование большинства смартфонов.
Ну, скажем, в ipv6 айпишников совершенно хватит каждой лампочке и каждой розетке.
> Ну, скажем, в ipv6Сжечь напалмом.
И не означает, необязательно светить вообще чем-то куда-либо (кроме очень специфичных случаев и телефоны не один из них).
Ты сейчас выдумал какое-то свое определение VPN, которое не можешь даже сформулировать.
Я ничего не придумал, это типичный юзкейс где порты на адресе сервера проброшены до серого клиента и промежуточное звено уж никак тебя не защитит, и если на то пошло, его в любом случае много проще взломать и получить доступ к клиенту у которого в мир ничего лишнего не выставлено.
>wireguardУвы, его «ядерность» в некоторых сценариях не достоинство, а серьёзный недостаток.
Ну да, а юзерспейсных реализаций не завезли, ага.
Wireguard - не VPN, а слой шифрования, а-ля IPSec для нищих. А учитывая намертво приколоченные и никак аппаратно не ускоряемые алгоритмы - гореть ему на костре.
Что не мешает на него посмотреть. У IPsec свои проблемы, и тут их вероятно нет. В частности, у меня были вопросы к производительности, клиентам для телефонов и венды, проблемам с настройкой, отваливанием коннекта (емнип).
Смотреть на него, канеш, можно, только лучше он от этого не станет. А без аппаратного ускорения он будет работать на уровне OpenVPN, хоть и в ядре, только OpenVPN - VPN со всеми плюшками, а это просто слой шифрования. Из-за чего ваще непонятен весь этот хайп вокруг WG.
Чей то вы с этим softether
делаете?
vpnы делаем. Оно, конечно, немного странное, как все что порождено японскими гениями, но тентакли вроде ниоткуда особо не торчат.И в разы эффективнее openvpn, причем и для того сделано междумордие если очень уж надо.
IPSec (например Strongswan)
Иггдрасиль
"сугубо вендоспецифичная поделка"еще один "эксперт"
откуда вы лезете ?
Ты хочешь отрицать, что значительная часть кода там заточена на использование в венде? И юзабилити типично вендовое 20 летней так давности, меня аж тошнило от этой дряни.
>> Удалена поддержка initd;
> Спасибо вам за ваш вклад в развитие.ОП трололо, а ты повелся
https://github.com/OpenVPN/openvpn/blob/release/2.5/ChangeLog
https://github.com/OpenVPN/openvpn/blob/release/2.5/Changes.rst
просто писатель новости не понимает о чом пишет.
не initd, а inetd.
Можете себя удалить, сообществу костылестроители с inetd и прочим кривым старьём не нужны.
Вы не правы!inetd, xinetd, tcpd нужная и правильная вещь для безопасности. Очень жаль, что такие проекты как openvpn, openssh, ... выкинули поддержку tcpd.
Для "образованого" поколения Путина и ЕР напомню историю: в 90тых и начале нулевых был жаркий спор о необходимости суперсервера и централизованной авторизации. Есть, грубо говоря, два подхода:
1. Все сервисы сами проводят авторизацию и реализуют tcp.
2. Есть единая авторизация pam и общий суперсервер inetd (xinetd, tcpd) с реализацией TCP.
После долгих и горячих дискуссий решили что правильный только путь 2. Для безопасности лучше, чтобы критический код авторизации и реализации TCP был в одном месте, так легче выпроводить аудит, избегать ошибок, закладок.Кроме сетевого экрана ядра OS tcpd имеет отдельный, очень удобный, фильтр:
/etc/hosts.allow
/etc/hosts.deny
Выкинув поддержку inetd вы этот фильтр потеряли и потеряли возможность использовать прошедшую аудит, хорошо вылизаную, общую для всех, поддержку TCP.Технологии PAM и inetd (xinetd, tcpd) должны поддерживаться всеми сервисами которым нужна авторизация и сеть через TCP, их выкидывать нельзя!
А можно полюбопытствовать, с каких это пор у нас сервисы, а не ядро TCP реализуют? Я может пропустил это нововведение?
Сообщество костылестроителей из модных-смузишных костылей - ненужно.Совершенно ничего полезного они за десять лет существования своего модного кривого новья не создали.
> Сообщество костылестроителей из модных-смузишных костылей - ненужно.
> Совершенно ничего полезного они за десять лет существования своего модного кривого новья
> не создали.А зачем создавать, если можно портить сделаное не тобой да ещё и получать за это деньги? И славу. Славу поджигателя библиотеки.
Т.е. без systemd оно не устанавливается?https://packages.debian.org/buster/openvpn
Другие пакеты, относящиеся к openvpn
зависимости
рекомендации
предложения
enhancesdep: debconf (>= 0.5)
система настройки пакетов Debian
или debconf-2.0
виртуальный пакет, предоставляемый cdebconf, cdebconf-udeb, debconfdep: iproute2
настройка сети и управление трафикомdep: libc6 (>= 2.15) [amd64, mips64el, s390x]
библиотека GNU C: динамически подключаемые библиотеки
также виртуальный пакет, предоставляемый libc6-udebdep: libc6 (>= 2.17) [arm64, ppc64el]
dep: libc6 (>= 2.28) [armel, armhf, i386, mips, mipsel]
dep: liblz4-1 (>= 0.0~r130)
библиотека быстрого алгоритма сжатия LZ — динамическая версияdep: liblzo2-2
библиотека для сжатия данныхdep: libpam0g (>= 0.99.7.1)
библиотека Подключаемых Модулей Аутентификации (PAM)dep: libpkcs11-helper1 (>= 1.11)
library that simplifies the interaction with PKCS#11dep: libssl1.1 (>= 1.1.1)
инструментарий Secure Sockets Layer — разделяемые библиотекиdep: libsystemd0
библиотека утилит systemddep: lsb-base (>= 3.0-6)
основа для сценариев инициализации - Linux Standard Baserec: easy-rsa
Simple shell based CA utilitysug: openssl
инструменты протокола защищённых сокетов — криптографические утилитыsug: openvpn-systemd-resolved
integrates OpenVPN with systemd-resolvedsug: resolvconf
обработчик информации о DNS-серверах
также виртуальный пакет, предоставляемый openresolv
inetd !
Это дуби..современный дистр Линукс, детка. Без либсистемда в нем будет работать не только лишь все. "Небольшая библиотека", говорили они, "что, мешает тебе что-ли?" Твердили они...
А что и зачем там inetd был нужен ? Слабо представляю себе крипто приложение с инетом
слабо представляешь, факт. stunnel никогда не запускал в inetd чтоб незашифрованный какой сервис зашифровать? inetd так-же широко применялся для запуска сервисов в обход системы инициализации
Запуск сервисов через inetd - это прекрасно...
К счастью, systemd все эти костыли оптом сложил в ведро.
И заменил своими костылями
> Запуск сервисов через inetd - это прекрасно...
> К счастью, systemd все эти костыли оптом сложил в ведро.Ктоб системду сложил в ведро. Помойное. Хотя уже слишком поздно...:-(
Чтобы опять сервисы через inetd запускать?
Не, спасибо.
Суперсервер правильный путь.
Ну и чем вам сокет-активация в systemd не суперсервер на замену inetd?
С ней всё бы хорошо, если бы не тупое логгирование.
> С ней всё бы хорошо, если бы не тупое логгирование.Претензия неясна. Если сервис работает через сокет, предоставленный суперсервером, очевидно он не может логировать в stdout. Пусть или сам пишет логи в файл или сислог по протоколу, или пишет в stderr, а systemd перенаправит куда хочется.
Но писать в сислог это же ни разу не проблема в юниксе?..
А, дело не в этом.
Дело в том, что на данный момент каждый старт сервиса логгируется, и это не отключить. Логи загаживаются только в путь.
Миллионы хомяков не могут ошибатся.
https://www.opennet.me/openforum/vsluhforumID3/123406.html#41
tcpwrappers и inetd разве что конфиги у них в etc лежат ,причем тут одно к другому не понимаю. хотя, судя по всему тут вообще никто не знает что такое inetd, не говоря об опыте разработки под него и вообще возможности здраво объяснить зачем openvpn'у может понадобиться инет.
> tcpwrappers и inetd разве что конфиги у них в etc лежат ,причем тут одно к другому не понимаюуровень вчерародившихся "экспертов" как он есть.
> уровень вчерародившихся "экспертов" как он есть.правильная у тебя подпись. ты хоть школу то закончил ?
Старый добрый PPTP проще, надежнее и поддерживается из коробки везде, кому нужен OpenVPN? Если нужно суперсикьюрность есть L2TP/IPSec, который также в каждом утюге поддерживается, но сам по себе сложнее для настройки PPTPНо PPTP или L2TP с шифрованием работают на уровне ядра и не тормозят при просмотре видео, в отличии от OpenVPN который вертится в юзерспейсе и еще отдельно нужно устанавливать
Вы всегда орете что ipsec из коробки везде, да только не добавляете что на тойже прошивке для игр и на ведроиде он коцаный шо ой вэй. прийдетя остатся на openvpn
а коцают его типа случайно
StrongSwan VPN client доступен в Playstore и всё прекрасно умеет
PPTP не умеет в нормальное шифрование, а иначе нафига он вообще нужен. А IPSec нормально смогут настроить не только лишь все, плюс свои заморочки, вроде геморроя с настройкой работы двух+ клиентов за NAT, iPhone не поддерживает одни фичи, Android другие, MacOS третьи, винда четвертые, и для каждого случая надо городить свои костыли. OpenVPN пусть и не хватает звезд с неба в плане скорости, но прекрасно работает с двойным NAT, работает на всех устройствах и просто работает.
Абсолютно согласен, кроме того, андроид разных вендоров даже не совместим, ктото прям не умеет l2tp, а ктото только его и умеет, и если в ядре того самого андроида нет поддержки, то значит нет, юзер спейс для того и нужен, чтобы от этого избавится, а еще блокировки провайдеров, сколько раз наступали на эти грабли..похороните уже этих дедушек, они нужны были для слабых процов и состоят из одних костылей, а опенвпн нормально живет и в мостах и в бондингах и запускать его можно сколько хошь копий в отличии от этих полуядерных.
Что скажете про openconnect?
> Абсолютно согласен, кроме того, андроид разных вендоров даже не совместим, ктото прямну так линyпс же ж... ниасиляторы.
> блокировки провайдеров, сколько раз наступали на эти грабли..похороните уже этих дедушек,
да, пихайте все в https, его точно не заблокируют.
> они нужны были для слабых процов и состоят из одних костылей,
наоборот - все модные-современные поделки как раз и есть сплошные костыли. openvpn с тормозами (не столько от того что userspace, сколько из-за желания угодить всем) и по сути несовместимой наколеночной реализацией ipsec, безусловно образцовейший из них.
> ну так линyпс же ж... ниасиляторы.Решил шлюз vpn забугорный арендовать,может подскажешь соображения неосилятору?)
IVPN?Mullvad?
хер знает, сам периодически пытаюсь понять, чем там не слишком стремно пользоваться, и каждый раз, чертыхаясь, возвращаюсь к собственным наколенным поделкам. Типа, не больно-то пока и хотелось.(ну да, ну да, товарищмайор палит, ну так он и так давно уже взял на карандаш)
Силовики тоже люди.Сейчас у них на вооружении больше софт,который 24/7 смотрит/собирает/анализирует/алярмирует.Утром пришёл на работу,алярмы посмотрел,в протокол записал)"Нашша слушба и опасна и трутна...")
Нормального шифрования в PPTP нет, MPPE уже давно пора на свалку. Это раз.
Два - GRE через NAT протаскивать - то ещё веселье. Не у всех работает.
L2TP ещё хуже.
IKEv1/IPSec кстати тоже. С IKEv2/IPSec стало попроще, чем-то, относительно.
OpenVPN тем и хорош, что с клиентских натов пролезает без особых усилий.
Ыксперты шифрований. А вы хоть раз расшифровали это самое mppe ? А ipsec ? На заборе написано что васян из лаборатории гулга делает это на коленке ? Бггхаха
Майоры говорят
что с лету дешифруют
А мы привыкли им верить
> Майоры говорят
> что с лету дешифруют
> А мы привыкли им веритьПравильно говорить не "с лету", а "с лета". Падежи в родном языке надо соблюдать, ага.
> Майоры говорятТак и вы говорите!
> Старый добрый PPTP прощевот этот вот п-ц с одновременным использованием двух протоколов (один из которых еще и намертво вязнет в ваших линyпсах, неспособных правильно обрабатывать gre, и в васян-файрволах, владельцы которых никогда не слышали про протоколы, отличные от tcp и udp?) и одновременно дырявого userland с дырявой ядерной реализацией - проще? Надежнее?
Ну ладно бы ляпнул про l2tp, там еще можно почти поверить (а, ну да, ну да - у л@п4@тьiх же ж он толком никогда и не работал, ниасилили)
Да и L2TP жопа, его надо поверх IPSec пускать - а это отдельная тема, лютая не менее.
MSCHAP уже починили?
да
A MSCHAPv2 ?
Если вам важна возможность поднятия VPN за http прокси, то альтернатив OpenVPN особо-то и нет.
Не скажу за другие VPN, но опять же, если нужна возможность задать несколько адресов сервера VPN (например для возможности подключения через резервный канал), то и здесь OpenVPN вам в помощь.
Ребята,а разве нельзя установить openVPN старой версии,без привязки к богомерзкой системды?Да и со всем софтом,где появляется зависимость от разной гадости,разве нельзя так делать.Взять тот же ff.С каждой версией в него добавляется разное потенциально опасное г.вно.Ну,возьми,да поставь там v.25.Разве я не прав?Пох,жду твоего мнения как спеца.
Можно установить что угодно, но где вы в openvpn вообще увидели привязку к systemd?
С комментариев.И не привязку а цепочку зависимостей
> С комментариев.И не привязку а цепочку зависимостейТак вы не путайте openvpn как продукт и конкретную сборку в конкретном systemd-based дистрибутиве, где мейнтенер прописал зависимость просто потому, что положил юнит-файл и при установке/удалении вызывается systemctl чтобы корректно обновить или остановить сервис.
Чем вам это досаждает-то? Вполне разумно, что в современном дистрибутиве с systemd кладут под него юнит файлы и пишут зависимость. Возьмите другой без, там не будет.
Спасибо.
На опеннете говорят что без inetd он не сможет в hosts.allow . А еще что systemd прийдет и порядок наведет !
> Ребята,а разве нельзя установить openVPN старой версииможно, но рано или поздно приведет к тому, что у тебя старой версии окажется примерно весь дистрибутив. И сопровождать его, хотя бы вовремя затыкая совсем уж опасные баги, ты не сможешь. Потому что еще надо где-то за еду работать.
Не выпендривайся, ставь десяточку, как у всех.
Там и ipsec из коробки (причем в том числе - transport mode, без всяких ненужных туннелей, и разворачиваемый для домена без лишних приседаний - попробуй-ка в линyпсе так)> Ну,возьми,да поставь там v.25.
С эксплойтами in the wild, еще ладно - они не сработают скорее всего, потому что выравнивание стека заточено не под ту версию, промажет так сильно что только все упадет. Но интернет-то мне где для него взять прикажете? Вчера вон после долгого перерыва понадобился paypal - опа, в немодном браузере высовывает модную гуглокапчу (у той ЕСТЬ совместимая версия, но это макакену ж моск морщить надо), которая там просто не работает.
Дистр в старой версии меня вообще не смущает.Многие уязвимости не пройдут по причине отсутствия уязвимых елементов)А насчёт заработка,не этим я зарабатывают на хлеб.Админ локалхоста,в общем,я)
> Дистр в старой версии меня вообще не смущает.Многие уязвимости не пройдут по
> причине отсутствия уязвимых елементовну вот навскидку - любой дистрибутив 8летней давности уязвим к dns-атаке. Поскольку баг в glibc, эксплойтится банальным присыланием непрошенного dns-ответа, привет, remote code exec. Он будет от юзера, но в твоем ядре миллион local root, поэтому от юзера он будет недолго.
Да, от него есть костыли и подпорки. Но это я про один случай тебе рассказал. А их миллионы, и я краем уха слышал про, дай Б-г, 1%
С эксплойтами in the wild.> А насчёт заработка,не этим я зарабатывают на хлеб.
вот поэтому - не выпендривайся, обновляйся по программе.
Ничего изменить уже нельзя.
> Ничего изменить уже нельзя.Лучше сражаться за что-то, чем жить ради ничего.©
Джордж Смит Па́ттон
за что ты сражаешься? за firefox 0.9 что ни один сайт не открывает? как-бы взял из твоих комментариев выше
За unix-way.За KISS.За opensource.
Frustra fit per plura quod potest fieri per pauciora
> За unix-way.За KISS.За opensource.
> Frustra fit per plura quod potest fieri per paucioraне уверен, но думаю это лечится. медицина творит чудеса. ты к специалисту обратись, только не откладывай. не теряй время здесь
С каких пор рациональность стала outlaw?Ты жертва "1984" and мне тебя немного жаль.