Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в OpenVPN и SoftEther VPN"	+/–
Сообщение от opennews (??), 13-Ноя-23, 10:54
Подготовлен  выпуск OpenVPN 2.5.7, пакета для создания виртуальных частных сетей, позволяющего организовать шифрованное соединение между двумя клиентскими машинами или обеспечить работу централизованного VPN-сервера для одновременной работы нескольких клиентов. В новой версии устранены две уязвимости:... Подробнее: https://www.opennet.me/opennews/art.shtml?num=60103
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 13-Ноя-23, 10:54	–3 +/–
Интересно, что в репах лежат версии даже 2.5.1+ Никто особо то и не собирается обновлять
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #23, #40, #52

2. Сообщение от Denys (??), 13-Ноя-23, 10:57	+2 +/–
Исправьте: для SoftEther VPN выпущен релиз в ноябре с исправлениями
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5

3. Сообщение от Аноним (3), 13-Ноя-23, 10:59	–3 +/–
Я на wireguard, у меня таких проблем нет. В целом wireguard гораздо удобнее, начнем с того, что вместо сотен опций конфигурации там всего штук пять-десять. Не требует системдоса, так как крутится в ядре. Удобный cli. Правда запускать надо поверх shadowsocks, так как провайдеры все-таки научились в DPI (это проблема относится и к OpenVPN).
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #9, #10, #13, #22, #50, #55, #56, #68, #139

4. Сообщение от Denys (??), 13-Ноя-23, 11:06	–4 +/–
"Правда запускать надо поверх shadowsocks"... "так как провайдеры все-таки научились в DPI" свобода, демократия
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

5. Сообщение от Аноним (5), 13-Ноя-23, 11:10	+/–
> Исправьте: для SoftEther VPN выпущен релиз в ноябре с исправлениями Где? В репозитории только релиз двухлетней давности и августовская бета. https://github.com/SoftEtherVPN/SoftEtherVPN/tags https://github.com/SoftEtherVPN/SoftEtherVPN_Stable/tags На сайте https://www.softether.org/ тоже только августовская бета.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #11, #14

6. Сообщение от Шарп (ok), 13-Ноя-23, 11:11	–15 +/–
В обществе должно сформироваться мнение о недопустимости написания программ на не безопасных языках вроде си. Сколько можно терпеть уязвимости? Вы не видите что-ли, что сишные программы совершенно разных авторов просто разваливаются от одних и тех же проблем? Это говорит, что дело не в квалификации людей, а дело в самой сишке, в её отвратительной концепции.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #20, #35, #36, #77, #109

7. Сообщение от Анонин (?), 13-Ноя-23, 11:11	–1 +/–
> use-after-free > переполнением буфера и может привести к удалённому выполнению кода Классические дырящечные уязвимости в секурити проектах))
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #78

9. Сообщение от Аноним (9), 13-Ноя-23, 11:16	+/–
забыл подытожить,  получается что Wireguard такое же говно как и OpenVPN, но только другого сорта, что тот, что этот, без shadowsocks ничего не могут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #63, #76

10. Сообщение от Аноним (10), 13-Ноя-23, 11:19	+/–
A Softether тоже не пробивается через DPI?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #83

11. Сообщение от пох. (?), 13-Ноя-23, 11:19	+3 +/–
> Где? здесь: SoftEther VPN 4.42 Build 9798 RTM (June 30, 2023) cve-2023-27395 в ней УЖЕ исправлен. С разморозочкой авторов новости. августовская бета - это вот про ту, последнюю малореализуемую псевдоуязвимость, там изменен сам протокол поэтому пока я бы не советовал ее использовать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #29, #34

13. Сообщение от пох. (?), 13-Ноя-23, 11:22	+3 +/–
> Я на wireguard, у меня таких проблем нет. держи нас в курсе, нам очень интересно (нет) > В целом wireguard гораздо удобнее для васяна пытающегося нае...ть товарищмайора - удобнее. А как понадобится тебе настроить сотенку подключений для сотрудничков посрывавших в Тбилиси и Ереван - так сразу узнаешь почему он абсолютно бесполезная х-ня.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #115

14. Сообщение от Denys (??), 13-Ноя-23, 11:23	+/–
Путаете со Stable версией https://github.com/SoftEtherVPN/SoftEtherVPN_Stable
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

17. Сообщение от Аноним (17), 13-Ноя-23, 11:24	–1 +/–
softether блокируется DPI в РФ?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #37, #39, #46

20. Сообщение от scriptkiddis (?), 13-Ноя-23, 11:30	+4 +/–
Ну так че там? Ты уже переписал на нужном языке openvpn без потери функционала? Нет? Странно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #31, #32, #48

22. Сообщение от Jethro_Tull (??), 13-Ноя-23, 11:34	–9 +/–
Насколько мне известно, WG довольно просто заблочить. А учитывая начатую борьбу совка против VPN, это может стать проблемой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #26

23. Сообщение от ИмяХ (ok), 13-Ноя-23, 11:37	–2 +/–
>Никто особо то и не собирается обновлять никто, в том числе и ты
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #80

26. Сообщение от пох. (?), 13-Ноя-23, 11:51	–11 +/–
эта проблема - исключительно проблема жителей одного скрепостана, решать ее за вас никто не планирует вообще, и автор wg в частности. Ему была нужна поделка для ниасиляторов ipsec для соединить побыстрому пару локалхостов, он ее сделал, работает, ачивка получена, досвидос. Прятать тебя от товарищмайора он не собирался вот вообще. Но гораздо важнее то что он - сам ничего кроме локалхостов не использует, и что для работы, а не для васян-поделок нужно кое-что еще - даже и не догадывается. (и это к счастью, потому что когда люди начинают "догадываться" но сами этим не пользуются - догадки получаются кривые и нерабочие)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #43, #44

29. Сообщение от Аноним (29), 13-Ноя-23, 11:54	+/–
Но коммит они добавили только 28 сентября https://github.com/SoftEtherVPN/SoftEtherVPN/commit/b8e54210... В диффе от SoftEther VPN 4.42 Build 9798 RTM https://github.com/SoftEtherVPN/SoftEtherVPN_Stable/commit/8... то исправление действительно есть, но никак не помечено.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

31. Сообщение от Аноним (31), 13-Ноя-23, 11:59	+/–
Без потери дыряшечного функционала для тов. майора? ну так такое переписывание того не стоит)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #33

32. Сообщение от FF (?), 13-Ноя-23, 11:59	–1 +/–
да что ты, царь только знает как правильно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

33. Сообщение от FF (?), 13-Ноя-23, 11:59	+/–
так пишут только юноши, которые не кодили ничего корпоративно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #104

34. Сообщение от Аноним (29), 13-Ноя-23, 12:00	+/–
И, кстати, в бете не исправлены эти 7 уязвимостей  https://github.com/SoftEtherVPN/SoftEtherVPN/commit/6a170ac6...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

35. Сообщение от FF (?), 13-Ноя-23, 12:00	–1 +/–
запретить небезопасных анонимов, которые экологическую катастрофу планеты провоцируют своим отношением к природе "докупите 64ГБ ОЗУ, я на JS за три дня заработал"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

36. Сообщение от FF (?), 13-Ноя-23, 12:04	+1 +/–
Кстати, Шарп, как так у меня получилось, что когда я тыкал студию с шарпом на предмет работы с последовательным портом (это такие до сих пор в промышленности стандарт, но мамкины думают, что это от мышек с шариками осталось), у меня во время дебага BSOD вылетал, всего лишь на Hello world
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #38, #41, #54, #79, #123

37. Сообщение от FF (?), 13-Ноя-23, 12:06	+/–
у него помимо собственного протокола и настроек есть еще встроенные опенвпн и другие вещи, т.е. протоколов несколько выходит
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

38. Сообщение от Аноним (38), 13-Ноя-23, 12:19	–1 +/–
"от мышек с шариками осталось" - от мышей-самцов, в смысле?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

39. Сообщение от glad_valakas (?), 13-Ноя-23, 12:29	+/–
исходите из того, что: https блокируется в РФ только на определенные dst IP иноагентов. чтоб заработаь стаус иноагента надо постараться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #86

40. Сообщение от Аноним (40), 13-Ноя-23, 12:33	+/–
https://repology.org/project/openvpn/versions
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

41. Сообщение от Аноним (31), 13-Ноя-23, 12:36	+/–
УМВР, даже с ардуинкой через ком-порт мигал светодиодом. Может система плохо настроена? Или кривизна рук превысила даже низкую планку мелкософта
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #49, #51

42. Сообщение от Аноним (42), 13-Ноя-23, 12:37	+/–
Кроме XRay уже ничего не актуально.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #61

43. Сообщение от Jethro_Tull (??), 13-Ноя-23, 12:42	–1 +/–
Ну, почему же одного? Таких скрепостанов много и будет ещё больше. В том же Германистане пользоваться интернетом без VPN становится крайне затруднительно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #45, #64, #146

44. Сообщение от An (??), 13-Ноя-23, 12:46	+/–
А что с wg не так по сравнению с openvpn/ipsec применительно к ситуации с "дофига пользователей"?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #73, #147

45. Сообщение от пох. (?), 13-Ноя-23, 12:46	+1 +/–
Автору пофиг - он на мэйлру и вконтаткик ходить этим способом вообще не планировал. Повторяю - это инструмент побыстрому связать два локалхоста. А ты от товарищмайора - допереключаешься!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

46. Сообщение от Аноним (46), 13-Ноя-23, 13:00	+3 +/–
https://habr.com/ru/news/773348/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #101

48. Сообщение от Анонем (?), 13-Ноя-23, 13:18	+2 +/–
ФУНКЦИОНАЛ - математическое понятие, возникшее в вариационном исчислении для обозначения переменной величины, заданной на множестве функций, т. е. зависящей от выбора одной или нескольких функций. Напр., длина дуги кривой, соединяющей две фиксированные точки, будет функционалом, т. к. величина длины дуги зависит от выбора функции, график которой соединяет эти точки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #85

49. Сообщение от FF (?), 13-Ноя-23, 13:20	+/–
С руками у меня всё в порядке. Мигать светодиодом на ардуине из примера с MSDN - да. Передавать данные с STM32 на максимальной скорости асинхронно чтобы не вис гуй через Virtual Com Port - нет. На Qt сразу все получилось.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

50. Сообщение от Аноним (50), 13-Ноя-23, 13:23	+/–
угу, вообще никаких проблем. кроме того, что сервер даже не может сам распределять IP адреса клиентов - они сами себе их выбирают. И каждому клиенту нужно давать отдельную конфигурацию, а также самому следить, чтобы ip адреса не пересекались. Очень удобно, да.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #60

51. Сообщение от FF (?), 13-Ноя-23, 13:23	–1 +/–
Другими словами, C# библиотека для работы с сериалом видимо плохая и очень тормознуто получается в плане временных ожиданий, если насыпать прям данные хотя бы 700КБ/с. Оно будто захлебывалось, и при нажатии на стоп отладки BSOD был. Шарписты прикручивают на винапи, я даже хотел либу на Qt заимпортить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

52. Сообщение от Аноним (52), 13-Ноя-23, 13:27	+3 +/–
> Интересно, что в репах лежат версии даже 2.5.1+ Так они и не подвержены. В описании обеих уязвимостей > OpenVPN 2.6 from v2.6.0 up to and including v.2.6.6
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #81

54. Сообщение от Советский инженер (ok), 13-Ноя-23, 13:47	–3 +/–
>у меня во время дебага BSOD вылетал, всего лишь на Hello world это значит, что тебе либо питон либо яваскрипт. ничего даже близко напоминающего компилируемый язык не трогай больше. тем более в промыщленных установках.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

55. Сообщение от Аноним (55), 13-Ноя-23, 13:50	–2 +/–
> Не требует системдоса OpenVPN действительно не требует Системды. Ты уж разберись получше. А то окажется, что не заметил проблем с Варей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #59

56. Сообщение от лютый арчешкольник... (?), 13-Ноя-23, 13:50	+/–
>Я на wireguard, у меня таких проблем нет. В целом wireguard гораздо удобнее я на openvpn и у меня тоже нет, читай условия эксплуатации. нет неудобнее. нет, системд не нужен. когда там wg через http-прокси научится работать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #84

59. Сообщение от Аноним (3), 13-Ноя-23, 14:09	+2 +/–
Формально да, а на практике требуется кто-то, кто менеджерит его процесс. Это либо системдос (классика жанра, рекомендуется аффтарами опенвпн), либо нетворкменеджер. А вот wireguard работает вообще без PID. Без менеджера твоя судьба-судьбинушка -- запускать в баше с амперсендом в конце, лол.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #95, #103, #154

60. Сообщение от Аноним (60), 13-Ноя-23, 14:40	–3 +/–
> они сами себе их выбирают Кто-то не осилил ман... AllowedIPs.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #99

61. Сообщение от Аноним (60), 13-Ноя-23, 14:46	+/–
ВПН не для обхода блокировок нужен. И Хрей не объединит два компа в сеть. И ВГ можно поверх Хрей пускать через dokodemo-door...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #70

62. Сообщение от Аноним (62), 13-Ноя-23, 14:47	+/–
openvpn 2.6.7 валится, ждите фикса
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #124

63. Сообщение от Аноним (63), 13-Ноя-23, 15:00	+2 +/–
Потому что каждый должен заниматься своим делом. OVPN и WG предназначены для создания туннелей, а не для маскировки своего трафика под белый шум.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

64. Сообщение от Аноним (63), 13-Ноя-23, 15:02	+/–
И wg в Германостане прекрасно работает и решает проблему. Об чём тебе и пытаются сказать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

65. Сообщение от Аноним (70), 13-Ноя-23, 15:05	+2 +/–
Опять ошибки с памятью. Ох, сколько их ещё будет найдено 😁
Ответить | Правка | Наверх | Cообщить модератору

68. Сообщение от Ананий (?), 13-Ноя-23, 15:08	+/–
>(это проблема относится и к OpenVPN). со статичными прешаред ключами тоже?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

70. Сообщение от Аноним (70), 13-Ноя-23, 15:14	+1 +/–
> ВПН не для обхода блокировок нужен. В 99% случаев только для этого. Обойти блокировку, скрыть айпишник от админа сайта и траффик от провайдера.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61 Ответы: #75, #116

73. Сообщение от User (??), 13-Ноя-23, 15:42	+/–
Ээээ... а вы одно и другое вообще когда-нибудь кроме как на opennet'е видели? Условно - что openvpn, что (реализации) ipsec - законченные решения, а WG - это даже не "движок от машины", а кусок движка. Ну, вроде как даже и неплохой - но чтоб на этом куда-нибудь кроме как между своими локалхостами доехать - надо СТОЛЬКО всего накрутить, что нуигонафик.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #118

75. Сообщение от Аноним (60), 13-Ноя-23, 16:44	–1 +/–
Это все равно, что сказать - DHT в 99% случаев нужен только для УГ Овального. Не пори чушь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70

76. Сообщение от Аноним (76), 13-Ноя-23, 17:15	+/–
Это инструменты для прокидывания VPN сетей, а не для сокрытия траффика. Я бы на месте создателей VPN-ок вообще переложил это занятие на туннели специализированных инструментов, того же shadowsocks, вместо того чтобы изобретать свой велосипед, а в итоге получалось бы OpenVPN, где шифрование статическим ключём у них похоже через ECB сделано.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #82

77. Сообщение от Аноним (104), 13-Ноя-23, 17:27	–2 +/–
> В обществе должно сформироваться мнение о недопустимости написания программ на не безопасных языках вроде си. Сколько можно терпеть уязвимости? Извини, но на этом сайте так говорить не принято. Сейчас тебе местные сишные лапшекодеры накидают минусов. Очевидно, что если сейчас, в 2023 году, кто-то на полном серьезе употребляет слово "безопасность" в отношении сишного кода, то в вопросах безопасности он абсолютно некомпетентен. Возьми в пример хоть этот OpenVPN: на сайте слово secure встречается 11 раз, а на деле "ой, вылезли за буфер" и "ой, дважды очистили память". Стыд да и только.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #105

78. Сообщение от Аноним (104), 13-Ноя-23, 17:29	–1 +/–
Зато на сайте OpenVPN слово sevurity упомянуто 11 раз. Понты дороже денег...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

79. Сообщение от Шарп (ok), 13-Ноя-23, 17:34	+/–
>я тыкал студию с шарпом >во время дебага BSOD вылетал У тебя виндопроблемы какие-то. Ни чем не могу помочь. У меня dotnet под линуксом. Разработка в VS Code. Винды даже в дуалбуте нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

80. Сообщение от Аноним (80), 13-Ноя-23, 17:39	+/–
Летишь? Юзеры не обновляют пакеты в репах Учи матчасть
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #141

81. Сообщение от Аноним (80), 13-Ноя-23, 17:40	+/–
Отоночо! Ясно-понятно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

82. Сообщение от Аноним (80), 13-Ноя-23, 17:42	+/–
так обфускаторов хватает и провайдеры впн их используют
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76

83. Сообщение от Аноним (80), 13-Ноя-23, 17:43	+/–
блокируется так же хоть и есть маскировка под хттпс
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #97

84. Сообщение от Аноним (80), 13-Ноя-23, 17:48	+/–
если честно, т о и опенвпн не совсем просто пашет а тем более через локалхост
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

85. Сообщение от Аноним (80), 13-Ноя-23, 17:52	+/–
не умничай читай про - омоним
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

86. Сообщение от Аноним (80), 13-Ноя-23, 17:54	+/–
все туннели наружу блочаться без всякой иногентности
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #114

95. Сообщение от sabitov (ok), 13-Ноя-23, 18:14	+/–
На генте нормально работает годами, ни кто его не "менеджерит", бо нет на этих машинах и системд, ни нетворкменеджера. Процесс будет запущен, это конечно, и пид он займёт, но в чем здесь беда? Во прям сейчас посмотрел на конкретной машине -- 210 ядерных процессов. Ну будет еще один в юзерспейс и чо? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

97. Сообщение от penetrator (?), 13-Ноя-23, 18:21	+/–
софтезер может по 53 порту ломится даже курите мануал, может что-то и пробъет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83 Ответы: #100, #108

98. Сообщение от penetrator (?), 13-Ноя-23, 18:23	+/–
> Проблема проявляется в конфигурациях, использующих TLS (запускаемых без параметра "--secret"). # For extra security beyond that provided # by SSL/TLS, create an "HMAC firewall" # to help block DoS attacks and UDP port flooding. # # Generate with: #   openvpn --genkey --secret ta.key # # The server and each client must have # a copy of this key. # The second parameter should be '0' # on the server and '1' on the clients. Это оно? Если да, то у меня включено, как и всех кто прочитал про extra security и port flooding.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #102

99. Сообщение от Return76 (?), 13-Ноя-23, 18:50	+/–
При чем здесь AllowedIPs ? Это параметр указывает, на какие IP адреса вы будете ходить через туннель. А вот параметр Address в секции [Interface] - вот там да, жестко забитый адрес клиента.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60 Ответы: #125

100. Сообщение от Аноним (100), 13-Ноя-23, 19:23	+/–
ну-ну так это касается любого протокола если сам настраиваешь сервер. причем здесь анализ трафика? obfs4 научились разспознавать и это можно проанализировать на наличие неспецифичых заголовков
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97

101. Сообщение от Аноним (100), 13-Ноя-23, 19:30	+1 +/–
в дагестане не помогло тспу-шмспу.. бабки растаскивают по предлогом безопасности
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

102. Сообщение от Аноним (100), 13-Ноя-23, 19:32	+1 +/–
мы не видим что у тебя включено! выкладывай конфиг полностью
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98

103. Сообщение от Аноним (103), 13-Ноя-23, 20:04	+/–
Господи что ты несешь? Какой системд, какой нетворкменеджер? У меня ovpn в NetBSD прекрасно работает, где ничего этого нет. И да, wg здесь тоже есть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #137

104. Сообщение от Аноним (104), 13-Ноя-23, 20:11	–1 +/–
> так пишут только юноши, которые не кодили ничего корпоративно А как пишут корпоративные бракоделы можно наблюдать в новости (и в сотнях ей подобной).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

105. Сообщение от Аноним (103), 13-Ноя-23, 20:12	+2 +/–
Вылезание за границы буфера - это обязательное требование для языка, на котором работают с железом, DMA, пишут операционные системы, пишут firmware и тд. Если яп тебе такое не позволяет, то написать на нем можно только всякую чепуху для запуска в браузере. И какой, кстати, ты язык предлагаешь называть безопасным? Неужели раст? Ну дак раст в вопросе сборки бинарей полагается на llvm, написанный на дырявом C++. А там ведь что ни строка, то обязательно переполнение буфера. Так ведь можно и боров чекер сломать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77 Ответы: #107, #113

107. Сообщение от Аноним (104), 13-Ноя-23, 20:21	+1 +/–
> Вылезание за границы буфера - это обязательное требование для языка Ясно, понятно... Ну, другого от сишечного эксперта я и не ожидал. Серьезно: я тут от местных экспертов и не такую дичь читал, так что меня не удивишь :) > раст в вопросе сборки бинарей полагается на llvm, написанный на дырявом C++. А там ведь что ни строка, то обязательно переполнение буфера. Так ведь можно и боров чекер сломать. Конечно, там же дырявый C++ код вставляется прямо в сгенерированные бинари!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105 Ответы: #110, #112

108. Сообщение от Аноним (80), 13-Ноя-23, 20:27	+/–
Даже коммерческий windscribe умеет udp:53
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97

109. Сообщение от Аноним (104), 13-Ноя-23, 20:28	+/–
> Это говорит, что дело не в квалификации людей, а дело в самой сишке, в её отвратительной концепции. Нет, если люди из десятилетия в десятилетие наступают на одни и те же грабли и не делают выводов - это очень много говорит не только об их квалификации, но и об умственных способностях в целом. > В обществе должно сформироваться мнение о недопустимости написания программ на не безопасных языках вроде си. Сколько можно терпеть уязвимости? Вы не видите что-ли, Да все всё видят и давно поняли. Только, видишь ли, такие люди - компетентные и высококвалифицированные специалисты - не станут лепить халтуру в опенсорсе на сишочке.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

110. Сообщение от Аноним (103), 13-Ноя-23, 20:31	+/–
> Конечно, там же дырявый C++ код вставляется прямо в сгенерированные бинари! То есть ты спокойно доверяешь компиляцию твоего безопасного кода на растёт с кучей закорючек и без единого unsafe какому-то дырявому компилятор у на С++? И нет, эксперт по расту, дырявый С++ не вставляет  код прямо в сгенерированные бинари, он эти бинари генерирует. Ты если такой принципиальный в вопросах небезопасных яп, будь принципиальным до конца и откажись от llvm, gcc, и тд. Напиши свой кодогенератор на растёт, к-й сможет напрямую взять код на растёт и превратить его в бинарь, минуя промежуточные llvm-представление.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #107

112. Сообщение от Аноним (103), 13-Ноя-23, 20:37	+/–
И, кстати, ассемблер тоже не безопасный. Не хочешь от него отказаться?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #107

113. Сообщение от Советский инженер (ok), 13-Ноя-23, 20:46	–2 +/–
>А там ведь что ни строка, то обязательно переполнение буфера. ты со своими васянскими хелоуаордами не путай. >Так ведь можно и боров чекер сломать. ты бы лучше за своими штанами следтл, уже дымят походу
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105

114. Сообщение от glad_valakas (?), 13-Ноя-23, 20:50	+/–
> все туннели наружу > блочаться без всякой иногентности ??? мне о таком не докладывали. смыл в том, что https тоже своего рода туннель.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86 Ответы: #119

115. Сообщение от Аноним (115), 13-Ноя-23, 20:59	–3 +/–
Подключил значительно больше суммарной тысячи сотрудников по всему миру и внутренних ресурсов. Расскажи, что у тебя не получается, может помогу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

116. Сообщение от glad_valakas (?), 13-Ноя-23, 21:04	–1 +/–
>> ВПН не для обхода блокировок нужен. > В 99% случаев только для этого. Обойти блокировку, ну да. ковровые блокировки тоже необходимо обходить. > скрыть айпишник от админа сайта ошибка. все эндпоинты под моим управлением. > и траффик от провайдера. ошибка. от ТСПУ или как эта DPI-дурмашина называется. я конечно могу позвонить на 8-495-748-13-18 (даже факс туда могу, рабочее оборудование есть) или заслать скан официального письма To: supervising@noc.gov.ru CC: vpn@digital.gov.ru не если у них о5 чего-то глюкнет или какие-нибудь учения, то я буду крайний.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70 Ответы: #149

117. Сообщение от Аноним (-), 13-Ноя-23, 21:19	+/–
> Уязвимости в OpenVPN и SoftEther VPN Донфилд им так то приветы передавал :). Кто б сомневался что в этих монстрах багом навалом.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #131

118. Сообщение от Аноним (115), 13-Ноя-23, 21:24	–1 +/–
А что вдруг случилось с юникс-веем и с «одна программа делает одну вещь»? Или это другое, надо понимать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73 Ответы: #126

119. Сообщение от Аноним (1), 14-Ноя-23, 00:35	+/–
Таки и его начились анализировать. недавние проблемы с obfs4 прямо намекают в 2024 примут закон, в котором определят в конечном счете какие протоколы/ресурсы для РФ "опасны"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #114

123. Сообщение от Таблица умножения (?), 14-Ноя-23, 03:11	+/–
Я тоже тыкал компорт, только в лажарусе. И из всех реализаций компонентов и библиотек остановился на самой простой, потому что только она работала быстро, надежно и без потери данных. Так что это всё может быть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

124. Сообщение от OpenVPN (?), 14-Ноя-23, 04:11	+/–
Это: https://github.com/OpenVPN/openvpn/issues/449 ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #143

125. Сообщение от Аноним (60), 14-Ноя-23, 07:02	–1 +/–
Начнем с того, что в ВГ нет ни клиентов, ни серверов. Он как бэ пир ту пир. Ну, ок. Будем рассматривать клиент-серверную модель, если тебе так привычнее. Если у "клиента" в секции Interface прописан адрес отличный от того, что прописано на "сервере" в AllowedIPs в секции Peer, относящейся к данному "клиенту", то он будет сосать шишку. Отсюда следует, что "клиент" не может сам себе назначить адрес в сети. Вот при этом тут AllowedIPs...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #99

126. Сообщение от User (??), 14-Ноя-23, 07:23	+1 +/–
Эмммм... да ничего вроде? Как пилили троллейбусы-из-буханки по заветам пророка Лебеды - так и пилят. Одно время правда казалось, что вымрут шо те динозавры - но тут на 1\6 части суши ПОПЁРЛО и можно продолжать пилить аналоговнеты-из-палка-и-веревка
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #118 Ответы: #140

127. Сообщение от Аноним (127), 14-Ноя-23, 09:11	–3 +/–
OpenVPN - переусложненное гавно. Реализация его отвратительна и везде по разному реализована. Никогда его не использовал. Дебильные ключи и сертификаты, чтобы просто кинуть чертов туннель. Поэтому L2TP + ipsec лучшее решение сейчас. Сколько не пытался работать с openvpn - всегда блевать хочется. Softether VPN - идеален.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #129, #144

128. Сообщение от Аноним (127), 14-Ноя-23, 09:16	+/–
Ну почему нельзя просто сделать нормальный VPN, в котором тупо будет логин и пароль и больше ничего для авторизации? Один четкий стандарт и больше никаких дебильных фишек. Жаль, что нет реализации VPN по SSH везде за стандарт - идеальная вещь была бы. Велосипеды строят.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #130, #136, #145

129. Сообщение от Аноним (100), 14-Ноя-23, 11:01	+/–
активно используй PPTP вообще нет проблем минимум настроек
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #127 Ответы: #135

130. Сообщение от Аноним (100), 14-Ноя-23, 11:02	+/–
давно уже придумано см вики - pptp
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #128 Ответы: #133

131. Сообщение от Аноним (100), 14-Ноя-23, 11:04	+/–
> Softether VPN - идеален. Тебе бы знаний побольше и все мучения закончились
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #117

133. Сообщение от Аноним (127), 14-Ноя-23, 11:14	+/–
Устаревший протокол. Не надежен. Тогда я просто лучше IP туннели заюзаю. Зачем мне лишний оверхед
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #130

135. Сообщение от нах. (?), 14-Ноя-23, 11:57	+/–
> вообще нет проблем примерно до второго юзера в той же сети - нет проблем. Ну, если конечно gre вообще не зафильтрован нафиг потому что опять кто-то забыл что есть еще какие-то протоколы кроме tcp и udp. А так - для массового сервиса, конечно, гораздо проще и эффективней чем псевдовайры.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #129

136. Сообщение от нах. (?), 14-Ноя-23, 12:05	+/–
> Ну почему нельзя просто сделать нормальный VPN, в котором тупо будет логин и пароль потому что если ты передашь эти логин с паролем плейнтекстом - к тебе могут заглянуть на огонек другие васяны. А если ты начнешь пытаться играть в наколеночное шифрование - то васянов станет даже еще больше. Поэтому либо psk (который не логин и не пароль - и НЕ передается вообще) и адский гемор потом разобраться кому какой принадлежит, как их вовремя экспайрить и управлять доступами, либо вообще сертификаты и все из этого вытекающее. Внезапно, простых решений в безопасности - нет. > Жаль, что нет реализации VPN по SSH везде за стандарт - идеальная вещь была бы. Велосипеды строят. вот ты сейчас например предложил - велосипед. Причем - с квадратными колесами, потому что ssh - _remote_shell_ - и туннель он позволяет протому что юзер с шеллом _и_так_ может десятком разных способов создать себе туннельчиков, незачем уже от него пытаться защититься, все равно бестолку. Предполагается что этот юзер - доверенный и ему можно всё. А вот наоборот - в нем в принципе не предусмотрено автором. Который еще в 90е говорил что так - by design, и если вы не доверяете этому пользователю шелл на ваш хост - поищите просто другое решение. Все напиханные опенбсдшниками костыли и подпорки эту корневую проблему никак не решают (точнее - до первого несознательного элемента, решившего поковырять деревянную дверку пальчиком)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #128

137. Сообщение от крокодил мимо.. (?), 14-Ноя-23, 14:30	+/–
> Господи что ты несешь? Какой системд, какой нетворкменеджер? У меня ovpn в NetBSD прекрасно работает, где ничего этого нет. И да, wg здесь тоже есть. два чая этому Господину.. в OpenBSD также.. и пакеты/порты оперативно обновили новыми версиями (2.6.7)..
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103

139. Сообщение от AndreyChe (?), 14-Ноя-23, 16:08	+1 +/–
Как в ваергарде установить срок действия ключа? Или ты будешь руками блочить ключи сотен сотрудников, которым нужен временный доступ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

140. Сообщение от Аноним (115), 14-Ноя-23, 17:03	+/–
А Tailscale — это тоже палка и верёвка с ⅙ части или это троллейбус? Я в ваших покемонах в силу лет не разбираюсь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #126 Ответы: #142

141. Сообщение от Рекурсер (?), 14-Ноя-23, 17:44	+/–
Юзеры не обновляют пакеты не в своих репах, только лишь в своих Учи матчасть 2
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80 Ответы: #151

142. Сообщение от User (??), 14-Ноя-23, 22:28	+/–
> А Tailscale — это тоже палка и верёвка с ⅙ части или > это троллейбус? Я в ваших покемонах в силу лет не разбираюсь. Это крупная корпа, которая способна из этого куска движка сделать готовое решение... но вам от этого ни жарко, ни холодно, т.к. она им с вами не поделится, а все, что вы сделаете "по мотивам" сами - как раз таки "троллейбус из буханки" и будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #140

143. Сообщение от Аноним (143), 15-Ноя-23, 05:55	+/–
да
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #124 Ответы: #152

144. Сообщение от Аноним (143), 15-Ноя-23, 06:00	+1 +/–
микротик? :-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #127 Ответы: #158

145. Сообщение от Аноним (143), 15-Ноя-23, 06:13	+/–
удивительным образом можно openvpn настроить без авторизации по ключам.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #128

146. Сообщение от Аноним (146), 15-Ноя-23, 12:37	+/–
Так в германии пока усе вполне демократишно)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #150

147. Сообщение от Ananimus (?), 15-Ноя-23, 13:01	+/–
> А что с wg не так по сравнению с openvpn/ipsec применительно к ситуации с "дофига пользователей"? Да ничего особенного, просто есть секта свидетелей "старых проверенных технологий" которые почему-то не могут признать что туннели не требующие софта на миллионы строк это хорошо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

149. Сообщение от Аноним (1), 15-Ноя-23, 20:13	+/–
> ошибка. все эндпоинты под моим управлением. Плевать. Что дальше? Если известный провайдер впн ты знаешь куда пошел клиент. А если нет. То что???
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #116

150. Сообщение от Аноним (1), 15-Ноя-23, 20:15	+/–
ну да.. когда все меняют реальность на 360 градусов. демократия в так случае - НЕПОБЕДИМА!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #146

151. Сообщение от Аноним (1), 15-Ноя-23, 20:16	+/–
Демагог! Учи матчасть 3
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #141

152. Сообщение от OpenVPN (?), 16-Ноя-23, 03:22	+/–
Закоммитили "фикс".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #143 Ответы: #153

153. Сообщение от Аноним (143), 16-Ноя-23, 06:14	+/–
на днях будет 2.6.8
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #152 Ответы: #155

154. Сообщение от Аноним (154), 16-Ноя-23, 22:02	+/–
> Формально да, а на практике требуется кто-то, кто менеджерит его процесс. Это либо системдос (классика жанра, рекомендуется аффтарами опенвпн), либо нетворкменеджер. А вот wireguard работает вообще без PID. Без менеджера твоя судьба-судьбинушка -- запускать в баше с амперсендом в конце, лол. Ну то есть: всё правда - системда не обязательна сервису. Но: просто это другое. Ясно. Понятно. P.S. > Без менеджера твоя судьба-судьбинушка -- запускать в баше с амперсендом в конце, лол. Это ж достоинство. Хочешь - система инициализации менеджит сервис. Хочешь - демон NM. Хочешь - nohup, амперсанд сделал. Хочешь - в настройках дописал. Прекрасная ж реализация.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

155. Сообщение от OpenVPN (?), 18-Ноя-23, 01:48	+/–
Релизнули.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #153

156. Сообщение от ОнанВарвар (?), 19-Ноя-23, 10:42	+/–
Использую SoftEther VPN (японцы знают толк в извращениях). В целом доволен. Единственно не хватает gui морды для gnu/linux. Но движение в данном направлении идет.
Ответить | Правка | Наверх | Cообщить модератору

157. Сообщение от Herrasim Muhmuh (?), 20-Ноя-23, 04:29	+/–
Постойте ка... Но, ведь на ноль делить !нельзя!
Ответить | Правка | Наверх | Cообщить модератору

158. Сообщение от Herrasim Muhmuh (?), 20-Ноя-23, 04:34	+/–
Микрот - ванлав, да
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #144

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема