| |
| 2.5, Аноним (-), 16:54, 13/01/2013 [^] [^^] [^^^] [ответить]
| +/– |
Работает. Хотя у некоторых вызывает нарекания. Мой опыт не слишком большой, я вроде как до "нареканий" не дошел.
| | |
|
| |
| 2.7, Andrey Mitrofanov (?), 21:03, 13/01/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> А шифрование по ГОСТ там можно реализовать?
А _зачем_? Сертификата у них никогда не будет. То есть - даже если и можно.
| | |
| |
| |
| 4.44, Andrey Mitrofanov (?), 13:02, 14/01/2013 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Используем Криптокомовский openvpn в продакшене.
В новости не он. [И хвост пипочкой.] Но, да, соболоезнования.
| | |
|
|
| 2.65, 80е (?), 10:46, 16/01/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> А шифрование по ГОСТ там можно реализовать?
В смысле, БЭКДОР по ГОСТ ?
Вам так важно обеспечить БЭКДОР ?
Зачем он вам?
| | |
|
| |
| |
| 3.12, Аноним (-), 23:39, 13/01/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
Я так понял, они всю SSL пересобрали, а не добавили алгоритм к существующей библиотеке. :-(
Как то печально.
| | |
| |
| 4.24, pavlinux (ok), 02:20, 14/01/2013 [^] [^^] [^^^] [ответить]
| +3 +/– |
 > Я так понял, они всю SSL пересобрали, а не добавили алгоритм к
> существующей библиотеке. :-( Как то печально.
Отец, ты ОпенССЛ ваще юзал? Хоть бы методом тыка просмотрел, иль ман почитал бы...
# openssl engine gost -vvv
gost) Reference implementation of GOST engine
CRYPT_PARAMS: OID of default GOST 28147-89 parameters
(input flags): STRING
# openssl genpkey -engine gost -algorithm gost2001 -pkeyopt paramset:A -out /tmp/super.secret
engine "gost" set.
# cat /tmp/super.secret
-----BEGIN PRIVATE KEY-----
MEYCAQAwHAYGKoUDAgITMBIGByqFAwICIwEGByqFAwICHgEEIwIhAL9HqPvssE9A
HBZUDrmyhlB2AEp+6LIRQLZaWnrM1MMP
-----END PRIVATE KEY-----
# openssl version
OpenSSL 1.0.1c 10 May 2012
| | |
|
| |
| |
| 5.20, pavlinux (ok), 02:00, 14/01/2013 [^] [^^] [^^^] [ответить]
| +3 +/– |
Не обращай внимания, ононимные оналитеги, дальше локалхоста в интернет не пускают.
| | |
| |
| 6.54, ыыы (?), 15:43, 14/01/2013 [^] [^^] [^^^] [ответить]
| +/– |
>> Вы вот такую бумажечку попробуйте получать каждые пол года, с выходом новой
>> убунты:
>> http://www.cryptocom.ru/images/cert_lic/cert_1820.gif
> Печать очень странно наползает на 00009-01, очень похоже на липу.
Полностью согласен
Печать вдействительности наложена дополнительным слоем с прозрачностью
Одно непонятно зачем именно такое сделано так как такие список таких сертификатов всеравно в открытом доступе
| | |
|
| 5.27, Аноним (-), 02:41, 14/01/2013 [^] [^^] [^^^] [ответить]
| +6 +/– | |
> Вы вот такую бумажечку попробуйте получать каждые пол года, с выходом новой убунты:
Ну а вы сидите наздоровье с сертификатами. И дырами, которые сто лет уже никто не патчит. И кстати не удивляйтесь потом плиз тому что те кто в здравом уме и твердой памяти конторы лепят в других странах. И сервера хостят где угодно, но только не тут. Потому что такой парад маразма - это просто шедеврально. Да, государство у нас много делает. Для того чтобы помочь отечественной IT индустрии скопытиться, например.
| | |
| |
| |
| 7.39, Аноним (-), 12:23, 14/01/2013 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Все фиксы бэкпортятся, сынок.
Кем? На допустим ту же убунту 9.04 canonical настолько уже забил что у нее даже репы в дауне. Так что там где мне надо было эту некромансию заапгрейдить - пришлось поизвращаться. Т.к. даже репов нету и апдейтер качнуть не получается :)
| | |
|
| 6.68, XoRe (ok), 01:53, 18/01/2013 [^] [^^] [^^^] [ответить]
| +/– |
 >> Вы вот такую бумажечку попробуйте получать каждые пол года, с выходом новой убунты:
> Ну а вы сидите наздоровье с сертификатами. И дырами, которые сто лет
> уже никто не патчит. И кстати не удивляйтесь потом плиз тому
> что те кто в здравом уме и твердой памяти конторы лепят
> в других странах. И сервера хостят где угодно, но только не
> тут. Потому что такой парад маразма - это просто шедеврально. Да,
> государство у нас много делает. Для того чтобы помочь отечественной IT
> индустрии скопытиться, например.
Ну да, сервера держат в других странах исключительно из за отсталости отечественной IT :)
К слову, в США вы их тоже вряд ли будете держать.
Там вообще органы по закону имеют право читать почту старше 6 месяцев, без всяких бумажек.
А в России - ну да, вот такие правила игры.
Никто вас не удерживает от того, чтобы лезть в правительство и попытаться поменять правила.
Или всегда можно попытаться поменять гражданство.
| | |
|
|
|
|
|
| |
| 2.14, Аноним (-), 00:15, 14/01/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> лучше бы реализовали многопроцессорность.
Запустите несколько демонов на серваке и укажите их в клиентских конфигах - будет вам многопроцессорность.
| | |
| 2.16, XoRe (ok), 00:51, 14/01/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> лучше бы реализовали многопроцессорность.
Вы наверное имели в виду "одновременный запуск нескольких инстансов"?
| | |
| |
| 3.35, Аноним (-), 09:11, 14/01/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
нафик мне все это. я хочу, что бы криптовалась быстро быстрюще.
| | |
| |
| 4.47, Аноним (-), 14:18, 14/01/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> нафик мне все это. я хочу, что бы криптовалась быстро быстрюще.
Ну, напиши opencl ускорение для OpenSSL/polarSSL/... - получишь то что хотел.
| | |
|
|
|
| 1.17, XoRe (ok), 00:56, 14/01/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
> - Добавлена опция "--client-nat" для включения автоматической трансляции адресов для того,
> чтобы избежать конфликта IP-адресов локальной и удалённой сети;
Потрясающая опция, решает кучу проблем.
| | |
| |
| 2.18, user (??), 01:46, 14/01/2013 [^] [^^] [^^^] [ответить]
| +/– |
>> - Добавлена опция "--client-nat" для включения автоматической трансляции адресов для того,
>> чтобы избежать конфликта IP-адресов локальной и удалённой сети;
> Потрясающая опция, решает кучу проблем.
Например.
| | |
| |
| 3.28, Аноним (-), 02:41, 14/01/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Например.
Видимо он о случае когда есть 2 локалки и так уж вышло что их айпишники пересекаются.
| | |
| |
| 4.60, XoRe (ok), 02:42, 15/01/2013 [^] [^^] [^^^] [ответить]
| +/– |
>> Например.
> Видимо он о случае когда есть 2 локалки и так уж вышло
> что их айпишники пересекаются.
Именно.
Везде 192.168.0, 192.168.1.
Кстати --client-nat позволяет указывать, snat или dnat использовать.
В свое время приходилось делать костыли с подменой ip через iptables snat/dnat + DNS doctoring (подмена ip в ответе dns сервера).
| | |
|
|
|
| 1.19, user (??), 01:48, 14/01/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А как там перь с easy-rsa?
Его вроде вынесли в отдельный суб-проект.
| | |
| 1.22, Vagon вилз (?), 02:15, 14/01/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Лучше бы научили его реинвайтить траффик, как в сипе например, что бы не гнать все через центровой сервак.........
| | |
| |
| |
| 3.29, Аноним (-), 02:42, 14/01/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Лучше бы CUDA и OpenCL прикуячили.
А что, у тебя оно уже упирается в проц? И вообще, это к SSLной либе вопросы.
| | |
| 3.49, Аноним (-), 15:00, 14/01/2013 [^] [^^] [^^^] [ответить]
| +/– |
Павлуша, я тебя уважаю, но ты со своей CUDA носишься как с писаной торбой. CUDA - блобятина, а блобы и секурность это несовместимо.
| | |
| |
| 4.58, pavlinux (ok), 01:20, 15/01/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> блобы и секурность это несовместимо.
Дооооооооо... Ахтунг, оналитеги в треде!!!
| | |
|
| 3.63, Sem (??), 03:05, 16/01/2013 [^] [^^] [^^^] [ответить]
| +/– |
 > Лучше бы CUDA и OpenCL прикуячили.
Зачем??? Шоб было? Как отметили уже выше, лучше бы мультитрединг осилили бы.
| | |
|
| |
| 3.36, VolanD (ok), 09:33, 14/01/2013 [^] [^^] [^^^] [ответить]
| +/– |
 > Это вы вообще про что? При чем здесь вообще sip?
Ну типа когда трафик звонящего ходит не через центральный сервер, а напрямую...
| | |
| |
| 4.41, Аноним (-), 12:26, 14/01/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Ну типа когда трафик звонящего ходит не через центральный сервер, а напрямую...
Такое в n2n сделали. Правда это совершенно посторонний проект.
| | |
|
|
|
| 1.32, Vagon вилз (?), 03:22, 14/01/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
пир ту пир оооочень не хватает овпну, чтобы соеденял сервак, а трафик шел напрямую, минуя сервер от клиента прямо к другому...
| | |
| |
| 2.50, Аноним (-), 15:03, 14/01/2013 [^] [^^] [^^^] [ответить]
| +/– |
Ага, особенно когда у обоих клиентов Венда, ооочень так неуязвимо получится.
| | |
| 2.64, Sem (??), 03:14, 16/01/2013 [^] [^^] [^^^] [ответить]
| +/– |
> пир ту пир оооочень не хватает овпну, чтобы соеденял сервак, а трафик
> шел напрямую, минуя сервер от клиента прямо к другому...
Паттерн использования VPN все же другой. Сервер является гейтом в сеть.
| | |
|
| |
| 2.40, Аноним (-), 12:25, 14/01/2013 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> strongSwan
OpenVPN хорош тем что доволен одним TCP или UDP портом и потому пролезает везде. А вот c айписеком можно отхватить изрядную порцию айписекаса.
| | |
| |
| |
| 4.45, Аноним (-), 14:02, 14/01/2013 [^] [^^] [^^^] [ответить]
| –3 +/– | |
> используйте SCTP
И застряньте на первом же файрволе/нате/прокси. Нет уж, спасибо.
| | |
|
| 3.43, КЭП (?), 12:43, 14/01/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> А вот c айписеком можно отхватить изрядную порцию айписекаса.
это только проблема вашего оборудования
| | |
| |
| 4.46, Аноним (-), 14:05, 14/01/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> это только проблема вашего оборудования
Или нашего провайдера, админа, конфигурации вон того фаера, ната, прокси, ...
Понимаете ли, VPN может использоваться например, для доступа "откуда попало" (мобильный интернет, бесплатный вайфай, абы какой пров) в защищенную сеть по защищенному каналу. Собственно в этом половина смысла VPN и есть - полная абстракция логической структуры от физического устройства сети. И прощибать вообще все стены своим лбом - нафиг надо. Думаете, мне сильно упало строить всех админов вообще всех провайдеров и окружений которыми я в принципе могу пользоваться?
[сообщение отредактировано модератором]
| | |
|
|
|
| 1.66, Димыч (??), 00:49, 17/01/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Кто-нить пользовал клиентов под Ипады, смартфоны и прочую переносную лабуду?
Как впечатления?
| | |
| |
| 2.67, metallic (ok), 14:01, 17/01/2013 [^] [^^] [^^^] [ответить]
| +/– |
 Под ios нету клиента в апсторе. Физически он есть, но требуется взлом устройства, на стоковый айфон/айпад клиент openvpn не поставить
| | |
| 2.69, Трупоед (?), 06:13, 18/01/2013 [^] [^^] [^^^] [ответить]
| +/– |
Cisco IPSec реализуется на racoon или strongswan, хоть под Linux, хоть под BSD. При использовании чистого IPSec и авторизации по сертификатам можно создать профиль VPN с параметром On-Demand и прописать ресурсы, при обращении к которым VPN будет подниматься автоматически. Сервер надо настраивать с поддержкой NAT-T, тогда весь ESP трафик будет инкапсулироваться в UDP-пакеты на порт 4500.
| | |
| |
| 3.70, Трупоед (?), 06:14, 18/01/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Cisco IPSec реализуется на racoon или strongswan, хоть под Linux, хоть под
> BSD. При использовании чистого IPSec и авторизации по сертификатам можно создать
> профиль VPN с параметром On-Demand и прописать ресурсы, при обращении к
> которым VPN будет подниматься автоматически. Сервер надо настраивать с поддержкой NAT-T,
> тогда весь ESP трафик будет инкапсулироваться в UDP-пакеты на порт 4500.
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";
listen {
isakmp #{src_ip} [500];
isakmp_natt #{src_ip} [4500];
}
remote anonymous {
proposal_check obey;
passive on;
exchange_mode main,aggressive;
my_identifier fqdn "#{host_fqdn}";
mode_cfg on;
verify_cert off;
ike_frag on;
generate_policy on;
nat_traversal on;
dpd_delay 20;
proposal {
encryption_algorithm aes;
hash_algorithm sha1;
authentication_method xauth_psk_server;
dh_group 2;
}
}
mode_cfg {
conf_source local;
auth_source system;
save_passwd on;
dns4 8.8.8.8;
network4 10.0.0.1;
pool_size 255;
}
sainfo anonymous {
encryption_algorithm aes;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
}
| | |
|
|
|
