Virtual Private Network (VPN)

[LixxDee 682]

Обсуждение. Хелпа. Новости.

Также помогу организовать приватную сеть дома или в офисе на базе сервера OS Linux с созданием центра сертификации и клиентских сертификатов.

[Le ecureuil 202]

А зачем именно с CA? И какой протокол хочецо?

[LixxDee 682]

8 часов назад, Le ecureuil сказал:

А зачем именно с CA? И какой протокол хочецо?

Ну дома можно и без CA, но для серьёзных проектов, где должна соблюдаться высокая конфиденциальность данных без него точно никак. Предпочитаю OpenVPN.

[Le ecureuil 202]

CA и вообще схема с X.500 нормально себя показывает только при невозможности нормальной прямой peer-to-peer дистрибуции ключей, когда приходится прибегать к доверенной третьей стороне, чем и выступает CA.

На высокую конфиденциальность данных это никак не влияет, только на возможности масштабирования.

Вот есть Wireguard, где вообще нужно ключи таскать друг другу в виде 32-х байтных blob. Или IPsec с IKEv2/PSK. Конфиденциальность данных у них при этом не хуже чем у OpenVPN c X.500 сертификатами.

[LixxDee 682]

52 минуты назад, Le ecureuil сказал:

CA и вообще схема с X.500 нормально себя показывает только при невозможности нормальной прямой peer-to-peer дистрибуции ключей, когда приходится прибегать к доверенной третьей стороне, чем и выступает CA.

На высокую конфиденциальность данных это никак не влияет, только на возможности масштабирования.

Вот есть Wireguard, где вообще нужно ключи таскать друг другу в виде 32-х байтных blob. Или IPsec с IKEv2/PSK. Конфиденциальность данных у них при этом не хуже чем у OpenVPN c X.500 сертификатами.

А ты хорош! Понятно, что CA никак не влияет, не так выразился. Не учёл, что ты имеешь такой уровень познаний)

Про этого китайца (Wireguard) много лестных отзывов слышал, смотрел несколько манов по нему, но руки так и не дошли до него пока.

Ты его уже где-то используешь?

[Le ecureuil 202]

Ну во-первых, wireguard далеко не китаец. Его автор Джейсон Доненфелд вполне себе уважаемый америкенец, и кроме wireguard еще кучу софта написал - самый часто используемый это cgit. Но это неважно - важно что код прошел аудит многоуровнеый и в итоге принят в ядра Linux и BSD.

Во-вторых, работаю с ним (ну мягко скажем так). У меня есть к нему определенные вопросы, но скорее всего это особенность изначального дизайна. Скажем у него нет config provisioning, что сильно разит его с (например) L2TP/IPsec или подобными туннелями, где можно с сервера управлять авторизацией и адресацией.

Ну а дома организовать VPN - проще купить готовое устройство, где за вас уже подумали профессионалы и сделали интеграцию многих протоколов для всех случаев жизни (подказываю слегка).

[LixxDee 682]

Дошли руки до IPSec/IKEv2 на микротике, в качестве клиентов машины с виндой, Ubuntu Server с демоном strongswan для запуска туннеля, Android и iOS. 

[LixxDee 682]

Кто-нибудь пробовал нативную поддержку IKEv2 на 11-м андройде?

[Le ecureuil 202]

Через гуся привычнее, но надо бы проверить, да.

[LixxDee 682]

1 минуту назад, Le ecureuil сказал:

Через гуся привычнее, но надо бы проверить, да.

У меня через него все корпоративные клиенты на смартфонах подключены, вот думаю есть смысл с него слезать или нет)

[Le ecureuil 202]

5 минут назад, LixxDee сказал:

У меня через него все корпоративные клиенты на смартфонах подключены, вот думаю есть смысл с него слезать или нет)

Если нет проблем с ним, то думаю что точно не стоит. В A 10 была добавлена поддержка IKEv2/RSA, и мне что-то не понравилось как это работает. Фактически в A 11 добавился только режим IKEv2/MsCHAP.

[LixxDee 682]

1 час назад, Le ecureuil сказал:

Если нет проблем с ним, то думаю что точно не стоит. В A 10 была добавлена поддержка IKEv2/RSA, и мне что-то не понравилось как это работает. Фактически в A 11 добавился только режим IKEv2/MsCHAP.

А что не понравилось конкретно?

[LixxDee 682]

В strongswan столкнулся с такой проблемой, когда при потере и восстановлении связи, он не всегда перезапускает туннель и не сохраняет его должным образом.. (mobike будь он неладен) В логах тупо сендит keepalive до сервера в одну сторону, ответа не получает, так и висит со статусом conneted.. 

Не сказать, чтоб прям часто такое, но осадочек есть.. 

[LixxDee 682]

Компания Cloudflare выпустила бесплатный VPN сервис, который работает на уровне системы. Скачать для разных систем можно тут: https://1.1.1.1/ 

[kirusha 317]

Под линуксом уже год использую.

[LixxDee 682]

11 минут назад, kirusha сказал:

Под линуксом уже год использую.

сам не юзал, поскольку есть свой vpn сервачок в нидерландах, но тем кто не хочет заморачиваться со своими серверами, по-моему идеальный вариант)

Можешь скинуть traceroute до чего-нибудь с включенной впнкой?

[kirusha 317]

10 минут назад, LixxDee сказал:

сам не юзал, поскольку есть свой vpn сервачок в нидерландах, но тем кто не хочет заморачиваться со своими серверами, по-моему идеальный вариант)

Можешь скинуть traceroute до чего-нибудь с включенной впнкой?

Давай адреса

[LixxDee 682]

7 минут назад, kirusha сказал:

Давай адреса

да давай хоть до нашего сервера) 194.67.78.250

[kirusha 317]

Первый через провайдер, второй через простой warp без doh и всякой лабуды за натом впн с серым ип. Можно с белым ип без натов, но результат тот-же. Скорость не проседает, сотка во все концы. @LixxDee

 

traceroute to 194.67.78.250 (194.67.78.250), 30 hops max, 60 byte packets
 1  _gateway (192.168.97.1)  0.410 ms  0.476 ms  0.577 ms
 2  100.112.0.0 (100.112.0.0)  4.021 ms  4.078 ms  4.196 ms
 3  saransk-r1-vasiright101.rmttk.ru (193.150.108.25)  4.315 ms  4.104 ms  4.253 ms
 4  saransk-r1-vasiright110.rmttk.ru (193.150.108.27)  4.998 ms  4.077 ms  4.187 ms
 5  srn06rb.transtelecom.net (188.43.225.98)  4.893 ms  4.918 ms  4.979 ms
 6  mskn17.mskn202.transtelecom.net (188.43.19.222)  13.743 ms  11.033 ms  10.396 ms
 7  EdinayaSet-gw.transtelecom.net (188.43.19.221)  78.514 ms  78.475 ms  78.493 ms
 8  * * *
 9  * * *
10  node121-msk1.cloudvps.reg.ru (89.108.69.107)  11.360 ms  11.930 ms  11.464 ms
11  forumsaransk.ru (194.67.78.250)  12.042 ms  12.050 ms  12.311 ms
root@minipc:/home# warp-cli connect
Success
root@minipc:/home# traceroute 194.67.78.250
traceroute to 194.67.78.250 (194.67.78.250), 30 hops max, 60 byte packets
 1  172.16.0.1 (172.16.0.1)  11.159 ms  11.144 ms  11.136 ms
 2  172.68.9.1 (172.68.9.1)  11.438 ms  11.536 ms  12.011 ms
 3  unitednet-kiae-10ge-msk-ix.exepto.ru (195.208.209.95)  11.510 ms  11.511 ms  11.501 ms
 4  * * *
 5  * * *
 6  node121-msk1.cloudvps.reg.ru (89.108.69.107)  11.542 ms  11.031 ms  11.015 ms
 7  forumsaransk.ru (194.67.78.250)  11.757 ms  11.757 ms  11.749 ms

[LixxDee 682]

Я так понял с этой впнкой по сайтам в блоке у РКН особо не погоняешь) 

[kirusha 317]

warp+doh включаешь и вперед

Даже на мобиле работает без проблем

[LixxDee 682]

14 минут назад, kirusha сказал:

warp+doh включаешь и вперед

Даже на мобиле работает без проблем

гут! 

[Red Bull 197]

Какой там говорите VPN ставить?)

[шел_мимо 17]

а впн поможет, если чебурнет реализуют? 

[Beyond 368]

Нет. Обещали не отключать, хотя вбросы про 11 марта ходят. В основном такие новости с доменов .ua

Им там видно скучно 

Изменено 7 марта пользователем Beyond