Перейти к публикации
×
×
  • Создать...

Virtual Private Network (VPN)


LixxDee
 Поделиться

Рекомендованные сообщения

Обсуждение. Хелпа. Новости.

Также помогу организовать приватную сеть дома или в офисе на базе сервера OS Linux с созданием центра сертификации и клиентских сертификатов.

Ссылка на комментарий
Поделиться на других сайтах

А зачем именно с CA? И какой протокол хочецо?

Ссылка на комментарий
Поделиться на других сайтах

8 часов назад, Le ecureuil сказал:

А зачем именно с CA? И какой протокол хочецо?

Ну дома можно и без CA, но для серьёзных проектов, где должна соблюдаться высокая конфиденциальность данных без него точно никак. Предпочитаю OpenVPN.

Ссылка на комментарий
Поделиться на других сайтах

CA и вообще схема с X.500 нормально себя показывает только при невозможности нормальной прямой peer-to-peer дистрибуции ключей, когда приходится прибегать к доверенной третьей стороне, чем и выступает CA.

На высокую конфиденциальность данных это никак не влияет, только на возможности масштабирования.

Вот есть Wireguard, где вообще нужно ключи таскать друг другу в виде 32-х байтных blob. Или IPsec с IKEv2/PSK. Конфиденциальность данных у них при этом не хуже чем у OpenVPN c X.500 сертификатами.

Ссылка на комментарий
Поделиться на других сайтах

52 минуты назад, Le ecureuil сказал:

CA и вообще схема с X.500 нормально себя показывает только при невозможности нормальной прямой peer-to-peer дистрибуции ключей, когда приходится прибегать к доверенной третьей стороне, чем и выступает CA.

На высокую конфиденциальность данных это никак не влияет, только на возможности масштабирования.

Вот есть Wireguard, где вообще нужно ключи таскать друг другу в виде 32-х байтных blob. Или IPsec с IKEv2/PSK. Конфиденциальность данных у них при этом не хуже чем у OpenVPN c X.500 сертификатами.

А ты хорош! :classic_smile: Понятно, что CA никак не влияет, не так выразился. Не учёл, что ты имеешь такой уровень познаний)

Про этого китайца (Wireguard) много лестных отзывов слышал, смотрел несколько манов по нему, но руки так и не дошли до него пока.

Ты его уже где-то используешь?

Ссылка на комментарий
Поделиться на других сайтах

Ну во-первых, wireguard далеко не китаец. Его автор Джейсон Доненфелд вполне себе уважаемый америкенец, и кроме wireguard еще кучу софта написал - самый часто используемый это cgit. Но это неважно - важно что код прошел аудит многоуровнеый и в итоге принят в ядра Linux и BSD.

Во-вторых, работаю с ним (ну мягко скажем так). У меня есть к нему определенные вопросы, но скорее всего это особенность изначального дизайна. Скажем у него нет config provisioning, что сильно разит его с (например) L2TP/IPsec или подобными туннелями, где можно с сервера управлять авторизацией и адресацией.

Ну а дома организовать VPN - проще купить готовое устройство, где за вас уже подумали профессионалы и сделали интеграцию многих протоколов для всех случаев жизни (подказываю слегка).

Ссылка на комментарий
Поделиться на других сайтах

  • 2 месяца спустя...

Дошли руки до IPSec/IKEv2 на микротике, в качестве клиентов машины с виндой, Ubuntu Server с демоном strongswan для запуска туннеля, Android и iOS. 

Ссылка на комментарий
Поделиться на других сайтах

  • 7 месяцев спустя...

Кто-нибудь пробовал нативную поддержку IKEv2 на 11-м андройде?

Ссылка на комментарий
Поделиться на других сайтах

Через гуся привычнее, но надо бы проверить, да.

Ссылка на комментарий
Поделиться на других сайтах

1 минуту назад, Le ecureuil сказал:

Через гуся привычнее, но надо бы проверить, да.

У меня через него все корпоративные клиенты на смартфонах подключены, вот думаю есть смысл с него слезать или нет)

Ссылка на комментарий
Поделиться на других сайтах

5 минут назад, LixxDee сказал:

У меня через него все корпоративные клиенты на смартфонах подключены, вот думаю есть смысл с него слезать или нет)

Если нет проблем с ним, то думаю что точно не стоит. В A 10 была добавлена поддержка IKEv2/RSA, и мне что-то не понравилось как это работает. Фактически в A 11 добавился только режим IKEv2/MsCHAP.

Ссылка на комментарий
Поделиться на других сайтах

1 час назад, Le ecureuil сказал:

Если нет проблем с ним, то думаю что точно не стоит. В A 10 была добавлена поддержка IKEv2/RSA, и мне что-то не понравилось как это работает. Фактически в A 11 добавился только режим IKEv2/MsCHAP.

А что не понравилось конкретно?

Ссылка на комментарий
Поделиться на других сайтах

В strongswan столкнулся с такой проблемой, когда при потере и восстановлении связи, он не всегда перезапускает туннель и не сохраняет его должным образом.. (mobike будь он неладен) В логах тупо сендит keepalive до сервера в одну сторону, ответа не получает, так и висит со статусом conneted.. :classic_sad:

Не сказать, чтоб прям часто такое, но осадочек есть.. 

Ссылка на комментарий
Поделиться на других сайтах

  • 3 недели спустя...

Компания Cloudflare выпустила бесплатный VPN сервис, который работает на уровне системы. Скачать для разных систем можно тут: https://1.1.1.1/ 

Ссылка на комментарий
Поделиться на других сайтах

Под линуксом уже год использую.

Ссылка на комментарий
Поделиться на других сайтах

11 минут назад, kirusha сказал:

Под линуксом уже год использую.

сам не юзал, поскольку есть свой vpn сервачок в нидерландах, но тем кто не хочет заморачиваться со своими серверами, по-моему идеальный вариант)

Можешь скинуть traceroute до чего-нибудь с включенной впнкой?

Ссылка на комментарий
Поделиться на других сайтах

10 минут назад, LixxDee сказал:

сам не юзал, поскольку есть свой vpn сервачок в нидерландах, но тем кто не хочет заморачиваться со своими серверами, по-моему идеальный вариант)

Можешь скинуть traceroute до чего-нибудь с включенной впнкой?

Давай адреса

Ссылка на комментарий
Поделиться на других сайтах

7 минут назад, kirusha сказал:

Давай адреса

да давай хоть до нашего сервера) 194.67.78.250

Ссылка на комментарий
Поделиться на других сайтах

Первый через провайдер, второй через простой warp без doh и всякой лабуды за натом впн с серым ип. Можно с белым ип без натов, но результат тот-же. Скорость не проседает, сотка во все концы. @LixxDee

 

traceroute to 194.67.78.250 (194.67.78.250), 30 hops max, 60 byte packets
 1  _gateway (192.168.97.1)  0.410 ms  0.476 ms  0.577 ms
 2  100.112.0.0 (100.112.0.0)  4.021 ms  4.078 ms  4.196 ms
 3  saransk-r1-vasiright101.rmttk.ru (193.150.108.25)  4.315 ms  4.104 ms  4.253 ms
 4  saransk-r1-vasiright110.rmttk.ru (193.150.108.27)  4.998 ms  4.077 ms  4.187 ms
 5  srn06rb.transtelecom.net (188.43.225.98)  4.893 ms  4.918 ms  4.979 ms
 6  mskn17.mskn202.transtelecom.net (188.43.19.222)  13.743 ms  11.033 ms  10.396 ms
 7  EdinayaSet-gw.transtelecom.net (188.43.19.221)  78.514 ms  78.475 ms  78.493 ms
 8  * * *
 9  * * *
10  node121-msk1.cloudvps.reg.ru (89.108.69.107)  11.360 ms  11.930 ms  11.464 ms
11  forumsaransk.ru (194.67.78.250)  12.042 ms  12.050 ms  12.311 ms
root@minipc:/home# warp-cli connect
Success
root@minipc:/home# traceroute 194.67.78.250
traceroute to 194.67.78.250 (194.67.78.250), 30 hops max, 60 byte packets
 1  172.16.0.1 (172.16.0.1)  11.159 ms  11.144 ms  11.136 ms
 2  172.68.9.1 (172.68.9.1)  11.438 ms  11.536 ms  12.011 ms
 3  unitednet-kiae-10ge-msk-ix.exepto.ru (195.208.209.95)  11.510 ms  11.511 ms  11.501 ms
 4  * * *
 5  * * *
 6  node121-msk1.cloudvps.reg.ru (89.108.69.107)  11.542 ms  11.031 ms  11.015 ms
 7  forumsaransk.ru (194.67.78.250)  11.757 ms  11.757 ms  11.749 ms

Ссылка на комментарий
Поделиться на других сайтах

Я так понял с этой впнкой по сайтам в блоке у РКН особо не погоняешь) :classic_biggrin:

Ссылка на комментарий
Поделиться на других сайтах

warp+doh включаешь и вперед :classic_biggrin:

Даже на мобиле работает без проблем

Screenshot_20211024-135801.png

Screenshot_20211024-135837.png

Ссылка на комментарий
Поделиться на других сайтах

14 минут назад, kirusha сказал:

warp+doh включаешь и вперед :classic_biggrin:

Даже на мобиле работает без проблем

Screenshot_20211024-135801.png

Screenshot_20211024-135837.png

гут! :classic_smile:

Ссылка на комментарий
Поделиться на других сайтах

  • 4 месяца спустя...

а впн поможет, если чебурнет реализуют? 

Ссылка на комментарий
Поделиться на других сайтах

Нет. Обещали не отключать, хотя вбросы про 11 марта ходят. В основном такие новости с доменов .ua

Им там видно скучно 

Изменено пользователем Beyond
Ссылка на комментарий
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в теме...

×   Вставлено в виде отформатированного текста.   Восстановить форматирование

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

 Поделиться

  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.