LixxDee 303 Posted November 30, 2020 Share Posted November 30, 2020 Обсуждение. Хелпа. Новости. Также помогу организовать приватную сеть дома или в офисе на базе сервера OS Linux с созданием центра сертификации и клиентских сертификатов. Quote Link to post Share on other sites
Le ecureuil 94 Posted December 2, 2020 Share Posted December 2, 2020 А зачем именно с CA? И какой протокол хочецо? Quote Link to post Share on other sites
LixxDee 303 Posted December 2, 2020 Author Share Posted December 2, 2020 8 часов назад, Le ecureuil сказал: А зачем именно с CA? И какой протокол хочецо? Ну дома можно и без CA, но для серьёзных проектов, где должна соблюдаться высокая конфиденциальность данных без него точно никак. Предпочитаю OpenVPN. Quote Link to post Share on other sites
Le ecureuil 94 Posted December 3, 2020 Share Posted December 3, 2020 CA и вообще схема с X.500 нормально себя показывает только при невозможности нормальной прямой peer-to-peer дистрибуции ключей, когда приходится прибегать к доверенной третьей стороне, чем и выступает CA. На высокую конфиденциальность данных это никак не влияет, только на возможности масштабирования. Вот есть Wireguard, где вообще нужно ключи таскать друг другу в виде 32-х байтных blob. Или IPsec с IKEv2/PSK. Конфиденциальность данных у них при этом не хуже чем у OpenVPN c X.500 сертификатами. 1 Quote Link to post Share on other sites
LixxDee 303 Posted December 3, 2020 Author Share Posted December 3, 2020 52 минуты назад, Le ecureuil сказал: CA и вообще схема с X.500 нормально себя показывает только при невозможности нормальной прямой peer-to-peer дистрибуции ключей, когда приходится прибегать к доверенной третьей стороне, чем и выступает CA. На высокую конфиденциальность данных это никак не влияет, только на возможности масштабирования. Вот есть Wireguard, где вообще нужно ключи таскать друг другу в виде 32-х байтных blob. Или IPsec с IKEv2/PSK. Конфиденциальность данных у них при этом не хуже чем у OpenVPN c X.500 сертификатами. А ты хорош! Понятно, что CA никак не влияет, не так выразился. Не учёл, что ты имеешь такой уровень познаний) Про этого китайца (Wireguard) много лестных отзывов слышал, смотрел несколько манов по нему, но руки так и не дошли до него пока. Ты его уже где-то используешь? Quote Link to post Share on other sites
Le ecureuil 94 Posted December 3, 2020 Share Posted December 3, 2020 Ну во-первых, wireguard далеко не китаец. Его автор Джейсон Доненфелд вполне себе уважаемый америкенец, и кроме wireguard еще кучу софта написал - самый часто используемый это cgit. Но это неважно - важно что код прошел аудит многоуровнеый и в итоге принят в ядра Linux и BSD. Во-вторых, работаю с ним (ну мягко скажем так). У меня есть к нему определенные вопросы, но скорее всего это особенность изначального дизайна. Скажем у него нет config provisioning, что сильно разит его с (например) L2TP/IPsec или подобными туннелями, где можно с сервера управлять авторизацией и адресацией. Ну а дома организовать VPN - проще купить готовое устройство, где за вас уже подумали профессионалы и сделали интеграцию многих протоколов для всех случаев жизни (подказываю слегка). Quote Link to post Share on other sites
LixxDee 303 Posted February 7 Author Share Posted February 7 Дошли руки до IPSec/IKEv2 на микротике, в качестве клиентов машины с виндой, Ubuntu Server с демоном strongswan для запуска туннеля, Android и iOS. Quote Link to post Share on other sites
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.