Сформирован корректирующий выпуск пакета для создания виртуальных частных сетей OpenVPN 2.4.8. В новой версии добавлена возможность сборки с LibreSSL и обеспечена поддержка сборки с OpenSSL 1.1 без устаревших API....Подробнее: https://www.opennet.ru/opennews/art.shtml?num=51783
tun-драйвер уже сделали многопоточным или до сих пор на 64 ядрах полностью забивает только одно и тормозит?
Какая разница, он все равно в юзерспейсе
юзерспейс не нужен
Что за идиотская привычка задавать вопросы про новость?!
Сходи на сайт, почитай и расскажи всем что читал, а не пиши тут тупые вопросы.
Задавать вопросы (тем более по теме) - это очень хорошая привычка. Обычно когда задают вопрос - значит не нашёл ответ самостоятельно или нет времени его искать. А так можно понадеяться, что найдётся человек, знающий ответ. Если горит от таких вопросов - просто проходим мимо и не раздуваем ветку своими "полезными" вопросами.
Используйте одноядерный процессор, люк.
На 12 ГГц
Wireguard рулит
А вот с этим реально быстро настривать
Есть еще такой очень простой https://github.com/jedisct1/dsvpn
предпочитаю Strongswan (IKEv2), что гораздо шустрее этой поделки
Как с настройкой?
Я попробовал и отошел. Как то непросто все.
Шустрее linux kernel, strongswan там особо ничем не занимается, а вот strongswan это как раз и есть поделка.
Пробовали сделать с ним CI? Мониторить? Логи парсить? Попробуйте. Лучше OpenVPN нет ничего.
swanctl не осилил, двухкнопочный? в 2008-м году где-то заснул и не проснулся? всё прекрасно мониторится и парсится если руки и голова имеются
> swanctl не осилил, двухкнопочный? в 2008-м году где-то заснул и не проснулся?
> всё прекрасно мониторится и парсится если руки и голова имеютсяДавайте как-то повежливее и поконструктивнее. Со strongswan'ом я собаку съел, мысль была в том, что вы судя по всему в вопросе не разбираетесь и дальше "я соединил дом и работу" им не пользовались. Там в логах даже severity нет.
Кто вам вообще сказал что я что-то не осилил? Или вы привыкли только говорить о том, чего не знаете? Всё вышеперечисленное я сделал, работает, используется в крупной зарубежной компании. Вопорос в том что говнище называемое strongswan надо оборачивать в толстый слой брезента чтобы им нормально пользоваться можно было. Вы, судя по всему, просто ничего лучше и не пробовали и тем не менее заявляете.
куда уж тут повежливей (тем-более поконструктивней), когда ясно вижу что ты попросту не шаришь и при этом мягко говоря врёшь> Там в логах даже severity нет.
со всем своим многовековым опытом в крупной зарубежной комрании ты не осилил прочесть 1 страницу документации? вот она: https://wiki.strongswan.org/projects/strongswan/wiki/LoggerC...
мне же остаётся только вежливо и конструктивно хихикнуть в адрес иностранной компании где ты Strongswan настраивал. видел я неоднократно печальные результаты работы таких вот тяп-ляп специалистов, некоторые тоже на OpenNET щёки раздували. минусуй сам себя, за то что не умеешь настроить logger и не знаешь про swanctl
Всё было тщательно прочитано и сделано. Ещё раз повторяю, вы видимо с трудом воспринимаете печатный текст: всё отлично работает, у нас VPN менеджер может настроить через web-морду которая тут же на Go сделана, а вы дальше документацией размахивайте, считайте себя крутым специалистом и наяривайте на свой swanctl. Обезъяньей работой же должен кто-то заниматься, если в компании нет нормальных автоматизаторов :)
> Всё было тщательно прочитано и сделано. Ещё раз повторяю, вы видимо с
> трудом воспринимаете печатный текст: всё отлично работает, у нас VPN менеджер
> может настроить через web-морду которая тут же на Go сделана, а
> вы дальше документацией размахивайте, считайте себя крутым специалистом и наяривайте на
> свой swanctl. Обезъяньей работой же должен кто-то заниматься, если в компании
> нет нормальных автоматизаторов :)swanctl (с которым ты совершенно незнаком, хотя ему уже 5 лет) как-раз позволяет упростить автоматику. так-что давай-ка ты сам, наяривай дальше на свои чудо-костыли для парсинга /etc/ipsec.conf через веб-морду. могу себе представить этот ваш чудо-софт, образца 90-х. только на OpenNET и можешь похвастаться - в других местах засмеют
Ещё раз просмотрел https://wiki.strongswan.org/projects/strongswan/wiki/LoggerC.... Где severity? Пальцем ткни. Нету его там, вы гоните как дышите. Поэтому единственный способ это грепнуть весь сорец и руками проставить северети в парсере. Софт - огонь, ничо не скажешь.
> Ещё раз просмотрел https://wiki.strongswan.org/projects/strongswan/wiki/LoggerC....
> Где severity? Пальцем ткни. Нету его там, вы гоните как дышите.
> Поэтому единственный способ это грепнуть весь сорец и руками проставить северети
> в парсере. Софт - огонь, ничо не скажешь.вы, голубчик, неуч
Иди сорцы читай https://git.strongswan.org/?p=strongswan.git;a=blob;f=src/li..., трепло
>предпочитаю Strongswan (IKEv2), что гораздо шустрее этой поделкион, как и Racoon1/2, занимается только согласованием ключей IPsec.
Есть у него будущее? В том ключе, что WireGuard уже встроили в ядро, он быстрее и безопаснее...
Пока ещё есть, например, для клиентов, не поддерживающих WireGuard
(Mikrotik, я смотрю на тебя и жду, когда ты хотя бы OpenVPN по UDP запилишь)
Они снова(т.е. наконец) это пытаются сделать в бетке 7.0
да, у него более гибкие настройки - можно отдать ipv6 клиентам по ipv4, можно маскировать tcp под https...
Смотря для кого. Вряд ли прямо так возьмёт и сдаст позиции.
В WireGuard есть защита от fingerprint портов? Какой-то аналог tls-auth?
Забудьте о tls-auth и используйте tls-crypt если хотите иметь полное шифрование.
WireGuard TCP не поддерживает :-(
На сколько мне известно OpenVPN один из самых простых способов поднять L2-туннель.
у меня OpenVPN быстрее... намного, где пятая часть от полосы пропусканияа гуард выдал 10-ую часть от этого
OpenVPN может:
- username/password
- two factor authentication
- certificate-based authentication
- plug-in and scripting interface
- support for 2 different cryptographic libraries
- routing - из коробки
- B 2017 прошел аудит инициализирванный OSTIFДля любителей "нового":
WineGuard - не может то что выше.
- Не отключаемые логи (privacy concern), /dev/null в помощь.
- No dynamic address management(Статические IP в помощь).
(Клиенту необходимо заранее назначить заранее определенный IP-адрес VPN, однозначно связанный с его ключом на каждом сервере VPN (Прощай анонимность))
- клиент не проверяет подлинность сервера (Welcome MITM).
- Соединиться с сервером через прокси - дудки.
Я на VDSке юзаю Ethersoft VPN (L2TP over IPSec) и стандартным виджетом кедовским подрубаю, так получилось, что он гораздо быстрее работает и фич больше в случае своего протокола. А выбрал, т.к. на работе сеть из сотен компов лагала с сабжем, и то и дело на машинах соединение ни алё, потом всё прошло после замены (правда там вендо-админы-эникейщики всё по дефолту настроили, хоть и просил их, чтобы не использовать бинарный клиент).