После почти четырёх лет с момента публикации ветки 2.4 подготовлен релиз OpenVPN 2.5.0, пакета для создания виртуальных частных сетей, позволяющего организовать шифрованное соединение между двумя клиентскими машинами или обеспечить работу централизованного VPN-сервера для одновременной работы нескольких клиентов. Код OpenVPN распространяется под лицензией GPLv2, готовые бинарные пакеты формируются для Debian, Ubuntu, CentOS, RHEL и Windows...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=53981
Network topology subnet уже можно пользоваться?
А то как-то страно:
# Network topology
...
# Defaults to net30 (not recommended)
Вариант по умолчанию, он же единственно работающий, и официально не рекомендуемый.
Да и не очень экономно выходит блоками по 4 штуки адреса клиентам отдавать...
Что-то странное вы говорите. У меня уже несколько лет всё работает с topology subnet с подсеткой /25. Значение не дефолтное и тем не менее.
Клиенты на windows нормально подключаются?
У меня подключаются. А какие проблемы? Более того, даже с макоси подключаются, и с айфонов..
Поставьте subnet да проверьте.
Насколько помню, клиенты не могли прописать у себя маршруты, которые им сервер предписывал; в итоге коннект есть, а больше ничего нет. На ubuntu клиента завели, правда тоже после каких-то плясок с бубнами, а вот win не одолели. Разбирались долго, деталей не помню, вроде бы, что-то связанное с тем, как маршруты прописываются - через вызов route в случае subnet или как-то еще при net30, и если вызывается route, то его нужно исполнять из-под администратора, а из-под пользователя или system получается гусиная фигня.
Плюнули в итоге и воткнули net30.
В чем смысл в OpenVPN сегодня, когда есть WireGuard?
https://blog.ipfire.org/post/why-not-wireguard
Какой-то чувак, обиженный на жизнь, не осилил WireGuard.
Универсальная фраза, оправдывающая критику любого, даже самого лютого булщита.
"Какой-то чувак, обиженный на жизнь, не осилил <bullshit's name here>."
Поставь оба и сравни, в чём проблема?
А что умеет второй ? Он кстати говоря хотяб через socks умеет ходить ? Про шифрование молчу, его там нет.
Их задачи, возможности и области применения пересекаются далеко не полностью
https://www.reddit.com/r/WireGuard/comments/ewzxk4/no_passwo.../
Почему-то удалили первые четыре комментария, но в той ветке ничего «криминального» не обсуждалось. Что за суровая модерация?
Написано же в примечании, что поправили указанные в комментарии опечатки. Человек вместо нажатия кнопки исправить отправил правку в комментарии. Этот комментарий удилили, так как полезло бессмысленное препирательство, что нужно использовать кнопку "исправить".
Модератор поправил текст новости и временная линия, в которой были написаны те комментарии, перестала существовать.
Неужели это отсылка к Steins Gate?
Нет. Это не канал про аниме (отсылка к Back To The Future).
То есть правка статей на опеннете прямо или косвенно влияет на пространство-время?
Да.
Теперь вам нужно остерегаться Организацию. El. Psy. Congroo.
Это кpoвaвая мoдepaстия oпеннeта. Все за вилы, пацаны!
TLS 1.3 уже с Ubuntu 18.04+ работает со штатным openvpn 2.4.4. Зависит еще от провайдера, у Proton есть поддержка.
Ждем в RouterOS 12
Там будет полноценный opevpn или опять огрызок?
Врядли его добавят в RouterOS, микротики давно заявляли что опенвпн им не интересен и что нужно юзать ipsec
Ага, только когда винды начнут поддержживать нормальный ipsec а не тот огрызок что они им называют. Да и андроид тоже.
>Для Windows добавлена поддержка интерфейса wintun, который быстрее, чем традиционные интерфейсы tap9 tun/tapКто пробовал, на сколько оно быстрее?
Server - openvpn 2.4.4
tap-windows6: 390Mbit/s
wintun: 730Mbit/sServer - openvpn3 with kernel acceleration
tap-windows6: 405Mbit/s
wintun: 1.05Gbit/s
OpenVPN 3 with kernel acceleration - это как?
Новая мажорная версия OpenVPN. Релиза еще нет
openvpn3 в настоящее время умеет только в клиента, а не в сервер. ну и ovpn-dco не умеет в tcp
> Появилась возможность работы при наличии только адресов IPv6 внутри VPN-туннеля (ранее было не обойтись без указания адресов IPv4).Наконец-то, дождался!
для мелких задач dsvpn самое то!
> Поддержка передачи через DHCP базового домена для маски "dns search" в resolv.confНаконец-то!
rc3 только же
https://openvpn.net/community-downloads/
После нескольких лет на Wireguard смотрю на это как на протухшее легаси, как в свое время смотрел на PPTP
и как ты вайргарде пушаеш клиентам роуты? ))
Есть большие вопросы к криптографии на решётках. Если для AES, RSA всё доказанно включая на сколько будет уязвим RSA от квантового компьютера то для крипторафии на решётках пруфов даже тия обычных компов. Типа никто не знает, как взломать и всё. А если всё таки в АНБ знают? Как напрмиер было с DES?
АНБ нам не помеха
АНБ можно
А самый большой вопрос — при чём тут криптография на решётках, если её нет в WireGuard.
Есть большие вопросы к криптографии на решётках. Если для AES, RSA всё доказанно включая на сколько будет уязвим RSA от квантового компьютера то для крипторафии на решётках пруфов даже для обычных компов ничего этого нет. Типа никто не знает, как взломать и всё. А если всё таки в АНБ знают? Как напрмиер было с DES.fixed
По RSA это _пока_ доказано, так и квантовые вычисления уже лет 100 только теоретические. Как практика пойдёт, может ещё обнаружиться много всего интересного. И то оценка там по-моему 2048 можно считать взламываемым, а значит, сегодняшний мир очень даже уязвим и надо что-то делать. А что, в эллиптике уже нашли бэкдоры?
безопасная эллиптика? конечно, кому надо безопасная.
(ANSIX9.62/SEC2/NIST): The curve-generation process has a large unexplained input, giving the curve generator a large space of curves to choose from. Consider, for example, a curve-generation process that takes y^2=x^3-3x+H(s) meeting various security criteria, where s is a _large random "seed"_ and H is a hash function. No matter how strong H is, a malicious curve generator can search through many choices of s, checking each y^2=x^3-3x+H(s) for vulnerability to a secret attack; this works if the secret attack applies to (e.g.) one curve in a billion.
Koblitz: The curve-generation process is not completely explained, but the unexplained parts do not give the curve generators many bits of control.
“We don’t know how Q = [d]P was chosen, so we don’t know if the algorithm designer knows d.”
Пользуйся bign-curve512v1.
оружие в руки не беру чтобы себе чего не отстрелить (блоки замен, аддитивная смежность, хеш стрибога) я не игрушка в руках беспринципных математиков (бернштейну с кривыми эдвардса доверюсь, даже если убьёт).
Если тебе требуется «личная» криптосистема, то используй свою подстановку в качестве дополнительного долговременного ключа. Таблицы истинности координатных булевых функций подстановки в BelT выбирались как различные отрезки длины 255 линейных рекуррентных последовательностей с примитивным характеристическим многочленом. Нелинейность равняется 102 (при выбранных размерностях нелинейность не может превышать 120).
АНБ нам не помеха
АНБ можно
Пару лет ? Ничего не путаешь ? И вот именно это поделие и напоминает pptp. pptp прекрасен для своих задач если что, без хейта.
С ума все посходили с этими поличача, носятся с ними, как дурень с писаной торбой.
Только OpenVPN-ГОСТ! Только хардкор!
TLS_GOSTR341112_256_WITH_28147_CNT_IMIT
TLS_GOSTR341001_WITH_28147_CNT_IMIT
– шифрование и имитозащита в соответствии с ГОСТ 28147-89 и HMAC ГОСТ Р 34.11
Воооо! Наш человек!
чача как замена аес программно 3х быстрее/отзывчивей (поэтому с ними бегают), гост как альтернатива аес (сеть фейстеля)
Кто этот ваш гост в опенсорсе разрабатывает то? Вартан чет пыхтел пыхтел да бросил
https://github.com/agievich/bee2
От коронавируса защищает?
Нет, аноним прав.Вокруг чачи и 25519 очень нездоровый хайп, он не естественно больших размеров для такой темы, что я бы расценивал как искусственный.
Гораздо секурнее взять RSA на 4096 + AES256 + sha2, тем более последние два нынче аппаратно поддерживаются как минимум в райзенах.
А чачу пеарили как сопоставимую по скорости с аппаратным aes.
Salsa20 активно привлекает к себе внимание из-за того, что показывает хорошие результаты в быстродействии, обгоняя в большинстве случаев многие другие шифросистемы, в том числе AES.
да, надо генерировать свою анонимную кривую, корень там из ша1 и бекдорчика закинуть и готово, пофигу что 30 лет гудят как улей.
Нужно взять RSA и забыть про кривые навсегда.
так гост 34.10 и производные тоже на кривых, и рекомендованные параметры бывали, как так забыть.
*гост р 34.10
Надо пользоваться СТБ 34.101.45-2013.
А что предложешь ты, юноша? Уже передернул стручок перед сном?
> А что предложешь ты, юноша? Уже передернул стручок перед сном?Сначала научись разговаривать со взрослыми, потом сходи в библиотеку, возьми умную книжку и почитай про одноразовые шифроблокноты.
А как взрослые гоняют гигабайты трафика по шифрованному шифроблокнотом каналу?
Предварительно обмениваясь гигабайтами шифроблокнотов?
Появление MAC, помимо HMAC, в апстриме должно упростить патч для ГОСТ
А смысл? Все сидят на проприетарных впн кому нужен этот гост. Кого не заставляют он и нафиг не сдался гост этот
А черт их знает, зачем им несертифицированные реализации VPN с ГОСТ, в ТЗ на закупку пишут в требованиях.
Коллеги, а чем вы пользуетесь для удобной генерации и хранения ключей?
Кладу в обычный шкаф.
Некоторые вывозят в горы. Но это так себе, собаки находят если не умеешь в природу. Лучше всежтаки поинтересоваться у знатоков всякого рода закладок, особенно у отсидевших, те то уж точно знают идеальное место.
Собственными написанными сто лет назад на коленке портянками на баше *shrug*
seahorse
easy-rsa + keepass
> easy-rsa + keepasseasy-rsa реально работает?? последний раз когда его тыкал (~год назад?), оказалось, что в нём бОльшая часть опций "To Be Done", и генерировать он мог только дефолты.
>easy-rsa реально работает??Да
> последний раз когда его тыкал (~год назад?), оказалось, что в нём бОльшая часть опций "To Be Done",
Где вы там увидели "To Be Done" ?
копируете vars.example в vars, настраивается один раз в зависимости от необходимой паранои и все.> и генерировать он мог только дефолты.
easy-rsa идет как рекомендуй пакет с OpenVPN, вы уверены что вы пробовали именно его?
> Поддержка настройки IP-адресов и маршрутов при помощи интерфейса Netlink, предоставляемого ядром Linux. Netlink применяется при сборке без опции "--enable-iproute2" и позволяет запускать OpenVPN без дополнительных привилегий, необходимых для выполнения утилиты "ip".Почему это нельзя было раньше сделать.
Не понимаю, как сделать автозапуск 2.5.0 под Windows -- раньше была служба "OpenVPN service", которую надо было просто запускать при старте. Теперь такой нет, осталась только служба "OpenVPN interective", которая позволяет стартовать из OpenVPN-GUI. Но это каждый раз руками что ли?
Там есть папка "config-auto", в неё надо config.ovpn кидать чтобы через службу "OpenVPN service" запускался.
Кто нибудь переходил на него с 2.4?
Требует новый CA, новые ключи без него не генерирует, но старые подсунутые из 2.4 пока работают.
Может кто-нибудь ткнуть носом как перенести все на новый без перегенерации с нуля?