Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Доступен OpenVPN 2.7.0 "	+/–
Сообщение от opennews (??), 11-Фев-26, 22:36
После трёх лет с момента публикации ветки 2.6 подготовлен релиз OpenVPN 2.7.0, пакета для создания виртуальных частных сетей, позволяющего организовать шифрованное соединение между двумя клиентскими машинами или обеспечить работу централизованного VPN-сервера для одновременной работы нескольких клиентов. Код OpenVPN распространяется под лицензией GPLv2, готовые бинарные пакеты формируются для Debian, Ubuntu, CentOS, RHEL и Windows... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64779
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 11-Фев-26, 22:36	–23 +/–
Легаси. Все постепенно переходят на wg. Пох конечно начнёт ныть, что когда он на шкаф с виндой залазит, ему там что-то мешается. Но по факту, wg работает быстрее и настраивается проще.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #3, #8, #35, #37, #41, #48

2. Сообщение от resdert (ok), 11-Фев-26, 22:53	+26 +/–
WG это же просто про создание зашифрованного канала (и только лишь), функций и возможностей у опенвпн несравнимо больше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #5, #20, #26, #32, #53, #217

3. Сообщение от Аноним (3), 11-Фев-26, 22:56	+4 +/–
Dco модуль в ядро втащили. А шифрование aes ускоряется. Так что wireguard ждут тёмные времена. По скорости они вряд ли будут отличаться. А по функционалу однозначно openvpn лучше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #4, #10, #31

4. Сообщение от Djon (??), 11-Фев-26, 23:08	+/–
Да процентов 80 этот функционал не используют. Что нужно-то - защищенный канал и маршруты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #14, #15

5. Сообщение от Аноним (1), 11-Фев-26, 23:09	–13 +/–
Так в подавляющем большинстве случаев и нужен шифрованный канал (и только лишь). Для консьюмеров поверх wg настрогали годнейших решений. А кому нужен хардкор для remote workforce, у тех Cisco.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #12

7. Сообщение от Cyd (?), 11-Фев-26, 23:33	–2 +/–
и чем все это лучше ipsec/ikev2?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #51

8. Сообщение от Вася (??), 11-Фев-26, 23:49	+1 +/–
на самом деле не совсем. openvpn и wg разные на сетевых уровнях - захочешь tap - получишь tap, а на wg такого не будет. правда, на телефоне каком-нибудь ты этого не получишь, но не суть - оно не для этого. просто в тех юзкейсах, где используется уровень tun, wg действительно просто лучше, и настраивать его проще, т.к. сертификатных вопросов никаких нету.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #17, #24

10. Сообщение от Вася (??), 11-Фев-26, 23:54	+/–
ничего с wg не случится, он уже мейнстрим. openvpn до сих пор крутится там, где его настраивали еще 10-15 лет назад, но скорее всего выполняет ту же функцию, потому что тогда ничего другого просто не было. меня лично как юзера (именно юзера, а не поехавшего корпоратаста, которому нужны именно корпорацкие фичи) больше всего от openvpn отталкивает необходимость менеджментить сертификаты, а не пары priv/pub ключей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #13

11. Сообщение от Аноним (11), 12-Фев-26, 00:11	–6 +/–
а когда добавят возможность отключить этот tls? А также отключить хантшнейки? Это важно, если у тебя протокол замедляет ИИ
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #19, #47

12. Сообщение от ентакусик (?), 12-Фев-26, 00:35	+1 +/–
Угу, когда в прошлом сентябре в этой Cisco нашли rce в ssl vpn, это был настоящий хардкор
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #16

13. Сообщение от Аноним (13), 12-Фев-26, 00:36	+/–
скрипт делается за 30 мин, скрипт, который генерит готовый конфиг клиента со всеми сертами, 25 из этих минут нужно будет одним пальцем выравнивать отступы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #21, #162, #201

14. Сообщение от ентакусик (?), 12-Фев-26, 00:37	+/–
Да split tunnel и split dns, да желательно динамические
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #28

15. Сообщение от ентакусик (?), 12-Фев-26, 00:40	+/–
Ну и saml или хотя бы mfa было бы неплохо
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #29

16. Сообщение от Аноним (1), 12-Фев-26, 00:46	–1 +/–
Бывает. Как будто в OpenVPN дыр не находили. Правда, в случае с Циской аккаунт-менеджеры извинились в рамках соглашений урегулировали вопросик. А в случае с сабжем писать только на деревню дедушке, ибо AS IS.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #44, #57

17. Сообщение от Аноним (1), 12-Фев-26, 00:50	–1 +/–
Расскажи мне, в каких случаях я вдруг могу захотеть tap. Для коммерческого прода кроме IP ничего не нужно, а где нужно, там опять Циска стоит и хоть ты тресни.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #163, #224

18. Сообщение от Аноним (18), 12-Фев-26, 01:21	+/–
Хороший релиз, особенно для тех кому важно, что бы гарантировано блокировался провайдером.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25, #81

19. Сообщение от Аноним (19), 12-Фев-26, 01:23	+/–
https://opennet.ru/53520-https
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

20. Сообщение от Аноним (20), 12-Фев-26, 01:38	+/–
Больше и не нужно. Это же vpn а не systemd.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

21. Сообщение от Аноним (20), 12-Фев-26, 01:40	–4 +/–
А смысл писать скрипт 25 минут, если через это время клиент уже будет пользоваться awg.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #103

23. Сообщение от Андрей (??), 12-Фев-26, 01:59	+/–
ovpn только с определёнными видами шифрования доступен, что каждый раз забывают упомянуть...
Ответить | Правка | Наверх | Cообщить модератору

24. Сообщение от Аноним (24), 12-Фев-26, 03:15	+/–
В OpenVPN тоже несколько лет как нету сертификатных вопросов. Через peer-fingerprint можно в конфиг напрямую доверенные сертификаты добавлять, самоподписанные, и не нужно коряжится с CA. Работает прекрасно и новых юзеров (виндузятников) заводить легко - кидаешь им батник который конфиг выплёвывает, а тебе обратно только этот FP и скидывают, без утечки конфига с ключом в сеть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #30

25. Сообщение от Аноним (24), 12-Фев-26, 03:17	–1 +/–
В режиме TCP на 443 порту оно от любого другого TLS на базе OpenSSL не отличается. Тор вон тоже "заблокировали", а по факту достаточно прикинуться дурачком на 443 порту и отдавать страницу "мая первая вебморда" при некорректном сертификате клиента.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #50

26. Сообщение от Аноним (26), 12-Фев-26, 04:10	–2 +/–
Было исследование, которое показало, что wireguard намного эффективнее чем OpenVPN в некоторых сценариях.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #27, #49, #65

27. Сообщение от Аноним (1), 12-Фев-26, 04:19	+7 +/–
А ещё было исследование, которое показало, что OpenVPN намного эффективнее чем wireguard в некоторых других сценариях. А на практике, если тебе нужен эффективный тоннель (и тем более шифрованный), то ты берёшь могучий роутер для этого, потому что без ASIC это всё детский сад штаны на лямках.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #39

28. Сообщение от Аноним (1), 12-Фев-26, 04:25	+1 +/–
В systemd из коробки, всё это, и даже более того.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #73

29. Сообщение от Аноним (1), 12-Фев-26, 04:26	+/–
Tailscale. И saml, и mfa, и полиси, и даже опенсорсный бэкэнд для любителей ручного труда.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #45

30. Сообщение от Аноним (1), 12-Фев-26, 04:30	+/–
Типичное васянское рукоблудие. У нормальных "(виндузятников)" это всё автоматически через AD делается без кидания кому-то батников и обмена вежливостями. Компьютер подключается к домену и всё просто работает. Даже через интернет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #59, #60, #74

31. Сообщение от Аноним (1), 12-Фев-26, 04:34	–1 +/–
> А по функционалу однозначно openvpn ... не дотягивает до systemd, в котором шикарная поддержка wg. Кстати, идёт по дефолту во всех мейнстримных дистрибутивах. А openvpn ещё ставить надо, какие-то скрипты качать откуда-то, разбираться как там у них что устроено...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #40, #104

32. Сообщение от Алоним (?), 12-Фев-26, 05:33	–2 +/–
Спросил у нейросети кто из вас двух прав, вот что он выдал: Второй комментатор технически прав, но говорит об этом несколько преувеличенно. Если разбирать ситуацию детально:     Правота комментатора: WireGuard (WG) действительно проектировался как минималистичный протокол. Его задача — быть «тупой», но очень быстрой и надежной трубой. OpenVPN же создавался в эпоху, когда требовалась максимальная гибкость для обхода блокировок и интеграции в сложные корпоративные сети, поэтому он набит функциями, которых в WG нет «из коробки».     Где он преувеличивает: Утверждение «только лишь создание канала» звучит так, будто WG чем-то плох. На самом деле, для 90% задач (связать офисы, подключить удаленного сотрудника) функционала WG более чем достаточно. Отсутствие лишних функций — это фича, а не баг (KISS principle), что и делает WG быстрее и проще, о чем писал первый комментатор. Вот перечень тех самых функций и возможностей OpenVPN, о которых намекает второй комментатор и которых нет (или они реализуются сложнее) в WireGuard: 1. Работа на уровне L2 (Ethernet bridging / TAP) Это, пожалуй, главное отличие.      OpenVPN: Умеет работать в режиме TAP (сетевой мост). Это позволяет объединять устройства в один физический сегмент сети. Через такой туннель проходят broadcast-пакеты, можно видеть сетевые соседи, использовать NetBIOS, запускать старые протоколы, которые не работают поверх IP, или объединять два офиса в один домен Windows так, будто они стоят в одной комнате.      WireGuard: Работает только на уровне L3 (маршрутизация IP-пакетов). Он не умеет передавать Ethernet-кадры и broadcast-трафик. Для большинства задач это не нужно, но для специфическихlegacy-систем это критично.      2. Динамическая настройка клиентов (Push-директивы)      OpenVPN: Сервер может «проталкивать» настройки клиенту. Администратор может один раз настроить сервер, чтобы он при подключении говорил клиенту: «Используй этот DNS», «Пропиши этот маршрут», «Смени шлюз по умолчанию». Клиенту не нужно править конфиг.      WireGuard: Конфиг статичен. IP-адрес клиента, маршруты и DNS нужно жестко прописать в конфиге на стороне клиента (или использовать внешние скрипты и системы оркестрации).      3. TCP-транспорт      OpenVPN: Может работать как по UDP, так и по TCP. Это важно, если сеть блокирует UDP или если нужно пустить трафик через HTTP-прокси.      WireGuard: Работает исключительно по UDP. Если протокол UDP заблокирован провайдером или файрволом, WG без костылей (типа обертывания в другую обертку) не заработает.      4. Гибкая аутентификация и PKI (Инфраструктура открытых ключей)      OpenVPN: Поддерживает сложные схемы проверки: логин/пароль (возможно через LDAP/Active Directory), сертификаты X.509, двухфакторную аутентификацию (2FA), одноразовые пароли. Для корпораций это стандарт.      WireGuard: Использует только криптографию с открытым ключом (Curve25519). Нет встроенной поддержки логина/пароля или отзыва сертификатов в привычном понимании. Если ключ скомпрометирован, его нужно удалять из конфига сервера вручную.      5. Маскировка трафика (Obfuscation)      OpenVPN: В силу своей архитектуры его легче маскировать. Существуют патчи для маскировки под HTTPS, он может запускаться на порту 443 через TCP. DPI-анализаторам сложнее его однозначно идентифицировать (хотя современный DPI умеет находить и его).      WireGuard: Имеет очень четкий сигнатурный заголовок пакета. Любой анализ трафика в Китае или РФ с помощью DPI (Deep Packet Inspection) мгновенно видит WireGuard и блокирует его. Для обхода цензуры WG приходится «прятать» внутрь других протоколов (например, Shadowsocks или AmneziaWG), что требует дополнительного софта.      6. Выделение IP-адресов (DHCP внутри туннеля)      OpenVPN: Сам выступает в роли DHCP-сервера для клиентов. Клиент может подключиться и получить любой свободный IP из пула.      WireGuard: Здесь IP-адреса жестко прописаны в конфигах. Если у вас 100 сотрудников и нужно выдать им IP, вам либо вручную прописывать каждому уникальный IP, либо использовать внешнюю систему управления базой данных IP-адресов.      Итог Второй комментатор прав в том, что OpenVPN — это мощный комбайн для энтерпрайза и сложных сетей (L2, TCP, интеграция с AD, push-настройки). Первый комментатор прав в том, что для простого использования (сайт-сайт или удаленный доступ к ресурсам) WG объективно быстрее, современнее и вызывает меньше боли при настройке ("Код меньше — багов меньше").
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #210, #218

35. Сообщение от Аноним (35), 12-Фев-26, 07:01	+/–
wg никак не настраивается проще. Там нет доставки ошибок, вместо этого пакеты просто не посылаются, а ты сиди гадай что не так. И нет автонастройки IP-адреса (в стандартных серверах/клиентах, а не кастомных проприетарных, которые у массовых провайдеров, и IP либо по дополнительному каналу передают, либо всем в конфиге один и тот же IP, но сервер делает меняет в пакетах сразу по прибытии на динамически выделенный для данного ключа), я два дня пытался сообразить, что же чёрт возьми не так, когда надо было во внутреннюю сеть извне туннель пробросить, wg конфиг жрал без какой-либо ошибки, но нифига не работало.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #55

36. Сообщение от robot228 (?), 12-Фев-26, 07:06	+/–
Чтобы скачать впн нужен впн)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #46

37. Сообщение от mervinhos (?), 12-Фев-26, 07:45	+2 +/–
Вот только wg это L3, а ovpn L2. И это много где имеет значение.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #72

38. Сообщение от Sm0ke85 (ok), 12-Фев-26, 07:54	–6 +/–
Смысла нет делать виртуальную сеть, которая "светится" на весь интернет... Что это за "безопасность", когда ты сначала обозначил себя, а потом пытаешься защищаться шифрованием... Практика показала, что если тебя не видно, то и не будет атак по тебе...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #43, #75, #88, #155, #191

39. Сообщение от Аноним (39), 12-Фев-26, 08:11	+7 +/–
Как-будто тебя из 2000-х достали. Сейчас мелкая пипирка на openwrt вполне может переварить достаточное количество vpn-тунелей over tcp/udp с управлением маршрутами. Чего даже среднему бизнесу может хватить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #111, #112, #170

40. Сообщение от User (??), 12-Фев-26, 08:44	+/–
Эээээ... а "шикарная поддержка" - это? Вот есть у тебя ubuntu - в ней есть netplan. В ём джва рендерера - networkd и network-manager. А на центоси netplan'а у тебя нет - но дополнительно всплывет wg_quick. На какой из стульев прыгать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #63, #177

41. Сообщение от Анонисссм (?), 12-Фев-26, 09:04	+1 +/–
>Все постепенно переходят на wg через http-прокси сделай ка обратный туннель >wg работает быстрее и настраивается проще ты openvpn и не видел, выходит
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

43. Сообщение от Хрю (?), 12-Фев-26, 09:13	+5 +/–
Прочитайте, что такое VPN, и для чего он должен применяться. То что вы его пытаетесь применять для того чтоб *** это исключительно ваши проблемы, а не OpenVPN, который прекрасно делает то для чего сделан.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #56

44. Сообщение от ентакусик (?), 12-Фев-26, 09:21	+2 +/–
Да куда там извинились, там 80% девайсов (asa 5500) в октябре уже eos стали, думаете, им новых отсыпали? Хорошо хоть фикс успели выпустить, реально до eos несколько дней оставалось
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #167

45. Сообщение от User (??), 12-Фев-26, 09:23	+/–
Ииии - вот тебе проприетарное решение-услуга, по сложности превосходящее примерно все аналоги, ага.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #174, #207

46. Сообщение от Хрю (?), 12-Фев-26, 09:23	+1 +/–
Не рассказывайте сказок - всё прекрасно качается https://openvpn.net/client/ /
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

47. Сообщение от User (??), 12-Фев-26, 09:24	+/–
Ну, эту возможность наоборот, порубили. ЕМНИП, раньше была возможность на статических ключах конфигурацию сделать, но нонеча она толи уже deprecated, то ли в процессе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

48. Сообщение от нах. (?), 12-Фев-26, 09:30	+5 +/–
это здорово что васяны с подкроватными серверами переходят куда-то куда подальше. > работает быстрее и настраивается проще. давай настрой первые двадцать коробочек которые вот щас поедут по точкам продажи чего-нибудь. А если их будет - двести? А ты не долбанешься хотя бы вести учет кому какой ключ и какой айпишник выдан? Или настрой удаленное подключение первым двадцати незамысловатым юзверям (_предположим_ даже что у них - linoops, а то ж может и мак какой). Через неделю один кстати увольняется. Через две увольняются двое и приходят четверо. Уволенным разумеется надо день-в-день отрубить подключение. Хорошо бы сделать это в том же месте где их авторизация и во внутренние сервисы. Задача со звездочкой: уволился не васян а руководитель отдела и тебя разумеется забыли предупредить. Как сделать чтобы хотя бы через месяц его доступ все же - заблокировался? Ну что, все еще "просто" настраивается вайргад? Ты еще там не утонул в попытках написать мильен лапшескриптов для банальнейшей ежедневной работы? А если у тебя ничего нет кроме двух подкроватных серверов между которыми надо прокинуть туннель - то конечно проще один раз руками выполнить десяток заклинаний. (правда, мы это и до wg не сложнее делали - через ipsec, но там да, с виндой несложность улетучится)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #189

49. Сообщение от аролп5 (?), 12-Фев-26, 09:32	+2 +/–
Да, но, в OpenVPN есть ppp, т.е. можно раздачу IP и правила аутентификации как хотите настраивать. А в wg всё статикой прописывать на клиентах, а если их 100, 1000?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #66, #172

50. Сообщение от нах. (?), 12-Фев-26, 09:39	+2 +/–
Отличается, к сожалению. И прекрасно видно на ngfw. Разработчики ни разу и не ставили целью нелегальную антигосударственную деятельность. Там и хэндшейк не такой как у веб-сервера, и поток совершенно непохожий. > дурачком на 443 порту и отдавать страницу "мая первая вебморда" при некорректном > сертификате клиента это тоже будет хорошо заметно. Я понимаю что ты краем уха слышал про запрещенное запрещено, но вот оно работает - совсем не так, и для этого там потратили изрядное количество усилий, а не просто схватили первую попавшуюся ssl библиотеку. И при этом хватило одной мелкой ошибки чтобы их научились блокировать. (Да, они ее нашли и исправили, но осадочек и следы в тспу остались)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #183

51. Сообщение от нах. (?), 12-Фев-26, 09:50	+1 +/–
> и чем все это лучше ipsec/ikev2? тем что не требует громоздкого и очень плохо документированного (а потому и не полностью совместимого в разных реализациях) ike демона. Ну и устойчивей к косорукости (не диверсионной деятельности товарищ майора, а просто permit tcp / permit udp / ачоещекакие-то протоколы бывают? не не слышал!) и кривонастроенным файрволам. Даже циска сломалась и сейчас _предпочтительное_ ее решение для клиентских окончаний - именно ssl, а не ipsec. ipsec оставь для site2site, где нужна высокая производительность и отсутствие характерных для tcp-in-tcp проблем, и нет необходимости возиться с обходом натов или это корпоративные наты которые нормально умеют в ipsec. В остальных случаях ipsec+ike решение очень хрупкое и неудобное в массовом применении. От них все уходят кто куда может.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #197

53. Сообщение от Соль земли2 (?), 12-Фев-26, 10:20	+2 +/–
Шифрование и туннелирование. После знакомства с IPsec эти вещи воспринимаются отдельно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #71

55. Сообщение от Аноним (55), 12-Фев-26, 10:38	+1 +/–
Там привязка IP к ключу, чтобы банально файрволом можно было разные правила для разных пиров задать. Поэтому нет там автонастройки IP бай дизайн.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #85, #144

56. Сообщение от Sm0ke85 (ok), 12-Фев-26, 10:40	–5 +/–
>Прочитайте, что такое VPN, и для чего он должен применяться. То что вы его пытаетесь применять для того чтоб *** это исключительно ваши проблемы, а не OpenVPN, который прекрасно делает то для чего сделан. Я не знаю что там у вас в голове, но для меня слово "приватная", говорит о том, что ее не видно остальным, а вот что вы там себе навыдумывали оставляйте при себе - это ваши тараканы...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #58, #89, #166

57. Сообщение от ананим.orig (?), 12-Фев-26, 10:41	+8 +/–
> Как будто в OpenVPN дыр не находили. Бывает. А вот чего НЕ бывает - конских ценников, политически обоснованной сегрегации и тд, как в цисках.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #169

58. Сообщение от Аноним (3), 12-Фев-26, 10:50	–2 +/–
Приватная = не видно содержимое. Это общепринятое определение.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #61, #168

59. Сообщение от ананим.orig (?), 12-Фев-26, 10:53	+/–
Интересно, нафига, например, домашний комп в ад заносить для удаленного доступа к конторе? К двум, трём,…?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #180

60. Сообщение от ананим.orig (?), 12-Фев-26, 10:55	+/–
> Типичное васянское рукоблудие. Корпоративное садо-мазо лучше? С вазилином хоть?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

61. Сообщение от Sm0ke85 (ok), 12-Фев-26, 10:56	–6 +/–
>Приватная = не видно содержимое. Это общепринятое определение. Вот только общепринятых определений несколько, и одно из них: Приватный = не предназначенный для огласки; конфиденциальный Конфиденциальный = не подлежащий оглашению, секретный
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #114

63. Сообщение от 1 (??), 12-Фев-26, 11:01	+/–
Добавь ещё NetworkManager И будет полная солянка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

65. Сообщение от Аноним (66), 12-Фев-26, 11:14	–1 +/–
WireGuard ещё и без X.509-гемора.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

66. Сообщение от Аноним (66), 12-Фев-26, 11:17	+/–
А как поровайдеры платных VPN'ов на WireGuard справляются?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #101

71. Сообщение от Аноним (66), 12-Фев-26, 11:20	–1 +/–
IPsec - это такой systemd в мирере VPN'ов (оверинжениринный).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #219

72. Сообщение от Аноним (66), 12-Фев-26, 11:24	+/–
Кидаешь внутри туннель L2-over-UDP уже без шифрования.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

73. Сообщение от Аноним (66), 12-Фев-26, 11:28	+1 +/–
Да в systemd и тосты с кофеем из коробки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

74. Сообщение от Аноним (66), 12-Фев-26, 11:30	+/–
К домену через интернет - червям нравицца.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #181

75. Сообщение от Аноним (81), 12-Фев-26, 11:55	+1 +/–
Я тебе маленький секрет открою. VPN это не только обход блокировок.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #216

81. Сообщение от Аноним (81), 12-Фев-26, 12:08	+/–
>гарантировано блокировался провайдером Пишешь заявление и он чудесным образом разблокируется.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #95

85. Сообщение от Аноним (85), 12-Фев-26, 12:15	+/–
Да нет привязки IP к ключу, это конфигурируется. Проблема исключительно в том, кто какого-то хрена на клиенте в конфиге этот IP нужен. Если не внести - просто втихую ничего работать не будет. Это противоречит DRY-принципу. IP должен определяться либо сервером, либо клиентом, а не и тем и тем вместе, но когда не совпадает - то всё втихую ломается, и сиди гадай.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

88. Сообщение от Аноним (88), 12-Фев-26, 12:22	+/–
Представь себе, есть организации с филиалами...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

89. Сообщение от Хрю (?), 12-Фев-26, 12:23	+2 +/–
Ещё раз - ваши фантазии это ваши проблемы, private в vpn это частный, персональный, а не скрытый. Для скрытого, есть другие средства. Openvpn инструмент для тех кому надо работать, а не прятаться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #215

95. Сообщение от Аноним (95), 12-Фев-26, 12:35	+/–
>Пишешь заявление и он чудесным образом разблокируется. Сказки не надо рассказывать. Эти завяления только палят людей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81 Ответы: #107

101. Сообщение от Аноним (101), 12-Фев-26, 12:51	+/–
скрипт генерации конфигов. не?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

103. Сообщение от Аноним (101), 12-Фев-26, 12:54	+/–
в wg так же скриптом выписывается конфиг. прям вот руками кто то ковыряет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

104. Сообщение от Аноним (101), 12-Фев-26, 12:57	+/–
где там по дефолту идет? что значит "по дефолту" ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

107. Сообщение от Аноним (81), 12-Фев-26, 13:05	+/–
>Сказки не надо рассказывать. Эти завяления только палят людей. Так ты блокировки собрался обходить? Это другая тема вообще.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #95 Ответы: #122

111. Сообщение от Аноним (111), 12-Фев-26, 13:26	+/–
Эта мелкая пипирка в лучшем случае прожует 100-150 Мбит/сек.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #185

112. Сообщение от Аноним (111), 12-Фев-26, 13:28	+/–
^ у arm/mips нет аппаратных блоков шифрования, если что.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #148

114. Сообщение от Аноним (101), 12-Фев-26, 13:30	+/–
а у вас еще приватное наверняка равно анонимному? )))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61 Ответы: #213

122. Сообщение от Аноним (122), 12-Фев-26, 14:18	+/–
>Так ты блокировки собрался обходить? Это другая тема вообще. Нет, не другая. Ты же вбрасываешь мысль о том, что к блокировки это нормально, гланое жалобное письмо приложить куда надо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #107 Ответы: #139

139. Сообщение от Аноним (81), 12-Фев-26, 16:06	+/–
А причём тут блокировки, если VPN вообще не про них?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #122

144. Сообщение от Аноним (55), 12-Фев-26, 16:47	+/–
Потому что как сервер, так и клиент могут задавать какие адреса разрешены на своей стороне туннеля
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

148. Сообщение от User (??), 12-Фев-26, 17:23	+2 +/–
А если бы и были - wireguard их не использует. Там не AES NI - а вот chacha20, которая не ускоряется. В реальности из-за этого IPSEC умудряется оказаться _быстрее_ WG, от чего у адептов неиллюзорно пригорает...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #112

155. Сообщение от Васян АнанимайзирБизапаснавич (?), 12-Фев-26, 18:06	–1 +/–
-- - - - Что это за "безопасность".... Эта как и ананимнасть регистрацЫи на гуглипедросервисах, сначала патилифону, а патом и номир тилифона можишь типа удалить... Проста касмичиския чудаки...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

162. Сообщение от Gennadi (??), 12-Фев-26, 19:33	+/–
> скрипт делается за 30 мин... ??? а чё так долго-то? https://togusak.ddnss.de/ovpn/index.html https://togusak.ddnss.de/wg/index.html :-)))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #194

163. Сообщение от Вася (??), 12-Фев-26, 19:42	+/–
> Расскажи мне, в каких случаях я вдруг могу захотеть tap. Для коммерческого > прода кроме IP ничего не нужно, а где нужно, там опять > Циска стоит и хоть ты тресни. голову мне не делай, с openvpn захотел tap - получил tap. зачем? а это тебя уже еать не должно, довгооб друг мой
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #178

166. Сообщение от нах. (?), 12-Фев-26, 20:00	+/–
мы не знаем что у тебя в голове, но аббревиатура VPN - английская. private означает частный, личный. Ни в каком месте не "невидный остальным". (Кстати, иноагенту-террористу Ф.Г. передайте то же самое)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #202

167. Сообщение от Аноним (1), 12-Фев-26, 20:02	+/–
Я знаю, что новых отсыпали. Или ты думаешь корпы такие ой, у нас тут EOS, давайте ничего не будем менять, просто бизнес закроем? Ну и так, между делом, кому EOS, а кому кастомные сборки фирмвари подо всё, что в проде шевелится. Зависит от толщины контракта. В пролёте только подвальные конторки, скупающие б/у на ебеях.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #171

168. Сообщение от нах. (?), 12-Фев-26, 20:03	+/–
в аббревиатуре vpn - нет ни одной русской буквы. Поэтому слова "приватная" там тоже нет. А private - это "ложный друг переводчика", когда похожее по звучанию (в данном случае еще и - заимствованное) слово в твоем языке означает совсем не то что на самом деле.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

169. Сообщение от Аноним (1), 12-Фев-26, 20:03	–3 +/–
> конских ценников Для нищих есть huawei и microtik. > политически обоснованной сегрегации и тд, как в цисках. Проблемы слаборазвитых территорий волнуют только жителей слаборазвитых территорий.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #184, #214

170. Сообщение от Аноним (1), 12-Фев-26, 20:10	+/–
Разве что на скоростях из 2000х.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

171. Сообщение от нах. (?), 12-Фев-26, 20:12	+/–
> Я знаю, что новых отсыпали. Или ты думаешь корпы такие ой, у > нас тут EOS, давайте ничего не будем менять, просто бизнес закроем? > Ну и так, между делом, кому EOS, а кому кастомные сборки > фирмвари подо всё, что в проде шевелится. Зависит от толщины контракта. > В пролёте только подвальные конторки, скупающие б/у на ебеях. в пролете все кроме ibm/oracle/еще кого-то умеющего открывать дверь к топам с ноги. С EOS - еще ничего, можно как-то договориться. У циски оно многоступенчатое - сперва "мы это не рекомендуем", следом "мы это не продаем", потом "мы это не поддерживаем", а вот потом - полный и окончательный EOL. И вот в этот момент становится нельзя не только купить железку (ее с момента EOS нельзя было) но и получить на нее контракт, вообще никакой и ни за какие деньги. Его просто нет в списке. При этом, пока я жил в богатой и сытой стране, в которой были какие-то циски и контракты - ну и пока циска там окончательно все не позапрятала - были видны очень интересные прошивки для устройств, которым вот давным-давно этот самый EOL пришел. Но скачать их было нельзя вообще никак. Ни с моим контрактом, ни с инженерским, ни даже с интеграторским, который открывает доступ к некоторым файликам которые остальным недоступны. Для кого их выкладывали - для меня загадка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #167 Ответы: #196, #204

172. Сообщение от Аноним (1), 12-Фев-26, 20:13	–1 +/–
Используя средства массого управления конфигурациями, естественно. Спроси подробности у своего системного администратора, он должен знать. Заодно научишься чему-нибудь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

174. Сообщение от Аноним (1), 12-Фев-26, 20:15	+/–
Так оно и задачу решает непростую, которую OpenVPN за все годы своего существования так и не смог решить. Опенсорсную часть решения для любителей ручного труда ты удобно проигнорировал. Молодец.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #192

177. Сообщение от Аноним (1), 12-Фев-26, 20:18	+/–
> Эээээ... а "шикарная поддержка" - это? Ну ты без нетплана сперва разберись как systemd и его компонентами пользоваться, и не надо будет по стульям прыгать как бабуин. Там несложно, достаточно базовых знаний об устройстве линукса, айпи-сетей и пару страниц документации осилить. Мои джуны справлялись, и ты справишься.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #187

178. Сообщение от Аноним (1), 12-Фев-26, 20:19	+/–
А, ты из этих, неприхотливых локалхостных... Ну тогда вопросов нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #163

180. Сообщение от Аноним (1), 12-Фев-26, 20:27	+/–
Опять локалхост какой-то. Что ж за конторы у тебя такие, что у них workforce через OpenVPN подлкючается с *домашних* компов?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #209

181. Сообщение от Аноним (1), 12-Фев-26, 20:27	+/–
Уже нет. Там обычный HTTPS.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74 Ответы: #195

183. Сообщение от Ivan (??), 12-Фев-26, 20:31	–1 +/–
сами вы антигосударственная деятельность
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

184. Сообщение от нах. (?), 12-Фев-26, 20:32	–1 +/–
>> конских ценников > Для нищих есть huawei и microtik. huawei дороже. При массовых поставках - в десятки раз (потому что циска может дать скидку в десять раз от ценника если ты ей вообще хоть чем интересен). но жителям слаборазвитых территорий выбирать теперь и не велено.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #169

185. Сообщение от нах. (?), 12-Фев-26, 20:33	+/–
> Эта мелкая пипирка в лучшем случае прожует 100-150 Мбит/сек. а куда среднему бузинесу-то больше?!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111

187. Сообщение от User (??), 12-Фев-26, 20:41	+/–
>> Эээээ... а "шикарная поддержка" - это? > Ну ты без нетплана сперва разберись как systemd и его компонентами пользоваться, > и не надо будет по стульям прыгать как бабуин. Там несложно, > достаточно базовых знаний об устройстве линукса, айпи-сетей и пару страниц документации > осилить. Мои джуны справлялись, и ты справишься. ... и немедленно слился(С)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #177

189. Сообщение от Аноним (1), 12-Фев-26, 20:48	+/–
А вот и наш герой, залазящий на шкаф. > Ты еще там не утонул в попытках написать мильен лапшескриптов для банальнейшей ежедневной работы? Нет конечно. Я два года назад написал сейлсам Tailscale и CloudFlare, обсудил со своей командой что им больше нравится, через месяц через Tailscale почти три тысячи человек удалёнщиков на виндах и маках подключалось и работало. У всех уволившихся доступ отключается через минуту после того как HR нажимает финальный "submit" в нужной форме. Ты попробуй как-нибудь слезть со шкафа и сфокусироваться на том, что людям удобнее, а не на своих перверсиях.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #205, #231

191. Сообщение от Аноним (191), 12-Фев-26, 20:56	+/–
В смысле "светится"? У вас весь интернет может снифать ваш интернет-канал? ОМГ какой бред.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #199, #211

192. Сообщение от User (??), 12-Фев-26, 20:57	+/–
> Так оно и задачу решает непростую, которую OpenVPN за все годы своего > существования так и не смог решить. Опенсорсную часть решения для любителей > ручного труда ты удобно проигнорировал. Молодец. Ну ты же тут tailscale продаешь, а не headscale + headplane + что-там-еще-на-изоленту-надо? Там как, можно уже сеть на 172.16 поменять - или все еще "нинужьна!!!"?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #174 Ответы: #220

194. Сообщение от Анонэ (?), 12-Фев-26, 21:09	+/–
гранд мерси. схоронил.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #162

195. Сообщение от ЁПТА (?), 12-Фев-26, 21:30	+/–
Уже не нравится?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #181

196. Сообщение от ентакусик (?), 12-Фев-26, 22:01	+/–
Я имел ввиду не end of sale, а end of support, после которого уже вообще все
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #171

197. Сообщение от ентакусик (?), 12-Фев-26, 22:31	+/–
Я, честно говоря, не припоминаю случая несовместимоти ipsec у разных вендоров, если не учитывать всякие их расширения для remote access. И в udp он стандартно инкапсулируется. Fortinet вон вообще от ssl vpn отказываются (ну глюкавый он очень у них, не осилили починить) в пользу ipsec, а для работы в сетях с жоскими (по их понятиям) ограничениями, они придумали его в tcp/443 запихать
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #198

198. Сообщение от нах. (?), 12-Фев-26, 23:31	+/–
в site2site нарваться посложнее. Но там и ike самый примитивный из возможных как правило. А вот как только у тебя начинается как раз этот самый "remote access" от мильена узверей с xauth - там ты узнаешь много интересного. Фортик доломал ssl? Ну успехов им, конечно. У них и обычный ipsec глючнее некуда. > они придумали его в tcp/443 запихать в XXI веке кто-то все еще не понимает почему tcp-in-tcp никуда негодный вариант (ну от этих вот - можно было ждать)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #197 Ответы: #228

199. Сообщение от нах. (?), 12-Фев-26, 23:36	+/–
> В смысле "светится"? > У вас весь интернет может снифать ваш интернет-канал? а он боится вовсе не всего интернета, а отдельных граждан. они - да, могут. Но openvpn никогда и не задумывался для леворюционных деятельностей. В Швейцарию пусть езжает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #191 Ответы: #200

200. Сообщение от Васян Снифорович (?), 12-Фев-26, 23:54	+/–
-- - - -  а он боится вовсе не всего интернета, а отдельных граждан. Ну граждане там разные бывают. Да и не боится он, а просто не хочет чтобы из чьего-то носа на его хард сопли капали. А так китайцы там уже всё наверно поснифали и не по одному разу, а может и постоянно снифают. Ты об этом знаешь, китайцы не говорили, а ещё кто-нибудь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #199 Ответы: #230

201. Сообщение от Вася (??), 12-Фев-26, 23:58	+/–
> скрипт делается за 30 мин, скрипт, который генерит готовый конфиг клиента со > всеми сертами, 25 из этих минут нужно будет одним пальцем выравнивать > отступы. кому прям опенвпн нужен, у тех давно написано уже все. Либо они пользуются им настолько редко, что каждый раз генерят ручками
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

202. Сообщение от Васян Виртуальный (?), 13-Фев-26, 00:13	+/–
-- - -- - private означает частный, личный. Я тоже не знаю что там и у кого в голове, но этот "личный и частный" по каким-то арендованным на время проводам какого-то государства или корпораста бегает, если это только не на территории какой-нибудь т.н. фирмы или фермы... Просто первая буква говорит про виртуальность этой сети. А про что там думали разрабы и чем - это уже к ним с этим, а не в словарь какой-нибудь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #166 Ответы: #203

203. Сообщение от Аноним (1), 13-Фев-26, 00:40	+1 +/–
> первая буква говорит про виртуальность этой сети Правильно, потому что ей нужны чужие провода и сети. Если бы не были нужны, это была бы просто частная сеть или автономная система, которой софтовая виртуализация не нужна, потому что физический провод протянут через физическое пространство.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #202

204. Сообщение от Аноним (1), 13-Фев-26, 01:01	+/–
> в пролете все кроме ibm/oracle/еще кого-то умеющего открывать дверь к топам с ноги. Никто там никакие двери не открывает с ноги, периодически садятся в переговорке "ваши и наши", утрасают косты и дедлайны, и расходятся. Кто роутеры со свичами покупал, тому новую модель посоветуют. Кто покупал солюшен роутинга и свитчинга в рамках техограничений, тем прошивку напишут. > Для кого их выкладывали - для меня загадка. Ну например для какого-нибудь Tier 1. Реальная загадка это почему вам было видно что там что-то есть. Хотя, цисковский сайт это той ещё зов двухтысячных.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #171

205. Сообщение от User (??), 13-Фев-26, 08:03	+1 +/–
> А вот и наш герой, залазящий на шкаф. >> Ты еще там не утонул в попытках написать мильен лапшескриптов для банальнейшей ежедневной работы? > Нет конечно. Я два года назад написал сейлсам Tailscale и CloudFlare, обсудил > со своей командой что им больше нравится, через месяц через Tailscale > почти три тысячи человек удалёнщиков на виндах и маках подключалось и > работало. У всех уволившихся доступ отключается через минуту после того как > HR нажимает финальный "submit" в нужной форме. Ты попробуй как-нибудь слезть > со шкафа и сфокусироваться на том, что людям удобнее, а не > на своих перверсиях. А теперь давай на бис аналогичный фокус но - по другую сторону забора?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #189

207. Сообщение от OpenEcho (?), 13-Фев-26, 11:39	+/–
> Ииии - вот тебе проприетарное решение-услуга, по сложности превосходящее примерно все аналоги, ага. А с когда оно проприетарным стало? Я так всегда его с сырцов собираю и ни чё так, всё работает
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #208

208. Сообщение от User (??), 13-Фев-26, 11:40	+/–
>> Ииии - вот тебе проприетарное решение-услуга, по сложности превосходящее примерно все аналоги, ага. > А с когда оно проприетарным стало? Я так всегда его с сырцов > собираю и ни чё так, всё работает "Его" - это кого? Tailscale? Так там вроде и клиенты, и контролка того-с... закрытые.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #207 Ответы: #221

209. Сообщение от Аноним (209), 13-Фев-26, 12:12	+/–
слово "работник" не длиннее
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #180

210. Сообщение от Sem (??), 13-Фев-26, 12:50	+1 +/–
"OpenVPN же создавался в эпоху, когда требовалась максимальная гибкость для обхода блокировок" Смешно, да. Можно узнать, про какие блокировки речь в 2000-х?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

211. Сообщение от Sm0ke85 (ok), 13-Фев-26, 12:55	+/–
>В смысле "светится"? >У вас весь интернет может снифать ваш интернет-канал? >ОМГ какой бред. Возможность легко выявить "секретную сеть" на фоне остального - есть "светиться"... Где бред-то?Оо Ты когда посекретничать с кем-то собрался - ты ж наверно отходишь в сторонку и в пол тона говоришь, а не по средь площади на тарабарщине пытаешься орать...? Аналогия ясна...? или разжевать...?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #191

213. Сообщение от Sm0ke85 (ok), 13-Фев-26, 13:10	–1 +/–
>а у вас еще приватное наверняка равно >анонимному? ))) Я в отличии от вас не ленюсь смотреть определения слов, которыми оперирую, и на базаре догадками не промышляю...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #114

214. Сообщение от ананим.orig (?), 13-Фев-26, 13:16	+/–
> Проблемы слаборазвитых территорий волнуют только жителей слаборазвитых территорий. Ну и что ж ты так волнуешься то?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #169

215. Сообщение от Sm0ke85 (ok), 13-Фев-26, 13:16	+/–
>Ещё раз - ваши фантазии это ваши проблемы, private в vpn это частный, персональный, а не скрытый. Для скрытого, есть другие средства. Openvpn инструмент для тех кому надо работать, а не прятаться. Вы вообще не понимаете о чем речь идет??? Поясню, речь о смыслах заложенных в названии, что там реализовал опенвпн - и так известно, а вот ваше ощущение слова приватная очень скудное...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89

216. Сообщение от Sm0ke85 (ok), 13-Фев-26, 13:18	–1 +/–
>Я тебе маленький секрет открою. VPN это не только обход блокировок. Я тебе тоже открою секрет - ты не самый умный, а также ты не умеешь пользоваться словарями...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75

217. Сообщение от Аноним (-), 13-Фев-26, 13:53	+/–
>  WG это же просто про создание зашифрованного канала (и только лишь), > функций и возможностей у опенвпн несравнимо больше. Ога! Например где еще любой клиент (!!!) мог в конфиге по дефолту TLS Bumping на других клиентов фигачить дочерта лет. А просто потому что тип серта (клиент или сервер) по дефолту не проверялся, CA правильный, так что... Вот это я понимаю - функционал. Году на десятом такого функционала до автырей сабжа даже дотикало на чем именно его вертят, вместе с клиентами :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #226

218. Сообщение от Аноним (-), 13-Фев-26, 13:58	+/–
> Спросил у нейросети кто из вас двух прав, вот что он выдал: Тебя накормили гуано. > такой туннель проходят broadcast-пакеты, можно видеть сетевые соседи, использовать NetBIOS, На практике это значит кучу паразитного трафика и вулнов/атак. Странно что нейросетка не упомянула это. > задач это не нужно, но для специфическихlegacy-систем это критично. Во. Legacy назвал легаси. Честный бот! > 2. Динамическая настройка клиентов (Push-директивы) Что является с точки зрения клиента в общем то вулном/бэкдором ибо позволяет ремоте много нежелательных и чреватых вещей. > и по TCP. Это важно, если сеть блокирует UDP или если > нужно пустить трафик через HTTP-прокси. Пожалуй единственное реальное достоинство. Но таки ovpn секут почти все мыслимые DPI. > 5. Маскировка трафика (Obfuscation) Тогда пусть этот дрон про всякие amnezia чтоли узнает. Сие лучше DPI обходит чем ovpn дефолтный.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #222

219. Сообщение от Аноним (-), 13-Фев-26, 14:00	+/–
> IPsec - это такой systemd в мирере VPN'ов (оверинжениринный). Это намного хуже. Это - как в openwrt, когда аналог системды - еще и с генерацией (!!!) конфигов сделан - прямо из костыликов и подпорочек, шелскриптиками. Так что вместо простого integrated solution вы получаете - гимор с настройкой кучи разного хлама а толку с этого все равно мизер. И потом Торвальдс такой - сравнит wg/ovpn/ipsec да и назовет wg "compared to .... work of art" :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71

220. Сообщение от OpenEcho (?), 13-Фев-26, 17:08	+/–
> Там как, можно уже сеть на 172.16 поменять - или все еще "нинужьна!!!"? Если понимать разницу между RFC1918 vs RFC6598 то станет всё понятно - "все еще нинужьна!!!"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #192 Ответы: #225

221. Сообщение от OpenEcho (?), 13-Фев-26, 17:14	+/–
> "Его" - это кого? Tailscale? Ну да > Так там вроде и клиенты, и контролка того-с... закрытые. Закрыта только контролка, но они абсолютно Ок с существованием headscale который полностью заменяет их контролплайн и даже  Ок если такие бобики будут юзать их ДЕРР мосты, если свои лень поднимать. И полная отвязка от телеметрии тоже есть, всего одним ключиком
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #208 Ответы: #223

222. Сообщение от OpenEcho (?), 13-Фев-26, 17:28	+/–
>> такой туннель проходят broadcast-пакеты, можно видеть сетевые соседи, использовать NetBIOS, > На практике это значит кучу паразитного трафика и вулнов/атак. Странно что нейросетка > не упомянула это. Какого вулна и атак? ОпенВПН создан для ЧАСТНЫХ сетей, а не для кого попало. И субж одна из единственных халяв которая хорошо умеет в Л2, для тех кому это ДЕЙСТВИТЕЛЬНО нужно (привет ВЛАН-ам) >> задач это не нужно, но для специфическихlegacy-систем это критично. > Во. Legacy назвал легаси. Честный бот! L2 легаси??? опеннет, одно слово... >> 2. Динамическая настройка клиентов (Push-директивы) > Что является с точки зрения клиента в общем то вулном/бэкдором ибо позволяет > ремоте много нежелательных и чреватых вещей. Push в сторну клиентов вообще-то :))) Например заставить вех ходить только через ВПН, чтоб избежать утечек (в том числе ДНС ) корпоративных/частных секретов > Но таки ovpn секут почти все мыслимые DPI. Так оно совсем для другого предназначенно, а не для пряток, - это раз. А во вторых, не с кривыми руками можно по всякому настроить ;)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #218

223. Сообщение от User (??), 13-Фев-26, 17:34	+/–
>> "Его" - это кого? Tailscale? > Ну да >> Так там вроде и клиенты, и контролка того-с... закрытые. > Закрыта только контролка, но они абсолютно Ок с существованием headscale который полностью > заменяет их контролплайн и даже  Ок если такие бобики будут > юзать их ДЕРР мосты, если свои лень поднимать. И полная отвязка > от телеметрии тоже есть, всего одним ключиком Ну, т.е. наличие opensource'ной реализации кусков решения автоматически делает его opensource'ным? Экiя чудеса!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #221

224. Сообщение от OpenEcho (?), 13-Фев-26, 17:52	+/–
> Расскажи мне, в каких случаях я вдруг могу захотеть tap. VLAN между бренчами > Для коммерческого прода Именно >, а где нужно, там опять Циска стоит и хоть ты тресни. Есть люди которые могут, а есть те, кто платят (с) ме
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

225. Сообщение от User (??), 13-Фев-26, 18:42	+/–
Не-не-не. Почему TAILSCALE использует CGNAT диапазон мне понятно - но на вопрос "почему Я при развертывании своей локальной инфраструктуры в рамках self-hosted решения должен делать так же" rfc немножко так не отвечает. Ответ "патамучта такой у нас opensource: сорцов нет, то что есть гвоздями приколочено, поменять низзя" - думаю не тот, что вы хотели мне предложить)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #220 Ответы: #227

226. Сообщение от User (??), 13-Фев-26, 19:47	+/–
Золотко! Мы знаем, что openvpn ты в глаза не видел - но открой уже свой журнал "хакир" за 2009 год и прочитай, в чем проблема да и была ли она. Потом можешь посмотреть в man... Не, не можешь. У тебя же ЛАПКИ...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #217

227. Сообщение от Аноним (1), 13-Фев-26, 23:32	+/–
> 2026 > Обращать внимание на циферки в айпишниках Через TS можно любые сети прокидывать так-то. Включая публичные диапазоны.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #225

228. Сообщение от ентакусик (?), 13-Фев-26, 23:35	+1 +/–
Они, наверное, понимают, но от безысходности такое вот народили. Циска то тоже на tls переключается если dtls не получилось. И сабж tcp поддерживает, а микротики, которые тут кто-то поминал, openvpn только по tcp и умеют. В общем, для ситуации "или так, или никак", наверное, сойдет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #198

230. Сообщение от нах. (?), 13-Фев-26, 23:57	+/–
> А так китайцы там уже всё наверно поснифали и не по > одному разу, а может и постоянно снифают. Ты об этом знаешь, > китайцы не говорили, а ещё кто-нибудь? не говорили, но мерзко улыбались и головами покачивали. (да узбагойся, нет, не снифают. нет у них столько банально пропускной способности. Выборочно послушать тебя - могут, но для этого надо как-то очень сильно их заинтересовать.)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #200

231. Сообщение от нах. (?), 14-Фев-26, 00:20	+/–
> Нет конечно. Я два года назад написал сейлсам Tailscale и CloudFlare, обсудил а твоя заслуга тут в чем? Деньги тебе выделил дядя, а не ты их заработал. Проблемы как сделать из подкроватного кустарного wg решение для клиентов - решил tailscale, а снова не ты (и что там у них осталось от самого wg - не очень очевидно) > HR нажимает финальный "submit" в нужной форме. Ты попробуй как-нибудь слезть > со шкафа и сфокусироваться на том, что людям удобнее, а не людям вполне удобно скачать клиент и конфиг к нему. Ровно два клика. Авторизация разумеется в AD, никаких дурацких "ключей" к которым надо хранить отдельное знание кому оно принадлежит и отдельно придумывать как за ним уследить. Никаких посторонних организаций и их мутных сервисов (извинити, нам регулятор это прямо запрещает). В принципе, все то же самое можно делать на базе openvpn, и во времена оны в организациях победнее я такое делал. Для клиентов все выглядит точно так же. Самому обслуживать сильно геморройнее и лучше бы избегать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #189

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема