Comments 31
По моему мнению он на много лучше OpenVPN по всем параметрам (абсолютно по всем).
Например:
Стандартный TLS: считаю что это хорошо, хоть и не все согласятся. Зато пробивается через великий Китайский… :)
Из коробки умеет параллельно соединяется по TLS+DTLS и предпочитает UDP когда он работает.
У каждого клиента свой TUN/TAP интерфейс на который можно повесить все правила маршрутизации и firewall которые нужно. (думаю многие и не знают что в опенвпн есть встроенный самописный велосипедный «firewall» :) )
У каждого клиента собственный процесс, суммарная скорость не ограничивается одним потоком.
Нормальная поддержка многих видов авторизации… из коробки: прощайте плагины которые работают через раз. Кто пытался прикрутить радиус к опенвпн: поймут. Можно быстро, за 1 минуту поднять сервер с авторизацией по логин/пасс из файла; или строить каскад из сертификатов и радиуса… (это уже не за минуту :) ).
При этом есть клиенты для виртуально любой платформы. Для многих open source, для остальных от Cisco (за ответом «а разрешено ли? » надо идти к юристам, не могу ответить)
упоминания ESP при описании IPSec,
упоминания классических связок GRE/IPSec,
раскрытия особенностей наложенного туннелирования (туннель в туннеле),
раскрытия применение SSH для туннелирования,
упоминания отечественных протоколов и СКЗИ для VPN,
использования технологий NAT и Proxy совместно с криптотунелями.
Тема VPN, не смотря на то, что ей 100 лет в обед имеет в себе много интересных особенностей. Ждем следующих серий
Еще один существенный плюс OpenVPN – возможность проходить через NAT и брандмауэр без их дополнительной конфигурации по стандартному для HTTPS порту TCP 443 благодаря SSL/TLS-инкапсуляции.
OpenVPN вроде свой собственный протоктол использует. Никакой там инкапсуляции в SSL. А вот SoftEther умеет прикидываться SSL соединением!
Censorship resistant handshake and transport messages: fully indistinguishable from the noise with optionally hidden packets length.
SoftEther заслуживает внимания, сложно не согласиться. Включим его в следующие серии материалов по VPN.
Всё-таки вы читаете жопой: https://community.openvpn.net/openvpn/wiki/UsingPolarSSL
SoftEther заслуживает внимания, сложно не согласиться. Включим его в следующие серии материалов по VPN.
OpenVPN вовсе не прибит гвоздями к OpenSSL. Он может быть собран и с PolarSSL, например, в репозиториях OpenWRT есть такие сборки (они меньше, что важно для мелких устройств с мелкими флешками).
Этот обзор описывает популярные сегодня реализации и с точки зрения их ресурсоемкости и совместимости. Возможно, это поможет кому-то, например, в выборе ОС для таких задач, и пользователь сможет не переплачивать за коммерческие ОС, требующие больших ресурсов или специфического клиентского ПО.
Такая же ситуация с начавшимся развиваться WireGuard VPN. Выглядит перспективно.
Да даже для OpenVPN вы забыли, что сервер может, например, висеть на порту 443 и проксировать весь трафик на веб-сервер, а как только обнаружит трафик для VPN — будет перехватывать его без трансляции веб-серверу продолжая передавать не связанный с VPN трафик серверу, за счет чего в интернет будет смотреть 2 сервиса с 1 порта без конфликтов (чего, кстати, не умеет OpenConnect VPN и для этого предлагают sniproxy)
Все получилось как-то поверхностно, что больше похоже на https://ru.wikipedia.org/wiki/VPN
Да в комментах получился обзор VPN интереснее и разнообразнее.
Если бы хоть свою рекламу не поставили, то может быть еще и нормально смотрелось бы.
Плюс инкапсуляция там не в SSL, а в честный HTTPS. С одной стороны, позволяет на одном адресе и порту одновременно хостить SSTP-сервер и HTTPS-сайт, с другой — прожорливо по ресурсам.
Ну и еще нюанс — через reverse proxy его прокидывать то еще удовольствие, как выяснилось. В протокол вмурована дополнительная защита от HTTPS MitM, сервер проверяет хеш сертификата, на который терминировался клиент. И, чтобы у них пасьянс сошелся, пришлось поломать голову.
PPTP довольно сильно тормозит, особенно в Линуксе. Популярный, широко распространенный — да, но вот быстрым его точно нельзя назвать. Ещё нельзя забывать тот факт, что PPTP использует GRE, поэтому не всегда дружит с NATами и файрволлами.
Про то, что IPsec не использует отдельный виртуальный интерфейс — это не всегда так. Многие реализации (например, встроенная в Windows) используют именно отдельный интерфейс. В Линуксе зависит от реализации ESP, так что может быть по-разному. Про BSD и macOS ничего не могу сказать.
Про уязвимости IPsec — вообще непонятно, откуда вы это взяли. ESP вполне себе неплохо защищает от инъекции пакетов. Упоминается какая-то атака, но никаких пруфлинков к ней нет. Дальше идет ссылка на эксплоит, но непонятно, это уязвимость самого протокола или какой-либо конкретной реализации. Я не спорю, IPsec можно умудриться настроить так, что он станет уязвимым, но не стоит прямо вот так пугать читателя многочисленными атаками. Если всё делать по правилам, можно получить очень производительное и безопасное решение. У хабровчанина ValdikSS есть отличный мануал по настройка IKEv2 в Линуксе.
L2TP отдельного раздела не стоит. Если человеку нужен именно L2-туннель, он скорее всего уже достаточно глубоко в теме. По содержанию — очень сомневаюсь, что L2TP/IPsec работает медленнее SSL-based протоколов.
Про то, что OpenVPN сложно настраивать — ну, тут смотря с чем сравнивать. Из рассмотренных технологий эта наверное самая простая в настройке. Её основной минус — это низкая производительность за счет того, что она работает в пространстве пользователя. Например, вот тут есть сравнение скорости работы разных VPN-ов, и OpenVPN тут почти в 4 раза медленнее IPsec. И это ещё достаточно быстрая машина, на медленных OpenVPN часто даже 100 мбит/с выжать не может.
Можно ещё много чего писать на эту тему. Microsoft, начиная с семерки, рекомендует использовать IKEv2 и SSTP. Если не хочется глубоко копать и пофиг на производительность — OpenVPN.
Упоминается какая-то атака, но никаких пруфлинков к ней нет. Дальше идет ссылка на эксплоит, но непонятно, это уязвимость самого протокола или какой-либо конкретной реализации.
По ссылке не ходил, но вероятно это речь об уязвимости протокола, которой уже давно нет. Если не ошибаюсь, раньше ESP умел только шифровать, и для аутентифицированного шифрования непременно нужно было делать бутерброд AH(ESP(IP)). Сейчас он умеет MAC и аутентификацию, так что вы видите просто ещё один косяк этого посредственного обзора — человек не удосужился проверить, не устарело ли то, о чём он пишет.
Кроме того, никогда не было проблемы при корректном использовании IPSec в целом: ну не тянет один ESP, так используй его одиного, возьми весь этот бутерброд и всё будет хорошо. Проблема надумана, в духе "а если я ставлю короткий пароль, его легко подобрать — уязвимость метода аутентификации по паролю!"
Ну да — для ее настройки требуется нормальное понимание принципов работы современных сетей, не так как этому учат в линаксе — факт. Но это имхо только плюс.
связка l2tp+ipsec самая стандартная, самая гибкая, самая надежная и самая простая в настройке
Не сказал бы.
1) L2-туннели нужны далеко не всем, зато все получают оверхед от дополнительных заголовков.
2) Нужны костыли при работе через NAT.
3) Практически всегда L2TP используется вместе с IKEv1, хотя есть более новая версия, IKEv2, в которой серьёзно улучшили работу с мобильными сетями.
Не могу сказать, что недостатки прямо такие существенные, но если есть выбор, почему бы не взять тот же IKEv2 в туннельном режиме? Я уже приводил выше ссылку, где Microsoft хочет объявить L2TP/IKEv1 устаревшим.
нормальное понимание принципов работы современных сетей, не так как этому учат в линаксе
Ух, прямо заинтриговали. Ну-с, расскажите нам, что это за нормальное понимание такое. А то мы тут «в линаксе» вообще не в курсе.
Если клиент скачает бинарный клиент и установит, тот тоже может создать дыру, или другой vpn софт, только установка может быть сложнее.
Сейчас у меня за пару кликов — запускается хром приложение, и оборудование клиента начинает работать контролируясь сервером.
Немного о VPN: Краткий обзор программных реализаций