Comments 76
Android? Не, не слышали…
PS: надеюсь ios only очень не надолго. Успехов!
PS: надеюсь ios only очень не надолго. Успехов!
Не все сразу. Android поддерживает технологию Always-on VPN (аналог VPN-on-Demand) только с версии 4.2. Сделать шлюз VPN, к которому может подключаться Android — легко, но сделать так, чтобы пользователь не настраивал все сам, а потом не включал каждый раз VPN — не так-то просто. Поэтому процесс разбит на этапы, первый этап — поддержка iOS.
UFO just landed and posted this here
Я может что-то сильно не понимаю, но какой смысл?
У меня две VDS'ки (основная и горячий резерв) с openvpn дают возможность прекрасного VPN для устройств под андроид, ios, PC и Mac из коробки. Авторизация по сертификатам+паролю.
Для на смартфонах используются приложения:
itunes.apple.com/ru/app/openvpn-connect/id590379981?mt=8
play.google.com/store/apps/details?id=net.openvpn.openvpn
Для клиента процесс подключения заключается в
1) Установить приложение
2) Скачать файл настроек с сервера
3) Скормить файл настроек программе.
Учитывая вышенаписанное, Вы, мне кажется, не то что из пушки во воробьям с такой инфраструктурой и сложностью, а из BFG9k по микробам палите.
У меня две VDS'ки (основная и горячий резерв) с openvpn дают возможность прекрасного VPN для устройств под андроид, ios, PC и Mac из коробки. Авторизация по сертификатам+паролю.
Для на смартфонах используются приложения:
itunes.apple.com/ru/app/openvpn-connect/id590379981?mt=8
play.google.com/store/apps/details?id=net.openvpn.openvpn
Для клиента процесс подключения заключается в
1) Установить приложение
2) Скачать файл настроек с сервера
3) Скормить файл настроек программе.
Учитывая вышенаписанное, Вы, мне кажется, не то что из пушки во воробьям с такой инфраструктурой и сложностью, а из BFG9k по микробам палите.
Тут идея автоматического подключения «по надобности», ведь в классическом варианте смартфон «не спит» при поднятой ВПН сессии, и это существенно съедает батарею.
Cейчас достал планшет с CM10.1 (Android 4.2.2). Подключился к OpenVPN. Отложил планшет, он уснул. На сервере в openvpn-status устройство не видно (значит отключилось). Сейчас включу…
Включил. VPN сам активировался, подключился, трафик вновь через VPN.
Включил. VPN сам активировался, подключился, трафик вновь через VPN.
Выше же было…
«Android поддерживает технологию Always-on VPN (аналог VPN-on-Demand) только с версии 4.2. „
«Android поддерживает технологию Always-on VPN (аналог VPN-on-Demand) только с версии 4.2. „
ОК, данный сервис не поддерживает никакой андроид. Так что пока все равно при равных с точки зрения клиента. Вот только помнится мне, что я еще на CM9 гонял openvpn без проблем со сном девайса. Правда он у меня, очевидно, рутованный.
И, кстати, посмотрите, описание OpenVPN connect в google play. Совместимость с андроид 4.0+, а не 4.2…
И, кстати, посмотрите, описание OpenVPN connect в google play. Совместимость с андроид 4.0+, а не 4.2…
Эта услуга рассчитана, прежде всего, на тех, кто не сможет настроить приложение самостоятельно, например для вашей девушки, но без вашей помощи :-)
Приложение не надо настраивать. Везде «настройка» заключается в скачать файлики с сайта, положить в папочку к приложению. Все уже сконфигурировано.
UFO just landed and posted this here
Отзыв сертификатов — функция из коробки OpenVPN.
Я не понимаю почему мне тут все постоянно тыкают в нос тем, что делать клиентам. Все телодвижения в моем случае делаются так же как и в предложенном ruVPN решении на сервере скриптами\админом. От пользователя в любом случае требуются всего три описанных мною действия. Все мысли о безопасности все равно лежат на админах сервиса.
И вопрос у меня собственно к администрации ruVPN: зачем вы нагородили такой огород с кучей различного сложного софта, если хватило бы серверов с openvpn и простейшего сервиса генерации клиентских сертификатов?
Я не понимаю почему мне тут все постоянно тыкают в нос тем, что делать клиентам. Все телодвижения в моем случае делаются так же как и в предложенном ruVPN решении на сервере скриптами\админом. От пользователя в любом случае требуются всего три описанных мною действия. Все мысли о безопасности все равно лежат на админах сервиса.
И вопрос у меня собственно к администрации ruVPN: зачем вы нагородили такой огород с кучей различного сложного софта, если хватило бы серверов с openvpn и простейшего сервиса генерации клиентских сертификатов?
К сожалению, не хватило бы.
Решение с openVPN ничем бы не отличалось от сотни аналогичных решений. Мы не городили огород, а создали полноценную корпоративную инфраструктуру распространение профилей iOS для всех желающих.
Решение с openVPN ничем бы не отличалось от сотни аналогичных решений. Мы не городили огород, а создали полноценную корпоративную инфраструктуру распространение профилей iOS для всех желающих.
Давайте постараемся упростить, убрав «страшные» слова про корпоративную инфраструктуру. Правильно ли я понимаю, что отличие от аналогичного сервиса на OpenVPN только в том, что позволяет работать на iOS без установки (однокнопочной) стороннего софта. При этом не работает на андроиде и других платформах?
Или я упустил другие преимущества?
Или я упустил другие преимущества?
Это у вас. Но не у всех ведь есть две, да и хотя бы одна, VDS'ка.
Вопрос не к конечным пользователям, а к создателям ruVPN зачем они нагромоздили столько всего, когда хватило бы двух VPSок (+-c учетом нагрузки) с OpenVPN?
OpenVPN не работает нативно с iOS устройствами.
Нативно — без стороннего софта? А что Вы считаете, что пользователю, который в принципе знает слово VPN и понимает зачем он ему сложно поставить из стора программку? Ни jail break ни каких-то высокомудрых телодвижений для этого не надо.
Проверенно, кстати, на моей девушке :-D
Проверенно, кстати, на моей девушке :-D
Не смог подконектиться к Яндекс.Музыке (приложение такое) через ruVPN (соединение по 3G, Москва). После отключения VPN зашел сразу.
Спасибо за статью и отдельная благодарность — за такую добрую иллюстрацию. Очень понравилась.
Видимо уже положили, поскольку при включении VPN на телефоне выдает «VPN-сервер не ответил»
Скорей всего у вас закрыты IPSec порты. UDP 500 и 4500
Кстати, да. Port Share на порт 443 ваша система в отличие от OpenVPN так же не умеет? По моему опыту в кафешках Москвы, где в основном интересно использовать гаджеты с VPN порты строго фильтруются. Я даже на 5222 джабберовский соединиться не могу в большинстве случаев.
Это не наша система так не умеет, это Apple iOS так не умеет. Порты для VPN соединений зашиты в константах, IPSec — 500 и 4500 UDP, L2TP — 1701 UDP, PPTP — 1723 TCP. На уровне профиля это поменять нельзя, увы.
Мы реализуем поддержку OpenVPN на порты 443 и 80. Это все прописано в стратегии развития. Я готовлю следующий пост про технологии и планы.
Мы реализуем поддержку OpenVPN на порты 443 и 80. Это все прописано в стратегии развития. Я готовлю следующий пост про технологии и планы.
Включился. Но теперь никак не хочет отключаться. Ну кроме как удаления профиля. Туплю, все ок.
Очень не серьезно подготовились к нагрузочному тестированию. Ваша главная ошибка и сайт и сервис находятся на одном сервере, простейшая проверка с одной виртуалки через:
Приводит к вот-такому результату:
Надеюсь к боевому включению эту дырищу уберете иначе любой скрипткиди положит ваш сервис с домашней машины, а это уже убытки и головная боль админу. Как минимум правило хорошего тона перед продакшином проводить пинтестирование и тестирование систем защиты от распространенных видов DoS атак. Внимательней надо быть к таким мелочам. Перед продакшином прогоните сервис сами через инструменты Kali, вам же будет спокойней.
hping3 --rand-source -p 1723 -S --flood ruvpn.net
Приводит к вот-такому результату:
Надеюсь к боевому включению эту дырищу уберете иначе любой скрипткиди положит ваш сервис с домашней машины, а это уже убытки и головная боль админу. Как минимум правило хорошего тона перед продакшином проводить пинтестирование и тестирование систем защиты от распространенных видов DoS атак. Внимательней надо быть к таким мелочам. Перед продакшином прогоните сервис сами через инструменты Kali, вам же будет спокойней.
Спасибо за тестирование и отчет!
Сайт и сервис находятся на разных физических машинах и на разных IP адресах. VPN работал без перебоев. Сайт тоже, но пакеты до него не доходили.
Как я понял из разговора с администраторами, проблема была на уровне сетевого оборудования, сейчас инцидент документируется, дыра закрывается.
Еще раз спасибо!
Сайт и сервис находятся на разных физических машинах и на разных IP адресах. VPN работал без перебоев. Сайт тоже, но пакеты до него не доходили.
Как я понял из разговора с администраторами, проблема была на уровне сетевого оборудования, сейчас инцидент документируется, дыра закрывается.
Еще раз спасибо!
Не буду снова мучать администраторов в пятницу вечером, если будут нагрузочные тесты лучше проводить в будни, сами банально протестируйте через hping3, ab, mausezahn, nemesis и тому подобное, сами сможете следить за тем как реагирует вся система в целом. В цепи рвется самое слабое звено, толку от рабочих сервисов, если они не доступны клиентам. Самые распространенные виды DoS атак — это SYN и UDP флуд, все открытые в мир порты желательно протестировать грубой силой.
Получается вы просто забили канал.
Просто положили циски количеством пакетов, канал был практический пустой.
постойте… неужели, когда вы писали, что используете оборудование Cisco имелись ввиду межсетевые экраны Cisco ASA и именно на них вы терминируете VPN?
нет, VPN терминируется на Linux серверах, с помощью StrongSwan. Циски — это коммутаторы в стойке, для связи между серверами и входным-выходным транками.
спасибо, не внимателен. после того как сделал предположение по ASA, не удосужился снова заглянуть в ваш список софта и оборудования. но тогда вы товарищ лукавите, ни один коммутатор не уложить packet rate'ом с виртуалки.
Самая младшая линейка коммутаторов cisco доступных на рынке:
Cisco Catalyst 2950-12: 1.8 Mpps wire-speed forwarding rate
• Cisco Catalyst 2950-24: 3.6 Mpps wire-speed forwarding rate
• Cisco Catalyst 2950SX-24: 6.6 Mpps wire-speed forwarding rate
• Cisco Catalyst 2950T-48: 10.1 Mpps wire-speed forwarding rate
• Cisco Catalyst 2950SX-48: 10.1 Mpps wire-speed forwarding rate
Т.е. минимально 1.8 mpps, при том что с виртуалки в лучшем случае выжмите 10-ки kpps.
Признавайтесь, может net/ipv4/tcp_syncookies были выключены?
Самая младшая линейка коммутаторов cisco доступных на рынке:
Cisco Catalyst 2950-12: 1.8 Mpps wire-speed forwarding rate
• Cisco Catalyst 2950-24: 3.6 Mpps wire-speed forwarding rate
• Cisco Catalyst 2950SX-24: 6.6 Mpps wire-speed forwarding rate
• Cisco Catalyst 2950T-48: 10.1 Mpps wire-speed forwarding rate
• Cisco Catalyst 2950SX-48: 10.1 Mpps wire-speed forwarding rate
Т.е. минимально 1.8 mpps, при том что с виртуалки в лучшем случае выжмите 10-ки kpps.
Признавайтесь, может net/ipv4/tcp_syncookies были выключены?
У меня стоит Catalyst 2960G-48. Проблемы возникли до моей стойки, до меня пакеты просто не доходили. Что там было, я не в курсе.
Поток, который мне удалось сгенерировать был значительно меньше, судя по данным мониторинга моего свича пиковое значение было 203,98 Kpps на выходе. Точный диагноз падения цисок нам врядли озвучат, гадать можно долго, увидеть бы логи, что происходило перед смертью.
Чтобы забить канал, надо иметь свой жирнее, а это не спортивно, ну долбануть сейчас туда по DNS Amplification или чем-то подобным и толку, тут было интересно проверить как справится сервис с нераспределенной атакой а вот просто обиженный клиент с домашнего компа. Оказалось слабое звено там, где скорее всего даже не предполагали, а именно в операторском оборудовании — это исправят и будут в дальнейшем спокойней себя чувствовать, одно дело простой на тесте, а другое когда есть шанс потерять реальных клиентов.
Ваша главная ошибка и сайт и сервис находятся на одном сервере
ваш тест не релевантен в отношении того на одной машине крутится сайт и сервис или на разных. даже если бы на разных, ничего не мешает подключится по VPN, узнать внешний IP, в который натит всех клиентов и таргетом указать его.
иначе любой скрипткиди положит ваш сервис с домашней машины
вы пробовали с домашней машины с данным параметром --rand-source?
VPN сервера не натятся, они напрямую смотрят в сеть.
VPN клиенты получают трафик с отдельного сервера, где шейпится канал, причем внешние адреса берутся из достаточно большего пула методом round-robin.
VPN клиенты получают трафик с отдельного сервера, где шейпится канал, причем внешние адреса берутся из достаточно большего пула методом round-robin.
Вы абсолютно правы, узнать не составит труда, мне было лень, если я получил результат простой грубой силой. Именно с этим параметром, домашняя машина — mac mini mc816 имеет на борту неплохую сетевую карту, выделенный внешний IP без тунелей и честное гигабитное подключение, что не редкость в некоторых регионах. И чем Вас смутил --rand-source, если на оборудовании провайдера не стоит дополнительный фильтр (а он редко стоит) пакеты с подменным source IP прекрасно уходят в мир, а оборудование ориентируется только на dest. Самым слабым местом, мне кажется, именно сервер агрегации VPN и атака на pptp и радиус, я бы перед продакшином дополнительно протестировал его. Можно попробовать забить канал попытками авторизации с левыми связками логин-пароль и подменными source-ip интересно как будет чувствовать себя радиус.
Радиус во внешний мир не смотрит, при подключении VPN клиента используется двухфакторная аутентификация, сначала по сертификату, потом устанавливается туннель и только потом происходит запрос на радиус сервер.
Проверка сертификата также достаточно ресурсоемкая операция. Так все-таки что случилось с цисками не удалось выяснить? Увидеть бы лог перед самым падением, там вообще как-то неверно они были настроены, через секунду после начала тестирования отклик по icmp (для чистоты эксперимента сам пинг проводил с другой страны, чтоб генерируемый поток не влиял на него) уже увеличился в 10 раз, через 5 секунд начались периодические потери пакетов, примерно через 5-10 минут (пока заварил чай и намазал пару бутербродов) внешний IP перестал подавать признаки жизни, я прервал тест.
Все криптографические операции ресурсоемкие. Атакующий тоже будет неслабо нагружен. Я рассчитывал производительность VPN серверов так, чтобы выдерживать нагрузку, превышающую широту канала. Так что скорее кончится канал, чем сервер упадет. На крайний случай в тестовой лаборатории есть криптоакселлератор, который может держать 80 ГБ/с с шифрованием AES256 без загрузки центрального процессора. Но для продакшена я пока его еще не оттестировал полностью.
Логов сетевого оборудования перед падением у меня нет, это зона ответвенности провайдера. Насколько я понял, сейчас все должно быть хорошо.
Логов сетевого оборудования перед падением у меня нет, это зона ответвенности провайдера. Насколько я понял, сейчас все должно быть хорошо.
Вопрос первый, почему я должен доверять вам свой трафик?
Вопрос второй цена?
Третий почему сайт не открывается?
Вопрос второй цена?
Третий почему сайт не открывается?
За не открытие сайта я вынужден посыпать голову пеплом, написали про нагрузочное тестирование, я первым попавшимся под руку инструментом и протестировал, честно говоря не ожидал такого эффекта, думал или меня забанит секунд через 30 или сервис даже не заметит, а он упал, сразу отключил инструмент, но он не подымается. :( Очень надеюсь к релизу продумают этот момент, сервис нужный и полезный, но к сожалению совсем не стойкий.
UPD: Поднялся, а то мне аж стыдно стало.
UPD: Поднялся, а то мне аж стыдно стало.
1. Потому что я незаинтересованное лицо и мне ваш трафик неинтересен, в отличие, например, от жулика-администратора кафе, раздающего бесплатный Wi-Fi. Более того, я в пользовательском соглашении прописываю, что никто не может получить лог ваших посещений, кроме как по решению норвежского суда. Содержимое трафика не анализируется, только заголовки пишутся в лог, по требованию норвежского законодательства.
2. Цена будет не выше 300-450 руб в месяц, зависит от широты канала.
3. Потому что были проблемы с сетью, сейчас все устранено. На то оно и тестирование :-) Сервера работали без перегрузки.
2. Цена будет не выше 300-450 руб в месяц, зависит от широты канала.
3. Потому что были проблемы с сетью, сейчас все устранено. На то оно и тестирование :-) Сервера работали без перегрузки.
Смените картинку, я понимаю нет денег на художника, но вешать такой треш не вариант.
Зашел на сайт, посмотрел предложение.
450 рублей в месяц за 2 мбит, при этом идет запись логов.
Сейчас за 300 рублей можно купить годовой доступ к vps с трафиком в 250 гигабайт в месяц, откуда взялась цифра 450 рублей в месяц?
450 рублей в месяц за 2 мбит, при этом идет запись логов.
Сейчас за 300 рублей можно купить годовой доступ к vps с трафиком в 250 гигабайт в месяц, откуда взялась цифра 450 рублей в месяц?
Цена не окончательная, и, скорее всего, будет изменяться в сторону уменьшения. Сейчас сервис находится в стадии тестирования, платежные системы не подключены, решаются бюрократические вопросы.
В то же время услуга на данном этапе рассчитана на классических пользователей продукции Apple. Для них совершенно в порядке вещей заплатить за готовое решение, нажать одну кнопку и пользоваться услугой. Так же большинство владельцев айфонов и айпадов могут себе позволить 300-450 рублей в месяц без ущерба для бюджета.
Очень немногие могут настроить собственный VPN сервер. И даже настроив его, не будет достигнут аналогичный уровень удобства, который предоставляет мое решение. Не будет работать автоматическое включение VPN (VPN-on-Demand), к тому же скорей всего при подключении не будут использоваться сертификаты. Вот такие «мелочи» и будут отличать самостоятельное решение от коммерческого. :-)
Я не слышал про VPS за 300 рублей в год, это очень доступное предложение для хостинга, я полагаю. IPSec VPN требует или FreeBSD, или Linux с предварительно настроенными параметрами ядра. VPS не позволит поднять IPSec VPN, к сожалению.
В то же время услуга на данном этапе рассчитана на классических пользователей продукции Apple. Для них совершенно в порядке вещей заплатить за готовое решение, нажать одну кнопку и пользоваться услугой. Так же большинство владельцев айфонов и айпадов могут себе позволить 300-450 рублей в месяц без ущерба для бюджета.
Очень немногие могут настроить собственный VPN сервер. И даже настроив его, не будет достигнут аналогичный уровень удобства, который предоставляет мое решение. Не будет работать автоматическое включение VPN (VPN-on-Demand), к тому же скорей всего при подключении не будут использоваться сертификаты. Вот такие «мелочи» и будут отличать самостоятельное решение от коммерческого. :-)
Я не слышал про VPS за 300 рублей в год, это очень доступное предложение для хостинга, я полагаю. IPSec VPN требует или FreeBSD, или Linux с предварительно настроенными параметрами ядра. VPS не позволит поднять IPSec VPN, к сожалению.
Это полноценный виртуальный сервер с рутовым доступом, и конечно же там можно понимать и впн, и ссх туннели.
Сейчас на рынке много предложений в районе 10$/год.
lowendstock.com/
Сейчас на рынке много предложений в районе 10$/год.
lowendstock.com/
Спасибо за ссылку. Там большинство решений на базе OpenVZ. Это всего лишь продвинутый chroot, как вы понимаете. Поднять IPSec стек вы там не сможете, никто не даст вам возможности править параметры ядра машины-хоста. OpenVPN запустится без проблем. На BSD аналогичная ситуация, чтобы запустить racoon надо загружать модули ядра для поддержки IPSec и фрагментации IKE.
«Хорошо» совсем дешево не бывает, к сожалению.
«Хорошо» совсем дешево не бывает, к сожалению.
Вопрос — почему 5-е поколение сереров HP? (думаю — какое было «под рукой», но интересно)
Ответ содержится в тексте «инвесторов у проекта не было, все приходилось выполнять лично или заказывать на собственные средства.» DL360 с двумя процессорами E5450, 32GB RAM и HDD SAS 15K в RAID 10 еще очень даже ничего. :-) У меня на таких серверах собран кластер под управлением Proxmox. База данных крутится на DL380 с кучей дисков. Все покупал на eBay или в местных датацентрах во время обновления оборудования. Память и диски — покупал новые.
Вот показатели hdparm на сервере базы данных:
Так что использование пятого поколения HP Proliant для стартапов еще оправдано. Еще есть SUN v245 c FreeBSD в качестве маршрутизатора и DELL PowerEdge 2950 в полном фарше для резервного копирования, сбора логов и мониторинга. На страничке проекта в facebook есть несколько фотографий оборудования.
Вот показатели hdparm на сервере базы данных:
# hdparm -tT /dev/cciss/c0d0
/dev/cciss/c0d0:
Timing cached reads: 12924 MB in 2.00 seconds = 6468.01 MB/sec
Timing buffered disk reads: 730 MB in 3.00 seconds = 243.19 MB/secТак что использование пятого поколения HP Proliant для стартапов еще оправдано. Еще есть SUN v245 c FreeBSD в качестве маршрутизатора и DELL PowerEdge 2950 в полном фарше для резервного копирования, сбора логов и мониторинга. На страничке проекта в facebook есть несколько фотографий оборудования.
Sign up to leave a comment.
Нагрузочное тестирование проекта ruVPN, технология IPSec VPN-on-Demand для iPhone, iPad