dumasti Aug 2 2021 at 12:23

Сравнительный обзор VPN клиент-серверных приложений

6 min

46K

Timeweb Cloud corporate blogInformation Security*System administration*Network technologies*Server Administration*

Comments 31

endlessnights Aug 2 2021 at 12:33

Могли бы еще рассмотреть отличное решение — Mikrotik CHR (да анлок скорости стоит денег, около 2к рублей, но это единовременно, + лицензия переносимая)

dumasti Aug 2 2021 at 12:38

В том-то и дело, что тут я говорил о бесплатных решениях (pritunl только немного выбивается из этого, но у него есть бесплатная версия, которая для личного пользования полностью подходит)

mSnus Aug 2 2021 at 12:47

Интересно, а за что минусуют? С этими решениями что-то не так? Интересуюсь с точки зрения пользователя

dumasti Aug 2 2021 at 12:53

Вот эти минусы. У меня тоже вопросы. если кто-то не согласен с тем, что в статье, то хотелось бы узнать с чем и почему? Ну про новую инфу может быть, но я не минусую за такое(

UFO just landed and posted this here

Pearson Aug 2 2021 at 12:54

Почему это обзор "сравнительный", если тут просто список из пять тул со скриншотами без всякого сравнения?

На скорость интернет-соединения в моменте (и скачивания файла скриптами спидтеста) влияет с десяток факторов, даже если вы их не учитываете, то единичный замер говорит примерно ни о чем, если тестируете "черным ящиком" - сделали б с десяток, хотя бы, а то и больше (с автоматизацией).

Плюс нет никакой инфы про и, очевидно, самой настройки тестируемых узлов и тул в попытке выжать побольше скорости, просто дефолты.

Такое себе, крч, имхо.

dumasti Aug 2 2021 at 13:00

Сравнивалось тут сложность настройки, возможность что-то менять от дефолта, "умения" сервисов и скорость. Основной фактор, который влияет на скорость - это способность локального компьютера зашифровать/расшифровать трафик, передать его на сервер и там тоже самое, только обратно.

Renaissance Aug 2 2021 at 13:03

Тестирование скорости проведено неправильно: замеры нужно делать внутри тоннеля «клиент-сервер», по скриншотам из статьи можно сделать ошибочный вывод, что ни одно из указанных приложений не способно протянуть через себя 100мбит/с трафика, что является полной неправдой (это я еще не говорю про тех. характеристики сервера и клиента, если еще и их учитывать, то вообще смешно получается). Это просто ввод в заблуждение.

UFO just landed and posted this here

dartraiden Aug 2 2021 at 16:19

https://github.com/pivpn/pivpn туда же. shell-скрипт, который поднимает сервер WireGuard/OpenVPN и генерирует конфиги для клиентов.

UFO just landed and posted this here

edo1h Aug 2 2021 at 18:58

+Простота добавления новых пользователей

Можете пояснить?

UFO just landed and posted this here

edo1h Aug 3 2021 at 21:24

а у кого сильно сложнее?

UFO just landed and posted this here

edo1h Aug 4 2021 at 15:05

но у него же есть режим static key, который ну просто тривиален в настройке:
генерируем ключ одной командой, подготавливаем конфиги клиента и сервера из нескольких строк каждый и… всё.

UFO just landed and posted this here

Alekseyz Aug 2 2021 at 20:31

А где упоминание IPsec, L2TP, IKEv2? Или они не настолько популярны? :)

dumasti Aug 2 2021 at 21:07

Не сказал об этих протоколах, мое упущение. Их умеет Softether.

ModestONE Aug 2 2021 at 23:11

Прочитал, но посыл заметки не совсем понял. Потому что: если руки прямые, то wiregurad, а если нет и/или лень, тогда есть cloudflare warp. Последнего хватит чтоб открыть заблокированные ресурсы. Так понимаю, что автор под закручиванием это таки имел ввиду. Если же речь шла о РЕАЛЬНОЙ безопасности, то где в таком случае тесты, список оборудования и прочее? Потому что без аппаратной поддержки любое шифрование, ну такое себе. Да, "внезапно", есть такие сетевые устройства. Моделируем ситуацию: автор поднимает опенВПН, а оборудование у него стоит от РТ - оптический терминал в режиме роутера. Почему нет?.. Затем он становится "кому-то" интересен. Далее: ему посредством ОМСИ заливают модифицированную прошивку, да - "внезапно", такие есть и это реально. Все, приехали. Весь ВПН трафик попадает в деанон. В общем хз, но заметка странная. Больше на "опрос" похоже, мол написанное автором не "тру". Лучше делать так-то и вот так, а использовать такое-то и эдакое.

ЗЫ: Фидонет эдишн.

pokamest_nikak Aug 3 2021 at 01:23

AmneziaVPN забыли!

pdqpdq Aug 3 2021 at 12:46

Wireguard нету, статья ради статьи ?

Maxim_Q Aug 3 2021 at 16:14

У вас двусторонний пинг разрешен, вы не верно настроили свой VPS или ваш поставщик VPN не смог закрыть эту дырку элементарно запретив пингование сервера.

dumasti Aug 3 2021 at 16:20

см. последний абзац части об OpenVPN

Maxim_Q Aug 3 2021 at 16:43

Я вижу это. Вы написали, но не исправили проблему? Просто посчитали это не нужным или другая причина? Зачем дырку в безопасности оставлять?

dumasti Aug 3 2021 at 17:00

Я посчитал это несущественным в рамках данной статьи, а просто указал, как закрыть эту дыру.

PIDrila Aug 9 2021 at 14:09

Раз пошла такая пьянка - добавлю свои пять копеек про опыт поднятия различных сервисов (на отдельную статью не тянет - напишу тут), может быть кому-нибудь пригодится как мин. съэкономить своё время т.к. суммарно на "r&d" я потратил несколько месяцев:

потратить 5 минут своей жизни

Тоже работаю симстемным адмемнисратором и когда началась вся эта суматоха (панкдемия я имею ввиду) начальники спустили задачу поднять впн сервер на своих "мощностях" чтобы пользователи из дома подключались на рабочие компьютеры (топология типа "road warrior" или "remote access to lan" я уже не помню). Было перепробовано куча решений (бесплатных и опенсорсных) - Wireguard, Pritunl, Softether, OpenConnect, Strongswan IPSec IKEv2, OpenVpn, забегая вперёд скажу что остановились в конце концов на опенВпэне. В кратце про каждое решение(плюсы и минусы):

Начали с новомодного wireguard:

из плюсов: быстро работает, поднимается легко, автовостановления соединения(keepAlive), относительно lightwieight

из минусов(почему отказались): официальный виндовый клиент не запускается без прав локального админа(начиная с версии 0.3 появилась возможность добавить пользователя в группу "сетевых операторов" и если слегка поправить реестр появится возможность включать и отключаться от тунелей пользователю со стандартными правами). Нашли не офицальный клиент(tunsafe) ту проблему он решал, но тут вмешался начальник и завернул всё это дело - т.к. конфиг не зашифрованый и там лежит приватный ключ(в офицальном клиенте конфиг зашифрован средствами dpapi вроде как и пользователю нельзя получить к расположению конфига).

Дальше был pritunl(бесплатная версия):

из плюсов: удобное администрирование, легко поднимается, клиент работат под обычным пользователем

из минусов: на сервере обязательно должен быть включен ipv6 иначе оно просто не запускается(у нас в grub прописано ipv6.disable=1), пароль на конфиг файл подключения - только в виде цифр(пин код), опять таки - наличие платной версии - в какой момент разработчики решат отказаться от поддержки бесплатной версии?

Следующий softether:

из плюсов: легко ставится, удобное и навороченое администрирование через клиент, пользоваьельский клиент также оч удобный и имеет большой функционал.

из минусов: работает медленне чем другие решения, но главная причина отказа была когда я случайно обнаружил японский ip-адрес в таблице маршрутизации при активированом подключении через клиент(да я зыбыл отключить nat traversal).

OpenConnect на очереди:

плюсы: работает по ощущениям довольно таки быстро, лёгкая насройка серверной части(не поднятие!), "an open-source replacement for Cisco's proprietary AnyConnect SSL VPN client"

минусы: скудная документация на официальных сайтах(да их несколько - один для ocserv, другой для клиента), смог поднять только по этому гайду, клиент не запускается без прав админа(можно(?) использовать что нибудь на подобие этого чтобы обойти эту проблему)

Strongswan IKEAv2:

плюсы: поддержка из коробки всеми в том числе виндой (clientless (бесклиентный), довольно таки шустрый по ощущениям

минусы: сложна!, нет востановления соединения после отвала(по карйней мере на десятке), это моя проблема но я так и не смог пушить маршруты клиенту - и когда пользователь подключен к впну и вдруг решил зайти по smb на сетевую шару винда викидывает окно ввода кодов доступа к шаре т.е. конект к локальной шаре идёт через впн сервер.

OpenVPN: (f finally)

минусы (или почему я не хотел с ним связыватся in first place): сложна! долго и муторно поднимается настраивается, жрёт ресурсы как не в себя и вообще ***!1

плюсы: когда разобрался с настройком начинаешь видеть картину целиком: начиная с версии 2.4 появилась возможность запускать клиент без прав админа(служба отдельная), начиная с версии 2.5 разработчики внедрили алгоритмы шифрования от wireguard(chacha20poly1305, ed25519), а также добавили в клиент поддержку winTUN - если правильно всё поднять и настроить - работает на удивление быстро.

фуух вроде бы всё

dumasti Aug 9 2021 at 14:34

Наконец-то пошел обмен опытом и впечатлениями. Спасибо)

edo1h Aug 9 2021 at 18:48

т.к. конфиг не зашифрованый и там лежит приватный ключ(в офицальном клиенте конфиг зашифрован средствами dpapi вроде как и пользователю нельзя получить к расположению конфига).

OpenVPN: (f finally)

хм, а как это решается в openvpn? (да и в wireguard интересно, это windows-специфичная фича?)

justPassedBy Aug 9 2021 at 23:13

openvpn работает на сертефикатах и если явно не указывать опцию nopassпри генерировании сертефиката (./easyrsa gen-req client1 nopass) то в конфиге всё будет зашифровано, например как вот здесь

wireguard под линуксом без рута в ту папку где лежит конфиг не зайдёшь, эта тема поднималась даже разработчикам в писали но они ответели что пароль можно также как и конфиг угнать так или иначе.

edo1h Aug 10 2021 at 02:01

понял про что вы.
я привык, что vpn работает как демон/служба, не взаимодействуя с пользователем.