Комментарии к публикации «OpenVPN, о котором вы так мало знали»

15.01.2019 15:58:07 LESHIY_ODESSA

LESHIY_ODESSA — Tue, 15 Jan 2019 15:58:07 GMT

А вы не могли бы более подробно объяснить что и где отключать?

15.01.2019 10:38:50 Pinkerton42

Pinkerton42 — Tue, 15 Jan 2019 10:38:50 GMT

Да, я знаю и написал это не как руководство к действию, а назвал причину неработающего ipsec+l2tp у занатовых клиентов.

15.01.2019 10:35:02 Andrusha

Andrusha — Tue, 15 Jan 2019 10:35:02 GMT

Это фишка Windows-клиента, у него исходящий порт всегда одинаковый, соответственно, последний подключившийся «перетягивает одеяло» на себя.

15.01.2019 10:28:36 Andrusha

Andrusha — Tue, 15 Jan 2019 10:28:36 GMT

Без IPsec получается нешифрованный туннель.

15.01.2019 06:01:32 Pinkerton42

Pinkerton42 — Tue, 15 Jan 2019 06:01:32 GMT

Там на самом деле проблема в ipsec. Если его отключить, то все работает.

14.01.2019 13:08:37 vanyas

vanyas — Mon, 14 Jan 2019 13:08:37 GMT

Ужаснее GUI сложно даже представить…
Ну и GUI для OpenVPN rkbtynf есть практически в любом дистрибутиве в виде модуля к NetworkManager

14.01.2019 08:48:13 toxi_roman

toxi_roman — Mon, 14 Jan 2019 08:48:13 GMT

Интересная статейка, сохранил в заметки на будущее.
Сразу по ходу чтения статьи, набросал несколько вариантов, где бы можно было использовать плагины.

14.01.2019 07:52:01 stavinsky

stavinsky — Mon, 14 Jan 2019 07:52:01 GMT

Точно не PPTP? Обычно у него такие проблемы

14.01.2019 07:38:04 vesper-bot

vesper-bot — Mon, 14 Jan 2019 07:38:04 GMT

Там просто дефолтные правила для L2TP заставляли транслировать исходящий порт 1701 в 1701 вне зависимости от существующей трансляции. Отключить — заработает.

14.01.2019 07:26:01 sborisov

sborisov — Mon, 14 Jan 2019 07:26:01 GMT

Сервер настраивали администраторы windows, поэтому на ней не было проблем с подключением, ну а тем кто пользуется linux пришлось подбирать протоколы шифрования.
Но ничего, справились…

14.01.2019 06:30:18 jamm1985

jamm1985 — Mon, 14 Jan 2019 06:30:18 GMT

Статья интересная, про внутренний пакетный фильтр очень занятно. Хотелось бы добавить, что в клиентский конфиг желательно добавить опцию

remote-cert-tls server

для защиты от MitM акт это мастхэв.

13.01.2019 23:02:21 icCE

icCE — Sun, 13 Jan 2019 23:02:21 GMT

Проблема там, когда два клиента за одним NAT, то сервер обслуживает пслд подключение. Зависит все от реализации. Было проблемой например в routeros/mikrotik.

13.01.2019 22:17:00 leschenko

leschenko — Sun, 13 Jan 2019 22:17:00 GMT

С Linux всегда всё не просто. Не скажу что это плохо, просто там все по другому. И когда люди привыкают к этому другому, то Windows им кажется «по другому».

13.01.2019 22:12:22 leschenko

leschenko — Sun, 13 Jan 2019 22:12:22 GMT

Первый раз слышу о подобном. Если не секрет, то кто именно это делать не умеет? Что-бы на будущее знать.
PS: ESP (50 IP) не все умеют прокидывать внутрь сети, но чтобы наружу кого-то не пускать…

13.01.2019 20:55:06 Amihailov

Amihailov — Sun, 13 Jan 2019 20:55:06 GMT

Стандарт стандартом, но когда два и более клиентов пытаются построить l2tp туннель из одной сети к одному серверу, то происходит ОЙ. И, к сожалению, не каждый маршрутизатор умеет этот ОЙ разруливать.

13.01.2019 19:24:59 sborisov

sborisov — Sun, 13 Jan 2019 19:24:59 GMT

Да, всё-таки стандарт это L2TP.
Хотя, на одном из мест работы, намучились с ним, очень долго настраивали клиентский Linux, помогла вот эта статья:
https://github.com/nm-l2tp/network-manager-l2tp/wiki/Known-Issues

OpenVpn в Ubuntu (клиенте) было бы настроить значительно проще.

13.01.2019 17:15:32 saipr

saipr — Sun, 13 Jan 2019 17:15:32 GMT

Для корпоративных сетей в режиме MultiPoint-To-SinglePoint обычно используется свой центр сертификации PKI, который легко строится либо при помощи easy-rsa, либо на основе XCA.

Для выпуска сертификатов можно еще использовать и этот УЦ, созданное на базе OpenSSL и SQLite3. А для настройки клиента можно посмотреть это GUI.

13.01.2019 16:45:59 leschenko

leschenko — Sun, 13 Jan 2019 16:45:59 GMT

То что написано в статье, это потрясающе. Но с чего вы взяли что openvnp это дефакто стандарт? Чтобы соединение было установлено требуется стороннее по на клиенте. Я бы сказал, openvnp это хорошая альтернатива стандартным l2tp и ikev2.