Комментарии 21
Есть нормальная возможность забэкапать CA? Какая пропускная способность малинки со всем этим ПО на борту? Умеет ли оно UDP/NAT-T? (Хотя если база OpenSSL, она ЕМНИП на TLS над TCP, то есть нет) Можно ли использовать эмулятор криптоносителя (условно, ПО на андроиде, в который рутокен просто не втыкается) для работы с таким VPN? Зачем столько USB-портов в малине, при том, что сетевой всего один? Генерацию DH вообще можно было бы поручить клиенту, причем не самой малине, а нормальному x86 компу в сети, с которого потом в малину файл залить, причем генерация может быть вообще на javascript, страницей со статикой на сервере.
Документная естьвот здесь: https://dev.rutoken.ru/display/PUB/13+Rutoken+VPN
Умеет ли оно UDP/NAT-T?OpenVPN умеет.
Вы пробовали «VPN в роутерах» у ZyXEL, к примеру или у Mikrotik? И это тоже «китайское решение»?
При этом производительность решений у них выше, чем у вашей поделки на Rpi.
И я не понимаю, почему вы киваете на частоту выхода прошивок. Это к чему?
Да и «простое решение» — это именно в роутерах. Даже на Mikrotik VPN настраивается по любому How-to из гугла.
Я не спорю, что настроить можно все, но на это нужно потратить время и время зачастую достаточно значительное. Если вы покажете мне статью, где на Mikrotik просто настраивается 2х фактерная авторизация по vpn, буду вам искренне благодарен. Я простых вариантов к сожалению не видел.
Этим постом мы просто хотим рассказать о своем решении. Получить обратную связь.Когда только Рутокен VPN появился, я сразу же скачал его. В то время, когда разработчики OpenVPN раздумывали над объединением 32- и 64-битных версии дистрибутива, говоря, что размер файла дистрибутива увеличится с 3 мегабайт до 5, дистрибутив Рутокен VPN имеет размер в 52 МБ, и содержит любимые ffmpeg.dll и d3dcompiler_47.dll.
На сайте у вас написано следующее:
Преимущества: регулярные обновления клиента и сервера обеспечивают высочайший уровень защиты и своевременное устранение уязвимостей.В поставку включен OpenVPN версии 2.3.10. Эта версия содержит как минимум 4 уязвимости (CVE-2017-7478, CVE-2017-7479, CVE-2017-7521, Fix remotely-triggerable ASSERT() on malformed IPv6 packet). Текущая версия в этой ветке — 2.3.17, и эта ветка считается устаревшей, а актуальная — 2.4.
Я дважды убедился, что это именно версия 2.3.10, т.к. из даты изменения файлов (18.05.2017) можно было подумать, что вы применили патчи, устраняющие уязвимость, к старой версии, но нет: в файле указана дата компиляции
Feb 1 2016
, и отсутствует строка SWEET32
, из уведомления об опасности использования шифров с 64-битным размером блока.В поставке под Windows у вас, какого-то фига, запускной файл и библиотека для macOS, что означает, что поставку вы не проверяете:
Ваш продукт — насмешка над безопасностью, производительностью и здравым смыслом.
SSTP работает и на линуксе и на маке, клиент, и на микротике (и сервер и клиент).
Вопрос, а где модно взять iso виртуалки? А так же какова цена данной "игрушки"? Почему вы использовали платформу rpi? Почему не Lanner FW-8759 или аналог?
Где и у кого можно взять на тестирование?
генерацияключей ивыписываниесертификатовосуществляетсяужепослепередачи— потеряли пробелы.
В CA можно импортировать свой сертификат, или он всегда будет самоподписанным?
Клиенты на Linux смогут подключаться к этому VPN?
Картинка вещь субъективная, нам показалось что она подходит.
На текущем этапе нельзя, но можно обсудить и заложить в road map проекта, если функционал будет полезным.
Да, ничто не мешает пользоваться стандартным openvpn клиентом из командной строки. Не очень удобно, но проблем нет. Можно использовать любые клиенты которые работает с open vpn. Мне вот нравиться например https://www.sparklabs.com/viscosity/
Как организовать защищённый доступ при помощи VPN