Как стать автором
Обновить

Комментарии 21

Есть нормальная возможность забэкапать CA? Какая пропускная способность малинки со всем этим ПО на борту? Умеет ли оно UDP/NAT-T? (Хотя если база OpenSSL, она ЕМНИП на TLS над TCP, то есть нет) Можно ли использовать эмулятор криптоносителя (условно, ПО на андроиде, в который рутокен просто не втыкается) для работы с таким VPN? Зачем столько USB-портов в малине, при том, что сетевой всего один? Генерацию DH вообще можно было бы поручить клиенту, причем не самой малине, а нормальному x86 компу в сети, с которого потом в малину файл залить, причем генерация может быть вообще на javascript, страницей со статикой на сервере.

Функционал минимальный. Хитрых вариаций нет, но всегда есть вариант самому «подкрутить» openvpn, который внутри. Мы даем доступ к консоли ОС, в том числе для этого порты usb. Хотя основная причина, не буду лукавить в том, что нам хотелось сделать проект с разумной стоимостью, а кастомные корпус его может существенно увеличить.
Документная естьвот здесь: https://dev.rutoken.ru/display/PUB/13+Rutoken+VPN
Умеет ли оно UDP/NAT-T?
OpenVPN умеет.
А производительность вашего решения какова? Хватает процессора RasberryPi?
Около 20 mbit/s. Вполне хватает для работы небольшого офиса. Мы прошлый год всей компанией на одной PI жили. Сейчас перешли на x86 версию.
Чем вам так не нравится «VPN в роутерах» и почему это «китайское решение»?
Вы пробовали «VPN в роутерах» у ZyXEL, к примеру или у Mikrotik? И это тоже «китайское решение»?
Мне не нравиться, что прошивки в роутерах зачастую выходят очень редко. Mikrotik скорее исключение и я его искренне люблю и использую, но вот настраивать его, как мне кажется не самая тривиальна задача. Нам хотелось простого решения, которое работает с токенами. Микротик к таким не относиться явно.
Я правильно вас понимаю, что вы попытались этим рекламным постом «опустить» роутеры, которые удовлетворяют своим функционалом 99% юзеров?
При этом производительность решений у них выше, чем у вашей поделки на Rpi.
И я не понимаю, почему вы киваете на частоту выхода прошивок. Это к чему?
Да и «простое решение» — это именно в роутерах. Даже на Mikrotik VPN настраивается по любому How-to из гугла.
Этим постом мы просто хотим рассказать о своем решении. Получить обратную связь. Что касается роутеров и редкости выхода прошивок на них, то в купе например с https://www.wired.com/story/wikileaks-cia-router-hack/ это становиться просто опасным.
Я не спорю, что настроить можно все, но на это нужно потратить время и время зачастую достаточно значительное. Если вы покажете мне статью, где на Mikrotik просто настраивается 2х фактерная авторизация по vpn, буду вам искренне благодарен. Я простых вариантов к сожалению не видел.
Этим постом мы просто хотим рассказать о своем решении. Получить обратную связь.
Когда только Рутокен VPN появился, я сразу же скачал его. В то время, когда разработчики OpenVPN раздумывали над объединением 32- и 64-битных версии дистрибутива, говоря, что размер файла дистрибутива увеличится с 3 мегабайт до 5, дистрибутив Рутокен VPN имеет размер в 52 МБ, и содержит любимые ffmpeg.dll и d3dcompiler_47.dll.

На сайте у вас написано следующее:
Преимущества: регулярные обновления клиента и сервера обеспечивают высочайший уровень защиты и своевременное устранение уязвимостей.
В поставку включен OpenVPN версии 2.3.10. Эта версия содержит как минимум 4 уязвимости (CVE-2017-7478, CVE-2017-7479, CVE-2017-7521, Fix remotely-triggerable ASSERT() on malformed IPv6 packet). Текущая версия в этой ветке — 2.3.17, и эта ветка считается устаревшей, а актуальная — 2.4.
Я дважды убедился, что это именно версия 2.3.10, т.к. из даты изменения файлов (18.05.2017) можно было подумать, что вы применили патчи, устраняющие уязвимость, к старой версии, но нет: в файле указана дата компиляции Feb 1 2016, и отсутствует строка SWEET32, из уведомления об опасности использования шифров с 64-битным размером блока.

В поставке под Windows у вас, какого-то фига, запускной файл и библиотека для macOS, что означает, что поставку вы не проверяете:
image

Ваш продукт — насмешка над безопасностью, производительностью и здравым смыслом.
Спасибо за ваше мнение. Конструктивная критика очень важна для нас. Частично указанные проблемы будут устранены уже в ближайшем обновление, которое сейчас проходит процедуру тестирования. Мы не запрещаем использовать другие клиенты openvpn, но к сожалению в них настроить работу с токенами не всегда просто(естественно для обычных пользователей). Мы стремимся сделать наш клиент максимально простым и удобным. В конечном итоге мы планируем передать клиент в open source. Было бы интересно рассмотреть варианты как-то совместной работы, так как проекты в области VPN, как я виду Вам близки.

SSTP работает и на линуксе и на маке, клиент, и на микротике (и сервер и клиент).

В момент тестирования, это было не так. Поддержка Mac была весьма плачевна. А на мобильных sstp можно использовать?
НЛО прилетело и опубликовало эту надпись здесь
А под ios что-то есть достойное?
Вот, я вот этим андроид приложением пользуюсь для подключения по SSTP на своем VPS:
https://play.google.com/store/apps/details?id=it.colucciweb.sstpvpnclient&hl=en
НЛО прилетело и опубликовало эту надпись здесь

Вопрос, а где модно взять iso виртуалки? А так же какова цена данной "игрушки"? Почему вы использовали платформу rpi? Почему не Lanner FW-8759 или аналог?
Где и у кого можно взять на тестирование?

Контакты для тестирования отправил личным сообщением
Картинка не соответствует содержанию статьи, т.к. ваш продукт не для того, чтобы использовать интернет. Это некрасиво.
генерацияключей ивыписываниесертификатовосуществляетсяужепослепередачи
— потеряли пробелы.
В CA можно импортировать свой сертификат, или он всегда будет самоподписанным?
Клиенты на Linux смогут подключаться к этому VPN?
Спасибо за пробелы. Исправил.
Картинка вещь субъективная, нам показалось что она подходит.
На текущем этапе нельзя, но можно обсудить и заложить в road map проекта, если функционал будет полезным.
Да, ничто не мешает пользоваться стандартным openvpn клиентом из командной строки. Не очень удобно, но проблем нет. Можно использовать любые клиенты которые работает с open vpn. Мне вот нравиться например https://www.sparklabs.com/viscosity/
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.