The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости"  +/
Сообщение от opennews (??), 17-Мрт-22, 08:57 
Подготовлены корректирующие выпуски OpenVPN 2.5.6 и 2.4.12, пакета для создания виртуальных частных сетей, позволяющего организовать шифрованное соединение между двумя клиентскими машинами или обеспечить работу централизованного VPN-сервера для одновременной работы нескольких клиентов. Код OpenVPN распространяется под лицензией GPLv2, готовые бинарные пакеты формируются для Debian, Ubuntu, CentOS, RHEL и Windows...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56866

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


4. "Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости"  +6 +/
Сообщение от timur.davletshin (ok), 17-Мрт-22, 09:06 
Мне больше всего нравятся нелогичности в трендах.

Ну, вроде как из-за переключения контекста ядра OpenVPN медленнее, чем реализации на уровне ядра. ОК, одни написали Wireguard, другие написали OpenVPN kernel accelerator. Вроде как счастье, мир и процветание.

Но в пользовательских протоколах обратный тренд и все массово (доля HTTP/S трафика выше, чем все VPN) ломанулись в обратную сторону и перешли на HTTP/2 over UDP (aka HTTP/3) и получили более громоздкие реализации в пространстве пользователя, подверженные джиттеру и "затупам" userspace'а. Я просто напомню, что сначала предпосылкой было внедрение более агрессивных протоколов congestion control'а вроде BBR, но эта идея провалилась и подавляющее большинство реализацию использует условно старые CUBIC и RENO. Да, быстрое внедрение новых алгоритмов управления потоком может быть важно для сервисов доставки контента, которые всё это и затевали (привет, Гугл). Но это модификации только на стороне сервера и внедрение ядерной реализации для них настолько же трудоёмко, как и внедрение userspace'ной, пользователю менять ничего не нужно, исходящий трафик на Ютубе минимален. В результате получили новый протокол, который на 20-30% тупее TCP и представляет собой реализацию старого в пользовательском пространстве. Я уже не говорю о большом количестве проблем в реализациях. Начиная от кол-ва проблем в nginx и до "приколюх" вроде падения скорости в 3-5 раз у пользовательской реализации Firefox.

Ну а в остальном да, прогресс. Прогресс на уровне очередного цикла оквадрачивания/скругления круглых/квадратных кнопочек в Android'е 😄

Ответить | Правка | Наверх | Cообщить модератору

5. "Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости"  +/
Сообщение от Аноним (5), 17-Мрт-22, 09:57 
На "HTTP3" перешёл кто-то, кроме мегакорпов? Это же их игрушка. В частности Гугла.
Ответить | Правка | Наверх | Cообщить модератору

7. "Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости"  +/
Сообщение от timur.davletshin (ok), 17-Мрт-22, 10:07 
> На "HTTP3" перешёл кто-то, кроме мегакорпов? Это же их игрушка. В частности Гугла.

Ну, для начала, они составляют 9/10 трафика, а во-вторых и обычные сайты переходят тоже, что вызывает недоумение.

Ответить | Правка | Наверх | Cообщить модератору

10. "Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости"  +/
Сообщение от keydon (ok), 17-Мрт-22, 10:44 
Мегакорпы тоже не перешли. Никто не знает как с этим жить. Если что и работает то чисто с учетом небольшого трафика с возможностью отключения/фэллбека на другой протокол в случае ддоса.
Ответить | Правка | Наверх | Cообщить модератору

13. "Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости"  +/
Сообщение от timur.davletshin (ok), 17-Мрт-22, 10:55 
> Мегакорпы тоже не перешли.

Крупнейшие видео-сервисы перешли. У меня статистика в пользу UDP на роутере уже больше года как превышает TCP. В ряде академических работ разбирается то, что, например, Google использует в Youtube какую-то свою реализацию Congestion Control'а, которая отличается от BBRv1 и от ещё недоработанного BBRv2 — https://www.comp.nus.edu.sg/~ayush/images/sigmetrics2020-gor... (там в основном про TCP, но есть и разбор про Google Quic и его особенности).

Ответить | Правка | Наверх | Cообщить модератору

17. "Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости"  +/
Сообщение от Аноним (17), 17-Мрт-22, 11:35 
В смысле - гугль и гугль? Ну да, перешли. Им же важнее сэкономить копейку, а не чтоб у тебя было плавное воспроизведение и еще остался канал параллельно что-то другое делать.

А вот зачем другие идиоты изо всех сил пытаются следовать - это действительно вызывает небольшое недоумение. Небольшое, потому что на то и идиоты. Несть числа им.

Ответить | Правка | Наверх | Cообщить модератору

18. "Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости"  +/
Сообщение от timur.davletshin (ok), 17-Мрт-22, 11:38 
А нетфликсы всякие не считаются? Про гугл я не понял, т.к. проблема там не в буферизации, это вообще отдельная история. Я про то, что пользовательские реализации создают бОльшую нагрузку на систему, чем ядерные. Именно за это OpenVPN и критикуют. Но в главном сетевом протоколе HTTPS тренд совершенно обратный.
Ответить | Правка | Наверх | Cообщить модератору

28. "Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости"  +/
Сообщение от Аноним (28), 17-Мрт-22, 14:25 
Земляне из всех сил пытаются себя уговорить, что весь этот так называемый рост и есть прогресс и развитие, типа "Не стой, замёрзнешь". Наверное. Их же никто не похвалил за этот путь. Но и не поругал. Вселенной сходить по-большому и жидкому на потерянную Землю. 😁

PS "Жопа есть, а слова такого нет" )

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

8. "Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости"  +/
Сообщение от Аноним (8), 17-Мрт-22, 10:19 
>BBR runs purely on the sender and does not require changes to the protocol, receiver, or network,
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

9. "Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости"  +/
Сообщение от timur.davletshin (ok), 17-Мрт-22, 10:41 
> BBR runs purely on the sender and does not require changes to the protocol, receiver, or network

Перечитай мой пост ещё раз. Я об это прямо написал. Я так же написал, что реальные пользовательские реализации отказались от него в пользу уже классических Reno/CUBIC (RFC тоже). У оригинального BBR есть проблемы к "честностью" и неадекватная работа с ECN. Кроме того, BBR есть и в ядерной реализации для TCP. Его зачем-то многие стали использовать (стадный инстинкт айтишников?) после пары статей во всяких Medium с заголовками типа "Как ускорить TCP на 100%". Описанные проблемы есть у обеих реализаций. Кроме того, у CUBIC уже достаточно давно появился включенный по умолчанию режим гибридного старта, что де-факто сделало его гибридным алгоритмом, а не packet-loss-based.

P.S. Гибридные протоколы хороши, но на "длинных трубах", в локальных запросах они позорно сливают в дефолтном своём состоянии. BBR на локальном Wi-Fi сольёт CUBIC'у на 30-50%. Есть, например, CDG (две реализации, родная из FreeBSD и значительно расширенная тем же hybrid start реализация из Linux), который примерно на такой же процент сливает на локальном уровне, но его можно настроить, доведя уровень агрессивности до сопоставимого уровня. С BBR это не представляется возможным.

Вообще, все эти игрища протоколами плохи, т.к. они полируются годами и внедряться должны повсеместно. Иначе это чревато проблемами с "честностью", когда одни соединения будут глушиться из-за конкуренции с более агрессивными протоколами.

Ответить | Правка | Наверх | Cообщить модератору

29. "Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости"  –1 +/
Сообщение от Фняк (?), 17-Мрт-22, 14:48 
«Логичность» подразумевает наличие какого-то гранд-плана, какой-то общей идеи, которой решение или соответствует или нет. В жизни этого нет. Есть множество акторов, которое занимаются тем что им в данный момент важнее/интересно
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

38. "Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости"  +/
Сообщение от timur.davletshin (ok), 18-Мрт-22, 08:56 
Логичность подразумевает единый алгоритм принятия решений в схожих ситуациях. За "гранд-планами" в другое место.
Ответить | Правка | Наверх | Cообщить модератору

49. "Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости"  +1 +/
Сообщение от Аноним (49), 19-Мрт-22, 09:50 
Не, ну надо же о каких-то успехах манажорам докладывать.
Как говорил наш Ильич в небезывестном анедоте- "имитировать движение!".
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

1. "Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости"  –1 +/
Сообщение от Аноним (1), 17-Мрт-22, 08:57 
Чем оно лучше wireguard?
Ответить | Правка | Наверх | Cообщить модератору

2. "Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости"  +4 +/
Сообщение от Жироватт (ok), 17-Мрт-22, 09:00 
Чем грузины. Проще в развертывании, более зрелая технология сама по себе, есть поддержка даже на утюгах. В отличие от хипстерского вайргарда.
Ответить | Правка | Наверх | Cообщить модератору

3. "Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости"  +8 +/
Сообщение от Аноним (3), 17-Мрт-22, 09:03 
про проще я б поспорил :-)
Ответить | Правка | Наверх | Cообщить модератору

14. "Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости"  +/
Сообщение от Аноним (14), 17-Мрт-22, 11:01 
Специально для вас:
https://github.com/Nyr/openvpn-install и https://github.com/Nyr/wireguard-install
Полтора действия для ленивых.
Ответить | Правка | Наверх | Cообщить модератору

50. "Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости"  +/
Сообщение от Аноним (49), 19-Мрт-22, 09:51 
специально для Вас- я администрирую openvpn сервер около 18 лет.
Ответить | Правка | Наверх | Cообщить модератору

52. "Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости"  +/
Сообщение от Аноним (14), 20-Мрт-22, 10:31 
И к чему этот "невероятный" срок? Он должен сказать о каком-то профиссионализме или показать статусность?
Ответить | Правка | Наверх | Cообщить модератору

20. "Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости"  +/
Сообщение от Аноним (20), 17-Мрт-22, 12:32 
>Проще в развертывании

Чего? Особенно, замороченность на X509 "проще".

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

43. "Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости"  +/
Сообщение от Аноним (43), 18-Мрт-22, 15:15 
Упоролся или ты живешь в альтернативной реальности? Где это есть OpenVPN где нет Wireguard?
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

51. "Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости"  +/
Сообщение от Аноним (49), 19-Мрт-22, 09:59 
EdgeOS, например
Ответить | Правка | Наверх | Cообщить модератору

6. "Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости"  +/
Сообщение от Abyss777email (?), 17-Мрт-22, 09:58 
Они разные, для разных целей.

Когда нужно тоннели точка-точка создавать на разном оборудовании wireguard больше подойдет ИМХО.

OpenVPN больше подходит для подключения многих клиентов к одному серверу. Сертификат сервера залил и всё. Клиенты сами там в CA себе получают и подключаются... Ну или Логины/пароли в radius или ldap ходить проверять.

А с wireguard надо со всех еще открытый ключ собрать, в конфиг прописать, конфиг перечитать...

wireguard стоит с ipsec сравнивать, вот тут точно он проще чем ipsec


А, ну и OpenVPN умеет пушить маршруты

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

22. "Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости"  +2 +/
Сообщение от Жироватт (ok), 17-Мрт-22, 12:51 
С точки зрения сетевого архитектора - безусловно. Разные задачи требуют разных решений, сравнивать их можно так же, как мультиварку и хлебопечку.
С точки зрения админа - да, но не совсем. Разный геморрой в настройке и поддержании сетей. Разные возможности по развёртыванию на клиентском оборудовании, в т.ч. и старом маршрутизирующем, которое оптимизировано для себя может ходить по овпн, но не в курсе про вайргард. Разные сценарии, но задача одна - сделать туннель из пункта А в пункт Б.
С точки зрения просто админа локалхоста с опеннета - уже нет, они одинаковые. Они создают туннель до некоторого уже готового сервера и вся разница сводится к чисто внешним признакам черного ящика: что быстрее и что проще настраивается.
Ответить | Правка | Наверх | Cообщить модератору

11. "Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости"  +/
Сообщение от keydon (ok), 17-Мрт-22, 10:46 
работает за натом без stun/turn серверов
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

21. "Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости"  +/
Сообщение от Аноним (20), 17-Мрт-22, 12:36 
Когда клиент за NATом только.
Ответить | Правка | Наверх | Cообщить модератору

23. "Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости"  +/
Сообщение от Аноним (23), 17-Мрт-22, 13:00 
А зачем сервер прятать за NAT?
Уверен что через port-forwarding openvpn заведется, хотя я не проверял... (Не представляю зачем это может понадобится)
Ответить | Правка | Наверх | Cообщить модератору

24. "Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости"  +2 +/
Сообщение от Аноним (24), 17-Мрт-22, 13:13 
Если домашнюю машинку хочется сделать видимой извне - не получится, все провайдеры сейчас держат юзером за натом. Если, конечно, не покупать белый ип.
Ответить | Правка | Наверх | Cообщить модератору

27. "Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости"  +/
Сообщение от Сталин Жив (?), 17-Мрт-22, 14:18 
Далеко не все. В моем городе из более двух десятков провайдеров только 1 держит клиентов за нат. Хотя нат для простого обывателя скорее плюс – меньше головной боли с безопасностью.
Ответить | Правка | Наверх | Cообщить модератору

32. "Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости"  –1 +/
Сообщение от Sadok (ok), 17-Мрт-22, 19:27 
Открываем учебник для первого класса "Сеть для самых маленьких" и вдумчиво читаем главу "Почему NAT не файрвол"
Ответить | Правка | Наверх | Cообщить модератору

31. "Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости"  +/
Сообщение от Аноним (8), 17-Мрт-22, 19:21 
В моей деревне до сих пор бесплатно айпишники выдают. И, судя по заявлениям прова, выдавать будут ещё не одно десятилетие. Так что насчёт всех ты перегнул.
Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

34. "Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости"  +/
Сообщение от keydon (ok), 17-Мрт-22, 21:44 
Что же это за провайдер? У всех российских проблемы с айпишниками в принципе. А корпы готовы платить за них солидную денежку.
Ответить | Правка | Наверх | Cообщить модератору

39. "Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости"  +/
Сообщение от Судья из Калифорнии с опытом программирования (?), 18-Мрт-22, 09:41 
gtk.su,например
Ответить | Правка | Наверх | Cообщить модератору

25. "Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости"  +/
Сообщение от keydon (ok), 17-Мрт-22, 14:02 
> Когда клиент за NATом только.

А других вариантов и нет. Централизованные приложухи без белого (или серого в некоторых вариантах ната с ручным пробивом) ip сервера не работают в принципе.

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

48. "Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости"  +1 +/
Сообщение от Аноним (48), 19-Мрт-22, 00:24 
Можно отключить шифрование
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

26. "Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости"  +/
Сообщение от Сталин Жив (?), 17-Мрт-22, 14:15 
Тормозная хрень! Сжирает 50% скорости.
Ответить | Правка | Наверх | Cообщить модератору

37. "Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости"  +/
Сообщение от Abyss777email (?), 18-Мрт-22, 07:12 
https://www.opennet.ru/opennews/art.shtml?num=55843
Ответить | Правка | Наверх | Cообщить модератору

45. "Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости"  +/
Сообщение от Аноним (45), 18-Мрт-22, 16:18 
Для тебя специально придумали ваергард.
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

30. "Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости"  –1 +/
Сообщение от Аноним (30), 17-Мрт-22, 18:15 
> отовые бинарные пакеты формируются для Debian, Ubuntu, CentOS, RHEL и Windows

Последние 3 лишние

Ответить | Правка | Наверх | Cообщить модератору

33. "Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости"  –2 +/
Сообщение от dullish (ok), 17-Мрт-22, 21:06 
А первые 2 - ненужные.
Ответить | Правка | Наверх | Cообщить модератору

35. "Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости"  +/
Сообщение от Аноним (35), 18-Мрт-22, 00:12 
> готовые бинарные пакеты формируются

Где формируются? Чет там не видно или это про apt ?

Ответить | Правка | Наверх | Cообщить модератору

36. Скрыто модератором  +/
Сообщение от Аноним (36), 18-Мрт-22, 06:47 
Ответить | Правка | Наверх | Cообщить модератору

40. Скрыто модератором  +/
Сообщение от Судья из Калифорнии с опытом программирования (?), 18-Мрт-22, 09:42 
Ответить | Правка | Наверх | Cообщить модератору

41. Скрыто модератором  +1 +/
Сообщение от Аноним (41), 18-Мрт-22, 11:29 
Ответить | Правка | Наверх | Cообщить модератору

42. Скрыто модератором  +1 +/
Сообщение от Аноним (42), 18-Мрт-22, 13:18 
Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

46. Скрыто модератором  +/
Сообщение от Аноним (8), 18-Мрт-22, 17:20 
Ответить | Правка | Наверх | Cообщить модератору

44. Скрыто модератором  +1 +/
Сообщение от Аноним (45), 18-Мрт-22, 16:17 
Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

47. Скрыто модератором  +/
Сообщение от Аноним (8), 18-Мрт-22, 17:27 
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру