После двух с половиной лет с момента публикации ветки 2.5 подготовлен релиз OpenVPN 2.6.0, пакета для создания виртуальных частных сетей, позволяющего организовать шифрованное соединение между двумя клиентскими машинами или обеспечить работу централизованного VPN-сервера для одновременной работы нескольких клиентов. Код OpenVPN распространяется под лицензией GPLv2, готовые бинарные пакеты формируются для Debian, Ubuntu, CentOS, RHEL и Windows...Подробнее: https://www.opennet.me/opennews/art.shtml?num=58549
VPN здорового человека
Только скорость была так себе. Рад, что это исправили
Подтверждаю, неск лет назад в сети 500 машин и 1 сервером лагало, что пришлось заменить.
...это wireguard
Нет, это VPN курильщика. Обфускация не нужна, выбор шифрования не нужен, товарищ майор одобряет.
> Обфускация не нужнаПросто это VPN для нормальных стран, а не концлагерей. Для них есть всякие хитрожопые ShadowSocks/V2Ray/чотамещё. А Wireguard это про простоту и скорость.
объеденить две одинаковые подсети - будешь трахаться с префиксом
а это ваще проблема сабжа ?
в OpenVPN это из каропки
А когда в OpenVPN успела появиться обфускация?
Выбор шифрования: откат на устаревшие алгоритмы - т. майор одобряет.
Всё равно тут открыл настройку тарифа Yota, и увидел отдельную опцию безлимита для всех известных видов протоколов. И как они интересно определяют?
DPI.
это слишком дорого и тормознуто
С Новым Годом. Глянь в календарь что-ли )
IKEv2 - VPN здорового человека. А OpenVPN тормозной. И Wireguard не катит, в нём нет согласования шифров.
у всех разная область применения
IKEv2 через прокси не ходит, что обычно в отелях, у клиентов и, порой, на транспорте. Так что, кесарю - кесарево.
Аноним, ты написал такую вопиющую чушь, что трудно даже удержаться от комментирования. (Позор мне.)Во-первых, IKE -- это только механизм обмена ключами. Ключами этими потом нужно что-то зашифровать или подписать. Обычно шифруют ipsec/esp.
Так вот, на большой части роутеров, любые протоколы, кроме TCP, UDP, ICMP (то есть, IP protocol number 6, 17, 1 в Next Header), и их ipv6 аналогов, заблокированы нафиг "от злобных хакеров".
> Предоставлена возможность использования режима TLS с самоподписанными сертификатами (при применении опции "--peer-fingerprint" можно не указывать параметры "--ca" и "--capath" и обойтись без запуска PKI-сервера на базе Easy-RSA или похожего ПО).Да ну нафиг, до них дошло наконец. Что дальше, авторизация по логину-паролю в базовой поставке (а не самому проводить авторизациию через --auth-user-pass-verify)?
Огонь, короче. Но я уже ушёл на Wireguard)
wireguard ни разу не замена
В тройке реализуют-то наконец СКОРОСТЬ не только для линуха, но и для прошивки-для-игор?
Хотя бы если не до проводного стража, то хотя бы сравнимо.
Нет, потому что проводной страж использует криптографию в ядре, а опёнок в юзерспейсе.
Ну т.к. с кадым днём всё больше уничижаются основы нормального развития интернета (см. манифест Mozilla) и в следствии «Человеческого капитала», такие инструменты всё более актуальны.
>В состав включён модуль ядра ovpn-dco, позволяющий существенно ускорить производительность VPN. Ускорение достигается за счёт выноса всех операций шифрования, обработки пакетов и управления каналом связи на сторону ядра Linux, что позволяет избавиться от накладных расходов, связанных с переключением контекстаВот что WireGuard животворящий сделал.
не вижу связи
Показал путь переместить в ядро шифрование трафика.
Думаешь раньше небыло модулей ядра?
Я им пользовался до 2016, не было.
ipsec в ядро завезли гораздо раньше
И что? Но почему-то раньше это на разрабов OpenVPN впечатления не производило. А после появления в ядре WireGuard зашевелились.
никакой связи, dco как идея существовал гораздо раньше.
Да это ерунда полная, честно говоря. Причина медленности OpenVPN в том, что в TUN/TAP нет интерфейса считывания и передачи сразу нескольких пакетов, можно только по одному, из-за чего огромные накладные расходы на переключения контекста. Добавлением нового интерфейса работы с пакетами в TUN/TAP решило бы проблему для любого ПО, использующего этот модуль, без каких-либо новых модулей ядра.
>в TUN/TAP нет интерфейса считывания и передачи сразу нескольких пакетов
>Добавлением нового интерфейса работы с пакетами в TUN/TAP решило бы проблему для любого ПОА игроманы не будут ныть из-за большой латентности тогда?
Если правильно запрограммировать, ощутимых задержек не добавится. Очередь же не должна быть огромной, 10-16 пакетов за раз вполне можно обрабатывать за один вызов.
Где-то я это слышал... Только там вроде было про ОЗУ, 640 килобайт и их тоже должно было хватать для всего...
и работало на 640 успешно же :-)
ovpn-dco нет в основной ветке ядра
сконпелируй
Так ещё пройдёт много времени, прежде, чем примут его в ванильное ядро.
Зачем его вообще в ядро? Модуль идет с openvpn, его можно загрузить когда надо.
" Добавлен режим совместимости (--compat-mode), позволяющий подключаться к старым серверам"а если наоборот- надо подключаться старому клиенту?
отвечаю сам себе, прочитав манул, там написано что именно заменяется этой самой компат,
так что 2.3 должны работать.
> прочитав манул, там написано«Подъезжая к сией станцыи и глядя на природу в окно, у меня слетела шляпа» ©
wiki Анаколуф
"отвечаю сам себе, прочитав"что не так? русский не родной? :-)
Почему поддержку PF прекратили?
А в чем она заключалась? Не нашел в доках.
Это был почти недокументированный L2 firewall.
эт на BSD чтоль?
Ээто просто Packet Filtering. Свой, внутри.
о как, не знал даже, хотя использую openvpn уже лет 20.
спасибо.
Т.е. плагин minimal_pf работать не будет?
> позволило добиться прироста пропускной способности в 8 раз (с 370 Mbit/s до 2950 Mbit/s)а толку, если магистральные и местные провайдеры режут трафик из-за пропускной способности, и хорошо, если ты получаешь 50-100 MBit/s в лучшем случае на одном соединении, а OpenVPN не умеет шарить виртуальное соединение на десяток физических сокетов
а из софта например по ssh это умеет только aria2, и еще один кривоватый виндовый клиент
как бы фича интересная, фича перспективная, но пока особо бесполезная если у тебя не выделенный канал (арендованный или свой собственный)
Толк большой. Вы пробовали Openvpn на микротиках? Или на Openwrt на каком-нибудь SOHO роутере? Там печальные скорости. Хорошо если 30мбит. Дальше упирается в CPU. Теперь же появилась надежда, что можно будет получить 80-90мбит и использовать Openvpn для всего трафика, не переживая за пропускную способность. Плюс потенциально это уменьшение энергопотребления на мобильных устройствах. Сейчас Openvpn на android потребляет сильно заряд
Ну тут ещё надежда, что производители SOHO-роутеров перестанут жмотиться на использовании SoC для них с одним процессорным ядром.
На это надежды мало. Кому нужен многоядерный, то купит более дорогой. А производители пытаются любым способом экономить чтоб снизить конечную цену
Установите MTU интерфейса в 32000, скорость будет отличная.
Большие MTU помогали но не сильно. Кардинально скорость не поднималась. Переключения между контекстами никуда не исчезает
Аппаратно микроты заточены под IPSec, да и вообще глупо рассчитывать на универсальный комбайн за 50 баксов, найди хотя бы 200-300 на микрот классом выше и будет тебе счастье.Или ставишь простейшую коробку размером 10 на 10, с полноценной линухой и нормальным CPU и делаешь там что хочешь.
А домашний микрот за 50 баксов работает как задумывалось. А за сотку можно купить уже с 4-мя ядрами.
Да и 90 мбит это шлак, когда у тебя гигабитный аплинк.
"ставишь простейшую коробку размером 10 на 10, с полноценной линухой и нормальным CPU "а вот, кстати, что посоветуете?
"Openvpn на микротиках"
в микротиках его нет!
Точно?
https://help.mikrotik.com/docs/display/ROS/OpenVPN
Точно. Это не openvpn, это написанная микротиками своя реализация протокола openvpn с жутким числом ограничений и недоделок.
>При доступности менее 100 МБ ОЗУЗачем им 100МБ? Не слишком ли много для такой простой ерунды как vpn?
Уже месяц как опенвпн не коннектится к серверам с vpngate. Скорее всего режут протокол. Надо учиться wireguard. Есть там где бесплатные сервера?
УМВР
> Добавлен режим совместимости (--compat-mode), позволяющий подключаться к старым серверам, на которых используется OpenVPN 2.3.x или более старые версии.Куда именно он добавлен? Проверил в Linux и Windows, нет такой опции. Для подключения к старому серверу (с BF-CBC) пришлось прописать в конфиг:
providers legacy default
tls-cert-profile insecure
tls-version-min 1.0
https://openvpn.net/community-resources/reference-manual-for.../--compat-mode version
This option provides a way to alter the default of OpenVPN to be more compatible with the version version specified. All of the changes this option does can also be achieved using individual configuration options.
Note: Using this option reverts defaults to no longer recommended values and should be avoided if possible.
The following table details what defaults are changed depending on the version specified.
2.5.x or lower: --allow-compression asym is automatically added to the configuration if no other compression options are present.
2.4.x or lower: The cipher in --cipher is appended to --data-ciphers
2.3.x or lower: --data-cipher-fallback is automatically added with the same cipher as --cipher
2.3.6 or lower: --tls-version-min 1.0 is added to the configuration when --tls-version-min is not explicitly set.
Действительно есть и работает как описано. А по --help не показывает, почему-то.
Но без «providers legacy default» всё равно ничего не работает, так что толку не слишком много.
--compat-mode version
This option provides a way to alter the default of OpenVPN to be more
compatible with the version ``version`` specified. All of the changes
this option does can also be achieved using individual configuration
options.
А использовать больше одного ядра процессора оно научилось или все еще нет?
OMFD... срочно ждём в OpenWRT! Там CPU на вес платины.
Говно. Не работает с микротиками на прошивке 6.49.7. Бесконечное подключение, а на микроте ошибки дропа с IP подключения. В OpenVPN в версии 2.5.2 все работает как часы.