Подготовлен выпуск OpenVPN 2.5.7, пакета для создания виртуальных частных сетей, позволяющего организовать шифрованное соединение между двумя клиентскими машинами или обеспечить работу централизованного VPN-сервера для одновременной работы нескольких клиентов. В новой версии устранены две уязвимости:...Подробнее: https://www.opennet.me/opennews/art.shtml?num=60103
Интересно, что в репах лежат версии даже 2.5.1+
Никто особо то и не собирается обновлять
>Никто особо то и не собирается обновлятьникто, в том числе и ты
Летишь?
Юзеры не обновляют пакеты в репах
Учи матчасть
Юзеры не обновляют пакеты не в своих репах, только лишь в своих
Учи матчасть 2
Демагог!
Учи матчасть 3
https://repology.org/project/openvpn/versions
> Интересно, что в репах лежат версии даже 2.5.1+Так они и не подвержены. В описании обеих уязвимостей
> OpenVPN 2.6 from v2.6.0 up to and including v.2.6.6
Отоночо!
Ясно-понятно
Исправьте: для SoftEther VPN выпущен релиз в ноябре с исправлениями
> Исправьте: для SoftEther VPN выпущен релиз в ноябре с исправлениямиГде? В репозитории только релиз двухлетней давности и августовская бета.
https://github.com/SoftEtherVPN/SoftEtherVPN/tags
https://github.com/SoftEtherVPN/SoftEtherVPN_Stable/tagsНа сайте https://www.softether.org/ тоже только августовская бета.
> Где?здесь: SoftEther VPN 4.42 Build 9798 RTM (June 30, 2023)
cve-2023-27395 в ней УЖЕ исправлен. С разморозочкой авторов новости.августовская бета - это вот про ту, последнюю малореализуемую псевдоуязвимость, там изменен сам протокол поэтому пока я бы не советовал ее использовать.
Но коммит они добавили только 28 сентября https://github.com/SoftEtherVPN/SoftEtherVPN/commit/b8e54210...В диффе от SoftEther VPN 4.42 Build 9798 RTM https://github.com/SoftEtherVPN/SoftEtherVPN_Stable/commit/8... то исправление действительно есть, но никак не помечено.
И, кстати, в бете не исправлены эти 7 уязвимостей https://github.com/SoftEtherVPN/SoftEtherVPN/commit/6a170ac6...
Путаете со Stable версией
https://github.com/SoftEtherVPN/SoftEtherVPN_Stable
Я на wireguard, у меня таких проблем нет. В целом wireguard гораздо удобнее, начнем с того, что вместо сотен опций конфигурации там всего штук пять-десять. Не требует системдоса, так как крутится в ядре. Удобный cli. Правда запускать надо поверх shadowsocks, так как провайдеры все-таки научились в DPI (это проблема относится и к OpenVPN).
"Правда запускать надо поверх shadowsocks"...
"так как провайдеры все-таки научились в DPI"
свобода, демократия
забыл подытожить, получается что Wireguard такое же говно как и OpenVPN, но только другого сорта, что тот, что этот, без shadowsocks ничего не могут.
Потому что каждый должен заниматься своим делом. OVPN и WG предназначены для создания туннелей, а не для маскировки своего трафика под белый шум.
Это инструменты для прокидывания VPN сетей, а не для сокрытия траффика. Я бы на месте создателей VPN-ок вообще переложил это занятие на туннели специализированных инструментов, того же shadowsocks, вместо того чтобы изобретать свой велосипед, а в итоге получалось бы OpenVPN, где шифрование статическим ключём у них похоже через ECB сделано.
так обфускаторов хватает
и провайдеры впн их используют
A Softether тоже не пробивается через DPI?
блокируется так же
хоть и есть маскировка под хттпс
софтезер может по 53 порту ломится дажекурите мануал, может что-то и пробъет
ну-ну
так это касается любого протокола
если сам настраиваешь сервер. причем здесь анализ трафика?
obfs4 научились разспознавать и это можно проанализировать
на наличие неспецифичых заголовков
Даже коммерческий windscribe
умеет udp:53
> Я на wireguard, у меня таких проблем нет.держи нас в курсе, нам очень интересно (нет)
> В целом wireguard гораздо удобнее
для васяна пытающегося нае...ть товарищмайора - удобнее.
А как понадобится тебе настроить сотенку подключений для сотрудничков посрывавших в Тбилиси и Ереван - так сразу узнаешь почему он абсолютно бесполезная х-ня.
Подключил значительно больше суммарной тысячи сотрудников по всему миру и внутренних ресурсов. Расскажи, что у тебя не получается, может помогу.
Насколько мне известно, WG довольно просто заблочить. А учитывая начатую борьбу совка против VPN, это может стать проблемой.
эта проблема - исключительно проблема жителей одного скрепостана, решать ее за вас никто не планирует вообще, и автор wg в частности.
Ему была нужна поделка для ниасиляторов ipsec для соединить побыстрому пару локалхостов, он ее сделал, работает, ачивка получена, досвидос.Прятать тебя от товарищмайора он не собирался вот вообще.
Но гораздо важнее то что он - сам ничего кроме локалхостов не использует, и что для работы, а не для васян-поделок нужно кое-что еще - даже и не догадывается. (и это к счастью, потому что когда люди начинают "догадываться" но сами этим не пользуются - догадки получаются кривые и нерабочие)
Ну, почему же одного? Таких скрепостанов много и будет ещё больше. В том же Германистане пользоваться интернетом без VPN становится крайне затруднительно.
Автору пофиг - он на мэйлру и вконтаткик ходить этим способом вообще не планировал. Повторяю - это инструмент побыстрому связать два локалхоста.А ты от товарищмайора - допереключаешься!
И wg в Германостане прекрасно работает и решает проблему. Об чём тебе и пытаются сказать.
Так в германии пока усе вполне демократишно)
ну да.. когда все меняют реальность на 360 градусов.
демократия в так случае - НЕПОБЕДИМА!
А что с wg не так по сравнению с openvpn/ipsec применительно к ситуации с "дофига пользователей"?
Ээээ... а вы одно и другое вообще когда-нибудь кроме как на opennet'е видели?
Условно - что openvpn, что (реализации) ipsec - законченные решения, а WG - это даже не "движок от машины", а кусок движка. Ну, вроде как даже и неплохой - но чтоб на этом куда-нибудь кроме как между своими локалхостами доехать - надо СТОЛЬКО всего накрутить, что нуигонафик.
А что вдруг случилось с юникс-веем и с «одна программа делает одну вещь»? Или это другое, надо понимать?
Эмммм... да ничего вроде? Как пилили троллейбусы-из-буханки по заветам пророка Лебеды - так и пилят. Одно время правда казалось, что вымрут шо те динозавры - но тут на 1\6 части суши ПОПЁРЛО и можно продолжать пилить аналоговнеты-из-палка-и-веревка
А Tailscale — это тоже палка и верёвка с ⅙ части или это троллейбус? Я в ваших покемонах в силу лет не разбираюсь.
> А Tailscale — это тоже палка и верёвка с ⅙ части или
> это троллейбус? Я в ваших покемонах в силу лет не разбираюсь.Это крупная корпа, которая способна из этого куска движка сделать готовое решение... но вам от этого ни жарко, ни холодно, т.к. она им с вами не поделится, а все, что вы сделаете "по мотивам" сами - как раз таки "троллейбус из буханки" и будет.
> А что с wg не так по сравнению с openvpn/ipsec применительно к ситуации с "дофига пользователей"?Да ничего особенного, просто есть секта свидетелей "старых проверенных технологий" которые почему-то не могут признать что туннели не требующие софта на миллионы строк это хорошо.
угу, вообще никаких проблем. кроме того, что сервер даже не может сам распределять IP адреса клиентов - они сами себе их выбирают. И каждому клиенту нужно давать отдельную конфигурацию, а также самому следить, чтобы ip адреса не пересекались. Очень удобно, да.
> они сами себе их выбираютКто-то не осилил ман... AllowedIPs.
При чем здесь AllowedIPs ? Это параметр указывает, на какие IP адреса вы будете ходить через туннель. А вот параметр Address в секции [Interface] - вот там да, жестко забитый адрес клиента.
Начнем с того, что в ВГ нет ни клиентов, ни серверов. Он как бэ пир ту пир.
Ну, ок. Будем рассматривать клиент-серверную модель, если тебе так привычнее.
Если у "клиента" в секции Interface прописан адрес отличный от того, что прописано на "сервере" в AllowedIPs в секции Peer, относящейся к данному "клиенту", то он будет сосать шишку. Отсюда следует, что "клиент" не может сам себе назначить адрес в сети. Вот при этом тут AllowedIPs...
> Не требует системдосаOpenVPN действительно не требует Системды. Ты уж разберись получше. А то окажется, что не заметил проблем с Варей.
Формально да, а на практике требуется кто-то, кто менеджерит его процесс. Это либо системдос (классика жанра, рекомендуется аффтарами опенвпн), либо нетворкменеджер. А вот wireguard работает вообще без PID. Без менеджера твоя судьба-судьбинушка -- запускать в баше с амперсендом в конце, лол.
На генте нормально работает годами, ни кто его не "менеджерит", бо нет на этих машинах и системд, ни нетворкменеджера. Процесс будет запущен, это конечно, и пид он займёт, но в чем здесь беда? Во прям сейчас посмотрел на конкретной машине -- 210 ядерных процессов. Ну будет еще один в юзерспейс и чо? :)
Господи что ты несешь? Какой системд, какой нетворкменеджер? У меня ovpn в NetBSD прекрасно работает, где ничего этого нет. И да, wg здесь тоже есть.
> Господи что ты несешь? Какой системд, какой нетворкменеджер? У меня ovpn в NetBSD прекрасно работает, где ничего этого нет. И да, wg здесь тоже есть.два чая этому Господину.. в OpenBSD также.. и пакеты/порты оперативно обновили новыми версиями (2.6.7)..
> Формально да, а на практике требуется кто-то, кто менеджерит его процесс. Это либо системдос (классика жанра, рекомендуется аффтарами опенвпн), либо нетворкменеджер. А вот wireguard работает вообще без PID. Без менеджера твоя судьба-судьбинушка -- запускать в баше с амперсендом в конце, лол.Ну то есть: всё правда - системда не обязательна сервису.
Но: просто это другое.Ясно. Понятно.
P.S.
> Без менеджера твоя судьба-судьбинушка -- запускать в баше с амперсендом в конце, лол.
Это ж достоинство.
Хочешь - система инициализации менеджит сервис.
Хочешь - демон NM.
Хочешь - nohup, амперсанд сделал.
Хочешь - в настройках дописал.Прекрасная ж реализация.
>Я на wireguard, у меня таких проблем нет. В целом wireguard гораздо удобнеея на openvpn и у меня тоже нет, читай условия эксплуатации. нет неудобнее.
нет, системд не нужен. когда там wg через http-прокси научится работать?
если честно, т о и опенвпн
не совсем просто пашет
а тем более через локалхост
>(это проблема относится и к OpenVPN).со статичными прешаред ключами тоже?
Как в ваергарде установить срок действия ключа? Или ты будешь руками блочить ключи сотен сотрудников, которым нужен временный доступ?
В обществе должно сформироваться мнение о недопустимости написания программ на не безопасных языках вроде си. Сколько можно терпеть уязвимости? Вы не видите что-ли, что сишные программы совершенно разных авторов просто разваливаются от одних и тех же проблем? Это говорит, что дело не в квалификации людей, а дело в самой сишке, в её отвратительной концепции.
Ну так че там? Ты уже переписал на нужном языке openvpn без потери функционала? Нет? Странно.
Без потери дыряшечного функционала для тов. майора?
ну так такое переписывание того не стоит)
так пишут только юноши, которые не кодили ничего корпоративно
> так пишут только юноши, которые не кодили ничего корпоративноА как пишут корпоративные бракоделы можно наблюдать в новости (и в сотнях ей подобной).
да что ты, царь только знает как правильно
ФУНКЦИОНАЛ - математическое понятие, возникшее в вариационном исчислении для обозначения переменной величины, заданной на множестве функций, т. е. зависящей от выбора одной или нескольких функций. Напр., длина дуги кривой, соединяющей две фиксированные точки, будет функционалом, т. к. величина длины дуги зависит от выбора функции, график которой соединяет эти точки.
не умничай
читай про - омоним
запретить небезопасных анонимов, которые экологическую катастрофу планеты провоцируют своим отношением к природе "докупите 64ГБ ОЗУ, я на JS за три дня заработал"
Кстати, Шарп, как так у меня получилось, что когда я тыкал студию с шарпом на предмет работы с последовательным портом (это такие до сих пор в промышленности стандарт, но мамкины думают, что это от мышек с шариками осталось), у меня во время дебага BSOD вылетал, всего лишь на Hello world
"от мышек с шариками осталось" - от мышей-самцов, в смысле?
УМВР, даже с ардуинкой через ком-порт мигал светодиодом.
Может система плохо настроена? Или кривизна рук превысила даже низкую планку мелкософта
С руками у меня всё в порядке. Мигать светодиодом на ардуине из примера с MSDN - да. Передавать данные с STM32 на максимальной скорости асинхронно чтобы не вис гуй через Virtual Com Port - нет. На Qt сразу все получилось.
Другими словами, C# библиотека для работы с сериалом видимо плохая и очень тормознуто получается в плане временных ожиданий, если насыпать прям данные хотя бы 700КБ/с. Оно будто захлебывалось, и при нажатии на стоп отладки BSOD был. Шарписты прикручивают на винапи, я даже хотел либу на Qt заимпортить.
>у меня во время дебага BSOD вылетал, всего лишь на Hello worldэто значит, что тебе либо питон либо яваскрипт. ничего даже близко напоминающего компилируемый язык не трогай больше. тем более в промыщленных установках.
>я тыкал студию с шарпом
>во время дебага BSOD вылеталУ тебя виндопроблемы какие-то. Ни чем не могу помочь. У меня dotnet под линуксом. Разработка в VS Code. Винды даже в дуалбуте нет.
Я тоже тыкал компорт, только в лажарусе. И из всех реализаций компонентов и библиотек остановился на самой простой, потому что только она работала быстро, надежно и без потери данных. Так что это всё может быть.
> В обществе должно сформироваться мнение о недопустимости написания программ на не безопасных языках вроде си. Сколько можно терпеть уязвимости?Извини, но на этом сайте так говорить не принято. Сейчас тебе местные сишные лапшекодеры накидают минусов.
Очевидно, что если сейчас, в 2023 году, кто-то на полном серьезе употребляет слово "безопасность" в отношении сишного кода, то в вопросах безопасности он абсолютно некомпетентен. Возьми в пример хоть этот OpenVPN: на сайте слово secure встречается 11 раз, а на деле "ой, вылезли за буфер" и "ой, дважды очистили память". Стыд да и только.
Вылезание за границы буфера - это обязательное требование для языка, на котором работают с железом, DMA, пишут операционные системы, пишут firmware и тд. Если яп тебе такое не позволяет, то написать на нем можно только всякую чепуху для запуска в браузере.И какой, кстати, ты язык предлагаешь называть безопасным? Неужели раст? Ну дак раст в вопросе сборки бинарей полагается на llvm, написанный на дырявом C++. А там ведь что ни строка, то обязательно переполнение буфера. Так ведь можно и боров чекер сломать.
> Вылезание за границы буфера - это обязательное требование для языкаЯсно, понятно...
Ну, другого от сишечного эксперта я и не ожидал. Серьезно: я тут от местных экспертов и не такую дичь читал, так что меня не удивишь :)
> раст в вопросе сборки бинарей полагается на llvm, написанный на дырявом C++. А там ведь что ни строка, то обязательно переполнение буфера. Так ведь можно и боров чекер сломать.
Конечно, там же дырявый C++ код вставляется прямо в сгенерированные бинари!
> Конечно, там же дырявый C++ код вставляется прямо в сгенерированные бинари!То есть ты спокойно доверяешь компиляцию твоего безопасного кода на растёт с кучей закорючек и без единого unsafe какому-то дырявому компилятор у на С++? И нет, эксперт по расту, дырявый С++ не вставляет код прямо в сгенерированные бинари, он эти бинари генерирует. Ты если такой принципиальный в вопросах небезопасных яп, будь принципиальным до конца и откажись от llvm, gcc, и тд. Напиши свой кодогенератор на растёт, к-й сможет напрямую взять код на растёт и превратить его в бинарь, минуя промежуточные llvm-представление.
И, кстати, ассемблер тоже не безопасный. Не хочешь от него отказаться?
>А там ведь что ни строка, то обязательно переполнение буфера.ты со своими васянскими хелоуаордами не путай.
>Так ведь можно и боров чекер сломать.ты бы лучше за своими штанами следтл, уже дымят походу
> Это говорит, что дело не в квалификации людей, а дело в самой сишке, в её отвратительной концепции.Нет, если люди из десятилетия в десятилетие наступают на одни и те же грабли и не делают выводов - это очень много говорит не только об их квалификации, но и об умственных способностях в целом.
> В обществе должно сформироваться мнение о недопустимости написания программ на не безопасных языках вроде си. Сколько можно терпеть уязвимости? Вы не видите что-ли,
Да все всё видят и давно поняли. Только, видишь ли, такие люди - компетентные и высококвалифицированные специалисты - не станут лепить халтуру в опенсорсе на сишочке.
> use-after-free
> переполнением буфера и может привести к удалённому выполнению кодаКлассические дырящечные уязвимости в секурити проектах))
Зато на сайте OpenVPN слово sevurity упомянуто 11 раз. Понты дороже денег...
softether блокируется DPI в РФ?
у него помимо собственного протокола и настроек есть еще встроенные опенвпн и другие вещи, т.е. протоколов несколько выходит
исходите из того, что:
https блокируется в РФ только на определенные dst IP иноагентов.
чтоб заработаь стаус иноагента надо постараться.
все туннели наружу
блочаться без всякой иногентности
> все туннели наружу
> блочаться без всякой иногентности???
мне о таком не докладывали.
смыл в том, что https тоже своего рода туннель.
Таки и его начились анализировать.
недавние проблемы с obfs4 прямо намекают
в 2024 примут закон, в котором определят
в конечном счете какие протоколы/ресурсы
для РФ "опасны"
https://habr.com/ru/news/773348/
в дагестане не помогло
тспу-шмспу.. бабки растаскивают
по предлогом безопасности
Кроме XRay уже ничего не актуально.
ВПН не для обхода блокировок нужен. И Хрей не объединит два компа в сеть. И ВГ можно поверх Хрей пускать через dokodemo-door...
> ВПН не для обхода блокировок нужен.В 99% случаев только для этого. Обойти блокировку, скрыть айпишник от админа сайта и траффик от провайдера.
Это все равно, что сказать - DHT в 99% случаев нужен только для УГ Овального.
Не пори чушь.
>> ВПН не для обхода блокировок нужен.
> В 99% случаев только для этого. Обойти блокировку,ну да. ковровые блокировки тоже необходимо обходить.
> скрыть айпишник от админа сайта
ошибка. все эндпоинты под моим управлением.
> и траффик от провайдера.
ошибка. от ТСПУ или как эта DPI-дурмашина называется.
я конечно могу позвонить на 8-495-748-13-18 (даже факс туда могу,
рабочее оборудование есть) или заслать скан официального письма
To: supervising@noc.gov.ru
CC: vpn@digital.gov.ruне если у них о5 чего-то глюкнет или какие-нибудь учения, то я буду крайний.
> ошибка. все эндпоинты под моим управлением.Плевать. Что дальше?
Если известный провайдер впн ты знаешь куда пошел клиент.
А если нет. То что???
openvpn 2.6.7 валится, ждите фикса
Это: https://github.com/OpenVPN/openvpn/issues/449 ?
да
Закоммитили "фикс".
на днях будет 2.6.8
Релизнули.
Опять ошибки с памятью. Ох, сколько их ещё будет найдено 😁
> Проблема проявляется в конфигурациях, использующих TLS (запускаемых без параметра "--secret").# For extra security beyond that provided
# by SSL/TLS, create an "HMAC firewall"
# to help block DoS attacks and UDP port flooding.
#
# Generate with:
# openvpn --genkey --secret ta.key
#
# The server and each client must have
# a copy of this key.
# The second parameter should be '0'
# on the server and '1' on the clients.Это оно? Если да, то у меня включено, как и всех кто прочитал про extra security и port flooding.
мы не видим что у тебя включено!
выкладывай конфиг полностью
> Уязвимости в OpenVPN и SoftEther VPNДонфилд им так то приветы передавал :). Кто б сомневался что в этих монстрах багом навалом.
> Softether VPN - идеален.Тебе бы знаний побольше и все мучения закончились
OpenVPN - переусложненное гавно.
Реализация его отвратительна и везде по разному реализована.
Никогда его не использовал. Дебильные ключи и сертификаты, чтобы просто кинуть чертов туннель. Поэтому L2TP + ipsec лучшее решение сейчас.
Сколько не пытался работать с openvpn - всегда блевать хочется.Softether VPN - идеален.
активно используй PPTP
вообще нет проблем
минимум настроек
> вообще нет проблемпримерно до второго юзера в той же сети - нет проблем.
Ну, если конечно gre вообще не зафильтрован нафиг потому что опять кто-то забыл что есть еще какие-то протоколы кроме tcp и udp.А так - для массового сервиса, конечно, гораздо проще и эффективней чем псевдовайры.
микротик? :-)
Микрот - ванлав, да
Ну почему нельзя просто сделать нормальный VPN, в котором тупо будет логин и пароль и больше ничего для авторизации?
Один четкий стандарт и больше никаких дебильных фишек.
Жаль, что нет реализации VPN по SSH везде за стандарт - идеальная вещь была бы. Велосипеды строят.
давно уже придумано
см вики - pptp
Устаревший протокол. Не надежен. Тогда я просто лучше IP туннели заюзаю. Зачем мне лишний оверхед
> Ну почему нельзя просто сделать нормальный VPN, в котором тупо будет логин и парольпотому что если ты передашь эти логин с паролем плейнтекстом - к тебе могут заглянуть на огонек другие васяны.
А если ты начнешь пытаться играть в наколеночное шифрование - то васянов станет даже еще больше.
Поэтому либо psk (который не логин и не пароль - и НЕ передается вообще) и адский гемор потом разобраться кому какой принадлежит, как их вовремя экспайрить и управлять доступами, либо вообще сертификаты и все из этого вытекающее.
Внезапно, простых решений в безопасности - нет.
> Жаль, что нет реализации VPN по SSH везде за стандарт - идеальная вещь была бы. Велосипеды строят.
вот ты сейчас например предложил - велосипед. Причем - с квадратными колесами, потому что ssh - _remote_shell_ - и туннель он позволяет протому что юзер с шеллом _и_так_ может десятком разных способов создать себе туннельчиков, незачем уже от него пытаться защититься, все равно бестолку. Предполагается что этот юзер - доверенный и ему можно всё.
А вот наоборот - в нем в принципе не предусмотрено автором. Который еще в 90е говорил что так - by design, и если вы не доверяете этому пользователю шелл на ваш хост - поищите просто другое решение.
Все напиханные опенбсдшниками костыли и подпорки эту корневую проблему никак не решают (точнее - до первого несознательного элемента, решившего поковырять деревянную дверку пальчиком)
удивительным образом можно openvpn настроить без авторизации по ключам.
Использую SoftEther VPN (японцы знают толк в извращениях).
В целом доволен. Единственно не хватает gui морды для gnu/linux. Но движение в данном направлении идет.
Постойте ка... Но, ведь на ноль делить !нельзя!