Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Доступен OpenVPN 2.6.0"	+/–
Сообщение от opennews (ok), 25-Янв-23, 22:47
После двух с половиной лет с момента публикации ветки 2.5 подготовлен релиз OpenVPN 2.6.0, пакета для создания виртуальных частных сетей, позволяющего организовать шифрованное соединение между двумя клиентскими машинами или обеспечить работу централизованного VPN-сервера для одновременной работы нескольких клиентов. Код OpenVPN распространяется под лицензией GPLv2, готовые бинарные пакеты формируются для Debian, Ubuntu, CentOS, RHEL и Windows... Подробнее: https://www.opennet.me/opennews/art.shtml?num=58549
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Анонимно (ok), 25-Янв-23, 22:47	+13 +/–
VPN здорового человека
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #8, #13, #25

2. Сообщение от topin89 (ok), 25-Янв-23, 22:52	+5 +/–
Только скорость была так себе. Рад, что это исправили
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #12

5. Сообщение от nebularia (ok), 25-Янв-23, 23:06	–1 +/–
> Предоставлена возможность использования режима TLS с самоподписанными сертификатами (при применении опции "--peer-fingerprint" можно не указывать параметры "--ca" и "--capath" и обойтись без запуска PKI-сервера на базе Easy-RSA или похожего ПО). Да ну нафиг, до них дошло наконец. Что дальше, авторизация по логину-паролю в базовой поставке (а не самому проводить авторизациию через --auth-user-pass-verify)? Огонь, короче. Но я уже ушёл на Wireguard)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #19

6. Сообщение от Dzen Python (ok), 25-Янв-23, 23:12	–4 +/–
В тройке реализуют-то наконец СКОРОСТЬ не только для линуха, но и для прошивки-для-игор? Хотя бы если не до проводного стража, то хотя бы сравнимо.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #24

7. Сообщение от Аноним (7), 25-Янв-23, 23:16	+8 +/–
Ну т.к. с кадым днём всё больше уничижаются основы нормального развития интернета (см. манифест Mozilla) и в следствии «Человеческого капитала», такие инструменты всё более актуальны.
Ответить | Правка | Наверх | Cообщить модератору

8. Сообщение от Аноним (8), 25-Янв-23, 23:36	+4 +/–
...это wireguard
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #15

11. Сообщение от Аноним (11), 26-Янв-23, 00:00	+3 +/–
>В состав включён модуль ядра ovpn-dco, позволяющий существенно ускорить производительность VPN. Ускорение достигается за счёт выноса всех операций шифрования, обработки пакетов и управления каналом связи на сторону ядра Linux, что позволяет избавиться от накладных расходов, связанных с переключением контекста Вот что WireGuard животворящий сделал.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18, #35

12. Сообщение от Деанон (?), 26-Янв-23, 00:23	+1 +/–
Подтверждаю, неск лет назад в сети 500 машин и 1 сервером лагало, что пришлось заменить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

13. Сообщение от Деанон (?), 26-Янв-23, 00:24	+/–
Всё равно тут открыл настройку тарифа Yota, и увидел отдельную опцию безлимита для всех известных видов протоколов. И как они интересно определяют?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #42

15. Сообщение от Аноним (15), 26-Янв-23, 02:41	+/–
Нет, это VPN курильщика. Обфускация не нужна, выбор шифрования не нужен, товарищ майор одобряет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #22, #26, #32, #33

16. Сообщение от Аноним (16), 26-Янв-23, 05:57	+/–
ovpn-dco нет в основной ветке ядра
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #21, #31

17. Сообщение от Аноним (28), 26-Янв-23, 07:34	+/–
" Добавлен режим совместимости (--compat-mode), позволяющий подключаться к старым серверам" а если наоборот- надо подключаться старому клиенту?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #69

18. Сообщение от Аноним (28), 26-Янв-23, 07:34	–1 +/–
не вижу связи
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #30

19. Сообщение от Аноним (28), 26-Янв-23, 07:36	+6 +/–
wireguard ни разу не замена
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

20. Сообщение от Аноним (20), 26-Янв-23, 08:21	+/–
Почему поддержку PF прекратили?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #23

21. Сообщение от жявамэн (ok), 26-Янв-23, 08:21	–1 +/–
сконпелируй
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

22. Сообщение от nebularia (ok), 26-Янв-23, 08:26	–2 +/–
> Обфускация не нужна Просто это VPN для нормальных стран, а не концлагерей. Для них есть всякие хитрожопые ShadowSocks/V2Ray/чотамещё. А Wireguard это про простоту и скорость.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

23. Сообщение от jbond (??), 26-Янв-23, 08:31	+/–
А в чем она заключалась? Не нашел в доках.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #36

24. Сообщение от Аноним (24), 26-Янв-23, 08:54	+/–
Нет, потому что проводной страж использует криптографию в ядре, а опёнок в юзерспейсе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

25. Сообщение от Аноним (25), 26-Янв-23, 09:38	–1 +/–
IKEv2 - VPN здорового человека. А OpenVPN тормозной. И Wireguard не катит, в нём нет согласования шифров.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #28, #46, #81

26. Сообщение от penetrator (?), 26-Янв-23, 10:13	+1 +/–
объеденить две одинаковые подсети - будешь трахаться с префиксом
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #63

27. Сообщение от penetrator (?), 26-Янв-23, 10:20	–2 +/–
> позволило добиться прироста пропускной способности в 8 раз (с 370 Mbit/s до 2950 Mbit/s) а толку, если магистральные и местные провайдеры режут трафик из-за пропускной способности, и хорошо, если ты получаешь 50-100 MBit/s в лучшем случае на одном соединении, а OpenVPN не умеет шарить виртуальное соединение на десяток физических сокетов а из софта например по ssh это умеет только aria2, и еще один кривоватый виндовый клиент как бы фича интересная, фича перспективная, но пока особо бесполезная если у тебя не выделенный канал (арендованный или свой собственный)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #29

28. Сообщение от Аноним (28), 26-Янв-23, 10:43	+/–
у всех разная область применения
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

29. Сообщение от a7lan (ok), 26-Янв-23, 11:14	+1 +/–
Толк большой. Вы пробовали Openvpn на микротиках? Или на Openwrt на каком-нибудь SOHO роутере? Там печальные скорости. Хорошо если 30мбит. Дальше упирается в CPU. Теперь же появилась надежда, что можно будет получить 80-90мбит и использовать Openvpn для всего трафика, не переживая за пропускную способность. Плюс потенциально это уменьшение энергопотребления на мобильных устройствах. Сейчас Openvpn на android потребляет сильно заряд
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #34, #37, #44, #50

30. Сообщение от Аноним (32), 26-Янв-23, 11:32	+2 +/–
Показал путь переместить в ядро шифрование трафика.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #43, #49

31. Сообщение от Аноним (32), 26-Янв-23, 11:34	+/–
Так ещё пройдёт много времени, прежде, чем примут его в ванильное ядро.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #64

32. Сообщение от Аноним (32), 26-Янв-23, 11:39	+/–
А когда в OpenVPN успела появиться обфускация?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

33. Сообщение от Аноним (32), 26-Янв-23, 11:41	+1 +/–
Выбор шифрования: откат на устаревшие алгоритмы - т. майор одобряет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

34. Сообщение от Аноним (32), 26-Янв-23, 11:50	+/–
Ну тут ещё надежда, что производители SOHO-роутеров перестанут жмотиться на использовании SoC для них с одним процессорным ядром.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #38

35. Сообщение от я (?), 26-Янв-23, 11:51	+/–
Да это ерунда полная, честно говоря. Причина медленности OpenVPN в том, что в TUN/TAP нет интерфейса считывания и передачи сразу нескольких пакетов, можно только по одному, из-за чего огромные накладные расходы на переключения контекста. Добавлением нового интерфейса работы с пакетами в TUN/TAP решило бы проблему для любого ПО, использующего этот модуль, без каких-либо новых модулей ядра.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #41

36. Сообщение от я (?), 26-Янв-23, 11:52	+/–
Это был почти недокументированный L2 firewall.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #52

37. Сообщение от я (?), 26-Янв-23, 11:52	+/–
Установите MTU интерфейса в 32000, скорость будет отличная.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #39

38. Сообщение от a7lan (ok), 26-Янв-23, 11:53	+/–
На это надежды мало. Кому нужен многоядерный, то купит более дорогой. А производители пытаются любым способом экономить чтоб снизить конечную цену
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

39. Сообщение от a7lan (ok), 26-Янв-23, 11:58	+1 +/–
Большие MTU помогали но не сильно. Кардинально скорость не поднималась. Переключения между контекстами никуда не исчезает
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

40. Сообщение от Аноним (40), 26-Янв-23, 11:58	+/–
>При доступности менее 100 МБ ОЗУ Зачем им 100МБ? Не слишком ли много для такой простой ерунды как vpn?
Ответить | Правка | Наверх | Cообщить модератору

41. Сообщение от Аноним (32), 26-Янв-23, 12:01	+/–
>в TUN/TAP нет интерфейса считывания и передачи сразу нескольких пакетов >Добавлением нового интерфейса работы с пакетами в TUN/TAP решило бы проблему для любого ПО А игроманы не будут ныть из-за большой латентности тогда?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #47

42. Сообщение от Аноним (42), 26-Янв-23, 12:29	–1 +/–
DPI.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #45

43. Сообщение от Аноним (43), 26-Янв-23, 12:40	+/–
Думаешь раньше небыло модулей ядра?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #60

44. Сообщение от penetrator (?), 26-Янв-23, 13:07	+1 +/–
Аппаратно микроты заточены под IPSec, да и вообще глупо рассчитывать на универсальный комбайн за 50 баксов, найди хотя бы 200-300 на микрот классом выше и будет тебе счастье. Или ставишь простейшую коробку размером 10 на 10, с полноценной линухой и нормальным CPU и делаешь там что хочешь. А домашний микрот за 50 баксов работает как задумывалось. А за сотку можно купить уже с 4-мя ядрами. Да и 90 мбит это шлак, когда у тебя гигабитный аплинк.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #53

45. Сообщение от Деанон (?), 26-Янв-23, 13:17	+/–
это слишком дорого и тормознуто
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #79

46. Сообщение от ptr (??), 26-Янв-23, 13:33	+3 +/–
IKEv2 через прокси не ходит, что обычно в отелях, у клиентов и, порой, на транспорте. Так что, кесарю - кесарево.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

47. Сообщение от я (?), 26-Янв-23, 14:33	+/–
Если правильно запрограммировать, ощутимых задержек не добавится. Очередь же не должна быть огромной, 10-16 пакетов за раз вполне можно обрабатывать за один вызов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #48

48. Сообщение от Андрей (??), 26-Янв-23, 14:57	–1 +/–
Где-то я это слышал... Только там вроде было про ОЗУ, 640 килобайт и их тоже должно было хватать для всего...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #51

49. Сообщение от Аноним (28), 26-Янв-23, 15:22	+/–
ipsec в ядро завезли гораздо раньше
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #62

50. Сообщение от Аноним (28), 26-Янв-23, 15:23	+1 +/–
"Openvpn на микротиках" в микротиках его нет!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #66

51. Сообщение от Аноним (28), 26-Янв-23, 15:35	+/–
и работало на 640 успешно же :-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

52. Сообщение от Аноним (28), 26-Янв-23, 15:36	+/–
эт на BSD чтоль?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #65

53. Сообщение от Аноним (28), 26-Янв-23, 15:37	+/–
"ставишь простейшую коробку размером 10 на 10, с полноценной линухой и нормальным CPU " а вот, кстати, что посоветуете?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

60. Сообщение от Аноним (32), 26-Янв-23, 17:14	+/–
Я им пользовался до 2016, не было.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

61. Сообщение от Аноним (61), 26-Янв-23, 17:16	+/–
Уже месяц как опенвпн не коннектится к серверам с vpngate. Скорее всего режут протокол. Надо учиться wireguard. Есть там где бесплатные сервера?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #75

62. Сообщение от Аноним (32), 26-Янв-23, 17:17	+/–
И что? Но почему-то раньше это на разрабов OpenVPN впечатления не производило. А после появления в ядре WireGuard зашевелились.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #83

63. Сообщение от annnno (?), 26-Янв-23, 18:03	+/–
а это ваще проблема сабжа ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #67

64. Сообщение от Sem (??), 26-Янв-23, 18:51	+/–
Зачем его вообще в ядро? Модуль идет с openvpn, его можно загрузить когда надо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

65. Сообщение от Sem (??), 26-Янв-23, 18:55	+/–
Ээто просто Packet Filtering. Свой, внутри.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #70, #73

66. Сообщение от Sem (??), 26-Янв-23, 18:59	+/–
Точно? https://help.mikrotik.com/docs/display/ROS/OpenVPN
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #74

67. Сообщение от penetrator (?), 26-Янв-23, 19:56	+1 +/–
в OpenVPN это из каропки
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

68. Сообщение от Аноним (68), 27-Янв-23, 00:26	+/–
> Добавлен режим совместимости (--compat-mode), позволяющий подключаться к старым серверам, на которых используется OpenVPN 2.3.x или более старые версии. Куда именно он добавлен? Проверил в Linux и Windows, нет такой опции. Для подключения к старому серверу (с BF-CBC) пришлось прописать в конфиг: providers legacy default tls-cert-profile insecure tls-version-min 1.0
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #71, #72

69. Сообщение от Аноним (28), 27-Янв-23, 08:42	+/–
отвечаю сам себе, прочитав манул, там написано что именно заменяется этой самой компат, так что 2.3 должны работать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #76

70. Сообщение от Аноним (28), 27-Янв-23, 08:42	+/–
о как, не знал даже, хотя использую openvpn уже лет 20. спасибо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65

71. Сообщение от Аноним (28), 27-Янв-23, 08:48	+/–
https://openvpn.net/community-resources/reference-manual-for.../ --compat-mode version      This option provides a way to alter the default of OpenVPN to be more compatible with the version version specified. All of the changes this option does can also be achieved using individual configuration options. Note: Using this option reverts defaults to no longer recommended values and should be avoided if possible. The following table details what defaults are changed depending on the version specified.     2.5.x or lower: --allow-compression asym is automatically added to the configuration if no other compression options are present.     2.4.x or lower: The cipher in --cipher is appended to --data-ciphers     2.3.x or lower: --data-cipher-fallback is automatically added with the same cipher as --cipher     2.3.6 or lower: --tls-version-min 1.0 is added to the configuration when --tls-version-min is not explicitly set.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68 Ответы: #78

72. Сообщение от Аноним (72), 27-Янв-23, 08:49	+/–
--compat-mode version This option provides a way to alter the default of OpenVPN to be more compatible with the version ``version`` specified. All of the changes this option does can also be achieved using individual configuration options.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

73. Сообщение от jbond (??), 27-Янв-23, 09:44	+/–
Т.е. плагин minimal_pf работать не будет?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65

74. Сообщение от Аноним (28), 27-Янв-23, 10:31	+1 +/–
Точно. Это не openvpn, это написанная микротиками своя реализация протокола openvpn с жутким числом ограничений и недоделок.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

75. Сообщение от Аноним (28), 27-Янв-23, 10:33	+/–
УМВР
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61

76. Сообщение от ABATAPA (ok), 27-Янв-23, 15:12	–1 +/–
> прочитав манул, там написано «Подъезжая к сией станцыи и глядя на природу в окно, у меня слетела шляпа» © wiki Анаколуф
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69 Ответы: #82

77. Сообщение от Аноним (77), 27-Янв-23, 16:02	+/–
А использовать больше одного ядра процессора оно научилось или все еще нет?
Ответить | Правка | Наверх | Cообщить модератору

78. Сообщение от Аноним (68), 27-Янв-23, 16:16	+/–
Действительно есть и работает как описано. А по --help не показывает, почему-то. Но без «providers legacy default» всё равно ничего не работает, так что толку не слишком много.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71

79. Сообщение от InuYasha (??), 28-Янв-23, 10:40	+/–
С Новым Годом. Глянь в календарь что-ли )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

80. Сообщение от InuYasha (??), 28-Янв-23, 10:42	+1 +/–
OMFD... срочно ждём в OpenWRT! Там CPU на вес платины.
Ответить | Правка | Наверх | Cообщить модератору

81. Сообщение от Аноним (81), 29-Янв-23, 06:00	+1 +/–
Аноним, ты написал такую вопиющую чушь, что трудно даже удержаться от комментирования. (Позор мне.) Во-первых, IKE -- это только механизм обмена ключами. Ключами этими потом нужно что-то зашифровать или подписать. Обычно шифруют ipsec/esp. Так вот, на большой части роутеров, любые протоколы, кроме TCP, UDP, ICMP (то есть, IP protocol number 6, 17, 1 в Next Header), и их ipv6 аналогов, заблокированы нафиг "от злобных хакеров".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

82. Сообщение от Аноним (28), 30-Янв-23, 13:38	+/–
"отвечаю сам себе, прочитав" что не так? русский не родной? :-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76

83. Сообщение от Аноним (28), 30-Янв-23, 13:39	+/–
никакой связи, dco как идея существовал гораздо раньше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

85. Сообщение от Александр (??), 20-Фев-23, 06:48	+/–
Говно. Не работает с микротиками на прошивке 6.49.7. Бесконечное подключение, а на микроте ошибки дропа с IP подключения. В OpenVPN в версии 2.5.2 все работает как часы.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема