Opensource/free VPN решение для конечных устройств

Вот хотел бы уточнить, насколько всё плохо в мире с udp? Смогут ли пользователи ездить по миру и исопользовать udp vpn? В среднем по больнице, так сказать :)

что strongswan умеет требуемое (плагины farp и dhcp)

Это о чём? О том, что я на андройд смогу раздавать маршруты или как? Я пока в этом strongswan нифига не понимаю… Клиенты цепляются, как маршруты им передать - не понимаю. В ручном режиме что прописываю, кажись не работает… Куда там коней запрягать, пока не понял особо) Я так понимаю left right - это просто ограничители, каждый клиент сам решает какие маршруты прописывать? А точнее, что админ руками пропишет, на том же андройде, или как?

Ну после релиза много чего может отвалиться, у яблока это

Вообще обычная практика

Я привел только то, что ломали надолго и без ручного вмешательства оно не работало.

strongswan умеет, спору нет, а потом начинается - «а у меня тут в сети дальше DHCP-релей не пропускает такие запросы», «у клиента девайс фирмы абырвалг, который дропает пересланные таким образом ответные пакеты».

И это я привел примеры из своей практики, где абырвалг - какая-то китайщина для автоматизации(несколько лет назад было, я уже и не вспомню точно модель). Понятное дело что клиент сам дурак - ибо нехрен покупать дешевое говно и пришлось раскошелиться на роутер. Но осадочек всё равно остался. Это кстати тот случай когда не умеешь в поддержку технологии - лучше даже не берись, переложи на дополнительное железо, которое умеет не только на бумаге.

«а у меня тут в сети дальше DHCP-релей не пропускает такие запросы»

Так ты админ. Это твоя сеть и твой релей. А по сети клиента летит ESP и никто не знает, что там внутри. Кто его дропнет?

Вот хотел бы уточнить, насколько всё плохо в мире с udp?

Какой udp, в мире даже с ip не всё хорошо. :) Пример, Франция-Нидерланды по дороге проблема с роутингом, пришлось добираться через другую страну.

Емнип сможешь, но я тонкостей не помню, года четыре не совался туда. Может их и не было, тонкостей)

Маршруты в случае strongswan раздает твой красивый корпоративный DHCP-сервер. Option 121 и 249.

l_eft r_ight принято юзать как селекторы l_ocal и r_emote точек соответственно, во избежание путаницы.

Возьму на заметку

Если и правда взял, то мне интересно, что получилось.

Смогут ли пользователи ездить по миру и исопользовать udp vpn

Говорят, что Softether позволяет забыть такого рода проблемы.
Но выпить столько, сколько требуется для его адекватной настройки, я не смог. Уж слишком большой файл конфига.

Я так понимаю left right - это просто ограничители,

Нет. left и right это две машинки, а-ля сервер и клиент.

каждый клиент сам решает какие маршруты прописывать?

Нет. Маршруты прописываются с обеих сторон и сами маршруты разделяются на направления in/out. Вообще если говорить про ipsec, не во всех случаях правильно делить на клиент/сервер. Простой пример, два офиса на роутерах которых поднят сервер ipsec, кто из этих роутеров инициирует соединение совершенно монопенисуально. Но это всё уже не про вашу задачу.

Ну после релиза много чего может отвалиться

Да так себе отмазка. Всякие там превью Apple выпускают за долго до релиза macOS.

Просто в проекте TunnelBlink не особо ресурсов на это. Чтобы работу с тестовыми версиями macOS контролировать.

В противовес вот пользуюсь три года клиентом одного VPN сервиса и он ни один раз в день релиза новой macOS не отвалился.

ЗЫ: конечно можно ещё не бежать в переди, а ставить релиз так спустя месяц. Когда «много чего может отвалиться» уже завалиться обратно. Но факт есть фактом.

Да так себе отмазка.

Нормальная отмазка.

Всякие там превью Apple выпускают за долго до релиза macOS.

Что не помешало им выпустить релиз с забагованным dns клиентом. И не просто релиз выпустить, они компы с этим багом продавали. На фоне этого претензии к гнутой утилитке как-то не о чём.
Вообще за годы выработалось правило, до ..3 лучше не дергаться с обновлениями.

Я посоветую то у чего есть обрусфикация трафика хорошая. Потому что скоро ничего остального работать не будет

Да я как-то просто выкинул этот продукт и обновляюсь без проблем (относительно).

Так что

так себе отмазка

Но понятно

претензии к гнутой(!) утилитке

Раз ГНУ, то тут как-то планку нормальности уже опускаешь.

Хотя причём тут GNU вообще?

Раз ГНУ, то тут как-то планку нормальности уже опускаешь.

Основное было не «гну» а «утилитка». Не вижу ничего сверхестественного в том, что с учетом большой вариативности самого ovpn и небольшого числа разработчиков tb, когда-то что-то может и не заработать. Например писал выше, что в разное время приходилось менять способы установки dns, но пока это единственное что приходилось делать.

«гну»

и то мимо

Почему?

TunnelBlink по лицензии MIT даже.

Про GNU уж тем более…

Ничего лучше wireguard не существует.

Tunnelblick is licensed under the GNU General Public License, version 2

Так ты админ. Это твоя сеть и твой релей.

Аутсорс - он бывает беспощадным, да. Это я про то, что иногда сетей бывает не 2 и даже не 3. Это я про административный контроль, если что, а не про количество сегментов.

что-то значит не то, посмотрел. где-то я же MIT увидал с первого раза…

действительно

Хотя суть про траходром не меняется. TunnelBlink не успевает оперативно выходить для новых версий macOS

Кстати, про Windows тоже вот помню, что официальный OpenVPN клиент вековую багу имел по не запуску его службы с ОС. Не знаю как сейчас дела обстоят.

Да, для мобилок сразу в сторах/маркетах.

Я обычно OpenVPN Connect использую.

Сменил Tunnelblick на OpenVPN Connect и забыл про эти проблемы на макоси, как страшный сон.

А, ты имеешь в виду ситуацию, когда надо в чужую сеть вкорячить впн-сервер, ничего больше не трогая? Тогда конечно, возможно всякое.

Кстати, про Windows тоже вот помню, что официальный OpenVPN клиент вековую багу имел по не запуску его службы с ОС. Не знаю как сейчас дела обстоят.

Да вроде работает.

Деинсталлятор вот сломан был недавно, не знаю, починили или нет.

обрусфикация

СЛАТЬ /путь/форма.пхп ГТПП/1.1

Сменил Tunnelblick на OpenVPN Connect и забыл про эти проблемы на макоси, как страшный сон.

«No, the client cannot connect to multiple servers at once. It does support multiple connection profiles, giving you the option to switch easily from one server to the next, but you can only be connected to one at a time. »
Не нужно.

Камон, далеко не всем (очень далеко) нужны такие извращения.

Кейс «переподключатся к нужному серверу без танцев с бубном» на макоси работает отлично - да и ладно.

Кстати, про Windows тоже вот помню, что официальный OpenVPN клиент вековую багу имел по не запуску его службы с ОС.

Точно! Было же такое. Не помню подробностей, помню только, что службой не ставили из-за каких-то косяков.

Камон, далеко не всем (очень далеко) нужны такие извращения.

Это не извращения, а производственная необходимость. Если ваша компания занимает две комнаты на первом этаже многоквартирного дома, то это не значит, что все компании занимают две комнаты на первом этаже в многоквартирном доме.

Не смеши мои подковы, твоя компания на целых три комнаты на первом этаже многоквартирного дома такое же говно. Кровавый ынтырпрайз совсем другие решения использует и за бабки, а не втирает на ЛОРе анонимусам о фришных клиентах для OpenVPN.

Дяденька я смотрю у вас только два цвета черное и белое. И как раз кровавый ынтерпрайз лютейщее УГ со своими ынтерпрайз решениями. Когда пользователям находящимся в 10 км от родного офиса, приходиться подключаться к нему маршрутом в 4к км.

Дяденька я смотрю у вас только два цвета черное и белое

Спорно.

Когда пользователям находящимся в 10 км от родного офиса, приходиться подключаться к нему маршрутом в 4к км.

Вот это и есть «черное и белое». Ведь должны быть причины, почему именно так сделано. И да, я понимаю, что если ынтырпрайз, то часто основная причина - цена (но не всегда).

Просто с моей колокольни - подключатся по работе к условной Германии не такая уж беда (лично мне). Ведь Гиви, Раймунд и Хуан подключаются так же в условную Германию из своих уже стран. И ради кого-то одного VPN переделывать не будут. А если учесть, что львиная доля все рабочей инфраструктуры так же в Германии - вообще можно жить.

У меня почти везде работало.

Но были и единичные проблемы, преимущественно в кафе. Лично я поднимал и использовал оба варианта, tcp, как резерв.

Ведь должны быть причины, почему именно так сделано.

Ага, причина - «мы умеет только так и не имеет».

И ради кого-то одного VPN переделывать не будут.

А если не одного?

А если учесть, что львиная доля все рабочей инфраструктуры так же в Германии - вообще можно жить.

А если нет? Если львиная доля как раз здесь, а не «где-то там»? Если для условного пользователя «где-то там» нет ничего того, что ему требуется?

Просто с моей колокольни - подключатся по работе к условной Германии не такая уж беда

Конечно, и инет у нас стабилен как хребет Гималаев.

Ведь Гиви, Раймунд и Хуан подключаются так же в условную Германию из своих уже стран.

Вот он кровавый ынтерпрайз. Работайте только через попу, ведь миллионы мух работают через попу, а вы чем отличаетесь от них? Подобный подход в духе «а теперь с учетом коэффициентов пересчитаем на металл». А что, разве Владик дальше чем Дюссельдорф?

softethervpn кто нибудь пробовал?

Слишком много «если» :)

Ведь должны быть причины, почему именно так сделано.

Такие причины называются традиция иногда

Слишком много «если» :)

Вы тоже это заметили? А суровый германский ынтерпрайз не замечает. :)

Именно так и есть. Условия изменяются, а мы этого не хотим замечать. Зачем? В нашем мирке работало, значит и за его пределами должно работать.

Или лень :)

Да ладно, за экономию бабла или за премию менеджеру за улучшенными KPI еще как заметит :)

Та там вообще всё сложно было, с мозгом :) Как наши русские бабы (бухи) выбивали из немчуры деньги на «галактику»... поэму можно писать. «Вот у нас есть кароший немецкий софт, все пользуются, зачем вам какая-то галактика?» :) Чуваки реально невкуривали, что на просторах 1/6 законодательство меняется настолько часто, что обновление бух софта просто жизненная необходимость. :)