LINUX.ORG.RU

в гугле забанили?

zgen ★★★★★ ()

PureVPN, с огромными оговорками.

Оговорки такие:

  1. Небезопасная группа modp1024 при согласовании ключей. StrongSwan по умолчанию оказывается соединяться. Требует такую строчку в конфиге: ike=aes128-sha256-modp1024, или аналогичную настройку на вкладке Algorighms в nm-connection-editor при использовании NetworkManager и nm-strongswan.

  2. Использование wildcard-сертификатов, которые StrongSwan не признает из принципа. Решается строчкой в конфиге: rightid=*.pointtoserver.com, или, при использовании NetworkManager, прописыванем Identity = *.pointtoserver.com

  3. Дает публичный IP-адрес, иногда честно, но иногда мухлюет (дает двум клиентам один и тот же якобы публичный IP, а по факту садит их за два слоя NAT’а). Выход - купить у них статический IP.

  4. При покупке статического IP нет 100% гарантии, что вы при соединении получите именно ваш IP. Если соединение с правильным IP порвалось и клиент пытается его переустановить, то на том конце срабатывает такая логика: старое соединение еще живо, давайте дадим этому (второму) подключению какой-нибудь другой IP, отличный от купленного. Лечится повторным переподключением, когда первое соединение затаймаутится у них.

  5. Проблемы с MTU, т.к. Linux ведет себя не так как Windows и не создает отдельный интерфейс для ipsec. Можно прописать mtu = 1400 в /etc/strongswan.d/charon/kernel-netlink.conf, но при использовании NetworkManager это не работает. Тогда помогает правило iptables:

iptables -t mangle -A POSTROUTING -p tcp -m policy --dir out --pol ipsec -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1360

Осторожно, есть еще Ivacy, у которых вечно скидки 90%. На этот развод не ведитесь - они используют ровно ту же инфраструктуру, что и PureVPN, но с глючным фронтендом, например, переключатель для включения и выключения firewall’а у PureVPN работает, а у Ivacy - нет.

AEP ★★★★★ ()
Последнее исправление: AEP (всего исправлений: 1)

Я как-то пользовался CyberGhost

StrongSwan работает

grim ★★☆☆ ()
Ответ на: комментарий от AEP

Проблемы с MTU, т.к. Linux ведет себя не так как Windows и не создает отдельный интерфейс для ipsec.

Но есть же vti и xfrm.

shimon ★★★★★ ()
Ответ на: комментарий от shimon

Формально да. Фактически, это требует нетривиальной возни с конфигами и несовместимо с NetworkManager, т.е. не готово. Ну и ICMP black hole на их стороне от этого никуда не исчезает, iptables-правило для обрезки MSS для траффика от docker-контейнеров и виртуальных машин писать все равно придется.

AEP ★★★★★ ()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)