LINUX.ORG.RU

Релиз OpenVPN 2.4.8

 


2

1

Состоялся релиз OpenVPN 2.4.8. В нём была восстановлена возможность сборки с криптографической библиотекой LibreSSL и обеспечена поддержка сборки с OpenSSL 1.1 без устаревших API. Была добавлена обработка добавочного заполнения PSS в cryptoapicert. Увеличен до 32 размер очереди входящих соединений, ожидающих обработки, что улучшило отзывчивость серверов OpenVPN, использующих TCP.

>>> Подробности

★★★★

Проверено: a1batross ()

Ответ на: комментарий от annerleen

Да, тем, кому нужно проверенное решение. Несмотря на преимущества Wireguard, у него пара очень важных недостатков, для исправления которых нужно время и ресурсы, а именно:

  • Wireguard ещё не имеет стабильного релиза, о чём честно предупреждают разработчики на главной странице Wireguard:

    Work in Progress

    WireGuard is currently working toward a stable 1.0 release. Current snapshots are generally versioned «0.0.YYYYMMDD» or «0.0.V», but these should not be considered real releases and they may contain security quirks (which would not be eligible for CVEs, since this is pre-release snapshot software). This text will be removed after a thorough audit.

  • Wireguard не проходил аудит. См. предыдущий пункт о «may contain security quirks»
Pravorskyi ★★ ()
Ответ на: комментарий от annerleen

L2-туннель уже в Wireguard завезли? Авторизацию через радиус или LDAP? Можно внешним плагином(RADIUS в OpenVPN именно так и сделан - сторонним плагином), если там вообще плагины есть, я просто не в курсе

Pinkbyte ★★★★★ ()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от annerleen

в эпоху Wireguard?

Эпоха wireguard наступила разве что только у смузихлёбов.
На CentOS7 например модуль, собраный через dkms раньше периодически паниковал. Сейчас такого не наблюдается, но осадочек остался.

imul ★★★★★ ()
Ответ на: комментарий от Pinkbyte

Ну а тем, кому нужен L2, Radius и пр., — тут IKEv2/IPSEC напрашивается, а не OpenVPN, имхо.

P.S. то, что wireguard работает в ядерном пространстве, а не в юзерспейсе (см. пункт про внешние плагины) — кмк, плюс, а не минус, для повседневного использования.
У меня буквально прямо сейчас 400+ мбит/с туда/обратно через WiFi по VPN (wireguard), с OpenVPN эта цифра не более 80.

annerleen ★★★ ()
Последнее исправление: annerleen (всего исправлений: 1)

Софт неплохой, жаль что в головах у людей сейчас термин впн сразу ассоциируется с обходом блокировок. Особенно openvpn.

anonymous ()
Ответ на: комментарий от Pinkbyte

Зачем тебе L2-тоннель? Вопрос не без подвоха, но я в тайне надеюсь, что у тебя там что-то действительно интересное, а не банальное неосиляторство.

anonymous ()
Ответ на: комментарий от anonymous

О, ещё один правдоруб.

Дебиан куда лучше

И куда? С тремя годами поддержки-то?

без переустановки релизы обновлять

Единственное достоинство?
Для прода на локалхосте очень надо, соглашусь.

imul ★★★★★ ()
Ответ на: комментарий от annerleen

Нужно, но нужность постепенно снижается. Когда сети были медленными, сабж вполне был востребован. Сейчас, когда скорости ниже ста мегабит можно найти только на публичных вайфаях и у бабушки в гостях, нужность в общем-то и ограничена этим самым публичным вайфаем, в котором наружу открыты только TCP/80 и TCP/443.

anonymous ()
Ответ на: комментарий от anonymous

> Зачем тебе L2-тоннель?
У нас вот много оборудования, которое работать работает и без, но настроить его можно только находясь с ним в одном L2-сегменте. Хотя не всё, недавно вот налюбились с одними детекторами, так что придётся их все в один L2 переделывать, чтобы просто работали.

imul ★★★★★ ()
Ответ на: комментарий от anonymous

хочу сказать что видимо нормального дистрибутива нет

Ты же понимаешь, что слово «нормальный» в данном случае это исключительно вкусовщина и утятничество. Инструмент — он под задачу. Wireguard вообще не обязан работать на ядрах у седьмой центоси, там в требованиях емнип сразу была четвёртая версия ядра. Также как и новые версии сейчас например в дженте уже не собинаются на 4.19, хотят пятую. Но, смузихлёб сразу запел про какую-то «нормальность».

imul ★★★★★ ()
Ответ на: комментарий от imul

Давай сразу в сантиметрах мерять. У меня деплоев Дебиана без малого 400 серверов × ~12 виртуалок на сервер × ~20 контейнеров на виртуалку. Сервера на всех континентах, кроме Антарктиды. Основной бизнес компании — телекоммуникации, в общем-то потому и локалхост такой маленький. Я начинал, когда stable только сменился на Squeeze. Расскажи теперь про свой локалхост.

anonymous ()
Ответ на: комментарий от anonymous

Так я не админ, а строитель. Моё дело строить, а уже тебе поддерживать. Но в какого анонимуса ни плюнь, тут каждый обязательно не ниже чем в Tier 1. Скан трудовой присылай, мыло в профиле. Тогда будет чем мериться.

imul ★★★★★ ()
Ответ на: комментарий от imul

С тремя годами поддержки-то?

Забыл добавить: типичная проблема людей с центосями. Так как она между релизами не апгрейдится, то срок поддержки становится чуть ли не основным параметром при выборе.

anonymous ()
Ответ на: комментарий от imul

Прости, друг, оставил трудовую вместе с остальным ненужным хламом когда уезжал. Тут они без надобности, а барахла мне в жизни и так хватает. Могу тебе роутер сфотографировать.

anonymous ()
Ответ на: комментарий от anonymous

Так как она между релизами не апгрейдится

Очень интересно. 5->6 без проблем, 6->7 пропустил, 7->8 тоже без проблем, хотя пока только в виртуалках и контейнерах. Ты вообще о чём?
Или ты думаешь кто-то в эксплуатации на объектах дебы апдейтит? Там где мы сдавали объекты 10 лет назад до сих пор 4-й и стоит, причём даже без апдейтов. Линукс он не только для сайтиков применяется. И там скорее всего он так и будет жить пока объект не снесут, или пока всю аппаратуру не поменяют.

срок поддержки становится чуть ли не основным параметром при выборе.

Срок поддержки нужен для ПО, которое поверх. Есть такая интересная история, когда на нескольких объектах был другой поставщик ПО. И ПО было на федоре. А там полгода и гуляй. Закрывают они дыру в своём ПО, а оно уже под федору которая на две версии дальше, чем на объекте. И под старую федору делать не хотят. Так вот удалённо сначала обновить дистр, потом накатить новую версию ПО, потом ещё с этим разбираться где что не так пошло. Очень увлекательно. Так что я смотрю со своей колокольни. Ты со своей. И мы никогда не поймём друг друга.

imul ★★★★★ ()
Ответ на: комментарий от anonymous

И что, IP там ещё не осилили?

Ты никогда не видел «фирменного» ПО, которое опрашивает и позволяет настроить железки по макам? Даже в микротиках такое применяется.

imul ★★★★★ ()
Ответ на: комментарий от annerleen

сабж универсален, работает почти под любой ОС. даже на вин2000 можно завести, имнип. да, приходится платить скоростью, но кол-во фич перекрывает этот недостаток. впрочем, кому нужна скорость те ipsec юзают - он тоже есть почти везде, даже на аппаратных роутерах. а вот зачем ВГ нужен ХЗ. неосиляторам разве что и хипстоте :)

Rost ★★★★ ()
Ответ на: комментарий от annerleen

Да. Например тем кому от VPN нужна не максимальная способность, а возможность использования второго фактора, учетные записи с автоматическим устареванием (просрочка клиентского сертификата), выпуск клиентских сертификатов и криптография со стороны сервера на HSM и прочие «энтерпрайзные развлечения». Вот ты на своем wireguard сможешь процесс управления ключевой информацией наладить чтобы твоё внедрение аудит прошло? Я уже не говорю про прикручивание к нему сертифицированной криптографии.

anonymous ()
Ответ на: комментарий от anonymous

Я это на IPsec сделал, сразу на железе, а не на студенческих поделках. Что ещё мне расскажешь интересного про двухфакторыне аутентификации, сертификаты, хардварные HSM и CRL?

Энтерпрайз у него на OpenVPN. Боже, что несеёт?

anonymous ()
Ответ на: комментарий от imul

Видел, в основном устаревшее железо 15+ лет. Современное так вообще сразу IPv6 понимает и само себе интерфейс настраивает. Но судя по области применения, там сразу IPv8 будет.

anonymous ()
Ответ на: комментарий от anonymous

Одно другому не мешает. А для специфичных задачек может и 20 летнее железо ставиться. У менеджеров всё красиво, проверенное годами эксплуатации и т.д. А как сдашь заказчику, то выясняется например, что через нат через раз работает. Гении наиндусили 20 лет назад, потом уволились/умерли, исходников нет и т.д.

imul ★★★★★ ()
Ответ на: комментарий от annerleen

Чем он лучше openvpn? Я одно время подбирал альтернативы openvpn, в списке вариантов был и wireguard. Помню, он меня порадовал лёгкостью настройки, но в конечном итоге я решил от него отказаться. Не помню уже, почему.

eternal_sorrow ★★★★★ ()
Ответ на: комментарий от anonymous

Чем факт того, что ты такое сделал на IPsec отменяет то, что это можно сделать с помощью OpenVPN, а с помощью Wireguard - нет?

Энтерпрайз у него на OpenVPN. Боже, что несеёт?Энтерпрайз у него на OpenVPN. Боже, что несеёт? О вкусах не спорят. Но работает же.

anonymous ()
Ответ на: комментарий от annerleen

IKEv2/IPSEC напрашивается, а не OpenVPN, имхо.

Спасибо, этого говна мне и на работе хватает. OpenVPN настраивать пусть и сложнее чем Wireguard, но уж точно проще чем IPSEC.

У меня буквально прямо сейчас 400+ мбит/с туда/обратно через WiFi по VPN (wireguard), с OpenVPN эта цифра не более 80.

Тут спорить не будут, производительность - больное место OpenVPN.

Pinkbyte ★★★★★ ()
Ответ на: комментарий от kirk_johnson

Лучше уж L2TPv3 тогда. Но всё равно это лишняя сущность.

Так-то да, если L3 connectivity есть и MTU поднять не проблема(в смысле фрагментация работает нормально) вопрос L2-связности можно решить и не одним способом…

Pinkbyte ★★★★★ ()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от anonymous

Если ты не в курсе, есть некоторые приложения, которые работают используя широковещательные кадры.

Если из попсового - во многих играх сейчас если и есть возможность игры по LAN, то она именно что вот такая. И возможность по старинке указать адрес(IP или DNS) сервера - не предусмотрено. И нет, игра через Интернет не вариант.

А что конкретно кручу я - это отдельная история. И я пожалуй о ней умолчу, во избежание, так сказать…

Pinkbyte ★★★★★ ()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от Pinkbyte

Ну аффтар WG сразу сказал, что L2 – шляпа, делать сложно, много, и в большей части случаев просто не нужно. В целом я его понимаю. А так у них получился такой SSH от мира VPN, весь код которого влезает в 4k строк.

kirk_johnson ★★ ()
Последнее исправление: kirk_johnson (всего исправлений: 1)