с использованием протокола HTTPS для обхода фаерволлов и NAT.

Ха-ха. Если начальство захочет, просто порежет https и все. Или вообще оставит доступ только к разрешенным ресурсам.

Если бы начальство что-либо понимало в этом, то админы никому не были бы нужны.

DNS умеет

интересно, как оно справляется с тем, что результаты DNS запросов кешируются?

Ну так начальство прикажет админу оставить доступ только к корпоративной сети, а все остальное резать.

а кто будет проверять, так ли это ?)

А увидят, что народ массово во вконтактике сидит - вот тебе и проверка админа на надежность.

если начальство захочет, то все вообще с лопатами будут ходить, а не за компьютерами сидеть.

а если путин захочет, то тебя расстреляют. но это же не повод.

а кто мешает пробросить https:443 на https:8443 ?

А кто мешает наложить запретительные политики, так чтобы резалось все подряд, кроме разрешенного (только 80 порт, только http и только в корпоративную сеть, остальное дропать)? Ну и периодически резко заглядывать, смотреть, чем народ занят?

Наложить такие правила на выходе - раз плюнуть. И если вдруг захочется - делается без проблем.

Нифига себе, какая богатая штука, если судить по описанию.
Надо щщупать.

Пробовал что, простите?

SoftEther VPN

Уважаемый, вы завели разговор совершенно не в то русло.

Ок закрыли все, наложили политики.А данный SoftEther VPN как будет работать если https закрыт ?

Вот я и предложил, нестандарный 443 пробрасываем на 8443, в настройках указываем порт вместо 1190, ентот 8443 (если принцип работы таков), опять же суть дела не меняет.

Правильно, работай и не отвлекайся. Вот бы тебе еще ЛОР порезали.

поправка openvpn 1194 имел ввиду

Так 8443 тоже закрыт. В данной гипотетической ситуации вообще все закрыто, кроме 80 порта, по которому только http до серверов в корпоративной сети.

Так что от злого большого брата так не убежишь.

К счастью, сам я не в таком месте работаю.

а у меня наоборот, поэтому я этих обходных путей навидался.

мне интересно одно, а нельзя пустить шифрованный трафик по 80 ?

тобишь проброс 80=>8443, добавить blackbox в список разрешенных в белый лист, и выходить по шифровке только через него ?

http://habrahabr.ru/post/129097/
Не благодари...

Судя по описанию на сайте это мультипротокольный сервер, с гейшами и самураями.

эпично (с) :)

Наложить такие правила на выходе - раз плюнуть. И если вдруг захочется - делается без проблем.

Так то оно да, но текучка будет зверская, да и часто по работе внешка нужна. Причем всем начиная от девочки обзвонщика клиентов(искать номера телефонов контор) до разработчика(документация, сорсфорж, и.т.д). Всё можно только очень ограниченному кругу порезать. Да и нужно ли? Ну будут в «косынку» рубиться или книжки читать принесенные на телефоне. Если человек не мотивирован работать, то запретами работать не заставишь.

Как раз подумываю VPN на сервере развернуть.

У нас, тёмных, и OpenVPN на роутере разворачивается. На кой тут целый сервер?

Сударь, вы изрекли банальщину, но фраза

Если человек не мотивирован работать, то запретами работать не заставишь

Не теряет своей актуальности через столетия...

Собрал. Жесть.

Пока не могу сказать работает ли оно вообще, т.к. нужно доку прочитать чтобы настроить, но то, что это ад мантейнера уже видно и не факт что ЭТО можно вообще в дистрибутив.

1. Сама прога из себя представляет несколько бинарников vpnclient - сервер клиента, vpnserver - сам сервер, vpnbridge - какой-то бридж. И сама тулза по конфигурированию этого добра. Причем все это должно находиться в одноименной папке, т.к. рядом должен лежать файл hamcore.se2. Что это такое не понятно. В сорцах этот файл находится в src/bin/BuiltHamcoreFiles/unix. Но сильно кажется мне, что это архив бинарей, взятых из src/bin/hamcore. И не ясно что это за драйвера и т.д. Похоже что весь богатый функционал обеспечивается за счет этих бинарников.

2. Попробовал запустить сервер клиента. При этом он мне в ту же папку в которой он находится напихал и логи, и конфиг, и пид и хз что еще.

Вообщем я лучше воздержусь от этого велосипеда. В первую очередь из-за наличия не понятных бинарников внутри.

Уж не Hamachi ли =) ?

Кто-то стырил исходники хамаши и выдал за свой диплом? Хе-хе.

SoftEther VPN

Ну вы скоростной - я же только что о нем узнал. Мне надо доки прочитать, сервер подготовить, и спать когда-то.

У нас, тёмных, и OpenVPN на роутере разворачивается. На кой тут целый сервер?

А роутер что, сервером не может быть? Да и вообще шире смотри - мало ли, может это L2 - разворачивать можно на хосте внутри сети.

сабжу необходим для работы TUN/TAP?
от OpenVPN пришлось отказаться, т.к. некоторые шибко умные виндовсы (win7 x64) отказываются его ставить tun/tap (неподписанный драйвер типа). Хакать клиентские ноутбуки не можем по моральным причинам.


vpn over http(s) & icmp - это очень вкусно. ну очень.

от OpenVPN пришлось отказаться, т.к. некоторые шибко умные виндовсы (win7 x64) отказываются его ставить tun/tap

УМВР, Ну так поставь нормальный драйвер (свежий openvpn), что мозги то колупать?

ставили свежескачанный весной 2013, емнип - ругалось. что-то изменилось? мелкософт выдал подпись для tun?

Я уже как минимум год, как эксплуатирую его под win7 x64 безо всяких проблем и хаков. 2.1 rc 22.9

да. на некоторых - работало, на некоторых - нет. хер поймешь его, этот майкрософт.

Наверное, когда новые закладки уже некуда стало пихать, они решили открыться.

да. на некоторых - работало, на некоторых - нет.

Что ты хоть городишь? Магии нет, если не работало - значит тому есть причина. Я на десятках компов openvpn использую, включая win8 x64, no problem

хер поймешь его, этот майкрософт.

Майкрософт у него виноват, блин.

VPN over DNS

LOLWUT??? Зачем это? Брандмауэры обходить?

У нас, тёмных, и OpenVPN на роутере разворачивается. На кой тут целый сервер?

Дак он уже есть, что бы не использовать то? Да и сервер не домашний, а VDS'ка в басурмандии, так что, в отличии от роутера провайдер будет видеть зашифрованные данные, а не все мои запросы + обход ограничений «Великой Русской Машины Цензуры» в отношении серверов, расположенных заграницей.

SSL-VPN туннелирование с использованием протокола HTTPS для обхода фаерволлов и NAT.

Ещё один способ обойти Большого Брата. Не думал, что для Японии это актуально, наверняка друзья с большой земли попросили.

ББ тут совершенно ни при чём.

Допустим ты развернул у себя в конторе VPN-сервер для обеспечения удалённой работы сотрудников «с безопасным подключением через Интернет».
В теории предполагается, что провайдеры твоих сотрудников обеспечивают прозрачный IP транспорт (и почти наверняка всякую чушь вдовесок — DNS, «пять почтовых ящиков», «ваша личная страничка» и т.п.).
А на практике может быть что угодно: UDP 500/IP 50 не разрешены; глуповатый DPI понимает только простейшие вещи, а всё непонятное шейпит до неадекватных значений; все порты за пределы «сети провайдера» кроме http/https закрыты и т.д.

«Идея SSL-VPN» основана на предположении, что если уж что-нибудь святое ещё осталось незалапаным, то это https. Соответственно его и используют как транспорт.
Другая часть этой же идеи в том, что «браузер есть у каждого», а значит можно попытаться обойтись без специально устанавливаемого VPN-клиента.

Решения с SSL-VPN есть у Cisco, Juniper и Checkpoint (из того что сам использовал). Т.е. ничего эдакого подпольно-вихревраждебного в этом нет.

https://www.digitalocean.com/community/articles/how-to-setup-a-multi-protocol...
А собирать лучше с гита. Впрочем, как я уже говорил он нужен, только в особо запущенных ситуациях.

Поддержка VPN over ICMP и VPN over DNS.

Очень годно!

есть р2р сеть, мне надо максимально надёжно зашифровать ВЕСЬ трафик исходящий из этих p2p интерфейсов.

итак сеть сложна, кучу p2p итерфейсов, к ним маршрутизация и правила сетевых экранов... создание новых интерфейсов для шифрования не подходит.

ipsec правильное решение в данном случае?

Японцы, сэр. Для них слова «промышленный дизайн» это ересь белых варваров.

А под какой лицензией оно было до этого? В описании написано что там 380 000 LoC - неужели всё было прям написано с нуля без заимствования кода из других проектов?

Постараюсь попробовать, но пока OpenVPN устраивает. Не понимаю жалоб некоторых комментаторов, настройка со стороны клиента производится предельно просто. Для windows достаточно просто написать скриптик, собирающий каждому пользователю свой nsis установщик со вшитыми сертификатами.

Поддержка VPN over ICMP и VPN over DNS.

Забавный функционал, но это крайне просто обнаружить и порезать при желании.

ну типа для ленивыйх одминов, тыц тыц тыц и у тебя поднятый опенвып, тыц тыц и утебя айписек

отпишись как оно

Ну теперь ViPNet'у точно капец!

ебилды, ждем ебилдов

В эпоху дешевых китайфонов и повсеместного 3G это все уже не катит. Пользователь может на рабочем месте рядом с компом его поставить и хоть первый канал там смотреть мимо всей твоей сеточки. Это не техническая проблема по большому счету, а организационная.

так и делают