Comments 50
вот как в пакеты засунут — присмотрюсь внимательнее :) А то самому следить за обновлениями безопасности такой громадины мне облом
+8
Если будете писать еще — было бы интересно почитать, про тунелирование через ICMP и DNS.
+1
Он pptp умеет?
0
В мануале ничего на этот счет не сказано, значит, видимо, не умеет
0
Умеет.
Однако у меня от короткого знакомства с ним сложилось впечатление что ресурсов он кушает куда больше стандартных решений…
Однако у меня от короткого знакомства с ним сложилось впечатление что ресурсов он кушает куда больше стандартных решений…
+1
Кому в наше время нужен pptp? Как минимум есть l2tp, если нужно что-то стандартное, и мульён прочих если не нужно.
+3
Плюс PPTP в том, что его умеют все.
Вот мне, например, проще PPTP на телефоне настроить, чем мучиться с какими-то сертификатами или левыми клиентами.
Вот мне, например, проще PPTP на телефоне настроить, чем мучиться с какими-то сертификатами или левыми клиентами.
+1
OpenVPN же клиенты выпустил. Конечно можно не доверять клиентам из стора, но чем это лучше потенциально уязвимого pptp.
0
Я на телефоне (андроид) как два пальца настраиваю L2TP с IPSEC безо всяких сертификатов — просто через pre-shared-key.
В итоге имеем:
1. Шифрование туннеля
2. Гораздо лучшую проходимость через всякие провайдерские файрволлы и NAT-ы т.к. PPTP использует GRE, который через одного блокируют, а L2TP/IPSEC при невозможности установления прямого ESP-соединения откатывается на инкапсуляцию в UDP, который проходит везде.
Я в свое время с PPTP намучался — не могут клиенты с телефона подключиться или с йоты какой-нибудь. Перевел на L2TP/IPSEC — проблем не знаю.
В итоге имеем:
1. Шифрование туннеля
2. Гораздо лучшую проходимость через всякие провайдерские файрволлы и NAT-ы т.к. PPTP использует GRE, который через одного блокируют, а L2TP/IPSEC при невозможности установления прямого ESP-соединения откатывается на инкапсуляцию в UDP, который проходит везде.
Я в свое время с PPTP намучался — не могут клиенты с телефона подключиться или с йоты какой-нибудь. Перевел на L2TP/IPSEC — проблем не знаю.
+2
l2tp/ipsec через nat работает? Насколько я знаю, ipsec не очень с натом дружит…
0
Дружит, но с оговорками. У некоторых реализаций серверов есть проблемы при работе несколько клиентов находящихся за одним натом. Точнее говоря работать может только один клиент, остальных дисконнектит. В openswan это решается при помощи XFRM marks. ISA вроде бы тоже умела решать эту проблема.
А собсно проблема заключается в том, что несколько l2tp клиентов одновременно пытаются создать ipsec с одинаковым IPsec policy [udp/l2tp] === [udp/l2tp].
И… проблема только при использовании psk. С сертификатами такой беды нет.
А собсно проблема заключается в том, что несколько l2tp клиентов одновременно пытаются создать ipsec с одинаковым IPsec policy [udp/l2tp] === [udp/l2tp].
И… проблема только при использовании psk. С сертификатами такой беды нет.
0
Это, я думаю, ограничения конкретного сервера, а не протокола. У меня такой проблемы нет.
0
Работает отлично через IPSEC NAT Traversal. Насчет нескольких клиентов за одним NAT-ом тоже проблемы такой не видел — коннектился из дома с двух ноутов одновременно — никаких проблем. Внешний IP один. В качестве сервера L2TP — Cisco ASA, клиенты стандартные в Win и OSX.
0
pptp от openvpn отличается тем, что андроид его из коробки умеет. И умеет ограничивать весь трафик, если pptp лежит. А клиент openvpn этого не умеет, увы. Так что я для телефона использую pptp туннель, а для остальных машин — openvpn.
+1
У него такое название — Layer2 — потому что через него еще можно и ethernet туннелировать, при желании. Правда, только в версии протокола v3 в режиме pseudowire. А так он работает по самому обычному UDP. И на него уже полностью почти перешел билайн для предоставления доступа домашним абонентам т.к. скорость работы тупо выше и не сильно грузит BRASы.
Да, андроид его тоже поддерживает из коробки, есличо.
Да, андроид его тоже поддерживает из коробки, есличо.
0
Умеет он все, умеет. OpenVPN Connect → Preferences → Seamless Tunnel.
0
Я вот тут хвалю эту софтину, понимаете ли, а она тем временем на моей VPS-ке понаоткрывала штук 20 соединений со всеми частями света! Что-то мне это перестает нравится… Пока понаблюдаю за ее поведением, благо VPS-ку не жалко…
+4
Поднял у себя на впске в хецнере под дебианом.
Ресурсов жрёт много, на одной машине с ejabberd уживается с трудом (при том, что серверами пользуюсь сугубо я). L2TP работает, PPTP работает, OpenVPN не проверял. Немного пришлось покрутить конфиг, чтобы отбить желание софта юзать DDNS и прочую ерунду, но в остальном претензий пока нет.
Ресурсов жрёт много, на одной машине с ejabberd уживается с трудом (при том, что серверами пользуюсь сугубо я). L2TP работает, PPTP работает, OpenVPN не проверял. Немного пришлось покрутить конфиг, чтобы отбить желание софта юзать DDNS и прочую ерунду, но в остальном претензий пока нет.
+2
сервер непрерывно читает этот файл и любые изменения в нем мгновенно отражаются на работе сервера
прога зачем-то стукнулась по адресу 130.158.6.77:80
WTF??? Ну и NAT в юзерспейсе — тоже сомнительное преимущество. Хотя, конечно, красиво описано.
прога зачем-то стукнулась по адресу 130.158.6.77:80
WTF??? Ну и NAT в юзерспейсе — тоже сомнительное преимущество. Хотя, конечно, красиво описано.
+1
Судя по стилю настроек про unix-way авторы не слышали. Напоминает wizard-ы… То есть спец прога пишет конфиг, а демон всё время его читает. Жуть какая.
Не понятно зачем дублировать хорошо работающие функции фильтрования и роутинга пакетов, которые обычно работают на уровне ядра своим велосипедом в user-space.
Не понятно зачем дублировать хорошо работающие функции фильтрования и роутинга пакетов, которые обычно работают на уровне ядра своим велосипедом в user-space.
+2
Он так дырку в жёстком диске протрёт.
0
Согласен. Хотя насчет конфиг-файла, такой же схемой пользуются в маршрутизаторах Juniper Networks. То бишь вроде ничего особо криминального. А вот насчет натирования и фильтрации — явный велосипед. Почему-то авторы проги очень сильно хотели чтобы она работала в чистом юзерлэнде. Зачем, не совсем понятно…
0
С протоколами SSL VPN и MS SSTP пока связываться не хочу
Как раз хотелось бы узнать тест работы SSL VPN (SoftEtherVPN), потому что только для этого протокола заявляется поддержка почти до 1 Гбит/с, а точнее 980 Мбит/с, хотя это и не укладывается в моём мозгу с учётом вложенности в HTTPS. К тому же заявляется, что он единственный необнаружим для фаерволов (стандартный HTTPS).
0
Кто-нибудь разобрался, как в свойствах клиента указать, что я хочу прицепиться по ICMP или DNS? В мануале ни слова про это…
0
Спасибо за напоминание :)
пойду попробую завести на FreeBSD.
пойду попробую завести на FreeBSD.
0
Удалено, ошибся вкладкой.
0
авторизация из RADIUS и AD
Этот функционал пока не доступен.
0
Как я понял, динамический DNS выдается автоматом в последней версии, т.к. сразу увидел его по DymanicDnsGetStatus
0
смешных штук как VPN over ICMP и DNS.Уже не смешно https://geektimes.ru/post/289897/
0
Можно ли поменять udp порт и MTU IPSec, чтобы успешно проходить 2ip.ru/privacy?
0
android6 — l2tp ipsec не подрубается, «сбой» моментально. В логах сервера чет пусто…
0
Sign up to leave a comment.
Articles
Change theme settings
Настройка VPN-сервера SoftEtherVPN под Linux