Тут ты прав, но тоже есть две оговорки. :) 1. Я не могу себе представить ситуацию, что я сижу за компом, а у меня не запущен браузер :) Ну серьезно, реалии таковы, чтоб комп без браузера это уже не комп, а узко-специализированная рабочая станция. :)
2. Ты не учитываешь скорость рендеринга самого документа. Учитывая, что в браузерах есть аппаратное ускорение, не факт, что Sumatra отрендерит его быстрее, но спорить не буду :)
Мне в голову приходит одно сравнение... Много лет назад, когда одна компания, которая никогда не делала телефоны, не имела никакого подобного опыта вдруг анонсирует новый сотовый телефон, который должен изменить мир и взорвать рынок. Рынок, давно сформировавшийся, со своими сильными игроками и супер-лояльной аудиторией. Все вокруг говорили: так не бывает. Нельзя просто так взять и сделать самый успешный телефон на ровном месте. Многие пытались, мало у кого получалось, выжили только сильнейшие, которые смогли понять тренды. Новых хоть сколько-то значимых игроков здесь уже быть не может. Это ведь логично? :) Идея - просто маркетинговый пшик - для хайпа. Ничего из этого не выйдет.
Ах, да, этот новый телефон, который должен был взорвать рынок назывался iPhone.
Я, допустим, этим телефонном не пользуюсь и вряд ли когда-нибудь его куплю, но при чем тут я? :) То, что он изменил рынок и то, что больше половины всех премиальных телефонов в мире - это Apple iPhone - глупо отрицать. :) А мало кто верил :)
Если по существу - автор очень правильно всё описал. Но он не учитывает многих "но" и все рассчеты верны только если ничего в этой модели не изменится. А если рассуждать именно так, то можно сказать, что Sony никогда не сможет заработать на PS5. Ведь каждая консоль продается в убыток. Вот только КАЖДОЕ поколение их консолей продаются в убыток... до поры до времени. :) А спустя годы они вдруг начинают продавать её с маржой. При той же самой цене.
Да, многие часто винят "криворуких" или просто "ленивых" разрабов не очень понимая как так вообще вышло. :) Ведь вроде как выглядит логичным, что раз они от одной компании, то должны были хорошо дружить друг с другом. :) А когда все эти продукты создавались разными разработчиками, в разное время и не глядя друг на друга - не так-то просто их увязать между собой постфактум. :) По крайней мере это уже не так очевидно :)
А покажите мне в каком магазине можно вообще купить PS4? Их просто нет. Поэтому да, если есть ПС4 - смысла гоняться за пс5 почти никакого ещё с годик точно. А вот если нет ПС4, то разумнее сразу брать пс5, учитывая, что ни ту, ни другую один фиг просто так не купить.
И нет, L2TP есть не везде. Например, на большинстве роутеров нет поддержки клиента L2TP. А вот PPTP есть. В том же dd-wrt. Ну так и зачем мне супер надежное шифрование OpenVPN или даже L2TP, если я не смогу использовать его на роутере? Всё что мне нужно от VPN — это не скрыть то, чем я занимаюсь в интернете (я не делаю ничего незаконного), а просто выйти в интернет из другой страны. Всё. Надежность шифрования тут не играет никакой роли. Как и при использовании Прокси, где вообще нет никакого шифрования.
У моего провайдера не PPTP. А прямой выход в интернет через белый IP. Т.е. мой трафик вообще не шифруется. Как и у 90% другого населения. И это никого не смущает. Почему если в сравнении с прямым выходом в интернет вдруг добавить VPN, который шифрует, но всё же уязвим ко взлому, то это вдруг стало менее безопасно, чем вообще без VPN? :)
Ещё раз повторю мысль: VPN в рассматриваемом мной сценарии используется не для шифрования трафика. А для выхода в интернет из другой точки мира в обход, например, блокировок РосКомНадзора. Меня вполне устраивает то, что мой трафик сейчас не шифруется при работе с провайдером. Меня не устраивает, что у меня теперь множество гугловских сервисов не работает. И я хочу исправить косяк РКН и получить доступ к легитимным ресурсам гугла. Кто-то для этого использует Прокси (который тоже НИКАК не шифруется), но это менее удобно чем VPN. Я для этого предпочитаю использовать VPN. Если бы на VPN можно было отключить шифрование — я бы его отключил для экономии ресурса роутера. Поэтому то, что это шифрование там есть. но его можно взломать — мне совершенно индифферентно.
Я задам прокалывающий вопрос: Т.е. вы считаете, что сидеть в интернете через VPN — это более опасно, чем сидеть в интернете вообще без VPN'а напрямую? :)
Сначала было думал напомнить, что в связи с хранением на рабочих серверах информации о третьих организациях, которая классифицируется как «коммерческая тайна», «служебная тайна» и «Персональные данные», доступ в мою корпоративную сеть из внешки, естественно, осуществляется только с помощью OpenVPN. Потом было думал опустить подробности и просто предложить поспорить с вами на деньги.
В конечном итоге понял, что мне не о чем разговаривать с человеком, который переходит на личности и использует в диалоге подобные аргументы:
Не сделали OpenVPN потому что не смогли. Не надо отмазок про сознательность.
facepalm.
Заморачиваться на автоматическое поднятие OpenVPN я не стал просто потому, что это никому из целевой аудитории не нужно. Кому нужен OpenVPN — к тем в принципе не сможет никак попасть в руки подобный скрипт. Вот и всё.
Во-первых, не путайте клиентский сектор и серверный сектор. Парадигма о которой я говорил — минимум софта на клиентской машине. Весь софт должен быть на сервере и вот доступ к этому контенту должен, по возможности, осуществляться без стороннего софта. Вы же сейчас передёргиваете мои слова.
Во-вторых, вы сейчас размываете предмет разговора. О чем спор в этом треде? Вы говорите, что новичку можно обойтись без этого. Конечно можно! А ещё можно обойтись без клавиатуры и монитора. Есть ведь перфокарты! Простите, утрирую. Да, новичку можно обойтись и без задавания вопросов на ЛОРе. Вот тебе учебник, вот тебе man — разбирайся. Когда-нибудь настроишь. И не факт, что лучше и безопаснее. Но да, можно и так. А можно выдернуть готовый скрипт и не обязательно мой. Их много. Выше я давал ссылку на другую статью на Хабре, где поднимается VPN, тоже PPTP, но ещё менее универсально, я хотя бы IP определяю по реальному запросу во внешку и даже если там 10 интерфейсов, в интернет-то он ходит по какому-то одному, вероятнее всего. Но мне казалось, что предмет разговора у нас другой. Меня обвинили в том, что если человек мне доверился и решил, не разбираясь, настроить VPN сервер с помощью моего скрипта, то я компрометирую это доверие тем, что устанавливаю ему менее защищенный VPN-сервер, чем мог бы. А я объясняю, что делаю это сознательно для максимально упрощения его использования. Потому что в моей парадигме, пользоваться этим будут только для баловства, тестов, экспериментов и, действительно, каких-то прикладных задач, но где не важна конфиденциальность (покер, игры, медиа-контент, ограниченный по географическому признаку). И вот в чём прав iAndrey, так это в том, что, пожалуй, мне стоит выводить на экран предупреждение о степени защищенности такого канала (как, например, я предупреждаю, что использование анонимного прокси незаконно и может вызвать блокировку VPS). За этот совет ему спасибо — обязательно учту.
Ну и простите меня за то, что я покусился на святую unix-way философию. Я признаю, что как раз цель была не заставлять пользователя использовать десяток разных скриптов для разных ситуаций (или шпаргалок на гуглодоксе как что сделать), а скачать всего один скрипт для разных ситуаций. Действительно, это скорее windows-философия, отсюда и столько негатива. Мне показалось, что целевой аудитории (которые как раз исповедуют MS-веру, а не Unix) так будет проще, понятнее и привычнее (и некоторые комментарии и сообщения в личку это подтверждают). И это позволит им меньше бояться линукса, использовать его хоть для чего-то уже прямо сейчас и постепенно начать разбираться в нём самому.
То, что этот подход категорически не понравится любому тру *nix-адепту — я понимал и шел на это сознательно. И то, что каждый мой пост в комментариях вы стабильно минусуете, независимо от его содержания просто по «религиозному признаку» (что никак вас не красит) — я тоже прекрасно понимаю и продолжаю отстаивать свою точку зрения. Благо рейтинг позволяет.
Но в целом я рад, что публикация получилась довольно хайповой, собрала ~56k просмотров, ~600 «закладок» и тонны говна в комментариях. И люди активно тратили свои очки, чтобы выставить ей либо плюсик, либо минусик. Перевес в сторону плюсиков всё-таки говорит о том, что её не нужно выкинуть. Стоит отсеить эмоции в комментариях, принять к сведению здоровую критику, кое что поменять и выложить на гитхаб.
На этом, собственно, всем большое спасибо за конструктивную критику.
А вот я его использовал как 10 лет назад, так и сейчас. В самых разных ситуациях. И у меня ни разу почему-то его не взламывали. Могли, наверное. Но не взламывали вот почему-то.
А если бы и взломали, то мне не был нанесен какой-либо ущерб от слова «совсем». Я не передаю конфиденциальную информацию по нему. Конфиденциальные данные я передам по тому же OpenVPN, например.
Без обид, но мне не нужно ваше репетиторство. Я в состоянии поднять OpenVPN сервер и настроить клиент. И автоматизировать настройку и того и другого. Вот только зачем? Мне это не нужно. Выбор в пользу PPTP был сделан абсолютно сознательно, а не от безысходности. Мы может быть с вами живем в разных мирах (хотя я тоже родился в Бийске, кстати, так что привет родной земле), но в моем мире («домашнем», а не корпоративном) я и всё мое окружение выбирает простоту. Это называется «симплификация». Вы вот прислали ссылки на приложения в Play Market и App Store. Но это ведь нужно установить эти приложения. И настроить их. Зачем? Я не хочу это делать. Я против установки любых stand-alone приложений, если без них можно обойтись. Я считаю, что глупо ставить на компьютер приложения типа Evernote/Onenote и различные ToDo, глупо ставить почтовый клиент, глупо ставить специализированное ПО для работы с интернет-банком (и не дай бог ещё Java Machine некоторые банки заставляют устанавливать). В моей парадигме — всё должно работать либо «из коробки» (в данном случае речь о «коробке» ОС), либо в браузере. В любой непонятной ситуации на пользовательской машине (речь ведь не о серверах?) ставить очередную программу — это анахронизм. И в целом индустрия развивается именно в этом направлении. 20 лет назад все проверяли почту в «Outlook Express», 10 лет назад в «The Bat!», сейчас уже почти никто не пользуется никакими почтовыми клиентами — все работают в вебе (не считая корпоративный сектор, но речь не о них ведь). Microsoft, например, начиная с Win10 build 1511 встроил Skype внутрь ОС, теперь эти сообщения сыпятся в уведомления ОС сразу на все устройства пользователя (телефон, планшет, компьютер). И пользоваться им стало чуточку комфортнее, потому что запускать каждый раз отдельное приложение для того, чтобы перекинуться парой фраз — это бред. Почти все известные сервисы обзавелись веб-интерфейсом. Даже MS Office уже многие даже не ставят, т.к. простенькие задачи можно решать прям в вебе. Бесплатно и без нарушения лицензионного соглашения. Да даже в 1С сейчас можно работать, не устанавливая НИЧЕГО на клиентский компьютер. Это называется «тенденция». Так развивается индустрия. И это сложно оспаривать.
А теперь давайте вернемся к VPN. Есть два варианта: использовать PPTP, который нативно поддерживается любой мобильной и настольной ОС и не требует установки никакого стороннего софта. Просто вводите адрес, логин, пароль и вуа-ля, мы в другой сети. И есть другой вариант — OpenVPN, который на ЛЮБОЙ ОС требует установку отдельного ПО. А кроме этого — ещё хранения где-то своих ключей шифрования. Кроме не самой простой настройки сервера, приходится довольно долго настраивать КАЖДОЕ клиентское устройство, с которого мы хотим подключиться. Туда нужно поставить софт, настроить, а потом ещё как-то доставить туда ключи шифрования. И вот тут, кстати, наша безопасность уже может кануть в лету. Дело в том, что если человеку на каждой клиентской машине может понадобиться закрытый ключ, то этот ключ он начинает хранить… где? В каком-нибудь легко доступном месте. Например, в Dropbox. Ну и о какой безопасности тогда идёт речь, если свои ключи становится скомпромитировать ещё проще при неправильном подходе? А как вы хотите заставить пользователя пересмотреть свои взгляды на хранение ключей? Это даже банкам особо не удалось.
И вот два этих варианта (PPTP/OpenVPN) дают клиенту абсолютно одну и ту же «услугу» — они пускают его в другую сеть. Разница только в стойкости шифрования. Да, OpenVPN намного безопаснее, с этим никто не спорит (вопрос про компрометирование ключей пока оставим). Но вот вопрос… Зачем ему эта повышенная безопасность? Тут нужно обратить внимание на потребности конечного пользователя. Если он собирается по этому VPN-каналу кидать перс.данные своих клиентов — тогда вопросов нет, тут важна безопасность, потому что за сохранность этих данных есть ответственность, предусмотренная ст. ФЗ 152. Или если по этому каналу он собирается гонять платежные транзакции — тоже спору нет. Вот только это не является целевой аудиторией в данном случае. А если цели пользователя попроще? Например, поиграть в онлайн-покер, который запрещен РосКомНадзором. Или подменить свой географический регион, например, чтобы в Steam купить игру по акции, проводимой для другой страны. Или, например, посмотреть онлайн-видео сервисы, которые работают только для пользователей США. Во всех этих случаях по VPN не передается конфиденциальной информации. Задачи пользователя очень просты — обойти географические запреты. Пользователю наплевать, расшифруют ли его трафик пока он смотрит Netflix или нет. Ему вообще это без разницы. А вот возможность посмотреть американский сериал в онлайн-сервисе (никакого пиратства, sic!) с любого устройства с наименьшими трудозатратами (без установки софта) — это ему намного важнее. Неужели это непонятно?
И я ещё раз задам вопрос. Вот представьте: я допишу в скрипт автоматическое поднятие OpenVPN сервера и предоставлю пользователю выбор на каком протоколе создать VPN. При этом я очень крупно и жирно напишу, что шифрование PPTP самое слабое из всех возможных протоколов VPN, что я не рекомендую его использовать, если по каналу передается конфиденциальная информация, что лучше использовать OpenVPN, но сделаю оговорку, что он требует установки стороннего ПО и ключей на клиентской стороне. И вот как вы думаете, имея такой выбор, что выберет конечный пользователь? Простоту или безопасность в ситуации, когда она неважна? Вы уверен, что в 100% случаев будет выбран OpenVPN? А вот я уверен, что даже не в половине случаев. Просто мы с вами по разному оцениваем целевую аудиторию, которая может использовать этот скрипт и собственно задачи, для которых он будет использоваться.
А за сколько $ вы научите конечного пользователя не морщиться, когда он возьмет в руки планшет (и, кстати, не важно на какой ОС: Win10, Android или iOS), захочет открыть сайт, внесенный в реестр РосКомНадзора, поймет, что открыть он его не может, а подключиться к своему болгарскому VPN он не может, просто потому, что ни в одной ОС на его планшетах нет встроенной поддержки OpenVPN и ему придется открывать ваш сайт, искать утилитку под его ОС, которая равзернет OpenVPN и подтянет бог знает откуда его собственный ключ шифрования?
И самое главное, ради чего повышенное шифрование этой сессии, если он собрался не банк взламывать, а рутрэкер открыть?
Я хочу задать несколько простых вопросов:
1. Вы считаете, что если вы не используете PPTP, то его в этом мире не использует никто? У вас есть статистика сколько сессий в мире поднимается на PPTP, сколько на L2TP, а сколько на OpenVPN?
2. А то, что большая часть крупных провайдеров (в т.ч. «Билайн») всех домашних пользователей проводного интернета обязывает использовать именно PPTP для выхода в интернет, вас не смущает? :)
3. Как вы думаете, если пользователю, который ничего не понимает в VPN, в шифровании, в безопасности и в настройке линукс, предоставить выбор: поднять PPTP и подключиться из любой винды в пару кликов, не ставя ничего или же поднять OpenVPN, ставить сторонний софт, сертификаты и так далее, и даже крупными буквами написать, что защищенность OpenVPN многократно выше, то все ли добровольно выберут OpenVPN?
Более того, у вас же полноценный аккаунт на Хабре. Вам ничто не мешает, в противовес к моей публикации, написать свою публикацию, где вы научите пользователей, правильно выбирать дистрибутив, правильно поднимать VPN на том протоколе, который считаете самым правильным. Научите правильно учитывать всю специфику дистрибутива и так далее. Где вы пошагово объясните что делает каждая команда на пути поднятия VPN. Поднимите вопрос правильной настройки конфига VPN и настройки iptables или firewalld. Будет весьма полезная статья. Сам, с удовольствием почитаю.
Что вас останавливает? Народ ведь требует именно таких статей!
Кстати, вот пример с Хабра: https://habrahabr.ru/company/infopulse/blog/183628/
Гляньте, гляньте! Там приведен скрипт поднятия VPN сервера под Debian. Делает примерно то же самое. Только обратите внимание как он написано. IP он берет только для интерфейса venet0:0 (который там «захардкожен»). Причем, предполагаю, что не во всех версиях дистрибутива он одинаково хорошо определит IP, потому что вывод команды ifconfig может отличаться.
Но интересно даже не это. Интересно, что я потом лично на ЛОРе видел обсуждение, где нубы спрашивали почему же этот скрипт не работает. Не работал он, естественно, потому что интерфейс у него был eth0. Человек потратил несколько дней, чтобы добиться ответа на этот вопрос. И стал ли он лучше знать Линукс? Нет. Я ему хотя бы сэкономил время. Он сработает на любой версии rhel-дистрибутива и на любом интерфейсе.
Зло это или нет — вопрос всё же филосовский. Вам не нравится — вы не пользуйтесь. Но, поверьте, есть люди, которым он пригодился. И это никак не зависит от вашего отношения к ним и к их профессионализму.
P.S. Ещё раз: не принимайте на свой личный счёт. Просто точек зрения чуть больше, чем одна ваша.
Не поверите, но очень часто спрашивают PPTP. Потому что именно PPTP поднимается в винде в пару кликов, без танцев с бубном и стороннего софта. Ровно как и на домашних роутерах PPTP — самый поддерживаемый протокол. Следом за ним L2TP.
Если для вас дать возможность любому нубу, без объяснений, мануалов и тестов, развернуть свой VPN-сервер где-нибудь в Болгарии или Нидерландах за минуту, просто нажав несколько раз «далее» — это зло, то ради бога. Считайте так. Это всего-лишь ваша точка зрения. На свете есть и другие.
Только без этого он всё равно так сделает, но значительно дольше. Он залезет на ЛОР, часа два там поищет какие-то практики, попытается развернуть OpenVPN под какой-нибудь Fedora, не сможет подключиться к нему сначала потому, что не поймёт, что для openVPN нужно ставить сторонний софт под виндой. Потом, возможно, переделав всё на PPTP он ещё раз не сможет подключиться к VPN просто потому, что в этих советах не было ни слова про настройку iptables. Далее он психанет, пойдёт ещё куда-нибудь и, в итоге, найдет как отключается «страшный фаервол», отключит его и будет пользоваться тем, что получилось. Просто потому что работает и по-другому он «не осилил».
Я ему просто сэкономлю время. И хотя бы закрою все лишние порты в iptables.
Нет, конечно. Вы, видимо, не читали публикацию. Там написано, что работает скрипт только на RHEL дистрибутивах. И в планах сделать так, чтобы он ровно так же работал еще и на Debian дистрибутивах. Ни один новичок (а целевая аудитория скрипта — ни разу не админы), никогда в жизни, даже случайно, не поставит Arch. В общем-то, ни у одного хостера VPS, я ни разу не встречал в наличии образа Arch. Нет его, ни на DigitalOcean, ни на VULTR.
Но вы всё это знаете лучше меня. Так и к чему был этот вопрос? Потролить человека, который разбирается в Линукс меньше вас? Или была ещё какая-то цель?
Тут ты прав, но тоже есть две оговорки. :)
1. Я не могу себе представить ситуацию, что я сижу за компом, а у меня не запущен браузер :) Ну серьезно, реалии таковы, чтоб комп без браузера это уже не комп, а узко-специализированная рабочая станция. :)
2. Ты не учитываешь скорость рендеринга самого документа. Учитывая, что в браузерах есть аппаратное ускорение, не факт, что Sumatra отрендерит его быстрее, но спорить не буду :)
Ээээ, я что-то делаю не так? У меня вообще ничего из этого нет. Все PDF открываются в любом браузере. :)
Мне в голову приходит одно сравнение... Много лет назад, когда одна компания, которая никогда не делала телефоны, не имела никакого подобного опыта вдруг анонсирует новый сотовый телефон, который должен изменить мир и взорвать рынок. Рынок, давно сформировавшийся, со своими сильными игроками и супер-лояльной аудиторией. Все вокруг говорили: так не бывает. Нельзя просто так взять и сделать самый успешный телефон на ровном месте. Многие пытались, мало у кого получалось, выжили только сильнейшие, которые смогли понять тренды. Новых хоть сколько-то значимых игроков здесь уже быть не может. Это ведь логично? :) Идея - просто маркетинговый пшик - для хайпа. Ничего из этого не выйдет.
Ах, да, этот новый телефон, который должен был взорвать рынок назывался iPhone.
Я, допустим, этим телефонном не пользуюсь и вряд ли когда-нибудь его куплю, но при чем тут я? :) То, что он изменил рынок и то, что больше половины всех премиальных телефонов в мире - это Apple iPhone - глупо отрицать. :) А мало кто верил :)
Если по существу - автор очень правильно всё описал. Но он не учитывает многих "но" и все рассчеты верны только если ничего в этой модели не изменится. А если рассуждать именно так, то можно сказать, что Sony никогда не сможет заработать на PS5. Ведь каждая консоль продается в убыток. Вот только КАЖДОЕ поколение их консолей продаются в убыток... до поры до времени. :) А спустя годы они вдруг начинают продавать её с маржой. При той же самой цене.
Этот момент, на самом деле, очень эмоционально подан в видео-версии :) Для статьи - да, возможно лишнее. :)
Да, многие часто винят "криворуких" или просто "ленивых" разрабов не очень понимая как так вообще вышло. :) Ведь вроде как выглядит логичным, что раз они от одной компании, то должны были хорошо дружить друг с другом. :) А когда все эти продукты создавались разными разработчиками, в разное время и не глядя друг на друга - не так-то просто их увязать между собой постфактум. :) По крайней мере это уже не так очевидно :)
А покажите мне в каком магазине можно вообще купить PS4? Их просто нет. Поэтому да, если есть ПС4 - смысла гоняться за пс5 почти никакого ещё с годик точно. А вот если нет ПС4, то разумнее сразу брать пс5, учитывая, что ни ту, ни другую один фиг просто так не купить.
Ещё раз повторю мысль: VPN в рассматриваемом мной сценарии используется не для шифрования трафика. А для выхода в интернет из другой точки мира в обход, например, блокировок РосКомНадзора. Меня вполне устраивает то, что мой трафик сейчас не шифруется при работе с провайдером. Меня не устраивает, что у меня теперь множество гугловских сервисов не работает. И я хочу исправить косяк РКН и получить доступ к легитимным ресурсам гугла. Кто-то для этого использует Прокси (который тоже НИКАК не шифруется), но это менее удобно чем VPN. Я для этого предпочитаю использовать VPN. Если бы на VPN можно было отключить шифрование — я бы его отключил для экономии ресурса роутера. Поэтому то, что это шифрование там есть. но его можно взломать — мне совершенно индифферентно.
В конечном итоге понял, что мне не о чем разговаривать с человеком, который переходит на личности и использует в диалоге подобные аргументы:
facepalm.
Заморачиваться на автоматическое поднятие OpenVPN я не стал просто потому, что это никому из целевой аудитории не нужно. Кому нужен OpenVPN — к тем в принципе не сможет никак попасть в руки подобный скрипт. Вот и всё.
Во-вторых, вы сейчас размываете предмет разговора. О чем спор в этом треде? Вы говорите, что новичку можно обойтись без этого. Конечно можно! А ещё можно обойтись без клавиатуры и монитора. Есть ведь перфокарты! Простите, утрирую. Да, новичку можно обойтись и без задавания вопросов на ЛОРе. Вот тебе учебник, вот тебе man — разбирайся. Когда-нибудь настроишь. И не факт, что лучше и безопаснее. Но да, можно и так. А можно выдернуть готовый скрипт и не обязательно мой. Их много. Выше я давал ссылку на другую статью на Хабре, где поднимается VPN, тоже PPTP, но ещё менее универсально, я хотя бы IP определяю по реальному запросу во внешку и даже если там 10 интерфейсов, в интернет-то он ходит по какому-то одному, вероятнее всего. Но мне казалось, что предмет разговора у нас другой. Меня обвинили в том, что если человек мне доверился и решил, не разбираясь, настроить VPN сервер с помощью моего скрипта, то я компрометирую это доверие тем, что устанавливаю ему менее защищенный VPN-сервер, чем мог бы. А я объясняю, что делаю это сознательно для максимально упрощения его использования. Потому что в моей парадигме, пользоваться этим будут только для баловства, тестов, экспериментов и, действительно, каких-то прикладных задач, но где не важна конфиденциальность (покер, игры, медиа-контент, ограниченный по географическому признаку). И вот в чём прав iAndrey, так это в том, что, пожалуй, мне стоит выводить на экран предупреждение о степени защищенности такого канала (как, например, я предупреждаю, что использование анонимного прокси незаконно и может вызвать блокировку VPS). За этот совет ему спасибо — обязательно учту.
Ну и простите меня за то, что я покусился на святую unix-way философию. Я признаю, что как раз цель была не заставлять пользователя использовать десяток разных скриптов для разных ситуаций (или шпаргалок на гуглодоксе как что сделать), а скачать всего один скрипт для разных ситуаций. Действительно, это скорее windows-философия, отсюда и столько негатива. Мне показалось, что целевой аудитории (которые как раз исповедуют MS-веру, а не Unix) так будет проще, понятнее и привычнее (и некоторые комментарии и сообщения в личку это подтверждают). И это позволит им меньше бояться линукса, использовать его хоть для чего-то уже прямо сейчас и постепенно начать разбираться в нём самому.
То, что этот подход категорически не понравится любому тру *nix-адепту — я понимал и шел на это сознательно. И то, что каждый мой пост в комментариях вы стабильно минусуете, независимо от его содержания просто по «религиозному признаку» (что никак вас не красит) — я тоже прекрасно понимаю и продолжаю отстаивать свою точку зрения. Благо рейтинг позволяет.
Но в целом я рад, что публикация получилась довольно хайповой, собрала ~56k просмотров, ~600 «закладок» и тонны говна в комментариях. И люди активно тратили свои очки, чтобы выставить ей либо плюсик, либо минусик. Перевес в сторону плюсиков всё-таки говорит о том, что её не нужно выкинуть. Стоит отсеить эмоции в комментариях, принять к сведению здоровую критику, кое что поменять и выложить на гитхаб.
На этом, собственно, всем большое спасибо за конструктивную критику.
А если бы и взломали, то мне не был нанесен какой-либо ущерб от слова «совсем». Я не передаю конфиденциальную информацию по нему. Конфиденциальные данные я передам по тому же OpenVPN, например.
А теперь давайте вернемся к VPN. Есть два варианта: использовать PPTP, который нативно поддерживается любой мобильной и настольной ОС и не требует установки никакого стороннего софта. Просто вводите адрес, логин, пароль и вуа-ля, мы в другой сети. И есть другой вариант — OpenVPN, который на ЛЮБОЙ ОС требует установку отдельного ПО. А кроме этого — ещё хранения где-то своих ключей шифрования. Кроме не самой простой настройки сервера, приходится довольно долго настраивать КАЖДОЕ клиентское устройство, с которого мы хотим подключиться. Туда нужно поставить софт, настроить, а потом ещё как-то доставить туда ключи шифрования. И вот тут, кстати, наша безопасность уже может кануть в лету. Дело в том, что если человеку на каждой клиентской машине может понадобиться закрытый ключ, то этот ключ он начинает хранить… где? В каком-нибудь легко доступном месте. Например, в Dropbox. Ну и о какой безопасности тогда идёт речь, если свои ключи становится скомпромитировать ещё проще при неправильном подходе? А как вы хотите заставить пользователя пересмотреть свои взгляды на хранение ключей? Это даже банкам особо не удалось.
И вот два этих варианта (PPTP/OpenVPN) дают клиенту абсолютно одну и ту же «услугу» — они пускают его в другую сеть. Разница только в стойкости шифрования. Да, OpenVPN намного безопаснее, с этим никто не спорит (вопрос про компрометирование ключей пока оставим). Но вот вопрос… Зачем ему эта повышенная безопасность? Тут нужно обратить внимание на потребности конечного пользователя. Если он собирается по этому VPN-каналу кидать перс.данные своих клиентов — тогда вопросов нет, тут важна безопасность, потому что за сохранность этих данных есть ответственность, предусмотренная ст. ФЗ 152. Или если по этому каналу он собирается гонять платежные транзакции — тоже спору нет. Вот только это не является целевой аудиторией в данном случае. А если цели пользователя попроще? Например, поиграть в онлайн-покер, который запрещен РосКомНадзором. Или подменить свой географический регион, например, чтобы в Steam купить игру по акции, проводимой для другой страны. Или, например, посмотреть онлайн-видео сервисы, которые работают только для пользователей США. Во всех этих случаях по VPN не передается конфиденциальной информации. Задачи пользователя очень просты — обойти географические запреты. Пользователю наплевать, расшифруют ли его трафик пока он смотрит Netflix или нет. Ему вообще это без разницы. А вот возможность посмотреть американский сериал в онлайн-сервисе (никакого пиратства, sic!) с любого устройства с наименьшими трудозатратами (без установки софта) — это ему намного важнее. Неужели это непонятно?
И я ещё раз задам вопрос. Вот представьте: я допишу в скрипт автоматическое поднятие OpenVPN сервера и предоставлю пользователю выбор на каком протоколе создать VPN. При этом я очень крупно и жирно напишу, что шифрование PPTP самое слабое из всех возможных протоколов VPN, что я не рекомендую его использовать, если по каналу передается конфиденциальная информация, что лучше использовать OpenVPN, но сделаю оговорку, что он требует установки стороннего ПО и ключей на клиентской стороне. И вот как вы думаете, имея такой выбор, что выберет конечный пользователь? Простоту или безопасность в ситуации, когда она неважна? Вы уверен, что в 100% случаев будет выбран OpenVPN? А вот я уверен, что даже не в половине случаев. Просто мы с вами по разному оцениваем целевую аудиторию, которая может использовать этот скрипт и собственно задачи, для которых он будет использоваться.
И самое главное, ради чего повышенное шифрование этой сессии, если он собрался не банк взламывать, а рутрэкер открыть?
1. Вы считаете, что если вы не используете PPTP, то его в этом мире не использует никто? У вас есть статистика сколько сессий в мире поднимается на PPTP, сколько на L2TP, а сколько на OpenVPN?
2. А то, что большая часть крупных провайдеров (в т.ч. «Билайн») всех домашних пользователей проводного интернета обязывает использовать именно PPTP для выхода в интернет, вас не смущает? :)
3. Как вы думаете, если пользователю, который ничего не понимает в VPN, в шифровании, в безопасности и в настройке линукс, предоставить выбор: поднять PPTP и подключиться из любой винды в пару кликов, не ставя ничего или же поднять OpenVPN, ставить сторонний софт, сертификаты и так далее, и даже крупными буквами написать, что защищенность OpenVPN многократно выше, то все ли добровольно выберут OpenVPN?
Что вас останавливает? Народ ведь требует именно таких статей!
Гляньте, гляньте! Там приведен скрипт поднятия VPN сервера под Debian. Делает примерно то же самое. Только обратите внимание как он написано. IP он берет только для интерфейса venet0:0 (который там «захардкожен»). Причем, предполагаю, что не во всех версиях дистрибутива он одинаково хорошо определит IP, потому что вывод команды ifconfig может отличаться.
Но интересно даже не это. Интересно, что я потом лично на ЛОРе видел обсуждение, где нубы спрашивали почему же этот скрипт не работает. Не работал он, естественно, потому что интерфейс у него был eth0. Человек потратил несколько дней, чтобы добиться ответа на этот вопрос. И стал ли он лучше знать Линукс? Нет. Я ему хотя бы сэкономил время. Он сработает на любой версии rhel-дистрибутива и на любом интерфейсе.
Зло это или нет — вопрос всё же филосовский. Вам не нравится — вы не пользуйтесь. Но, поверьте, есть люди, которым он пригодился. И это никак не зависит от вашего отношения к ним и к их профессионализму.
P.S. Ещё раз: не принимайте на свой личный счёт. Просто точек зрения чуть больше, чем одна ваша.
Если для вас дать возможность любому нубу, без объяснений, мануалов и тестов, развернуть свой VPN-сервер где-нибудь в Болгарии или Нидерландах за минуту, просто нажав несколько раз «далее» — это зло, то ради бога. Считайте так. Это всего-лишь ваша точка зрения. На свете есть и другие.
Только без этого он всё равно так сделает, но значительно дольше. Он залезет на ЛОР, часа два там поищет какие-то практики, попытается развернуть OpenVPN под какой-нибудь Fedora, не сможет подключиться к нему сначала потому, что не поймёт, что для openVPN нужно ставить сторонний софт под виндой. Потом, возможно, переделав всё на PPTP он ещё раз не сможет подключиться к VPN просто потому, что в этих советах не было ни слова про настройку iptables. Далее он психанет, пойдёт ещё куда-нибудь и, в итоге, найдет как отключается «страшный фаервол», отключит его и будет пользоваться тем, что получилось. Просто потому что работает и по-другому он «не осилил».
Я ему просто сэкономлю время. И хотя бы закрою все лишние порты в iptables.
Но вы всё это знаете лучше меня. Так и к чему был этот вопрос? Потролить человека, который разбирается в Линукс меньше вас? Или была ещё какая-то цель?