Системное администрирование
Сетевые технологии
Комментарии 50
+8
вот как в пакеты засунут — присмотрюсь внимательнее :) А то самому следить за обновлениями безопасности такой громадины мне облом
+1
Если будете писать еще — было бы интересно почитать, про тунелирование через ICMP и DNS.
0
В мануале ничего на этот счет не сказано, значит, видимо, не умеет
0
Увы.

Пока что я для себя его отметил, но особого интереса не вижу. Ну да, ещё один vpn. С учётом, что два туна или тапа можно объединить ssh, openvpn, sstunel и ещё пачкой других методов — ну да, ещё один.

+1
Умеет.
Однако у меня от короткого знакомства с ним сложилось впечатление что ресурсов он кушает куда больше стандартных решений…
0
Пардоньте. Ошибся. Спутал с l2tp, так как его у меня точно так же поддерживают все девайсы от смарта до роутера…
+3
Кому в наше время нужен pptp? Как минимум есть l2tp, если нужно что-то стандартное, и мульён прочих если не нужно.
+1
Плюс PPTP в том, что его умеют все.
Вот мне, например, проще PPTP на телефоне настроить, чем мучиться с какими-то сертификатами или левыми клиентами.
0
OpenVPN же клиенты выпустил. Конечно можно не доверять клиентам из стора, но чем это лучше потенциально уязвимого pptp.
+2
Я на телефоне (андроид) как два пальца настраиваю L2TP с IPSEC безо всяких сертификатов — просто через pre-shared-key.

В итоге имеем:
1. Шифрование туннеля
2. Гораздо лучшую проходимость через всякие провайдерские файрволлы и NAT-ы т.к. PPTP использует GRE, который через одного блокируют, а L2TP/IPSEC при невозможности установления прямого ESP-соединения откатывается на инкапсуляцию в UDP, который проходит везде.

Я в свое время с PPTP намучался — не могут клиенты с телефона подключиться или с йоты какой-нибудь. Перевел на L2TP/IPSEC — проблем не знаю.
0
l2tp/ipsec через nat работает? Насколько я знаю, ipsec не очень с натом дружит…
0
Дружит, но с оговорками. У некоторых реализаций серверов есть проблемы при работе несколько клиентов находящихся за одним натом. Точнее говоря работать может только один клиент, остальных дисконнектит. В openswan это решается при помощи XFRM marks. ISA вроде бы тоже умела решать эту проблема.
А собсно проблема заключается в том, что несколько l2tp клиентов одновременно пытаются создать ipsec с одинаковым IPsec policy [udp/l2tp] === [udp/l2tp].
И… проблема только при использовании psk. С сертификатами такой беды нет.
0
Это, я думаю, ограничения конкретного сервера, а не протокола. У меня такой проблемы нет.
0
Так и есть. В двух известных мне реализациях ipsec под linux есть такая проблема. В openswan для этого используется можно включить XFRM marks. Как это решить в Racoon я даже не знаю. Если в SoftEtherVPN эта проблема решена, то это большое преимущество перед другими linux серверами.
0
Работает отлично через IPSEC NAT Traversal. Насчет нескольких клиентов за одним NAT-ом тоже проблемы такой не видел — коннектился из дома с двух ноутов одновременно — никаких проблем. Внешний IP один. В качестве сервера L2TP — Cisco ASA, клиенты стандартные в Win и OSX.
+1
l2 работает на l2. И через интернет не работает. сбрехал, ушёл читать.
pptp от openvpn отличается тем, что андроид его из коробки умеет. И умеет ограничивать весь трафи��, если pptp лежит. А клиент openvpn этого не умеет, увы. Так что я для телефона использую pptp туннель, а для остальных машин — openvpn.
0
У него такое название — Layer2 — потому что через него еще можно и ethernet туннелировать, при желании. Правда, только в версии протокола v3 в режиме pseudowire. А так он работает по самому обычному UDP. И на него уже полностью почти перешел билайн для предоставления доступа домашним абонентам т.к. скорость работы тупо выше и не сильно грузит BRASы.

Да, андроид его тоже поддерживает из коробки, есличо.
0
Да, надо будет попытаться поднять. pptp меня всегда раздражал своей странной pp-логикой.

Кстати, можно попытаться использовать те же сертификаты, что для openvpn. Получится, наверное, забавно.
+4
Я вот тут хвалю эту софтину, понимаете ли, а она тем временем на моей VPS-ке понаоткрывала штук 20 соединений со всеми частями света! Что-то мне это перестает нравится… Пока понаблюдаю за ее поведением, благо VPS-ку не жалко…
0
А как это смотреть через CLI? Вроде виртуального хаба VPNGATE у меня нету…
+8
Ой, дурак я дурак… Это же мой собственный комп и понаоткрывал столько сессий, впн же встает основным шлюзом )) да уж… глупо вышло ))
+2
Поднял у себя на впске в хецнере под дебианом.
Ресурсов жрёт много, на одной машине с ejabberd уживается с трудом (при том, что серверами пользуюсь сугубо я). L2TP работает, PPTP работает, OpenVPN не проверял. Немного пришлось покрутить конфиг, чтобы отбить желание софта юзать DDNS и прочую ерунду, но в остальном претензий пока нет.
0
По скорости у них есть графики http://www.softether.org/@api/deki/files/12/=1.3.jpg, по количеству одновременных сессий не видел.
+1
сервер непрерывно читает этот файл и любые изменения в нем мгновенно отражаются на работе сервера
прога зачем-то стукнулась по адресу 130.158.6.77:80
WTF??? Ну и NAT в юзерспейсе — тоже сомнительное преимущество. Хотя, конечно, красиво описано.
+2
Прикол NAT в юзерспейсе в том, что вам не нужно даже TUN/TAP использовать для него. Грубо говоря, можно даже на шаред-хостинге с shell-доступом без рут прав и без загрузки модулей поднять VPN.
+2
Судя по стилю настроек про unix-way авторы не слышали. Напоминает wizard-ы… То есть спец прога пишет конфиг, а демон всё время его читает. Жуть какая.

Не понятно зачем дублировать хорошо работающие функции фильтрования и роутинга пакетов, которые обычно работают на уровне ядра своим велосипедом в user-space.
+1
Будем надеятся, что ядро довольно умное и закеширует =)
0
Согласен. Хотя насчет конфиг-файла, такой же схемой пользуются в маршрутизаторах Juniper Networks. То бишь вроде ничего особо криминального. А вот насчет натирования и фильтрации — явный велосипед. Почему-то авторы проги очень сильно хотели чтобы она работала в чистом юзерлэнде. Зачем, не совсем понятно…
0
Что мешало сделать кросплатформенные биндинги к разным OS? Это как раз пахнет окошечной одноплатформенностью, а *nix прибили гвоздями.
0
С протоколами SSL VPN и MS SSTP пока связываться не хочу

Как раз хотелось бы узнать тест работы SSL VPN (SoftEtherVPN), потому что только для этого протокола заявляется поддержка почти до 1 Гбит/с, а точнее 980 Мбит/с, хотя это и не укладывается в моём мозгу с учётом вложенности в HTTPS. К тому же заявляется, что он единственный необнаружим для фаерволов (стандартный HTTPS).
0
Кто-нибудь разобрался, как в свойствах клиента указать, что я хочу прицепиться по ICMP или DNS? В мануале ни слова про это…
0
авторизация из RADIUS и AD

Этот функционал пока не доступен.
0
Как я понял, динамический DNS выдается автоматом в последней версии, т.к. сразу увидел его по DymanicDnsGetStatus
0
смешных штук как VPN over ICMP и DNS.
Уже не смешно https://geektimes.ru/post/289897/
0
android6 — l2tp ipsec не подрубается, «сбой» моментально. В логах сервера чет пусто…
Только полноправные пользователи могут оставлять комментарии., пожалуйста.