kpox Posted February 1, 2016 Share Posted February 1, 2016 Под entware-ng на NDMS v.2 для себя сделал такой скрипт https://github.com/kpoxxx/openvpn-install Это переделанный скрипт отсюда https://github.com/Nyr/openvpn-install/blob/master/openvpn-install.sh Может кому пригодится. Предполагается, что пакет openvpn уже установлен. Далее делаем.. opkg update opkg install bash wget openssl-util wget --no-check-certificate https://raw.githubusercontent.com/kpoxxx/openvpn-install/master/openvpn-install.sh -O openvpn-install.sh && bash openvpn-install.sh Получаем готовые ключи (генерируются на роутере долго !!!), конфигурацию сервера и клиента. Повторным запуском можно добавлять клиентов или отзывать сертификаты. Правила iptables тоже прописываются. Quote Link to comment Share on other sites More sharing options...
yrzorg Posted February 1, 2016 Share Posted February 1, 2016 Запуск нескольких демонов openvpn (для одновременной работы клиента и сервера, или нескольких клиентов/серверов) сделать симлинки на openvpn вида openvpn-cl/openvpn-srv в /opt/sbin/ (названия не должны пересекаться) Quote Link to comment Share on other sites More sharing options...
dmitrya Posted February 2, 2016 Author Share Posted February 2, 2016 И все же проще создать сертификаты с помощью easyrsa. Quote Link to comment Share on other sites More sharing options...
thefox Posted February 6, 2016 Share Posted February 6, 2016 с помощью скрипта от kpox удалось все поставить и все заработало. в процессе столкнулся с 2-мя проблемами: не генерились сертификаты(автору в личку отписал логи) и таки пришлось доустанавливать пакет с iptables, хотя тут где-то читал что он работает и так если в прошивке есть ipv6. kpox - огромное спасибо. без знаний linux-а самому тут ни черта не настроить ) Quote Link to comment Share on other sites More sharing options...
Александр Рыжов Posted February 7, 2016 Share Posted February 7, 2016 с помощью скрипта от kpox удалось все поставить и все заработало. в процессе столкнулся с 2-мя проблемами: не генерились сертификаты(автору в личку отписал логи) и таки пришлось доустанавливать пакет с iptables, хотя тут где-то читал что он работает и так если в прошивке есть ipv6.На Ultra II сертификаты генерятся полтора часа. Не у каждого хватит терпения ждать Quote Link to comment Share on other sites More sharing options...
thefox Posted February 7, 2016 Share Posted February 7, 2016 Александр Рыжов, да вообще-то нет... у меня сгенерилось значительно быстрее. возможно минут 15, тоже Ultra 2. а ошибки такие были: 40.00K 25.1KB/s in 1.6s 2016-02-06 19:45:04 (25.1 KB/s) - '/opt/root/EasyRSA-3.0.1.tgz' saved [40960/40960] mv: can't rename '/opt/etc/openvpn/EasyRSA-3.0.1/': No such file or directory chown: /opt/etc/openvpn/easy-rsa/: No such file or directory openvpn-install.sh: line 141: cd: /opt/etc/openvpn/easy-rsa/: No such file or directory openvpn-install.sh: line 143: ./easyrsa: No such file or directory openvpn-install.sh: line 144: ./easyrsa: No such file or directory openvpn-install.sh: line 145: ./easyrsa: No such file or directory openvpn-install.sh: line 146: ./easyrsa: No such file or directory openvpn-install.sh: line 147: ./easyrsa: No such file or directory openvpn-install.sh: line 148: ./easyrsa: No such file or directory cp: can't stat 'pki/ca.crt': No such file or directory cp: can't stat 'pki/private/ca.key': No such file or directory cp: can't stat 'pki/dh.pem': No such file or directory cp: can't stat 'pki/issued/server.crt': No such file or directory cp: can't stat 'pki/private/server.key': No such file or directory cat: can't open '/opt/etc/openvpn/easy-rsa/pki/ca.crt': No such file or directory cat: can't open '/opt/etc/openvpn/easy-rsa/pki/issued/client.crt': No such file or directory cat: can't open '/opt/etc/openvpn/easy-rsa/pki/private/client.key': No such file or directory я руками раскидал папки в нужные места и по-очереди запускал [spoiler=]/easyrsa init-pki ./easyrsa --batch build-ca nopass ./easyrsa gen-dh ./easyrsa build-server-full server nopass ./easyrsa build-client-full $CLIENT nopass ./easyrsa gen-crl p.s.: кстати, кто-нибудь может пояснить, что тут с tls-auth. раньше отдельно генерился ta.key, а сейчас в конфиге клиента есть директива remote-cert-tls server. но в конфиге сервера вообще ничего не вижу похожего. это тоже самое? насколько равноценная замена. Quote Link to comment Share on other sites More sharing options...
dmitrya Posted February 7, 2016 Author Share Posted February 7, 2016 На Ultra II сертификаты генерятся полтора часа. Не у каждого хватит терпения ждать Может и больше, вы же генерируете параметры Диффи-Хеллмана, а там чистый рандом, как уж повезет! Может секунду, а может и час. А если учесть, что кинетик - не компьютер... Решение есть - сгенерируйте параметры на компьютере и предоставляйте их в скрипте, который генерирует сертификаты. Ничего страшного в том, что у всех пользователей параметры будут одинаковыми, нет. Сами сертификаты генерируются быстро. Quote Link to comment Share on other sites More sharing options...
kpox Posted February 8, 2016 Share Posted February 8, 2016 На Ultra II сертификаты генерятся полтора часа. Не у каждого хватит терпения ждать Ну DH я комментил у себя и делал на компе. Но это лишние телодвижения. Кому-то нужно быстро, а кто-то хочет чтоб "все само". Quote Link to comment Share on other sites More sharing options...
DimLAN Posted July 2, 2016 Share Posted July 2, 2016 (edited) kpox, спасибо конечно за старания, но скрипт не работает ещё на этапе загрузки... wget --no-check-certificate https://raw.githubusercontent.com/kpoxx ... install.sh -O openvpn-install.sh && bash openvpn-install.shConnecting to raw.githubusercontent.com (151.101.12.133:443) wget: error getting response хотя в браузере нормально открывается Я конечно не гуру линукса, но даже я понимаю, что нельзя скопировать файл которого не существует cp /opt/etc/openvpn/client-common.txt ~/$1.ovpn и т.д. Press any key to continue...Connecting to github.com (192.30.253.112:443) wget: error getting response tar: can't open '/opt/root//EasyRSA-3.0.1.tgz': No such file or directory mv: can't rename '/opt/root//EasyRSA-3.0.1': No such file or directory mv: can't rename '/opt/etc/openvpn/EasyRSA-3.0.1/': No such file or directory chown: /opt/etc/openvpn/easy-rsa/: No such file or directory openvpn-install.sh: line 152: cd: /opt/etc/openvpn/easy-rsa/: No such file or directory openvpn-install.sh: line 159: ./easyrsa: No such file or directory openvpn-install.sh: line 160: ./easyrsa: No such file or directory openvpn-install.sh: line 161: ./easyrsa: No such file or directory openvpn-install.sh: line 162: ./easyrsa: No such file or directory openvpn-install.sh: line 163: ./easyrsa: No such file or directory openvpn-install.sh: line 164: ./easyrsa: No such file or directory cp: can't stat 'pki/ca.crt': No such file or directory cp: can't stat 'pki/private/ca.key': No such file or directory cp: can't stat 'pki/dh.pem': No such file or directory cp: can't stat 'pki/issued/server.crt': No such file or directory cp: can't stat 'pki/private/server.key': No such file or directory openvpn-install.sh: line 224: /opt/etc/ndm/netfilter.d/052-openvpn-filter.sh: No such file or directory chmod: /opt/etc/ndm/netfilter.d/052-openvpn-filter.sh: No such file or directory openvpn-install.sh: line 231: /opt/etc/ndm/netfilter.d/053-openvpn-nat.sh: No such file or directory chmod: /opt/etc/ndm/netfilter.d/053-openvpn-nat.sh: No such file or directory cat: can't open '/opt/etc/openvpn/easy-rsa/pki/ca.crt': No such file or directory cat: can't open '/opt/etc/openvpn/easy-rsa/pki/issued/client.crt': No such file or directory cat: can't open '/opt/etc/openvpn/easy-rsa/pki/private/client.key': No such file or directory Finished! З.Ы. Вообще не понятно почему на форме keenopt в основном инструкции про entware... Edited July 2, 2016 by Guest Quote Link to comment Share on other sites More sharing options...
rotor Posted September 6, 2016 Share Posted September 6, 2016 Добрый час. Установил openvpn-openssl на keenopt В процессе запуска сервера в лог файле выдаёт ошибку: Скрытый текст OpenVPN 2.3.6 mipsel-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on May 25 2016 library versions: OpenSSL 1.0.2d 9 Jul 2015, LZO 2.08 Diffie-Hellman initialized with 1024 bit key WARNING: file '/opt/etc/openvpn/keys/server.key' is group or others accessible WARNING: file '/opt/etc/openvpn/keys/ta.key' is group or others accessible Control Channel Authentication: using '/opt/etc/openvpn/keys/ta.key' as a OpenVPN static key file Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication Socket Buffers: R=[110592->131072] S=[110592->131072] WARNING: Since you are using --dev tun with a point-to-point topology, the second argument to --ifconfig must be an IP address. You are using something (255.255.255.0) that looks more like a netmask. (silence this warning with --ifconfig-nowarn) TUN/TAP device tun0 opened TUN/TAP TX queue length set to 100 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0 /opt/sbin/ifconfig tun0 х.х.0.0 pointopoint 255.255.255.0 mtu 1500 /opt/sbin/ifconfig: error while loading shared libraries: libcrypt.so.1: cannot open shared object file: No such file or directory 2016 Linux ifconfig failed: could not execute external program Exiting due to fatal error Что делаю неправильно? Файл конфигурации сервера вот такой: Скрытый текст proto udp port 1194 dev tun dh /opt/etc/openvpn/keys/dh1024.pem ca /opt/etc/openvpn/keys/ca.crt cert /opt/etc/openvpn/keys/server.crt key /opt/etc/openvpn/keys/server.key tls-auth /opt/etc/openvpn/keys/ta.key 0 mode server tls-server ifconfig 10.8.0.0 255.255.255.0 client-to-client crl-verify /opt/etc/openvpn/keys/crl.pem persist-tun persist-key keepalive 10 120 cipher AES-128-CBC log /opt/etc/openvpn/log/openvpn.log status /opt/etc/openvpn/log/status.log verb 3 mute 5 Quote Link to comment Share on other sites More sharing options...
Александр Рыжов Posted September 6, 2016 Share Posted September 6, 2016 @rotor, /opt/sbin/ifconfig из консоли выполняется без ошибок? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 6, 2016 Share Posted September 6, 2016 40 минут назад, rotor сказал: Добрый час. Установил openvpn-openssl на keenopt В процессе запуска сервера в лог файле выдаёт ошибку: Показать содержимое OpenVPN 2.3.6 mipsel-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on May 25 2016 library versions: OpenSSL 1.0.2d 9 Jul 2015, LZO 2.08 Diffie-Hellman initialized with 1024 bit key WARNING: file '/opt/etc/openvpn/keys/server.key' is group or others accessible WARNING: file '/opt/etc/openvpn/keys/ta.key' is group or others accessible Control Channel Authentication: using '/opt/etc/openvpn/keys/ta.key' as a OpenVPN static key file Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication Socket Buffers: R=[110592->131072] S=[110592->131072] WARNING: Since you are using --dev tun with a point-to-point topology, the second argument to --ifconfig must be an IP address. You are using something (255.255.255.0) that looks more like a netmask. (silence this warning with --ifconfig-nowarn) TUN/TAP device tun0 opened TUN/TAP TX queue length set to 100 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0 /opt/sbin/ifconfig tun0 х.х.0.0 pointopoint 255.255.255.0 mtu 1500 /opt/sbin/ifconfig: error while loading shared libraries: libcrypt.so.1: cannot open shared object file: No such file or directory 2016 Linux ifconfig failed: could not execute external program Exiting due to fatal error Что делаю неправильно? Файл конфигурации сервера вот такой: Показать содержимое proto udp port 1194 dev tun dh /opt/etc/openvpn/keys/dh1024.pem ca /opt/etc/openvpn/keys/ca.crt cert /opt/etc/openvpn/keys/server.crt key /opt/etc/openvpn/keys/server.key tls-auth /opt/etc/openvpn/keys/ta.key 0 mode server tls-server ifconfig 10.8.0.0 255.255.255.0 client-to-client crl-verify /opt/etc/openvpn/keys/crl.pem persist-tun persist-key keepalive 10 120 cipher AES-128-CBC log /opt/etc/openvpn/log/openvpn.log status /opt/etc/openvpn/log/status.log verb 3 mute 5 Переходите на entware или debian. Quote Link to comment Share on other sites More sharing options...
rotor Posted September 6, 2016 Share Posted September 6, 2016 2 часа назад, Александр Рыжов сказал: @rotor, /opt/sbin/ifconfig из консоли выполняется без ошибок? да, без ошибок Quote Link to comment Share on other sites More sharing options...
kpox Posted September 12, 2016 Share Posted September 12, 2016 (edited) В 02.07.2016 в 22:36, DimLAN сказал: kpox, спасибо конечно за старания, но скрипт не работает ещё на этапе загрузки... С опозданием конечно, но лучше поздно, чем никогда Предполагаю, что не сделано вот это: opkg update opkg install bash wget openssl-util Потому что, Скрытый текст wget --no-check-certificate https://raw.githubusercontent.com/kpoxxx/openvpn-install/master/openvpn-install.sh -O openvpn-install.sh --2016-09-12 10:06:09-- https://raw.githubusercontent.com/kpoxxx/openvpn-install/master/openvpn-install.sh Resolving raw.githubusercontent.com... 151.101.12.133 Connecting to raw.githubusercontent.com|151.101.12.133|:443... connected. WARNING: cannot verify raw.githubusercontent.com's certificate, issued by 'CN=DigiCert SHA2 High Assurance Server CA,OU=www.digicert.com,O=DigiCert Inc,C=US': Unable to locally verify the issuer's authority. HTTP request sent, awaiting response... 200 OK Length: 8498 (8.3K) [text/plain] Saving to: 'openvpn-install.sh' openvpn-install.sh 100%[===========================================>] 8.30K --.-KB/s in 0.007s 2016-09-12 10:06:10 (1.13 MB/s) - 'openvpn-install.sh' saved [8498/8498] Edited September 12, 2016 by kpox Quote Link to comment Share on other sites More sharing options...
Inspired Posted September 25, 2016 Share Posted September 25, 2016 Прошу помочь! Девайс: Giga 2 + NDMS v2 v2.06(AAFS.2)C0 + Entware Keenetic После установки и настройки OpenVPN в качестве 3 vpn-клиентов, в веб-интерфейсе стала появляться ошибка unable to find tap1 in Network::Interface::IP container. Появляется в Домашняя сеть > Устройства, а также Системный монитор > Соединения || Клиенты Wi-Fi. Как исправить? Все конфиги используют tap-интерфейс для подключения. Перечитал много сайтов, но ответа, к сожалению, не нашёл. Quote Link to comment Share on other sites More sharing options...
zyxmon Posted September 25, 2016 Share Posted September 25, 2016 (edited) Раньше и на tun была ругань - разработчики прошивки исправили. Но работе openvpn и web-морде это не мешало. Переходите на 2.08 на Giga II (только вышла). Хоть она и неофициальная, но Entware там явно стабильнее работает (лучше сразу перейти на Entware-3x). Edited September 25, 2016 by zyxmon Quote Link to comment Share on other sites More sharing options...
Inspired Posted September 25, 2016 Share Posted September 25, 2016 (edited) Благодарю, сейчас попробую. P.S. На 2.08, взято здесь http://files.keenopt.ru/experimental/Keenetic_Giga_II/2016-09-23/ проблема с ошибкой в веб-интерфейсе осталась. Edited September 25, 2016 by Inspired 1 Quote Link to comment Share on other sites More sharing options...
GConst Posted November 10, 2016 Share Posted November 10, 2016 Подскажите пожалуйста, пытаюсь настроить openvpn server на keenetic Extra установлено: entware3 opkg update opkg install openvpn-openssl opkg install bash wget openssl-util wget --no-check-certificate https://raw.githubusercontent.com/kpoxxx/openvpn-install/master/openvpn-install.sh -O openvpn-install.sh && bash openvpn-install.sh скрипт скачивается, запускается, но в ответ получаю: Getting your ip address....please wait. Looks like OpenVPN is already installed What do you want to do? 1) Add a cert for a new user 2) Revoke existing user cert 3) Exit Select an option [1-3]: 1 Tell me a name for the client cert Please, use one word only, no special characters Client name: home openvpn-install.sh: line 45: cd: /opt/etc/openvpn/easy-rsa/: No such file or directory openvpn-install.sh: line 46: ./easyrsa: No such file or directory cat: can't open '/opt/etc/openvpn/easy-rsa/pki/ca.crt': No such file or directory cat: can't open '/opt/etc/openvpn/easy-rsa/pki/issued/home.crt': No such file or directory cat: can't open '/opt/etc/openvpn/easy-rsa/pki/private/home.key': No such file or directory Client home added, certs available at ~/home.ovpn создать соответствующие подкаталоги (/easy-rsa/pki/) пробовал, не помогает. может они каким-то иным скриптом создаются? или под Экстру нужно совсем иначе скрипты править? Quote Link to comment Share on other sites More sharing options...
Inspired Posted November 11, 2016 Share Posted November 11, 2016 Перед запуском мастера настройки wget --no-check-certificate https://raw.githubusercontent.com/kpoxxx/openvpn-install/master/openvpn-install.sh -O openvpn-install.sh && bash openvpn-install.sh удалите файл /opt/etc/openvpn/openvpn.conf, он создаётся автоматически при установке пакетов. Quote Link to comment Share on other sites More sharing options...
GConst Posted November 11, 2016 Share Posted November 11, 2016 Спасибо, процесс пошёл! Quote Link to comment Share on other sites More sharing options...
GConst Posted November 18, 2016 Share Posted November 18, 2016 Уважаемые форумчане, подскажите пожалуйста что могут означать в логе следующие строки: Nov 18 21:43:40ndm Opkg::Manager: /opt/etc/ndm/netfilter.d/052-openvpn-filter.sh: Segmentation fault. Nov 18 21:43:40ndm Core::Syslog: last message repeated 4 times. Nov 18 21:43:40ndm Opkg::Manager: /opt/etc/ndm/netfilter.d/052-openvpn-filter.sh: exit code 139. т.е. скрипт явно не выполнился, а почему непонятно, содержимое скрипта /opt/etc/ndm/netfilter.d/052-openvpn-filter.sh: #!/bin/sh [ "$table" != filter ] && exit 0 # check the table name iptables -I INPUT -i tun0 -j ACCEPT iptables -I FORWARD -s 10.8.0.0/24 -j ACCEPT iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -I INPUT -p tcp --dport 443 -j ACCEPT iptables -A INPUT -i lo -j ACCEPT Quote Link to comment Share on other sites More sharing options...
zyxmon Posted November 18, 2016 Share Posted November 18, 2016 уже было, поищите. Не помню, что конкретно помогло - замена shebang на /opt/bin/sh или полный путь к iptables (надеюсь пакет установлен). Quote Link to comment Share on other sites More sharing options...
GConst Posted November 18, 2016 Share Posted November 18, 2016 Спасибо! вроде арбайтен. на неделе с работы проверю. Quote Link to comment Share on other sites More sharing options...
ChaoticSerg Posted May 29, 2017 Share Posted May 29, 2017 2 часа назад, Ярослав Грицунь сказал: Уважаемые знатоки, нужна помощь в организации работы сервера на OpenVPN 2.4.2 на роутере Keenetic Giga 3. Я полный нуб, поэтому, если можно и есть время у кого-то рассказать, что и как делать. Вот сами настройки: https://zaborona.help/extra.html . Спасибо А ты на каком этапе остановился? Entware-3x установили? openvpn-openssl установили? Тогда скачивайте сертификаты и ключ в папку /opt/etc/openvpn и, там-же создаете openvpn.conf с содержимым: client dev tun proto tcp remote vpn.zaborona.help 1194 resolv-retry infinite nobind persist-key persist-tun ca ca.crt cert zaborona-help.crt key zaborona-help.key remote-cert-tls server cipher AES-128-GCM comp-lzo no verb 3 Вроде не ошибся. Запускайте и добро пожаловать в VK. 1 Quote Link to comment Share on other sites More sharing options...
sponge_bob_111 Posted May 29, 2017 Share Posted May 29, 2017 25 минут назад, ChaoticSerg сказал: А ты на каком этапе остановился? Entware-3x установили? openvpn-openssl установили? Тогда скачивайте сертификаты и ключ в папку /opt/etc/openvpn и, там-же создаете openvpn.conf с содержимым: client dev tun proto tcp remote vpn.zaborona.help 1194 resolv-retry infinite nobind persist-key persist-tun ca ca.crt cert zaborona-help.crt key zaborona-help.key remote-cert-tls server cipher AES-128-GCM comp-lzo no verb 3 Вроде не ошибся. Запускайте и добро пожаловать в VK. большинство слов из вашего сообщения, написанных латиницей, я не понимаю, пойду разбираться.. Quote Link to comment Share on other sites More sharing options...
ChaoticSerg Posted May 29, 2017 Share Posted May 29, 2017 Только что, Ярослав Грицунь сказал: большинство слов из вашего сообщения, написанных латиницей, я не понимаю, пойду разбираться.. Тогда может вам проще поставить клиента openvpn на windows? Вот здесь https://openvpn.net/index.php/open-source/downloads.html Файл настроек этот-же, только расширение должно быть ovpn и все храниться в C:\Program Files\OpenVPN\config 1 Quote Link to comment Share on other sites More sharing options...
vasek00 Posted May 29, 2017 Share Posted May 29, 2017 (edited) 55 минут назад, Ярослав Грицунь сказал: большинство слов из вашего сообщения, написанных латиницей, я не понимаю, пойду разбираться.. Для вас тогда найдете свой ответ Но для справки VPN сервисы могут быть блокированы - достаточно посмотреть принцип его работы и как результат Скрытый текст 19.04.2017 В России разработан законопроект, предусматривающий блокировку анонимайзеров и VPN-сервисов, которые откажутся блокировать доступ к запрещенным сайтам. Об этом сообщает газета «Ведомости» со ссылкой на источники в интернет-компаниях и неназванного федерального чиновника. По данным издания, законопроект подготовлен по инициативе Совета безопасности России, в разработке документа участвовали Роскомнадзор и Медиа-коммуникационный союз, объединяющий крупнейших операторов связи. Официально эта информация не подтверждена. Согласно законопроекту, анонимайзеры и VPN-сервисы будут обязаны блокировать доступ к ресурсам, включенным в реестр запрещенных сайтов Роскомнадзора. Кроме того, предлагается запретить поисковым системам выдавать ссылки на запрещенный контент. За нарушение этого требования для поисковиков предусмотрен штраф в 700 тысяч рублей. .... Полный текст можно найти в интернете Edited May 29, 2017 by vasek00 Quote Link to comment Share on other sites More sharing options...
IgaX Posted May 30, 2017 Share Posted May 30, 2017 (edited) 16 часов назад, vasek00 сказал: Но для справки VPN сервисы могут быть блокированы - достаточно посмотреть принцип его работы и как результат Можно ведь и грамотно все сделать. Там OVPN в принципе ничего так, особенно если фьюжн PSK с TLS. Если особо не вдаваться в подробности, то CA разные, клиент генерирует private, при желании паролирует и хранит как зеницу ока, а не светит в паблике как если это норма (тут уже начинаешь сомневаться за будущее вообще), на основе него (private) - CSR, который отправляется туда, где его подпишет нужный CA и вернется клиенту в виде CRT .. и эти транзакции via TLS не ниже 1.2 в рамках тех же ЛК (что для сертификатов в принципе - лишнее, но на всякий). Как бы задача сервиса сделать все так, чтобы все это было понятно, удобно и ненапряжно (желательно на полном автомате, чтобы минимизировать/исключить косяки со стороны хомо сапиенсов), а по вектору "Mellon", например, открывать возможность поднятия отдельного p2p instance на заданном порту. А с базовыми контроллерами всегда начиналось заворачиванием в зазеркалье по диапазону ip, которые светились. А потом в их блогах читать какие они победоносные =) При грамотной схеме им только пыль глотать. Edited May 30, 2017 by IgaX Quote Link to comment Share on other sites More sharing options...
vasek00 Posted May 30, 2017 Share Posted May 30, 2017 37 минут назад, IgaX сказал: Можно ведь и грамотно все сделать. Там OVPN в принципе ничего так, особенно если фьюжн PSK с TLS. Если особо не вдаваться в подробности, то CA разные, клиент генерирует private, при желании паролирует и хранит как зеницу ока, а не светит в паблике как если это норма (тут уже начинаешь сомневаться за будущее вообще), на основе него (private) - CSR, который отправляется туда, где его подпишет нужный CA и вернется клиенту в виде CRT .. и эти транзакции via TLS не ниже 1.2 в рамках тех же ЛК (что для сертификатов в принципе - лишнее, но на всякий). Как бы задача сервиса сделать все так, чтобы все это было понятно, удобно и ненапряжно (желательно на полном автомате, чтобы минимизировать/исключить косяки со стороны хомо сапиенсов), а по вектору "Mellon", например, открывать возможность поднятия отдельного p2p instance на заданном порту. А с базовыми контроллерами всегда начиналось заворачиванием в зазеркалье по диапазону ip, которые светились. А потом в их блогах читать какие они победоносные =) При грамотной схеме им только пыль глотать. На много все проще - глубокий анализ пакетов на уровни DPI (сами данные кодированы не кодированы роли не играют они не нужны для провайдера), т.е. суть всего найти нужные "метки" в пакете по которым можно его заблокировать. Quote Link to comment Share on other sites More sharing options...
IgaX Posted May 30, 2017 Share Posted May 30, 2017 (edited) 42 минуты назад, vasek00 сказал: На много все проще - глубокий анализ пакетов на уровни DPI (сами данные кодированы не кодированы роли не играют они не нужны для провайдера), т.е. суть всего найти нужные "метки" в пакете по которым можно его заблокировать. не, при секьюрном хэндшейке на лету они, скорее всего, могут ток, например, DN/CN публичного ключа (сертификата) хоста заматчить и дать RST в трубу. при остальных правильных требованиях к шифрованию - не выйдет точечно, ток все подряд, а тут и словят =) *** т.е. под потенциальным ударом только фронт-энд сервиса в плане удобства доступности, на уровне движа ничего им не светит. Edited May 30, 2017 by IgaX Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.