Подготовлены корректирующие выпуски OpenVPN 2.5.6 и 2.4.12, пакета для создания виртуальных частных сетей, позволяющего организовать шифрованное соединение между двумя клиентскими машинами или обеспечить работу централизованного VPN-сервера для одновременной работы нескольких клиентов. Код OpenVPN распространяется под лицензией GPLv2, готовые бинарные пакеты формируются для Debian, Ubuntu, CentOS, RHEL и Windows...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56866
Мне больше всего нравятся нелогичности в трендах.Ну, вроде как из-за переключения контекста ядра OpenVPN медленнее, чем реализации на уровне ядра. ОК, одни написали Wireguard, другие написали OpenVPN kernel accelerator. Вроде как счастье, мир и процветание.
Но в пользовательских протоколах обратный тренд и все массово (доля HTTP/S трафика выше, чем все VPN) ломанулись в обратную сторону и перешли на HTTP/2 over UDP (aka HTTP/3) и получили более громоздкие реализации в пространстве пользователя, подверженные джиттеру и "затупам" userspace'а. Я просто напомню, что сначала предпосылкой было внедрение более агрессивных протоколов congestion control'а вроде BBR, но эта идея провалилась и подавляющее большинство реализацию использует условно старые CUBIC и RENO. Да, быстрое внедрение новых алгоритмов управления потоком может быть важно для сервисов доставки контента, которые всё это и затевали (привет, Гугл). Но это модификации только на стороне сервера и внедрение ядерной реализации для них настолько же трудоёмко, как и внедрение userspace'ной, пользователю менять ничего не нужно, исходящий трафик на Ютубе минимален. В результате получили новый протокол, который на 20-30% тупее TCP и представляет собой реализацию старого в пользовательском пространстве. Я уже не говорю о большом количестве проблем в реализациях. Начиная от кол-ва проблем в nginx и до "приколюх" вроде падения скорости в 3-5 раз у пользовательской реализации Firefox.
Ну а в остальном да, прогресс. Прогресс на уровне очередного цикла оквадрачивания/скругления круглых/квадратных кнопочек в Android'е 😄
На "HTTP3" перешёл кто-то, кроме мегакорпов? Это же их игрушка. В частности Гугла.
> На "HTTP3" перешёл кто-то, кроме мегакорпов? Это же их игрушка. В частности Гугла.Ну, для начала, они составляют 9/10 трафика, а во-вторых и обычные сайты переходят тоже, что вызывает недоумение.
Мегакорпы тоже не перешли. Никто не знает как с этим жить. Если что и работает то чисто с учетом небольшого трафика с возможностью отключения/фэллбека на другой протокол в случае ддоса.
> Мегакорпы тоже не перешли.Крупнейшие видео-сервисы перешли. У меня статистика в пользу UDP на роутере уже больше года как превышает TCP. В ряде академических работ разбирается то, что, например, Google использует в Youtube какую-то свою реализацию Congestion Control'а, которая отличается от BBRv1 и от ещё недоработанного BBRv2 — https://www.comp.nus.edu.sg/~ayush/images/sigmetrics2020-gor... (там в основном про TCP, но есть и разбор про Google Quic и его особенности).
В смысле - гугль и гугль? Ну да, перешли. Им же важнее сэкономить копейку, а не чтоб у тебя было плавное воспроизведение и еще остался канал параллельно что-то другое делать.А вот зачем другие идиоты изо всех сил пытаются следовать - это действительно вызывает небольшое недоумение. Небольшое, потому что на то и идиоты. Несть числа им.
А нетфликсы всякие не считаются? Про гугл я не понял, т.к. проблема там не в буферизации, это вообще отдельная история. Я про то, что пользовательские реализации создают бОльшую нагрузку на систему, чем ядерные. Именно за это OpenVPN и критикуют. Но в главном сетевом протоколе HTTPS тренд совершенно обратный.
Земляне из всех сил пытаются себя уговорить, что весь этот так называемый рост и есть прогресс и развитие, типа "Не стой, замёрзнешь". Наверное. Их же никто не похвалил за этот путь. Но и не поругал. Вселенной сходить по-большому и жидкому на потерянную Землю. 😁PS "Жопа есть, а слова такого нет" )
>BBR runs purely on the sender and does not require changes to the protocol, receiver, or network,
> BBR runs purely on the sender and does not require changes to the protocol, receiver, or networkПеречитай мой пост ещё раз. Я об это прямо написал. Я так же написал, что реальные пользовательские реализации отказались от него в пользу уже классических Reno/CUBIC (RFC тоже). У оригинального BBR есть проблемы к "честностью" и неадекватная работа с ECN. Кроме того, BBR есть и в ядерной реализации для TCP. Его зачем-то многие стали использовать (стадный инстинкт айтишников?) после пары статей во всяких Medium с заголовками типа "Как ускорить TCP на 100%". Описанные проблемы есть у обеих реализаций. Кроме того, у CUBIC уже достаточно давно появился включенный по умолчанию режим гибридного старта, что де-факто сделало его гибридным алгоритмом, а не packet-loss-based.
P.S. Гибридные протоколы хороши, но на "длинных трубах", в локальных запросах они позорно сливают в дефолтном своём состоянии. BBR на локальном Wi-Fi сольёт CUBIC'у на 30-50%. Есть, например, CDG (две реализации, родная из FreeBSD и значительно расширенная тем же hybrid start реализация из Linux), который примерно на такой же процент сливает на локальном уровне, но его можно настроить, доведя уровень агрессивности до сопоставимого уровня. С BBR это не представляется возможным.
Вообще, все эти игрища протоколами плохи, т.к. они полируются годами и внедряться должны повсеместно. Иначе это чревато проблемами с "честностью", когда одни соединения будут глушиться из-за конкуренции с более агрессивными протоколами.
«Логичность» подразумевает наличие какого-то гранд-плана, какой-то общей идеи, которой решение или соответствует или нет. В жизни этого нет. Есть множество акторов, которое занимаются тем что им в данный момент важнее/интересно
Логичность подразумевает единый алгоритм принятия решений в схожих ситуациях. За "гранд-планами" в другое место.
Не, ну надо же о каких-то успехах манажорам докладывать.
Как говорил наш Ильич в небезывестном анедоте- "имитировать движение!".
Чем оно лучше wireguard?
Чем грузины. Проще в развертывании, более зрелая технология сама по себе, есть поддержка даже на утюгах. В отличие от хипстерского вайргарда.
про проще я б поспорил :-)
Специально для вас:
https://github.com/Nyr/openvpn-install и https://github.com/Nyr/wireguard-install
Полтора действия для ленивых.
специально для Вас- я администрирую openvpn сервер около 18 лет.
И к чему этот "невероятный" срок? Он должен сказать о каком-то профиссионализме или показать статусность?
>Проще в развертыванииЧего? Особенно, замороченность на X509 "проще".
Упоролся или ты живешь в альтернативной реальности? Где это есть OpenVPN где нет Wireguard?
EdgeOS, например
Они разные, для разных целей.Когда нужно тоннели точка-точка создавать на разном оборудовании wireguard больше подойдет ИМХО.
OpenVPN больше подходит для подключения многих клиентов к одному серверу. Сертификат сервера залил и всё. Клиенты сами там в CA себе получают и подключаются... Ну или Логины/пароли в radius или ldap ходить проверять.
А с wireguard надо со всех еще открытый ключ собрать, в конфиг прописать, конфиг перечитать...
wireguard стоит с ipsec сравнивать, вот тут точно он проще чем ipsec
А, ну и OpenVPN умеет пушить маршруты
С точки зрения сетевого архитектора - безусловно. Разные задачи требуют разных решений, сравнивать их можно так же, как мультиварку и хлебопечку.
С точки зрения админа - да, но не совсем. Разный геморрой в настройке и поддержании сетей. Разные возможности по развёртыванию на клиентском оборудовании, в т.ч. и старом маршрутизирующем, которое оптимизировано для себя может ходить по овпн, но не в курсе про вайргард. Разные сценарии, но задача одна - сделать туннель из пункта А в пункт Б.
С точки зрения просто админа локалхоста с опеннета - уже нет, они одинаковые. Они создают туннель до некоторого уже готового сервера и вся разница сводится к чисто внешним признакам черного ящика: что быстрее и что проще настраивается.
работает за натом без stun/turn серверов
Когда клиент за NATом только.
А зачем сервер прятать за NAT?
Уверен что через port-forwarding openvpn заведется, хотя я не проверял... (Не представляю зачем это может понадобится)
Если домашнюю машинку хочется сделать видимой извне - не получится, все провайдеры сейчас держат юзером за натом. Если, конечно, не покупать белый ип.
Далеко не все. В моем городе из более двух десятков провайдеров только 1 держит клиентов за нат. Хотя нат для простого обывателя скорее плюс – меньше головной боли с безопасностью.
Открываем учебник для первого класса "Сеть для самых маленьких" и вдумчиво читаем главу "Почему NAT не файрвол"
В моей деревне до сих пор бесплатно айпишники выдают. И, судя по заявлениям прова, выдавать будут ещё не одно десятилетие. Так что насчёт всех ты перегнул.
Что же это за провайдер? У всех российских проблемы с айпишниками в принципе. А корпы готовы платить за них солидную денежку.
gtk.su,например
> Когда клиент за NATом только.А других вариантов и нет. Централизованные приложухи без белого (или серого в некоторых вариантах ната с ручным пробивом) ip сервера не работают в принципе.
Можно отключить шифрование
Тормозная хрень! Сжирает 50% скорости.
https://www.opennet.ru/opennews/art.shtml?num=55843
Для тебя специально придумали ваергард.
> отовые бинарные пакеты формируются для Debian, Ubuntu, CentOS, RHEL и WindowsПоследние 3 лишние
А первые 2 - ненужные.
> готовые бинарные пакеты формируютсяГде формируются? Чет там не видно или это про apt ?
Наше правительство в плане VPN стреляет себе в ногу. Гражданам сейчас как никогда нужны VPN, чтобы обойти санкции, а их интересует только принципиальная политота и нафиг никому не нужный инстаграм. У меня на рабочем ноутбуке слетел биос. Я не знаю, почему такое случается с ноутбуками. Ведь с обычными ПК такого не происходит. Вопрос был бы решен очень просто, если бы я мог скачать биос с официального сайта, залить на флэшку, перевести ноут в режим рекавери и накатить его. Но, блин, офф сайт производителя ноутбука говорит мне сорян, но ты с россии, мы тя не обслуживаем.
Tor
А dell.com доступен через Tor?
Не нагнетай. ВПН работает.
Другой вопрос каким ты пользуешся.
"Голый" tor не пройдет. Он тотально заблочен,
если только не через мосты или снежинку.
Как ты оплачиваешь впн? Впн или впс? Если первое, то зачем платить црушным подстилкам, которые тебя прокинут при первой возможности?
Что у тебя слетело? Биос слетел? Ты хоть пробовал включить выключить для начала?
В лаптопах ЕМНИП автообновление биоса из интернета при включении и прочие руткиты. Я бы в таком случае для начала попробовал сбросить биос на запасной, там надо на клавиатуре какую-то неочевидную комбинацию при включении зажать (что-то вроде контрол-инсерт-ескейп, у каждого производителя своя). Работает конечно только когда есть запасной дефолтный биос на плате. Сейчас такие ещё делают? Раньше были.