[uanog] Чи законною є заборона провайдером встановлення VPN-з'єднання?
Igor Sviridov
sia at uanog.sink.nest.org
Tue Jul 23 19:10:19 EEST 2019
hi,
On Wed, Jul 17, 2019 at 08:59:26PM -0400, Oleg Panashchenko wrote:
> Igor Sviridov:
> > On Tue, Jul 09, 2019 at 12:28:10PM +0300, Alex Cherevko wrote:
> > >
> > > > Та там нема що вирішувати - openconnect ставиться та налаштовується за
> > > > 20 хвилин :) Причому я б порадив саме openconnect, тому що він
> > > > сумісний з cisco ssl vpn (anyconnect) що робить його зручним для
> > > > використання з мобільний пристроїв (телефонів, планшетів тощо)
> > >
> > > Еще проще использовать OpenVPN с OpenVPN Connect на iOS и Android.
> >
> > WireGuard FTW :)
> > Клиент есть для iOS, Android, macOS, ChromeOS (с бубном), Linux, FreeBSD, Windows etc.
> > И таки летает:
> > https://www.wireguard.com/performance/
> > https://paulierco.ro/raspberry-pi-4-vpn-performance-review.html
>
> На сервере - обычный openssh, который уже стоит на всём, что называется сервером,
> никаких допнастроек. Клиентом - опять же openssh с туннельным ключиком -D.
> Ну или putty/ki4a для нестандартных платформ. И прокси на системном уровне.
>
> Полный опенсорс. Работает ну просто везде. Даже с киевских провайдеров,
> где паровоз NAT-ов.
>
> Объясните мне, динозавру прошлого тысячелетия: какие вкусняшки проходят мимо
> меня, незнакомого с модерновыми VPN.
Я прежде всего говорил об использовании WireGuard для site-to-site.
ssh -D aka Socks сюда слабо относится.
Для клиентского VPN тоже есть отличия:
- нужно конфигурить socks на клиентах, если они его вообще поддерживают, и часто по-разному;
Proxy Auto-config с неестественным интеллектом конечно может помочь, но не везде.
- при смене адреса клиента (Wired -> WiFi -> Mobile) нужно пересоединять SSH-сессию; может в каких клиентах есть auto-reconnect?
для *nix конечно можно автоматизировать.
Wireguard, Pulse etc поддерживают смену адреса клиента без разрыва сесии
- много-факторную аунтентификацию привинтить можно, но она будет скорее всего мешать auto-reconnect-у;
для примера - у меня используется для Pulse конфигурация с 3-factor (AD auth + Okta или RSA + certificate auth).
- в некоторых индустриях требуется верификация клиента (OS patchlevel, антивирусы, etc);
тут это не привинтишь.
В общем для админа или разработчика на Mac/Linux "ssh -D" вполне работает.
Как только возникает зоопарк, как с видами клиентов так и требованиями - его удобнее переложить на специалистов.
> --
> Олег
--igor
More information about the uanog
mailing list