[uanog] Чи законною є заборона провайдером встановлення VPN-з'єднання?

Igor Sviridov sia at uanog.sink.nest.org
Tue Jul 23 19:10:19 EEST 2019 

hi,
On Wed, Jul 17, 2019 at 08:59:26PM -0400, Oleg Panashchenko wrote:
> Igor Sviridov:
> > On Tue, Jul 09, 2019 at 12:28:10PM +0300, Alex Cherevko wrote:
> > > 
> > > > Та там нема що вирішувати - openconnect ставиться та налаштовується за
> > > > 20 хвилин :) Причому я б порадив саме openconnect, тому що він
> > > > сумісний з cisco ssl vpn (anyconnect) що робить його зручним для
> > > > використання з мобільний пристроїв (телефонів, планшетів тощо)
> > > 
> > > Еще проще использовать OpenVPN с OpenVPN Connect на iOS и Android.
> >  
> > WireGuard FTW :)
> > Клиент есть для iOS, Android, macOS, ChromeOS (с бубном), Linux, FreeBSD, Windows etc.
> > И таки летает:
> > https://www.wireguard.com/performance/
> > https://paulierco.ro/raspberry-pi-4-vpn-performance-review.html
> 
> На сервере - обычный openssh, который уже стоит на всём, что называется сервером, 
> никаких допнастроек. Клиентом - опять же openssh с туннельным ключиком -D. 
> Ну или putty/ki4a для нестандартных платформ. И прокси на системном уровне.
> 
> Полный опенсорс. Работает ну просто везде. Даже с киевских провайдеров,
> где паровоз NAT-ов.
>     
> Объясните мне, динозавру прошлого тысячелетия: какие вкусняшки проходят мимо
> меня, незнакомого с модерновыми VPN.

Я прежде всего говорил об использовании WireGuard для site-to-site.
ssh -D aka Socks сюда слабо относится.

Для клиентского VPN тоже есть отличия:

- нужно конфигурить socks на клиентах, если они его вообще поддерживают, и часто по-разному;
Proxy Auto-config с неестественным интеллектом конечно может помочь, но не везде.

- при смене адреса клиента (Wired -> WiFi -> Mobile) нужно пересоединять SSH-сессию; может в каких клиентах есть auto-reconnect?
для *nix конечно можно автоматизировать.
Wireguard, Pulse etc поддерживают смену адреса клиента без разрыва сесии

- много-факторную аунтентификацию привинтить можно, но она будет скорее всего мешать auto-reconnect-у;
для примера - у меня используется для Pulse конфигурация с 3-factor (AD auth + Okta или RSA + certificate auth).

- в некоторых индустриях требуется верификация клиента (OS patchlevel, антивирусы, etc);
тут это не привинтишь.

В общем для админа или разработчика на Mac/Linux "ssh -D" вполне работает.
Как только возникает зоопарк, как с видами клиентов так и требованиями - его удобнее переложить на специалистов.

> --
> Олег 

--igor

More information about the uanog mailing list