|
|
|
|
5.113, Аноним (113), 01:51, 19/04/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ну и зачем клиенту знать валидность сервера если соединение тупо не установится? Каким образом будешь организовывать MITM? Твой OpenEcho дурик.
| |
|
6.120, OpenEcho (?), 13:10, 20/04/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Ну и зачем клиенту знать валидность сервера если соединение тупо не установится?
> Каким образом будешь организовывать MITM? Твой OpenEcho дурик.
Если "не дурик" орграничен домашним raspberry pi, на котором были сгенерированы ключи для сервера и телефона/клиента находящиеся в одной и той же комнате, то ты "выиграл", нет канала для обмена ключами, - нет МИТМ...
Но вот если у "не дурика" большая, разнесенная сеть по всему миру и не всегда есть возможность оплатить курьера, который прилетит ASAP и получит ключики из руки в руки, под расписку, то ключиками прийдется обмениваться через стороний канал. А если есть канал, значит кто то может быть MITM. Значит валидировать сервер(и клиента) очень даже полезно, даже "не дурику" ...
| |
|
|
|
3.14, Аноним (14), 09:55, 17/04/2020 [^] [^^] [^^^] [ответить]
| +/– |
Если в бочку дегтя добавить ложку дегтя. Она все равно останется бочкой дегтя.
| |
|
|
|
4.38, AlexYeCu_not_logged (?), 12:40, 17/04/2020 [^] [^^] [^^^] [ответить]
| +5 +/– |
>Эх совсем ты нафталином пропах.
Деточка, ты кидаешь взрослым дядям ссылку чуть более, чем двухнедельной давности на релиз под номером один. Ты хоть понимаешь, как смешно на этом фоне выглядят громкие утверждения вида «все уже давно»? «Давно» это ну пусть десять лет как. Но уж никак не две недели.
| |
|
|
2.30, llol (?), 11:52, 17/04/2020 [^] [^^] [^^^] [ответить]
| +10 +/– |
> Все уже давно на WireGuard.
И давно уже эта поделка, где во главу угла поставлено "там всего 4000 строк кода" умеет хотябы сотую часть того, что умеет OpenVPN? Где динамические маршруты для клиентов? Wireguard либо может гнать весь траффик через себя, либо все клиенты (а их могут быть тысячи) должны ручками прописывать подсеточки, в которые ходить через VPN.
Так что вирегард для мамкиных хацкиров. Компании уровня Яндекс продолжают использовать OpenVPN. ;))
| |
|
3.33, Аноним (21), 12:07, 17/04/2020 [^] [^^] [^^^] [ответить]
| –3 +/– |
Все эти свистелки только тормозят и скорость занижают. А компании уровня Тындекса всегда могут залить проблему железом.
| |
|
4.37, llol (?), 12:37, 17/04/2020 [^] [^^] [^^^] [ответить]
| +3 +/– |
> А компании уровня Тындекса всегда могут залить проблему железом.
Как ты собираешься заливать железом проблему того, что 10000 сотрудников надо регулярно менять конфиг и добавлять сетки, в которые нужно роутить трафик, чукча? ;))
И как то, что openvpn пушит не default route, а 20 подсетей, "скорость занижает", эгзперд ты мамкин, llol? ;)))
| |
|
3.34, llolik (ok), 12:08, 17/04/2020 [^] [^^] [^^^] [ответить]
| +6 +/– |
> Так что вирегард для мамкиных хацкиров.
Ну почему. Туннель-то можно сделать. Другое дело что это ТОЛЬКО туннель и ни на что другое оно не подписывалось, а его предлагают зачем-то совать всюду, куда оно даже и в принципе не натягивается.
| |
|
4.36, Аноним (21), 12:12, 17/04/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Это синдром Гитлаба надо быть сразу всем и все включить в себя. С одной стороны удобно с другой стороны не всем нужны эти неповоротливые комбайны.
| |
4.89, 000001 (?), 00:41, 18/04/2020 [^] [^^] [^^^] [ответить]
| +/– |
этот вуайергад просто ширма под завесой которой в ядро вставили скомпрометированную криптографичекую систему.
| |
|
|
2.115, Ilya Indigo (ok), 16:22, 19/04/2020 [^] [^^] [^^^] [ответить]
| +/– |
Его по дефолту только в последнем ядре добавили, которое далеко не LTS!
Так что ещё далеко не все.
| |
|
1.2, Sergey (??), 08:59, 17/04/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
На оффсайте по ссылке написано обратное:
fix condition where a client's session could "float" to a new IP address that is not authorized ("fix illegal client float").
This can be used to disrupt service to a freshly connected client (no session keys negotiated yet).
>>> It can not be used to inject or steal VPN traffic. CVE-2020-11810, trac #1272). <<< | |
1.3, Аноним (3), 09:00, 17/04/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –6 +/– |
Почему всем не использовать стандартный ipsec?
Ладно удобство openvpn можно понять.
Wireguard прозапас?
А зачем нужно столько реализаций: openswan,libreswan, freeswan, strongswan...
| |
|
2.5, Аноним (5), 09:08, 17/04/2020 [^] [^^] [^^^] [ответить]
| +3 +/– |
> Почему всем не использовать стандартный ipsec?
В каком месте он стандартный? Для чего он стандартный?
| |
|
3.9, llolik (ok), 09:37, 17/04/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Я так понял имелось ввиду, что реализация ipsec в том или ином виде везде есть (даже в смартфонах). OpenVPN нужно помимо сервера везде ещё и клиенты воздвигать.
ЗЫ. Сам в связи с этими танцами с удалёнкой за три недели несколько раз поднимал StrongSwan+xl2tpd в разных местах (не только у себя - у меня уже давно есть).
| |
|
4.10, Аноним (5), 09:44, 17/04/2020 [^] [^^] [^^^] [ответить]
| +/– |
> имелось ввиду, что реализация ipsec в том или ином виде везде есть
Ну да, на _слово_ IPSec можно наткнуться везде. Но муля в том, что везде он именно что "в том или ином виде"... Иногда настолько ином, что и фиг знает, что с ним, таким иным, делать. Вон, ввинде его вообще зачем-то гвоздями к l2tp прибили. А в опенке, кажется, вообще две разных реализации протокола. Так что о стандарте говорить неполиткорректно :)
| |
|
5.20, llolik (ok), 10:13, 17/04/2020 [^] [^^] [^^^] [ответить]
| +/– |
> делать. Вон, ввинде его вообще зачем-то гвоздями к l2tp прибили.
Это c 8.1/10 повелось? Мне интересно, потому что я сразу с l2tp поднимаю и возможно не сталкивался. Семёрка, насколько я знаю, умеет и без l2tp.
> в опенке, кажется, вообще две разных реализации протокола.
Ни разу не встречал Опёнка в проде в живой природе, но допускаю, что кто-то использует.
Из серьёзных траблов встречалось, пока, что Андроид стандартно IKEv2 не умеет. Только или StrongSwan клиент ставить или на сервере оставлять fallback IKEv1. Возможно нарвусь ещё на какие траблы, потому что пока дело ограничивалось вверенным предприятием - более менее знаешь где что может вылезти. А вот сейчас пришлось помогать соседям ... может что и новое узнаю.
| |
|
6.27, Аноним (5), 10:36, 17/04/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Это c 8.1/10 повелось? Мне интересно, потому что я сразу с l2tp поднимаю и возможно не сталкивался. Семёрка, насколько я знаю, умеет и без l2tp.
Это уже в XP было...
Да, умеет, и в 8, и в 10... но это все через танцы с бубном вокруг реестра. Потому и говорю про гвозди...
| |
|
5.70, Catwoolfii (ok), 17:08, 17/04/2020 [^] [^^] [^^^] [ответить]
| +2 +/– |
>Вон, ввинде его вообще зачем-то гвоздями к l2tp прибили
да ладно? про ikev2 не слышал?
| |
|
6.82, Аноним (5), 19:27, 17/04/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
Я глазами не слушаю, но допустим, "слышал". И че?
Это не отменяет наличия по соседству помеси ежа и ужа из l2tp и ipsec
И это опять же говорит "какой, нафиг, стандарт-мандарт, тут три одеколона в одном флаконе"
| |
|
|
4.16, КО (?), 10:00, 17/04/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ы том то и дело, "что реализация ipsec в том или ином виде"
| |
4.65, НяшМяш (ok), 15:29, 17/04/2020 [^] [^^] [^^^] [ответить]
| +/– |
> StrongSwan+xl2tpd
Я вот с такой связкой намучался в своё время (там миллион этих параметров, а разные документации и гайды противоречат в их настройке) - то связь нестабильная, то скорость 0.3 мегабита. Собрал на впске SoftEther - вещь как раз для такого краба как я. Есть гуй для настройки мышетыкательный (правда виндовый, но под вайном работает отлично), из коробки L2TP и OpenVPN. Moжет и зонд, но для своего локалхоста и пары друганов сойдёт.
| |
|
5.68, llolik (ok), 15:58, 17/04/2020 [^] [^^] [^^^] [ответить]
| +/– |
Ну, да, согласен, настройка этой связки - то ещё приключение. С другой стороны, с приходящим опытом уже и не кажется так сложно, когда делаешь уже сам, а не по ошмёткам чужих записок в сети.
| |
|
4.94, лютый жабби__ (?), 08:12, 18/04/2020 [^] [^^] [^^^] [ответить]
| +/– |
>что реализация ipsec в том или ином виде везде есть (даже в смартфонах)
Оно T-NAT умеет? Сколько смартфонов имеют реальный IP?
| |
|
3.69, Dmytro (?), 16:31, 17/04/2020 [^] [^^] [^^^] [ответить] | –2 +/– | RFC 2401 Security Architecture for the Internet Protocol 8212 архитектура з... большой текст свёрнут, показать | |
|
|
3.15, бублички (?), 09:57, 17/04/2020 [^] [^^] [^^^] [ответить]
| +/– |
человек предлагает использовать стандартный, взамен всех этих бесконечных сущностей типа freeswan, openswan, strongswan, libreswan :D
| |
|
|
5.73, бублички (?), 17:43, 17/04/2020 [^] [^^] [^^^] [ответить]
| +/– |
тише ты, может человек вот-вот да и сорвётся в бездну знаний и опыта, чтоб воплотить всё целиком, заново и по стандарту, взамен всех уже существующих реализаций (тех же самых стандартов). вдруг у него да и получится? да-да, простой себе очередной Аноним с OpenNET и вот на тебе. а!? лет 30 назад над одним финским школьником тоже все смеялись :D
| |
|
|
|
2.8, Аноним (8), 09:30, 17/04/2020 [^] [^^] [^^^] [ответить]
| +3 +/– |
> А зачем нужно столько реализаций: openswan,libreswan, freeswan, strongswan...
Ты сам ответил на свой вопрос - они все СТАНДАРТНЫЕ
| |
2.12, бублички (?), 09:53, 17/04/2020 [^] [^^] [^^^] [ответить]
| +3 +/– |
тебя забанили в гугл? Freeswan заброшен в 2004-м году, его форкам стали Openswan (корпорация добра Xelerance) и Strongswan (вдальнейшем был практически переписан). Libreswan форк Openswan. если ты когда-либо пользовался хоть одним, то ты бы знал что доступны для использования лишь Libreswan и Strongswan, про Openswan в большинстве случаев можно забыть
| |
|
3.92, Аноним (-), 03:08, 18/04/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
> вдальнейшем
эти слова пишутся раздельно; в дальнейшем предлагаю и Вам так писать - если, конечно, Вы русский язык используете, а не создаёте свой DSL (Dooraq Specific Language).
| |
|
4.100, бублички (?), 14:30, 18/04/2020 [^] [^^] [^^^] [ответить]
| +/– |
таки нашёл к чему придраться? молодец, ставь мне минус. по секрету, лишь тебе одному скажу, я в россии никогда не жил и даже толком не бывал нигде кроме Москвы и тогда ещё Ленинграда. русский язык изучал в школе, которую закончил в 93-м году. конечно многое забыл с тех пор, особенно что касается орфографии
| |
|
|
2.13, Аноним (11), 09:54, 17/04/2020 [^] [^^] [^^^] [ответить]
| +2 +/– |
>Почему всем не использовать стандартный ipsec?
Overenginering
| |
2.17, бублички (?), 10:02, 17/04/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Почему всем не использовать стандартный ipsec?
тот который на бумаге? используй на здоровье :D
| |
2.19, mumu (ok), 10:06, 17/04/2020 [^] [^^] [^^^] [ответить]
| +3 +/– |
Все эти IKE проектировали люди в белых халатах, а не те, кто реально админит системы. Просто диву даешься, как можно быть настолько покрытыми всеми этими комитетами и стандартами и настолько несовместимыми одновременно.
Есть стойкое ощущение ощущение, что там кто-то получал грант за каждый новый используемый порт и внутренний протокол.
| |
|
3.24, Аноним (21), 10:24, 17/04/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Комитет всегда найдет в реализации другого стандарта изъян. Даже тот что другой стандарт сделали не они.
| |
3.49, Аноним (47), 14:03, 17/04/2020 [^] [^^] [^^^] [ответить]
| +/– |
Как с jabber, куча не обязательных XEP и в результате мало совместимые друг с другом клиенты и серверы.
| |
|
|
5.66, llolik (ok), 15:36, 17/04/2020 [^] [^^] [^^^] [ответить]
| +/– |
> XMPP уже давно ввел XMPP Compliance Suites.
Ну ввести-то он, положим, ввел. Только разброд и шатание, в плане поддержки протокола, как было так и осталось. Если сервера ещё что-то как-то более-менее полно охватывают (да и не так много их), то с клиентами полный бардак.
| |
|
|
|
2.31, llol (?), 11:56, 17/04/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Почему всем не использовать стандартный ipsec?
Что такое "стандартный ipsec"?
Я навскидку только 5 или 6 реализаций могу вспомнить. И какая имеется в виду авторизация? IKEv1, IKEv2, L2TP? Парольная, сертификатная, с preshared key, без?
| |
|
3.74, бублички (?), 17:48, 17/04/2020 [^] [^^] [^^^] [ответить]
| +3 +/– |
ну стандартный же, ну. как ты не понимаешь!? :D такой чтоб в 2 клика мышкой, без чтения документации, с двумя кнопками [OK|Exit]. СТАНДАРТНЫЙ! :D лучше если и пароль будет стандартным, чтоб макисмально по стандарту :D
| |
|
|
3.107, Аноним (-), 17:28, 18/04/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
[оффтоп] Перешел по ссылке и внезапно узнал что товарищ Шигорин на аватарке в очках!
| |
|
|
|
|
3.32, llol (?), 11:57, 17/04/2020 [^] [^^] [^^^] [ответить]
| +3 +/– |
> WireGuard же уже подъехал он обгоняет и опенвпн и всякие ипсеки
Во влажных мечтах администраторов локалхоста, если только ;))
| |
|
2.61, OpenEcho (?), 15:12, 17/04/2020 [^] [^^] [^^^] [ответить]
| +/– |
Вы не правильно его варите... постарайтесь перейти с raspberry pi на что то более мощное,
начните с канала во вне, т.к. (скорость_канала/100) должно даже в теории становится медленее
| |
|
3.83, Аноним (22), 20:59, 17/04/2020 [^] [^^] [^^^] [ответить]
| +/– |
Сеть из компов через разных провайдырей. Там, где модемы вообще беда, надо вручную переподключать или скриптами
| |
|
|
|
2.28, Аноним (28), 11:42, 17/04/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
На сайте коммьюнити нету, но на гитхабе все есть. Вероятно, это делают разные люди, и чувак, который апдейтит сайт, скорее всего завтыкал на самоизоляции. Не волнуйся так.
| |
|
1.29, Аноним (29), 11:52, 17/04/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> позволяющая перевести сеанс клиента на новый IP-адрес, который до этого не был авторизирован
В идентификатор VPN сессии же не входит IP адрес?
Я могу после установки VPN соединения поменять IP адрес моего компа.
Или даже вытащить провод и переключиться на WiFi и VPN сессия не прервется.
Или тут какое-то расширение, дополенение протокола используется?
| |
|
|
Часть нити удалена модератором |
|
4.57, Аноним (57), 14:47, 17/04/2020 [^] [^^] [^^^] [ответить]
| +/– |
Модератор!
Да ты издеваешься!
Надо было вместе с постом "смешно" удалять.
Я ж теперь спать не смогу. Что же там смешное было.
Что, ЧТО?!
| |
|
|
2.95, лютый жабби__ (?), 08:16, 18/04/2020 [^] [^^] [^^^] [ответить]
| +/– |
у openvpn один плюс, работает через http прокси.
Соответственно, с опенвпн тормоза (я больше 15-20мбит вообще не смог разогнать), но без него совсем никак.
В остальном опенвпн не нужен.
| |
|
1.41, InuYasha (?), 12:51, 17/04/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Так чем, в итоге, пользоваться-то?
Чтоб максимально универсально и стандартно.
Этим или не этим?
| |
|
|
|
4.80, Сейд (ok), 19:13, 17/04/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
L2TP встроен во все современные операционные системы и VPN-совместимые устройства и легко может быть настроен.
| |
|
|
2.77, бублички (?), 18:02, 17/04/2020 [^] [^^] [^^^] [ответить]
| +/– |
смотря по случаю. лично в моих случаях OpenVPN непригоден (слишком медленный, т.к. целиком в user-space), но я полностью счастлив с IPSec (Strongswan, IKEv2). учти что полнофункциональные клиенты есть не везде. для примера попробуй настрой IKEv2 в MacOS, или найди хоть один SOHO маршрутизатор что умеет OpenVPN с заводской прошивкой
| |
|
3.98, InuYasha (?), 13:02, 18/04/2020 [^] [^^] [^^^] [ответить]
| +/– |
> смотря по случаю. лично в моих случаях OpenVPN непригоден (слишком медленный, т.к.
> целиком в user-space), но я полностью счастлив с IPSec (Strongswan, IKEv2).
> учти что полнофункциональные клиенты есть не везде. для примера попробуй настрой
> IKEv2 в MacOS, или найди хоть один SOHO маршрутизатор что умеет
> OpenVPN с заводской прошивкой
С Wireguard и IPSec я не знаком вообще - так что, всё равно, что изучать. Вот только раздражает, например, то, что у wg под android совершенно дикие требования permissions.
| |
|
4.103, бублички (?), 14:39, 18/04/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
на мой взгляд Wireguard пока ещё оторван от реальности (полноценно не работает, но где-то уже вполне удобен в применении), в то время как по факту IPSec уже много лет является стандартом (есть практически везде в той или иной мере). бесспорно, минусы есть во всём, как и плюсы. образования заради посмотри оба плюс конечно OpenVPN
| |
|
|
|
1.67, Японский Бог (?), 15:39, 17/04/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Я так и не пoнял, зачем OpenVPN изменил дизайн? Ощущение, что они свой gui переписали на электрон. Всё глючное, настройки куда-то запрятаны.
| |
1.79, Anon from Mars (?), 18:11, 17/04/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Насколько же смешно (настолько же и грустно), читать эти опусы от фанатов WireGuard.
Ну удачи вам поднять сервер(-ы) и настроить около 500 клиентов разных мастей (Linux, MacOS, Windows) с определенными маршрутами до внутренних ресурсов (чтобы внешечку домашнюю через себя не пускать, но при этом домашние устройства не должны превращаться в сетевую тыкву, они же все-таки домашние). Это учитывая, что для Windows (как топ ОС на рабочих станциях и домашних устройствах сотрудников) до сих пор нет официальной реализации WireGuard, если я не ошибаюсь.
И нет, не все компании в состоянии под рукой иметь парк ноутбуков на каждого сотрудника (у большинства из которых глаза не видят ничего на экранах меньше 17 дюймов, спасибо 1С).
Было бы интересно.
| |
|
2.81, муу (?), 19:15, 17/04/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
> до сих пор нет официальной реализации WireGuard, если я не ошибаюсь.
ошибаешься https://www.wireguard.com/install/ и между прочим прекрасно работает
и в остальном тоже ошибаешься
единственный минус wireguard - что нельзя пушить маршруты с сервера, жёстко в конфиге клиента надо прописывать (ессно если не юзается 0.0.0.0, который редко когда нужен)
для своей конторы я давно сделал отдельный vpn сервак, который умеет и в openvpn и в pptp/l2tp/ipsec и в wireguard что позволяет дать клиентам то что лучше подходит для каждого конкретного случая
что весьма пригодилось с не так давно возникшей ситуёвиной и удалёнками, всё давно отлажено и проверено, раздал нужное кол-во конфигов тем у кого их не было и всё, всё работает, никто (тьфу-тьфу) не сношает моск
не надо фанатеть, надо просто юзать правильные инструменты, чем больше выбор доступных инструментов тем лучше
| |
|
3.85, бублички (?), 23:14, 17/04/2020 [^] [^^] [^^^] [ответить]
| +/– |
пишешь про pptp и тут-же про правильные инструменты? pptp это диагноз тебе и твоей конторе
| |
|
4.105, муу (?), 14:47, 18/04/2020 [^] [^^] [^^^] [ответить]
| +/– |
диагноз это у тебя, до тебя таки не дошло то что я хотел сказать
а у меня есть _возможность_ его использовать если понадобится и более правильный впн по какойто причине невозможен
| |
|
3.119, edo (ok), 00:29, 20/04/2020 [^] [^^] [^^^] [ответить]
| +/– |
> единственный минус wireguard - что нельзя пушить маршруты с сервера
Можно подумать, что остальное можно пушить. Мне нужно было пушить клиентский адрес, например, взял openvpn именно потому, что в нём это делается в пару строчек конфига.
| |
|
|
1.88, Аноним (88), 00:34, 18/04/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Расскажите про --enable-async-push. Достаточно собрать с этой опцией клиент и сервер и оно автоматически работать будет?
| |
1.90, Аноним (-), 02:57, 18/04/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> (запрос пароля средствами OpenVPN через вывод приглашения в консоли прекращён);
люто, неистово минусую. Твари.
| |
1.99, InuYasha (?), 14:12, 18/04/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
!!! Всем на заметку: easyrsa использовать (до сих пор) НЕЛЬЗЯ!!! Она забагована, vars игнорит и герерит совсем не то, что вы от неё хотите!
| |
1.114, Shodan (ok), 08:33, 19/04/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Пытались в компании внедрить опенвпн + AD, после энного кол-ва написанных костылей, плюнули и перешли на циско впн.
| |
|
2.116, бублички (?), 18:10, 19/04/2020 [^] [^^] [^^^] [ответить]
| +/– |
помню вполне успешно интегрировал OpenVPN (2 сервера для HA) с AD ещё в далёком 2012-м году - прекрасно работало без всяких костылей. похоже в вашей компании плохо читали документацию (не имеют опыта интеграции с AD). но лично мне OpenVPN никогда не нравился - слишком медленный. предпочитал использовать Strongswan с IKEv2/EAP-RADIUS и OpenLDAP
| |
|
3.118, Shodan (ok), 18:55, 19/04/2020 [^] [^^] [^^^] [ответить]
| +/– |
> помню вполне успешно интегрировал OpenVPN (2 сервера для HA) с AD ещё
> в далёком 2012-м году - прекрасно работало без всяких костылей. похоже
> в вашей компании плохо читали документацию (не имеют опыта интеграции с
> AD). но лично мне OpenVPN никогда не нравился - слишком медленный.
> предпочитал использовать Strongswan с IKEv2/EAP-RADIUS и OpenLDAP
Смотря какие требования, если просто учетка в домене с какимто атрибутом, то допускаю что это можно сделать и без костылей. В данном случае требовались security groups с отдельными полиси для каждой группы
| |
|
|
|