forum.opennet.ru - "Доступен OpenVPN 2.7.0 " (45)

"Доступен OpenVPN 2.7.0 "

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Доступен OpenVPN 2.7.0 "	+/–
Сообщение от opennews (??), 11-Фев-26, 22:36
После трёх лет с момента публикации ветки 2.6 подготовлен релиз OpenVPN 2.7.0, пакета для создания виртуальных частных сетей, позволяющего организовать шифрованное соединение между двумя клиентскими машинами или обеспечить работу централизованного VPN-сервера для одновременной работы нескольких клиентов. Код OpenVPN распространяется под лицензией GPLv2, готовые бинарные пакеты формируются для Debian, Ubuntu, CentOS, RHEL и Windows... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64779
Ответить \| Правка \| Cообщить модератору

Оглавление

Легаси Все постепенно переходят на wg Пох конечно начнёт ныть, что когда он на, Аноним (1), 22:36 , 11-Фев-26, (1) –7

WG это же просто про создание зашифрованного канала и только лишь , функций и , resdert (ok), 22:53 , 11-Фев-26, (2) +14

Так в подавляющем большинстве случаев и нужен шифрованный канал и только лишь , Аноним (1), 23:09 , 11-Фев-26, (5) –8

Угу, когда в прошлом сентябре в этой Cisco нашли rce в ssl vpn, это был настоящи, ентакусик (?), 00:35 , 12-Фев-26, (12)

Бывает Как будто в OpenVPN дыр не находили Правда, в случае с Циской аккаунт-м, Аноним (1), 00:46 , 12-Фев-26, (16) +2

Да куда там извинились, там 80 девайсов asa 5500 в октябре уже eos стали, дум, ентакусик (?), 09:21 , 12-Фев-26, (44)

Больше и не нужно Это же vpn а не systemd , Аноним (20), 01:38 , 12-Фев-26, (20) –1
Было исследование, которое показало, что wireguard намного эффективнее чем OpenV, Аноним (26), 04:10 , 12-Фев-26, (26) –1

А ещё было исследование, которое показало, что OpenVPN намного эффективнее чем w, Аноним (1), 04:19 , 12-Фев-26, (27) +1

Как-будто тебя из 2000-х достали Сейчас мелкая пипирка на openwrt вполне может , Аноним (39), 08:11 , 12-Фев-26, (39) +2

Да, но, в OpenVPN есть ppp, т е можно раздачу IP и правила аутентификации как х, аролп5 (?), 09:32 , 12-Фев-26, (49)

Спросил у нейросети кто из вас двух прав, вот что он выдал Второй комментатор те, Алоним (?), 05:33 , 12-Фев-26, (32) +1

Скрыто модератором, nebularia (ok), 09:11 , 12-Фев-26, (42)

Dco модуль в ядро втащили А шифрование aes ускоряется Так что wireguard ждут т, Аноним (3), 22:56 , 11-Фев-26, (3) +4

Да процентов 80 этот функционал не используют Что нужно-то - защищенный канал и, Djon (??), 23:08 , 11-Фев-26, (4)

Да split tunnel и split dns, да желательно динамические, ентакусик (?), 00:37 , 12-Фев-26, (14)

В systemd из коробки, всё это, и даже более того , Аноним (1), 04:25 , 12-Фев-26, (28) +1

Ну и saml или хотя бы mfa было бы неплохо, ентакусик (?), 00:40 , 12-Фев-26, (15)

Tailscale И saml, и mfa, и полиси, и даже опенсорсный бэкэнд для любителей ручн, Аноним (1), 04:26 , 12-Фев-26, (29)

Ииии - вот тебе проприетарное решение-услуга, по сложности превосходящее примерн, User (??), 09:23 , 12-Фев-26, (45)

ничего с wg не случится, он уже мейнстрим openvpn до сих пор крутится там, где е, Вася (??), 23:54 , 11-Фев-26, (10) +1

скрипт делается за 30 мин, скрипт, который генерит готовый конфиг клиента со все, Аноним (13), 00:36 , 12-Фев-26, (13) +1

А смысл писать скрипт 25 минут, если через это время клиент уже будет пользовать, Аноним (20), 01:40 , 12-Фев-26, (21) –4

не дотягивает до systemd, в котором шикарная поддержка wg Кстати, идёт по д, Аноним (1), 04:34 , 12-Фев-26, (31) –1

Эээээ а шикарная поддержка - это Вот есть у тебя ubuntu - в ней есть netpl, User (??), 08:44 , 12-Фев-26, (40)

на самом деле не совсем openvpn и wg разные на сетевых уровнях - захочешь tap - , Вася (??), 23:49 , 11-Фев-26, (8)

Расскажи мне, в каких случаях я вдруг могу захотеть tap Для коммерческого прода, Аноним (1), 00:50 , 12-Фев-26, (17) +1
В OpenVPN тоже несколько лет как нету сертификатных вопросов Через peer-fingerp, Аноним (24), 03:15 , 12-Фев-26, (24)

Типичное васянское рукоблудие У нормальных виндузятников это всё автоматиче, Аноним (1), 04:30 , 12-Фев-26, (30)

wg никак не настраивается проще Там нет доставки ошибок, вместо этого пакеты пр, Аноним (35), 07:01 , 12-Фев-26, (35)
Вот только wg это L3, а ovpn L2 И это много где имеет значение , mervinhos (?), 07:45 , 12-Фев-26, (37)
через http-прокси сделай ка обратный туннельты openvpn и не видел, выходит, Анонисссм (?), 09:04 , 12-Фев-26, (41)
это здорово что васяны с подкроватными серверами переходят куда-то куда подальше, нах. (?), 09:30 , 12-Фев-26, (48)

Скрыто модератором, Cyd (?), 23:33 , 11-Фев-26, (7) –1
а когда добавят возможность отключить этот tls А также отключить хантшнейки Эт, Аноним (11), 00:11 , 12-Фев-26, (11) –4

https opennet ru 53520-https, Аноним (19), 01:23 , 12-Фев-26, (19)
Ну, эту возможность наоборот, порубили ЕМНИП, раньше была возможность на статич, User (??), 09:24 , 12-Фев-26, (47)

Хороший релиз, особенно для тех кому важно, что бы гарантировано блокировался пр, Аноним (18), 01:21 , 12-Фев-26, (18) +2

В режиме TCP на 443 порту оно от любого другого TLS на базе OpenSSL не отличаетс, Аноним (24), 03:17 , 12-Фев-26, (25) –1

Отличается, к сожалению И прекрасно видно на ngfw Разработчики ни разу и не ст, нах. (?), 09:39 , 12-Фев-26, (50)

ovpn только с определёнными видами шифрования доступен, что каждый раз забывают , Андрей (??), 01:59 , 12-Фев-26, (23)
Чтобы скачать впн нужен впн , robot228 (?), 07:06 , 12-Фев-26, (36) –1

Не рассказывайте сказок - всё прекрасно качается https openvpn net client , Хрю (?), 09:23 , 12-Фев-26, (46) +1

Смысла нет делать виртуальную сеть, которая светится на весь интернет Что э, Sm0ke85 (ok), 07:54 , 12-Фев-26, (38) –2

Прочитайте, что такое VPN, и для чего он должен применяться То что вы его пытае, Хрю (?), 09:13 , 12-Фев-26, (43) +1

Сообщения [Сортировка по времени | RSS]

1. "Доступен OpenVPN 2.7.0 " –7 +/–

Сообщение от Аноним (1), 11-Фев-26, 22:36

Легаси. Все постепенно переходят на wg. Пох конечно начнёт ныть, что когда он на шкаф с виндой залазит, ему там что-то мешается. Но по факту, wg работает быстрее и настраивается проще.

Ответить | Правка | Наверх | Cообщить модератору

2. "Доступен OpenVPN 2.7.0 " +14 +/–

Сообщение от resdert (ok), 11-Фев-26, 22:53

WG это же просто про создание зашифрованного канала (и только лишь), функций и возможностей у опенвпн несравнимо больше.

Ответить | Правка | Наверх | Cообщить модератору

5. "Доступен OpenVPN 2.7.0 " –8 +/–

Сообщение от Аноним (1), 11-Фев-26, 23:09

Так в подавляющем большинстве случаев и нужен шифрованный канал (и только лишь). Для консьюмеров поверх wg настрогали годнейших решений. А кому нужен хардкор для remote workforce, у тех Cisco.

Ответить | Правка | Наверх | Cообщить модератору

12. "Доступен OpenVPN 2.7.0 " +/–

Сообщение от ентакусик (?), 12-Фев-26, 00:35

Угу, когда в прошлом сентябре в этой Cisco нашли rce в ssl vpn, это был настоящий хардкор

Ответить | Правка | Наверх | Cообщить модератору

16. "Доступен OpenVPN 2.7.0 " +2 +/–

Сообщение от Аноним (1), 12-Фев-26, 00:46

Бывает. Как будто в OpenVPN дыр не находили. Правда, в случае с Циской аккаунт-менеджеры извинились в рамках соглашений урегулировали вопросик. А в случае с сабжем писать только на деревню дедушке, ибо AS IS.

Ответить | Правка | Наверх | Cообщить модератору

44. "Доступен OpenVPN 2.7.0 " +/–

Сообщение от ентакусик (?), 12-Фев-26, 09:21

Да куда там извинились, там 80% девайсов (asa 5500) в октябре уже eos стали, думаете, им новых отсыпали? Хорошо хоть фикс успели выпустить, реально до eos несколько дней оставалось

Ответить | Правка | Наверх | Cообщить модератору

20. "Доступен OpenVPN 2.7.0 " –1 +/–

Сообщение от Аноним (20), 12-Фев-26, 01:38

Больше и не нужно. Это же vpn а не systemd.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

26. "Доступен OpenVPN 2.7.0 " –1 +/–

Сообщение от Аноним (26), 12-Фев-26, 04:10

Было исследование, которое показало, что wireguard намного эффективнее чем OpenVPN в некоторых сценариях.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

27. "Доступен OpenVPN 2.7.0 " +1 +/–

Сообщение от Аноним (1), 12-Фев-26, 04:19

А ещё было исследование, которое показало, что OpenVPN намного эффективнее чем wireguard в некоторых других сценариях. А на практике, если тебе нужен эффективный тоннель (и тем более шифрованный), то ты берёшь могучий роутер для этого, потому что без ASIC это всё детский сад штаны на лямках.

Ответить | Правка | Наверх | Cообщить модератору

39. "Доступен OpenVPN 2.7.0 " +2 +/–

Сообщение от Аноним (39), 12-Фев-26, 08:11

Как-будто тебя из 2000-х достали. Сейчас мелкая пипирка на openwrt вполне может переварить достаточное количество vpn-тунелей over tcp/udp с управлением маршрутами. Чего даже среднему бизнесу может хватить.

Ответить | Правка | Наверх | Cообщить модератору

49. "Доступен OpenVPN 2.7.0 " +/–

Сообщение от аролп5 (?), 12-Фев-26, 09:32

Да, но, в OpenVPN есть ppp, т.е. можно раздачу IP и правила аутентификации как хотите настраивать. А в wg всё статикой прописывать на клиентах, а если их 100, 1000?

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

32. "Доступен OpenVPN 2.7.0 " +1 +/–

Сообщение от Алоним (?), 12-Фев-26, 05:33

Спросил у нейросети кто из вас двух прав, вот что он выдал:
Второй комментатор технически прав, но говорит об этом несколько преувеличенно.
Если разбирать ситуацию детально:
    Правота комментатора: WireGuard (WG) действительно проектировался как минималистичный протокол. Его задача — быть «тупой», но очень быстрой и надежной трубой. OpenVPN же создавался в эпоху, когда требовалась максимальная гибкость для обхода блокировок и интеграции в сложные корпоративные сети, поэтому он набит функциями, которых в WG нет «из коробки».
    Где он преувеличивает: Утверждение «только лишь создание канала» звучит так, будто WG чем-то плох. На самом деле, для 90% задач (связать офисы, подключить удаленного сотрудника) функционала WG более чем достаточно. Отсутствие лишних функций — это фича, а не баг (KISS principle), что и делает WG быстрее и проще, о чем писал первый комментатор.
Вот перечень тех самых функций и возможностей OpenVPN, о которых намекает второй комментатор и которых нет (или они реализуются сложнее) в WireGuard:
1. Работа на уровне L2 (Ethernet bridging / TAP)
Это, пожалуй, главное отличие.
     OpenVPN: Умеет работать в режиме TAP (сетевой мост). Это позволяет объединять устройства в один физический сегмент сети. Через такой туннель проходят broadcast-пакеты, можно видеть сетевые соседи, использовать NetBIOS, запускать старые протоколы, которые не работают поверх IP, или объединять два офиса в один домен Windows так, будто они стоят в одной комнате.
     WireGuard: Работает только на уровне L3 (маршрутизация IP-пакетов). Он не умеет передавать Ethernet-кадры и broadcast-трафик. Для большинства задач это не нужно, но для специфическихlegacy-систем это критично.

2. Динамическая настройка клиентов (Push-директивы)
     OpenVPN: Сервер может «проталкивать» настройки клиенту. Администратор может один раз настроить сервер, чтобы он при подключении говорил клиенту: «Используй этот DNS», «Пропиши этот маршрут», «Смени шлюз по умолчанию». Клиенту не нужно править конфиг.
     WireGuard: Конфиг статичен. IP-адрес клиента, маршруты и DNS нужно жестко прописать в конфиге на стороне клиента (или использовать внешние скрипты и системы оркестрации).

3. TCP-транспорт
     OpenVPN: Может работать как по UDP, так и по TCP. Это важно, если сеть блокирует UDP или если нужно пустить трафик через HTTP-прокси.
     WireGuard: Работает исключительно по UDP. Если протокол UDP заблокирован провайдером или файрволом, WG без костылей (типа обертывания в другую обертку) не заработает.

4. Гибкая аутентификация и PKI (Инфраструктура открытых ключей)
     OpenVPN: Поддерживает сложные схемы проверки: логин/пароль (возможно через LDAP/Active Directory), сертификаты X.509, двухфакторную аутентификацию (2FA), одноразовые пароли. Для корпораций это стандарт.
     WireGuard: Использует только криптографию с открытым ключом (Curve25519). Нет встроенной поддержки логина/пароля или отзыва сертификатов в привычном понимании. Если ключ скомпрометирован, его нужно удалять из конфига сервера вручную.

5. Маскировка трафика (Obfuscation)
     OpenVPN: В силу своей архитектуры его легче маскировать. Существуют патчи для маскировки под HTTPS, он может запускаться на порту 443 через TCP. DPI-анализаторам сложнее его однозначно идентифицировать (хотя современный DPI умеет находить и его).
     WireGuard: Имеет очень четкий сигнатурный заголовок пакета. Любой анализ трафика в Китае или РФ с помощью DPI (Deep Packet Inspection) мгновенно видит WireGuard и блокирует его. Для обхода цензуры WG приходится «прятать» внутрь других протоколов (например, Shadowsocks или AmneziaWG), что требует дополнительного софта.

6. Выделение IP-адресов (DHCP внутри туннеля)
     OpenVPN: Сам выступает в роли DHCP-сервера для клиентов. Клиент может подключиться и получить любой свободный IP из пула.
     WireGuard: Здесь IP-адреса жестко прописаны в конфигах. Если у вас 100 сотрудников и нужно выдать им IP, вам либо вручную прописывать каждому уникальный IP, либо использовать внешнюю систему управления базой данных IP-адресов.

Итог
Второй комментатор прав в том, что OpenVPN — это мощный комбайн для энтерпрайза и сложных сетей (L2, TCP, интеграция с AD, push-настройки).
Первый комментатор прав в том, что для простого использования (сайт-сайт или удаленный доступ к ресурсам) WG объективно быстрее, современнее и вызывает меньше боли при настройке ("Код меньше — багов меньше").

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

42. Скрыто модератором +/–

Сообщение от nebularia (ok), 12-Фев-26, 09:11

То есть мозгов хотя бы осмыслить ответ у тебя не хватило, и ты тупо решил скопипастить сюда эту простыню?

Ответить | Правка | Наверх | Cообщить модератору

3. "Доступен OpenVPN 2.7.0 " +4 +/–

Сообщение от Аноним (3), 11-Фев-26, 22:56

Dco модуль в ядро втащили. А шифрование aes ускоряется. Так что wireguard ждут тёмные времена. По скорости они вряд ли будут отличаться. А по функционалу однозначно openvpn лучше.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

4. "Доступен OpenVPN 2.7.0 " +/–

Сообщение от Djon (??), 11-Фев-26, 23:08

Да процентов 80 этот функционал не используют. Что нужно-то - защищенный канал и маршруты.

Ответить | Правка | Наверх | Cообщить модератору

14. "Доступен OpenVPN 2.7.0 " +/–

Сообщение от ентакусик (?), 12-Фев-26, 00:37

Да split tunnel и split dns, да желательно динамические

Ответить | Правка | Наверх | Cообщить модератору

28. "Доступен OpenVPN 2.7.0 " +1 +/–

Сообщение от Аноним (1), 12-Фев-26, 04:25

В systemd из коробки, всё это, и даже более того.

Ответить | Правка | Наверх | Cообщить модератору

15. "Доступен OpenVPN 2.7.0 " +/–

Сообщение от ентакусик (?), 12-Фев-26, 00:40

Ну и saml или хотя бы mfa было бы неплохо

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

29. "Доступен OpenVPN 2.7.0 " +/–

Сообщение от Аноним (1), 12-Фев-26, 04:26

Tailscale. И saml, и mfa, и полиси, и даже опенсорсный бэкэнд для любителей ручного труда.

Ответить | Правка | Наверх | Cообщить модератору

45. "Доступен OpenVPN 2.7.0 " +/–

Сообщение от User (??), 12-Фев-26, 09:23

Ииии - вот тебе проприетарное решение-услуга, по сложности превосходящее примерно все аналоги, ага.

Ответить | Правка | Наверх | Cообщить модератору

10. "Доступен OpenVPN 2.7.0 " +1 +/–

Сообщение от Вася (??), 11-Фев-26, 23:54

ничего с wg не случится, он уже мейнстрим.
openvpn до сих пор крутится там, где его настраивали еще 10-15 лет назад, но скорее всего выполняет ту же функцию, потому что тогда ничего другого просто не было.
меня лично как юзера (именно юзера, а не поехавшего корпоратаста, которому нужны именно корпорацкие фичи) больше всего от openvpn отталкивает необходимость менеджментить сертификаты, а не пары priv/pub ключей.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

13. "Доступен OpenVPN 2.7.0 " +1 +/–

Сообщение от Аноним (13), 12-Фев-26, 00:36

скрипт делается за 30 мин, скрипт, который генерит готовый конфиг клиента со всеми сертами, 25 из этих минут нужно будет одним пальцем выравнивать отступы.

Ответить | Правка | Наверх | Cообщить модератору

21. "Доступен OpenVPN 2.7.0 " –4 +/–

Сообщение от Аноним (20), 12-Фев-26, 01:40

А смысл писать скрипт 25 минут, если через это время клиент уже будет пользоваться awg.

Ответить | Правка | Наверх | Cообщить модератору

31. "Доступен OpenVPN 2.7.0 " –1 +/–

Сообщение от Аноним (1), 12-Фев-26, 04:34

> А по функционалу однозначно openvpn
... не дотягивает до systemd, в котором шикарная поддержка wg. Кстати, идёт по дефолту во всех мейнстримных дистрибутивах. А openvpn ещё ставить надо, какие-то скрипты качать откуда-то, разбираться как там у них что устроено...

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

40. "Доступен OpenVPN 2.7.0 " +/–

Сообщение от User (??), 12-Фев-26, 08:44

Эээээ... а "шикарная поддержка" - это?
Вот есть у тебя ubuntu - в ней есть netplan. В ём джва рендерера - networkd и network-manager. А на центоси netplan'а у тебя нет - но дополнительно всплывет wg_quick.
На какой из стульев прыгать?

Ответить | Правка | Наверх | Cообщить модератору

8. "Доступен OpenVPN 2.7.0 " +/–

Сообщение от Вася (??), 11-Фев-26, 23:49

на самом деле не совсем.
openvpn и wg разные на сетевых уровнях - захочешь tap - получишь tap, а на wg такого не будет.
правда, на телефоне каком-нибудь ты этого не получишь, но не суть - оно не для этого.
просто в тех юзкейсах, где используется уровень tun, wg действительно просто лучше, и настраивать его проще, т.к. сертификатных вопросов никаких нету.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

17. "Доступен OpenVPN 2.7.0 " +1 +/–

Сообщение от Аноним (1), 12-Фев-26, 00:50

Расскажи мне, в каких случаях я вдруг могу захотеть tap. Для коммерческого прода кроме IP ничего не нужно, а где нужно, там опять Циска стоит и хоть ты тресни.

Ответить | Правка | Наверх | Cообщить модератору

24. "Доступен OpenVPN 2.7.0 " +/–

Сообщение от Аноним (24), 12-Фев-26, 03:15

В OpenVPN тоже несколько лет как нету сертификатных вопросов. Через peer-fingerprint можно в конфиг напрямую доверенные сертификаты добавлять, самоподписанные, и не нужно коряжится с CA. Работает прекрасно и новых юзеров (виндузятников) заводить легко - кидаешь им батник который конфиг выплёвывает, а тебе обратно только этот FP и скидывают, без утечки конфига с ключом в сеть.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

30. "Доступен OpenVPN 2.7.0 " +/–

Сообщение от Аноним (1), 12-Фев-26, 04:30

Типичное васянское рукоблудие. У нормальных "(виндузятников)" это всё автоматически через AD делается без кидания кому-то батников и обмена вежливостями. Компьютер подключается к домену и всё просто работает. Даже через интернет.

Ответить | Правка | Наверх | Cообщить модератору

35. "Доступен OpenVPN 2.7.0 " +/–

Сообщение от Аноним (35), 12-Фев-26, 07:01

wg никак не настраивается проще. Там нет доставки ошибок, вместо этого пакеты просто не посылаются, а ты сиди гадай что не так. И нет автонастройки IP-адреса (в стандартных серверах/клиентах, а не кастомных проприетарных, которые у массовых провайдеров, и IP либо по дополнительному каналу передают, либо всем в конфиге один и тот же IP, но сервер делает меняет в пакетах сразу по прибытии на динамически выделенный для данного ключа), я два дня пытался сообразить, что же чёрт возьми не так, когда надо было во внутреннюю сеть извне туннель пробросить, wg конфиг жрал без какой-либо ошибки, но нифига не работало.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

37. "Доступен OpenVPN 2.7.0 " +/–

Сообщение от mervinhos (?), 12-Фев-26, 07:45

Вот только wg это L3, а ovpn L2. И это много где имеет значение.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

41. "Доступен OpenVPN 2.7.0 " +/–

Сообщение от Анонисссм (?), 12-Фев-26, 09:04

>Все постепенно переходят на wg
через http-прокси сделай ка обратный туннель
>wg работает быстрее и настраивается проще
ты openvpn и не видел, выходит

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

48. "Доступен OpenVPN 2.7.0 " +/–

Сообщение от нах. (?), 12-Фев-26, 09:30

это здорово что васяны с подкроватными серверами переходят куда-то куда подальше.
> работает быстрее и настраивается проще.
давай настрой первые двадцать коробочек которые вот щас поедут по точкам продажи чего-нибудь.
А если их будет - двести? А ты не долбанешься хотя бы вести учет кому какой ключ и какой айпишник выдан?
Или настрой удаленное подключение первым двадцати незамысловатым юзверям (_предположим_ даже что у них - linoops, а то ж может и мак какой). Через неделю один кстати увольняется. Через две увольняются двое и приходят четверо. Уволенным разумеется надо день-в-день отрубить подключение. Хорошо бы сделать это в том же месте где их авторизация и во внутренние сервисы.
Задача со звездочкой: уволился не васян а руководитель отдела и тебя разумеется забыли предупредить. Как сделать чтобы хотя бы через месяц его доступ все же - заблокировался?
Ну что, все еще "просто" настраивается вайргад? Ты еще там не утонул в попытках написать мильен лапшескриптов для банальнейшей ежедневной работы?
А если у тебя ничего нет кроме двух подкроватных серверов между которыми надо прокинуть туннель - то конечно проще один раз руками выполнить десяток заклинаний. (правда, мы это и до wg не сложнее делали - через ipsec, но там да, с виндой несложность улетучится)

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

7. Скрыто модератором –1 +/–

Сообщение от Cyd (?), 11-Фев-26, 23:33

и чем все это лучше ipsec/ikev2?

Ответить | Правка | Наверх | Cообщить модератору

11. "Доступен OpenVPN 2.7.0 " –4 +/–

Сообщение от Аноним (11), 12-Фев-26, 00:11

а когда добавят возможность отключить этот tls? А также отключить хантшнейки? Это важно, если у тебя протокол замедляет ИИ

Ответить | Правка | Наверх | Cообщить модератору

19. "Доступен OpenVPN 2.7.0 " +/–

Сообщение от Аноним (19), 12-Фев-26, 01:23

https://opennet.ru/53520-https

Ответить | Правка | Наверх | Cообщить модератору

47. "Доступен OpenVPN 2.7.0 " +/–

Сообщение от User (??), 12-Фев-26, 09:24

Ну, эту возможность наоборот, порубили. ЕМНИП, раньше была возможность на статических ключах конфигурацию сделать, но нонеча она толи уже deprecated, то ли в процессе.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

18. "Доступен OpenVPN 2.7.0 " +2 +/–

Сообщение от Аноним (18), 12-Фев-26, 01:21

Хороший релиз, особенно для тех кому важно, что бы гарантировано блокировался провайдером.

Ответить | Правка | Наверх | Cообщить модератору

25. "Доступен OpenVPN 2.7.0 " –1 +/–

Сообщение от Аноним (24), 12-Фев-26, 03:17

В режиме TCP на 443 порту оно от любого другого TLS на базе OpenSSL не отличается. Тор вон тоже "заблокировали", а по факту достаточно прикинуться дурачком на 443 порту и отдавать страницу "мая первая вебморда" при некорректном сертификате клиента.

Ответить | Правка | Наверх | Cообщить модератору

50. "Доступен OpenVPN 2.7.0 " +/–

Сообщение от нах. (?), 12-Фев-26, 09:39

Отличается, к сожалению. И прекрасно видно на ngfw. Разработчики ни разу и не ставили целью нелегальную антигосударственную деятельность. Там и хэндшейк не такой как у веб-сервера, и поток совершенно непохожий.
> дурачком на 443 порту и отдавать страницу "мая первая вебморда" при некорректном
> сертификате клиента
это тоже будет хорошо заметно.
Я понимаю что ты краем уха слышал про запрещенное запрещено, но вот оно работает - совсем не так, и для этого там потратили изрядное количество усилий, а не просто схватили первую попавшуюся ssl библиотеку. И при этом хватило одной мелкой ошибки чтобы их научились блокировать. (Да, они ее нашли и исправили, но осадочек и следы в тспу остались)

Ответить | Правка | Наверх | Cообщить модератору

23. "Доступен OpenVPN 2.7.0 " +/–

Сообщение от Андрей (??), 12-Фев-26, 01:59

ovpn только с определёнными видами шифрования доступен, что каждый раз забывают упомянуть...

Ответить | Правка | Наверх | Cообщить модератору

36. "Доступен OpenVPN 2.7.0 " –1 +/–

Сообщение от robot228 (?), 12-Фев-26, 07:06

Чтобы скачать впн нужен впн)

Ответить | Правка | Наверх | Cообщить модератору

46. "Доступен OpenVPN 2.7.0 " +1 +/–

Сообщение от Хрю (?), 12-Фев-26, 09:23

Не рассказывайте сказок - всё прекрасно качается https://openvpn.net/client/ /

Ответить | Правка | Наверх | Cообщить модератору

38. "Доступен OpenVPN 2.7.0 " –2 +/–

Сообщение от Sm0ke85 (ok), 12-Фев-26, 07:54

Смысла нет делать виртуальную сеть, которая "светится" на весь интернет... Что это за "безопасность", когда ты сначала обозначил себя, а потом пытаешься защищаться шифрованием... Практика показала, что если тебя не видно, то и не будет атак по тебе...

Ответить | Правка | Наверх | Cообщить модератору

43. "Доступен OpenVPN 2.7.0 " +1 +/–

Сообщение от Хрю (?), 12-Фев-26, 09:13

Прочитайте, что такое VPN, и для чего он должен применяться. То что вы его пытаетесь применять для того чтоб *** это исключительно ваши проблемы, а не OpenVPN, который прекрасно делает то для чего сделан.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Доступен OpenVPN 2.7.0 "	–7 +/–
Сообщение от Аноним (1), 11-Фев-26, 22:36
Легаси. Все постепенно переходят на wg. Пох конечно начнёт ныть, что когда он на шкаф с виндой залазит, ему там что-то мешается. Но по факту, wg работает быстрее и настраивается проще.
Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Доступен OpenVPN 2.7.0 "	+14 +/–
	Сообщение от resdert (ok), 11-Фев-26, 22:53
	WG это же просто про создание зашифрованного канала (и только лишь), функций и возможностей у опенвпн несравнимо больше.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Доступен OpenVPN 2.7.0 "	–8 +/–
	Сообщение от Аноним (1), 11-Фев-26, 23:09
	Так в подавляющем большинстве случаев и нужен шифрованный канал (и только лишь). Для консьюмеров поверх wg настрогали годнейших решений. А кому нужен хардкор для remote workforce, у тех Cisco.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Доступен OpenVPN 2.7.0 "	+/–
	Сообщение от ентакусик (?), 12-Фев-26, 00:35
	Угу, когда в прошлом сентябре в этой Cisco нашли rce в ssl vpn, это был настоящий хардкор
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Доступен OpenVPN 2.7.0 "	+2 +/–
	Сообщение от Аноним (1), 12-Фев-26, 00:46
	Бывает. Как будто в OpenVPN дыр не находили. Правда, в случае с Циской аккаунт-менеджеры извинились в рамках соглашений урегулировали вопросик. А в случае с сабжем писать только на деревню дедушке, ибо AS IS.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	44. "Доступен OpenVPN 2.7.0 "	+/–
	Сообщение от ентакусик (?), 12-Фев-26, 09:21
	Да куда там извинились, там 80% девайсов (asa 5500) в октябре уже eos стали, думаете, им новых отсыпали? Хорошо хоть фикс успели выпустить, реально до eos несколько дней оставалось
	Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Доступен OpenVPN 2.7.0 "	–1 +/–
	Сообщение от Аноним (20), 12-Фев-26, 01:38
	Больше и не нужно. Это же vpn а не systemd.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	26. "Доступен OpenVPN 2.7.0 "	–1 +/–
	Сообщение от Аноним (26), 12-Фев-26, 04:10
	Было исследование, которое показало, что wireguard намного эффективнее чем OpenVPN в некоторых сценариях.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	27. "Доступен OpenVPN 2.7.0 "	+1 +/–
	Сообщение от Аноним (1), 12-Фев-26, 04:19
	А ещё было исследование, которое показало, что OpenVPN намного эффективнее чем wireguard в некоторых других сценариях. А на практике, если тебе нужен эффективный тоннель (и тем более шифрованный), то ты берёшь могучий роутер для этого, потому что без ASIC это всё детский сад штаны на лямках.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	39. "Доступен OpenVPN 2.7.0 "	+2 +/–
	Сообщение от Аноним (39), 12-Фев-26, 08:11
	Как-будто тебя из 2000-х достали. Сейчас мелкая пипирка на openwrt вполне может переварить достаточное количество vpn-тунелей over tcp/udp с управлением маршрутами. Чего даже среднему бизнесу может хватить.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	49. "Доступен OpenVPN 2.7.0 "	+/–
	Сообщение от аролп5 (?), 12-Фев-26, 09:32
	Да, но, в OpenVPN есть ppp, т.е. можно раздачу IP и правила аутентификации как хотите настраивать. А в wg всё статикой прописывать на клиентах, а если их 100, 1000?
	Ответить \| Правка \| К родителю #26 \| Наверх \| Cообщить модератору


	32. "Доступен OpenVPN 2.7.0 "	+1 +/–
	Сообщение от Алоним (?), 12-Фев-26, 05:33
	Спросил у нейросети кто из вас двух прав, вот что он выдал: Второй комментатор технически прав, но говорит об этом несколько преувеличенно. Если разбирать ситуацию детально: Правота комментатора: WireGuard (WG) действительно проектировался как минималистичный протокол. Его задача — быть «тупой», но очень быстрой и надежной трубой. OpenVPN же создавался в эпоху, когда требовалась максимальная гибкость для обхода блокировок и интеграции в сложные корпоративные сети, поэтому он набит функциями, которых в WG нет «из коробки». Где он преувеличивает: Утверждение «только лишь создание канала» звучит так, будто WG чем-то плох. На самом деле, для 90% задач (связать офисы, подключить удаленного сотрудника) функционала WG более чем достаточно. Отсутствие лишних функций — это фича, а не баг (KISS principle), что и делает WG быстрее и проще, о чем писал первый комментатор. Вот перечень тех самых функций и возможностей OpenVPN, о которых намекает второй комментатор и которых нет (или они реализуются сложнее) в WireGuard: 1. Работа на уровне L2 (Ethernet bridging / TAP) Это, пожалуй, главное отличие. OpenVPN: Умеет работать в режиме TAP (сетевой мост). Это позволяет объединять устройства в один физический сегмент сети. Через такой туннель проходят broadcast-пакеты, можно видеть сетевые соседи, использовать NetBIOS, запускать старые протоколы, которые не работают поверх IP, или объединять два офиса в один домен Windows так, будто они стоят в одной комнате. WireGuard: Работает только на уровне L3 (маршрутизация IP-пакетов). Он не умеет передавать Ethernet-кадры и broadcast-трафик. Для большинства задач это не нужно, но для специфическихlegacy-систем это критично. 2. Динамическая настройка клиентов (Push-директивы) OpenVPN: Сервер может «проталкивать» настройки клиенту. Администратор может один раз настроить сервер, чтобы он при подключении говорил клиенту: «Используй этот DNS», «Пропиши этот маршрут», «Смени шлюз по умолчанию». Клиенту не нужно править конфиг. WireGuard: Конфиг статичен. IP-адрес клиента, маршруты и DNS нужно жестко прописать в конфиге на стороне клиента (или использовать внешние скрипты и системы оркестрации). 3. TCP-транспорт OpenVPN: Может работать как по UDP, так и по TCP. Это важно, если сеть блокирует UDP или если нужно пустить трафик через HTTP-прокси. WireGuard: Работает исключительно по UDP. Если протокол UDP заблокирован провайдером или файрволом, WG без костылей (типа обертывания в другую обертку) не заработает. 4. Гибкая аутентификация и PKI (Инфраструктура открытых ключей) OpenVPN: Поддерживает сложные схемы проверки: логин/пароль (возможно через LDAP/Active Directory), сертификаты X.509, двухфакторную аутентификацию (2FA), одноразовые пароли. Для корпораций это стандарт. WireGuard: Использует только криптографию с открытым ключом (Curve25519). Нет встроенной поддержки логина/пароля или отзыва сертификатов в привычном понимании. Если ключ скомпрометирован, его нужно удалять из конфига сервера вручную. 5. Маскировка трафика (Obfuscation) OpenVPN: В силу своей архитектуры его легче маскировать. Существуют патчи для маскировки под HTTPS, он может запускаться на порту 443 через TCP. DPI-анализаторам сложнее его однозначно идентифицировать (хотя современный DPI умеет находить и его). WireGuard: Имеет очень четкий сигнатурный заголовок пакета. Любой анализ трафика в Китае или РФ с помощью DPI (Deep Packet Inspection) мгновенно видит WireGuard и блокирует его. Для обхода цензуры WG приходится «прятать» внутрь других протоколов (например, Shadowsocks или AmneziaWG), что требует дополнительного софта. 6. Выделение IP-адресов (DHCP внутри туннеля) OpenVPN: Сам выступает в роли DHCP-сервера для клиентов. Клиент может подключиться и получить любой свободный IP из пула. WireGuard: Здесь IP-адреса жестко прописаны в конфигах. Если у вас 100 сотрудников и нужно выдать им IP, вам либо вручную прописывать каждому уникальный IP, либо использовать внешнюю систему управления базой данных IP-адресов. Итог Второй комментатор прав в том, что OpenVPN — это мощный комбайн для энтерпрайза и сложных сетей (L2, TCP, интеграция с AD, push-настройки). Первый комментатор прав в том, что для простого использования (сайт-сайт или удаленный доступ к ресурсам) WG объективно быстрее, современнее и вызывает меньше боли при настройке ("Код меньше — багов меньше").
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	42. Скрыто модератором	+/–
	Сообщение от nebularia (ok), 12-Фев-26, 09:11
	То есть мозгов хотя бы осмыслить ответ у тебя не хватило, и ты тупо решил скопипастить сюда эту простыню?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Доступен OpenVPN 2.7.0 "	+4 +/–
	Сообщение от Аноним (3), 11-Фев-26, 22:56
	Dco модуль в ядро втащили. А шифрование aes ускоряется. Так что wireguard ждут тёмные времена. По скорости они вряд ли будут отличаться. А по функционалу однозначно openvpn лучше.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	4. "Доступен OpenVPN 2.7.0 "	+/–
	Сообщение от Djon (??), 11-Фев-26, 23:08
	Да процентов 80 этот функционал не используют. Что нужно-то - защищенный канал и маршруты.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Доступен OpenVPN 2.7.0 "	+/–
	Сообщение от ентакусик (?), 12-Фев-26, 00:37
	Да split tunnel и split dns, да желательно динамические
	Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "Доступен OpenVPN 2.7.0 "	+1 +/–
	Сообщение от Аноним (1), 12-Фев-26, 04:25
	В systemd из коробки, всё это, и даже более того.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Доступен OpenVPN 2.7.0 "	+/–
	Сообщение от ентакусик (?), 12-Фев-26, 00:40
	Ну и saml или хотя бы mfa было бы неплохо
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору


	29. "Доступен OpenVPN 2.7.0 "	+/–
	Сообщение от Аноним (1), 12-Фев-26, 04:26
	Tailscale. И saml, и mfa, и полиси, и даже опенсорсный бэкэнд для любителей ручного труда.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	45. "Доступен OpenVPN 2.7.0 "	+/–
	Сообщение от User (??), 12-Фев-26, 09:23
	Ииии - вот тебе проприетарное решение-услуга, по сложности превосходящее примерно все аналоги, ага.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Доступен OpenVPN 2.7.0 "	+1 +/–
	Сообщение от Вася (??), 11-Фев-26, 23:54
	ничего с wg не случится, он уже мейнстрим. openvpn до сих пор крутится там, где его настраивали еще 10-15 лет назад, но скорее всего выполняет ту же функцию, потому что тогда ничего другого просто не было. меня лично как юзера (именно юзера, а не поехавшего корпоратаста, которому нужны именно корпорацкие фичи) больше всего от openvpn отталкивает необходимость менеджментить сертификаты, а не пары priv/pub ключей.
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	13. "Доступен OpenVPN 2.7.0 "	+1 +/–
	Сообщение от Аноним (13), 12-Фев-26, 00:36
	скрипт делается за 30 мин, скрипт, который генерит готовый конфиг клиента со всеми сертами, 25 из этих минут нужно будет одним пальцем выравнивать отступы.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Доступен OpenVPN 2.7.0 "	–4 +/–
	Сообщение от Аноним (20), 12-Фев-26, 01:40
	А смысл писать скрипт 25 минут, если через это время клиент уже будет пользоваться awg.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	31. "Доступен OpenVPN 2.7.0 "	–1 +/–
	Сообщение от Аноним (1), 12-Фев-26, 04:34
	> А по функционалу однозначно openvpn ... не дотягивает до systemd, в котором шикарная поддержка wg. Кстати, идёт по дефолту во всех мейнстримных дистрибутивах. А openvpn ещё ставить надо, какие-то скрипты качать откуда-то, разбираться как там у них что устроено...
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	40. "Доступен OpenVPN 2.7.0 "	+/–
	Сообщение от User (??), 12-Фев-26, 08:44
	Эээээ... а "шикарная поддержка" - это? Вот есть у тебя ubuntu - в ней есть netplan. В ём джва рендерера - networkd и network-manager. А на центоси netplan'а у тебя нет - но дополнительно всплывет wg_quick. На какой из стульев прыгать?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Доступен OpenVPN 2.7.0 "	+/–
	Сообщение от Вася (??), 11-Фев-26, 23:49
	на самом деле не совсем. openvpn и wg разные на сетевых уровнях - захочешь tap - получишь tap, а на wg такого не будет. правда, на телефоне каком-нибудь ты этого не получишь, но не суть - оно не для этого. просто в тех юзкейсах, где используется уровень tun, wg действительно просто лучше, и настраивать его проще, т.к. сертификатных вопросов никаких нету.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	17. "Доступен OpenVPN 2.7.0 "	+1 +/–
	Сообщение от Аноним (1), 12-Фев-26, 00:50
	Расскажи мне, в каких случаях я вдруг могу захотеть tap. Для коммерческого прода кроме IP ничего не нужно, а где нужно, там опять Циска стоит и хоть ты тресни.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "Доступен OpenVPN 2.7.0 "	+/–
	Сообщение от Аноним (24), 12-Фев-26, 03:15
	В OpenVPN тоже несколько лет как нету сертификатных вопросов. Через peer-fingerprint можно в конфиг напрямую доверенные сертификаты добавлять, самоподписанные, и не нужно коряжится с CA. Работает прекрасно и новых юзеров (виндузятников) заводить легко - кидаешь им батник который конфиг выплёвывает, а тебе обратно только этот FP и скидывают, без утечки конфига с ключом в сеть.
	Ответить \| Правка \| К родителю #8 \| Наверх \| Cообщить модератору


	30. "Доступен OpenVPN 2.7.0 "	+/–
	Сообщение от Аноним (1), 12-Фев-26, 04:30
	Типичное васянское рукоблудие. У нормальных "(виндузятников)" это всё автоматически через AD делается без кидания кому-то батников и обмена вежливостями. Компьютер подключается к домену и всё просто работает. Даже через интернет.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	35. "Доступен OpenVPN 2.7.0 "	+/–
	Сообщение от Аноним (35), 12-Фев-26, 07:01
	wg никак не настраивается проще. Там нет доставки ошибок, вместо этого пакеты просто не посылаются, а ты сиди гадай что не так. И нет автонастройки IP-адреса (в стандартных серверах/клиентах, а не кастомных проприетарных, которые у массовых провайдеров, и IP либо по дополнительному каналу передают, либо всем в конфиге один и тот же IP, но сервер делает меняет в пакетах сразу по прибытии на динамически выделенный для данного ключа), я два дня пытался сообразить, что же чёрт возьми не так, когда надо было во внутреннюю сеть извне туннель пробросить, wg конфиг жрал без какой-либо ошибки, но нифига не работало.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору