Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Доступен OpenVPN 2.7.0 "	+/–
Сообщение от opennews (??), 11-Фев-26, 22:36
После трёх лет с момента публикации ветки 2.6 подготовлен релиз OpenVPN 2.7.0, пакета для создания виртуальных частных сетей, позволяющего организовать шифрованное соединение между двумя клиентскими машинами или обеспечить работу централизованного VPN-сервера для одновременной работы нескольких клиентов. Код OpenVPN распространяется под лицензией GPLv2, готовые бинарные пакеты формируются для Debian, Ubuntu, CentOS, RHEL и Windows... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64779
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 11-Фев-26, 22:36	–7 +/–
Легаси. Все постепенно переходят на wg. Пох конечно начнёт ныть, что когда он на шкаф с виндой залазит, ему там что-то мешается. Но по факту, wg работает быстрее и настраивается проще.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #3, #8, #35, #37, #41, #48

2. Сообщение от resdert (ok), 11-Фев-26, 22:53	+14 +/–
WG это же просто про создание зашифрованного канала (и только лишь), функций и возможностей у опенвпн несравнимо больше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #5, #20, #26, #32

3. Сообщение от Аноним (3), 11-Фев-26, 22:56	+4 +/–
Dco модуль в ядро втащили. А шифрование aes ускоряется. Так что wireguard ждут тёмные времена. По скорости они вряд ли будут отличаться. А по функционалу однозначно openvpn лучше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #4, #10, #31

4. Сообщение от Djon (??), 11-Фев-26, 23:08	+/–
Да процентов 80 этот функционал не используют. Что нужно-то - защищенный канал и маршруты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #14, #15

5. Сообщение от Аноним (1), 11-Фев-26, 23:09	–8 +/–
Так в подавляющем большинстве случаев и нужен шифрованный канал (и только лишь). Для консьюмеров поверх wg настрогали годнейших решений. А кому нужен хардкор для remote workforce, у тех Cisco.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #12

7. Сообщение от Cyd (?), 11-Фев-26, 23:33    Скрыто ботом-модератором	–1 +/–
и чем все это лучше ipsec/ikev2?
Ответить | Правка | Наверх | Cообщить модератору

8. Сообщение от Вася (??), 11-Фев-26, 23:49	+/–
на самом деле не совсем. openvpn и wg разные на сетевых уровнях - захочешь tap - получишь tap, а на wg такого не будет. правда, на телефоне каком-нибудь ты этого не получишь, но не суть - оно не для этого. просто в тех юзкейсах, где используется уровень tun, wg действительно просто лучше, и настраивать его проще, т.к. сертификатных вопросов никаких нету.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #17, #24

10. Сообщение от Вася (??), 11-Фев-26, 23:54	+1 +/–
ничего с wg не случится, он уже мейнстрим. openvpn до сих пор крутится там, где его настраивали еще 10-15 лет назад, но скорее всего выполняет ту же функцию, потому что тогда ничего другого просто не было. меня лично как юзера (именно юзера, а не поехавшего корпоратаста, которому нужны именно корпорацкие фичи) больше всего от openvpn отталкивает необходимость менеджментить сертификаты, а не пары priv/pub ключей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #13

11. Сообщение от Аноним (11), 12-Фев-26, 00:11	–4 +/–
а когда добавят возможность отключить этот tls? А также отключить хантшнейки? Это важно, если у тебя протокол замедляет ИИ
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #19, #47

12. Сообщение от ентакусик (?), 12-Фев-26, 00:35	+/–
Угу, когда в прошлом сентябре в этой Cisco нашли rce в ssl vpn, это был настоящий хардкор
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #16

13. Сообщение от Аноним (13), 12-Фев-26, 00:36	+1 +/–
скрипт делается за 30 мин, скрипт, который генерит готовый конфиг клиента со всеми сертами, 25 из этих минут нужно будет одним пальцем выравнивать отступы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #21

14. Сообщение от ентакусик (?), 12-Фев-26, 00:37	+/–
Да split tunnel и split dns, да желательно динамические
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #28

15. Сообщение от ентакусик (?), 12-Фев-26, 00:40	+/–
Ну и saml или хотя бы mfa было бы неплохо
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #29

16. Сообщение от Аноним (1), 12-Фев-26, 00:46	+2 +/–
Бывает. Как будто в OpenVPN дыр не находили. Правда, в случае с Циской аккаунт-менеджеры извинились в рамках соглашений урегулировали вопросик. А в случае с сабжем писать только на деревню дедушке, ибо AS IS.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #44

17. Сообщение от Аноним (1), 12-Фев-26, 00:50	+1 +/–
Расскажи мне, в каких случаях я вдруг могу захотеть tap. Для коммерческого прода кроме IP ничего не нужно, а где нужно, там опять Циска стоит и хоть ты тресни.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

18. Сообщение от Аноним (18), 12-Фев-26, 01:21	+2 +/–
Хороший релиз, особенно для тех кому важно, что бы гарантировано блокировался провайдером.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25

19. Сообщение от Аноним (19), 12-Фев-26, 01:23	+/–
https://opennet.ru/53520-https
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

20. Сообщение от Аноним (20), 12-Фев-26, 01:38	–1 +/–
Больше и не нужно. Это же vpn а не systemd.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

21. Сообщение от Аноним (20), 12-Фев-26, 01:40	–4 +/–
А смысл писать скрипт 25 минут, если через это время клиент уже будет пользоваться awg.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

23. Сообщение от Андрей (??), 12-Фев-26, 01:59	+/–
ovpn только с определёнными видами шифрования доступен, что каждый раз забывают упомянуть...
Ответить | Правка | Наверх | Cообщить модератору

24. Сообщение от Аноним (24), 12-Фев-26, 03:15	+/–
В OpenVPN тоже несколько лет как нету сертификатных вопросов. Через peer-fingerprint можно в конфиг напрямую доверенные сертификаты добавлять, самоподписанные, и не нужно коряжится с CA. Работает прекрасно и новых юзеров (виндузятников) заводить легко - кидаешь им батник который конфиг выплёвывает, а тебе обратно только этот FP и скидывают, без утечки конфига с ключом в сеть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #30

25. Сообщение от Аноним (24), 12-Фев-26, 03:17	–1 +/–
В режиме TCP на 443 порту оно от любого другого TLS на базе OpenSSL не отличается. Тор вон тоже "заблокировали", а по факту достаточно прикинуться дурачком на 443 порту и отдавать страницу "мая первая вебморда" при некорректном сертификате клиента.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #50

26. Сообщение от Аноним (26), 12-Фев-26, 04:10	–1 +/–
Было исследование, которое показало, что wireguard намного эффективнее чем OpenVPN в некоторых сценариях.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #27, #49

27. Сообщение от Аноним (1), 12-Фев-26, 04:19	+1 +/–
А ещё было исследование, которое показало, что OpenVPN намного эффективнее чем wireguard в некоторых других сценариях. А на практике, если тебе нужен эффективный тоннель (и тем более шифрованный), то ты берёшь могучий роутер для этого, потому что без ASIC это всё детский сад штаны на лямках.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #39

28. Сообщение от Аноним (1), 12-Фев-26, 04:25	+1 +/–
В systemd из коробки, всё это, и даже более того.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

29. Сообщение от Аноним (1), 12-Фев-26, 04:26	+/–
Tailscale. И saml, и mfa, и полиси, и даже опенсорсный бэкэнд для любителей ручного труда.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #45

30. Сообщение от Аноним (1), 12-Фев-26, 04:30	+/–
Типичное васянское рукоблудие. У нормальных "(виндузятников)" это всё автоматически через AD делается без кидания кому-то батников и обмена вежливостями. Компьютер подключается к домену и всё просто работает. Даже через интернет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

31. Сообщение от Аноним (1), 12-Фев-26, 04:34	–1 +/–
> А по функционалу однозначно openvpn ... не дотягивает до systemd, в котором шикарная поддержка wg. Кстати, идёт по дефолту во всех мейнстримных дистрибутивах. А openvpn ещё ставить надо, какие-то скрипты качать откуда-то, разбираться как там у них что устроено...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #40

32. Сообщение от Алоним (?), 12-Фев-26, 05:33	+1 +/–
Спросил у нейросети кто из вас двух прав, вот что он выдал: Второй комментатор технически прав, но говорит об этом несколько преувеличенно. Если разбирать ситуацию детально:     Правота комментатора: WireGuard (WG) действительно проектировался как минималистичный протокол. Его задача — быть «тупой», но очень быстрой и надежной трубой. OpenVPN же создавался в эпоху, когда требовалась максимальная гибкость для обхода блокировок и интеграции в сложные корпоративные сети, поэтому он набит функциями, которых в WG нет «из коробки».     Где он преувеличивает: Утверждение «только лишь создание канала» звучит так, будто WG чем-то плох. На самом деле, для 90% задач (связать офисы, подключить удаленного сотрудника) функционала WG более чем достаточно. Отсутствие лишних функций — это фича, а не баг (KISS principle), что и делает WG быстрее и проще, о чем писал первый комментатор. Вот перечень тех самых функций и возможностей OpenVPN, о которых намекает второй комментатор и которых нет (или они реализуются сложнее) в WireGuard: 1. Работа на уровне L2 (Ethernet bridging / TAP) Это, пожалуй, главное отличие.      OpenVPN: Умеет работать в режиме TAP (сетевой мост). Это позволяет объединять устройства в один физический сегмент сети. Через такой туннель проходят broadcast-пакеты, можно видеть сетевые соседи, использовать NetBIOS, запускать старые протоколы, которые не работают поверх IP, или объединять два офиса в один домен Windows так, будто они стоят в одной комнате.      WireGuard: Работает только на уровне L3 (маршрутизация IP-пакетов). Он не умеет передавать Ethernet-кадры и broadcast-трафик. Для большинства задач это не нужно, но для специфическихlegacy-систем это критично.      2. Динамическая настройка клиентов (Push-директивы)      OpenVPN: Сервер может «проталкивать» настройки клиенту. Администратор может один раз настроить сервер, чтобы он при подключении говорил клиенту: «Используй этот DNS», «Пропиши этот маршрут», «Смени шлюз по умолчанию». Клиенту не нужно править конфиг.      WireGuard: Конфиг статичен. IP-адрес клиента, маршруты и DNS нужно жестко прописать в конфиге на стороне клиента (или использовать внешние скрипты и системы оркестрации).      3. TCP-транспорт      OpenVPN: Может работать как по UDP, так и по TCP. Это важно, если сеть блокирует UDP или если нужно пустить трафик через HTTP-прокси.      WireGuard: Работает исключительно по UDP. Если протокол UDP заблокирован провайдером или файрволом, WG без костылей (типа обертывания в другую обертку) не заработает.      4. Гибкая аутентификация и PKI (Инфраструктура открытых ключей)      OpenVPN: Поддерживает сложные схемы проверки: логин/пароль (возможно через LDAP/Active Directory), сертификаты X.509, двухфакторную аутентификацию (2FA), одноразовые пароли. Для корпораций это стандарт.      WireGuard: Использует только криптографию с открытым ключом (Curve25519). Нет встроенной поддержки логина/пароля или отзыва сертификатов в привычном понимании. Если ключ скомпрометирован, его нужно удалять из конфига сервера вручную.      5. Маскировка трафика (Obfuscation)      OpenVPN: В силу своей архитектуры его легче маскировать. Существуют патчи для маскировки под HTTPS, он может запускаться на порту 443 через TCP. DPI-анализаторам сложнее его однозначно идентифицировать (хотя современный DPI умеет находить и его).      WireGuard: Имеет очень четкий сигнатурный заголовок пакета. Любой анализ трафика в Китае или РФ с помощью DPI (Deep Packet Inspection) мгновенно видит WireGuard и блокирует его. Для обхода цензуры WG приходится «прятать» внутрь других протоколов (например, Shadowsocks или AmneziaWG), что требует дополнительного софта.      6. Выделение IP-адресов (DHCP внутри туннеля)      OpenVPN: Сам выступает в роли DHCP-сервера для клиентов. Клиент может подключиться и получить любой свободный IP из пула.      WireGuard: Здесь IP-адреса жестко прописаны в конфигах. Если у вас 100 сотрудников и нужно выдать им IP, вам либо вручную прописывать каждому уникальный IP, либо использовать внешнюю систему управления базой данных IP-адресов.      Итог Второй комментатор прав в том, что OpenVPN — это мощный комбайн для энтерпрайза и сложных сетей (L2, TCP, интеграция с AD, push-настройки). Первый комментатор прав в том, что для простого использования (сайт-сайт или удаленный доступ к ресурсам) WG объективно быстрее, современнее и вызывает меньше боли при настройке ("Код меньше — багов меньше").
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #42

35. Сообщение от Аноним (35), 12-Фев-26, 07:01	+/–
wg никак не настраивается проще. Там нет доставки ошибок, вместо этого пакеты просто не посылаются, а ты сиди гадай что не так. И нет автонастройки IP-адреса (в стандартных серверах/клиентах, а не кастомных проприетарных, которые у массовых провайдеров, и IP либо по дополнительному каналу передают, либо всем в конфиге один и тот же IP, но сервер делает меняет в пакетах сразу по прибытии на динамически выделенный для данного ключа), я два дня пытался сообразить, что же чёрт возьми не так, когда надо было во внутреннюю сеть извне туннель пробросить, wg конфиг жрал без какой-либо ошибки, но нифига не работало.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

36. Сообщение от robot228 (?), 12-Фев-26, 07:06	–1 +/–
Чтобы скачать впн нужен впн)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #46

37. Сообщение от mervinhos (?), 12-Фев-26, 07:45	+/–
Вот только wg это L3, а ovpn L2. И это много где имеет значение.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

38. Сообщение от Sm0ke85 (ok), 12-Фев-26, 07:54	–2 +/–
Смысла нет делать виртуальную сеть, которая "светится" на весь интернет... Что это за "безопасность", когда ты сначала обозначил себя, а потом пытаешься защищаться шифрованием... Практика показала, что если тебя не видно, то и не будет атак по тебе...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #43

39. Сообщение от Аноним (39), 12-Фев-26, 08:11	+2 +/–
Как-будто тебя из 2000-х достали. Сейчас мелкая пипирка на openwrt вполне может переварить достаточное количество vpn-тунелей over tcp/udp с управлением маршрутами. Чего даже среднему бизнесу может хватить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

40. Сообщение от User (??), 12-Фев-26, 08:44	+/–
Эээээ... а "шикарная поддержка" - это? Вот есть у тебя ubuntu - в ней есть netplan. В ём джва рендерера - networkd и network-manager. А на центоси netplan'а у тебя нет - но дополнительно всплывет wg_quick. На какой из стульев прыгать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

41. Сообщение от Анонисссм (?), 12-Фев-26, 09:04	+/–
>Все постепенно переходят на wg через http-прокси сделай ка обратный туннель >wg работает быстрее и настраивается проще ты openvpn и не видел, выходит
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

42. Сообщение от nebularia (ok), 12-Фев-26, 09:11    Скрыто ботом-модератором	+/–
То есть мозгов хотя бы осмыслить ответ у тебя не хватило, и ты тупо решил скопипастить сюда эту простыню?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

43. Сообщение от Хрю (?), 12-Фев-26, 09:13	+1 +/–
Прочитайте, что такое VPN, и для чего он должен применяться. То что вы его пытаетесь применять для того чтоб *** это исключительно ваши проблемы, а не OpenVPN, который прекрасно делает то для чего сделан.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

44. Сообщение от ентакусик (?), 12-Фев-26, 09:21	+/–
Да куда там извинились, там 80% девайсов (asa 5500) в октябре уже eos стали, думаете, им новых отсыпали? Хорошо хоть фикс успели выпустить, реально до eos несколько дней оставалось
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

45. Сообщение от User (??), 12-Фев-26, 09:23	+/–
Ииии - вот тебе проприетарное решение-услуга, по сложности превосходящее примерно все аналоги, ага.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

46. Сообщение от Хрю (?), 12-Фев-26, 09:23	+1 +/–
Не рассказывайте сказок - всё прекрасно качается https://openvpn.net/client/ /
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

47. Сообщение от User (??), 12-Фев-26, 09:24	+/–
Ну, эту возможность наоборот, порубили. ЕМНИП, раньше была возможность на статических ключах конфигурацию сделать, но нонеча она толи уже deprecated, то ли в процессе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

48. Сообщение от нах. (?), 12-Фев-26, 09:30	+/–
это здорово что васяны с подкроватными серверами переходят куда-то куда подальше. > работает быстрее и настраивается проще. давай настрой первые двадцать коробочек которые вот щас поедут по точкам продажи чего-нибудь. А если их будет - двести? А ты не долбанешься хотя бы вести учет кому какой ключ и какой айпишник выдан? Или настрой удаленное подключение первым двадцати незамысловатым юзверям (_предположим_ даже что у них - linoops, а то ж может и мак какой). Через неделю один кстати увольняется. Через две увольняются двое и приходят четверо. Уволенным разумеется надо день-в-день отрубить подключение. Хорошо бы сделать это в том же месте где их авторизация и во внутренние сервисы. Задача со звездочкой: уволился не васян а руководитель отдела и тебя разумеется забыли предупредить. Как сделать чтобы хотя бы через месяц его доступ все же - заблокировался? Ну что, все еще "просто" настраивается вайргад? Ты еще там не утонул в попытках написать мильен лапшескриптов для банальнейшей ежедневной работы? А если у тебя ничего нет кроме двух подкроватных серверов между которыми надо прокинуть туннель - то конечно проще один раз руками выполнить десяток заклинаний. (правда, мы это и до wg не сложнее делали - через ipsec, но там да, с виндой несложность улетучится)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

49. Сообщение от аролп5 (?), 12-Фев-26, 09:32	+/–
Да, но, в OpenVPN есть ppp, т.е. можно раздачу IP и правила аутентификации как хотите настраивать. А в wg всё статикой прописывать на клиентах, а если их 100, 1000?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

50. Сообщение от нах. (?), 12-Фев-26, 09:39	+/–
Отличается, к сожалению. И прекрасно видно на ngfw. Разработчики ни разу и не ставили целью нелегальную антигосударственную деятельность. Там и хэндшейк не такой как у веб-сервера, и поток совершенно непохожий. > дурачком на 443 порту и отдавать страницу "мая первая вебморда" при некорректном > сертификате клиента это тоже будет хорошо заметно. Я понимаю что ты краем уха слышал про запрещенное запрещено, но вот оно работает - совсем не так, и для этого там потратили изрядное количество усилий, а не просто схватили первую попавшуюся ssl библиотеку. И при этом хватило одной мелкой ошибки чтобы их научились блокировать. (Да, они ее нашли и исправили, но осадочек и следы в тспу остались)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема