hi, On Wed, Jul 17, 2019 at 08:59:26PM -0400, Oleg Panashchenko wrote:
Igor Sviridov:
On Tue, Jul 09, 2019 at 12:28:10PM +0300, Alex Cherevko wrote:
Та там нема що вирішувати - openconnect ставиться та налаштовується за 20 хвилин :) Причому я б порадив саме openconnect, тому що він сумісний з cisco ssl vpn (anyconnect) що робить його зручним для використання з мобільний пристроїв (телефонів, планшетів тощо)
Еще проще использовать OpenVPN с OpenVPN Connect на iOS и Android.
WireGuard FTW :) Клиент есть для iOS, Android, macOS, ChromeOS (с бубном), Linux, FreeBSD, Windows etc. И таки летает: https://www.wireguard.com/performance/ https://paulierco.ro/raspberry-pi-4-vpn-performance-review.html
На сервере - обычный openssh, который уже стоит на всём, что называется сервером, никаких допнастроек. Клиентом - опять же openssh с туннельным ключиком -D. Ну или putty/ki4a для нестандартных платформ. И прокси на системном уровне.
Полный опенсорс. Работает ну просто везде. Даже с киевских провайдеров, где паровоз NAT-ов.
Объясните мне, динозавру прошлого тысячелетия: какие вкусняшки проходят мимо меня, незнакомого с модерновыми VPN.
Я прежде всего говорил об использовании WireGuard для site-to-site. ssh -D aka Socks сюда слабо относится. Для клиентского VPN тоже есть отличия: - нужно конфигурить socks на клиентах, если они его вообще поддерживают, и часто по-разному; Proxy Auto-config с неестественным интеллектом конечно может помочь, но не везде. - при смене адреса клиента (Wired -> WiFi -> Mobile) нужно пересоединять SSH-сессию; может в каких клиентах есть auto-reconnect? для *nix конечно можно автоматизировать. Wireguard, Pulse etc поддерживают смену адреса клиента без разрыва сесии - много-факторную аунтентификацию привинтить можно, но она будет скорее всего мешать auto-reconnect-у; для примера - у меня используется для Pulse конфигурация с 3-factor (AD auth + Okta или RSA + certificate auth). - в некоторых индустриях требуется верификация клиента (OS patchlevel, антивирусы, etc); тут это не привинтишь. В общем для админа или разработчика на Mac/Linux "ssh -D" вполне работает. Как только возникает зоопарк, как с видами клиентов так и требованиями - его удобнее переложить на специалистов.
-- Олег
--igor