+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

OpenVPN CRL [Список отзыва сертификатов]

OpenVPN CRL [Список отзыва сертификатов], RouterOS

gsloop

Guest

19.08.2012 21:50:00

Видел только один пост про CRL для сертификатов в OpenVPN. [Или CRL для любых сертификатов вообще, если уж на то пошло]. Похоже, нет функционального способа использовать CRL в RoS. Это всё ещё так? Если да, то единственный способ заблокировать пользователя OpenVPN — изменить/удалить их PPP-конфигурацию секретов, верно? [Мы позволим им “подключиться” к OVPN-серверу и допустим весь ущерб, который они там могут нанести, но заблокируем PPP-подключение?] Почему до сих пор не реализовано CRL в RoS? Заранее спасибо -Greg

elgo

Guest

20.08.2012 12:33:00

Много жалоб на функцию "openVPN" в rOS: оказывается, она настолько ограничена, что ее едва ли можно назвать openVPN. CRL отвечает на все вопросы про UDP, LZO и другие современные функции openVPN: "не будем реализовывать" — официальный ответ.

gsloop

Guest

20.08.2012 16:10:00

Я кое-что знаю про OpenVPN и ужасную репутацию MikroTik в плане реализации функций. Но я не видел ни одного поста, где бы говорилось, что MikroTik заявила, что никогда не внедрит CRL. Можешь подсказать, где это? [Я не говорю, что они это сделают, просто хочу сам увидеть, где они это утверждают.] -Greg

mrz Guest	#4 0 22.08.2012 08:45:00 Работаем над CRL, будет в версии 6.

elgo Guest	#5 0 24.08.2012 10:04:00 Окей, хорошо, что знаешь. Но я всё равно ни черта не понимаю в логике MT по теме OpenVPN.

emuell

Guest

05.06.2013 10:32:00

Я обновился до ROS 6 и создал свой собственный самоподписанный CA. Когда я отзываю клиентский сертификат, соединение OpenVPN всё равно работает. Похоже, что OpenVPN-сервер не проверяет встроенный CRL? Кто-нибудь может это подтвердить?

mrz Guest	#7 0 05.06.2013 10:35:00 В настоящее время только Ipsec и SSTP учитывают списки отзыва сертификатов (CRLs). Это также упоминалось в журнале изменений и вики.

emuell Guest	#8 0 05.06.2013 11:00:00 Спасибо за ответ. Я уже посмотрел страницу вики по системе/сертификатам, но ничего не нашёл. Планируется ли поддержка CRL в OpenVPN в ближайшем будущем?

mrz Guest	#9 0 05.06.2013 11:10:00 Пока нет, но, возможно, добавим в будущем.

Sivics Guest	#10 0 10.10.2016 12:46:00 Какие новости?

tmiklas

Guest

#11

18.10.2016 19:33:00

Поднимаю тему… Скажу так: пока что Mikrotik выигрывает по функциональности, гибкости и цене, среди большинства вендоров. Но такие пробелы делают его непригодным для серьезных внедрений, где безопасность — это не просто дополнительная опция, а абсолютное базовое требование. Хотелось бы увидеть хотя бы примерный график реализации, если это возможно.

mortar8

Guest

#12

03.11.2016 12:28:00

Могу подтвердить, что работает на 6.36.2, но не идеально. В GUI есть баг, из-за которого поле для CRL хоста становится пустым после подписания. Когда вы подписываете сертификат, есть поле для CRL хоста, и оно ни на что не влияет. Подписание из терминала работает отлично, и CRL хост устанавливается. Тогда отзыв сертификатов работает, и отозванные сертификаты получают отказ в подключении. Фух, наконец-то. Просто исправьте этот баг, пожалуйста.

shkiperon Guest	#13 0 11.02.2018 16:17:00 Привет. У меня немного другой вопрос — в текущем ROS (6.41.2), если я отзываю сертификат клиента (ещё одно устройство Routerboard), соединение не прерывается. Чтобы разбить соединение, мне пришлось отключить/включить OVPN Server Binding. Конечно, я могу отозвать сертификат через скрипт, чтобы всё сделать одной командой, но разве действительно пользователь должен отслеживать такие вещи?

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры