+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

OpenVPN SHA256 + UDP

OpenVPN SHA256 + UDP, RouterOS

mariusp

Guest

15.05.2017 14:15:00

Привет! Есть ли какие-то новости по следующим вопросам: поддержка OpenVPN через UDP, поддержка аутентификации SHA256 в OpenVPN? (Хотя SHA1 всё ещё обеспечивает надёжную аутентификацию, клиенты всё чаще спрашивают именно про SHA256). Я не смог найти никакой актуальной информации, поэтому буду очень признателен за любые сведения. Спасибо, Мариус.

schadom

Guest

04.02.2018 21:11:00

Хотелось бы вновь поднять запрос на добавление аутентификации SHA256. SHA1 уже не выдерживает проверки — https://shattered.io/. Нет нужды в других сложных функциях, таких как udp или lzo, главное, чтобы текущая реализация была достаточно защищённой. Спасибо!

swits1109 Guest	#3 0 28.02.2018 02:54:00 +1 Только что настроил Ovpn на Mikrotik и удивился, что нет SHA256. Всё остальное не настолько надёжно.

xt22

Guest

20.03.2018 12:50:00

+1 за SHA256 и UDP, к тому же tcp openvpn из Калифорнии на RB в Европе работает медленно и с лагами, старый добрый l2tp/ipsec на тех же машинах в 10 раз быстрее. //редактировать - После нового обновления openvpn с TLSv1.2 — какой TLS использует mikrotik openvpn сервер? Можно ли заставить его использовать только TLSv1.2? (–tls-cipher)

4xy Guest	#5 0 25.03.2018 16:28:00 +1 за оба варианта

nin Guest	#6 0 31.03.2018 21:28:00 +1, опять, опять, опять — это отстой.

ghusson

Guest

05.04.2018 16:05:00

+1 за SHA256 (и я не понимаю, почему в настройках VPN по умолчанию для хэш-функций и симметричного шифрования до сих пор используются старые варианты, которые уже признаны ненадёжными). После долгих поисков и сравнений я выбрал openVPN для подключения к центральному сайту VPN (простой в настройке — спасибо за генерацию ключей на Mikrotik! — поддержка NAT traversal, примерно 5% оверхеда и так далее). Использовать небезопасный метод аутентификации в профессиональных задачах — это серьёзно некорректно. Пожалуйста, команда разработчиков Mikrotik, рассмотрите этот вопрос как приоритетный для доработки…

schadom Guest	#8 0 15.04.2018 22:36:00 пинганул

icsterm

Guest

17.04.2018 08:59:00

Я бы рассмотрел переход на L2TP+ipsec или EoIP+ipsec (для Mikrotik с обеих сторон), оба протокола используют UDP и шифрование, и по производительности должны быть не хуже, а то и лучше. OpenVPN на UDP просили уже много лет, но на Mikrotik этот вариант вряд ли появится в ближайшее время, скорее всего, никогда. SHA256 поддерживается в упомянутых протоколах, не понимаю, почему OpenVPN должен быть привлекательнее, наверное, только для любителей open source.

squeeze

Guest

#10

17.04.2018 10:09:00

Многие провайдеры VPN, включая самых крупных, поддерживают только OpenVPN. Некоторые работают с более слабыми протоколами, например PPTP, но их либо не рекомендуют использовать, либо постепенно прекращают поддержку. Некоторые предлагают более сильные протоколы, например Wireguard, даже до того, как их код или стандарты окончательно оформлены. Но то, что объединяет всех современных провайдеров розничного VPN — это OpenVPN. Поскольку OpenVPN без UDP — это не просто как иметь руку связанной, а скорее как если бы у вас отрезали обе ноги с точки зрения пропускной способности и задержки, именно поэтому и появляются такие обсуждения. Конечно, те, кто рассматривает VPN между сайтами, имеют намного больше вариантов протоколов и могут следовать советам, которые вы предложили. Что касается SHA256 — он используется только для HMAC-аутентификации, а SHA1 по-прежнему широко применяется. Торопиться тут не нужно, потому что “жизнь” ключей очень короткая — в среднем всего час. Кроме того, ими можно подделать отдельный пакет, но не сломать всю безопасность канала. Такие опасения, даже для тех, кто переживает о вмешательстве государственных структур, звучат просто смешно (сломать SHA-1 за час и использовать это), поэтому с клиентской стороны этим особо заморачиваться не стоит. Это скорее вопрос обеспечения безопасности и соответствия современным стандартам для самого VPN-провайдера, то есть переход на SHA-2.

masseselsev Guest	#11 0 22.04.2018 09:44:00 Давай, Mikrotik, даже Asus умеет делать sha256…

lugovoyma

Guest

#12

23.04.2018 17:17:00

Накладные расходы на ширину канала из-за отсутствия поддержки OpenVPN UDP и сжатия ставят под вопрос целесообразность использования MikroTik как шлюза. Политику компании особо не понимаю, запросу уже больше 10 лет. Всяких прибамбасов навалом, а нужной функции так и нет.

alli Guest	#13 0 05.05.2018 10:42:00 +1 за обоих

CTSsean Guest	#14 0 07.05.2018 14:55:00 На мой взгляд, если RouterOS7 — это выдумка, то с OpenVPN UDP надо что-то делать.

melky Guest	#15 0 09.05.2018 08:16:00 +1 UDP

alxspb Guest	#16 0 16.05.2018 19:35:00 Дорогие Mikrotik! Вы действительно проделали отличную работу, спустив маршрутизаторы корпоративного уровня до цен на уровне SOHO. Теперь вы конкурируете и на рынке SOHO, и на корпоративном сегменте. SOHO-маршрутизаторы умеют работать с OpenVPN. Да, мы говорим о 10-50 Мбит/с в лучшем случае, но этого всё равно хватает для большинства SOHO-задач. Что касается корпоративного рынка — сейчас уже не 2010-й, существуют решения, способные обеспечить от 100 до 1000 Мбит/с через OpenVPN при ограниченном бюджете. Есть корпоративные клиенты, которые выбирают OpenVPN вместо IPSec/L2TP (надеюсь, PPTP уже умер сам собой) из-за простоты настройки и UDP-протокола, который легче проходит через NAT без серьёзного снижения производительности. Мне очень жаль, что вы теряете этот рынок (включая меня и компанию, в которой я работаю) надежных, доступных и гибких маршрутизаторов, которые практически были созданы вашей компанией.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры