LINUX.ORG.RU

VPN и рассинхронизация времени

 ,


0

1

Доброго утра, ЛОР! :)

А подскажите, пожалуйста, как разные VPN (OpenVPN/WireGuard/etc) реагируют на рассинхронизацию времени. Например, в OpenVPN используются сертификаты, в них прописано время выдачи и время окончания действия. А часы на клиенте (да и иногда на сервере) могут быть не синхронизированы. Например, в случаях, когда на клиенте не работает NTP-клиент (нет доступного NTP-сервера, в том числе потому что не совсем в интернете), а своё время убежало или сбросилось из-за севшей или отсутствующей RTC-батарейки. Или более экзотический момент - время дошло на 32-битной системе со старым ядром без 64-битного времени до проблемы 2038 года и переполнилось. А может оказаться так, что VPN-клиент на автономно работающем устройстве - это единственная точка входа в устройство, потому что локального доступа нет (надо к устройству ехать).

OpenVPN очень плохо, потому что там не только сертификаты ограничены во времени, но и временные ключи. А WG, ЕМНИП, на время вообще плюёт с высокой колокольни, там предустановленные ключи без сроков действия.

В конце концов, возьми да попробуй, чо :-)

Aceler ★★★★★
()

2 Aceler anonymous2 спасибо! :)
2 Aceler сейчас, как-раз ставлю 32-битную бубунту, чтобы еще и проверить как она переживет проблему 2038-го года :)

metawishmaster ★★★★★
() автор топика
Последнее исправление: metawishmaster (всего исправлений: 3)
Ответ на: комментарий от Dimez

А ты оптимист, я смотрю :-)

прям как из того анекдота, когда на «хуже уже не будет» оптимист радостно утверждает «будет, будет! :)»

metawishmaster ★★★★★
() автор топика
Последнее исправление: metawishmaster (всего исправлений: 2)
Ответ на: комментарий от Shprot

Судя по таким планам у тебя все перспективы далёкие…=)

так мне еще и мир завоевывать - дел невпроворот %)

metawishmaster ★★★★★
() автор топика
Последнее исправление: metawishmaster (всего исправлений: 1)

А что мешает синхронизировать время?

К самому серверу vpn доступ есть, на нем можно и chrony запустить.

Другой вариант, поставить платы времени.

Третий вариант - использовать другие реализации vpn с ключами, а не сертификатами.

usermod
()
Ответ на: комментарий от usermod


А что мешает синхронизировать время?

К самому серверу vpn доступ есть, на нем можно и chrony запустить.


а если «на клиенте не работает NTP-клиент (нет доступного NTP-сервера, в том числе потому что не совсем в интернете), а своё время убежало или сбросилось из-за севшей или отсутствующей RTC-батарейки.»

Другой вариант, поставить платы времени.

устройство маленькое...

Третий вариант - использовать другие реализации vpn с ключами, а не сертификатами.

это, как-раз, про wireguard
но на том устройстве ядро слишком старое :-\

metawishmaster ★★★★★
() автор топика
Ответ на: комментарий от metawishmaster

а если «на клиенте не работает NTP-клиент (нет доступного NTP-сервера, в том числе потому что не совсем в интернете)

Если есть доступ к шлюзу vpn, то по определению есть доступ к серверу времени. Ну, или не очень надо.

usermod
()
Ответ на: комментарий от metawishmaster

Насколько я понял, тут речь про закрытые сети, по сути про wan поверх lan. Отсюда и вопросы про недоступные сервера времени.

А tinc скорее для организации lan поверх wan.

Но в целом подойдет.

usermod
()