LINUX.ORG.RU

История изменений

Исправление AEP, (текущая версия) :

PureVPN, с огромными оговорками.

Оговорки такие:

  1. Небезопасная группа modp1024 при согласовании ключей. StrongSwan по умолчанию оказывается соединяться. Требует такую строчку в конфиге: ike=aes128-sha256-modp1024, или аналогичную настройку на вкладке Algorighms в nm-connection-editor при использовании NetworkManager и nm-strongswan.

  2. Использование wildcard-сертификатов, которые StrongSwan не признает из принципа. Решается строчкой в конфиге: rightid=*.pointtoserver.com, или, при использовании NetworkManager, прописыванем Identity = *.pointtoserver.com

  3. Дает публичный IP-адрес, иногда честно, но иногда мухлюет (дает двум клиентам один и тот же якобы публичный IP, а по факту садит их за два слоя NAT’а). Выход - купить у них статический IP.

  4. При покупке статического IP нет 100% гарантии, что вы при соединении получите именно ваш IP. Если соединение с правильным IP порвалось и клиент пытается его переустановить, то на том конце срабатывает такая логика: старое соединение еще живо, давайте дадим этому (второму) подключению какой-нибудь другой IP, отличный от купленного. Лечится повторным переподключением, когда первое соединение затаймаутится у них.

  5. Проблемы с MTU, т.к. Linux ведет себя не так как Windows и не создает отдельный интерфейс для ipsec. Можно прописать mtu = 1400 в /etc/strongswan.d/charon/kernel-netlink.conf, но при использовании NetworkManager это не работает. Тогда помогает правило iptables:

iptables -t mangle -A POSTROUTING -p tcp -m policy --dir out --pol ipsec -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1360

Осторожно, есть еще Ivacy, у которых вечно скидки 90%. На этот развод не ведитесь - они используют ровно ту же инфраструктуру, что и PureVPN, но с глючным фронтендом, например, переключатель для включения и выключения firewall’а у PureVPN работает, а у Ivacy - нет.

Исходная версия AEP, :

PureVPN, с огромными оговорками.

Оговорки такие:

  1. Небезопасная группа modp1024 при согласовании ключей. StrongSwan по умолчанию оказывается соединяться. Требует такую строчку в конфиге: ike=aes128-sha256-modp1024, или аналогичную настройку на вкладке Algorighms в nm-connection-editor при использовании NetworkManager и nm-strongswan.

  2. Использование wildcard-сертификатов, которые StrongSwan не признает из принципа. Решается строчкой в конфиге: rightid=*.pointtoserver.com, или, при использовании NetworkManager, прописыванем Identity = *.pointtoserver.com

  3. Дает публичный IP-адрес, иногда честно, но иногда мухлюет (дает двум клиентам один и тот же якобы публичный IP, а по факту садит их за два слоя NAT’а). Выход - купить у них статический IP.

  4. При покупке статического IP нет 100% гарантии, что вы при соединени получите именно ваш IP. Если соединение с правильным IP порвалось и клиент пытается его переустановить, то на том конце срабатывает такая логика: старое соединение еще живо, давайте дадим этому (второму) подключению какой-нибудь другой IP, отличный от купленного. Лечится повторным переподключением, когда первое соединение затаймаутится у них.

  5. Проблемы с MTU, т.к. Linux ведет себя не так как Windows и не создает отдельный интерфейс для ipsec. Можно прописать mtu = 1400 в /etc/strongswan.d/charon/kernel-netlink.conf, но при использовании NetworkManager это не работает. Тогда помогает правило iptables:

iptables -t mangle -A POSTROUTING -p tcp -m policy --dir out --pol ipsec -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1360

Осторожно, есть еще Ivacy, у которых вечно скидки 90%. На этот развод не ведитесь - они используют ровно ту же инфраструктуру, что и PureVPN, но с глючным фронтендом, например, переключатель для включения и выключения firewall’а у PureVPN работает, а у Ivacy - нет.