Печалька с OpenVPN
Применительно к OpenVPN есть четыре основных клиента.
- Linux-овый. С ним всё понятно, для красноглазиков. Умеет всё, никаких проблем.
- Community. Аналог линукосвого клиента под форточки. Умеет всё, на выбор предоставляется три разных виртуальных адаптера.
- TunnelBlick. Это штуковина для Mac. Умеет большую часть фич протокола OpenVPN, но не годится для тех, у кого лапки.
- Connect. Есть подо всё: Mac, Windows, Android. Работает хорошо, быстро, автомагически. Годится для тех у кого лапки, но является кастрированным, нет некоторых фич.
С того момента, как роскомпозор начал гнобить OpenVPN, приходится подставлять под него костыли в виде Udp2RAW. И вот тут начинаются неприятности, потому что Udp2RAW ломает механизм Path MTU Discovery. Надо искусственно занижать MSS / MTU и фрагментировать трафик. А вариант клиента "Connect" не поддерживает директиву "fragment".
Это означает то, что.
- Мобильные клиенты (Android, iOS) идут лесом.
- Владельцы MAC-ов у которых лапки идут лесом.
- Либо приходится держать минимум два серверных инстанса с разными настройками: один для "нормальных полноценных" клиентов, второй для мобильных и тех у кого лапки.
Шо то фигня, шо это фигня. Я всё внимательнее начинаю смотреть на StrongSWAN, но у последнего удобство раздачи конфигураций на клиентов... ммм... примерно никакое.
А ещё, конечно, когда надо по-быстрому впустить кого-нибудь в корпоративный Git, морочиться со всеми этими сертификатами, помогать настраивать клиента... Интересно, бывает ли какой-нибудь полностью халявный аналог Cisco AnyConnect, чтобы х**к-х**к и в production. Про OpenConnect я в курсе, но как серверное решение он, мягко говоря, сыроват. В качестве клиента вполне норм.
И следующей печальной новостью является то, что UltraHorizon больше (на самом деле давно уже) не продает свой UH-VPN физлицам. Странно. По мне так, весьма интересный был проект.
Всем удобных VPN-клиентов.