Hm..
От: gat3way
На: 7-07-2010@15:16 GMT+2
Оценка: 1/НеутраленЛоша идея. Първо, в повечето случаи е изключително лесно е да различиш OpenVPN сесия от HTTPS сесия. Ако уеб сървъра не използва Keep-Alive, тогава SSL сесия се установява за всяка GET/POST/etc заявка. Ако използва, тогава обикновено има лимит на максималния брой keep-alive заявки (100 по дефолт в Apache) и KeepAlive таймаут (15 секунди по дефолт) - след това сървъра си затваря сокета и на следващата заявка трябва отново да мине SSL handshake-а. Относително лесно е ако слухтиш трафика да стоплиш, че една установена OpenVPN SSL сесия трае часове, докато ти ако тръгнеш да правиш заявки към HTTPS сървъра, keep-alive връзката се разпада при неактивност след няколко секунди или след само няколко десетки заявки. Не че не можеш да конфигурираш висока стойност за KeepAliveTimeout и 0 за MaxKeepAliveRequests, обаче това е малко insane конфигурация.
Това с постоянния трафик е също лоша идея - HTTP по принцип е асиметричен протокол, склонен към burst-ове. Вариант 2.2 със случайният трафик според мен е по-добра идея, макар че с една поправка - вместо да спи една секунда между ping-овете, по-добре да спи случаен брой микросекунди с usleep. Така, наистина ще се затрудни работата на тези дето търсят някакъв pattern в трафика.
[Отговори на този коментар]
Благодаря!
От: Венцислав Кайнакчиев <venkain (a) mail[ точка ]ru>
На: 7-07-2010@17:05 GMT+2
Оценка: 1/НеутраленМатериалът изглежда много полезен.
[Отговори на този коментар]
грешки
От: Валентин <valentin_stoykov< dot >NOSPAM __@__ mail< dot >bg>
На: 7-07-2010@17:14 GMT+2
Оценка: 1/Неутрален"Нуждата от лично и интимно пространство на интереси, знания или разговори е нещо, което притежаващите властта да наблюдават, не желаят да разберат." - това ми се струва объркано, защото не мога да разбера смисъла му (в същност след няколко прочитания го разбрах, но многото съставни части на изречението го правят трудно за възприемане).
"кога потребителят е ползва тунела"
Редактиран на: 7-07-2010@20:51
[Отговори на този коментар]
Към: грешки
От: deant
На: 7-07-2010@17:49 GMT+2
Оценка: 1/Неутраленне е толкова трудно за разбиране btw
[Отговори на този коментар]
интегриране с TOR?
От: Валентин <valentin_stoykov[ точка ]NOSPAM __@__ mail[ точка ]bg>
На: 7-07-2010@20:50 GMT+2
Оценка: 1/НеутраленПробвах да прекарам връзката през Privoxy/TOR, но нищо не се получи:
openvpn --config ./openvpn.conf --http-proxy 192.168.1.101 8118
Все едно не съм писал "--http-proxy 192.168.1.101 8118". Wireshark показва, че се свързва директно към VPN сървъра.
Ето го и конфигурационния файл:
<connection>
remote aaa.xxxxx.com 443 tcp
</connection>
proto tcp-client
http-proxy 192.168.1.101 8118
client
dev tun
resolv-retry infinite
nobind
persist-key
persist-tun
mute-replay-warnings
ca combined.pem
cert filename.crt.pem
key filename.key.pem
comp-lzo
verb 3
mute 20
ns-cert-type server
mssfix 1300
Работи еднакво независимо дали включа реда
http-proxy 192.168.1.101 8118
или го махна.
Редактиран на: 7-07-2010@22:38
[Отговори на този коментар]