Vlákno názorů k článku Opera představila VPN, která vlastně není VPN. Takhle funguje od Michal Špaček - V pohodě, nic se neděje. Ono je celkem...
-
V pohodě, nic se neděje. Ono je celkem jednoduchý se v tom ztratit, vždyť ani sama Opera Software neví, co to vlastně v tom browseru má ;-) Já už do toho koukám několik dní, od čtvrtka jsem si instaloval Operu asi víckrát, než za celou tu dobu předtím a kromě jednoho hashe a způsobu, jak Opera převádí proxy hostname na IP adresu o tom vím snad víc, než jsem kdy chtěl.
-
Tomáš2 (neregistrovaný)
Berou zpět, máte oba pravdu, Opeří VPN má s vpn pramálo společného,nedostatečně jsem si to prostudoval a omlouvám se za desinformaci, příklad s gmailem je orpavdu nesmyslný.
subsítí na L2 jsem měl na mysli bgp/ldp based VPN (l2 mpls). U toho aplikačního se nemusí jednat o dělení, ale upřesnění, l7 je prostě pro mě už hodně vysoko a pro některé je i webdav síť.
-
f* (neregistrovaný)
Copak je prosím pěkně "substíť" na L2? A co je "subsíť" na "vysokoúrovňovém aplikačním protokolu"?
Subnet může být pouze a jedině na L3.Také mi není jasné, co je ten "vysokoúrovňový aplikační protokol". Nemyslím si, že se aplikační protokoly dělí na nízkoúrovňové a vysokoúrovňové.
Domnívám se, že máte mylnou představu o tom, co je VPN. Podle toho, co říkáte bych přistupoval přes VPN i na https://mail.google.com/mail/u/0/#inbox protože po mě stránka vyžaduje přihlášení, abych se dostal do Inboxu. A také bych zřejmě šel přes VPN na www.google.com, protože ve skutečnosti můj požadavek nevyřídil server s IP 74.125.224.70 (což je load balancer), ale pouze ho předal aplikačnímu serveru v neveřejném subnetu (čímž jsem se dle vaší logiky dostal do normálně nepřístupného subnetu).
To zní dost uhozeně, nemyslíte? -
To jejich "VPN" má spíš blíž k proxy, než k VPN, dokonce extenze, ze který to asi vychází se jmenuje "SurfEasy Proxy" :-) Text "VPN" je tam jen dvakrát pro každou jazykovou mutaci (v souboru messages.json), implementace v samotné Opeře je také pomocí změny proxy serverů.
Podle mých testů ta jejich "VPN" opravdu nezpřístupňuje nic co by nebylo dostupné bez té "VPN". Adresy těch proxy serverů jako de0.opera-proxy.net nejdou mimo Operu sice přeložit na IP adresu, ale když už tu IP adresu mám, tak se na ně připojím, viz poslední screenshot v článku, nebo třeba moje reimplementace volání jejich API https://github.com/spaze/oprah-proxy.
Mimo Operu lze resolvnout de.opera-proxy.net, tedy bez toho čísla, rozsah části adres je stejný jako co vrátí API, a já se domnívám, že to číslo tam dodává nějaká magie přímo v browseru, ale zatím to nemám potvrzené a je možné, že to je úplně jinak :-)
-
Tomáš (neregistrovaný)
subsíť nemusí být jen na L2, L3 atd., ale klidně až na vysokoúrovňovém aplikačním protokolu (myslím tím ty http enspointy) máš ale pravdu, že k VPN jak se v oboru chápe to má stejně daleko jako k proxy, říkejme tomu spíše TCP tunnel.
Ano, chápu, zjednodušení bylo třeba, ale možná by to šlo napsat presněji.
-
Díky za doplnění, popis VPN jsem záměrně zjednodušil, do článku to nepatřilo, ale do komentářů klidně :-)
Jakou část a jaké privátní sítě zpřístupňuje "VPN" v Opeře?
Sama Opera Software tak nějak přiznává, že to není VPN, ale že tomu budou říkat "browser VPN", protože používají "secure proxies" a ty jsou lepší, než "proxies".
Viz konec článku https://www.helpnetsecurity.com/2016/04/22/opera-browser-vpn-proxy/ a http://www.opera.com/blogs/news/2016/04/opera-doubling-server-capacity-vpn/
-
Tomáš (neregistrovaný)
prakticky nic, ale triviální to není a člověk na to musí dát velký pozor.
Windows ve výchozím nastavení posílá DNS dotaz na všechny interfacy.
Mac se připojuje k síti poměrně dost brzo po spuštění. Systemd má vlastní network stack a nebojí se ho použít při bootu.
A u všech systémů dělají problém dynamické routy a přepisování tý defaultní kdekým.
Zajistit to spolehlivě znamená buď mít na routeru další terminaci VPN nebo si poladit a pohlídat systém.
-
Tomáš2 (neregistrovaný)
článek je plný nepřesností a polopravd, Michala ale respektuji a chápu, že se věnuje více webové bezpečnosti.
Úkolem VPN není tunelovat veškerý provoz, ale pouze získat přístup do nějaké sítě (ano, virtual private network je VPN) a je pouze na nastavení dané sítě a klienta, jak bude routovat provoz, jestli se do vpn bude posílat veškerý provoz nebo jen ten, pro danou síť.
Stejně jak na VPN klientovi a serveru záleží, jestli bude resolvovat DNS nebo se to nechá na nějakém public/private resolveru, google dns jsou i u openVPN velice běžné.
Zabránit leaknutí skutečné IP adresy z opery je podle mě nemožný úkol, webRTC je tak zběsilý (v FF a Chromu), že čte IP adresy z interfaců přítomných na stroji a zároveň si pingá svoje servery pro zjištění public ip, tuhle operaci provádí hned na začátku při spuštění. Problém to je jen pokud mám veřejnou ip adresu, jsem-li v nějaké svojí podsíti, nedokáže nic užitečného zjistit.
V Opeře se skutečně jedná o VPN, zpřístupňuje část privátní sítě. která bez zapnutého režimu není dostupná. Ve výsledku, ale neposkytuje větší bezpečnost než šifrovaná proxy, pro něco to ale stačí. Pokud to s bezpečností myslím vážně, nesmí mi z počítače odejít žádný paket mimo vpn a to nelze snadno zabezpečit skoro u žádného systému, btw.
