keenopt openvpn

[kpox]

Под entware-ng на NDMS v.2 для себя сделал такой скрипт https://github.com/kpoxxx/openvpn-install

Это переделанный скрипт отсюда https://github.com/Nyr/openvpn-install/blob/master/openvpn-install.sh

Может кому пригодится. Предполагается, что пакет openvpn уже установлен.

Далее делаем..

opkg update
opkg install bash wget openssl-util
wget --no-check-certificate https://raw.githubusercontent.com/kpoxxx/openvpn-install/master/openvpn-install.sh -O openvpn-install.sh && bash openvpn-install.sh

Получаем готовые ключи (генерируются на роутере долго !!!), конфигурацию сервера и клиента. Повторным запуском можно добавлять клиентов или отзывать сертификаты. Правила iptables тоже прописываются.

[yrzorg]

Запуск нескольких демонов openvpn (для одновременной работы клиента и сервера, или нескольких клиентов/серверов)

сделать симлинки на openvpn вида openvpn-cl/openvpn-srv в /opt/sbin/ (названия не должны пересекаться)

[dmitrya]

И все же проще создать сертификаты с помощью easyrsa.

[thefox]

с помощью скрипта от kpox удалось все поставить и все заработало. в процессе столкнулся с 2-мя проблемами: не генерились сертификаты(автору в личку отписал логи) и таки пришлось доустанавливать пакет с iptables, хотя тут где-то читал что он работает и так если в прошивке есть ipv6.

kpox - огромное спасибо. без знаний linux-а самому тут ни черта не настроить )

[Александр Рыжов]

с помощью скрипта от kpox удалось все поставить и все заработало. в процессе столкнулся с 2-мя проблемами: не генерились сертификаты(автору в личку отписал логи) и таки пришлось доустанавливать пакет с iptables, хотя тут где-то читал что он работает и так если в прошивке есть ipv6.

На Ultra II сертификаты генерятся полтора часа. Не у каждого хватит терпения ждать

[thefox]

Александр Рыжов, да вообще-то нет... у меня сгенерилось значительно быстрее. возможно минут 15, тоже Ultra 2. а ошибки такие были:

40.00K 25.1KB/s in 1.6s

2016-02-06 19:45:04 (25.1 KB/s) - '/opt/root/EasyRSA-3.0.1.tgz' saved [40960/40960]

mv: can't rename '/opt/etc/openvpn/EasyRSA-3.0.1/': No such file or directory

chown: /opt/etc/openvpn/easy-rsa/: No such file or directory

openvpn-install.sh: line 141: cd: /opt/etc/openvpn/easy-rsa/: No such file or directory

openvpn-install.sh: line 143: ./easyrsa: No such file or directory

openvpn-install.sh: line 144: ./easyrsa: No such file or directory

openvpn-install.sh: line 145: ./easyrsa: No such file or directory

openvpn-install.sh: line 146: ./easyrsa: No such file or directory

openvpn-install.sh: line 147: ./easyrsa: No such file or directory

openvpn-install.sh: line 148: ./easyrsa: No such file or directory

cp: can't stat 'pki/ca.crt': No such file or directory

cp: can't stat 'pki/private/ca.key': No such file or directory

cp: can't stat 'pki/dh.pem': No such file or directory

cp: can't stat 'pki/issued/server.crt': No such file or directory

cp: can't stat 'pki/private/server.key': No such file or directory

cat: can't open '/opt/etc/openvpn/easy-rsa/pki/ca.crt': No such file or directory

cat: can't open '/opt/etc/openvpn/easy-rsa/pki/issued/client.crt': No such file or directory

cat: can't open '/opt/etc/openvpn/easy-rsa/pki/private/client.key': No such file or directory

я руками раскидал папки в нужные места и по-очереди запускал

[spoiler=]/easyrsa init-pki

./easyrsa --batch build-ca nopass

./easyrsa gen-dh

./easyrsa build-server-full server nopass

./easyrsa build-client-full $CLIENT nopass

./easyrsa gen-crl

p.s.: кстати, кто-нибудь может пояснить, что тут с tls-auth. раньше отдельно генерился ta.key, а сейчас в конфиге клиента есть директива remote-cert-tls server. но в конфиге сервера вообще ничего не вижу похожего.

это тоже самое? насколько равноценная замена.

[dmitrya]

На Ultra II сертификаты генерятся полтора часа. Не у каждого хватит терпения ждать

Может и больше, вы же генерируете параметры Диффи-Хеллмана, а там чистый рандом, как уж повезет! Может секунду, а может и час. А если учесть, что кинетик - не компьютер... Решение есть - сгенерируйте параметры на компьютере и предоставляйте их в скрипте, который генерирует сертификаты. Ничего страшного в том, что у всех пользователей параметры будут одинаковыми, нет. Сами сертификаты генерируются быстро.

[kpox]

На Ultra II сертификаты генерятся полтора часа. Не у каждого хватит терпения ждать

Ну DH я комментил у себя и делал на компе. Но это лишние телодвижения.

Кому-то нужно быстро, а кто-то хочет чтоб "все само".

[DimLAN]

kpox, спасибо конечно за старания, но скрипт не работает ещё на этапе загрузки...

wget --no-check-certificate https://raw.githubusercontent.com/kpoxx ... install.sh -O openvpn-install.sh && bash openvpn-install.sh

Connecting to raw.githubusercontent.com (151.101.12.133:443)

wget: error getting response

хотя в браузере нормально открывается

Я конечно не гуру линукса, но даже я понимаю, что нельзя скопировать файл которого не существует

cp /opt/etc/openvpn/client-common.txt ~/$1.ovpn и т.д.

Press any key to continue...

Connecting to github.com (192.30.253.112:443)

wget: error getting response

tar: can't open '/opt/root//EasyRSA-3.0.1.tgz': No such file or directory

mv: can't rename '/opt/root//EasyRSA-3.0.1': No such file or directory

mv: can't rename '/opt/etc/openvpn/EasyRSA-3.0.1/': No such file or directory

chown: /opt/etc/openvpn/easy-rsa/: No such file or directory

openvpn-install.sh: line 152: cd: /opt/etc/openvpn/easy-rsa/: No such file or directory

openvpn-install.sh: line 159: ./easyrsa: No such file or directory

openvpn-install.sh: line 160: ./easyrsa: No such file or directory

openvpn-install.sh: line 161: ./easyrsa: No such file or directory

openvpn-install.sh: line 162: ./easyrsa: No such file or directory

openvpn-install.sh: line 163: ./easyrsa: No such file or directory

openvpn-install.sh: line 164: ./easyrsa: No such file or directory

cp: can't stat 'pki/ca.crt': No such file or directory

cp: can't stat 'pki/private/ca.key': No such file or directory

cp: can't stat 'pki/dh.pem': No such file or directory

cp: can't stat 'pki/issued/server.crt': No such file or directory

cp: can't stat 'pki/private/server.key': No such file or directory

openvpn-install.sh: line 224: /opt/etc/ndm/netfilter.d/052-openvpn-filter.sh: No such file or directory

chmod: /opt/etc/ndm/netfilter.d/052-openvpn-filter.sh: No such file or directory

openvpn-install.sh: line 231: /opt/etc/ndm/netfilter.d/053-openvpn-nat.sh: No such file or directory

chmod: /opt/etc/ndm/netfilter.d/053-openvpn-nat.sh: No such file or directory

cat: can't open '/opt/etc/openvpn/easy-rsa/pki/ca.crt': No such file or directory

cat: can't open '/opt/etc/openvpn/easy-rsa/pki/issued/client.crt': No such file or directory

cat: can't open '/opt/etc/openvpn/easy-rsa/pki/private/client.key': No such file or directory

Finished!

З.Ы. Вообще не понятно почему на форме keenopt в основном инструкции про entware...

Изменено 2 июля, 2016 пользователем Гость

[rotor]

Добрый час.

Установил openvpn-openssl на keenopt

В процессе запуска сервера в лог файле выдаёт ошибку:

Скрытый текст

OpenVPN 2.3.6 mipsel-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on May 25 2016
library versions: OpenSSL 1.0.2d 9 Jul 2015, LZO 2.08
Diffie-Hellman initialized with 1024 bit key
WARNING: file '/opt/etc/openvpn/keys/server.key' is group or others accessible
WARNING: file '/opt/etc/openvpn/keys/ta.key' is group or others accessible
Control Channel Authentication: using '/opt/etc/openvpn/keys/ta.key' as a OpenVPN static key file
Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Socket Buffers: R=[110592->131072] S=[110592->131072]
WARNING: Since you are using --dev tun with a point-to-point topology, the second argument to --ifconfig must be an IP address.  You are using something (255.255.255.0) that looks more like a netmask. (silence this warning with --ifconfig-nowarn)
TUN/TAP device tun0 opened
TUN/TAP TX queue length set to 100
do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
/opt/sbin/ifconfig tun0 х.х.0.0 pointopoint 255.255.255.0 mtu 1500
/opt/sbin/ifconfig: error while loading shared libraries: libcrypt.so.1: cannot open shared object file: No such file or directory
2016 Linux ifconfig failed: could not execute external program
Exiting due to fatal error

Что делаю неправильно?

Файл конфигурации сервера вот такой:

Скрытый текст

proto udp
port 1194
dev tun
dh /opt/etc/openvpn/keys/dh1024.pem
ca /opt/etc/openvpn/keys/ca.crt
cert /opt/etc/openvpn/keys/server.crt
key /opt/etc/openvpn/keys/server.key
tls-auth /opt/etc/openvpn/keys/ta.key 0
mode server
tls-server
ifconfig 10.8.0.0 255.255.255.0
client-to-client
crl-verify /opt/etc/openvpn/keys/crl.pem
persist-tun
persist-key
keepalive 10 120
cipher AES-128-CBC
log /opt/etc/openvpn/log/openvpn.log
status /opt/etc/openvpn/log/status.log
verb 3
mute 5

 

[Александр Рыжов]

@rotor, /opt/sbin/ifconfig из консоли выполняется без ошибок?

[Le ecureuil]

40 минут назад, rotor сказал:

Добрый час.

Установил openvpn-openssl на keenopt

В процессе запуска сервера в лог файле выдаёт ошибку:

  Показать содержимое

OpenVPN 2.3.6 mipsel-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on May 25 2016
library versions: OpenSSL 1.0.2d 9 Jul 2015, LZO 2.08
Diffie-Hellman initialized with 1024 bit key
WARNING: file '/opt/etc/openvpn/keys/server.key' is group or others accessible
WARNING: file '/opt/etc/openvpn/keys/ta.key' is group or others accessible
Control Channel Authentication: using '/opt/etc/openvpn/keys/ta.key' as a OpenVPN static key file
Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Socket Buffers: R=[110592->131072] S=[110592->131072]
WARNING: Since you are using --dev tun with a point-to-point topology, the second argument to --ifconfig must be an IP address.  You are using something (255.255.255.0) that looks more like a netmask. (silence this warning with --ifconfig-nowarn)
TUN/TAP device tun0 opened
TUN/TAP TX queue length set to 100
do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
/opt/sbin/ifconfig tun0 х.х.0.0 pointopoint 255.255.255.0 mtu 1500
/opt/sbin/ifconfig: error while loading shared libraries: libcrypt.so.1: cannot open shared object file: No such file or directory
2016 Linux ifconfig failed: could not execute external program
Exiting due to fatal error

Что делаю неправильно?

Файл конфигурации сервера вот такой:

  Показать содержимое

proto udp
port 1194
dev tun
dh /opt/etc/openvpn/keys/dh1024.pem
ca /opt/etc/openvpn/keys/ca.crt
cert /opt/etc/openvpn/keys/server.crt
key /opt/etc/openvpn/keys/server.key
tls-auth /opt/etc/openvpn/keys/ta.key 0
mode server
tls-server
ifconfig 10.8.0.0 255.255.255.0
client-to-client
crl-verify /opt/etc/openvpn/keys/crl.pem
persist-tun
persist-key
keepalive 10 120
cipher AES-128-CBC
log /opt/etc/openvpn/log/openvpn.log
status /opt/etc/openvpn/log/status.log
verb 3
mute 5

 

Переходите на entware или debian.

[rotor]

2 часа назад, Александр Рыжов сказал:

@rotor, /opt/sbin/ifconfig из консоли выполняется без ошибок?

да, без ошибок

 

[kpox]

В 02.07.2016 в 22:36, DimLAN сказал:

kpox, спасибо конечно за старания, но скрипт не работает ещё на этапе загрузки...

С опозданием конечно, но лучше поздно, чем никогда  

Предполагаю, что не сделано вот это: 

opkg update
opkg install bash wget openssl-util

Потому что, 

Скрытый текст

wget --no-check-certificate https://raw.githubusercontent.com/kpoxxx/openvpn-install/master/openvpn-install.sh -O openvpn-install.sh
--2016-09-12 10:06:09-- https://raw.githubusercontent.com/kpoxxx/openvpn-install/master/openvpn-install.sh
Resolving raw.githubusercontent.com... 151.101.12.133
Connecting to raw.githubusercontent.com|151.101.12.133|:443... connected.
WARNING: cannot verify raw.githubusercontent.com's certificate, issued by 'CN=DigiCert SHA2 High Assurance Server CA,OU=www.digicert.com,O=DigiCert Inc,C=US':
  Unable to locally verify the issuer's authority.
HTTP request sent, awaiting response... 200 OK
Length: 8498 (8.3K) [text/plain]
Saving to: 'openvpn-install.sh'

openvpn-install.sh          100%[===========================================>]   8.30K  --.-KB/s    in 0.007s

2016-09-12 10:06:10 (1.13 MB/s) - 'openvpn-install.sh' saved [8498/8498]
 

 

Изменено 12 сентября, 2016 пользователем kpox

[Inspired]

Прошу помочь!

Девайс: Giga 2 + NDMS v2 v2.06(AAFS.2)C0 + Entware Keenetic

После установки и настройки OpenVPN в качестве 3 vpn-клиентов, в веб-интерфейсе стала появляться ошибка

unable to find tap1 in Network::Interface::IP container.

Появляется в Домашняя сеть > Устройства, а также Системный монитор > Соединения || Клиенты Wi-Fi.

Как исправить?

Все конфиги используют tap-интерфейс для подключения. Перечитал много сайтов, но ответа, к сожалению, не нашёл.

 

[zyxmon]

Раньше и на tun была ругань - разработчики прошивки исправили. Но работе openvpn и web-морде это не мешало.

Переходите на 2.08 на Giga II (только вышла). Хоть она и неофициальная, но Entware там явно стабильнее работает (лучше сразу перейти на Entware-3x).

Изменено 25 сентября, 2016 пользователем zyxmon

[Inspired]

Благодарю, сейчас попробую.

P.S. На  2.08, взято здесь http://files.keenopt.ru/experimental/Keenetic_Giga_II/2016-09-23/ проблема с ошибкой в веб-интерфейсе осталась.

Изменено 25 сентября, 2016 пользователем Inspired

[GConst]

Подскажите пожалуйста, 

пытаюсь настроить openvpn server на keenetic Extra

установлено: entware3 

opkg update
opkg install openvpn-openssl
opkg install bash wget openssl-util
wget --no-check-certificate https://raw.githubusercontent.com/kpoxxx/openvpn-install/master/openvpn-install.sh -O openvpn-install.sh && bash openvpn-install.sh

скрипт скачивается, запускается, но в ответ получаю:

Getting your ip address....please wait.
Looks like OpenVPN is already installed

What do you want to do?
   1) Add a cert for a new user
   2) Revoke existing user cert
   3) Exit
Select an option [1-3]: 1

Tell me a name for the client cert
Please, use one word only, no special characters
Client name: home
openvpn-install.sh: line 45: cd: /opt/etc/openvpn/easy-rsa/: No such file or directory
openvpn-install.sh: line 46: ./easyrsa: No such file or directory
cat: can't open '/opt/etc/openvpn/easy-rsa/pki/ca.crt': No such file or directory
cat: can't open '/opt/etc/openvpn/easy-rsa/pki/issued/home.crt': No such file or directory
cat: can't open '/opt/etc/openvpn/easy-rsa/pki/private/home.key': No such file or directory

Client home added, certs available at ~/home.ovpn
 

создать соответствующие подкаталоги (/easy-rsa/pki/) пробовал, не помогает.  

может они каким-то иным скриптом создаются? 

или под Экстру нужно совсем иначе скрипты править?

[Inspired]

Перед запуском мастера настройки

wget --no-check-certificate https://raw.githubusercontent.com/kpoxxx/openvpn-install/master/openvpn-install.sh -O openvpn-install.sh && bash openvpn-install.sh

удалите файл /opt/etc/openvpn/openvpn.conf, он создаётся автоматически при установке пакетов.

[GConst]

Спасибо, процесс пошёл!

[GConst]

Уважаемые форумчане, подскажите пожалуйста что могут означать в логе следующие строки: 

 

Nov 18 21:43:40ndm  Opkg::Manager: /opt/etc/ndm/netfilter.d/052-openvpn-filter.sh: Segmentation fault.

Nov 18 21:43:40ndm  Core::Syslog: last message repeated 4 times.

Nov 18 21:43:40ndm  Opkg::Manager: /opt/etc/ndm/netfilter.d/052-openvpn-filter.sh: exit code 139.

т.е. скрипт явно не выполнился, а почему непонятно,

содержимое скрипта /opt/etc/ndm/netfilter.d/052-openvpn-filter.sh: 

#!/bin/sh

[ "$table" != filter ] && exit 0   # check the table name
iptables -I INPUT -i tun0 -j ACCEPT
iptables -I FORWARD -s 10.8.0.0/24 -j ACCEPT
iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -I INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT 

 

 

[zyxmon]

уже было, поищите. Не помню, что конкретно помогло - замена shebang на /opt/bin/sh или полный путь к iptables (надеюсь пакет установлен).

[GConst]

Спасибо! вроде арбайтен. на неделе с работы проверю.

[ChaoticSerg]

2 часа назад, Ярослав Грицунь сказал:

Уважаемые знатоки, нужна помощь в организации работы сервера на OpenVPN 2.4.2 на роутере Keenetic Giga 3. Я полный нуб, поэтому, если можно и есть время у кого-то рассказать, что и как делать. Вот сами настройки: https://zaborona.help/extra.html . Спасибо

А ты на каком этапе остановился?  Entware-3x установили? openvpn-openssl установили? Тогда скачивайте сертификаты и ключ в папку /opt/etc/openvpn и, там-же создаете openvpn.conf с содержимым:

client
dev tun
proto tcp
remote vpn.zaborona.help 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert zaborona-help.crt
key zaborona-help.key
remote-cert-tls server
cipher AES-128-GCM
comp-lzo no
verb 3

Вроде не ошибся. Запускайте и добро пожаловать в VK.

[sponge_bob_111]

25 минут назад, ChaoticSerg сказал:

А ты на каком этапе остановился?  Entware-3x установили? openvpn-openssl установили? Тогда скачивайте сертификаты и ключ в папку /opt/etc/openvpn и, там-же создаете openvpn.conf с содержимым:

client
dev tun
proto tcp
remote vpn.zaborona.help 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert zaborona-help.crt
key zaborona-help.key
remote-cert-tls server
cipher AES-128-GCM
comp-lzo no
verb 3

Вроде не ошибся. Запускайте и добро пожаловать в VK.

большинство слов из вашего сообщения, написанных латиницей, я не понимаю, пойду разбираться.. 

[ChaoticSerg]

Только что, Ярослав Грицунь сказал:

большинство слов из вашего сообщения, написанных латиницей, я не понимаю, пойду разбираться.. 

Тогда может вам проще поставить клиента openvpn на windows? Вот здесь https://openvpn.net/index.php/open-source/downloads.html

Файл настроек этот-же, только расширение должно быть ovpn и все храниться в C:\Program Files\OpenVPN\config

[vasek00]

55 минут назад, Ярослав Грицунь сказал:

большинство слов из вашего сообщения, написанных латиницей, я не понимаю, пойду разбираться.. 

Для вас тогда

найдете свой ответ

Но для справки VPN сервисы могут быть блокированы - достаточно посмотреть принцип его работы и как результат

Скрытый текст

19.04.2017

В России разработан законопроект, предусматривающий блокировку анонимайзеров и VPN-сервисов, которые откажутся блокировать доступ к запрещенным сайтам. Об этом сообщает газета «Ведомости» со ссылкой на источники в интернет-компаниях и неназванного федерального чиновника.

По данным издания, законопроект подготовлен по инициативе Совета безопасности России, в разработке документа участвовали Роскомнадзор и Медиа-коммуникационный союз, объединяющий крупнейших операторов связи. Официально эта информация не подтверждена.

Согласно законопроекту, анонимайзеры и VPN-сервисы будут обязаны блокировать доступ к ресурсам, включенным в реестр запрещенных сайтов Роскомнадзора. Кроме того, предлагается запретить поисковым системам выдавать ссылки на запрещенный контент. За нарушение этого требования для поисковиков предусмотрен штраф в 700 тысяч рублей.

....

Полный текст можно найти в интернете

 

Изменено 29 мая, 2017 пользователем vasek00

[IgaX]

16 часов назад, vasek00 сказал:

Но для справки VPN сервисы могут быть блокированы - достаточно посмотреть принцип его работы и как результат

Можно ведь и грамотно все сделать. Там OVPN в принципе ничего так, особенно если фьюжн PSK с TLS.

Если особо не вдаваться в подробности, то CA разные, клиент генерирует private, при желании паролирует и хранит как зеницу ока, а не светит в паблике как если это норма (тут уже начинаешь сомневаться за будущее вообще), на основе него (private) - CSR, который отправляется туда, где его подпишет нужный CA и вернется клиенту в виде CRT .. и эти транзакции via TLS не ниже 1.2 в рамках тех же ЛК (что для сертификатов в принципе - лишнее, но на всякий).

Как бы задача сервиса сделать все так, чтобы все это было понятно, удобно и ненапряжно (желательно на полном автомате, чтобы минимизировать/исключить косяки со стороны хомо сапиенсов), а по вектору "Mellon", например, открывать возможность поднятия отдельного p2p instance на заданном порту.

А с базовыми контроллерами всегда начиналось заворачиванием в зазеркалье по диапазону ip, которые светились. А потом в их блогах читать какие они победоносные =)

При грамотной схеме им только пыль глотать.

Изменено 30 мая, 2017 пользователем IgaX

[vasek00]

37 минут назад, IgaX сказал:

Можно ведь и грамотно все сделать. Там OVPN в принципе ничего так, особенно если фьюжн PSK с TLS.

Если особо не вдаваться в подробности, то CA разные, клиент генерирует private, при желании паролирует и хранит как зеницу ока, а не светит в паблике как если это норма (тут уже начинаешь сомневаться за будущее вообще), на основе него (private) - CSR, который отправляется туда, где его подпишет нужный CA и вернется клиенту в виде CRT .. и эти транзакции via TLS не ниже 1.2 в рамках тех же ЛК (что для сертификатов в принципе - лишнее, но на всякий).

Как бы задача сервиса сделать все так, чтобы все это было понятно, удобно и ненапряжно (желательно на полном автомате, чтобы минимизировать/исключить косяки со стороны хомо сапиенсов), а по вектору "Mellon", например, открывать возможность поднятия отдельного p2p instance на заданном порту.

А с базовыми контроллерами всегда начиналось заворачиванием в зазеркалье по диапазону ip, которые светились. А потом в их блогах читать какие они победоносные =)

При грамотной схеме им только пыль глотать.

На много все проще - глубокий анализ пакетов на уровни DPI (сами данные кодированы не кодированы роли не играют они не нужны для провайдера), т.е. суть всего найти нужные "метки" в пакете по которым можно его заблокировать.

[IgaX]

42 минуты назад, vasek00 сказал:

На много все проще - глубокий анализ пакетов на уровни DPI (сами данные кодированы не кодированы роли не играют они не нужны для провайдера), т.е. суть всего найти нужные "метки" в пакете по которым можно его заблокировать.

не, при секьюрном хэндшейке на лету они, скорее всего, могут ток, например, DN/CN публичного ключа (сертификата) хоста заматчить и дать RST в трубу.

при остальных правильных требованиях к шифрованию - не выйдет точечно, ток все подряд, а тут и словят =)

***
т.е. под потенциальным ударом только фронт-энд сервиса в плане удобства доступности, на уровне движа ничего им не светит.

Изменено 30 мая, 2017 пользователем IgaX