Vlákno názorů k článku Opera představila VPN, která vlastně není VPN. Takhle funguje od Tomáš2 - článek je plný nepřesností a polopravd, Michala ale...

článek je plný nepřesností a polopravd, Michala ale respektuji a chápu, že se věnuje více webové bezpečnosti.

Úkolem VPN není tunelovat veškerý provoz, ale pouze získat přístup do nějaké sítě (ano, virtual private network je VPN) a je pouze na nastavení dané sítě a klienta, jak bude routovat provoz, jestli se do vpn bude posílat veškerý provoz nebo jen ten, pro danou síť.

Stejně jak na VPN klientovi a serveru záleží, jestli bude resolvovat DNS nebo se to nechá na nějakém public/private resolveru, google dns jsou i u openVPN velice běžné.

Zabránit leaknutí skutečné IP adresy z opery je podle mě nemožný úkol, webRTC je tak zběsilý (v FF a Chromu), že čte IP adresy z interfaců přítomných na stroji a zároveň si pingá svoje servery pro zjištění public ip, tuhle operaci provádí hned na začátku při spuštění. Problém to je jen pokud mám veřejnou ip adresu, jsem-li v nějaké svojí podsíti, nedokáže nic užitečného zjistit.

V Opeře se skutečně jedná o VPN, zpřístupňuje část privátní sítě. která bez zapnutého režimu není dostupná. Ve výsledku, ale neposkytuje větší bezpečnost než šifrovaná proxy, pro něco to ale stačí. Pokud to s bezpečností myslím vážně, nesmí mi z počítače odejít žádný paket mimo vpn a to nelze snadno zabezpečit skoro u žádného systému, btw.

prakticky nic, ale triviální to není a člověk na to musí dát velký pozor.

Windows ve výchozím nastavení posílá DNS dotaz na všechny interfacy.

Mac se připojuje k síti poměrně dost brzo po spuštění. Systemd má vlastní network stack a nebojí se ho použít při bootu.

A u všech systémů dělají problém dynamické routy a přepisování tý defaultní kdekým.

Zajistit to spolehlivě znamená buď mít na routeru další terminaci VPN nebo si poladit a pohlídat systém.

Tohle všechno pohlídat nejde. Celkem logicky. Copak jde do jiné místnosti přenést židli, na které sám sedím?

VPN se musí řešit buď virtuálním počítačem, anebo lépe HW routerem.

pohlídat to lze, stačí si síť jen konfigueovat ručně a ne přes DHCP.

V kanceláři máš k diapozici router, na cestách to je ale problém. Elegantní řešení je si v ring0 spustit xen či vmware a samotný systém vietualizovat, dá se pak mít kompletně síť pod kontrolou.

Že by jedno routovací pravidlo a vypnutí výchozí brány ?

subsíť nemusí být jen na L2, L3 atd., ale klidně až na vysokoúrovňovém aplikačním protokolu (myslím tím ty http enspointy) máš ale pravdu, že k VPN jak se v oboru chápe to má stejně daleko jako k proxy, říkejme tomu spíše TCP tunnel.

Ano, chápu, zjednodušení bylo třeba, ale možná by to šlo napsat presněji.

Copak je prosím pěkně "substíť" na L2? A co je "subsíť" na "vysokoúrovňovém aplikačním protokolu"?
Subnet může být pouze a jedině na L3.

Také mi není jasné, co je ten "vysokoúrovňový aplikační protokol". Nemyslím si, že se aplikační protokoly dělí na nízkoúrovňové a vysokoúrovňové.

Domnívám se, že máte mylnou představu o tom, co je VPN. Podle toho, co říkáte bych přistupoval přes VPN i na https://mail.google.com/mail/u/0/#inbox protože po mě stránka vyžaduje přihlášení, abych se dostal do Inboxu. A také bych zřejmě šel přes VPN na www.google.com, protože ve skutečnosti můj požadavek nevyřídil server s IP 74.125.224.70 (což je load balancer), ale pouze ho předal aplikačnímu serveru v neveřejném subnetu (čímž jsem se dle vaší logiky dostal do normálně nepřístupného subnetu).
To zní dost uhozeně, nemyslíte?

Berou zpět, máte oba pravdu, Opeří VPN má s vpn pramálo společného,ne­dostatečně jsem si to prostudoval a omlouvám se za desinformaci, příklad s gmailem je orpavdu nesmyslný.

subsítí na L2 jsem měl na mysli bgp/ldp based VPN (l2 mpls). U toho aplikačního se nemusí jednat o dělení, ale upřesnění, l7 je prostě pro mě už hodně vysoko a pro některé je i webdav síť.

"V Opeře se skutečně jedná o VPN, zpřístupňuje část privátní sítě. která bez zapnutého režimu není dostupná."

Promiňte, ale to je trošku pokřivená logika.