Ответы пользователя по тегу VPN
  • Обратит ли внимание провайдер на подобный трафик?

    CityCat4
    @CityCat4 Куратор тега VPN
    Внимание! Изменился адрес почты!
    Вы хотите сказать, что подключаетесь по VPN к родителям и через них ходите в тырнет? Я думаю не обратит. Трафик тырнета идет от родителей, где услуга оплачена. Если у Вас подключение работает даже при отрицательном балансе - значит локальный трафик не тарифицируется. Для провайдера Ваш трафик до родителей - локальный, который не тарифицируется, а трафик от родителей в тырнет - оплачен родителями.
    Ответ написан
    Комментировать
  • Реально ли скрыть свое местоположение в интернете?

    CityCat4
    @CityCat4 Куратор тега VPN
    Внимание! Изменился адрес почты!
    Я Вас по-еврейски спрошу - а какова модель нарушителя? От кого пытаетесь скрыться и зачем?

    А теперь по полочкам

    Тор + vpn + vpn + виртуалка


    Хоть дестять раз vpn - все равно Ваш реальный трафик проходит через провайдера. И он знает, что Вы используете VPN. Или Tor. И хоть сколько vpn делай - провайдер совершенно точно знает, когда и куда Вы подключались к Tor/VPNи еще куда. Есть такая штука - СОРМ.
    Вы конечно спросите - ну и фиг? Ведь цепочка-то раскручивается с "того" конца? А у Вас весь трафик ходит через Tor? Tor - штука оооооочень неторопливая... Достаточно открыть один сайтик с котиками или кликнуть на ссылку в письме - и все, реальный IP засветился. Поищите в сети, как накрыли Silk Road

    Может ли кто либо узнать мой адрес проживания у провайдера?

    Соответствующие конторы - запросто. Точнее говоря не проживания, а подключения.

    если пользоваться моб. интернетом то там адрес не привязан


    Глубокое заблуждение. Сотовый постоянно сообщает свое местонахождение базовым станциям сети, тут никакой адрес не нужен, вычислить где находится абонент сейчас - вообще ниачем.

    Что скажете на счет GPS на пк и смартфонах, достаточно их просто отключить


    GPS тут ваще не при делах. Определение местоположения абонента - это базовый функционал сети, его невозможно ни отключить, ни как-то на него воздействовать (только выключить телефон).

    Как найти, говорите? Ну, это зависит от того, для чего Вам вся эта вот система - ведь не ради того, чтобы допустим порно посмотреть,Вы это затеваете. Кроме чисто технических аспектов, есть ведь и другие способы...
    Ответ написан
  • Будет ли анонимно работать VPN при подключении к серверу через SSH?

    CityCat4
    @CityCat4 Куратор тега VPN
    Внимание! Изменился адрес почты!
    Открыть лог и посмотреть с какого IP было подключение
    Ответ написан
    Комментировать
  • Наиболее безопасный и доступный способ выйти в сеть?

    CityCat4
    @CityCat4 Куратор тега VPN
    Внимание! Изменился адрес почты!
    АртемЪ дал замечательный ответ. Понятия "безопасный" и "удобный" - зачастую противоречат друг другу и как правило содержат взаимоисключающие требования. Я обычно спрашиваю в таких случаях - а вектор атаки каков? Чего опасаетесь? Если деанонимизции - то есть способы. Но они очень муторные и мееееедленные. Представьте себе, что Вы - агент по продаже женских купальников, работающий в Саудовской Аравии - чуть что, просто голову чик и все.
    Ответ написан
    Комментировать
  • Mikrotik IPsec: белый IP ---- серый IP?

    CityCat4
    @CityCat4 Куратор тега VPN
    Внимание! Изменился адрес почты!
    При линке двух микротиков там есть несколько нечевидных моментов, не описанных ни в одной документации

    1. При формировании политик нужно указывать серые IP.
    2. Шифрование SHA256 работает только при линке двух микротиков между собой.

    Пример настройки:
    (микротик с IP 1.2.3.4 связывается с микротиком с адресом 172.16.1.1, перед которым стоит роутер с адресом 4.3.2.1. За первым микротиком сетка с адресом 10.1.1.0/24, за вторым - 192.168.1.0/24)

    Cо стороны микротика с серым IP
    /ip ipsec peer
    add address=1.2.3.4/32 dpd-interval=disable-dpd enc-algorithm=\
        aes-128,aes-192,aes-256 hash-algorithm=sha256 proposal-check=strict
    /ip ipsec policy
    add dst-address=10.1.1.0/24 sa-dst-address=1.2.3.4 sa-src-address=\
        172.16.1.1 src-address=192.168.1.0/24 tunnel=yes


    Cо стороны микротика с белым IP:
    /ip ipsec peer
    add address=4.3.2.1/32 dpd-interval=disable-dpd enc-algorithm=\
        aes-128,aes-192,aes-256 hash-algorithm=sha256 passive=yes proposal-check=strict
    /ip ipsec policy
    add dst-address=192.168.1.0/24 sa-dst-address=4.3.2.1 sa-src-address=\
        1.2.3.4 src-address=10.1.1.0/24 tunnel=yes


    Пример конечно без сертификатов, только на PSK, но наличие или отсутствие сертификатов не влияет на настройку
    Ответ написан
    1 комментарий
  • Как запретить ICMP трафик к своему VPN серверу на windows?

    CityCat4
    @CityCat4 Куратор тега VPN
    Внимание! Изменился адрес почты!
    Тему анонимности в интернете тут уже неоднократно рассматривали. Так вот - ее нет. Просто нет и все и быть не может :) Потому что Ваш провайдер не просто знает, к каким серверам Вы обращались, но и сливает это куда надо (причем не по своей воле - ему положено).
    А запрещать ICMP для большей анонимности - это примерно как выбить зубы, чтобы не бояться бормашины :)
    Ответ написан
    2 комментария
  • Как настроить VPN сервер для iOS/Andoid устройств на CentOS?

    CityCat4
    @CityCat4 Куратор тега VPN
    Внимание! Изменился адрес почты!
    Если только стандартный клиент андроида - только pptp. IPSec, который там якобы есть, на самом деле не работает - по крайней мере мне не удалось его спарить ни с StrongSwan на линухе ни с Racoon на микротике - не работает и все. Возникают какие-то нелепые ошибки. Кроме стандартного пробовало еще TheGreenBow IPSec клиент - но тот тоже не работает.
    Можно установить StrongSwan клиента на андроид - с линухом работать будет, вариант проверенный, правда проверял с сертификатами. Могу даже конфигами поделиться для StrongSwan на сервере, настройки клиента тривиальные.
    Ответ написан
  • Как обеспечить полную анонимность в интернете?

    CityCat4
    @CityCat4 Куратор тега VPN
    Внимание! Изменился адрес почты!
    OMG, ну почему тут с такой завидной регулярностью всплывают такие вопросы? При той модели нарушителя, что у Вас - а по ней им является государство - нельзя. Ни тор, ни два тора, ни даже бублик Вас не спасут.

    Вы включили роутер - и у провайдера есть отметка "Нода Х включила оборудование связи". Вы вышли в тор - и у провайдера есть отметка "Нода Х подключилась к серверу Tor". Если роутер делает еще что-то, даже мелочь - время обновляет, новые версии прошивки проверяет - все это будет записано у провайдера. Вы выключили роутер - у провайдера отметка "Нода Х провела в сети Tor столько-то времени". Если государство Вами заинтересовалось - оно получило эту информацию и не тратя лишнего времени, послало к Вам парочку людей в черных костюмах. Защиты от терморектального криптоанализа пока не придумано, поэтому Вы сами, добровольно и с песней, сдадите все свои ключи, расскажете куда ходили и т.д.
    Ответ написан
  • Есть ли анонимные VPN сервера в России?

    CityCat4
    @CityCat4 Куратор тега VPN
    Внимание! Изменился адрес почты!
    Это Вы типа анекдот записали - "анонимный VPN в России"? В свете принимаемых законов и общей тенденции к полному контролю за Сетью в России, сдачей ключей шифрования известно куда и т.д.?

    "Нет, сынок, это фантастика..." (С)
    Ответ написан
    Комментировать
  • Проблема с виртуализацией на esxi, не видно сетевые сервисы в чем проблема?

    CityCat4
    @CityCat4 Куратор тега VPN
    Внимание! Изменился адрес почты!
    Сетевок сколько - больше одной? IP на management настроен? Пофиг, что бесплатная, все равно management port подымается, чтобы толстым клиентом с винды или браузеркой рулить хостом. Если сетевка одна, проверьте, что виртуальная карта связана с реальной (vSwitch для единственной карты создается автоматически). Если сетевок больше одной - нужно на вторую создать vSwitch, настроить ему IP и привязать виртуальную карту.

    Биндить на 127.0.0.1 бесполезно, это обычно делается для того, чтобы попасть на сервер можно было только с него же - с консоли, с веб-сервера etc. Биндить нужно на IP, который выделен на сетевуху или же вообще не биндить конкретный IP - обычно в таком случае слушают все адреса.
    Ответ написан
  • Как построить IPSec VPN с одним пиром в разные подсети?

    CityCat4
    @CityCat4 Куратор тега VPN
    Внимание! Изменился адрес почты!

    Но по факту, при чистом Installed SAs листе у меня работает только один туннель из двух...


    Разумеется, поскольку в записи SA в том виде, как она хранится в ядре - одно поле под индекс записи SP. Поэтому SA можно связать только с одной политикой. А раз так - значит надо построить политику так, чтобы нужная подсеть покрывалась одной маской. Например, указать в качестве dst-address 172.20.0.0/16 - тогда под действие этой политики будут попадать пакеты на оба хоста.
    Ответ написан
    Комментировать
  • Где найти хороший VPN для Android?

    CityCat4
    @CityCat4 Куратор тега VPN
    Внимание! Изменился адрес почты!
    Если брать чистый IPSec, то клиентов - фиг да маленько. Есть стандартный клиент, встроенный в Андроид, Есть Strongswan. Есть TheGreenBow - платный, ломаного нет даже на 4PDA (если есть - буду очень рад ссылке в мыло). Есть клиенты, работающие только с специфичным железом - NCP, например.
    С микротиком, например, запустить не удалось ни одного. С линухом (strongswan) клиент от strongswan заработал. Да, аутентификация всюду по сертификатам, по PSK может будет работать, не проверял.
    Ответ написан
    Комментировать
  • Как настроить IPSec VPN (Site-to-Site) между Mikrotik и Zyxel Zywall?

    CityCat4
    @CityCat4 Куратор тега VPN
    Внимание! Изменился адрес почты!
    Политики где? Отдельная маршрутизация - ну по крайней мере на микротике - не нужна. Микротик сам разберется куда что направить. Но естественно нужны правила файрволла, пропускающие трафик после его расшифровки.
    Именно политики увязывают вирутальные подсети и туннель.
    То есть если на пальцах, что происходит после того, как соединение есть.
    1. Входящий пакет.
    Микротик получил ESP-пакет. Если правила файрволла его пропустили (цепочки input/output, а не forward!), то микротик смотрит ассоциации безопасности (SA) - есть ли ассоциация с данным ID? Если есть, то пакет расшифровывается и повторно проходит файрволл - на этот раз цепочку forward - и уходит в нужный интерфейс.
    2. Исходящий пакет
    Микротик получил пакет из внутренней сети. Если правила цепочки forward его пропустили, то он смотрит политики безопасности (SP) - нужно ли этот пакет шифровать. Если нужно, то из политики берутся адреса начала и конца туннеля, по ним ищется SA, из SA берется ключ, пакет шифруется и снова проходит файрволл - в шифрованном виде. Если его пропустили - он пошел.
    Нету тут нигде маршрутизации, тут ESP вместо нее. Зухель точно расшифровывает пакеты от микротика? Если используете SHA256 - откажитесь, у микротика какая-то своя собственная реализация, совместимая только с микротиком, поставьте SHA1.
    Ответ написан
    6 комментариев
  • Что используется для VPN на практике?

    CityCat4
    @CityCat4 Куратор тега VPN
    Внимание! Изменился адрес почты!
    Изучение каталога велосипедных деталей или даже разборка-сборка велосипеда не сформируют навык езды на нем. Построение VPN - это технология. Что брать, где настраивать, что куда вписывать. Достаточно один раз это проделать - и следующий раз делается на автомате. Это не конечная задача. Конечно задачей может быть "синхронизация между DC филиала и DC офиса", а VPN - всего лишь средство, это обеспечиввающее.
    Пример с мостом в ответе SyavaSyava - замечательный.
    Ответ написан
    Комментировать
  • Как назвать клиента правильно в openVpn при генерации ключа?

    CityCat4
    @CityCat4 Куратор тега VPN
    Внимание! Изменился адрес почты!
    Любое. Но если планируется много клиентов, лучше сразу предусмотреть некую систему обозначений какого-то деления, чтобы потом проще было ориентироваться.
    Ответ написан
    3 комментария
  • Как исправить ошибку при подключении клиента к VPN(ipsec+ikev2)?

    CityCat4
    @CityCat4 Куратор тега VPN
    Внимание! Изменился адрес почты!
    А, простите, клиент на винде какой? Чтобы подключиться с винды, нужно преизрядно побиться головой об монитор... В логе видно, что просто ничего не произошло. Шван получил запрос на порт 500, послал ответ, в ответ не получил ничего и спокойно заснул дальше.

    Вот в качестве примера конфиг, проверенный на Win7, на клиентах ShrewSoft и TheGreenBow
    conn any-deltahwCA-rsa-sleepycat
            auto=add
            left=1.2.3.4
            leftid="<здесь subject сертификата сервера>"
            leftauth=pubkey
            leftcert=servercert.crt
            leftsubnet=10.1.1.0/24
            leftca="<здесь subject СA, выдавшего сертификат серверу>"
            leftfirewall=yes
            leftdns=10.1.1.1,10.1.1.4
            right=%any
            rightallowany=yes
            rightsourceip=10.1.1.28-10.1.1.30
            rightid="<здесь subject сертификата винды>"
            rightcert=windacert.crt
            rightauth=pubkey
            rightca="<здесь subject CA выдавшего сертификат винде>"
            keyexchange=ikev1
            ike=aes128-sha-modp1024,aes192-sha-modp1024,aes256-sha-modp1024!
            esp=aes128-sha-modp1024,aes192-sha-modp1024,aes256-sha-modp1024
            ikelifetime=2h
            lifetime=1h


    Чтобы работала авторизация по сертификатам нужно сначала выдать (или получить) сертификат на сервер, на клиент, их соответственно поставить всюду, на сервер положить сертификат клиента. Данный пример рассчитан на прием соединения откуда угодно с динамическим назначением IP из указанного диапазона
    Ответ написан
    3 комментария
  • Трафик идет мимо VPN. Как настроить правильно?

    CityCat4
    @CityCat4 Куратор тега VPN
    Внимание! Изменился адрес почты!
    Телепаты в отпуске :) Бессрочном. Что за VPN, каким образом подключение, что происходит... Правильный вопрос - половина ответа.
    Вывод ifconfig будет не лишним.
    Ответ написан
    Комментировать
  • RDP через проброшенный порт или VPN, что опаснее?

    CityCat4
    @CityCat4 Куратор тега VPN
    Внимание! Изменился адрес почты!
    Поднять VPN на шлюзе, где нет винды. RDP на винду - это вектор атаки.
    Ответ написан
    3 комментария
  • Как подключиться к VPN на уровне роутера?

    CityCat4
    @CityCat4 Куратор тега VPN
    Внимание! Изменился адрес почты!
    TP-Link - "экономичное" железо, оно рассчитано на неприятазтельных пользователей, не знающих что такое "сертификат". Соответственно, роутер просто не поддерживает аутентификацию по сертификатам. И все. Для использования сертификата нужен другой роутер.
    Ответ написан
    Комментировать
  • Какой выбрать маршрутизатор для офиса в 100 человек?

    CityCat4
    @CityCat4 Куратор тега VPN
    Внимание! Изменился адрес почты!
    Микротик однозначно. SNMP есть. Мониторинг есть. Файрволл - линуховый iptables, слегка расширенный, можно использовать все линуховые схемы для прохождения пакетов. Правда, без знания как пакеты идут через iptables все равно микротиковский файрволл освоить будет трудновато.

    Что же до pfSense, то хрен редьки не слаще - он основан на FreeBSD и pf. Человек, не рубящий в линухе, вряд ли справится с FreeBSD :-)
    Ответ написан
    4 комментария