Drno, Вот сейчас даже пробую снова запустить на притунл 443 tcp - не получается. Он пытается прописаться tun на сервак, ему в ответ приходит - Exiting due to fatal error.
Drno, Да в том то и дело видишь, что все пользуются со смартфонов. То есть sstp никак не будет связан с pritunl, верно понимаю? Как отдельный впн получается.
Промежуточный, по типу Shadowsocks или Stunnel? Слышал еще про обход DPI.
tcp 443 порт как-то настраивал давно, он вообще не хотел подключаться. А каким образом я поставлю sstp, если в притунл всего на выбор udp/tcp?
AUser0, Кстати, на самом интерфейсе Pritunl есть тоже возможность добавить route. Скрин приложу. Стоит изначально по умолчанию 0.0.0.0/0. Пробовал удалять ради интереса, при подключенном впн тогда спидтест показывает местную сеть провайдера)) Есно заблокированные ресурсы сразу не работают, остальные сайты да.
А вот для сравнения облачный сервер, с ним проблем никаких не возникает. Видимо они сами изначально там все настраивают.
ip ad
1: lo: mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether 96:00:02:35:a2:c8 brd ff:ff:ff:ff:ff:ff
inet 37.27.7./32 scope global dynamic eth0
valid_lft 75319sec preferred_lft 75319sec
inet6 2a01:4f9:c012:c3ec::1/64 scope global
valid_lft forever preferred_lft forever
inet6 fe80::9400:2ff:fe35:a/64 scope link
valid_lft forever preferred_lft forever
3: tun0: mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 1000
link/none
inet 192.168.230.1/24 brd 192.168.230.255 scope global tun0
valid_lft forever preferred_lft forever
inet6 fe80::d39f:e43f:4b69:a/64 scope link stable-privacy
valid_lft forever preferred_lft forever
ip route
default via 172.31.1.1 dev eth0 proto dhcp src 37.27. metric 100
172.31.1.1 dev eth0 proto dhcp scope link src 37.27. metric 100
192.168.230.0/24 dev tun0 proto kernel scope link src 192.168.230.1
iptables-save
# Generated by iptables-save v1.8.4 on Tue May 23 05:41:45 2023
*nat
:PREROUTING ACCEPT [164784:23515450]
:INPUT ACCEPT [40300:2098942]
:OUTPUT ACCEPT [230:18128]
:POSTROUTING ACCEPT [230:18128]
-A POSTROUTING -s 192.168.230.0/24 -o eth0 -m comment --comment pritunl-646a3398d240e3dad864ed0f -j MASQUERADE
COMMIT
# Completed on Tue May 23 05:41:45 2023
# Generated by iptables-save v1.8.4 on Tue May 23 05:41:45 2023
*filter
:INPUT ACCEPT [14859307:4517652910]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [38964481:45543523395]
-A INPUT -i tun0 -m comment --comment pritunl-646a3398d240e3dad864ed0f -j ACCEPT
-A FORWARD -o tun0 -m comment --comment pritunl-646a3398d240e3dad864ed0f -j ACCEPT
-A FORWARD -i tun0 -m comment --comment pritunl-646a3398d240e3dad864ed0f -j ACCEPT
-A OUTPUT -o tun0 -m comment --comment pritunl-646a3398d240e3dad864ed0f -j ACCEPT
COMMIT
Тут действительно видно, что pritunl прописал еще и свои правила, потому что я их не делал изначально. Либо реально нужно менять маршрутизацию, либо проверять правила(удалять и заново составлять). Поэтому послушаю, что скажут умные люди нубаю.
AUser0, Маскарад реально не помог, как и дроп enp9s0. Только что пришел новый абуз. Причем ругается именно на протокол TCP(у меня в основном сервера на udp). Что еще подметил, абуз приходит уже каждый день примерно в одинаковое время. Тоесть какой-то нехороший юзер на андроиде(скорее всего), заходит каждый вечер после работки и сам не знает, что у него вирусняк или троян. Ну или хитровыдолбанный хакер мамкин в сети завелся. Еще один вариант - я неверно сохранил настройки(хотя проверял, вроде все прописаны в iptables-save).
AUser0, default via dev enp9s0 proto static onlink
192.168.215.0/24 dev tun3 proto kernel scope link src 192.168.215.1
192.168.220.0/24 dev tun4 proto kernel scope link src 192.168.220.1
192.168.221.0/24 dev tun2 proto kernel scope link src 192.168.221.1
192.168.237.0/24 dev tun1 proto kernel scope link src 192.168.237.1
192.168.239.0/24 dev tun0 proto kernel scope link src 192.168.239.1
AUser0, чисто инстаграмчик людям смотреть, канва, и все прочее блоченное. Вопрос еще в другом, если я заблочу туннель, не встанет ли vpn сам? Просто тогда смысл от него будет какой.
AUser0, хорошо, что ты предлагаешь еще сделать? Каким образом я могу заблочить этот трафик на виртуальном интерфейсе vpn канала? Мониторю пока ситуацию, если придет еще один абуз, то есно нужно что-то другое предпринимать.
AUser0, Бро, я тебе больше скажу, ничего не выдумываю, говорю только то, что советовали сами хетцнеры. Они так и написали, что нужно блокнуть исходящий на eth0 диапазон рфц1918.
Valentin Barbolin, и последний вопрос думаю. Важно ли удалить остальные правила или т.к. это правило в начале списка, оно автоматически перебьет остальные? Нужно ли отключить ufw(не будет ли конфликта с iptables) или можно его оставить?