• Как настроить доступ к внутренним ресурсам через VPN?

    @Tilk
    эникейщик-МегаЛамер
    Я тут в соседнем вопросе на эту тему намутил ответ: Как достучаться до машины в VLAN сети за OpenVPN сервером?
    Это будет фактически, минимальной конфигурацией для бесплатного сервера OpenVPN.
    Как к этому прикрутить TLS есть куча манов в рунете. Да и как настроить с нуля тоже, собственно.
    Ответ написан
    Комментировать
  • Как достучаться до машины в VLAN сети за OpenVPN сервером?

    @Tilk
    эникейщик-МегаЛамер
    ИМХО:
    Общие рекомендации:
    - Лучше всё же использовать tun - так получается гибче настройка доступа в подсеть(и) с клиента.
    - Сменить порт по умолчанию на какой-либо другой.
    - Начать использовать TLS-шифрование как можно быстрей. Там всё просто.

    На сервере почти минимальная конфигурация:
    dev tun
    local х.х.х.х - внешний ип, на котором слушаем
    port хххх - порт, на котором слушаем с внешнего интерфейса
    proto udp
    server 192.168.168.0 255.255.255.0 - виртуальная подсетка, в которой клиенты работают с сервером
    push "route 192.168.0.0 255.255.255.0" - реальные сетки за серваком
    push "route 192.168.1.0 255.255.255.0"
    route 192.168.168.0 255.255.255.252
    client-config-dir ccd - автоматическая запись маршрута до клиента.
    client-to-client - для доступа напрямую к клиентам. [Эта и предыдущая опции - суть ответ на твой вопрос]
    comp-lzo - параметр сжатия трафика
    keepalive 10 120
    tun-mtu 1500
    mssfix 1450 - ограничение посылаемых пакетов от клиентов (только при использовании udp)
    verb 3 - для информативности логов.
    ============
    На клиенте:
    dev tun
    remote х.х.х.х хххх - внешний ип сервера и наш нестандартный порт.
    proto udp
    comp-lzo
    tun-mtu 1450
    mssfix
    verb 3
    =======
    Запускаем, смотрим логи.
    Больше никаких шаманств. На файрволе должен быть доступен порт, который мы используем.
    UPD: Не знаю, как там у пингвинов, а у демонов больше ничего настраивать не нужно (ни фаеров ни маршрутизаций левыми командами) /Навеяно первым ответом и комментариями к нему/
    Ответ написан
    Комментировать
  • FreeBSD. Squid, прозрачный прокси. Почему работает только HTTPS?

    @Tilk
    эникейщик-МегаЛамер
    И никто не говорит про версию сквида, а это важно. Синтаксис для мажорных версий различается. Все везде пишут устаревшее transparent, свойственное для 2х-версий, вместо intercept, которе используется в последних.
    "http_port 127.0.0.1:3128 intercept" попробуйте написать.
    Логи так же, видимо, не изучаются.
    Ответ написан
    Комментировать
  • Squid на FreeBSD. Почему не настраивается прозрачность?

    @Tilk
    эникейщик-МегаЛамер
    Откуда все берут строку "http_port 3128 transparent"? Что за версия сквида? "http_port 127.0.0.1:3128 intercept" надо писать. transparent был на версии 2х.
    Ответ написан
    Комментировать
  • Как закрыть доступ к "vk" в Freebsd?

    @Tilk
    эникейщик-МегаЛамер
    Если по каким-либо причинам не используется прокси, то вот Вам отличный макет:
    1) создать таблицу в файле, описывающем ип-адреса Контакта.
    2) написать скрипт, обрабатывающий команду "nslookup -ls -d vk.com ns1.vkontakte.ru"
    - считать файл с адресами в хеш;
    - 100 раз запустить команду и заносить в хеш ипы, полученные в результате.
    - записать ипы из хеша в файл.
    3) По крону запускать скрипт и подгружать правила файрвола 1 раз в день.

    Уже на следующий день контактники обломаются и проблема начнёт исчезать по экспоненте.
    Ответ написан
    Комментировать
  • Почему mysql не подключается к удалённой базе mysql?

    @Tilk
    эникейщик-МегаЛамер
    1) Сервер mysql по умолчанию позволяет заходить только с localhost. Нужно изменить разрешения для пользователя или создать нового с соответствующими привилегиями.
    2) Удалённый сервер закрыт файрволом.
    3) То, о чём пишет Григорий =)
    Ответ написан
    Комментировать
  • Squid на FreeBSD работает неправильно. Где ошибка?

    @Tilk
    эникейщик-МегаЛамер
    Правило http_access deny CONNECT !SSL_ports предписывает сквиду блокировать всё, кроме https.
    Ответ написан