Задать вопрос
ValdikSS

ValdikSS

Комментарии

  • Как запустить загрузочную флешку с windows?

    ValdikSS
    @ValdikSS
    Алексей Черемисин, Если у вас это действительно работает, то производитель вашего UEFI добавил нестандартные решения для удобства загрузки ISO9660 с не-CD-носителя. Это не стандарт, и ожидать, что это заработает на других компьютерах, не следует. Это редко где встречается.
    Написано

  • Как получать уведомления о новых сообщениях из Viber на почту?

  • Закрыли почту на mail.km.ru (freemail.ru) почему???

    ValdikSS
    @ValdikSS
    Некуда написать об этом кроме как в воздух
    Пробовали написать, ну может быть, владельцам?
    https://www.km.ru/about/kontakty
    Написано

  • Не могу понять почему ikev2 на роутере keenetic постоянно рвется?

    ValdikSS
    @ValdikSS
    asmelnik,
    Если есть назначение ip внутри туннеля, то это почти наверняка l2tp+ipsec.
    Наоборот: IPsec-соединение в случае L2TP устанавливливается в транспортном режиме (без выдачи IP-адреса), а само PPP-соединение обслуживал бы сторонний демон, вроде xl2tpd, чего не видно в логах.

    И l2 таки там есть со всеми вытекающими
    L2TP тоже туннелирует только IP, несмотря на вводящее в заблуждение название — протокол создавался для установки туннеля поверх L2-инфраструктуры других операторов, чтобы пробросить пользователя в свою сеть.
    Технически в L2TP есть поддержка bridging protocol, а в L2TPv3 поддержка туннелирования Ethernet-фреймов, но в Windows и то, и то не поддерживается.

    Кстати "Адаптер PPP" говорит именно об этом
    Это действительно странно, не помню, чтобы Windows отображал IPsec-соединение как PPP.
    Написано

  • Не могу понять почему ikev2 на роутере keenetic постоянно рвется?

    ValdikSS
    @ValdikSS
    asmelnik, Это мало того, что L3-туннель, где нет шлюза как такового (нет L2-связности), да еще и IPsec, который работает как прослойка между маршрутизацией и IP-стеком.

    Клиент ходил с одного IP "94.73.250.34", и вдруг решил заглянуть с "192.168.20.7".
    Это не так. Лог отображает назначенный IP-адрес внутри IPsec-туннеля: 192.168.20.7. Соединение устанавливается с адреса 94.73.250.34. Вы неверно читаете лог.

    Скорее всего, проблема вызвана неудавшимся renegotiation'ом, возможно, из-за проблем с выбором шифра во время renegotiation. Автор, см. https://wiki.strongswan.org/projects/strongswan/wi... и https://docs.strongswan.org/docs/5.9/interop/windo...
    Написано

  • Как повлиять на провайдера?

    ValdikSS
    @ValdikSS
    Используйте VPN в дата-центре с лучшей связностью, до которого у вас низкий пинг.
    У МТС феноменально плохая связность по стране, трафик внутри страны часто маршрутизируется через Европу. Странно, что в вашем случае Ростелеком еще хуже — хуже МТС я никого не видел.

    Решал проблему VPS'ом в датацентре соседней области, до которого у МТС был прямой канал. Это позволило заметно снизить пинг.

    Протестировать пинг до заданных направлений можно через системы Looking Glass, которые предоставляются площадками. Сайт-каталог с собственными Looking Glass у разных хостеров — https://looking.house/
    Написано

  • Каким образом настроить роутинг подсети OpenVPN во внутреннюю сеть?

    ValdikSS
    @ValdikSS
    somebsomew, ничего не понятно. Зачем вы пытаетесь пинговать сервер в локальной сети через tun-интерфейс, когда этот сервер напрямую подключён через другой, физический интерфейс? Так, разумеется, работать не будет.
    Написано

  • Каким образом настроить роутинг подсети OpenVPN во внутреннюю сеть?

    ValdikSS
    @ValdikSS
    somebsomew, убедитесь, что:
    1. VPN-сервер настроен на маршрутизацию трафика
    2. У VPN-клиентов также есть маршрут до диапазона локальной сети
    Написано

  • Какой и где взять дистрибутив Linux под старый ноутбук?

  • Ошибка в разработке сценария, как исправить?

    ValdikSS
    @ValdikSS
    Код должен быть не картинкой.
    Написано

  • Когда прописываю команду crontab -e мне открывает как обычный файл без ничего, что делать?

    ValdikSS
    @ValdikSS
    Это и есть обычный файл. Если у вас нет cron-заданий, то он и должен быть пустым. Это не проблема и не ошибка.
    Написано

  • Как правильно настроить роутинг openvpn?

    ValdikSS
    @ValdikSS
    Андрей, Да. Если вам нужна только передача данных между клиентом 1 VPN-сервера и клиентом 2 VPN-сервера, то не нужны никакие route и push route ни в одном из конфигурационных файлов, не нужен NAT, не нужны настройки DNS. Даже iptables и forwarding не нужен, если добавите client-to-client в OpenVPN-конфигурацию на сервер.
    Написано

  • Как правильно настроить роутинг openvpn?

    ValdikSS
    @ValdikSS
    Андрей, вы подключаетесь к VPN-серверу с клиента 2? Почему раньше не сказали. Тогда вам ничего дополнительно в плане маршрутов делать не нужно.
    Написано

  • Как правильно настроить роутинг openvpn?

    ValdikSS
    @ValdikSS
    Андрей,
    а пока что Клиент 1 видит Клиент 2, но при этом Клиент 2 не видит Клиент 1.

    Это потому что вы настроили NAT, но не добавили маршрут до клиента 1 на клиент 2.

    Откатитесь до конфигурации, описанной в изначальном посте (без NAT), уберите redirect-gateway, уберите block-outside-dns, уберите dhcp-option DNS, уберите "push "route 192.168.1.0 255.255.255.0"", и добавьте маршрут до IP-адреса клиента 1 на роутер через 192.168.0.55, либо добавьте статический маршрут в настройки DHCP роутера до IP-адреса клиента 1 через 192.168.0.55 (и запросите обновление IP-адреса на клиенте 2), либо просто вручную на клиенте 2 добавьте такой статический маршрут средствами ОС.
    После чего обращайтесь к клиенту 1 с клиента 2 по его VPN-адресу 10.8.0.2 (скорее всего), а к клиенту 2 с клиента 1 по адресу в локальной сети (192.168.0.x).
    Написано

  • Как правильно настроить роутинг openvpn?

    ValdikSS
    @ValdikSS
    Андрей,
    это и пытался сделать добавив в настройки сервера
    "push "route 192.168.1.0 255.255.255.0""

    Эта команда равносильна добавлению route 192.168.1.0 255.255.255.0 в конфигурационный файл VPN-клиента, т.е. заставит клента 1 «искать» сеть 192.168.1.0/24 в VPN-туннеле, хотя эта сеть у него уже на физическом интерфейсе. Вам это не нужно.
    Написано

  • Как правильно настроить роутинг openvpn?

    ValdikSS
    @ValdikSS
    Андрей, тогда я не понимаю вашу фразу:
    какраз и нужно что бы Клиент 2 увидел сеть в которой живет Клиент 1.

    Вы хотите из сети «клиента 2» обращаться к «клиенту 1», но по его IP-адресу в сети 192.168.1.0/24, а не VPN-сети 10.8.0.0/24? В таком случае добавьте /32-маршрут до IP-адреса клиента 1 на компьютеры сети клиента 2, скорректировав из второго сообщения. iroute вам добавлять также не потребуется.
    Написано

  • Как правильно настроить роутинг openvpn?

    ValdikSS
    @ValdikSS
    Андрей, в вашем случае NAT неуместен, он только добавит неразберихи. redirect-gateway вам тоже не нужен — он для маршрутизации всего трафика через VPN, а не для объедения сетей.
    Написано

  • Как правильно настроить роутинг openvpn?

    ValdikSS
    @ValdikSS
    Андрей, Правильно ли я понимаю, что клиент 1 это роутер, в сеть которого нужно получить доступ из сети клиента 2?
    Тогда в дополнение к предыдущим советам нужно еще:
    1. Добавить маршрут до 192.168.1.0/24 на роутере или всех компьютерах сети «клиент 2»
    2. На OpenVPN-сервере настроить client-config-dir, в конфигурационный ccd-файл клиента 1 добавить: iroute 192.168.1.0 255.255.255.0
    3. Из настроек OpenVPN-сервера убрать push "route 192.168.1.0 255.255.255.0", добавить route 192.168.1.0 255.255.255.0


    Если Клиент 1 — не роутер, а какой-то компьютер за необозначенным роутером, обслуживающим сеть «клиента 1», компьютеры которой также должны коммуницировать с сетями за VPN, то тогда и на необозначенный роутер нужно добавить соответствующие маршруты через «клиента 1», либо добавить их на все компьютеры сети, так же, как описано выше для сети «клиента 2».

    Обратите внимание, что многопользовательские L3-туннели (в т.ч. OpenVPN TUN, WireGuard) не позволяют указывать IP-адрес, через который происходит маршрутизация (ip route … via 10.2.0.100) — эта опция требует L2-связности. Многопользовательские L3-серверы требуют конфигурации внутренней маршрутизации (опция iroute в OpenVPN, AllowedIPs в WireGuard), поэтому новичку для связи серверов/маршрутизаторов лучше использовать простые Peer-to-peer L3-туннели без собственных подсистем маршрутизации и проверок адреса источника: IPIP, GRE, L2TP, либо L2-туннели (но это может добавить проблем с маршрутизацией и безопасностью).
    Написано

  • Как правильно настроить роутинг openvpn?

    ValdikSS
    @ValdikSS
    Ваша топология непонятна, и полагаю, что неточность рисунка вызвана непониманием устройства сети.
    Если исходить из предположения, что 10.8.0.Х — сеть VPN-интерфейса, а 192.168.0.Х — сеть устройств, подключённых к роутеру, а задача в том, чтобы «клиент 2» имел доступ к сеть 10.8.0.Х, то варианта два (на выбор):
    1. Добавить маршрут до 10.8.0.0/24 через 192.168.0.55 на роутер
    2. Добавить маршрут до 10.8.0.0/24 через 192.168.0.55 на «клиент 2» (не обязательно вручную, можно средствами DHCP option 121/249 роутера).


    Также на обоих клиентах отваливается глобальный интернет при подключении к впн. Пинг не идет ни на google.com ни на 8.8.8.8.
    Уберите push "redirect-gateway def1" из конфигурационного файла.

    Также непонятно, что за сеть 192.168.1.x и почему клиенту VPN сообщается до неё маршрут. Это какой-то дополнительный и уже настроенный туннель между роутером и «клиентом 1»?

    Для отладки маршрута используйте ip get, а для проверки прохождения пакетов и их заголовков — tcpdump.
    Написано

  • Как получить доступ из LAN к серверу в WAN?

    ValdikSS
    @ValdikSS
    На схеме отсутствует WAN. У вас прямое подключение обоих компьютеров? Убедитесь, что разрешена маршрутизация между зонами, в которых находятся компьютеры, либо назначьте им одну зону.
    Также неясно, какую роль выполняет NAT в этой конфигурации, и как он настроен.
    Написано