Ответы пользователя по тегу VPN
  • Как организовать VPN?

    ValdikSS
    @ValdikSS
    Организовывайте VPN любым подходящим для вашей цели средством.
    Ответ написан
    Комментировать
  • Ipfire. Как реализован протокол strongswan?

    ValdikSS
    @ValdikSS
    IPsec работает в ядре. Userspace-демон только настраивает соединение.
    Ответ написан
    Комментировать
  • Как получить доступ к домашнему серверу через VPS без VPN?

    ValdikSS
    @ValdikSS
    Протокол CIFS (SMB) не предназначен для работы через интернет — у него нет шифрования, а из-за того, что ранее в нём находилось и эксплуатировалось приличное количество уязвимостей, многие домашние провайдеры блокируют его порты.
    Ответ написан
    Комментировать
  • Можно ли использовать прокси как VPN?

    ValdikSS
    @ValdikSS
    Технически можно, но стоит это делать только в крайних случаях.
    С помощью такого псевдо-VPN нельзя:
    • Использовать ping (нет туннелирования протокола ICMP)
    • Принимать входящие подключения (эффективно использовать p2p-приложения и WebRTC)
    • Обходить NAT (затруднит или полностью нарушит звонки/конференции, WebRTC)
    • Использовать PPTP VPN и другие протоколы, основанные не на TCP и UDP
    • Часть протоколов (например, shadowsocks) туннелирует TCP в TCP, UDP в UDP, но не UDP в TCP (и наоборот) — невозможность использования UDP-протоколов при туннелировании через посредника
    • Определённые сложности в выборе протокола запроса (IPv4/IPv6) или отправки запросов на разные IP-адреса, отличные от тех, что есть в глобальной DNS-записи у конкретного домена (зависит от настроек, так называемый domain sniffing)

    Также для полноценной работы в подобной конфигурации нужно решить вопрос с настройкой DNS, который также каждый решает в меру своих знаний и умений — нередка ситуация, когда работают только A/AAAA-лукапы.
    Прокси-решения подойдут нетребовательным пользователям для браузинга, но не более.

    В линуксе настраивается с помощью redsocks или v2fly.
    Ответ написан
    Комментировать
  • Почему теряется доступ к локальной сети при подключении по Wireguard?

    ValdikSS
    @ValdikSS
    Галочку "Block untunneled traffic" на вашем скриншоте снимите.
    Ответ написан
    1 комментарий
  • Как перекинуть рабочий VPN зарубеж?

    ValdikSS
    @ValdikSS
    Подключите OpenVPN через прокси, всего-то делов. Это штатная возможность OpenVPN, и такой метод туннелирования не блокируют.
    Ответ написан
    Комментировать
  • Каким образом настроить роутинг подсети OpenVPN во внутреннюю сеть?

    ValdikSS
    @ValdikSS
    Необходимо настроить маршрутизацию требуемых диапазонов адресов через VPN-сервер на всех устройствах локальной сети, иначе вы получите асимметричную маршрутизацию, когда пакет с одной из сторон сети доходит до устройства, а устройство не знает правильный маршрут для отправки ответа, и отправляет его через шлюз по умолчанию (в интернет).
    Если ваш VPN-сервер расположен не на самом шлюзе (маршруте по умолчанию), а на другом адресе, необходимо добавить маршруты до сетей через адрес VPN-сервера на всех устройствах локальной сети, и также убедиться в правильности настройки маршрутов у VPN-клиентов.

    Варианты решения проблемы:
    1. Добавить маршрут на роутер в локальной сети до диапазона VPN-сети через IP-адрес VPN-сервера
    2. Добавить маршрут до диапазона VPN-сети всем устройствам локальной сети через IP-адрес VPN-сервера (не обязательно вручную, можно средствами DHCP option 121/249 роутера).


    См. мои комментарии к вопросу Как правильно настроить роутинг openvpn?
    Ответ написан
  • Как использовать MASQUERADE с ipsec туннлем?

    ValdikSS
    @ValdikSS
    Прямой ответ на ваш вопрос: https://docs.strongswan.org/docs/5.9/howtos/forwar...

    Однако это неправильный, сложный подход. Всё, что вам нужно — добавить маршрут к 192.168.97.100 у VPN-клиентов через VPN-туннель, а также убедиться, что маршрутизация этого адреса не заблокирована на Raspberry (VPN-сервере, как я полагаю).
    Ответ написан
    1 комментарий
  • Какой впн будет работать в Китае?

    ValdikSS
    @ValdikSS
    Astrill работает в Китае.
    Ответ написан
    Комментировать
  • Как подключить пк к VPN через телефон?

    ValdikSS
    @ValdikSS
    1. Установить на телефоне прокси-сервер (например, Socks5)
    2. Подключить телефон к компьютеру проводом в режиме модема
    3. На компьютере настроить ПО на использование прокси-сервера с телефона, на IP-адресе телефона
    Ответ написан
  • Как выдавать разные белые ip клиентам через ovpn и потом пробросить порты?

    ValdikSS
    @ValdikSS
    1. Добавьте на VPN-сервере маршрут до необходимого дополнительного IP-адреса через VPN-туннель
    2. Настройте директорию client-config-dir на сервере, в файл клиента добавьте строку iroute дополнительный-ip-адрес — это позволит использовать VPN-клиенту использовать этот IP-адрес в качестве адреса источника (source IP)
    3. Назначьте адрес на VPN-клиенте, добавьте маршрут с его использованием.

    Полагается, что дополнительный IP-адрес на сервер вам приходит маршрутом, а не назначен на интерфейс.
    Ответ написан
    Комментировать
  • Блокировка Openvpn/Wireguard, какой VPN сервер выбрать в качестве альтернативы?

    ValdikSS
    @ValdikSS
    Самый простой вариант, который (пока) не блокируют — OpenVPN TCP через HTTP-прокси. OpenVPN поддерживает работу через прокси без дополнительных программ, поэтому настройка сводится к:
    • Установке прокси-сервера на сервере (настройте его так, чтобы доступ был разрешён только к IP-адресу и порту VPN-сервера)
    • Добавлению директивы http-proxy в конфигурационный файл клиента


    Вообще, OpenVPN TCP можно туннелировать в любом другом слое или протоколе. Самый очевидный и популярный вариант — stunnel.
    Альтернативный подход, не столь надёжный, зато применяемый на стороне и клиента, и сервера — нарушение определения VPN-протокола до блокировки сессии. Примеры: 1, 2.
    Ответ написан
    Комментировать
  • Как расшарить программный ВПН?

    ValdikSS
    @ValdikSS
    Сделайте из компьютера роутер (включите в Windows функции маршрутизации), а на устройствах укажите IP-адрес компьютера в качестве шлюза.
    Также можно установить виртуальную машину, например, с Linux, на которой настраивать такие функции проще, и настроить аналогичным образом.
    Ответ написан
    Комментировать
  • Как настроить L2TP на Debian?

    ValdikSS
    @ValdikSS
    Но в каком файле прописать, в каком формате, и главное что? :D

    /etc/ppp/chap-secrets, формат описан в самом файле. Ваш выглядит нормально, возможно, спецсимвол мешает. Попробуйте взять пароль в двойные кавычки:
    user1 l2tp-vpn "my@password" *
    user2 l2tp-vpn "my@password2" *


    Вполне возможно, что причина только в этом.
    Ответ написан
  • Как сделать обратный доступ к клиенту wireguard от локальной сети за keenetic с встроенным сервером wireguard?

    ValdikSS
    @ValdikSS
    Необходимо добавить маршрут до диапазона 172.16.1.0/24 через шлюз 192.168.13.96 на все устройства в сети 192.168.13.0/24.
    Аналогичный маршрут добавить до диапазона 172.16.82.1/24, если планируете получать доступ к сети 192.168.13.0/24 с адресов VPN.
    Сделать это можно автоматически, DHCP-опциями 121 и 249.

    Сейчас у вас пакеты доходят до устройств назначения, но устройства шлют ответный пакет через шлюз по умолчанию, который не знает о вашем VPN.

    Также можно добавить подобный маршрут на сам роутер (который у вас выступает шлюзом по умолчанию в 192.168.13.0/24). Это неоптимально, но будет работать, также роутер будет отправлять ICMP Redirect'ы компьютерам.
    Ответ написан
    6 комментариев
  • Как проверить, что wireguard не заблокирован?

    ValdikSS
    @ValdikSS
    Самый простой вариант — отправить любой мусор первым UDP-пакетом, а затем устанавливать соединение.

    1. В конфигурационном файле клиента задать статичный ListenPort, например, ListenPort = 56789
    2. Выполнить
    sudo nping --udp --count 1 --data-length 16 --source-port 56789 --dest-port DEST_PORT DEST_IP

    3. Подключаться.

    https://ntc.party/t/wireguard/4968/6
    Ответ написан
    5 комментариев
  • Как запустить VPN из-под нескольких учётных записей?

    ValdikSS
    @ValdikSS
    Речь про VPN, перенаправляющий трафик (устанаилвающий маршрут по умолчанию)?
    Настройте соединения так, чтобы они не перезаписывали, а добавляли маршруты, с метрикой маршрута выше основного соединения — так у вас не будет маршрутизироваться трафик через VPN по умолчанию.
    Каждую отдельную программу настройте на использование (bind) конкретного интерфейса VPN — таким образом вы сможете маршрутизировать трафик через необходимый интерфейс.
    Ответ написан
    Комментировать
  • Как не сломать ВПН, закрывая порты?

    ValdikSS
    @ValdikSS
    Установите пакет xtables-addons-common (или аналогичный в вашем дистрибутиве) и настройте модуль ipp2p на блокировку Bittorrent-трафика:
    iptables -A FORWARD -m ipp2p --bit -j DROP

    Он несколько старенький, но умеет блокировать и классический Bittorrent, и DHT, но насчёт µTP не уверен. Он точно не блокирует обфусцированный TCP Bittorrent.
    Ответ написан
  • Существует ли бесплатный VPN сервер и клиент c 2FA?

    ValdikSS
    @ValdikSS
    Для StrongSwan (IPsec-сервер и клиент) есть, например, https://github.com/m-barthelemy/vpn-webauth
    Сторонние методы аутентификации можно приделать почти к любому протоколу и серверу, а уже в них реализовывать проверку доп. факторов.
    Ответ написан
  • Как сделать прозрачный VPN?

    ValdikSS
    @ValdikSS
    Если оба сервера (VPN и веб-сервер) ваши, то задачу можно решить IPsec IKEv2 в режиме без выдачи IP-адресов. На VPN-сервере добавятся специальные правила маршрутизации, которые маршрутизируют IP-адрес и порт клиента без подмены адреса.
    Ответ написан