Задать вопрос
  • Как направить трафик с одного интерфейса на другой?

    @agpecam
    Ответ написан
    Комментировать
  • POSTROUTING Теряется реальный IP, какие есть вариаты решений?

    @agpecam
    Теоретически возможно, если прописать (91.91.91.91 VPN 10.8.0.1) в качестве default gateway для pfSense. На 91.91.91.91 прописываете маршрут в 192.168.10.0/24 через удаленный IP тунеля 10.8.0.1??? - чего это, кстати, они у вас на обоих концах одинаковые? Далее делаете DNAT 91.91.91.91 -> 192.168.10.39, а на pfSense просто разрешаете этот трафик
    Ответ написан
    Комментировать
  • Что делает приведенное регулярное выражение?

    @agpecam
    1) (.*) 0 или больше любых символов, кроме перевода строки, 2) (\.) точка, 3) (\{) скобка'{' экранированная не понятно зачем, 4) (.+) 1 или больше любых символов, кроме перевода строки, 5) (\}) скобка'}' экранированная не понятно зачем, 6) (.) 1 любой символ, кроме перевода строки
    Ответ написан
  • Что делать если не срабатываю правила файрвола на кинетик ультра?

    @agpecam
    Правила в бытовых устройствах обычно работают с входящим трафиком. Так что, смысла фильтровать блокируемое устройство на интерфейсе WG нет никакого - для кинетика входящий трафик от устройства приходит с home segment.

    Но. Например ютуб работает на этом устройстве, никчему больше я неподключен(К другому впн)
    Собственно вопрос, почему так? Можно ли настроить политику так как нужно мне?
    (У меня получилось ограничить доступ к ютуб и прочим сервисам на устройсвах только поставив ограничение на wg интерфейс в политиках)


    Так получилось или не получилось? Ничего не понятно...
    Ответ написан
  • В браузере brave определяется двухсторонний пинг на 2ip, а в хроме нет. Почему и как обойти?

    @agpecam
    В хроме запрещен JavaScript или какое-то расширение его режет. Проверка на двусторонний пинг осуществляется примерно так: вы заходите на 2ip с адреса vps, 1) 2ip пингует адрес vps и засекает время ответа. 2) код страницы 2ip в вашем браузере на домашнем компе дергает пустую страницу с сайта 2ip. Пишут, что с помощью XMLHttpRequest, но я бы на это не полагался. Время ответа опять засекается. Так как ваш домашний комп объективно дальше от сервера 2ip, чем vps из-за туннеля ( t(browser -> vps -> 2ip) больше, чем t(vps -> 2ip)), вы палитесь на этом тесте. Глобально можно просто дропать ICMP Echo Request на vps, чтобы 2ip не мог выполнить п. 1)
    Ответ написан
    Комментировать
  • Как разделить два маршрута в таблице маршрутизации windows?

    @agpecam
    OpenVPN клиент с опцией 'redirect-gateway def1' помещает в таблицу маршрутизации 2 маршрута:
    0.0.0.0 128.0.0.0 10.96.0.1 и 128.0.0.0 128.0.0.0 10.96.0.1, переопределяя таким образом default gateway, так как longest prifix match - бОльшая маска (/1 > /0) всегда побеждает. Через первый маршрут идет трафик к IP, у которых старший бит равен 0, через второй - 1.
    В эту игру можно играть вдвоем, переопределяя переопределенное, хоть до посинения. Сделайте батник с route add
    0.0.0.0 192.0.0.0 10.14.192.1
    64.0.0.0 192.0.0.0 10.14.192.1
    128.0.0.0 192.0.0.0 10.14.192.1
    192.0.0.0 192.0.0.0 10.14.192.1
    - у вас будет маска /2 и все полетит в обход впн, ну и второй батник с route del не забудьте)
    Ответ написан
    Комментировать
  • Как настроить проброс ARP пакетов (ARP-proxy) через OpenVPN туннель Mikrotik-Mikrotik?

    @agpecam
    Мы не знаем достоверно как "обнюхиваются" приложение и телевизор. Broadcast-arp - это может быть просто следствием пробы определенных портов. Ок, если предположить, что приложение ищет в сети устройства определенного производителя по первым 3 октетам MAC, то значит оно сканирует все IP подсети, к которой подключено. Иных способов, кроме ARP запрос who has IP... для получения MAC протокол ARP не предполагает. В этом случае, во-первых, у вас телевизор в другой подсети, а во-вторых ARP-proxy на такой запрос ответит своим MAC, а не MAC телевизора с закономерными последствиями. Если ищет перебором IP : some port и в приложении нет возможности задать не свою подсеть - результат тот же.
    Вам по сути нужно поместить сети офисов в один L2 сегмент, т. е. на микротиках сделать OpenVPN mode: ethernet, внести tap интерфейсы в bridge локальной сети и дать понять приложению, что удаленная сеть находится с ним в одном L2 сегменте, например, с помощью DHCP option 121, т. е. переделать всю сеть ради телевизора. Оно вам надо?
    Ответ написан
    1 комментарий
  • Какой оптимальный способ попасть в домашнюю сеть снаружи?

    @agpecam
    На работе по любому белый адрес. Просто дома принимаешь соединения извне только с него и не нужен никакой впн
    Ответ написан
    Комментировать
  • Доступ в интернет через 2 MikroTik, как?

    @agpecam
    172.27.180.200 не знает, что сеть 192.168.0.0/24 находится за 172.27.180.202
    Ответ написан
    1 комментарий
  • Как найти ошибку в маршруте?

    @agpecam
    А чего там искать? В первом случае у вас метрика 3 на 192.168.3.81, во втором - 200 и все лезет через 192.168.0.81, у которого метрика 25. Гоните баксы. Вообще принято описывать изначальную задачу, а не то, что у вас там вышло в результате рандомных действий. Что происходит, что делали, чего пытались добиться?
    Ответ написан
    2 комментария
  • Какую платформу лучше выбрать для OpenVPN сервера?

    @agpecam
    pfSense - все в гуе, дока, возможность выбора железа под любые нагрузки, простота.

    66b367f5bdd84513799187.png
    Ответ написан
  • Почему не работает PUSH_ROUTE?

    @agpecam
    Одинаковые подсети по разные стороны туннеля - изначально плохой сетап, вы уже имеете с ним эту проблему. Если так уж хочется и по-другому никак, то пушьте отдельные хосты, а не подсеть. Например, push "route 192.168.0.254 255.255.255.255" - большая маска играет роль. Естественно, это костыль и IP пропушенных хостов не должны иметься в сети клиента
    Ответ написан
  • Как выходить в интернет по gateway, который имеет ip адрес в другой подсети?

    @agpecam
    Не понятна топология сети. Если хосты разных подсетей находятся в одном L2 сегменте (грубо говоря, включены в один свитч, просто у одних адреса 10.0.0.x, а у других - 10.1.1.x), то хостам с адресами 10.1.1.x нужно просто сказать, что gateway доступен им на канальном уровне. Это можно сделать либо с помощью DHCP option 121 (router=0), либо порописать маршруты руками, типа: ip route add 10.0.0.0/24 dev eth0. После этого хосты с адресами 10.1.1.x будут, используя ARP, находить MAC 10.0.0.1, а больше им ничего и не нужно.
    Ответ написан
    3 комментария