Задать вопрос

agpecam

Комментарии

  • Почему компьютеры перебирают IP адреса?

    @agpecam
    Кто-то врубил свой роутер в вашу сеть и он раздает IP по DHCP. Обычно это всякие технические шныри, типа поддержки, сервис-центра и т.д. и т.п., которые специалисты в своем оборудовании, но профаны в сетях. Сеть у вас, надеюсь, не 192.168.0.0/24?
    Написано

  • Почему не пингуется локалка за VPN?

    @agpecam
    Ziptar, давайте посмотрим конфиги сгенеренные pfSense:
    Remote Access (SSL/TLS + User Auth):

    dev ovpns1
verb 1
dev-type tun
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp4
auth SHA1
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
client-connect /usr/local/sbin/openvpn.attributes.sh
client-disconnect /usr/local/sbin/openvpn.attributes.sh
local 134.19.xxx.xxx
tls-server
server 172.27.1.0 255.255.255.0
client-config-dir /var/etc/openvpn/server1/csc
username-as-common-name
plugin /usr/local/lib/openvpn/plugins/openvpn-plugin-auth-script.so /usr/local/sbin/ovpn_auth_verify_async user TG9jYWwgRGF0YWJhc2U= true server1 1194
tls-verify "/usr/local/sbin/ovpn_auth_verify tls 'openvpn-s1' 1"
lport 1194
management /var/etc/openvpn/server1/sock unix
remote-cert-tls client
capath /var/etc/openvpn/server1/ca
cert /var/etc/openvpn/server1/cert 
key /var/etc/openvpn/server1/key 
dh /etc/dh-parameters.1024
data-ciphers AES-256-GCM:AES-128-GCM:AES-128-CBC
data-ciphers-fallback AES-128-CBC
allow-compression asym
persist-remote-ip
float
topology subnet


    - здесь есть client-config-dir /var/etc/openvpn/server1/csc - т. е. в терминах pfSense - Client Specific Overrides, где и прописаны маршруты в сеть клиента.

    Peer to Peer ( SSL/TLS ):

    dev ovpns5
verb 1
dev-type tun
dev-node /dev/tun5
writepid /var/run/openvpn_server5.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp4
auth SHA1
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local 134.19.xxx.xxx
tls-server
server 172.27.5.0 255.255.255.0
client-config-dir /var/etc/openvpn/server5/csc
ifconfig 172.27.5.1 172.27.5.2
tls-verify "/usr/local/sbin/ovpn_auth_verify tls 'openvpn-s1' 1"
lport 1196
management /var/etc/openvpn/server5/sock unix
route 192.168.55.0 255.255.255.0
capath /var/etc/openvpn/server5/ca
cert /var/etc/openvpn/server5/cert 
key /var/etc/openvpn/server5/key 
dh /etc/dh-parameters.1024
data-ciphers AES-128-GCM:AES-128-CBC
data-ciphers-fallback AES-128-CBC
allow-compression asym
persist-remote-ip
float
topology subnet
reneg-sec 0


    - здесь есть route 192.168.55.0 255.255.255.0 - маршрут в сеть клиента, даже, не смотря на то, что клиент по сути один
    https://community.openvpn.net/openvpn/wiki/RoutedLans
    Написано

  • Почему не пингуется локалка за VPN?

    @agpecam
    Ziptar, а что по-вашему мешает нескольким клиентам подключаться к одному серверу в режиме tun? И как различать какая за кем сеть? В pfSense есть даже специальный режим Remote Access (SSL/TLS + User Auth) и он таки может быть tun. И для него приходится прописывать сети за клиентами в Client Specific Overrides, а клиенты различаются по common name в их сертификатах. То же самое справедливо для режима Peer to Peer ( SSL/TLS ), как у автора, что конечно несколько контринтуитивно и Client Specific Overrides в этом случае действительно не нужно, но, тем не менее такова реализация в данном конкретном случае
    Написано

  • Почему не пингуется локалка за VPN?

    @agpecam
    В pfSense в настройках сервера пропишите IPv4 Remote Network/s: 192.168.11.0/24 - у OpenVPN есть внутренний маршрутизатор, системных маршрутов в сеть клиента недостаточно
    Написано

  • Как включить NAT в локальной сети на маршрутизаторе TP-LINK Archer AX-50?

    @agpecam
    Jacute, ну с такими запросами надо либо роутер посерьезнее, типа микротика, либо виртуализировать все, включая роутер и хосты.
    Чтобы понять как у них сеть устроена, неплохо было бы увидеть ip route show table all с рабочей машины участника соревнований)
    Написано

  • Настройка BIOS DELL?

    @agpecam
    чаще всего диск надо переключить обратно IDE <-> AHCI
    Написано

  • Как включить NAT в локальной сети на маршрутизаторе TP-LINK Archer AX-50?

    @agpecam
    Артём, понятия WAN и LAN - это как "синтаксический сахар" в программировании - когда для удобства пользователя за него заранее делаются настройки для наиболее частых сценариев использования. В SOHO-роутерах плохо то, что их нельзя отменить. А так, в нормальном роутере нет никаких WAN и LAN. Есть только интерфейсы, между которыми он гоняет трафик и на любом из них можно сделать и DNAT, и SNAT. Поэтому никакого специального названия для SNAT на LAN действительно нет.
    В чем смысл вашей задачи? Почему нужно, чтобы они общались через роутер?
    Написано

  • Почему postfix падает во время TLS handshake?

    @agpecam
    Сергей Соловьев, яндекс, как и другие, и как и ваш сервер, используют explicit tls - т. е. яндекс сначала открытым текстом говорит: а давай STARTTLS? А ваш сервер такой - а давай! После этого происходит tls handshake. Директива: smtp_tls_wrappermode=yes заставляет ваш сервер использовать implicit tls - т. е. он без предварительной договоренности сразу начинает tls handshake, а они не понимают с чего такая борзота
    Написано

  • Почему postfix падает во время TLS handshake?

    @agpecam
    SunTechnik, использует, STARTTLS
    Написано

  • Почему postfix падает во время TLS handshake?

    @agpecam
    Сергей Соловьев, Какое cn в сертификате? mail.ashblade.ru != ashblade.ru. Я бы на вашем месте закомментировал всю секцию smtp_ и добился чтоб письма ходили, а потом уже санкции вводил
    Написано

  • Настройка доступа из вне к NASу?

    @agpecam
    Предположу, что проброс портов не на том интерфейсе делаете, надо на WAN делать - ppp0 или что там у вас. По поводу IP роутера (это же eltex, да?), зайдите в Статус -> Статус WAN и посмотрите там серый он или нет (10.x.x.x, 172.16-31.x.x, 192.168.x.x, 100.64-127.x.x)
    Написано

  • Как направить трафик с одного интерфейса на другой?

    @agpecam
    ganzales, Не надо from 192.168.1.11, внутри сервера нет транзитных пакетов с этим адресом источника. Должно быть from IP-"другого устройства", для которого 192.168.1.11 - шлюз. И via 192.168.2.5 - тоже не IP tun0, если вдруг у вас это он.
    Написано

  • Возможно ли пробросить подсети белых IP через L3-туннель?

    @agpecam
    IPMI, Мда.. Зайдем с другого конца, какую сеть вам официально выделил провайдер? Я вижу 40.174.50.0/24, но что-то сомневаюсь, что амазон вам такое дал
    Написано

  • Возможно ли пробросить подсети белых IP через L3-туннель?

    @agpecam
    IPMI, Прямо /32? Я думал только OVH этим балуется. Нет смысла скрывать последний октет IP адреса, если уж выложили подсеть. Какой именно белый IP у vds и какой у него IP default gateway?
    Написано

  • Возможно ли пробросить подсети белых IP через L3-туннель?

    @agpecam
    Что за L3-туннель? Что за белая подсеть? "Плоская", включающая белый IP vds, или "сеть за сетью" (routed subnet)? Если туннель - OpenVPN, прописываете на vds маршрут в белую подсеть через туннельный IP openwrt. На openwrt одному из интерфейсов LAN/DMZ присваиваете второй IP белой подсети. Подключаете к этому интерфейсу хосты, раздавая им остальные IP белой подсети и указывая им IP, который навесили на openwrt, в качестве default gateway. Если провайдер vds дал вам routed subnet, то на этом все (естественно трафик должен быть везде разрешен, а внутренний роутинг OpenVPN соответствующим образом настроен). Если сеть "плоская", то бъете ее не 2 части: первая /30 - под белый IP vds и его default gateway. Остальное будет ваша "белая подсеть", но для нее надо будет настроить ProxyARP на WAN vds
    Написано

  • Как мониторить ip адреса из внешней сети, который попадают на мой домашний сервер?

    @agpecam
    FlaysTW, Роутер - г-но. Если подключаетесь извне, он должен сделать DNAT, подменяя адрес назначения с внешнего IP роутера на 192.168.0.11. Но он, помимо этого, непонятно зачем (на самом деле понятно, им так проще бороться с асимметричной маршрутизацией), подменяет и адрес источника на адрес роутера в LAN
    Написано

  • Как мониторить ip адреса из внешней сети, который попадают на мой домашний сервер?

    @agpecam
    FlaysTW, А что за роутер-то? Причина почему сервер видит IP роутера может быть в том, что на роутере зачем-то настроен SNAT на локальном интерфейсе
    Написано

  • 17 секунд задержка на первый запрос к серверу?

    @agpecam
    РКН
    Написано

  • Как мониторить ip адреса из внешней сети, который попадают на мой домашний сервер?

    @agpecam
    Что за "Диапазон удаленных портов 56777"? Удаляйте это, вы не можете знать какой порт у клиента, клиент выбирает его случайно. Что за модель роутера и откуда подключаетесь по ssh - извне или из домашней сети?
    Написано

  • WAN pfSense - NAT - VPN - Outbound?

    @agpecam
    Arslanrus, надо указать 10.10.0.1/32 - адрес впн сервера. OpenVPN - это не совсем интерфейс в pfSense, а скорее имя группы интерфейсов
    Написано