Задать вопрос

res2001

Developer, ex-admin
Комментарии

  • K-ая порядковая статистика. В чем проблема?

    @res2001
    Посмотрите реализацию алгоритма quickselect
    Написано

  • Установка stunnel какой порт использовать?

    @res2001
    dminster94, stunnel не скрывает трафик под HTTPS, он скрывает трафик под SSL. Писал об этом в первых ответах. SSL - сам по себе шифрованный протокол, под ним может скрываться какой угодно трафик. SSL трафик вполне может быть опознан как ВПН сам по себе, даже без анализа нижележащего протокола.
    В любом случае без подмены сертификатов расшифровать протокол спрятанный под SSL не возможно. Но с подменой сертификатов достаточно легко бороться - настройкой контроля сертификатов на клиенте и сревере. Но борьба эта специфическая - если проверка сертификатов завершиться успешно - то все работает, если не успешно (нас слушают) - не работает.
    Написано

  • Как удалить слово из строки?

    @res2001
    Вам нужно удалить первые 2 слова или конкретно указанные слова в любых позициях?
    В общем случае смотрите string.replace
    Написано

  • Установка stunnel какой порт использовать?

    @res2001
    dminster94,
    вывод технология херня, не скрывает она ничего в 2021)

    Вывод не верный!
    В openvpn и в wireguard используется стойкое шифрование, при сегодняшних технических возможностях что бы расшифровать такой пакет потребуется несколько 1000 лет (а то и больше, точных цифр не помню).
    Правда при неправильных настройках можно использовать и не стойкое шифрование.
    Факт наличия шифрованного трафика определяется по косвенным признакам, которые, обычно, есть в любом протоколе. Определение наличия шифрованного трафика не означает возможность расшифровки этого трафика.
    То что вы пытаетесь сделать используя stunnel+openvpn приводит к тому, что шированный трафик openvpn ширфуется повторно stunnel (SSL), таким образом, возможно скрыть наличие трафика openvpn, но не SSL.
    Кроме того, если для проверки используется подмена сертификатов (это можно сделать прозрачно, например на корпоративном фаерволе) и вы настройками stunnel не проверяете жесткое соответствие сертификатов клиента и сервера, то остается возможность расшифровать трафик SSL на промежуточном фаерволе и понять, что скрывается за ним.
    Что бы грамотно все настроить, надо немного разбираться в теме защиты трафика и понимать что к чему. Если вас это интересует почитайте про криптографию, открытые/закрытые ключи, X509, актуальные криптографические алгоритмы, варианты защиты трафика и варианты взлома шифрованного трафика.
    выше конфиг кидал смотрите, все есть

    В конфиге измените опцию log-attend на log-append. Возможно из-за неверной опции, конфиг не воспринимается openvpn, не понятно, правда, почему ошибка такая. Опции log-attend не существует в природе.
    Написано

  • OpenVPN: Как дать доступ к ресурсу сервера на клиентском ПК?

    @res2001
    BLOOD_ELF,
    Может роутер надо перезагрузить...

    Может быть.
    Добавьте в серверный конфиг: push "route 192.168.100.0 255.255.255.0"
    После этого при добавлении маршрута в роутер и при подключенном клиенте попробуйте пропинговать с роутера клиента, по ВПН адресу - должно работать и наоборот то же, если только фаерволами где-то не будет блокироваться.
    Когда это заработает, то и доступ к сервису то же, по идее, будет работать.
    Написано

  • OpenVPN: Как дать доступ к ресурсу сервера на клиентском ПК?

    @res2001
    BLOOD_ELF,
    Чем чревато?

    Общий доступ подключения активирует урезанную версию DHCP сервера и NATа. При этом никак это все не настраивается, используются некие настройки по умолчанию. У вас в сети появляется левый DHCP сервер.
    Кроме того, время от времени вся эта хрень не стартует корректно.
    Я в свое время пытался на этом заставить работать сеть из 3 компов - раздавал интернет, который получал с телефона, работающего в режиме модема на одном из компов. Оно работает, но крайне не стабильно.
    У вас все заработало, потому что в комплекте с общим доступом идет и NAT, про необходимость NATа я вам неоднократно писал, но только не в таком варианте.
    Написано

  • OpenVPN: Как дать доступ к ресурсу сервера на клиентском ПК?

    @res2001
    BLOOD_ELF,
    Только не совсем понимаю, чем это поможет.

    Дело в том, что роутер ничего не знает о сети 10.8.0.0, поэтому пакеты для этой сети он отправляет на шлюз по умолчанию. А шлюз по умолчанию у него явно не 192.168.100.222, поэтому ответные пакеты до клиента не дойдут.
    Вы добавите маршрут, тогда роутер начнет слать ответы в правильном направлении.
    Вот тут настраивать?

    Да
    Написано

  • OpenVPN: Как дать доступ к ресурсу сервера на клиентском ПК?

    @res2001
    BLOOD_ELF, Включить службы в автозагрузку. По умолчанию openvpn регшистрирует свои службы, но они в ручном управлении.
    Включил общий доступ в подключении на сервере

    Общий доступ в винде - изрядный костыль. Я бы не рекомендовал его использовать в критичных местах.
    Раз у вас есть доступ к роутеру, то проще всего настроить 1 вариант из предложенных, надо только на роутере добавить маршрут до ВПН сети 10.8.0.0\24 через ваш сервер. И все!
    Написано

  • OpenVPN: Как дать доступ к ресурсу сервера на клиентском ПК?

    @res2001
    продолжение
    3.Можно подсетку 192.168.100.0/24 поделить на 2 подсети. В одной оставить ваш сервер и роутер, а второю назначить на ВПН. Тогда можно не трогать роутер, все манипуляции будут только на вашем сервере
    4.Поднять NAT на интерфейсе 192.168.100.222 и пакеты из ВПН отправлять через NAT.

    В общем 2 и 4 вариант мне лично не нравятся.
    Написано

  • OpenVPN: Как дать доступ к ресурсу сервера на клиентском ПК?

    @res2001
    BLOOD_ELF,
    При подключении на локальном ПК, роутинги идут на 10.8.0.5.

    В openvpn есть несколько режимов работы (топологий виртуальной сети), режим по умолчанию (ваш случай) net30 - это когда для каждого клиента выделяется своя 30 подсеть из выделенного диапазона, первый адрес в подсети назначается серверу, второй- клиенту. При этом, видимо, адрес 10.8.0.1 постоянно зарезервирован за сервером. Режим устаревший, но сохраняется для обратной совместимости.
    В конфиге сервера укажите topology subnet
    Это изменит режим маршрутизации openvpn, в этом случае ВПН серверу так же будет назначаться 1 адрес 10.8.0.1, но все клиенты будут находится в одном адресном пространстве без деления на подсети.
    Провайдер выделяет свой VPN канал для доступа к этому сервису (он физически подключается по адресу подключения).

    Ну как-бы такого не может быть, они должны знать ваш IP диапазон, что бы правильно настроить маршрутизацию у себя.
    Роутер на котором ВПН провайдера - провайдерский? Они им управляют или вы?
    Адрес 192.168.100.222 на сервере выделяется динамически? Подозреваю, что вам выделена сетка 192.168.100.0\24, возможно не 24, а меньше.
    Можете на роутере посмотреть настройки DHCP сервера - диапазон раздаваемых адресов.
    Так же посмотрите, поднят ли NAT. Возможно, что на роутере уже поднят NAT, поэтому для провайдера ограничений на ваши адреса нет - они уже забили 1 адрес на роутере и на нем висит NAT.
    Поэтому тут вижу несколько вариантов развития событий:
    1. настроить маршрутизацию на роутере для подсети 10.8.0.0\24 через 192.168.100.222. В этом случае адрес 192.168.100.222 на сервере должен быть статический, чтоб не менялся со временем.
    2.openvpn настроить в режиме бриджа, тогда ВПН клиенты то же будут как-бы в локальной сети и смогут получать адрес от DHCP роутера и свободно смогут ходить за сервисом.
    Я никогда не использовал openvpn в режиме бриджа, но теоретически настройка еще проще, чем в режиме роутинга. Но все равно предпочитаю роутинг бриджу. Правда в вашем случае, если управление роутером вам не доступно, то возможно особо выбирать будет не из чего.
    Написано

  • OpenVPN: Как дать доступ к ресурсу сервера на клиентском ПК?

    @res2001
    BLOOD_ELF, В целом конфиги рабочие и раз 10.8.0.1 пингуется, значит ВПН работает.
    Удалите постоянный маршрут на клиенте до 192.168.10.82.
    Добавьте в серверный конфиг опцию: push "route 192.168.10.82 255.255.255.255"
    Проследите, что бы после подключения ВПН на клиенте появился маршрут к 192.168.10.82 через 10.8.0.1.
    Когда маршрут появится, то со стороны ВПН настройки окончены.

    Какие есть ограничения на доступ к сервису со стороны провайдера? В свое время я имел дело с похожим сервисом. Там нам выделили диапазон адресов (нам выделили \30 подсеть), с которых мы имели право туда ходить, эти адреса были жестко зафиксированы в конфигах оператора сервиса. Наверняка у вас то же есть подобные ограничения.
    Написано

  • Можно ли подключить к одному iSCSI несколько серверов потребителей?

    @res2001
    grabbee, Да, только read-only надо делать на уровне ФС.
    Тут еще будет вопрос в том, что стандартные ФС ничего не знают, что у них есть соседи по ФС и обычно кэшируют FAT, поэтому, когда RW сосед обновит данные на ФС (добавит/удалит файлы), его RO сосед может не сразу их увидеть.
    У меня такого опыта не было, так что рассуждения чисто теоретические.
    Написано

  • OpenVPN: Как дать доступ к ресурсу сервера на клиентском ПК?

    @res2001
    BLOOD_ELF, ВПН вообще работает? Можете пропинговать с клиента сервер по внутреннему ВПН адресу?
    Фаерволы не блокируют ВПН трафик?
    Написано

  • OpenVPN: Как дать доступ к ресурсу сервера на клиентском ПК?

    @res2001
    BLOOD_ELF, Давайте сюда конфиги клиента и сервера.
    В логах ошибки есть?
    И посмотрите мой первый пост - там указано, как правильно указать маршрут в конфиге ВПН.
    Написано

  • OpenVPN: Как дать доступ к ресурсу сервера на клиентском ПК?

    @res2001
    BLOOD_ELF, Адрес сервера вы можете посмотреть на сервере (ipconfig), но обычно openvpn сервер получает первый адрес из диапазона. 10.8.0.2 - это адрес клиента.
    Написано

  • OpenVPN: Как дать доступ к ресурсу сервера на клиентском ПК?

    @res2001
    BLOOD_ELF,
    т.е. так должно выглядеть?

    Да, интерфейс задавать не нужно.
    Написано

  • OpenVPN: Как дать доступ к ресурсу сервера на клиентском ПК?

    @res2001
    BLOOD_ELF,
    route -p add 192.168.10.82 mask 255.255.255.255 192.168.100.1 IF 27

    Это не правильная команда - вы не правильно указали IP адрес шлюза. Он должен быть внутренним ВПН адресом ВПН сервера (т.е. шлюзом будет ВПН сервер).
    Написано

  • OpenVPN: Как дать доступ к ресурсу сервера на клиентском ПК?

    @res2001
    BLOOD_ELF,
    Это невозможно.

    Если это не возможно, то как вы получаете к нему доступ без ВПН? :-)
    Вам просто в опции надо указать IP адрес этого сервиса (192.168.10.82) и маску, по которому клиент будет к нему обращаться, а маршрутизатором для клиента будет выступать ВПН сервер. Команду прописать в конфиге ВПН сервера, в формате, который я привел.
    NAT вам придется то же поднимать, если его еще нет в каком-то виде.
    Написано

  • OpenVPN: Как дать доступ к ресурсу сервера на клиентском ПК?

    @res2001
    Вы правы, надо добавить маршрут к сети за сервером. Это делается с помощью опции в конфиге сервера:
    push "route <subnet ip> <subnet mask>"
    Кроме того, возможно понадобиться добавить маршрут до ВПН сети (10.8.0.0) на "сервис электронных рецептов", но это не обязательно, зависит от того является ли шлюз, через который вы получаете доступ к этому сервису шлюзом по умолчанию для него. Если с той стороны вы ничего изменить не можете, то нужно поднимать еще и NAT и пускать трафик к сервису от ВПН клиента через NAT.
    Написано

  • Установка stunnel какой порт использовать?

    @res2001
    dminster94,
    Options error: You must define TUN/TAP device (--dev)

    Видимо в конфиге нет опции dev tun
    Написано