Ответы пользователя по тегу VPN
  • Как подключить к wireguard более 255 клиентов?

    @res2001
    Developer, ex-admin
    Маска не обязана быть кратной 8. Она может быть любым числом от 0 (все IP адреса, такую маску наверное нельзя назначить), до 32 (1 адрес). Уменьшая маску на 1, вы увеличиваете емкость адресного пространства в 2 раза.
    Например для сети 10.0.0.0/23 адресное пространство будет 10.0.0.0 - 10.0.1.255 и это адресное пространство будет в одной подсети.
    Ответ написан
    3 комментария
  • Есть ли способ организовать двойное подключение к хосту: напрямую через интернет и через впн?

    @res2001
    Developer, ex-admin
    Следует отказаться от FTP. Используйте, например, протокол SCP - защищенное подключение по ssh, GUI клиенты.

    Но и VPN можно допилить. Скорее всего у вас сейчас при подключении к ВПН весь трафик направляется в ВПН (ВПН сервер становится шлюзом по умолчанию), от этого и проблемы. Это можно исправить настройками ВПН. Но этого будет не достаточно, вам нужно поднять NAT на ВПН сервере на внешнем интерфейсе для не ВПН трафика, который затем должен быть направлен в ВПН (и наоборот). Как правило NAT на ВПН сервере не обязателен, но это не ваш случай.
    Ответ написан
    Комментировать
  • Какой ВПН установить на сервер, без установки конфигураций?

    @res2001
    Developer, ex-admin
    Все ВПН клиенты требуют той или иной конфигурации. Т.к. вы работаете с линуксом, то конфигурация находится в файлах. Была бы винда, был бы еще вариант конфигурации в реестре. Но в любом случае конфигурация будет.
    Приведенная вами команда генерирует конфиг сама, а то и не один, не проверял. Ссылки на дополнительные скрипты, указанные в вашем скрипте сейчас не доступны. И это не РКН их блочит. Ссылки ведут на github, но github изменил стиль ссылок на raw файлы. В скрипте используются старые ссылки, которые сейчас не работают. Можете поправить ссылки вручную в скрипте при желании.
    Этот скрипт мало того, что конфигурирует ВПН, он еще и устанавливает необходимые пакеты. Т.е. нормально так вмешивается в систему.
    Родной github репозиторий вашего скрипта тут: https://github.com/hwdsl2/setup-ipsec-vpn
    Там же лежат и другие скрипты, которые выкачиваются первым скриптом.
    Ответ написан
    Комментировать
  • Подключение по VPN к RDP: почему не работает?

    @res2001
    Developer, ex-admin
    Подсоединяюсь по VPN в локальную сеть, все ок

    Как вы подсоединяетесь в локальную сеть? Как вы видите, что все Ок?
    Пинги с ВПН клиента до любого компьютера в сети идут? Подозреваю, что пинги не идут.

    Скорее всего вам надо на ВПН клиенте добавить маршрут до сети за ВПН сервером через ВПН адрес маршрутизатора.
    Делается это командой: route add ...
    Для справки смотрите route /?

    Cогласен с Сергей - фаервол может блокировать трафик. Причем фаервол на любом промежуточном узел, а у вас их 3: ВПН клиент, ВПН сервер, RDP сервер. Любой из 3 фаерволов может блокировать трафик.

    Антивирус скорее всего не при делах.

    Прежде чем добиваться работы RDP рекомендую добиться, что бы работал пинг на внутренние адреса в локальной сети. Кроме того антивирус на пинги не влияет, хотя фаервол может блокировать и их.
    Ответ написан
  • Безопасен ли общий IP для VPN?

    @res2001
    Developer, ex-admin
    С точки зрения безопасности использовать общий IP вполне безопасно. Утечки данных не зависят от того общий IP у тебя или свой собственный. Они зависят от того, что ты делаешь, чтоб не было утечек. Оператор ВПН то же может посодействовать (смотри ответ CityCat4 )
    потому что общим пользуются несколько человек и если кто-то накосячит, IP заблочат для всех.

    Есть такое. Но заблочат только на том ресурсе, на котором этот кто-то накосячил.
    Если выделенный IP стоит дополнительных денег, то скорее всего за те же деньги можно арендовать VDS и поднять там свой собственный VPN.
    Ответ написан
    Комментировать
  • Может ли VPN ускорять интернет?

    @res2001
    Developer, ex-admin
    Нет, не может. Более того он делает прямо противоположное - он его замедляет.
    Это происходит из-за дополнительных пересылок данных между ВПН сервером и клиентом, а так же из-за того, что требуется время на шифрование/дешифрование данных, передаваемых через ВПН.
    Сам по себе ВПН работает поверх имеющегося соединения, никаких чудес. ВПН может работать в лучшем случае не хуже, чем физическое соединение с оператором. Но это в идеале, реально же скорость внутри ВПН гораздо меньше.

    Все это актуально, когда вы используете доступ в интернет через ВПН. Но это необязательно так. Чаще всего ВПН настраивают для доступа, например к закрытым ресурсам организации, а весь интернет вы используете как обычно - на прямую без ВПН.
    Ответ написан
    Комментировать
  • Маскировка виртуальной сетевой карты под железную?

    @res2001
    Developer, ex-admin
    Создавайте туннель на отдельном компе, не на том, на котором крутится софт. И используйте его как шлюз для адресов, на которые ходит этот софт.
    Ответ написан
  • Нет доступа к внутренней подсети как настроить машрут?

    @res2001
    Developer, ex-admin
    Встречные вопросы:
    1. На сколько понял ВПН поднимается и, например, пинги идут с ВПН IP сервера на ВПН IP клиента и наоборот?
    2. Значит проблема в доступе из сети клиента в сеть сервера и наоборот?
    3. Т.к. ВПН сервер и клиент подняты на роутерах, то предполагаю, что эти же роутеры являются шлюзами по умолчанию для компов в своих сетях?

    Если на все вопросы ответ - Да.
    То проблема в блокировке трафика фаерволами. Блокировка может происходить как на роутерах так и на конечных узлах локальными фаерами.
    Проблемы с маршрутизацией быть не должно, т.к. роутеры - шлюзы по умолчанию в своих сетях.
    Выберите по компу в обеих сетях, убедитесь, что на этих тестовых компах роутеры являются шлюзами по умолчанию, отключите на них локальные фаерволы и тестируйте. Предварительно убедитесь, что на роутерах фаервол не блокирует ВПН трафик. Так же было бы полезно во время теста смотреть на роутерах вывод tcpdump по ВПН интерфейсу.
    Ответ написан
  • Как присоединить филиал к главной сети через VPN?

    @res2001
    Developer, ex-admin
    Можно ли задать адрес локальной сети в филиале 192.168.1.0?

    Тут лучше начать с принципиального решения второй задачи. Ответа на нее я не знаю.
    Но если вы хотите объединить сети в одну, то конечно в филиале надо использовать ту же подсеть, что и в головном офисе. Но как по мне - это плохая идея.

    Так что лучше сети не объединять (в смысле ответа на второй вопрос) и использовать маршрутизацию вместо бриджа.
    А значит, если вы в сети филиала будете использовать ту же подсеть, то получите кучу проблем с маршрутизацией, которые придется как-то решать.
    Что бы в принципе избежать проблем - используйте другую подсеть.
    Ответ написан
    Комментировать
  • Почему пропадает интернет при подключениие к OpenVPN?

    @res2001
    Developer, ex-admin
    Типичная ошибка. ВПН сервер прописал себя маршрутом по умолчанию для клиента. И теперь все пакеты в интернет идут на ВПН сервер.
    В этом виновата опция
    push "redirect-gateway def1 bypass-dhcp"
    Она делает не то, что вы думаете.
    Просто закоментируйте эту опцию и перезагрузите сервер.
    Ответ написан
    54 комментария
  • Как настроить VPN сервер на одном сервере с несколькими IP адресами?

    @res2001
    Developer, ex-admin
    чтобы потом можно было подключаться к этому VPN и выходить в интернет под разными IP.

    ВПН отвечает за канал связи между ВПН клиентом и ВПН сервером. Куда дальше идет трафик - это уже не его дело. Этим занимается стандартная процедура маршрутизации с помощью настроек таблицы маршрутизации, так же могут вклиниваться в процесс правила фаервола.

    Вы можете на ВПН сервере в фаерволе прописать правило для пакетов в интернет, полученных через ВПН, форвардить на определенный интерфейс. Это правило можете менять вручную скриптом или еще по каким-то условиям.
    Другой вариант - можно настроить 32 ВПНа (по 1 на каждый внешний адрес), каждый ВПН будет иметь свою подсеть, в фаерволе точно так же прописываются 32 правила для форвардинга пакетов полученных от соответствующего ВПНа на его интерфейс. В этом случае выбор адреса происходит на стороне клиента (подключаетесь к нужному ВПНу).
    Вместо 32 ВПНов, можно использовать 32 разных клиента в одном ВПНе с фиксированными адресами. Суть в том, что бы в правиле фаервола вы могли бы их отличать.

    Все это теоретические рассуждения. Конкретная реализация будет сильно зависеть от выбранной ОС для ВПН сервера, выбранного типа ВПН, чего-то еще.
    Ответ написан
    6 комментариев
  • Как на VPN сделать чтобы при переключении провайдера - сохранялся коннект и ip?

    @res2001
    Developer, ex-admin
    Может проще сменить провайдера?
    При использовании ВПН упадет скорость передачи, т.к. трафик начнет шифроваться и добавится дополнительный обходной маршрут через ВПН сервер.

    Реализовать ВПН достаточно просто. Проще всего купить уже готовый, сейчас это не сложно. Надо подобрать оператора ВПН, предоставляющего тип ВПН, который поддерживает ваш роутер.
    Но надежней на мой взгляд поднять ВПН самому, это то же не сильно сложно. Для этого вам надо арендовать VPS с Linux, настроить там подходящий ВПН сервер. На роутере настраиваете ВПН клиент. В правилах маршрутизации роутера надо добавить маршрут до адресов брокера через ВПН сервер. Не делайте ВПН маршрутом по умолчанию, т.к. весь трафик пойдет через ВПН. Роутер должен подключать ВПН как по основному так и по резервному каналам.
    При этом на компе и в QUIK не надо ничего делать - все будет для них прозрачно.
    Выбирайте оператора VPS имеющего сервера в регионе нахождения брокера, так вы сможете несколько уменьшить задержки из-за ВПН. Где находится брокер можно узнать по geoip (он может врать) или спросить у брокера.

    При смене канала связи роутером ВПН, естественно то же разорвется. Но QUIK об это не узнает, просто будет задержка в передаче пока не поднимется ВПН по резервному каналу. Конечно, если задержка будет приличной, то в итоге QUIK то же разорвет соединение. Насколько большой должна быть задержка, чтобы QUIK разорвал соединение, можно выяснить тестами. Возможно в QUIKе есть какие-то настройки регулирующие таймауты разрыва.
    Ответ написан
    Комментировать
  • Что лучше будет: - железный впн или программный?

    @res2001
    Developer, ex-admin
    Вы должны понимать, что "железный" в вашем примере - это не ВПН реализованный в "чипе". В микротиках есть свой процессор, на котором крутится операционная система, ВПН там реализуется точно так же как и программный вариант, даже с высокой вероятностью используется то же самое ПО, которое вы бы использовали в программном варианте. Но часто производители железок модифицируют ПО под свое понимание проблемы и какой-то функционал, который работает в стандартном варианте в железке работает не так или не работает вовсе. У некоторых производителей железок есть своя собственная реализация ВПН.

    Но если вы плохо разбираетесь в теме (или у вас нет человека разбирающегося в теме), то есть смысл использовать ВПН встроенный в роутер. Там по крайней мере из коробки обычно есть более-менее сносный веб интерфейс и настроить ВПН в принципе не сложно.

    Впрочем в "программном" варианте можно то же прикрутить интерфейс и возможностей по настройке больше, но это потребует более глубоких знаний.

    Кстати, никто не запрещает делать "гибридный" ВПН. Если в железке ВПН реализован с использованием каких-то стандартных протоколов, то вы можете использовать и его программный вариант в тех точках где это будет удобно, а в других местах использовать "железный" ВПН. В общем нет никакого смысла себя загонять в рамки железный/программный - действуйте по обстоятельствам.

    На счет белых IP - для ВПН вам понадобится хотя бы 1 белый статический адрес, на нем вы развернете ВПН сервер. Можно использовать схему динамический белый адрес + DDNS, но это так себе идея. ВПН клиенты могут использовать серые адреса. Под ВПН сервер вы можете арендовать VPS или развернуть его где-то на своей площадке где уже есть белый адрес.
    Ответ написан
    Комментировать
  • Универсальный VPN-сервер?

    @res2001
    Developer, ex-admin
    softether это умеет.
    Ответ написан
    3 комментария
  • Как настроить маршрутизацию клиентов из LAN через VPN, а самого устройства через провайдера?

    @res2001
    Developer, ex-admin
    Вам просто нужно на малинке добавить статический маршрут до вашего DNS провайдера, куда ходит AdGuard. Маршрут этот должен быть через DNS вашего оператора связи (или что там у вас сейчас в качестве шлюза по умолчанию без поднятого ВПН).
    Никаких сложных телодвижений с настройкой фаервола не требуется.
    Ответ написан
  • Как конвертировать socks5 в openvpn?

    @res2001
    Developer, ex-admin
    Абстрагируясь от текста (т.к. мало поясняет схему и смысл) и предполагая, что клиент будет на смарте с openvpn, то схему можно детализировать так:
    Смартфон с openvpn клиентом -> что-то с openvpn сервером + socks5 -> интернет
    Таким образом на клиентском смарте поднимаем соединение openvpn, далее в браузере (или что там у вас ходит через socks5) прописываем адрес прокси как внутренний ВПН адрес openvpn сервера. Работаем.
    Ответ написан
  • VPN и защита от вирусов?

    @res2001
    Developer, ex-admin
    ВПН порты не ограничивает. Для этого везде есть фаерволы, зачем ВПНу лезть в чужой огород?
    ВПН никак не влияет на распространение вирусов. Он вообще не про вирусы.
    От вирусов помогают следующие мероприятия (именно в таком порядке приоритета):
    1. ограниченные права пользователей на рабочих компьютерах и серверах. Это вообще самое важное во всей борьбе с вирусами. Выполнение этого условия добавит 100500 баллов в безопасность сети. А не выполнение - сделает бессмысленными все остальные телодвижения.
    2. правильно настроенный корпоративный фаервол (блокирующий все, кроме разрешенного трафика)
    3. установленный на все раб.места и сервера обновляемый нормальный антивирус
    4. все что придумаете дополнительно :-)

    Я вижу только один вариант VPN с пробросом одного единственного порта RDP

    Если RDP дополнительно не ограничивать, то теоретически вирус сможет и через него проникнуть в корпоративную сеть. Нужно на сервере RDP запретить маппинг дисков клиента на сервер, запретить клипбоард мжеду клиентским ПК и удаленным, отрезать юзеру руки :-)
    Ответ написан
    2 комментария
  • Как для OpenVPN установить исходящий IP (на сервере их несколько)?

    @res2001
    Developer, ex-admin
    В конфиге OpenVPN задайте опцию local - в ней укажите, какой адрес будет слушать OpenVPN для приема входящих подключений.
    По умолчанию слушает все адреса.
    Ответ написан
  • Можно ли просматривать список посещенных сайтов и действия пользователя, если использовать в компании OpenVPN?

    @res2001
    Developer, ex-admin
    Любые ВПН вообще и OpenVPN в частности не имеют отношения к вашим хотелкам. Вы можете делать это с ВПН или делать без ВПН - как угодно. Для этого используется другое ПО никак не связанное с ВПН. Оно работает на уровне выше, чем работает ВПН.
    Ответ написан
    Комментировать
  • Как перенаправить весь трафик на интерфейс VPN?

    @res2001
    Developer, ex-admin
    1. Добавить маршрут до внешнего адреса ВПН сервера через текущий шлюз по умолчанию
    2. Удалить текущий маршрут по умолчанию (0.0.0.0)
    3. Добавить новый маршрут по умолчанию через внутренний адреса ВПН сервера.
    Когда ВПН соединение разрывается необходимо все вернуть назад.
    Ответ написан