Ответ не меняется. Сколько мне видно из кода, в процессе работы с этим сайтом идет двусторонний обмен данными, так что серверную часть вы не достанете.
Troodi Larson, вообще, в этих балансерах нагрузки обычно можно добавить вызов проверочной страницы с конкретного узла раз в сколько-то времени, и если оттуда прилетела чушь (ошибка или таймаут), логика балансера выключает узел из своего пула и отправляет все запросы на работающие узлы. HAProxy точно так умеет.
Проверьте route print после установки OpenVPN-соединения. А ещё, десятка (и восьмерка, но меньше) DNS-запросы посылает с привязкой по интерфейсу, как результат, DNS-трафик может ходить вне VPN, там быть подменен и твой VPN скомпрометирован.
Корневые сертификаты чаще всего вшиты в браузер или ОС, но достать их тоже можно, обычно каждый ЦС отдает корневой сертификат довольно легко. Адрес, по которому должен быть доступен корневой сертификат, цепью от которого подписан ваш сертификат, можно достать рекурсивно через расширение AIA - там прямая ссылка на вышестоящий сертификат, в нем такая же на серт ещё выше уровнем и так далее до корневого.
Aquinary, роли в домене при создании нового домена все равно все окажутся на этом контроллере домена, так что да, не парьтесь особо по этому поводу. Но вот запасной контроллер домена может понадобиться, как только что-то в домене будет настроено так, что при поломке "всё сломается".
blazer05, Хм. Там в 2012R2 были серьезные грабли с разворотом RDSH на контроллере домена, забыл уже какие. Может все-таки имеет смысл вторую ВМ под контроллер домена создать?
Не перезапись тогда уж, а пересоздание ФС, причем другого типа, вместе с MBR/GPT-разделом. Впрочем, пока ещё контроллер устройства хранения не может общаться с интернетом, чтобы "на самом деле" могло иметь место, но для этого есть чтоб его TPM.
Вообще, я бы dd использовал для таких шуток, только я им не умею особо пользоваться. Получаешь размер файла, делишь на размер блока ФС, добавляешь 1 если есть остаток, и кормишь dd if=/dev/urandom of=/path/to/your/file bs=блок num=сколько вычислил, и если девайс SSD, ещё вызвать TRIM, должно хватить.
Сам серт можно было бы не замазывать - он публичный, а вот ключ надо, и правильно. А дальше можно попробовать выцепить промежуточный серт через openssl x509 -in cert.pem -text -noout и найти строку CA Issuers - там веб-ссылка, по которой лежит промежуточный сертификат, его надо стянуть и преобразовать в PEM, потом повторить, получив серт ЦС, выпустившего уже этот сертификат, и так до корневого, и подсунуть результат в гитлаб.
Чтобы отвечать тому, кто вам написал ответ, нужно использовать кнопку "комментировать". И как-то странно, что NAT не отработал - может, не тот порядок интерфейсов? Проверил на имеющейся в доступе ASA5505 (не 5506, там разница серьезная, так что может влиять) - весь нат строго в сторону outside смотрит, все проброшенные порты указывают outside вторым интерфейсом. Попробуйте развернуть правило NAT, типа такого:
nat (LAN,OUTSIDE) source static LAN_WKS interface service ssh_22 ssh_2222 (no-proxy-arp, хотя этот не должен быть нужен, если натится на интерфейс)
Ладно бы адрес с индексом, но если известен только город? У провайдера локалнет 10.х.0.0/16 или шире - мне даром не сдалось его сканить, чтобы узнать точный размер. Чем не город?
SyavaSyava, и это тоже. Но как по мне, если есть возможность не отдавать какую-то информацию третьей стороне, лучше её не отдавать. Тем более, если при этом результат не изменится.
iptables v1.4.21: Need TCP, UDP, SCTP or DCCP with port specification