Ответы пользователя по тегу VPN
  • Что делать если WireGuard сервера не пигуются?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    какие-то пакеты ходят по сети туда сюда

    ходють тут всякие..
    Wireguard, на секундочку, это UDP, а пинги - ICMP. Протоколы то разные
    Открывайте icmp или проверяйте доступность другим способом, например доступность UDP порта с помощью nc
    nc -zvu <SERVER> <PORT>
    Ответ написан
  • Как запустить bat-файл с правами администратора ДО входа пользователя в систему?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Вы не указали вашу версию Windows и какое именно VPN решение вы используете.

    в Windows 10, но по сообщениям такое же поведение было доступно и в предыдущих версиях Windows, VPN соединение возможно сделать доступным на экране входа.
    В случае VPN соединений созданных средствами Windows их надо создавать с флагом "доступны для всех пользователей".
    В Windows 10 это возможно только средствами powershell коммандлета add-vpnconnection( или set-vpnconnection если соединение уже создано.). В предыдущих версиях OS такой флаг был доступен в интерфейсе создания VPN соединения.
    После создания такого соединения и перезагрузки на экране логина появится значок двойного монитора - это и есть VPN соединение.
    Я сейчас протестировал следующую ситуацию:
    - ПК введен в домен но находится удаленно и до установки VPN соединения не имеет доступа к домену (по вашему описанию у вас так же)
    - Доменный пользователь с урезанными правами, административные права есть у локального пользователя (мне доступны оба набора кредов, в любом случае пользователь с административными правами на ПК понадобится и вам)
    - powershell (версии 7.0, если быть более точным. Скорее всего это не важно - справится и имеющийся в системе Posh) запущен под локальным пользователем с правами админа, но на машину залогинен пользователь без прав (доменный). Только при условии запуска под локальным админом доступна возможность создать соединение для всех пользователей. Может быть, можно и просто под админом залогиниться для осуществления этой единичной операции
    - Выполнен Posh скрипт создания VPN подключения (содержащий флаг -AllUsersConnection ). Если ни разу не писали скрипты - смотрите примеры
    - Перезагрузка
    - На экране логина появляется значок двойного монитора при нажатии на который предлагается ввести логин-пароль пользователя для этого VPN

    Если вы используете альтернативный клиент для VPN (OpenVPN и т.п) задача подъема такого ВНП лежит уже на самом клиенте - Windows такое не будет обрабатывать

    UPD: Я ответил не на вопрос, а предложил решение проблемы которую вы описали в тексте. Дополнительно совсем забыл написать что маршрут в Windows можно прописывать автоматически при поднятии соединения c помощью коммандлета Add-VpnConnectionRoute

    UPD2: Ответ на вопрос в заголовке: Для запуска батника с правами администратора используйте TaskScheduler задачу с правами LocalSystem или NetworkSystem. Почитать что они такое и чем отличаются
    Ответ написан
    Комментировать
  • VPN и маршрут по умолчанию?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Если ваша OS - windows8/10 то вы можете на впн соединение повесить поднятие маршрута https://docs.microsoft.com/en-us/powershell/module...

    Так же, VPN, в зависимости от используемого софта может сам добавлять маршруты только на нужные сети - но делать это надо на сервере
    Ответ написан
  • Как подружить strongswan с Windows 10?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    читайте документацию https://wiki.strongswan.org/projects/strongswan/wi...
    Наиболее вероятно, что вам поможет раздел AES-256-CBC and MODP2048
    В общем и целом, вам нужно установить такие настройки ipsec указанным коммандлетом, которые прописаны в вашем конфиге стронгсван.
    Ответ написан
  • Виртуальные сети aws?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Судя по всему, вам нужен AWS VPC: Virtual Private Cloud

    Вот здесь, например, есть от производителя, описанный cloudformation темплейт создающий
    нечто похожее на то что вам надо: 2 приватные сети, 2 публичные сети (потому что в 2 AZ)
    Доступ из приватных сетей в интернет идет через NAT gateway(тоже сервис амазона)

    Дополнительно надо сделать:
    0. Поднять VPN в публичной подсети (мы пользуемся вот таким, хотя все скипты переписан под наши нужды
    0.a А еще лучше поднять бастион в публичной подсети, если вам необходим доступ только для администрирования а не для доступа различных пользователей, вроде других девеолперов и поддержки
    1. поднять в приватной сети DHCP\DNS сервер.
    2. прописать в DHCP options (параметр VPC) ваши DNS и DHCP сервера.
    3.. ???
    4. PROFIT! новосозданные машины в VPC будут создаваться с правильными и нужными вам параметрами
    5. Рулите доступом с помощью Security Groups

    Вы можете загрузить указанный выше темплейт в designer в AWS и посмотреть какие компоненты он создает(или прочитать код), если не хотите пользоваться cloudformation или вообще средством автоматизации - и создать все руками, но в случае с AWS отсутствие автоматизации со временем будет вас больно бить.

    P.S. а где вы запускаете ваш контейнер? если в сервисах lightsail то у меня для вас не очень приятные новости: надо изучать ecs\fargate или eks для запуска его в ваших приватных сетях, городить ALB\ELB\NLB или другой балансер на EC2(nginx,haproxy,etc..) чтобы все работало и так далее, и так далее.
    Ответ написан
    Комментировать
  • Как реализовать возможность добавления пользователей через TERMINAL на StrongSwan?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    ну, как минимум должно работат следующее:
    echo 'username EAP: "password"' >> /etc/....../ipsec.secrets && systemctl reload strongswan


    Как правило сейчас стронгсван ставится из репозиториев с легаси поддержкой systemd - тогда сервис называется strongswan. Я работаю с ним именно в такой конфигурации.
    Есть второй вариант установки (я и не знаю есть ли он в репо или только билдится, как и написано в инструкции на сайте) - тогда сервис называется strongswan-swanctl и тут уже не так однозначно. Во всяком случае в такой конфигурации я с ним не работал )
    Обновил свои знания: использование ipsec.secrets выдает первый вариант: вы используете способ запуска ipsec starter для strongswan и, судя по документации, другого способа добавить в командной строке пользователя в ipsec.secrets нет: https://wiki.strongswan.org/projects/strongswan/wi...
    Альтернативный вариант - перенастроиться на использование swanctl и конфигурационного файла swanctl.conf
    Документация: https://wiki.strongswan.org/projects/strongswan/wi...
    Пример: https://www.strongswan.org/testing/testresults/swa...

    Процесс переезда не подскажу - сам использую легаси ipsec starter :D
    Ответ написан
    1 комментарий
  • Как организовать VPN для удаленных сотрудников без маршрутизации лишнего трафика?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    athacker написал правильную мысль, но, к сожалению, винда это винда.
    windows клиент для VPN(кроме W10, судя по документации) по умолчанию направляет весь (0.0.0.0/0) трафик в туннель и это может привести к некоторым неработоспособным ситуациям.
    По факту, с Windows единственное гарантированное работающее(без сюрпризов) решение - это использовать powershell коммандлет add-vpnconnectionroute который при поднятии VPN соединения подцепит правильный роут к нему.
    Ну и соответственно создавать VPN соединение не руками а powershell скриптом.
    Подробнее - в доках стронгсван https://wiki.strongswan.org/projects/strongswan/wi...
    Ответ написан
    Комментировать
  • Самый простой путь к настройке VPN к AWS VPC?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Лучше описать вашу "более сложную топологию" и проблемы с которыми столкнулись.
    Как правило, если в дефолт VPC у вас все завелось, то при поднятии VPN хоста в паблик подсети вашего VPC доступ внутрь VPC работать будет. Проблемы могут быть в маршрутизации, доступе(SecurityGroup\NetworkACL) и других особенностях организации вашего VPC.

    Если у вас внутри вашего VPC только linux хосты - лучше не исполmзуйте VPN для администрирования. Рекомендованное решение - бастион.
    Для доступа ваших пользователей внутрь VPC пока только VPN.
    Ответ написан
    3 комментария
  • Почему после подключения по VPN проблема с DNS?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    dummyman написал варианты решения проблемы но не написал причины, куда можно посмотреть повнимательнее :
    Если до подключения интернет работает а после - нет, значит вы в конфигурации VPN при подключении отдаете неверные DNS сервера с VPN сервера на ваш клиент. Это первый вариант, который можно проверить.
    Путь решения описал dummyman :
    - Вписать гарантированно работающие DNS серверы в ваш resolv.conf
    - использовать dnsmasq и резолвить DNSы только через него, игнорируя приходящие настройки (это, по сути, еще одна программная прослойка которую нужно корректно настроить, поэтому этот путь спорный)
    Я бы добавил еще путь "проверить настройки на VPN сервере : что отдается клиенту при подключении в качестве настроек сети(dns серверы)

    Второй вариант проблемы - используемые вами до подключения DNS серверы пытаются ходить в интернет через VPN, а VPN им не разрешает по какой-то причине. Здесь только проверка (tracepath до прописанного в конфиге DNS сервера) и после получения результата - корректная настройка того узла где трейс теряется. Или же добавление маршрутов к DNS серверам через ваше интернет подключение, чтобы не ходили DNSы через VPN.

    P.S. прочитал комментарии к ответу:
    ДНС остался только nameserver 127.0.1.1

    Что-то у вас намудрено. Проверьте для начала работоспособность интернета и содержимое /etc/resolv.conf без подключенного VPN.
    Ответ написан
    4 комментария
  • Какие есть варианты VPN без установки дополнительного ПО?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    комментах промелькнул стронгсван.
    Хочу предупредить и предостеречь :
    клиент встроенный в Windows и MacOS это хорошо, НО - встроенные клиенты в эти ОС не умеют длину ключа DH больше 1024 и вам придется ограничивать ваш сервер и создавать менее безопасное соединение. (Читайте раздел security на сайте strongswan). Для стронгсвана нет поддержки из коробки для linux и android - будете ставить клиент все равно.

    и из опыта непосредственного использования : создавайте разные бэкенды для Linux, MacOS и Windows. Разделяйте клиентов - все дело в разных реализациях клиентской части. Как пример, MacOS хочет логин пользователя в виде (user@domain.tld) что необязательно в WIndows и Linux(у *nix вообще серверная часть от клиентской не отличается :D )
    Если вы используете самоподписанные сертификаты - так или иначе придется импортировать на клиента тот, которым подписан сертификат VPN сервера или использовать явно небезопасные psk
    Ответ написан
  • Почему не запускается PPTP на Windows 10?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    повторю комментарий ( выделю решение которое помогло).
    Можно попробовать :
    1. отключить windows файрвол.
    2. если вы вводите домен в соответствующем поле подключения - попробуйте вводить его netbios имя (например вместо domain.local - просто domain. Здесь могут быть подробности вроде того что домен для авторизации выглядит как ourgreatdomain.internetprovider.com а netbios имя домена - ISPDOMAIN)
    3. дважды перепроверить все настройки подключения, отключить ненужные протоколы (например иногда помогает выключить CHAP если ваш сервер поддерживает MS CHAPv2 - вариантов можно перебрать тысячи, здесь нужно знать конфигурацию вашего сервера. А без неё - только экспериментировать.
    Ответ написан
    Комментировать
  • Как активировать IP США для всей системы под Windows?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Руслан Пикулин: я поясню ответ АртемЪ : в windows используется для этих целей служба VPN (различные реализации). Указанная программа на маркете реализует для андроида похожий(если не тот же) функционал. Конкретно гуглите free vpn america и ищите те, которые предлагают адреса американские. На первой же странице несколько ресурсов есть.
    Вам стоит помнить что через этот впн будет идти весь ваш трафик (если не изучить матчасть и не прописать маршруты до нужных серверов), что чревато утечкой ваших персональных данных и другой личной информации к владельцам "бесплатных" впн. Так же такие каналы сильно ограничены по скорости, как правило.

    Выражу своё имхо по вашему вопросу : искать кряки на ресурсе, где обсуждаются и решаются технические вопросы - верх глупости.
    Ещё более глупо просить кряк для программы, которая использует чьи-то американские адреса, поскольку логично(и единственно верно) предположить, что (в случае платного сервиса) вам предоставляют нечто вроде аренды.
    Взламывая клиентскую часть программы вы не заставите сервер пропускать вас.
    Ответ написан
    Комментировать
  • Удаленный доступ с Windows Server 2012?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    определитесь, чего вы хотите :
    1. удалённая работа с приложениями на сервере средствами windows server 2012
    Для этого нужен терминальный сервер MS или Citrix (или другие)
    2. удалённое подключение пользователей к своим ПК в вашей сети средствами windows server 2012
    Для этого нужно организовывать удалённое подключение к вашей сети, далее всё не зависит от сервера.
    В зависимости от того что вам надо - средства разные, и советы, соответственно, будут разные.
    Ответ написан
  • Как изменить значения "метрика" таблица маршрутизации windows?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    свойства вашего VPN соединения :
    вкладка сеть
    выбираем TCP/IPv4
    жмем кнопку свойства
    жмем кнопу дополнительно
    на вкладке параметры IP убираем галку использовать основной шлюз в удаленной сети
    Ответ написан
    Комментировать
  • Какие сервисы бесплатно предоставляют VPN с Российским IP адресом?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Пользуюсь, для разных целей вот этим : www.softether.org
    в софтине есть Public VPN Relay Servers с некоторым количеством стран.
    Регулярно наблюдаю РФ в списке
    Ответ написан
    2 комментария