Задать вопрос
  • Где найди диапазоны IP дата-центров?

    @zvl
    может быть имелись ввиду сети хостингпровайдеров в ЦОДах?
    у крупных хостеров типа aws, google, microsoft большое количество сетей
    практически у каждого хостера размещаются виртуалки различных скрипт-кидди которые тебя будут обязательно сканировать
    грепай логи своего сервера, смотри подсеть провайдера через whois и если это не твоя целевая аудитория - блокируй через acl или iptables
    Ответ написан
    Комментировать
  • Как включить логи в Bind9?

    @zvl
    bind9 ограничен правилами apparmor прописанными в /etc/apparmor.d/usr.sbin.named
    файл правил идет в стандартной поставке, если ставили через apt
    путь для файлов логов по умолчанию в конфиге apparmor - /var/log/named
    Ответ написан
    Комментировать
  • Можно ли настроить в openvpn аутентификации по открытым/закрытым ключам?

    @zvl
    Cерты пользователям можно включать непосредственно в конфигурацию, называется это inline certificates
    1 Отозвать серт можно тем же easy-rsa которым он генерился
    2 Обновится файл .crl со списком отзыва
    3 Делаем reload для openvpn чтобы сервер перечитал изменения в файлах конфигурации
    Ответ написан
  • Как скрыть факт использования VPN на сайтах и настроить виртуальный сервер?

    @zvl
    Не стоит для таких задач использовать публичные VPN сервисы, адреса которых становятся быстро известны.
    Направление мыслей правильное, нужны VDS/VPS серверы вне РФ.
    Есть провайдеры предоставляющие подобные сервисы с оплатой в рублях или с пополнением счета в рублях и автоматической конвертацией в валюту страны размещения хостинга.

    Что касается классического L3 VPN, типа Wireguard/OpenVPN/gre+ipsec/Anyconnect/etc, в текущей ситуации не практично так как данные протоколы легко детектируются всеми любимым РКН и в любой момент времени могут быть заблокированы на уровне протокола. Стоит рассмотреть варианты L7 VPN (proxy) там маршрутизация может настраиваться на уровне доменов. Решение более устойчивое к блокировкам, но приложения требуют дополнительной настройки так как не весь трафик будет перенаправлен в туннель VPN интерфейса. Мультипротокольный xray позволяет использовать несколько протоколов Vless/VMESS/Trojan/Shadowsocks с транспортами вида TLS/XTLS/Websocket/GRPC/HTTP2
    Ответ написан
  • Исчезли ns записи для домена, что это может быть?

    @zvl
    https://www.nic.ru/whois/?searchWord=info7.net.ru
    state: REGISTERED, NOT DELEGATED
    делегирование приостановлено регистратором, выясняйте причину
    NS сервера CF указанные в базе WHOIS отдают правильные записи
    nslookup.exe -type=ns info7.net.ru. elsa.ns.cloudflare.com
    nslookup.exe -type=ns info7.net.ru. theo.ns.cloudflare.com
    Ответ написан
  • Почему впн работает не на всех сайтах?

    @zvl
    Не думал что доживу до вопросов ссылающиеся на видеогайды по настройке.
    Печально :(
    Ответ написан
    Комментировать
  • Chrome выходит со всех сайтов после закрытия браузера?

    @zvl
    Возможно в домене есть политика для Chrome Enterprise и соответствующие шаблоны для управления Chrome.
    Либо идет замена файла конфигурации Chrome.
    При любом варианте смотреть групповые политики.

    PS Так как контроллер достаточно старый, вероятней всего будет политика с запуском скрипта. Надо будет каждый скрипт разбирать в отдельности.
    Ответ написан
    Комментировать
  • Как сделать туннель от WireGuard сервера до XTLS-Reality сервера?

    @zvl
    Для построения туннеля можно использовать Cloak, конфиги гораздо проще xray:
    root@test:~# cat /etc/cloak/cloak-server.json
    {
      "ProxyBook": {
        "wireguard": [
          "udp",
          "127.0.0.1:12345"
        ]
      },
      "BindAddr": [
        ":443"
      ],
      "BypassUID": [
        "Lkpevo0X6lV5bn33Rl1QCQ=="
      ],
      "RedirAddr": "mail.google.com",
      "PrivateKey": "+EvmB2L2vKaLsh/ynQgJpyEzQ216Ec2c8svs7au+Y10="
    }

    root@test:~# cat /etc/cloak/cloak-client-wireguard.json
    {
      "Transport": "direct",
      "ProxyMethod": "wireguard",
      "EncryptionMethod": "plain",
      "UID": "Lkpevo0X6lV5bn33Rl1QCQ==",
      "PublicKey": "+GTHXOFTYJhRM4+xv9q+ZjSykSIMOLffIs8qJN/4V2Y=",
      "ServerName": "mail.google.com",
      "NumConn": 4,
      "BrowserSig": "chrome",
      "StreamTimeout": 300
    }


    На сервере, на внешнем интерфейсе, закрываем подключения к порту UDP:12345 средствами iptables или другими сетевыми фильтрами.
    На клиенте запускаем:
    cloak-client.exe -u -c C:\Windows\System32\cloak-client-wireguard.json -i 127.0.0.1 -l 12345 -s example.com -p 443

    На клиенте WG настраиваем подключение на адрес прослушиваемый нашим Cloak-Client: 127.0.0.1:12345
    То есть при данной схеме UDP трафик WG упаковывается в туннель TCP предоставляемый средствами cloak.
    Если сработает блокировка, можно включить шифрование в конфиге cloak-client:
    root@test:~# cat /etc/cloak/cloak-client-wireguard.json
    {
      "Transport": "direct",
      "ProxyMethod": "wireguard",
      "EncryptionMethod": "aes-256-gcm",
      "UID": "Lkpevo0X6lV5bn33Rl1QCQ==",
      "PublicKey": "+GTHXOFTYJhRM4+xv9q+ZjSykSIMOLffIs8qJN/4V2Y=",
      "ServerName": "mail.google.com",
      "NumConn": 4,
      "BrowserSig": "chrome",
      "StreamTimeout": 300
    }
    Ответ написан
  • Как повысить скорость работы xray+reality?

    @zvl
    Можно попробовать изменить TCP Congestion
    https://habr.com/ru/articles/168407/
    Посмотреть текущие параметры можно командой:
    Get-NetTCPSetting | Select-Object SettingName,CongestionProvider

    Для винды параметры по умолчанию:
    SettingName      CongestionProvider
    -----------      ------------------
    Automatic
    InternetCustom   CUBIC
    DatacenterCustom CUBIC
    Compat           NewReno
    Datacenter       CUBIC
    Internet         CUBIC


    Например в рекомендациях по настройке shadowsocks, пишут:
    # for high-latency network
    net.ipv4.tcp_congestion_control = hybla

    https://github.com/shadowsocks/shadowsocks/wiki/Op...
    Ответ написан
    Комментировать
  • Есть ли какая-либо литература о VLESS, REALLITY и подобных технологиях?

    @zvl
    Хоть и не предмет вопроса, но рабочий вариант которым пользуюсь сам https://teletype.in/@yachmenev/shadowsocks-cloak
    Ответ написан
    Комментировать
  • Возможно ли анонсировать не connected сети в OSPF?

    @zvl
    На маршрутере за которым установлен VPN сервер
    Routing - OSPF - Instances
    Redistribute Static Routes
    из ABR роутер переходит в разряд ASBR
    Ответ написан
    Комментировать
  • Как перенаправить трафик через IPsec VPN на Cisco RV340 во внутреннюю сеть?

    @zvl
    Правильно понимаю что задача в том чтобы клиенты подключенные к 340 могли получить доступ ко всем сетям за 340 и ко всем сетям которые туннелируются через 130 клиентов?
    Ответ написан
    Комментировать
  • Как настроить Windows автоматически?

    @zvl
    Почитать про автоматическое развертывание Windows можно на сайте MS в разделе Windows Deployment Services - https://docs.microsoft.com/ru-ru/windows/deploymen...
    Ответ написан
    Комментировать
  • Не удается активировать windows на этом устройстве. Что делать?

    @zvl
    Настройки активации на корпоративном KMS сервере можно посмотреть через slmgr /dlv или slmgr /dli
    Явно указать домен для поиска SRV записей можно командой slmgr /skms-domain contoso.com
    Указать конкретный корпоративный сервер активации: slmgr /skms kms.contoso.com или slmgr /skms 10.0.0.1
    Очистить настройки slmgr /ckms-domain или slmgr /ckms если были заданы домен или хост активации соответственно.
    Если нет явно заданных доменов для поиска SRV записей или KMS серверов возможно что домен указан на интерфейсе сетевой карты (в свойствах сетевого интерфейса указан доменный суффикс) либо в свойствах системы Дополнительные параметры системы - Имя компьютера - Кнопка Изменить - Кнопка Дополнительно - Поле Основной DNS-суффикс этого компьютера
    Третий вариант задания сервера активации - параметр Option 15 (DNS Domain Name) в настройках DHCP сервера.
    Могу предположить что комп настроили в рабочей сети и он автоматически активировался на корпоративном сервере, но через 180 дней необходима повторная активация и доступа к корпоративной сети на текущий момент нет.
    Ответ написан
    5 комментариев
  • Как сделать проксирование на тот же домен в Nginx?

    @zvl
    Нечего ответить человеку которому лень прочитать официальную документацию на русском языке - https://nginx.org/ru/docs/beginners_guide.html
    Ответ написан
    Комментировать
  • Как правильно заменить старый Active Directory?

    @zvl
    Если надо перекинуть всех пользователей в новый домен можно использовать ADMT
    https://docs.microsoft.com/ru-ru/troubleshoot/wind...
    Поднимается рядом еще один домен, настраиваются доверительные отношения между старым и новым доменом и постепенно пользователи и компьютеры перемещаются на новый домен. Есть некоторые нюансы в именовании доменов, ну и еще некоторые. С вопросом про сайт не совсем понятно что имеется ввиду и к работе домена он особого отношения не имеет если авторизация на сайте не использует доменные сервисы
    Ответ написан
    Комментировать
  • Как подключиться к VPN серверу через Proxy?

    @zvl
    ssh туннелирование не вариант?
    Ответ написан
    Комментировать
  • На каком оборудовании построить беспроводную сеть для офиса?

    @zvl
    Недавно была похожая задача.
    Коммутатор с PoE - https://shop.nag.ru/catalog/00001.kommutatory/4021...
    Контроллер для точек доступа - https://shop.nag.ru/catalog/33702.wi-fi-marshrutiz...
    Сами точки доступа - https://shop.nag.ru/catalog/33702.wi-fi-marshrutiz...

    Если есть Ubiquity, контроллер можно развернуть на виртуалке если сеть сервер виртуализации.
    Ответ написан
    Комментировать
  • Какой FTP сервер под linux выбрать?

    @zvl
    Лучше сразу sftp на базе ssh, проще и безопасней. Если надо анонимный доступ к файлам для скачивания Apache/Nginx
    Ответ написан
    Комментировать
  • MikroTik и VLAN с кучей IP от провайдера. Как?

    @zvl
    а что мешает подать нативом (access) трафик провайдера и адреса навесить на интерфейс микротика?
    работает подобная схема, на микроте висит 3 адреса из одной сети на одном интерфейсе.
    пакеты предназначенные разным внешним адресам пробрасываются (dst-nat) на разные внутренние серверы.
    из внутрисети пользователи выходят с одного из адресов, если надо кому-то задать другой внешний адрес достаточно просто добавить правило с нужными src/nat адресами выше дефолтового src-nat правила.
    Ответ написан
    Комментировать