» Флейм для сисадминов (часть III)

goletsa

Цитата:

Можно залезть внутрь вьяты и поставить полноценный socks сервер.

А допиливанием сквида то, что я хочу, точно недостижимо?
Если так - то какой имено сокс ставить, и где о нём почитать?



Цитата:

Ну а проги если не умеюь прокси загонять через freecap или типа того на эту проксю.

Опять же, общая идея-то проксификации мне ясна - а конкретнее? Собственого опыта нет, чтобы сделать сразу правильный выбор среди софтов, предлагающих свои услуги на этом "рынке"

Мне шоппинг неинтересен, мне нужно "купить" сразу рабочую лошадку, хорошо изученную коллегами. Не для того, чтобы понтоваться или трахаться с недоделом, в качестве бесплатного тестера. Но предпочтительно вопользоваться скрытыми возможностями того конструктора - вятты - который уже есть.



Цитата:

Одно время я игрался с вьятой но бесит что она периодически затирает руками написанные конфиги

Я уже тоже с этим столкнулся. Решил бэкапить, но от вяты пока не отказываться.


Добавлено:


Может быть, вместо проксификации использовать OpenVPN клиента на винде?
Это общая идея, если поддержите - буду ещё уточнять детали.


Добавлено:

Может, и OpenVPN трафик можно пустить типа по 80 порту - чтобы провайдер не опознал его как VPN?

Чем тогда OpenVPN отличается от соксов?

Вы немного некоректно сравниваете (теплое с мягким, socks с openvpn).

OpenVPN это всего навсего реализация vpn клиента/сервера.
Socks это протокол.

По поводу детекта и облома vpn - pptp использует gre протокол который достаточно просто отдетектить на фаерволе и заблокировать.

l2tp вроде работает поверх tcp.
Вообще в андеграунде есть топик как раз посвященный тунелированию, может стоит его полистать?


Добавлено:
Вы немного некоректно сравниваете (теплое с мягким, socks с openvpn).

OpenVPN это всего навсего реализация vpn клиента/сервера.
Socks это протокол.

По поводу детекта и облома vpn - pptp использует gre протокол который достаточно просто отдетектить на фаерволе и заблокировать.

l2tp вроде работает поверх tcp.
Вообще в андеграунде есть топик как раз посвященный тунелированию, может стоит его полистать?

goletsa


Цитата:

OpenVPN это всего навсего реализация vpn клиента/сервера.

Насколько я понимаю, нет такого протокола VPN, чтобы его реализовать. Это просто маркетинговая этикетка для самых разных технологий.

OpenVPN это тоже протокол. Причём мне кажется, что его внутренности куда ближе к Socks, чем внутренности IpSec (фазу обмена ключами оставляю за скобками, мне она неинтересна сейчас).



Цитата:

По поводу детекта и облома vpn - pptp использует gre протокол который достаточно просто отдетектить на фаерволе и заблокировать.

Я ипсек настроил. Именно он поработал быстро с полчасика - после чего скорость подозрительно упала до скорости локального канала забугор.

Добавлено:

Цитата:

Вообще в андеграунде есть топик как раз посвященный тунелированию, может стоит его полистать?

Стопроцентно уверен, что 80 и 443 порты пров не инспектирует.
А вот за всякими хорошо известными VPN может сверху приглядывать и шейпить.


Добавлено:

В вятте есть не только pptp и l2tp: там и ипсек, и опенвпн из коробки.

Еще раз говорю, openvpn это не протокол а реализация.

goletsa

реализация чего ?

Добавлено:


и там, и там устанавливается туннель (на транспортном уровне в обоих случаях?). Содержимое туннеля вообще говоря произвольное TCP/IP (в обоих случаях?) Процедура установления соединения может быть разная....

Если же вдруг оpenvpn еще и умеет по произвольному порту работать - то в чём разница? Даже гибче сокса выходит.

Помогите пожалуйста ,
Работаю на фирме , а за моим компом служба безопасности удаленно наблюдает, и все кому не лень ,

должны же быть программы для сообщение о удаленном просмотре рабочего стола!!! искал и не нашел ,

sasha_pan

Цитата:

Работаю на фирме , а за моим компом служба безопасности удаленно наблюдает, и все кому не лень

Цитата:

должны же быть программы для сообщение о удаленном просмотре рабочего стола!

Нафига вам программа, если у вас и так чутьё не подводит

Цитата:

Работаю на фирме , а за моим компом служба безопасности удаленно наблюдает, и все кому не лень ,

Ну раз подписались на такою работу с такими условиями ..... терпите

sasha_pan
Цитата:

а за моим компом служба безопасности удаленно наблюдает, и все кому не лень ,

имхо все кому не лень не должны. А вот безопасность + начальник это, к сожалению, нормальная практика. Я вот даже точно не знаю, если ли у нас видеокамеры наблюдения. Хотя мне без разницы

sasha_pan
Ну пускай смотрят. А вы работайте и все

sasha_pan
нефиг балду пинать на работе а все кому не лень это кто не посредственное начальство чтоль? у нас юзера тож бегали топтали ногами что это за безпредел почему это админ может удалённо подключаться к моему компу какого фига он же может увидеть как я работаю им вежлево обьяснили что такова политика партии, сами то они не в состоянии понять что удалённо подключиться и помочь им в дебилиных детских заморочках легче чем пилить к ним в филиал или на другой этаж

LevT

Цитата:

реализация чего

Цитата:

OpenVPN — свободная реализация технологии Виртуальной Частной Сети (VPN) с открытым исходным кодом для создания зашифрованных каналов типа точка-точка или сервер-клиенты между компьютерами.

(c) http://ru.wikipedia.org/wiki/OpenVPN

Цитата:

Пользователи Microsoft Windows обозначают термином VPN одну из реализаций виртуальной сети — PPTP, причём используемую зачастую не для создания частных сетей.

(c)http://ru.wikipedia.org/wiki/VPN


Цитата:

Насколько я понимаю, нет такого протокола VPN, чтобы его реализовать. Это просто маркетинговая этикетка для самых разных технологий.

Цитата:

OpenVPN это тоже протокол. Причём мне кажется, что его внутренности куда ближе к Socks, чем внутренности IpSec (фазу обмена ключами оставляю за скобками, мне она неинтересна сейчас).

Сами себе противоречите.
Говорите что нету протокола VPN (с чем я согласен), а потом называете OpenVPN протоколом.


Цитата:

и там, и там устанавливается туннель (на транспортном уровне в обоих случаях?). Содержимое туннеля вообще говоря произвольное TCP/IP (в обоих случаях?) Процедура установления соединения может быть разная....

Если же вдруг оpenvpn еще и умеет по произвольному порту работать - то в чём разница? Даже гибче сокса выходит.

Socks не устанавливает тунеля. Он всего навсего транслирует ваши запросы на удаленную машину. И работает на транспортном уровне.
VPN же может работать на разных уровнях, что определяется протоколом. Например PPPoE работает если не ошибаюсь на канальном уровне. IPSec на сетевом уровне работают. И при соединении обычно образуется тунель точка-точка.
То что простоколы типа IPSec\PPTP\L2TP гибче это очевидно ибо образуются полноценные закрытые сети через которые можно маршрутизировать трафик. Через socks вы такого сделать не сможете.

goletsa
ну и ерунда в Педивикии написана. (с)Я


Нету такого протокола "VPN", реализованного по-разному. Есть коммерческое торговое словцо для продвижения коммерческих протоколов.

Точнее даже не протоколов, а многослойных комплектов из протоколов разного уровня. Выступающих именно такимии слойками.


OpenVPN можно назвать протоколом, а не реализацией.
Но вот ипсек это тоже "протокол". А на самом деле слойка из кучи протоколов например это точно комплект из слоёв:


2) quick mode (собственно IPSEC - штампующий нужный трафик и херачащий его по одностороннему каналу обмена данными по направлению к пиру. Канал должен быть установлен на фазе IKE - и может быть как туннельным, и так и транспортным. В одну сторону трафик между сладкой парочкой может идти по туннелю, а в обратную транспортом)

1) IKE в разных взаимоисключающих в настройке каждого из концов парочки вариантах: main mode, aggressive mode, IKEv2.

IKE сам многофазный:

1a) Сначала по открытому интернету надо найти партнёра,
1b) затем установить шифрованный управляющий канал,
1c) По нему договориться (или не договориться) с партнёром об установлении каналов обмена данными.

В aggressive mode все три (или две?) фазы слиты в одну, как в IKEv2 я не знаю.



Так вот, в любом" vpn" есть управляющие каналы и один или несколько каналов данных (они могут быть объединены, а могут быть разными и дже по-разному тунеллироваться).

Есть фазы поиска партнера, обмена ключами, шифрования трафика и собственно передачи данных по установленному туннелю. Каких-то фаз может не быть.


Хорошо бы увидеть, где OpenVPN расписан по этим фазам. И сокс.


Добавлено:

OpenVPN тут
http://forum.ixbt.com/topic.cgi?id=14:49976

философский вопрос: почему если что-то ломается, то обязательно в пятницу вечером?!

kermit
имхо потому что Законы Мерфи http://murphy-law.net.ru/basics.html никто не отменял.

http://www.mista.ru/merfy/index.html

здесь побольше будет)

Доброго времени суток, уважаемые! Новой темы не создавал, решил здесь спросить. Проблема в следующем, есть лановый модем работающий бриджем (роутером настроить возможности нет, потому что контора не даёт менять настройки модема), есть комп которому надо инет, подцепил я его к модему, создал коннект через мастера новых доключений, указал на нём ip, маску, шлюз - ip модемаи днс провайдера, вроде авторизация проходит и Инет есть, но проблема в следующем, в этой конторе несколько компов, один из них с помощью софта под названием Cisco VPN Client 5.0.04 коннектится через инет к серваку, котоырй находится в другом городе, у этого сервака есть внешний ip и стоит Циско ВПН сервер. И всё бы ничего, но вот проблема когда работает соединение ciscoVpn client пропадает сеть у этого компа, т.е. он перестаёт видеть сетку, а она нужна, потому как и принтер расшарен на другом компе и кое какие ресурсы нужны ему в момент работы цисковпна. Я пробывал в cmd->route прописывать маршрут route add 192.168.1.111 (это адрес компа в сетке который нужно видеть в сети) mask 255.255.255.255 192.168.1.112 (это ip где работает цисковпн) metric 1 (ставлю метрику со значением 1, чтобы только один маршрут был), но ничего не получается. Может кто подскажет что я ни так делаю с маршрутами,надеюсь на вашу помощь.

Мы тут поза/вчера теоретически поспорили, а кто бы практическое направление задал?

Есть vyatta со squid3, включающемся одной строчкой. Можно ли с минимальным вмешательством завернуть через них 1) явный https трафик броузеров 2) трафик виндовых прог, не знающих о прокси.

В приниципе, руками там можно конфиги подправлять, и из apt-get что-то ставить. Что минимально необходимо править и ставить?


goletsa

не вижу я в андерграунде ответа на свой вопрос
только аналогичный вопрос от августа 2008, оставшийся без ответа

Ручная конфигурация openswan и pluto (это относится к ipsec) это кошмар, я ее не осилю в самостоятельно поставленном дебиане. Сперва надо потестить семантику этого добра с помощью вятты. Даже в ней пока туннели не поднимутся - совершенно непонятно, к чему надо стремиться в конфигурации.


Добавлено:

нашел тему

Я бы предложил попробовать поднять 3proxy в socks5 режиме и завернуть на него FreeCap'ом проги.
Это выглядит как самое простое решение.

http://www.3proxy.ru/


Добавлено:
uruik
Ковыряйте настройки клиента, в стандартном клиенте венды например есть галка не менять шлюз по умолчанию.

Господа, а у всех почта с Яндекса нормально ходит?
У меня почему-то письма с forwardNN.mail.yandex.net висят в очереди и отваливаются по таймауту. Вся остальная почта ходит без проблем.

а ваш адрес случайно в блеклисты не попал?

нет
по этому тесту
http://www.myiptest.com/staticpages/index.php/check-Blacklisted-IP-DNSBL
все зеленое, кроме dnsbl-3.uceprotect.net
Ошибка в логах:

Цитата:

Error: Client closed connection unexpectedly expecting Message body - terminating

goletsa

Цитата:

Я бы предложил попробовать поднять 3proxy в socks5 режиме

Он же в сорцах, кажется? Даже apt-get я на практике в вятте не пробовал. Чисто направление знаю...

А как в ней компилять что-то - ваще для меня тёмный лес.

Ну ставятся dev пакеты и все нормально компиляется.
К тому же у 3proxy зависимостей немного.
Только сначала надо не забыть подключать репозитории debian, в репозах вьяты нету компиляторов.

goletsa

А что конкретно ставится? У меня на хостинге машинка рабочая, грохнуть её нежелательно. И засрать тоже.

дарова всем..
на основании и учитывая текущий день недели - обещанное всем входящим и давно сидящим.. :)

С последней тяпницей, братцы!!!

LevT
Могу выложить архив с бинарниками собраными, поидее долны будут заработать.

goletsa

вроде запускаются...

LevT
Ну на gmail по https я смог попасть. В общем попробуйте свои проги на него завернуть.