Архив рубрики: Шлюз, инет

tunnelblick and custom scripts

Недавно появилась задача использовать собственные маршруты при подключении через OpenVPN на MacOSX. Если это сделать по аналогии с OpenVPN — просто добавить в конфиг параметр up/route-up, то в логе вы увидите, что не удалось выполнить из-за дубликата параметра. Что за ересь? Идём на сайт tunnelblick’a в раздел документации и видим, что нужно использовать специфические имена скриптов. Но куда их ложить?

Нашёл в интернете заметку, где сказано, что ложить их нужно по такому пути /Library/Application Support/Tunnelblick/Users/<user_name>/<config_name>.tlbk/Contents/Resources/, если у вас личный когфиг, или по такому /Library/Application Support/Tunnelblick/Shared/<config_name>.tblk/Contents/Resources, если общий.

Примечание. Если tunnelblick после изменений спросит «обезопасить ли конфигурацию» — отвечайте нет, иначе он удаляет папку с конфигом (а значит и все скрипты) и создаёт заново.

Запускаем Huawei modem

Здесь буду приводить лишь некоторые нюансы, которые являются нестандартными. После вставки модема смотрим его VID:PID:

$ lsusb 
Bus 003 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 006 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 002 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 005 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 001 Device 005: ID 12d1:14db Huawei Technologies Co., Ltd. E353/E3131
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 004 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub

Читать далее

ISC bind/named: включаем принудительно IPv4 для slave/resolving

Недавно столкнулся с ситуацией, когда идёт запрос на bind, а он должен forward’ить запросы определённой зоны дальше. И тут начинается интересное: приходит запрос на А-запись, а bind forward’ит её дальше уже как АААА-запись. Через tcpdump это выглядит так:


IP 192.168.1.137.61275 > 192.168.1.1.53: 8461+ A? srv2304.domain.local. (40)
IP 192.168.1.1.61034 > 192.168.1.50.53: 7530+ AAAA? srv2304.domain.local. (40)
IP 192.168.1.50.53 > 192.168.1.1.61034: 7530* 0/1/0 (98)

Читать далее

[Linux] Разрешаем vpn pptp через nat для локальной сети

Как оказывается, просто включить NAT недостаточно. Более того, недостаточно даже подключить helper через sysctl:

net.netfilter.nf_conntrack_helper=1

В сети пишут, что нужно подгрузить модули (некоторые ещё уточняют, что это нужно было до версии 8.Х включитель, а с 9-ой достаточно просто подключить helper через sysctl, но как оказывается, недостаточно)

Читать далее

TRex — генератор трафика

Бесплатный stateful и stateless генератор клиентского и серверного трафика L4-L7, масштабируемый до цифр в 400 Гбит/сек на одном сервере. Данный инструмент может использоваться для тестирования и сравнения различных сетевых решений, включая и область кибербезопасности, — DPI, МСЭ, IPS, NAT, балансировщики нагрузки, кеширующие сервера.

Официальный сайт  https://trex-tgn.cisco.com

netutils-linux — утилита для мониторинга и тюнинга сетевого стека Linux

Представлен выпуск проекта netutils-linux 2.5.0, в рамках которого развивается набор утилит для мониторинга и тюнинга производительности сетевого стека Linux. Исходные тексты проекта написаны на Python (поддерживаются python 2.6+ и 3.4+) и поставляются под лицензией MIT.

Читать далее

[pf] Правильно настраиваем dup-to

Эта опция в pf позволяет дублировать трафик, минуя таблицу маршрутизации. Синтаксис прост:

pass in|out on $ext_if dup-to ($dup_if $dup_addr) ...

где, $ext_if — интерфейс с которого снимать трафик, dup_if — интерфейс, на который пересылать трафик (находится на том же роутере, что и ext_if), dup_addr — IP-адрес хоста, куда будет дублироваться трафик (находится в той же подсети, что и dup_if).

Читать далее

Балансировщик openvpn на haproxy

haproxy — достаточно известный прокси/балансировщик, который позволяет балансировать даже https/ssl. Ниже будет приведён только конфиг haproxy, так как от конфига openvpn’a это не зависит:

Читать далее

mikrotik в роли openvpn клиента.

И так, есть роутер на базе mikrotik’a и 4G модем Yota и нужно иметь возможность подключаться к роутеру из-вне (у роутера нет внешнего IP). Было принято решение поднять openvpn.

1) Серверная часть Openvpn

Openvpn сервер поднимается стандартно, но есть несколько нюансов:

Читать далее

USB-3G модем от Интертелекома через mpd на FreeBSD

Тестовый стенд: FreeBSD 8.4 i386 Release, модем Novatel U720, mpd-5.7

При этом данный канал используется как вторичный, поэтому строки для шлюза по дефолту, получение DNS от пиров — закоментированы.

И так, вносим такой код в /usr/local/etc/mpd5/mpd.conf (отступы обязательны!):

Читать далее