The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Туннелинг, VPN, VLAN

   Корень / Администратору / Сетевая подсистема, маршрутизация / Туннелинг, VPN, VLAN

----* Выборочное туннелирование сайтов через WireGuard   Автор: Аноним  [комментарии]
  Идея проста: на localhost поднимается SOCKS5 proxy, проталкивающий информацию на ту сторону туннеля WireGuard. Соответственно, селективность достигается путём использования прокси для нужных соединений.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Как в mpd5 присвоить определенный номер для ng интерфейса (доп. ссылка 1)   Автор: Слава  [комментарии]
 
Несколько интерфейсов, например два, можно сделать следующим образом:

   create bundle static NAME 

   create link static NAME1 TYPE 
   set link action bundle NAME 

   create link static NAME2 TYPE 
   set link action bundle NAME 

В результате получится два интерфейса, у одного будет жестко ng0, у второго
ng1, они появятся в системе сразу после запуска mpd, просто будут в DOWN, пока
mpd не поднимет линки.
 
----* IPsec между Strongswan 5.0.4 (FreeBSD) и Strongswan 1.2.3 (Android) (доп. ссылка 1)   Автор: YetAnotherOnanym  [комментарии]
  1. Устанавливаем Strongswan на FreeBSD, компилируем ядро с поддержкой IPsec. Устанавливаем на Android Strongswan из Google Play.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Мультиплексирование ssl/ssh соединений через один 443 порт (доп. ссылка 1)   [комментарии]
 
В рамках проекта sslh (http://www.rutschle.net/tech/sslh.shtml) развивается
мультиплексор ssl/ssh соединений, способный принимать соединения на одном порту
и перебрасывать их в зависимости от типа протокола. Поддерживается широкий
спектр протоколов, среди которых  HTTP, HTTPS, SSH, OpenVPN, tinc и XMPP.
Наиболее востребованным применением sslh является обход межсетевых экранов,
допускающих только ограниченное число открытых портов.

Например, запустив sslh за пределами межсетевого экрана на 443 порту, можно
организовать работу SSH и любых других протоколов: соединение с внешней системы
будет производиться на 443 порт, но пробрасываться на локальный 22 порт, при
этом штатные HTTPS-запросы будут перебрасываться на localhost:443.

Для обеспечения работы такой схемы sslh следует запустить с опциями:

   sslh --user sslh --listen 192.168.10.15:443 --ssh 127.0.0.1:22 --ssl 127.0.0.1:443

где, "--user sslh" определяет пользователя, под которым следует запустить sslh;
"--listen 192.168.10.15:443" - IP и порт для приёма внешних соединений;
"--ssh 127.0.0.1:22" - IP и порт для проброса SSH
"--ssl 127.0.0.1:443" - IP и порт для проброса HTTPS
 
----* Проброс 802.1q/access порта в Linux через IP-сеть   Автор: Roman Timofeev  [комментарии]
  В 2007 году я написал [[http://www.opennet.me/tips/info/1389.shtml заметку]] с похожим названием.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Подключения к Internet Beeline (Corbina) в Debian GNU/Linux 6 по протоколу l2tp (доп. ссылка 1)   Автор: Ilya  [комментарии]
  Руководство по настройке подключения к провайдеру Beeline (Corbina) в Debian 6 по протоколу l2tp.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* IPSec туннель между Cisco и CentOS Linux   Автор: PsV  [комментарии]
  Имеем:
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Создание HTTP-туннеля для удаленного доступа к Linux-хосту в обход Microsoft ISA (доп. ссылка 1)   [комментарии]
  Для организации управления внешней рабочей станцией из корпоративной сети, защищенной Microsoft ISA, можно поднять HTTP-туннель, при помощи которого можно установить TCP-соединение, несмотря на использование HTTP-прокси и жестких политик ограничения доступа на межсетевом экране.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Установка PAN-соединения через bluetooth во FreeBSD 7.2   Автор: shurik  [комментарии]
  Рассказ об организации выхода ноутбутка в сеть через комуникатор Toshiba Portege G810 с Windows Mobile 6.1 на борту, не позволяющий использовать его в качестве gprs-модема, но позволяющий организовать соединение с ПК через bluetooth PAN.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Ограничение возможностей ssh туннеля при помощи iptables   Автор: Avatar  [комментарии]
  Использование туннелей на основе ssh сейчас широко распространено. И многие используют его как универсальное решение для организации туннелей внутрь локальной сети для доступа к различным сервисам. И в связи с этим очень часто возникает вопрос "А как ограничить возможности такого туннеля".
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Включение поддержки VLAN на ADSL-маршрутизаторе D-Link 2500U/BRU/D   Автор: halic  [комментарии]
  Переделанная прошивка позволяет указывать VLAN-id на ethernet порте модема D-Link 2500U/BRU/D (http://dlink.ru/ru/products/3/745.html). VLAN-id не указывается каким-то отдельным пунктом, а берется из IP. Если нужен VLAN-id 22, меняйте локальный IP модема на X.X.22.X, если 66 - X.X.66.X. Например: 192.168.55.1 для VLAN-id #55.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Проброс TCP соединения через ICMP туннель   [комментарии]
  Утилита PingTunnel (http://www.cs.uit.no/~daniels/PingTunnel/) позволяет организовать TCP тунель поверх ICMP 'echo' или 53 UDP порта. Подобное может оказаться полезным для обеспечения работы клиента, для которого пакетным фильтром заблокирован весь трафик, кроме ICMP или 53 UDP порта. Для работы PingTunnel необходим запуск прокси-процесса на удаленной машине (не важно, под какой ОС, утилитой поддерживается даже Windows), имеющей выход в сеть.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Организация подключения по SSH через HTTP прокси   [комментарии]
  Устанавливаем ПО corkscrew (http://www.agroman.net/corkscrew/), позволяющее создавать туннели поверх HTTP прокси.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Автоматическое изменение MTU при поднятии VPN соединения   Автор: HolyGun  [комментарии]
  Столкнулся с такой проблемой, что при поднятии VPN соединения по умолчанию у каждого соединения MTU равен был 1396. В результате чего не работало большое количество сайтов.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Настройка IPv6 в Debian GNU/Linux (доп. ссылка 1)   [комментарии]
  IPv6 соединение будем туннелировать через брокер туннелей (Tunnel Broker), так как не все ISP поддерживают прямое IPv6 соединение.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Туннели с использованием SSH. Режим эмуляции Socks proxy в SSH (доп. ссылка 1) (доп. ссылка 2)   Автор: Vladimir Brednikov  [комментарии]
  1. Режим эмуляции Socks proxy в SSH
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* OpenVPN с TAP в OpenBSD   Автор: Вадим Жуков  [обсудить]
  OpenBSD не имеет устройства tap(4), которое по своей сути является простым туннелем 2-го уровня OSI. Вместо этого необходимо использовать tun(4), причём для последнего нужно перед запуском openvpn установить link0. Также, при использовании --pool следует учесть, что openvpn передаёт различные параметры настройки для TAP- и tun-соединений, из-за чего необходимо отказываться от предлагаемого выполнения ifconfig самим OpenVPN и вместо этого юзать свой скрипт, в который в простейшем случаю жёстко прописываются
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Прозрачный переброс VPN соединения на другой сервер (доп. ссылка 1)   Автор: AxeleRaT  [комментарии]
  Была задача, сделать прозрачный переброс пользователей с одного VPN (PPTPD) сервера на другой (PPTPD), с условием, что пользователям ничего менять в настройках VPN соединения не приедеться.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Как пробросить TCP порт средствами xinted (доп. ссылка 1)   Автор: Евгений  [комментарии]
 
Пробросить TCP порт 1604 с 192.168.25.22 на машину  172.16.1.2 во внутренней сети.

/etc/xinetd.conf

    service ica
    {
        disable = no
        port = 1604
        bind = 192.168.25.22
        socket_type = stream
        user = root
        redirect = 172.16.1.2 1604
        type = UNLISTED
        wait = no
    }

redirect работает только для TCP.
 
----* Остановка netgraph нод после mpd (доп. ссылка 1)   Автор: Roman Y. Bogdanov  [комментарии]
 
С помощью этого маленького скрипта, можно выполнить освобождение netgraph нод, 
которые оставляет за собой упавший в "корку" MPD3.

#!/bin/sh

for j in "" 1 2 3 4 5 6 7 8 9 10 11 12; do
  for i in 0 1 2 3 4 5 6 7 8 9; do
    echo $j$i
    ngctl shutdown ng$j$i:
    ngctl shutdown mpd$1-pptp$j$i:
  done
done
 
----* Как "протянуть" 802.1q tagged порт через ip-сеть.   Автор: Roman Timofeev aka ^rage^  [комментарии]
  Дано:
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Q-in-Q (VLAN stacking) в Linux   Автор: ^rage^  [комментарии]
  Q-in-Q - проброс VLAN внутри другого VLAN.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Интеграция VPN на базе mpd в Active Directory.   Автор: spherix  [комментарии]
  Было дано:
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Настройка PPTP Client под управлением OpenBSD (доп. ссылка 1)   Автор: dreamcatcher.ru  [комментарии]
  Автор: Алексей Гнедин Редактор: Олег Сафулин
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* popa3d + TLS/SSL (stunnel) на FreeBSD 5.4   Автор: Вотинцев Сергей А.  [комментарии]
  Установка stunnel:
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Защищенный канал связи используя stunnel   Автор: Wely  [комментарии]
  Мне потребовалось сделать защищённый канал для связи, под FreeBSD 5.4. Выбрал самый легкий путь для моих условий: поставить stunnel. Эта программа занимается перенаправлением портов через ssl-канал к обычным портам. итак:
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Шифрованная передача текста (openssl+nc)   Автор: ZEDER  [обсудить]
 
Передаём на хост .1 в порт 666 текст предварительно его зашифровав паролем "paSSw0rd":
   echo ТЕКСТ | openssl des3 -salt -k paSSw0rd | nc 192.168.48.1 666

принимаем на порту 666 текст:
   nc -l -p 666 | openssl des3 -d -k paSSw0rd
 
----* Как создать шифрованный туннель используя SSH (доп. ссылка 1)   [комментарии]
 
ssh dmzserver -R 9999:mirrorserver:80
ssh -R 9999:localhost:80 dmzserver
ssh -2 -N -f -L 2110:mail.example.com:110 [email protected]
 
----* Поднятие IP-IP туннеля между FreeBSD и Linux   Автор: Alexey N. Kovyrin  [комментарии]
 
Пусть имеется 2 машины PC1 (FreeBSD, ip-адрес IP1, интерфейс INT1) и PC2 (Linux, IP2, INT2).
Для построения IP-IP туннеля (на стороне FreeBSD будет адрес TUN1, Linux - TUN2):

  bsd# nos-tun -t /dev/tun0 -s TUN1 -d TUN2 -p 4 IP2
  bsd# ifconfig tun0 mtu 1500
  bsd# ifconfig tun0 up

  linux# ip tunnel add tun0 mode ipip remote IP1 local IP2 dev INT2
  linux# ifconfig tun0 TUN2 pointopoint TUN1
  linux# ifconfig tun0 mtu 1500
  linux# ifconfig tun0 up
 
----* Включение поддержки IPv6 в FreeBSD (доп. ссылка 1)   [комментарии]
  Ядро:
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Использование в Linux IEEE 802.1Q VLAN'ов совместно с Cisco Catalyst Switch   Автор: J  [обсудить]
 
Linux:
  /sbin/vconfig add eth1 5
  /sbin/vconfig add eth1 4
  /sbin/ifconfig eth1.4 192.0.0.8 netmask 255.255.255.240 up
  /sbin/ifconfig eth1.5 192.0.1.8 netmask 255.255.255.240 up
Catalyst:
  conf t
  int fa0/0
   switchport mode trunk
   switchport trunk allowed vlan 4,5,1002-1005
 
----* Создание gif туннеля в FreeBSD   Автор: kont  [комментарии]
 
1) Собрать ядро с "pseudo-device   gif"
2) В /etc/rc.conf добавить в список сетевых интерфейсов gif0
3) В /etc создать файл под именем start_if.gif0 и сделать ему chmod +x
4) Вставить в файл примерно следующее содержание:
#!/bin/sh
/sbin/ifconfig gif0 create inet virtual-local-ip virtual-remote-ip\
       netmask 255.255.255.252 tunnel source-addr remote-addr mtu 1500 up
/sbin/route add default your-default-router
/sbin/route add -net localnetwork-at-remote virtual-remote-ip
 
----* Как поднять туннель между Cisco и Linux   [комментарии]
 
Linux (192.168.2.1):
   /sbin/ip tunnel add tunl1 mode ipip remote 192.168.1.1
   /sbin/ifconfig tunl1 192.168.3.2 pointopoint 192.168.3.1 netmask 255.255.255.252 mtu 1500

Cisco (192.168.1.1):
  interface Tunnel0
    ip address 192.168.3.1 255.255.255.252
    ip mtu 1500
    tunnel source 192.168.1.1
    tunnel destination 192.168.2.1
    tunnel mode ipip
 
----* Создание шифрованного туннеля используя zebedee (доп. ссылка 1)   [обсудить]
 
Запуск на сервере, куда будем соединятся с клиента:
  washin% zebedee ╜s 

Телнет сессия с клиента:
  isshin% zebedee 9000:washin:telnet
  telnet localhost 9000 
или одной командой:
  zebedee  ╜e "telnet localhost %d" washin
 
----* Как создать простейший туннель используя утилиту netcat (доп. ссылка 1)   [обсудить]
 
Простейший echo-туннель:
  Серверный процесс: nc -l -p 5600
  Клиент: nc 10.0.1.1 5600

netcat для пересылки файла:
 Сервер (куда писать файл): nc -v -w 30 -p 5600 l- > filename.back
 Клиент: nc -v -w 2 10.0.1.1 5600 < filename

Перенаправление ввода/вывода на программу:
  Сервер: nc -l -p 5600 -e /bin/bash
  Клиент: nc 10.0.1.1. 5600
 
----* Настройка PPTP-клиента под FreeBSD (доп. ссылка 1)   Автор: l0ner  [комментарии]
 
Необходимо установить из портов пакет pptpclient
/etc/ppp/ppp.conf
  vpn:
  set authname <LOGIN>
  set authkey <PASSWORD>
  set timeout 0
  set ifaddr 0 0
  add default HISADDR

Подключение к VBN серверу:
  /sbin/route add -host <IP_address_of_VPN_server> <gateway>
  /usr/local/sbin/pptp <IP_address_of_VPN_server> vpn &
 
----* Использование в FreeBSD IEEE 802.1Q VLAN'ов совместно с Cisco Catalyst Switch   [комментарии]
 
В конфигурации FreeBSD ядра:
    pseudo-device vlan 20 # VLAN support (для динамической генерации в новых версиях - 20 можно не писать)
Поднимаем VLAN вручную (где 28 - vlan id на свиче, fxp0 - интерфейс воткнутый в свитч):
    ifconfig vlan0 inet 192.168.1.3 netmask 255.255.255.0 vlan 28 vlandev fxp0
Прописываем в /etc/rc.conf:
  cloned_interfaces="vlan0"
  ifconfig_vlan0="inet 192.168.1.3 netmask 255.255.255.0 vlan 28 vlandev fxp0"
На коммутаторе Cisco Catalyst:
    interface FastEthernet0/1  # линк к FreeBSD
        switchport mode trunk
    interface FastEthernet0/2
        switchport access vlan 28
 
----* Как с помощью утилиты netcat организовать инкапсуляцию UDP в TCP поток.   [обсудить]
 
Например, для доступа к syslog UDP порту через TCP соединение (клиент):
        nc -l -u -p syslog | nc localhost 2000
Обратное преобразование (сервер):
       nc -l -p 2000 | nc localhost -u syslog
В итоге можно организовать TCP туннель (например через SSH) для проброса информации для syslog.
 
----* Использование tor из состава Tor Browser без запуска самого браузера (доп. ссылка 1)   Автор: artenox  [комментарии]
 
Так можно запустить встроенный tor без самого браузера:

LD_LIBRARY_PATH=~/tor-browser/Browser/TorBrowser/Tor
~/tor-browser/Browser/TorBrowser/Tor/tor --defaults-torrc
~/tor-browser/Browser/TorBrowser/Data/Tor/torrc-defaults -f
~/tor-browser/Browser/TorBrowser/Data/Tor/torrc --DataDirectory
~/tor-browser/Browser/TorBrowser/Data/Tor --GeoIPFile
~/tor-browser/Browser/TorBrowser/Data/Tor/geoip --GeoIPv6File
~/tor-browser/Browser/TorBrowser/Data/Tor/geoip6 --SocksPort 9170

После чего можно работать в Tor через SOCKS, обращаясь по порту 9170.
 
----* Возможные проблемы с настройками пакета tor в Debian по умолчанию (доп. ссылка 1)   Автор: Аноним  [комментарии]
 
Пользователям пакетов, зависимых  от пакета tor в Debian, следует проявить
осторожность. Файл конфигурации, идущий с пакетом tor, закомментирован почти
полностью, включая места, запрещающие узлу работать в режиме выходного узла
Tor. Настройки по умолчанию ( ExitRelay = "auto") подразумевают работу как
выходного узла при определённых условиях (если активна одна из опций -
ExitPolicy, ReducedExitPolicy или IPv6Exit).

Проблему усугубляет то, что от пакета tor зависит apt-transport-tor, что может
привести к ситуации, когда пользователь не разбираясь установил пакет для
большей безопасности, а получил доступ всех подряд в свою внутреннюю сеть и
перспективу претензий со стороны правоохранительных органов, как в деле
Дмитрия Богатова.

Дополнение: По умолчанию активация tor не подтверждена, по крайней мере в
Debian Stable, если действия пользователя не привели к изменению настроек
ExitPolicy, ReducedExitPolicy и IPv6Exit.
 

 Версия для печати





Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру