Настраиваю сервер SSTP по этой инструкции: https://sidmid.ru/softether-vpn-server-аналог-openvpn-установка-и-настройка/

за место SecureNAT использую Local Bridge и по инструкции испольую isc-dhcp-server. Все работает все норм, но я решила заменить этот DHCP на dnsmasq. В теории это просто другой DHCP сервер, но он не работает после замены почему-то, просто не выдает IP для клиентов.

порядок проверки:

vpnserver start  # запускаем SSTP сервер, он настроен и нормально работает
ifconfig tap_soft 192.168.30.1/24 # задаем IP для tap_soft 
systemctl restart isc-dhcp-server # перезагружаем DHCP

Подключаемся со своего роутера и видим что все работает.

переходим на dnsmasq :

systemctl stop isc-dhcp-server # останавливаем DHCP
vpnserver stop # останавливаем SSTP сервер
# ждем и начинаем все сначала

vpnserver start  # запускаем SSTP сервер
ifconfig tap_soft 192.168.30.1/24 # задаем IP для tap_soft 
systemctl restart dnsmasq  # перезагружаем DHCP

Подключаемся со своего роутера и видим что ничего не работает, мне не дают IP.

настройки из /etc/dhcp/dhcpd.conf для isc-dhcp-server, они наверное не нужны, но пусть будут для сравнения

option domain-name "tap_soft";
option domain-name-servers 192.168.30.1;

default-lease-time 43200;
max-lease-time 86400;

log-facility local7;

subnet 192.168.30.0 netmask 255.255.255.0 {
range 192.168.30.10 192.168.30.200;
option routers 192.168.30.1;
}

настройки из /etc/dnsmasq.conf

interface=tap_soft
dhcp-range=192.168.30.10,192.168.30.200,255.255.255.0,12h

# Опция 3 - это шлюз по умолчанию для DHCP-клиентов
dhcp-option=3,192.168.30.1

# Отключить DNS
port=0

log-queries
log-dhcp
log-facility=/var/log/dnsmasq.log

# Включаем DHCP сервер на указанном интерфейсе
dhcp-authoritative

В логах файла /var/log/dnsmasq.log пусто, ничего стоящего нет:

Dec 30 18:28:25 dnsmasq[304562]: started, version 2.89 DNS disabled
Dec 30 18:28:25 dnsmasq[304562]: compile time options: IPv6 GNU-getopt DBus no-UBus i18n IDN2 DHCP DHCPv6 no-Lua TFTP conntrack ipset nftset auth cryptohash DNSSEC loop-detect inotify dumpfile
Dec 30 18:28:25 dnsmasq-dhcp[304562]: DHCP, IP range 192.168.30.10 -- 192.168.30.200, lease time 12h

результат команды: ifconfig tap_soft

tap_soft: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.30.1  netmask 255.255.255.0  broadcast 192.168.30.255
        inet6 fe80::5cd3:a3ff:fe26:67e  prefixlen 64  scopeid 0x20<link>
        ether 5e:d3:a3:26:06:7e  txqueuelen 1000  (Ethernet)
        RX packets 2876  bytes 288028 (281.2 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 4405  bytes 5338754 (5.0 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

результат команды: netstat -lptune

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       User       Inode      PID/Program name
tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN      0          430413     240142/vpnserver
udp        0      0 127.0.0.54:53           0.0.0.0:*                           996        16200      487/systemd-resolve
udp        0      0 127.0.0.53:53           0.0.0.0:*                           996        16199      487/systemd-resolve
udp        0      0 0.0.0.0:67              0.0.0.0:*                           0          548716     305584/dnsmasq

результат команды: ping 192.168.30.1 все хорошо видно

PING 192.168.30.1 (192.168.30.1) 56(84) bytes of data.
64 bytes from 192.168.30.1: icmp_seq=1 ttl=64 time=0.063 ms
64 bytes from 192.168.30.1: icmp_seq=2 ttl=64 time=0.041 ms
64 bytes from 192.168.30.1: icmp_seq=3 ttl=64 time=0.064 ms

результат команды: ip link show tap_soft для работы и с isc-dhcp-server и с dnsmasq показывает что интерфест поднять есть слово «UP»

6: tap_soft: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq state UNKNOWN mode DEFAULT group default qlen 1000
    link/ether 5e:d3:a3:26:06:7e brd ff:ff:ff:ff:ff:ff

в iptables есть правило для входящего UDP на 67 порт и там цифры меняются и видно движение трафика

iptables -A INPUT -p udp --dport 67 -j ACCEPT  # iptables в теории не причем т.к. isc-dhcp-server работает

Пробую в ручном режиме запросить настройки для интерфейса tap_soft

dhclient -r tap_soft  # очистить
dhclient -v tap_soft  # вручную запросить данные с интерфейса. при работе isc-dhcp-server все выдает, при работе dnsmasq просто висит

Где зарыта собака, почему при работе другого DHCP ничего не работает и мне не выбает IP этот dnsmasq?

Если кто-то реально смотрел и сравнивал две эти программы Xray-core и Sing-box скажите к какому выводу вы пришли при сравнении?

• стабильность работы или надежность соединения т.е. как часто теряет связь или прерывается ли соединение.
• зависимость от нагрузки т.е. как справляется с высокой нагрузкой где много пользователей, большие объемы трафика.
• удобство настройки, насколько была понятна документация.
• ведение статистики и логов.
• потребление ресурсов (RAM, CPU под нагрузкой).
• Кроссплатформенность, нет ли проблем с Linux, Windows, iPhone, Android.

Возможно есть еще программы которые поддерживают VLESS + XTLS-Reality и вы сравнивали их с Xray-core и Sing-box, прошу поделитесь результатом.

Вот ссылки на иходники:

sing-box: https://github.com/SagerNet/sing-box

Xray: https://github.com/XTLS/Xray-core

UPD: Вот для сравнения нашла старую страницу с Benchmark: https://web.archive.org/web/20231109141119/https://sing-box.sagernet.org/features/

там sing-box шустрей и меньше памяти кушает по сравнению с v2ray-core (это брат и близнец XRay).

В cвете последних событий принято решение настроить sing-box для работы как VPN.

Благо есть программа в каталоге f-droid (для меня это важно): https://f-droid.org/ru/packages/io.nekohasekai.sfa/

Есть короткая документация на английском тут: https://sing-box.sagernet.org/configuration/

Если кто-то уже настраивал и находил хорошую документацию по sing-box на русском языке прошу поделитесь. Нужна именно подробная документация, а не инструкция с готовым конфигом. Хочу понять что там за такая большая куча настроек и для чего они нужны, чтобы выполнить тонкую настройку.

Знакомый попросил посмореть что с VPS? Он местами работает с жутким тормозами и глюками, частельно недоступен несколько секунд. На самом VPS запущен только OpenVPN и в момент глюка его никто не использовал. Ничего другого ресурсоемного не запущенно.

Для определения проблемы был написан скрипт на bash и запущен на сутки в tmux.

Почему происходит работа с тормозами и кто виноват? Сам VPS криво настроен или его криво настроил реселлер или сам хостер настроил его криво или сильно оверселят или еще какие-то проблемы?

Сам скрипт:

#!/bin/bash
while [[ 1 ]]; do # Будем выполнять цикл вечно
    date -u "%H:%M:%S" | tee -a find_bug.txt
    sleep 10             
done 

Его результат, кусок где проблемы, таких проблем полно и они почти каждый час:

...
14:51:44
14:51:54
14:52:04
14:52:14
14:52:24
14:52:39  <= начало проблем, должно быть 34 или 35
14:52:49
14:53:04   
14:53:26
14:54:08
14:54:59
14:55:59  <= тут вообще минуту тормозил
14:56:09
14:56:20
14:56:31
14:57:34
14:57:58  
14:58:08  <= конец проблем
14:58:18
14:58:28
14:58:38
14:58:48
...

На linux mint 20 установлен qBittorrent 4.3.9 из оффициального репозитария самого qBittorrent.

Заметила странную особенность, в трафике исходящим от qBittorrent есть подозрительные запросы на Московский IP на порт 22. Это SSH порт и к торрентам не должен иметь отношения вообще никакого. Пакеты туда идут в больших количествах, а не просто так случайно 1-2 пакета. Трафик именно от qBittorrent.

Это что?

• внутри qBittorrent есть бэкдор и разработчикик под шумок спрятали в огромном объеме трафика свой? типа ломают чей-то сервак через меня?
• В проге ошибка и кто-то DDoS устроил через баг?
• Может еще какой вариант?

В поледних версия что-то было и что-то антивирусы там находили: https://github.com/qbittorrent/qBittorrent/issues/14489

Хотя похоже Мелкомягким вообще не нравятся торрент программы: https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/criteria#potentially-unwanted-application-pua

UPD: При разборе проблемы выяснилось что скорее всего это кто-то раздает через DHT IP-шник с портом номер 22. При запуске одного конкретного торрента даже через другую программу (Transmission) также в трафике были обращения на 22й порт. С IP адреса куда были обращения на 22й порт была найдена куча скачанных торрент файлов, похоже это не просто сервак, а с него еще и качают торренты. На текущий момент я не замечаю движения на 22й порт куда либо, эта проблема была буквально пару дней.

Спасибо всем кто принимал участие в обсуждении и помогал докопаться до истины.

В свете поледних событий задумалась о своем простой сервере для домашнего использования. Сейчас есть сервер зарубежом где крутится:

• XMPP чат на базе Prosody.
• звонки голосом совмещены с XMPP через Coturn.
• Nginx показывает сайты визитки.
• VPN реализован через OpenVPN, а в будущем планируется перезд на WireGuard.
• SMB и SFTP общая сетевая папка для маленькой файловой помойки.

Послений раз за VPS заплатила до августа месяца, но сейчас не получится заплатить за большинство VPS из-за проблем с блокировкий банковских переводов. Поэтому все что сейчас есть на зарубежном VPS севрере хочу перебросить на простой ARM одноплатный компьютер который поставлю дома. Требование к ARM mini PC:

• все что есть сейчас на зарубежном VPS должно без танцев с бубном переехать на новый одноплатный mini PC (XMPP-Prosody, Coturn, Nginx, OpenVPN, WireGuard, SMB)
• цена до 7000 руб.
• осносительно высокая скорость работы, чтобы Nginx сайты мог нормально отдавать и VPN мог одновременно пропускать 3-5 человек с трафиком 10-20 Мбит/с.
• относительно свежее ПО и наличие сообщества где можно получить поддержку.

Если кто-то уже все это добро пробовал поднимать на одноплатных PC, скажи что получше взять?

P.S. по поводу VPN я в курсе что при размещени в России не получится обойти блокировку роскомнадзора. У меня VPN больше для доступа при командировке к локальной шаре с фильмами дома.

UPD. Если ничего толкового не смогу подобрать из ARM устройств тогда буду использовать свой старый ноутбук с архитектурой x86. Поэтому покупать что-то дугое на этой же аржитектуре x86 мне смысла нет. Хочется именно покрутить ARM и еще эти устройтсва могут работать с пассивным охлаждением безшумно.

Были на старом сервере такие правила для защиты, потом после обновление и переезда на новые сервера эти правила не получается переделать в новый формат для nftables. Прошу помощи в переделки этих правил:

Конвертировать эти правила автоматом используя iptables-restore-translate не получается.

# Создаем список "BRUTESCAN", строгие правила для проверки хакеров, проверяем brute force и сканирование портов
iptables -N BRUTESCAN  
# Если на легитимный порт входит хакер который сканировал нас, мы его блочим
iptables -A BRUTESCAN -m recent --update --seconds 600 --hitcount 10 --name ScanPort -j DROP   

# Если за последний час с одного адреса было 10 или более новых соединений — блокируем этот адрес
iptables -A BRUTESCAN -m conntrack --ctstate NEW -m recent --update --seconds 3600 --hitcount 10 --name BruteForce --rsource -j DROP  

# В противном случае - разрешаем, и при этом заносим в список IP откуда зашли
iptables -A BRUTESCAN -m recent --set --name BruteForce -j ACCEPT 

# Создаем список "ONLYSCAN", простые правила для проверки хакеров, только на сканирование портов
iptables -N ONLYSCAN   

# Если на легитимный порт входит хакер который сканировал нас, мы его блочим
iptables -A ONLYSCAN  -m recent --update --name ScanPort --seconds 60 --hitcount 10 -j DROP    

# В противном случае - разрешаем, и при этом  IP никуда не заносим
iptables -A ONLYSCAN -m recent --set --name AcceptMiniCheck -j ACCEPT  

# вытаскиваем из черного списка IP, если он там есть, используя Port Knocking
iptables -A INPUT -p icmp -m length --length 123 -m recent --remove --name ScanPort -j DROP
iptables -A INPUT -p icmp -m length --length 123 -m recent --remove --name BruteForce -j DROP
iptables -A INPUT -p icmp -m length --length 123 -m recent --set    --name UnBanIPicmp -j DROP

P.S. Это только часть правил и это их параноидальная часть :-)

На cервере есть папка доступная по NFS и в эту папку видеокамера записывает данные, камера видит что на сервере 100 Гб свободного места и пытатеся всё это место занять под видео. Как сделать ограничения на размер папки чтобы была видна только половина места - 50 Гб?

Содержимое файла /etc/exports на сервере:

/nfs/camera 192.168.1.7/32(rw,async,root_squash,all_squash,subtree_check)

В камере посто прописывается IP и путь к папке. Никаких других настроек нет, камера видит и занимает все свободное место что доступно.

Если можно дайте ссылку на нормальную инструкцию как это сделать.

Есть правила в фаерволе:

iptables -A INPUT -p udp -m conntrack --ctstate RELATED,ESTABLISHED  -j ACCEPT

Вопрос сколько это правило будет действовать по времени после последнего пакета который пришел по UDP? Для TCP это время может максимум доходить до 2 часов, а для UDP я не могу найти сколько времени соединение актуально и фаервол пропускает.

Цель всего этого установить максимально возможное знание keepalive в настройках клиента чтобы соедение не обрывалось фаерволом и было минимальное возможное движение трафика.

Есть файл test.json:

{
"response": "ok",
"data": [
    {
        "number": "123",
        "status": "OK"
    },
    {
        "number": "456",
        "status": "disabled"
    },
    {
        "number": "789",
        "status": "false"
    }
]
}

Есть переменная внутри которой должны лежать номера

MyNumbers=`cat test.json | jq '.data[].number'`

Они там лежат вот так:

"123"
"456"
"789"

а нужно вот так:

[
"123",
"456",
"789"
]

Как в переменную проще всего поместить нужные номера в виде массива?

В prosody есть два модуля для загрузки файлов на сервер: http_upload_external и http_upload (XEP-0363).

http_upload_external - использует внешние сервисы php, Python, Perl для nginx и т.д. Требует что-то дополнительно, но кажется более гибкий способ, но это не точно.

http_upload - все встроенно в prosody и написано на lua и не требует ничего лишнего. Просто модуль.

Нигде не могу найти нормального сравнения способов загрузки файлов на сервер. Помогите разобраться кто уже пробовал эти модули и находил подводные камни и сравнивал их. Скажите на чем остановились вы?

• Какой из модулей максимально безопасный на случай загрузки хакерами всяких гадостей или если хакеры начнут наоборот скачивать файлы с сервера?
• какой из способов максимально быстрый для загрузки/скачки данных?
• какой максимально стабильный? Очень не хочется получать глюки при работе.
• что лучше использовать http_upload_external или http_upload? Если http_upload_external то какой способ: php, Python, Perl для nginx?

Есть html страница из которой нужно выдергуть данные вот примерно такого плана:

<td id="TableInfo12345" class="col123">Текст что нужно получить из таблицы</td>

Пытаюсь получить данные используя hxselect из пакета html-xml-utils

hxselect -c 'td[id="TableInfo12345"]' < file.html

Постоянно вываливаются ошибки, что тег такой-то не закрыт, не понятно откуда взялся другой тег. Ошибка на ошибке и ошибкой погоняет т.к. пасал сайт студент на коленке. Если использовать нормальную страницу где все поуму то ошибок нет. Вопрос: как правильно распарсивать из bash страницу html если ее сделали рукожопы?

Есть программа Conversations https://github.com/iNPUTmice/Conversations для текстового и голосового общения между собой. В описании сказано что есть шифрование голоса через DTLS-SRTP. Я настроила у себя на сервере prosody и turnserver. Голосом можно поговорить, все нормально.

Подкючение происходит на порт 12345, он вроде как TLS но он также может принимать и не шифрованные данные сюдя по описанию. Измение строки cipher-list вообще ни на что не влияет, даже если туда белеберду подставить, поэтому и возникло подозрение что алгоритмы шифрования толком не работают.

Вопрос: - как проверить что голосовые сообщения от меня до сервера действительно зашифрованы?

Conversations стоит на телефоне с Android 9. А сервер на Ubuntu 20.04.1 LTS.

turnserver конфиг:

use-auth-secret
static-auth-secret=pasSworD
fingerprint
realm=1.2.3.4
tls-listening-port=12345
cert=/var/lib/turn/turnserver.crt
pkey=/var/lib/turn/turnserver.key
cipher-list="TLS_AES_128_GCM_SHA256:TLS_CHACHA20_POLY1305_SHA256:ECDHE-RSA-AES128-GCM-SHA256:!aNULL:!eNULL:!MD5:!DSS"
dh-file=/var/lib/turn/dh-2066.pem
external-ip=1.2.3.4
no-tcp-relay
denied-peer-ip=10.0.0.0-10.255.255.255
denied-peer-ip=192.168.0.0-192.168.255.255
denied-peer-ip=172.16.0.0-172.31.255.255
allowed-peer-ip=10.0.0.1
no-loopback-peers
no-multicast-peers
no-cli
user-quota=8
total-quota=48
log-file=/var/tmp/turn.log
simple-log
no-tlsv1
no-tlsv1_1

На сервере нужно под wine держать запущенную программку, после обновления программки поменяли безопасность и теперь она не рабоает.

Программка написана на .NET Framework 3.5 нормально работает только в wine 4.0 (Windows XP). До обновления программки она подключалась по TLS 1.0 к заморским серверам и все нормально работало, после обновления оставили только протокол TLS 1.2, но он не работает нормально под wine.

В реестре сделаны настройки, которые не помогают. Вываливает ошибку:

The specified value is not valid in the 'SslProtocolType' enumeration

Вопрос что еще сделать чтобы заработал TLS 1.2 для .NET Framework?

Вот данные из реестра:

[HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\v2.0.50727]
"SchUseStrongCrypto"=dword:00000001
"SystemDefaultTlsVersions"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001
"SystemDefaultTlsVersions"=dword:00000001


[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"SecureProtocols"=dword:00000a00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"DefaultSecureProtocols"=dword:00000a00

Мне нужно выполнить команду и измерять время ее выполнения. Время выполнения нужно поместить в переменную, вопрос как?

export TIMEFORMAT='%3R seconds'
myvar=$(time ping -c 1 ya.ru 1>/dev/null ) 
echo $myvar # тут пусто почему-то, как поместить сюда значение?

Как безопасно синхронизировать файлы между устройствами (компьютеры / мобильные) через интернет?

Если по простому - синхронизировать домашние компы на винде и линуксе, рабочий комп, планшеты и телефоны на андроиде. Перекидывать фото, аудиокниги, синхронизировать закладки к ним, так чтобы все эти данные точно не ушли майору или владельцу облачного хранилища.

Условия следующие:

1. Желательно чтобы используемые программы были в репозитарии Linux (при добавлении в репозитарий проги хоть как но проверяют, я на это надеюсь)
2. Есть свой сервер его и будем использовать как серверную часть
3. Минимальное потребление RAM для серверной части, RAM не резиновая и чем меньше ее кушают программы тем лучше.

Найденные примерно варианты:

• создать пользователя SFTP на сервере, подрезать ему права используя chroot и гонять все файлы по SSH используя rsync для синхронизации. Но я не могу найти нормальную инструкцию как настроить chroot. Если кто-то уже делал настройку используя chroot дайте нормальную рабочую инструкцию. Или предложите другие простые варианты.

Есть несколько VPS в разных странах. Сейчас заметила, что скорость скачки данных с самого дальнего сервера, находящегося в США намного выше чем с сервера находящегося в Нидерландах, зарница доходит до 10 раз. 20 Мбит из США против 2-3 Мбит с Нидерланд. Хотя по идеи чем ближе, тем больше скорость должна быть. Я качаю данные с сервера к себе домой.

Вот пару вопросов:

1. Кто может менять направление трафика чтобы он двигался по более медленным и дешёвым каналам связи? Может ли провайдер VPS поменять их чтобы экономить или нет?

2. Я могу самостоятельно поменять шлюзы как будет двигаться трафик от моего VPS до меня, чтобы увеличить скорость?

Сейчас я блокирую рекламу и трекеры слежки на прокси-VPS и на своих android устройствах через файл hosts. Файл hosts сейчас у меня примерно 4 Мб и имеет 140 000 строк (сайтов для блокировки). Иногда реклама все равно пролазит, и я хочу заблокировать еще больше сайтов и увеличить размер файла hosts (примерно до 20 Мб и 1 млн. сайтов).

Если какие-либо ограничения для размера hosts файла и чем грозит сильное увеличение hosts файла?

Подскажите, возможно уже есть протестированная связка программ для общения и голосовых вызовов.

Требования:

1) возможность поднять свой сервер, независимость.

2) Кроссплатформенность, нужны клиенты для linux, windows, android и iOS.

3) Качественная аудио связь.

4) открытость протокола и клиентов (Open Source) иначе нельзя говорить об защищенности.

5) простой и удобный обмен файлами.

Были схожие темы на этот вопрос, но темы старые, а сейчас развитие идет очень быстро и возможно появились новые решения.

Один из возможных вариантов был: сервер XMPP + Jingle, а клиенты PSI+ (linux, windows), а для android и iOS пока нормальные клиенты не нашла, их что нет?

Есть файл /etc/hosts в нем есть много доменов типа:

127.0.0.1 safebrowsing.google.com
127.0.0.1 telemetry.mozilla.org
127.0.0.1 telemetry.microsoft.com
127.0.0.1 google-analytics.com
и т.д. всего порядка 1000 строк...

Я их заношу в файл построчно чтобы мне было потом удобно искать и редактировать, но после перезагрузки сервера все строки объединяются в одну:

127.0.0.1 safebrowsing.google.com telemetry.mozilla.org telemetry.microsoft.com google-analytics.com ... 

редактировать с такой строкой невозможно и сильно неудобно.

Как запретить склевать строки в файле hosts с одинаковым IP в одну строку?

Гугление ничего не дает, установка прав только на чтение (444) не помогает.