Всем привет!

Столкнулся с задачкой: хостер меняет Virtuozzo VPS на Kronos Cloud, соотвественно возникала необходимость переноса сервера на CentOS 7 (минимальная сборка с cli) в Kronos Cloud. Есть ли простые способы, чтобы перенести все настройки и пакеты (сеть, ssh через pki, iptables, скрипты, OpenVPN сервер, задачи в cron, установленные пакеты и тд) в новый CentOS?

Спасибо)

Всем привет!

Есть сервер на centos 7 с dnsmasq, клиенты выходят через него в сеть. Сегодня разбирался в проблемах с доступом к App Store у клиентов и параллельно обнаружил, что почему-то не блокируется доступ к DNS на сервере с внешних ip, т.е. берем ip нашего сервера centos, вписываем в настройках сетевого соединения на любом устройстве, которое не в нашей сети, и видим, что сервер ресолвит запросы.

iptables -S:

-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-N f2b-zzzzzz
-A INPUT -p udp -m udp --dport 443 -j ACCEPT
-A INPUT -p udp -m multiport --dports 443 -j f2b-zzzzzz
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport xxxxx -j ACCEPT
-A INPUT -p tcp -m tcp --dport xxxxx -m state --state NEW -m recent --set --name ssh --mask 255.255.255.255 --rsource
-A INPUT -p tcp -m tcp --dport xxxxx -m state --state NEW -m recent ! --rcheck --seconds 60 --hitcount 4 --name aaaaa --mask 255.255.255.255 --rsource -j ACCEPT
-A INPUT -s 10.8.0.0/24 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -s 10.8.0.0/24 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j DROP
-A INPUT -p tcp -m tcp --dport 53 -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.8.0.0/24 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-port-unreachable
-A f2b-openvpn -j RETURN

Всем привет!

На сервере с Centos 7 уже пару лет как настроен и работает dnsmasq, но на днях стали поступать жалобы от iOS клиентов, что перестал работать App Store - при открытии приложения «Can’t connect». Другие службы/сайты и прочее работает нормально. Такое ощущения, что нормально не ресолвятся суб домены Apple. В логах на сервере вижу вот такую картину при попытке входа в App Store:

dnsmasq[8479]: query[A] api-edge.apps.apple.com from 10.8.0.4
dnsmasq[8479]: forwarded api-edge.apps.apple.com to 84.200.69.80
dnsmasq[8479]: reply api-edge.apps.apple.com is <CNAME>
dnsmasq[8479]: reply api-edge.apps-lb.itunes-apple.com.akadns.net is <CNAME>
dnsmasq[8479]: reply api-edge.apps.apple.com.edgekey.net is <CNAME>
dnsmasq[8479]: reply e673.dsce9.akamaiedge.net is 23.11.238.50
dnsmasq[8479]: query[A] api-edge.apps.apple.com from 10.8.0.4
dnsmasq[8479]: cached api-edge.apps.apple.com is <CNAME>
dnsmasq[8479]: cached api-edge.apps-lb.itunes-apple.com.akadns.net is <CNAME>
dnsmasq[8479]: cached api-edge.apps.apple.com.edgekey.net is <CNAME>
dnsmasq[8479]: cached e673.dsce9.akamaiedge.net is 23.11.238.50
dnsmasq[8479]: query[A] api-edge.apps.apple.com from 10.8.0.4
dnsmasq[8479]: cached api-edge.apps.apple.com is <CNAME>
dnsmasq[8479]: cached api-edge.apps-lb.itunes-apple.com.akadns.net is <CNAME>
dnsmasq[8479]: cached api-edge.apps.apple.com.edgekey.net is <CNAME>
dnsmasq[8479]: cached e673.dsce9.akamaiedge.net is 23.11.238.50

Кэширование убирал - та же самая картина: нет доступа к App Store.

Куда копать?

Всем привет!

Имеется OpenVPN на VPS с CentOS7, через него в нет выходят мобильные клиенты. При прямом подключении, без OpenVPN, скорость 100Mbit: Client -> ISP -> Internet. А при использовании OpenVPN от 1 до 10Mbit: Client -> ISP -> OpenVPN -> Internet. Загрузка CPU на сервере < 7%, канал у сервера 1Gbit down/300Mbit up. Исходящих канал, через который выходят клиенты, свободен - мониторил активность на WAN в Mikrotik. Писал в поддержку хостера - прислали такой ответ:

Download: 27.99 Mbit/s Upload: 8.03 Mbit/s

As I can see you are using VPN connection on your server. 5: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 500 link/none inet 10.8.0.1/24 brd 10.8.0.255 scope global tun0

[root@/]# ip r

10.8.0.0/24 dev tun0 proto kernel scope link src 10.8.0.1 169.254.0.0/16 dev venet0 scope link metric 1002 default dev venet0 scope link

[root@/]# cat /proc/sys/net/ipv4/ip_forward

Please disable tun interface, ip forwarding and run ~/speedtest-cli to see if issue is related to your VPN.

По моим замерам через Speedtest с сервера аналогичные результаты: 28 down/8 up. Подскажите, пожалуйста, куда копать?

Всем привет!

Такая ситуация: есть OpenVPN на CentOS7, стояла версия 2.3.14 и всё было ок, прилетело обновление 2.4.2 - клиенты перестали коннектиться. Проблема в изменении в OpenVPN 2.4.x способа работы с crl.pem, но я не догнал как исправить и пришлось делать downgrade на 2.3.14 и залочить пакет от обновлений до выяснения, как безболезненно пофиксить без полной переустановки OpenVPN и перевыпуска сертификатов для всех клиентов.

Подскажите, пожалуйста, как победить. Сертификаты генерировал при помощи easy-rsa.

Всем привет,

Действия производятся на centos7. Задача: вызов скрипта при загрузке для восстановления iptables:

#!/bin/sh
iptables-restore /etc/sysconfig/iptables_working
echo `date` ": iptables restored! Source: /etc/sysconfig/iptables_working" >> ~/logs/scripts

-rwxr-xr-x 1 root    root     152 Oct  4 12:35 iptables-restore-on-boot.sh

1. /etc/rc.d/rc.local (chmod +x делал): Как через добавление строчки «iptables-restore /etc/sysconfig/iptables_working» в сам файл, так и напрямую:

iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
...

2. Запуск при помощи systemd:

/etc/systemd/system/restore-iptables.service

-rw-rw-r-- 1 root root 191 Oct  4 12:11 /etc/systemd/system/restore-iptables.service

[Unit]
Description=Restore iptables on boot or reboot
After=network.target

[Service]
Type=oneshot
User=root
ExecStart=/root/iptables-restore-on-boot.sh

[Install]
WantedBy=multi-user.target

В лог пишет, но iptables не восстанавливает :(

systemctl start restore-iptables
systemctl enable restore-iptables
systemctl status -l restore-iptables

* restore-iptables.service - Restore iptables on boot or reboot
   Loaded: loaded (/etc/systemd/system/restore-iptables.service; enabled; vendor preset: disabled)
   Active: inactive (dead)

Oct 04 12:14:56 centos systemd[1]: Starting Restore iptables on boot or reboot...
Oct 04 12:14:57 centos systemd[1]: Started Restore iptables on boot or reboot.

Всем привет!

Есть VPS на OpenVZ с CentOS 7. Изначаль не очень правильно настроил NAT, но с помощью уважаемого форумчанина был наставлен на верный путь:

-A POSTROUTING -s 10.8.0.0/24 -o venet0 -j SNAT --to-source x.x.x.x 

Возник вопрос: как проверить корректность работы данного NATинга? Гуглил, но по проверке не нашел.

Делал ping по рекомендации:

1. ping -I 10.8.0.3 <внешний ip сервера> дает такую ошибку:

bind: Cannot assign requested address

2. ping -I 10.8.0.1 <внешний ip сервера>:

PING <внешний ip сервера> (<внешний ip сервера>) from 10.8.0.1 : 56(84) bytes of data.

--- <внешний ip сервера> ping statistics ---
9 packets transmitted, 0 received, 100% packet loss, time 8000ms

3. ping -I 10.8.0.1 8.8.8.8

PING 8.8.8.8 (8.8.8.8) from 10.8.0.1 : 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttl=50 time=7.25 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=50 time=7.26 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=50 time=9.07 ms
...
--- 8.8.8.8 ping statistics ---
9 packets transmitted, 9 received, 0% packet loss, time 8008ms

Спасибо!

Всем привет,

Есть сервер на CentOS 7, установлен OpenVPN server и dnsmasq. К нему (OpenVPN) коннектятся клиенты - всё ок, но возникли вопросы:

1. правильно ли настроил iptables и «прячутся» (masquarde) ли подключенные клиенты от внешнего мира за внешним ip:

*nat
:PREROUTING ACCEPT [249:15245]
:POSTROUTING ACCEPT [29:2008]
:OUTPUT ACCEPT [29:2008]
-A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.8.0.0/24 -j SNAT --to-source x.x.x.x #внешний ip сервера
COMMIT
*raw
:PREROUTING ACCEPT [5147:2173449]
:OUTPUT ACCEPT [2285:1959208]
COMMIT
*mangle
:PREROUTING ACCEPT [5147:2173449]
:INPUT ACCEPT [2239:389206]
:FORWARD ACCEPT [2908:1784243]
:OUTPUT ACCEPT [2285:1959208]
:POSTROUTING ACCEPT [5187:3742815]
COMMIT
*filter
:INPUT DROP [45:2526]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [2279:1958572]
:f2b-openvpn - [0:0]
-A INPUT -p udp -m udp --dport 1194 -j ACCEPT
-A INPUT -p udp -m multiport --dports 1194 -j f2b-openvpn
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport xxxx -j ACCEPT #тут порт ssh

2. Как сделать доступ из сегмента 10.8.0.x к 192.168.1.x? Т.е. клиент 10.8.0.2 «видит» клиентов с ip 192.168.1.x

Или так лучше не делать из-за:

NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x. Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.

Всем привет! Такая ситуация: есть VPS (centos7 minimum) с OpenVPN и dnsmasq. Apache удален. Всё было хорошо (со старым ip), хостер делал миграцию на новые адреса, после миграции всё было ок, но не так давно при поиске через google search стала вылазить капча и «Our systems have detected unusual traffic from your computer network». Причем вылазит не только на ноуте, но и на мобильных девайсах :/ Хостер посоветовал проверить VPS на malware. Сейчас запустил rkhunter. Проверка lynis ничего кримиального не показала. Траф глянул через iftop - тишина.

Куда копать?

Всем привет, есть vpn сервер на centos7. Сегодня поставил dnsmasq для блокировки рекламы. Из настроек только это: listen-address=127.0.0.1, 10.8.0.1 bind-interfaces

В resolv.conf указан гугло-dns 8.8.8.8 Клиент коннектится к серверу, получает адрес dns - 10.8.0.1 Но после на клиенте никакие сайты не окрываются - dns не ресолвится. dnsmasq, как и положено, порты слушает. С сервера все открывается, т.е. dnsmasq, вроде, работает.

Как победить?