LINUX.ORG.RU

Сообщения forzasakh

 

завернуть трафик до определённых ресурсов через VPN

Есть WG сервер на Ubuntu и в принципе всё работает.
Но работает так: абсолютно весть трафика заворачивается в туннель.
А хочу сделать что бы в туннель уходили только определённые ресурсы (сайты, домены, айпишник) ну для теста например, что бы 2ip.ru открывался через VPN туннель.
А все остальные ресурсы работали через местного домашнего провайдера.

Для начала делаю: nslookup 2ip.ru
Получаем: Address:  195.201.201.32
Сервер
[Interface]
PrivateKey = 1111BdeYmDX1M11111111111LIxN3yU0mGGoEO1111=
Address = 10.8.0.1/24
ListenPort = 51890

[Peer]
PublicKey = 1111DkoGthRL0111111111111jRk70DyTzWG2Ju1111=
AllowedIPs = 10.8.0.30/32
Клиент (ПК Windows 10)
[Interface]
PrivateKey = 11111DhG3ptRMvNP6h9Zy7pxN1uF/0S1bi111111111=
Address = 10.8.0.30/32
DNS = 8.8.8.8

[Peer]
PublicKey = 11111118notJi6Il0aRbrJvAb6cc/vPSIWVx61111111=
AllowedIPs = 0.0.0.0/0
Endpoint = 190.70.70.93:51890
ip r на сервере
default via 190.70.70.1 dev eth0 proto static
10.8.0.0/24 dev wg0 proto kernel scope link src 10.8.0.1
190.70.70.0/24 dev eth0 proto kernel scope link src 190.70.70.93
iptables -t nat -S на сервере
-A POSTROUTING -s 10.8.0.0/16 -o eth0 -j MASQUERADE
Куда смотреть подскажите...

 , , ,

forzasakh
()

OpenWRT dhcp client с раздачей на LAN порты


Всем привет.
Роутер TP-LINK TL-WR842N c 5 портами, 1 WAN, 2-5 LAN (R2)
Хочу получать интернет от такого же роутера с OpenWRT (R1) 192.168.22.0, что бы R2 был в той же подсети и с LAN портов транслировалась адресация из 192.168.22.0/24
R2 удалось сделать dhcp клиентом получает 192.168.22.205, но с LAN портов ничего вообще не получает ноут, ни айпишника не соответственно интернета.
Конфиг R1 /etc/config/network

config interface 'loopback'
        option ifname 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config interface 'lan'
        option ifname 'eth0.1'
        option force_link '1'
        option type 'bridge'
        option proto 'static'
        option ipaddr '192.168.22.1'
        option netmask '255.255.255.0'

config interface 'wan'
        option ifname 'eth0.2'
    option proto 'dhcp'

config switch
        option name 'switch0'
        option reset '1'
        option enable_vlan '1'

config switch_vlan
        option device 'switch0'
        option vlan '1'
        option ports '0 1 2 3 4 6t'

config switch_vlan
        option device 'switch0'
        option vlan '2'
        option ports '0 6t'

config interface 'wifiwan'
    option proto 'dhcp'

Конфиг R2 /etc/config/network
config interface 'loopback'
        option ifname 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config interface 'lan'
        option ifname 'eth0'
        option force_link '1'
        option type 'bridge'
        option proto 'dhcp'^M

config interface 'wan'
        option ifname 'eth1'
        option proto 'dhcp'

config switch
        option name 'switch0'
        option reset '1'
        option enable_vlan '1'

config switch_vlan
        option device 'switch0'
        option vlan '1'
        option ports '1 2 3 4 6t'

config switch_vlan
        option device 'switch0'
        option vlan '2'
        option ports '0 6t'
подскажите в какую сторону смотреть?

 ,

forzasakh
()

Проброс портов внутрь OpenVPN на Ubuntu


Есть Server Ubuntu 16.04 с OpenVPN сервером на борту.
eth0 - 36.36.36.36 - смотрит в интернет, белый айпишник.
tun0 - 10.0.0.1 - айпишник OpenVPN сервера соответственно, работает на UDP 2233 порту.
10.0.0.0/16 - сетка для клиентов OpenVPN
В роли клиентов выступают роутеры с OpenWRT в виде ОС, получают адресацию из 10.0.0.0/16 и по UDP 2233 конектятся к серверу.
Необходимо попасть на допустим клиента 10.0.0.59 через интернет на веб морду на 80 порт.
Что делал:

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 36.36.36.36 --dport 2222 -j DNAT --to-destination 10.0.0.59:80
iptables -t nat -A POSTROUTING -p tcp --sport 80 --dst 10.0.0.59 -j SNAT --to-source 36.36.36.36:2222


http://36.36.36.36:2222 соответственно не работает.
Что забыл? Куда копать? В Какую сторону смотреть?

 , ,

forzasakh
()

extreme ap7532, не сохраняется измнение конфига после reload

Друзья всем привет, попали в руки точки доступа, с существующим конфигом.
Вроде всё понятно, cli довольно понятный похожий на cisco.
Но никак не могу понять почему после изменения конфига и его сохранения с помощью (commit write) изменения сохраняются только до перезагруки.
В sh startup-config и sh running-config изменения есть.
Делаю reload и всё внесённое мной пропадает.
Может кто знает cli extreme подскажи что не так?

 , , ,

forzasakh
()

Помогите выбрать монитор 24.5 или 27

Всем привет, сейчас использую старенький Samsung p2350 - fhd разумеется. Уже 10 лет трудится, и не перестаёт работать.
Задумался о новой покупке, сомневаюсь между 24.5 и 27 какие разрешения нужны?
Основная деятельность это консоль, терминалы, IDLE, сёрф в интернете, много смотрю, читаю с монитора. Нужно что бы глаза не вываливались.
Бюджет до 25к

 

forzasakh
()

доступ из вне на веб морду микротика внутри OpenVPN

Добрый день. Есть сервер ubuntu с внешним белым айпишником на котором крутится OpenVPN Server, к нему подключаются микротики внутри туннеля соответственно. Смысл вопроса заключается в том, что бы достучаться до веб морды или winbox до конкретного микротика из интернета. Куда смотреть подскажи?

 , ,

forzasakh
()

Полный бэкап работающего сервера в облаке, с разворачиванием на новом месте

Всем привет. Дошло дело до бэкапа ubuntu server который работает в облаке.
Никогда не нужно было, т.к. провайдер предоставляет услуги бэкапа, но глубина всего два дня.
Сейчас нужно сделать полный бэкап всей ВМ, с дальнейшим разворачиванием на новой такой же ВМ.
Как и чем проще всего сделать образ сервака?
Нужно, что то, что можно будет запустить под LiveCD сделать образ, залить его на расшаренный диск другого севера, и потом на новой машине опять же из под LiveCD восстановить образ.
Вроде по всем параметрам подходила CloneZilla но т.к. сервер в облаке, не понимаю как я CloneZilla укажу место нахождения образа.
Есть ли у кого варианты?

 , ,

forzasakh
()

Из облака в физический сервер (цена за 1U сервер)

Добрый вечер товарищи.
В облаке сейчас порядка 20 серверов, есть «гениальный» план руководства перенести это всё, ну или понять рентабельность переноса на физическое существование кому нибудь в серверную (колокейшн). Собственно вопрос, кто может сориентировать по цене за один сервер, новый или б/у:
1-Платформа ????
2-Intel Xeon E5 E5-2643 (8 ядер)
3-Intel Xeon E5 E5-2643 (8 ядер)
4-RAM (40Gb)
5-HDD (SAS) 1Tb
6-Windows Server 2016
У меня цена вышла только за железо примерно 300тыс.

 ,

forzasakh
()

vsftpd - FTP для двух пользователей в один каталог

Весь вечеру убил, перечитал всё что было, но так и не получилось добиться результата.
Есть ubuntu server 16.04 с установленным кем то vsftpd непонятно как сконфигурированным, на этом деле нужно получить доступ двух разных пользователей в один каталог.

/etc/vsftpd.conf
user_config_dir=/usr/local/etc/vsftpd_users

/usr/local/etc/vsftpd_users/mytest
local_root=/home/mytest
/usr/local/etc/vsftpd_users/youtest
local_root=/home/mytest

Не работает, помогите....

 ,

forzasakh
()

nginx mirror, сложный пример конфига, зеркалирование части трафика по мак адресу.

Сломал уже давно голову, не могу победить, ни как.
Дано, вот такой конфиг, в таком варианте, всё что прилетает на name1, name2 будет зеркалироваться на name3.
А как сделать так, что бы зеркалировалось не всё, а только лишь например условный DC:DC:DC:DC:DC:DC на name3
Т.е. я хочу DC:DC:DC:DC:DC:DC и на name2 и на name3
Или любой другой мак-адрес.

        map $cookie_src $backend {
                default name1;
                AB:AB:AB:AB:AB:AB name2;
		DC:DC:DC:DC:DC:DC name2;
        }

upstream name1 {
                server 111.111.111.111;
}

upstream name2 {
                server 222.222.222.222;
}

upstream name3 {
                server 333.333.333.333;
}


server {
        listen 10.0.0.1:80;
        listen 35.35.35.35:8881;

        server_name name.ru;

        access_log on;
        access_log /var/log/nginx/test-access.log;
        error_log /var/log/nginx/test-error.log;

        location / {
                mirror /mirror;
                proxy_set_header Host name.name.ru;
                proxy_pass http://$backend;
        }

        location = /mirror {
               internal;
               proxy_set_header Host name.name.ru
               proxy_pass http://name3$request_uri;
        }

}

 

forzasakh
()

Nginx proxy mirror, можно ли зеркалировать не весь страффик? А часть.

Ребята подскажите, можно ли зеркалировать не весь траффик который прилетает на nginx?
Весь, без проблем сейчас работает, вот таким образом:

        map $cookie_src $backend {
                default name1;
        }

upstream name1 {
                server 11.11.0.1;
}

upstream name2 {
                server 11.11.0.2;
}

server {
        listen 10.10.13.1:80;
        listen 10.10.13.2:8881;

        server_name name1.ru;

        access_log on;
        access_log /var/log/nginx/test-access.log;
        error_log /var/log/nginx/test-error.log;

        location / {
                mirror /mirror;
                proxy_set_header Host name999.ru;
                proxy_pass http://$backend;
        }

        location = /mirror {
                internal;
                proxy_set_header Host name999.ru;
                proxy_pass http://name1$request_uri;
        }

}
Есть ли вообще хоть какая то возможность зеркалировать не всё???

 , ,

forzasakh
()

freeradius разграничение доступа в админ панели daloradius

Всю голову уже сломал.
Подскажите как можно реализовать, разграничение доступа в админ панели daloradius, для разных клиентов.
Т.е. есть клиенты со своими пользователями, которые ходят в интернет через наш радиус.
Так вот, один клиент, хочет посмотреть на админку, т.е. её нужно будет отдать клиенту. Завести нового пользователя, с ограниченными правами.
Но при этом сделать так, что бы он видел только своих пользователей, но всех остальных клиентов не видел. Под клиентом понимаю один объект, условный магазин, и т.д.
Можно это как то реализовать внутри одного радиус сервера?
Или тут без поднятия отдельной машины с отдельным радиусом не обойтись?

 ,

forzasakh
()

NAT в панели управления VMware vCloud

Есть интерфейс VMware vCloud Director, от одного из операторов.
Внутри есть VMware NSX edge gateway.
И есть виртуальные машины на Linux с локальными айпи адресами.
Для каждый машины есть свой внешний айпи адрес, но через NAT, который фигурирует только в панели управления, для ВМ1 внешний адрес 95.55.66.10, для ВМ2 95.55.66.11
ВМ1 ifconfig - 192.168.10.1
ВМ2 ifconfig - 192.168.10.2
В панели управления настроен snat и dnat, интернет на машинах есть, они пингуются по внешним адресам и по локальным между друг другом.
Вопрос!
На ВМ1 стоит ClickHouse Server по дефолту настроен на порт 8123 Локально на ВМ1
clickhouse-client --host=192.168.10.1 работает
telnet 192.168.10.1 8123 тоже работает
clickhouse-client --host=95.55.66.10 не работает
telnet 95.55.66.10 8123 не работает
На ВМ2
telnet 192.168.10.1 8123 работает
telnet 95.55.66.10 8123 не работает
Каким образом настроить NAT что бы можно было с ВМ2 192.168.10.2 попадать на ВМ1 192.168.10.1 через внешний айпишник 95.55.66.10
Т.е. что бы работало вот это с ВМ2 и с любой другой машины в интернете:
telnet 95.55.66.10 8123

 , ,

forzasakh
()

Nginx 1 клинет на два разных бэкенд

Сейчас всё работает так, некие клиенты, прилетают либо на 1 бэкенд либо на 2 другой. Нужно как то реализовать, что бы для начала 1 клиент прилетал одновременно на два разных бэкенда. Сейчас такой конфиг и он рабочий.

       map $cookie_src $backend {
                default test01;
                AB:AB:AB:AB:AB test02;
        }

upstream test01 {
                server 3.3.3.3;
}
upstream test02 {
                server 4.4.4.4;
}

server {
        listen 1.1.1.1:80;
        listen 2.2.2.2:8881;

        server_name NAME.ru;

        access_log on;
        access_log /var/log/nginx/test-access.log;
        error_log /var/log/nginx/test-error.log;

        location / {
                proxy_set_header Host 0.0.0.0.ru;
                proxy_pass http://$backend;
        }
}

Вот так уже не работает:
       map $cookie_src $backend {
                default test01;
                AB:AB:AB:AB:AB test02;
                AB:AB:AB:AB:AB test01;
        }

 

forzasakh
()

Nginx conflicting parameter. Проксирование большого числа парметров через map

Есть большое кол-во параметров (мак адресов) которые прилетают в определённой куке, которые я соответственно достаю из этой куки функцией и проксирую на нужный мне сервер. Пример /etc/nginx/sites-available:

map $cookie_name $backend {
           default nameserver;
           AA:BB:CC:DD:EE:F1 nameserver;
           AA:BB:CC:DD:EE:F2 nameserver;
           .....
           AA:BB:CC:DD:EE:F3 nameserver;
С маленьким количеством мак адресов всё работает, когда добавляю 100 строк появляется ошибка:
conflicting parameter "AA:BB:CC:DD:EE:F3" in /etc/nginx/sites-enabled/default:67
Ставлю в /etc/nginx/sites-available на этой строке знак # ошибка пропадает и появляется новая на следующей строке и т.д.

 ,

forzasakh
()

Nginx proxy возможно ли проксирование клиента по mac-address на конкретный сервер

Друзья, всем спасибо за подскажу по поводу проксирования конкретного IP на конкретный backend сервер. С этим разобрался, благодаря функции map:

map $remote_addr $backend { 15.0.0.2 11.22.33.44; 15.0.0.4 11.22.33.55; ...... location / {

Теперь возник еще один вопрос, которого не нашёл решения в интернете. Возможно ли проксировать клиента зная его мак адрес, на конкретный сервер? Т.е. есть куча клиентов, у которых есть только мак адреса, зная этот мак адрес, хотелось бы перенаправлять клиента на определённый backend.

 , ,

forzasakh
()

Nginx proxy конкретного клиента (ip) на конкретный сервер

Друзья, собственно сабж. Есть много клиентов, которые конектятся на сервер получая там айпишник локальные, типа: 15.0.0.1 и т.д. дальше запросы прокисруются на другой сервер. Если брать всех клиентов и проксировать на 1 сервер всё работает. Сейчас нужно разделить клиентов по IP (которые известны) и отправлять на разные сервера. Для понимаю см. картинку: https://ibb.co/gth8JT Вопрос, как привязать конкретный айпишник для проксирования на конкретный сервер?

 ,

forzasakh
()

RSS подписка на новые темы