LINUX.ORG.RU

Сообщения pospelov

 

Как запретить трафик между VPN клиентами SoftEther VPN сервера?

Форум — Admin

Например, OpenVPN имеет опцию client-to-client.

Если опция client-to-client включена, то сервер OpenVPN передает клиент-клиент пакеты внутри, не отправляя их на уровень IP хоста (т.е. к ядру). Сетевой стек хоста вообще не видит эти пакеты:

           .-------------------.
           | IP Layer          |
           '-------------------'

           .-------------------.
           | TUN device (tun0) |
           '-------------------'

           .-------------------.
           | OpenVPN server    |
           '-------------------'
             ^           |
          1  |           v  2   
 .----------------.  .----------------.
 | Client a       |  | Client b       |
 '----------------'  '----------------'

Если же опция client-to-client выключена, то пакеты от клиента к другому клиенту должны пройти через IP слой (iptables, таблицу маршрутизации и т.д.) хоста сервера OpenVPN:

           .-------------------.
           | IP Layer          |  (4) routing, firewall, NAT, etc.
           '-------------------'      (iptables, nftables, conntrack, tc, etc.)
              ^          |
          3   |          v  5
           .-------------------.
           | TUN device (tun0) |
           '-------------------'
             ^           |
          2  |           v  6  
           .-------------------.
           | OpenVPN server    |
           '-------------------'
             ^           |
          1  |           v  7  
 .----------------.  .----------------.
 | Client a       |  | Client b       |
 '----------------'  '----------------'

Остается только заблокировать клиент-клиентские пакеты, используя iptables:

iptables -I FORWARD -i tun0 -o tun0 -j DROP


В случае SoftEther VPN сервера я пытаюсь блокировать клиент-клиентские пакеты, используя iptables:

iptables -I FORWARD -i tap_soft -o tap_soft -j DROP

Но клиенты по прежнему обмениваются пакетами без проблем.

Как запретить трафик между клиентами SoftEther VPN сервера? При этом каждый VPN клиент должен иметь возможность обмениваться пакетами с VPN сервером.

Имеется ли у SoftEther VPN сервера опция, которая аналогична опции client-to-client у OpenVPN сервера?

 , , , ,

pospelov
()

Что необходимо изменить в настройках SoftEther VPN Server, чтобы он так сильно не нагружал CPU?

Форум — Admin

Подскажите, пожалуйста, что необходимо изменить в настройках SoftEther VPN Server, чтобы он так сильно не нагружал ЦП?

Имеется SoftEther VPN Server настроен на Local Bridge (VPS ОС Debian GNU/Linux 9.7). SecureNAT выключен. Шифрование и сжатие тоже выключено (это отображено в админке сервера в свойствах сессии клиента). В качестве сервера DHCP выступает dnsmasq. Все настроено, примерно, как описано здесь:
https://hd.zp.ua/ustanovka-softether-na-ubuntu-ili-debian/

К SoftEther VPN Server подключен MikroTik как L2TP клиент, как описано здесь, но без IPsec:
https://hd.zp.ua/puskaem-trafik-s-mikrotik-cherez-softether/

Через этот VPN подключено 20 IP камер общим трафиком в 30 Мегабит/сек, по схеме:

Запрос (команды):

player --> eth0 --> tap_soft --> MikroTik --> IPcam

Ответ (видео):

IPcam --> MikroTik --> tap_soft --> eth0 --> player

При этом 2 ядра Intel(R) Xeon(R) Gold 6140 CPU @ 2.30GHz в сумме нагружены на 65% (ядро №1 ~ 20% и ядро №2 ~ 45%) процессом vpnserver.

Никаких сервисов, кроме тех, которые связаны с SoftEther VPN, на VPS нет.

Очень нужна Ваша помощь в этом вопросе.

Заранее спасибо.

 , , , ,

pospelov
()

Что нужно проделать на Debian 8.8, чтобы избавиться от Petya.A/Petya.C (Wanna Cry)?

Форум — Security

27 июня 2017 г. зарегистрирована масштабная хакерская вирусом (модификация нашумевшего в 2016 году шифровальщика-вымогателя Petya.A/Petya.C), который распространяется аналогично Wanna Cry.

Есть у меня VPS с ОС Debian 8, но которой была установлен cifs-utils (apt-get install -y cifs-utils), который включает в себя smbclient (как я понял, через него ко мне пролез этот вирус). Провайдер прислал письмо, в котором жалоба, что мой сервер учавствует в атаке.

Чтобы уничтожить вирус на 100%, я заказал у провайдера новую установку linux. После установки поднял VPN сервер, подключил несколько клиентов.

Также закрыл некоторые порты (21, 111, 135, 137, 138, 139, 445, 6851, 36082, 65448) командами

iptables -A INPUT -p tcp --dport [PORT] -j DROP
iptables -A INPUT -p udp --dport [PORT] -j DROP

Но это не помогло, снова прислали письмо:

"We have indications that there was an attack from your server.
Please take all necessary measures to avoid this in the future and to solve the issue."

и вложение:

##############################################################################
#               Netscan detected from host  [ip_moego_servera]               #
##############################################################################

time                protocol src_ip src_port       	   dest_ip dest_port
------------------------------------------------------------------------------
Wed Jun 28 16:19:59 2017 TCP  [ip_moego_servera] 55347 =>     3.18.50.252 445  
Wed Jun 28 16:19:50 2017 TCP  [ip_moego_servera] 54469 =>   3.194.178.216 445  
Wed Jun 28 16:21:01 2017 TCP  [ip_moego_servera] 61533 =>    6.182.74.177 445  
Wed Jun 28 16:20:52 2017 TCP  [ip_moego_servera] 60583 =>    7.45.158.179 445  
Wed Jun 28 16:21:04 2017 TCP  [ip_moego_servera] 61829 =>    7.186.54.250 445  
Wed Jun 28 16:20:02 2017 TCP  [ip_moego_servera] 55675 =>    7.231.88.234 445  
			...
Wed Jun 28 16:19:46 2017 TCP  [ip_moego_servera] 54032 =>   209.72.63.231 445  
Wed Jun 28 16:21:00 2017 TCP  [ip_moego_servera] 61379 => 210.189.193.182 445

Вчера вечером я снова заказал у провайдера новую установку «Debian-88-jessie-64-LAMP». Абсолютно ничего на него не ставил. Сегодня утром с помощью команд tcpdump src port 445 и tcpdump dst port 445 увидел, что снова активно идет траффик по 445 порту. Получается что вирус остался...

Что нужно проделать на Debian 8.8, чтобы избавиться от Petya.A/Petya.C (Wanna Cry)?

 , ,

pospelov
()

Как правильно настроить SoftEther VPN server?

Форум — Admin

Помогите, пожалуйста, разобраться! Как правильно настроить SoftEther VPN сервер, если он находится за роутером, на котором открыты все порты?

Есть маршрутизатор с белым статическим IP адресом, за ним 2 компьютера: один с debian 8 другой с windows 10.

На компьютер с debian 8 я установил SoftEther VPN сервер вот так, который слушает порты 443, 992, 1194 и 5555.

На маршрутизаторе я настроил forwarding, то есть проброс всех портов в диапазоне 1-65534 на компьютер с debian 8.

Когда на компьютере с windows 10 подключаюсь по L2TP\IPsec на внутренний IP VPN-сервера - все ОК. Когда пытаюсь подключиться через внешний IP - не хочет! В чем может быть причина?

 ,

pospelov
()

Как настроить SoftEther VPN сервер, если он находится за роутером, на котором открыты все порты?

Форум — General

Есть маршрутизатор с белым статическим IP адресом, за ним 2 компьютера: один с debian 8 другой с windows 10.

На компьютер с debian 8 я установил SoftEther VPN сервер вот так, который слушает порты 443, 992, 1194 и 5555.

На маршрутизаторе я настроил forwarding, то есть проброс всех портов в диапазоне 1-65534 на компьютер с debian 8.

Когда на компьютере с windows 10 подключаюсь по L2TP\IPsec на внутренний IP VPN-сервера - все ОК. Когда пытаюсь подключиться через внешний IP - не хочет! В чем может быть причина?

 ,

pospelov
()

nginx-rtmp-module как поднять поток после недоступности RTSP-источника более 5 минут

Форум — Admin

Здравствуйте, уважаемые форумчане. Прошу вас помочь по следующему вопросу.

Я установил nginx плюс nginx-rtmp-module вот таким образом, немного откорректировал, добавил функцию записи RTMP потока в файлы «*.flv» размером 50 Мб. Записывается в папку «/mnt» в виде «stream-2016-08-11--16-56-44.flv». Когда RTSP-источник становится недоступен в течении 10-20 секунд - запись начинается в новый файл.

Проблема состоит в том, что если RTSP-источник становится недоступен в течении 5 минут и дольше, запись не возобновляется автоматически, нужно только, например, перезапустить nginx командой «service nginx restart».

Что нужно дописать в этот конфиг, чтобы после потери-восстановлении связи с RTSP-источником запись возобновилась автоматически?

Вот содержимое моего «/etc/nginx/nginx.conf»

user orangepi;
worker_processes 1;
 
error_log /var/log/nginx/error.log warn;
pid /var/run/nginx.pid;
 
events {
  worker_connections 1024;
}
 
http {
  include /etc/nginx/mime.types;
  default_type application/octet-stream;
 
  log_format main '$remote_addr - $remote_user [$time_local] "$request" '
  '$status $body_bytes_sent "$http_referer" '
  '"$http_user_agent" "$http_x_forwarded_for"';
 
  access_log /var/log/nginx/access.log main;
  sendfile on;
  #tcp_nopush on;
  keepalive_timeout 65;
  #gzip on;
 
  server {
    listen 80;
    # rtmp stat
    location /stat {
     rtmp_stat all;
     rtmp_stat_stylesheet stat.xsl;
    }
 
    location /stat.xsl {
     # you can move stat.xsl to a different location
     root /etc/nginx/;
    }
 
    location / {
     rtmp_control all;
    }
 
    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
    root html;
  }

  location /image/cam1/ {
    proxy_pass "http://video-service.in.ua/wp-content/uploads/2014/08/b1072-k_.jpg";
  }
 }
 include /etc/nginx/conf.d/*.conf;
}

 
rtmp {
    server {
        listen 1935;
	ping 30s;
	notify_method get; 

application cam1 {
        live on;
recorder cam01 {
record all;
record_path /mnt;
record_suffix -%Y-%m-%d--%H-%M-%S.flv;
record_max_size 51200K;
exec_record_done flvmeta -U -f $path;
}
exec_static /usr/local/bin/ffmpeg -rtsp_transport tcp -i rtsp://admin:123456@192.168.0.125:1005/mpeg4 -c copy -an -f flv rtmp://localhost:1935/cam1/stream;
    }
  }
}

 , , , ,

pospelov
()

Монтирование сетевой папки, если она доступна при поднятии интерфейса

Форум — Admin

Помогите организовать монтирование сетевой папки, если она доступна, при поднятии интерфейса.

Как я решил это сделать:

у меня в VPN-сети есть два компьютера:

10.15.0.6
10.15.0.4
На компьютере «10.15.0.6» есть расшаренная папка «/mnt/disc»
10.15.0.6:/mnt/disc

Устанавливаю все необходимое на компьютере «10.15.0.4»

apt-get install -y portmap nfs-common
Создаю папку «/mnt/disc»
mkdir /mnt/disc

На компьютере «10.15.0.4» в папке (при поднятии интерфейсов)

/etc/network/if-up.d
создаю скрипт, который будет выполнять ее монтирование в папку «/mnt/disc»

nano z1mnt.sh
#!/bin/bash
i="10.15.0.6:/mnt/disc"
j="/mnt/disc"

 while  test ! -e "$i";
 do
   sleep 2
 done
   mount "$i" "$j"

exit 0
chmod +x z1mnt.sh

но команда

test -e
как я понял не работает с сетевыми папками, так как команда «showmount -e» показывает что папка присутствует
showmount -e 10.15.0.6
Export list for 10.15.0.6:
/mnt/disc 10.15.0.0/255.255.255.0

Вручную папка монтируется успешно

mount 10.15.0.6:/mnt/disc /mnt/disc
Автомонтирование вот таким методом
echo "10.15.0.6:/mnt/disc /mnt/disc nfs timeo=50,hard,intr" | tee -a /etc/fstab
не подходит, так как оно происходит раньше, чем поднимается VPN-сеть.

1. Как проверить доступность сетевой папки вместо «test -e»?

2. Правильно ли я делаю все остальное, не считая команды «test -e»?

 ,

pospelov
()

Запись RTSP потоков с IP-камер в *.mp4 файлы с датой-временем в имени файла

Форум — Admin

Здравствуйте, уважаемые форумчане. Прошу помощи по следующему вопросу. У меня есть в локальной сети три IP-камеры и компьютер с Debian.

Вот RTSP-URL-ы к этим камерам:

rtsp://admin:123456@192.168.0.124:1004/mpeg4
rtsp://admin:123456@192.168.0.125:1005/mpeg4
rtsp://admin:123456@192.168.0.126:1006/mpeg4

Нужно на компьютере с Debian организовать что-то вроде видеорегистратора: записать эти RTSP-потоки в *.mp4 файлы, длительностью в 1 час (время настраиваемое) на каждый файл, и разложить их по папкам в таком виде:

/home/user/records/cam_192_168_0_124_1004/2016/07/26
/home/user/records/cam_192_168_0_125_1005/2016/07/26
/home/user/records/cam_192_168_0_126_1006/2016/07/26

где «cam_»-простая приписка, «192_168_0_124_1004» взять из IP-адреса и порта соответственно, «2016»-год, «07»-месяц, «26»-день в которые записан файл.

Туда положить файлы с именами в таком виде:

cam_192_168_0_124_1004-YYYY-MM-DD--HH-MM-SS-mmm.mp4

где «cam_»-простая приписка, «192_168_0_124_1004» взять из IP-адреса и порта соответственно, YYYY-год, MM-месяц, DD-день, HH-часы, MM-минуты, SS-секунды, mmm-миллисекунды (то есть, IP адрес, порт, дата-время создания файла в имени этого файла).

Чтобы шаблоны имен файлов и папок были настраиваемыми. Чтобы можно было также регулировать занимаемое дисковое пространство папкой

/home/user/records
если объем превышен - удалить самый старый файл

Перерыл весь интернет, ничего нормального не нашел. Как это можно сделать?

 , , , ,

pospelov
()

Помогите отредактировать bash-скрипт

Форум — Admin

При установке VPN-клиента добавляется init-скрипт для его запуска. Вот его код:

#!/bin/sh
### BEGIN INIT INFO
# Provides: vpnclient
# Required-Start: $remote_fs $syslog
# Required-Stop: $remote_fs $syslog
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description: Start daemon at boot time
# Description: Enable Softether by daemon.
### END INIT INFO
DAEMON=/usr/local/vpnclient/vpnclient
LOCK=/var/lock/subsys/vpnclient
test -x $DAEMON || exit 0
case "$1" in
start)
$DAEMON start
touch $LOCK
;;
stop)
$DAEMON stop
rm $LOCK
;;
restart)
$DAEMON stop
sleep 3
$DAEMON start
;;
*)
echo "Usage: $0 {start|stop|restart}"
exit 1
esac
exit 0

Но при перезагрузке компьютера VPN-клиент не соединяется с сервером, потому что сбивается системное время. Приходится делать эти команды:

/etc/init.d/ntp stop
ntpdate pool.ntp.org
/etc/init.d/ntp start

и потом перезапускать VPN-клиента. Можно ли эти 3 команды как то засунуть в первый скрипт чтобы все это происходило автоматически?

 , , ,

pospelov
()

Помогите разобраться с настройкой SoftEther VPN без включения SecureNAT (в режиме Local Bridge)

Форум — Admin

Здравствуйте, помогите разобраться с настройкой SoftEther VPN без включения SecureNAT (в режиме Local Bridge). Две ситуации, 1. IP адреса клиентам выдаются (например 192.168.7.106). Клиенты имеют доступ к адресу 192.168.7.1. На сервере выясняется что 192.168.7.1 это не адрес сервера. Серверу не назначается IP и как следствие сервер не пингует клиентов. Адрес 192.168.7.1 неизвестно чей. 2. Если на сервере IP адрес все таки присвоился 192.168.7.1, клиенты при подключении отваливаются по непонятным причинам. IP адреса клиентам не выдаются. В логах присутствует запись:

"The VPN session has been deleted. It is possible that either the administrator disconnected the session or the connection from the client to the VPN Server has been disconnected."

Установку сервера делал так:

http://hd.zp.ua/ustanovka-softether-na-ubuntu-ili-debian/

Установку клиентов делал так:

http://dzek.ru/blog/SoftEther/201.html

 ,

pospelov
()

Какая то программа постоянно изменяет файл /etc/resolv.conf

Форум — Admin

Какая то программа постоянно записывает в файл «/etc/resolv.conf» строку «nameserver fe80::e695:6eff:fe40:7127%eth0» и как результат - «ping: unknown host ya.ru» в ответ на команду «ping ya.ru»

Добрый день. Прошу помощи по такому вопросу. Был у меня установлен Debian из дистрибутива «debian-8.4.0-amd64-netinst.iso» взятый отсюда "https://www.debian.org/CD/torrent-cd/". Через какое-то время он стал на команду «ping ya.ru» отвечать «ping: unknown host ya.ru». Стал вспоминать что я с ним в последнее время делал, вспомнил только «apt-get update» и «apt-get upgrate», больше ничего не вспомнил. После ввода «echo nameserver 8.8.8.8 > /etc/resolv.conf» проблема решалась, но через буквально 10-30 минут простоя появляется снова. Решил отформатировать весь диск и установить ОС заново. Сейчас я скачал и установил вот этот Debian "http://cdimage.debian.org/debian-cd/8.5.0/amd64/bt-cd/debian-8.5.0-amd64-neti... - ничего не изменилось. Сразу после перезагрузки интернет работает нормально, Яндекс «пингуется», содержимое файла «/etc/resolv.conf» в нормальном виде. Через какое-то время (10-30 минут) какая-то неизвестная мне программа постоянно записывает в файл «/etc/resolv.conf» строку «nameserver fe80::e695:6eff:fe40:7127%eth0», после чего «ping: unknown host ya.ru» в ответ на команду «ping ya.ru».

Содержимое файла «/etc/resolv.conf» сразу после загрузки компьютера (при этом все работает нормально): cat /etc/resolv.conf # Generated by NetworkManager search lan lan. nameserver 192.168.0.1 nameserver fe80::e695:6eff:fe40:7127%eth0

Содержимое файла «resolv.conf» после простоя минут 10-30 («ping: unknown host ya.ru» в ответ на команду «ping ya.ru»): cat /etc/resolv.conf nameserver fe80::e695:6eff:fe40:7127%eth0

Вывод команды «ifconfig»: eth0 Link encap:Ethernet HWaddr 3c:d9:2b:6f:92:30 inet addr:192.168.0.103 Bcast:192.168.0.255 Mask:255.255.255.0 inet6 addr: fdae:ea26:d3ff:0:80ba:9c9d:e052:f5a0/64 Scope:Global inet6 addr: fdae:ea26:d3ff::8bc/128 Scope:Global inet6 addr: fdae:ea26:d3ff:0:3ed9:2bff:fe6f:9230/64 Scope:Global inet6 addr: fe80::3ed9:2bff:fe6f:9230/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:2185 errors:0 dropped:0 overruns:0 frame:0 TX packets:333 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:787504 (769.0 KiB) TX bytes:43577 (42.5 KiB) Interrupt:20 Memory:fe400000-fe420000

lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:65536 Metric:1 RX packets:29 errors:0 dropped:0 overruns:0 frame:0 TX packets:29 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:3252 (3.1 KiB) TX bytes:3252 (3.1 KiB)

Вывод команды «uname -a»: Linux operator3 3.16.0-4-amd64 #1 SMP Debian 3.16.7-ckt25-2+deb8u2 (2016-06-25) x86_64 GNU/Linux

Вывод команды «hostname»: operator3

Вывод команды «hostname -f»: operator3.mydomen

Вывод команды «cat /etc/hosts»: 127.0.0.1 localhost 127.0.1.1 operator3.mydomen operator3 # The following lines are desirable for IPv6 capable hosts ::1 localhost ip6-localhost ip6-loopback ff02::1 ip6-allnodes ff02::2 ip6-allrouters

Вручную никакие настройки не вводились. Все это в результате чистой установки ОС. Раньше подобных проблем не было, тем более после чистых установок, которых было немало уже. Помогите разобраться в моей проблеме. Заранее спасибо!

 , ,

pospelov
()

RSS подписка на новые темы