LINUX.ORG.RU

Сообщения tirenka

 

SoftEther Vpn Server исчезли юзеры

Здравствуйте. Упал сервер с SoftEther vpn, но после старта все успешно запустилось и клиенты передпоключились.

Пост фактум было обнаружено, что исчезли все пользователи, которые авторизовывались по паролю и не состояли в группах. Пользователи, которые авторизовывались по сертификату не пострадали.

Начал проводить эксперименты, выявил некоторую закономерность.

  • Если одновременно создать пользователя с авторизацией через сертификат и другого пользователя через пароль. Подождать около минуты, и остановить сервер. После запуска останется только пользователь созданный через сертификат. Делал копии конфигов, до остановки, во время и после запуска сервера. Выяснил, что пользовтель исчезает из конфига, после того, как сервер запустился.
  • Если подождать от 3-5 минут после создания и перед рестартом сервиса, то все пользователи остаются.

Подскажите, были ли у вас подобные ситуации, в чем была проблема и как вы их решали?

Отрывок конфига, который может быть полезен.

uint AutoDeleteCheckIntervalSecs 300
uint AutoSaveConfigSpan 10
bool BackupConfigOnlyWhenModified true
string CipherName RC4-MD5
uint CurrentBuild 9634

 , ,

tirenka
()

Ajenti, где хранятся пользовательские скрипты?

Плаинрую, использовать ajenti на серверах. В будущем хотелось бы добавлять новые кастомные скрипты, но перспектива заходить на каждый хост и добавлять вручную выглядит, как-то уныло. Хотелось бы их менеджить через какой-нибудь ansible. Может кто знает, где и в каком виде ajenti хранит скрипты, которые были добавлены через веб-интерфейс???

 , , ,

tirenka
()

OpenVpn: ограничить arp трафик на vpn интерфейсы.

Всем привет.

Схема: Есть два OpenVpn сервера которые работают в режиме tap. Между ними развернут виртуальный бридж (tinc) интерфейс. В итоге клинеты могут подключаться к любому из них, и общаться с клиентами из другой ноды.

Проблема: Некоторые клиенты этого OpenVpn подключены через 3g/4g dongle, и они получают все arp запросы которые пересылаются в этой сети, из-за этого набегает очень большое количество ненужного трафика.

Вопрос: Можно ли ограничить отправку arp трафика на vpn интерфейсы? И самому мэнэджить arp таблицы?

 , , , ,

tirenka
()

SoftEther VPN оптимизация траффика.

Приветсвую. Нужна помощь по настройки SoftEther VPN

Что имеется: 1)Хаб состоит из 30 машин. 2)Шифрование RC4-MD5 3)Этот хаб является абсолютно изолированным.

Проблема: Было замечено, что сразу после запуска VPN клиента на сервере, входящий трафик увеличивается на 20-30kBit/s. И это еще до того, как по-нему начинает передаваться необходимая информация. Все бы ничего, но некоторые сервера используют 3g/4g модемы для связи.

Решение: Мне необходимо, что-бы клиенты vpn общались только с одним сервером, по определенным портам. Я решил попробовать решить эту проблему через ACL. И сразу создал правило запрещающие весь входящий трафик для клиента (в качестве эксперимента). Но почему-то видимого результата мне это не принесло,входящий траффик остался на том же уровне, хотя доступ к этому клиенту пропал.

Вопрос: 1) Посоветуйте, пожалуйста, как и какими инструментами стоит воспользоваться, для уменьшения служебного трафика 2) Как вы считаете, какой средний/нормальный уровень трафика должен быть в моем случае?

 , , ,

tirenka
()

Получение stateless global ipv6 черep Router Advertisement.

Коллеги добрый день. Достался в наследство серверер на Debian 7, и на нем необходимо настроить ipv6 адрес. Сервер располагается на виртуальной машине linode. И почему-то настраивается только ipv6 scope link. Подскажите куда стоит копать, что бы сервер на сервер автоматически настраивался global link ipv6.

Сетевые настройки

auto lo
iface lo inet loopback

auto eth0
allow-hotplug eth0

iface eth0 inet6 auto

iface eth0 inet static
    address xxx.xxx.xxx.xxx/24
    gateway xxx.xxx.xxx.xxx

allow-hotplug vpn_se_dev
sysctl ipv6 config
sysctl: reading key "net.ipv6.conf.all.stable_secret"
net.ipv6.conf.all.disable_ipv6 = 0
sysctl: reading key "net.ipv6.conf.br-760c8151a508.stable_secret"
net.ipv6.conf.br-760c8151a508.disable_ipv6 = 0
sysctl: reading key "net.ipv6.conf.br-f8cbc1d63084.stable_secret"
net.ipv6.conf.br-f8cbc1d63084.disable_ipv6 = 0
sysctl: reading key "net.ipv6.conf.default.stable_secret"
net.ipv6.conf.default.disable_ipv6 = 0
sysctl: reading key "net.ipv6.conf.docker0.stable_secret"
net.ipv6.conf.docker0.disable_ipv6 = 0
sysctl: reading key "net.ipv6.conf.dummy0.stable_secret"
net.ipv6.conf.dummy0.disable_ipv6 = 0
sysctl: reading key "net.ipv6.conf.erspan0.stable_secret"
net.ipv6.conf.erspan0.disable_ipv6 = 0
sysctl: reading key "net.ipv6.conf.eth0.stable_secret"
net.ipv6.conf.eth0.disable_ipv6 = 0
sysctl: reading key "net.ipv6.conf.gre0.stable_secret"
net.ipv6.conf.gre0.disable_ipv6 = 0
sysctl: reading key "net.ipv6.conf.gretap0.stable_secret"
net.ipv6.conf.gretap0.disable_ipv6 = 0
sysctl: reading key "net.ipv6.conf.ip6_vti0.stable_secret"
net.ipv6.conf.ip6_vti0.disable_ipv6 = 0
sysctl: reading key "net.ipv6.conf.ip6gre0.stable_secret"
net.ipv6.conf.ip6gre0.disable_ipv6 = 0
sysctl: reading key "net.ipv6.conf.ip6tnl0.stable_secret"
net.ipv6.conf.ip6tnl0.disable_ipv6 = 0
sysctl: reading key "net.ipv6.conf.ip_vti0.stable_secret"
net.ipv6.conf.ip_vti0.disable_ipv6 = 0
sysctl: reading key "net.ipv6.conf.lo.stable_secret"
net.ipv6.conf.lo.disable_ipv6 = 0
sysctl: reading key "net.ipv6.conf.sit0.stable_secret"
net.ipv6.conf.sit0.disable_ipv6 = 0
sysctl: reading key "net.ipv6.conf.tap0.stable_secret"
net.ipv6.conf.tap0.disable_ipv6 = 0
sysctl: reading key "net.ipv6.conf.teql0.stable_secret"
net.ipv6.conf.teql0.disable_ipv6 = 0
sysctl: reading key "net.ipv6.conf.tunl0.stable_secret"
net.ipv6.conf.tunl0.disable_ipv6 = 0
sysctl: reading key "net.ipv6.conf.veth848c6de.stable_secret"
net.ipv6.conf.veth848c6de.disable_ipv6 = 0
sysctl: reading key "net.ipv6.conf.veth864d706.stable_secret"
net.ipv6.conf.veth864d706.disable_ipv6 = 0
sysctl: reading key "net.ipv6.conf.vpn_se_dev.stable_secret"
net.ipv6.conf.vpn_se_dev.disable_ipv6 = 0
sysctl: reading key "net.ipv6.conf.vpn_soft_ether.stable_secret"
net.ipv6.conf.vpn_soft_ether.disable_ipv6 = 0

router advertisement

tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
08:22:33.248340 IP6 (class 0xe0, hlim 255, next-header ICMPv6 (58) payload length: 64) fe80::1 > ff02::1: [icmp6 sum ok] ICMP6, router advertisement, length 64
	hop limit 64, Flags [none], pref medium, router lifetime 300s, reachable time 0s, retrans time 0s
	  source link-address option (1), length 8 (1): 00:05:73:a0:0f:ff
	    0x0000:  0005 73a0 0fff
	  prefix info option (3), length 32 (4): 2a01:7e00::/64, Flags [onlink, auto], valid time 14400s, pref. time 3600s
	    0x0000:  40c0 0000 3840 0000 0e10 0000 0000 2a01
	    0x0010:  7e00 0000 0000 0000 0000 0000 0000
	  mtu option (5), length 8 (1):  1500
	    0x0000:  0000 0000 05dc
08:22:38.259682 IP6 (class 0xe0, hlim 255, next-header ICMPv6 (58) payload length: 64) fe80::1 > ff02::1: [icmp6 sum ok] ICMP6, router advertisement, length 64

 , , ,

tirenka
()

Графическая оболочка для управления сервером.

Доброе утро комьюнити) Есть сервер с ubuntu 18.04 без графического интерфейса. Сейчас настраивается админами по ssh. Но хотелось бы часть полномочий делегировать работникам на местах. Для этого есть идея, сделать графический/веб-интерфейс, через который можно менять определенные параметры. Подскажите пожалуйста с какими системами вы рбаотали, какие сейчас наиболее актуальны, на какие обратить внимание ?

 ,

tirenka
()

Софтовый watchdog.

Добрый день подскажите пожалуйста, есть задача мониторить наличие сетевых интерфейсов, и удаленных узлов. И в случае их недоступности перезагружать компьютер. Это самое крайнее решение, по-этому, хочется что-бы оно применялось не чаще чем раз в сутки. Облазил интернет, нашел только как менять интервал между проверками. Подскажите пожалуйста, как можно увеличить количество этих самых проверок, после которых будет осуществлена перезагрузка. P.S: Если знаете как ограничить максимальное количество перезагрузок, то поделитесь пожалуйста.

 , , ,

tirenka
()

Monit, SystemD интересно ваше мнение.

Доброго дня коллеги. Тут появилась задачка перевода серверов с ubuntu 14.04 на 18.04. На 14.04 для контроля сервисов использовался monit, но если я все правильно понял в 18.04 его можно заменить на systemd. На счет контроля процессов проблем нет, а вот в случаях когда нужно рестартовать сервис или сетевую, при падениях на уровне локальной сети , то в systemd удалось найти только очень костыльные варианты. Очень бы хотелось услышать ваше мнение по-этому вопросу. Альтернативные варианты приветствуются. Спасибо.

 , , , ,

tirenka
()

Проброс SSH через firewall.

Доброго времени суток.Нужен совет более опытных админов. Есть сервер (на базе ubuntu), который располагается за нат и фаерволом. На этом фаерволе для сервера открыты порты vpn- 444, служебные - 9876, 7654. Был доступ по ВПН. Но по какой-то причине,связь пропала, админы фаервола утверждаю, что по нашей вине. Физический доступ к серверу, получить очень не просто.Поэтому сначала необходимо попробовать все в возможные варианты решить вопрос удалено.

На сервере так же крутится скрипт, который в случае потери связи пытается пробросить обратный SSH тунель.

autossh -f -N $USER@$HOST -R $SSH_PORT:127.0.0.1:22 -vvv

Но для нас открыли 22 порт, только на исходящие соединения, от сервера, который за натом.

Есть задача, если не поднять сервер исключительно по удаленке, то по крайней мере сделать так что бы в будущем иметь резервный канал подключения, помимо VPN. Вопрос к знатокам. 1)Если предположить, что сервер просто вырубился, хватит ли, тех доступов, которые сейчас есть, для того, что бы подключаться удалено по ssh? Будет ли пробрасываться ssh Тунель, на лабораторном стенде не получилос, но есть опасение, что я что-то не так сделал. 2)Какие еще доступы необходимо запросить, что бы обратный SSH тунель, корректно работал ? 3)Можно ли что бы ssh слушал несколько портов, и команда заворачивал тунель на порт отличный от 22 ? Как себя поведет autossh, если будет слушаться несколько портов. И команда будет типа. autossh -f -N $USER@$HOST -R $SSH_PORT:127.0.0.1:55555 -vvv

Очень интересно послушать, как вы реализовывали подобные решения. Спасибо.

 , , ,

tirenka
()

RSS подписка на новые темы