Наша медицинская организация получила регистратор выбытия. Нужно пробросить порт на него чтобы программа Паруса видела его извне. Портсканом просмотрел открытые порты (есть 53, 3128), но все равно не робит… Шлюз на дебиане 8, бодаюсь с iptables v1.4.21… Вводил команды по шаблону на http://sys.dmitrow.com/sys/node/41, там тире заменил на двойные дефисы шоп проглатывало… Внешний наш статический айпи будем здесь писать как «внешний». РВ на вай-фае адрес 192.168.123.6:8080

Тут https://cloud.mail.ru/public/2ViV/Kq1YmzDCE положил инструкцию что надо делать, времени нет разбираться, срочно на работе надо сделать. Мне главное сконтачить наш шлюз (выложен здесь Готовый debian-сервер с DDNS, OpenVPN, Squid (фильтр https!!!) для младенцев...:D:D:D) с ПАКом, его адрес должен быть 192.168.1.254 или 253, разберусь сам. Кста новая ссылка на файлы шлюза https://cloud.mail.ru/public/2NKe/55wyiB6cZ

Подскажите пжлст как настроить OpenVPN-сервер на отдельном компьютере, в локальной сети за шлюзом на Debian 8, там настроены сервера dhcp, dns bind, samba, wins, squid. OpenVPN-сервер должен быть настроен как мост tap, клиенты получают адрес из dhcp на шлюзе. Главная причина настройки на отдельном компьютере - чтобы клиенты видели в lan-мессенжерах клиентов в своей сети и клиентов за шлюзом, благодаря директиве OpenVPN-сервера client-to-client.

На Windows вообще проблем нет, все адреса (dhcp, dns, wins) берутся из нашего сервера на Debian. Решил настроить Ubuntu/Runtu клиента ан нет - выходит классическая ошибка - unable to redirect default gateway vpn gateway parameter route-gateway or ifconfig is missing. Вообще линукс-клиенты способны получить адрес автоматом или придется делать через ccd? У кого-то вообще заработал импорт настроек через network manager? Пжлст подскажите что раскоментировать/добавить в конфиге сервера OpenVPN и какие добавить (незадокументированные в официальном конфиге/мануале) параметры в файл клиента...

Вот здесь лежит мой конфиг кальмара https://cloud.mail.ru/public/LiBC/ZgX7Lkjow Проверяю работоспособность конфига для чистоты эспериментов на приватных вкладках (режим инкогнито).

Случай 1: Например, один клиент, до ввода фильтра черного списка в промышленную эксплуатацию, не стесняясь, смотрел видео на youtube и может быть на других видеохостингах, даже не подозревая о пуске фильтра... Вот я пустил фильтр, а этот клиент продолжал смотреть видео... Случайно обнаружил это посетив клиента. Почистил полностью кэш браузера и он перестал заходить на запрещенные сайты.

Вопрос 1: Как такое могло произойти? Куки помогли ему смотреть видео? Кальмар некэширующий.

Случай 2: Пользователю поставил компьютер помощнее, но сменил hostname клиента на прежний, т.е. на такой же что был на старом компьютере. Hostname клиента стоит в списке vip. Естественно DHCP-сервер присвоил ему другой IP-адрес (у нас все автоматом). Возможно, из-за смены IP-адреса этот клиент потерял привилегии vip-пользователя и уже не заходит на сайты в списке blackhttps, blackhttp. Такое и раньше было, но решалось очень быстро, н-р передергиванием ethernet-кабеля или отключением/включением сетевого подключения. Но на этот раз ничего не помогает, все vip-пользователи не открывают эти сайты, не помогли также перезапуски DHCP, Squid, DDNS BIND9, чистки их кэшей/зон, полностью перезагрузки шлюза...

Вопрос 2: В чем может быть проблема?

Имеется шлюз на Debian с сетью 192.168.1.0/24, сервер OpenVPN, с мостом br0 из eth1 и tap0, раздающий эту же сеть клиентам OpenVPN. Имеется LAN Messenger от Qualia по обе стороны моста. Клиенты OpenVPN не могут видеть клиентов за шлюзом, и наоборот, клиенты OpenVPN видят друг друга благодаря директиве client-to-client.

Вопрос - проблема в распространении мультикаста/бродкаста через роутеры. Проблема, думаю, не в свойствах подключения, т.к. клиентами создается tap-подключение. Проблема скорее всего в способности OpenVPN пропускать мультикаст/бродкаст трафик... https://community.openvpn.net/openvpn/ticket/79 http://blog.michael.kuron-germany.de/2015/07/arp-and-multicast-packets-lost-w...

Пжлст скажите вообще ли это реализуемо и дайте пошаговые инструкции рабочих вариантов...

Имеется единая подсеть 192.168.1.0. Клиенты в локальной сети и клиенты OpenVPN используют LAN Messenger от Qualia. Эти две группы клиентов не видят друг друга в списке контактов мессенджера, но зато клиенты OpenVPN могут видеть друг друга даже из разных населенных пунктов благодаря директиве client-to-client в файле настройки OpenVPN-сервера. Получается что через OpenVPN-сервер не проходят мульти-/бродкасты? Я подозреваю IGMP... Как заставить увидеть их по разные стороны шлюза?

А вот BeeBEEP (Secure Lan Messenger) может пробить сквозь шлюз, наверное благодаря BonjourPSSetup.exe, который (помогает использовать?) использует mDNS. Но хотелось бы использовать один мессенджер...

Почему debian-сервер не будит клиента по команде wakeonlan mac-адрес из вебмина и терминал? Пакет установлен. wakeonlangui на винде прекрасно будит - прописываю клиентский mac-адрес, айпи-адрес, маску сети. Но мне надо чтобы будило ч/з debian-сервер... Как я понял по OpenVPN даже не стоит пытаться будить т.к. magic packet не пройдет... По OpenVPN подключаюсь к вебмину debian-сервера и пытаюсь будить, не получается. Клиент - Windows XP SP3

Закрыл весь торрент-трафик

iptables -A FORWARD -m string --algo bm --string «BitTorrent» -j DROP iptables -A FORWARD -m string --algo bm --string «BitTorrent protocol» -j DROP iptables -A FORWARD -m string --algo bm --string «peer_id=» -j DROP iptables -A FORWARD -m string --algo bm --string ".torrent" -j DROP iptables -A FORWARD -m string --algo bm --string «announce.php?passkey=» -j DROP iptables -A FORWARD -m string --algo bm --string «torrent» -j DROP iptables -A FORWARD -m string --algo bm --string «announce» -j DROP iptables -A FORWARD -m string --algo bm --string «info_hash» -j DROP

Не смог найти в инете как только себе разрешить торрент... Ясен пень что это инфо не для всех... Но подскажите пжлст...

Я новичок в дебиан-шлюзинге, начал в этом году по рекомендации гуру использовать Debian, до этого были pfsense, пробовал ipfire, smoothwall, clearos, до этого был на уровне настройки роутера Асус))), ушло много теории и уже работает на работе))) хммм если успешно запустите на работе, то не откажусь от материального поощрения... ужс о чем это я... задавайте вопросы в теме, раз в день вечером возможно буду просматривать тему...

Админ!!! как вложить архивчик 24,8 КБ??? лады закинул в Облако https://cloud.mail.ru/public/KMw8/SCNA8BPka

Не знаю поможете ли... На компе поднял debian шлюз, установил Squid 3.5.8 как на http://linux-admin.tk/?action=viewArticle&articleId=31 Наверное слишком замахнулся потому что даже просто http-фильтр не работает как на http://break-people.ru/cmsmade/index.php?page=articles_squid_practice_how_to_...

Может не работает из-за неправильной компиляции? но командная строка в вебмине не показывает ошибок, выхлоп похож на тот который в первой ссылке... cache.log тоже не дает ошибок... даже пробовал дефолтный конф с http://wiki.squid-cache.org/Squid-3.5, добавлял свою сеть, список белых сайтов, передвигал на самый верх... кальмар (тестирую на виэмваре) после применения изменений или все блокирует или вообще ничего не фильтрует...

буду очень рад помощи.

-----------------------------------------------немного засраный конф, пытался настроить под белый список http-сайтов... могу дать начальный, т.е. дефолтный + моя сеть и на нем уже ваять рабочий конфиг... для начала пойдет фильтр для http-сайтов...

http_port 3128

acl localnet src 192.168.1.0/24 # RFC1918 possible internal network acl all src all acl allowed_protocol proto http acl allowed_port port 80 acl allowed_sites dstdomain break-people.ru acl whitelist dstdomain «/etc/squid/whitelist»

acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Safe_ports port 1025-65535 # unregistered ports acl CONNECT method CONNECT

http_access deny all http_access deny whitelist http_access allow allowed_protocol allowed_port allowed_sites localnet http_access deny !Safe_ports

# # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS #

http_access deny CONNECT !SSL_ports #http_access allow localnet http_access allow localhost manager http_access deny manager http_access allow localhost

cache deny all

refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern . 0 20% 4320 cache_effective_user proxy cache_effective_group proxy

dns_nameservers 192.168.1.1

Пишу от отчаяния... Сколько дней, выходных и личного времени ушло... Опыт практической работы с компьютерами с 2003 г. С линуксом знаком, даже ставил старшему бухгалтеру, сетевая печать и всё такое... Вышестоящий орган дал указание по внедрению защиты интернета. До недавнего времени имел уровень знания шлюзинга на уровне железного роутера со встроенным dhcp-сервером. Пробовал pfsense, но один мне посоветовал использовать Debian как универсальную ОС для подобных целей. Везде на сайтах они даже и не пишут какой случай они описывают... Н-р просто серв без раздачи DHCP, просто комп прописанный вручную... В конфах поди разберись как комп подключен... Я могу принять ими написанное на веру и заблуждаться... Нет пошагового мануала именно для начинающих, начиная с создания моста или просто его прописывания в конфах, заканчивая конфигом клиента... Хотя клиент это просто. Вот беда с сервером openvpn в режиме моста - никак не хочет давать клиентам адрес шлюза... на 7-ке клиент сразу подключается, а ХР просто получает свой автоматический частный адрес... Моя топология простая, звездочки - статика наружу через оптический кабель (red), сеть до 100 компьютеров. Шлюз со статикой 192.168.1.1 (green) во внутреннюю локальную сеть. Я хочу чтобы подключающиеся клиенты из других населенных пунктов могли сразу бы подключаться к нашей локальной сети, хотя я уже начинаю сомневаться что эта технология openvpn bridge вообще работает... Мне без разницы откуда клиенты будут получать свои адреса, dns желательно внутренний от 192.168.1.1. В настройках openvpn-сервера шлюзы не прописываются. ОЧЕНЬ буду благодарен если напишете для всех начинающих (чайников) пошаговый мануал для моего случая (192.168.1.1 распространен ) с описанием файла interfaces и server.conf, включая создание/прописывание мостов. На шлюзе будут запущены серверы BIND9, DHCP, прокси Squid, openvpn.

И еще - после настройки сервера DHCP и установки BIND9 интернет не появился на компьютерах клиента, пришлось вводить команду iptables -t nat -A POSTROUTING -j MASQUERADE. Непонятно почему его пришлось вводить если по умолчанию брандмауэр в Debian отключен. Наверное мешает... Нет ли побочных нежелательных проблем после его удаления? И как сделать чтобы про него вообще не вспоминать? Или сделать все дела, построить шлюз со всеми серверами и потом подкорректировать? Напишите пжлст на trancid@mail.ru