Архив за месяц: Ноябрь 2010

Настраиваем соединение филиалов с головным офисом через OPENVPN

Задача: Соеденить филиалы с головным офисом посредством openvpn
Тех. характеристики: На всех филиалах в качестве шлюзовой машинки используется freebsd
Решение:

Устанавливаем openvpn

cd /usr/ports/security/openvpn
make install clean
mkdir -p /usr/local/etc/openvpn/{ccd,easy-rsa/keys}
cp /usr/local/share/doc/openvpn/easy-rsa/2.0/* /usr/local/etc/openvpn/easy-rsa/
ln -sf /usr/local/etc/openvpn/easy-rsa/keys /usr/local/etc/openvpn/

Если данный шлюза будет использоваться в качестве сервера то правим под себя
/usr/local/etc/openvpn/easy-rsa/vars
cd /usr/local/etc/openvpn/easy-rsa
sh
chmod +x *
. ./vars

Генерируем ключ сервера
./clean-all && ./build-ca && ./build-dh && ./build-key-server server

создадим файл /usr/local/etc/openvpn/server.conf

mode server
tls-server
daemon
ifconfig 192.168.10.1 255.255.255.0
port 9888
proto tcp-server
dev tap
ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/server.crt
key /usr/local/etc/openvpn/keys/server.key
dh /usr/local/etc/openvpn/keys/dh1024.pem
client-config-dir /usr/local/etc/openvpn/ccd
push «route 192.168.10.0 255.255.255.0 192.168.10.1»

# Забегу вперед. Роуты на сети клиентов
route 172.161.250.0 255.255.255.0 192.168.10.101
route 172.161.252.0 255.255.255.0 192.168.10.102
route 192.16.0.0 255.255.255.0 192.168.10.111
#

keepalive 10 120
client-to-client
comp-lzo
persist-key
persist-tun
verb 3
log-append /var/log/openvpn.log

в rc.conf добавим

openvpn_enable=»YES»
openvpn_configfile=»/usr/local/etc/openvpn/server.conf»

Далее нужно подгрузить модуль для работы с tap-интерфейсами:
kldload if_tap

Чтобы модуль автоматически подгружался при загрузке нужно добавить в /boot/loader.conf строку:
if_tap_load=»YES»

Стартуем.
/usr/local/etc/rc.d/openvpn start

Правим PF

if_vpn = «tap0»
net_int = «xxx.xxx.0.0/24»
net_vpn = «192.168.10.0/24»

# Разрешаем исходящий трафик в сторону VPN-сети
pass out quick on $if_vpn from ($if_vpn) to $net_vpn
pass out quick on $if_vpn from $net_int to $net_vpn

# Разрешаем входящий трафик со стороны VPN-сети
pass in quick on $if_vpn from $net_vpn to any keep state

# Разрешаем обращение к нашему VPN-серверу снаружи
pass in quick on $ext_if inet proto tcp from any to ($ext_if) port 9888 flags S/SA keep state

Продолжение следует…

CISCO LAN2LAN VPN

Добавить комментарий

!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
!
crypto isakmp key 123456 address 100.100.100.100 no-xauth
!
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association idle-time 600
!
crypto ipsec transform-set vpnTRANS esp-3des esp-md5-hmac
!
crypto map VPN 10 ipsec-isakmp
set peer 100.100.100.100
set transform-set vpnTRANS
match address 101
!

interface FastEthernet0/0
description $ETH-LAN$
ip address 172.16.0.1 255.255.255.0
ip access-group 1 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
no snmp trap link-status
no mop enabled
!
interface FastEthernet0/1
description $ETH-WAN$
ip address 10.10.10.10 255.255.255.248
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
ip policy route-map vpn-client
duplex auto
speed auto
no snmp trap link-status
crypto map VPN
!
access-list 101 permit ip 172.16.0.0 0.0.0.255 host 192.168.0.1
!
ip route 192.168.0.1 255.255.255.255 FastEthernet0/1

подборка демотиваторов по настроению

Добавить комментарий

Лимит на соединения с одного ip адреса

Добавить комментарий

max 10 коннектов для 80 порта сервера 192.168.1.1
ipfw add allow tcp from any to 192.168.1.1 80 limit src-addr 10
ipfw add allow tcp from any to 192.168.1.1 80 via rl0 setup limit src-addr 10

Добавление Aliases для сетевого интерфейса в Freebsd

Добавить комментарий

Добавление алиаса: ifconfig em0 inet 192.168.1.1 netmask 255.255.255.255 alias
Удаление: ifconfig em0 inet 192.168.1.1 netmask 255.255.255.255 -alias

Добавить комментарий

наболело

Добавить комментарий

Кругом столько высокомерных завышенных дятлов, вышедших из вузов, но в силу свой большой галочки и не менее больших корочек работают не по специальности, так как в вузе пинали хуи, либо работают по специальности манагерами высшего звена, которые что либо приносят.. или уносят тем, кто не занимался ерундой, а начал работать раньше их, имел голову на плечах без всяких вузов, галочек и корочек. В том время, как эти самые умные люди и вообще будущее всей планеты, сидело, ковыряясь в носу и слушая совков-преподов о том, как им нужны будут кадры, дипломированные специалисты и инжинеры. Опомниться пора бы уже, какая эта страна и что в ней к чему. Образование, армию, производство мы давно уже безвозвратно просрали. Остается только крутиться и не тешить себя надеждами о том что примут, позовут и чаем накормят.

если ты быдло тупое то нехуй вообще идти в учреждения высшего образования… иди в пту или на рынок продавцом кричать кааааму аааааарбууууузы… кругом море людей с опытом работы и со знаниями намного выше вузовских, которые учились на своих ошабках а не в вузах… и любой работодатель выберет именно их, потому-что они действительно ЗНАЮТ и УМЕЮТ решать какие-либо траблы… я собеседовал спецов с красным дипломим итмо… пиздец… стыдно за будущее россии… сколково твою мать
А если ты идешь устраиватся на работу то нехуй корчить из себя мегамозг… так и скажи что я нихуя не знаю и не умею и окончил мегаприахуительное заведение имя которому вуз…. не стоит тыкать своими приебучими корочками мне в ебло… таких как ты отбивают сразу…. признай то что ты дурак…. такого быстрей возьмут на работу…