Все примеры на базе aeza, потому что там есть предустановленные шаблоны, полный запуск - минут 10. Без рефералок.
VLESS на базе 3x-ui (https://github.com/MHSanaei/3x-ui)
И просто полезная статья
Показаны сообщения с ярлыком VPN. Показать все сообщения
Показаны сообщения с ярлыком VPN. Показать все сообщения
вторник, 3 сентября 2024 г.
пятница, 22 апреля 2022 г.
Немного про VPN
Сейчас для многих весьма остро стоит вопрос с доступом к ряду ресурсов, и приходится покупать/поднимать впн.
Мне больше всего импонирует SSTP - штатно умеют все основные операционки, но с мобилами вопрос.
Можно взять openvpn - но настройка через консоль отпугивает многих, а openvpn-ce платный от 3+ коннектов. Правда, нашлась админка от Flant - https://github.com/flant/ovpn-admin/
Ещё вариант - WireGuard
Пошаговая инструкция по настройке Wireguard VPN + DNSCrypt + DNS server (Unbound) + Pihole
Всякие pptp, l2tp, ipsec (ike) не рассматриваем - их очень легко обнаружить и заблокировать, верх "удобства" - gre.
среда, 29 января 2014 г.
mikrotik: поднимаем VPN
Умеет: PPTP, L2TP, PPP, SSTP, OVPN, PPPOE. Все как сервером, так и клиентом.
Не так давно микротик не умел openvpn, сейчас у меня поддержка есть.
Windows 7 поддерживает 3 протокола из перечисленных: PPTP, SSTP и почему-то L2TP IPsec
http://wiki.mikrotik.com/wiki/Category:VPN
http://www.mikrotik.com/solutions.php
http://wiki.mikrotik.com/wiki/Tunnels
http://wiki.mikrotik.com/wiki/PPTPServer
PPTP
Наиболее простой вариант для windows-клиента это PPTP
http://www.mikrotik.com/testdocs/ros/2.9/interface/pptp.php#5.29.6
видео, быстрая настройка за 5 минут (видео похоже ускоренное)
http://www.youtube.com/watch?v=Q2OR8hj2ivI
Но есть ряд особенностей. В частности, без указания локального и удаленного адресов будет ошибка соединения.
Если прописывать айпи из сети сервера - с большой вероятностью ничего не заработает вообще, диапазоны не должны пересекаться. А не из сети сервера, то инет может и поднимется, а вот офисные ресурсы будут недоступны. Прописывание в винде офисной сети (route add) - поможет подключиться только к тем айпи, у которых шлюз - этот микротик, остальные даже пинговаться не будут, потому что подключение будет с этим "левым" айпи, надо тогда как-то сообщить всем системам ещё об одной сети, что сложно, а иногда невозможно. Частично помогает proxy-arp, также может L3 роутинг помочь.
Пояснение. Если мы прописали в remote address айпи 10.10.10.2, то залогинившись на сервер с *nix, мы увидим что подключение было именно с этого айпи. Поэтому дефолтный роутер должен быть микротиком, что выполняется не всегда.
SSTP
Ещё из интересных протоколов -- SSTP
Secure Socket Tunneling Protocol (SSTP) transports a PPP tunnel over a SSL 3.0 channel. The use of SSL over TCP port 443 allows SSTP to pass through virtually all firewalls and proxy servers.
Интересен тем, что не отличим от нормального SSL трафика, в отличии от прочих протоколов, где сразу понятно что это бегает VPN.
Вот с поднятием таких туннелей сложнее, в том числе с подключением.
Корректно SSTP работает только на Windows Vista, Windows 7 и RouterOS.
http://wiki.mikrotik.com/wiki/Manual:Interface/SSTP
Radius
Пользователи могут быть как локальными, так и получаться из Radius, для чего надо настроить radius-подключение и поставить галку в PPP-Secrets-PPP Auth.... - Use Radius
сначала проверяется локальная база, потом радиус.
Про L2, L3, bridging и прочее тут опустим.
Линки
http://blog.a-zazell.ru/mikrotik-windows-sstp-tunnel/
http://rfedorov.blogspot.ru/2013/05/pptp-mikrotik-proxy-arp-gre1723.html
Не так давно микротик не умел openvpn, сейчас у меня поддержка есть.
Windows 7 поддерживает 3 протокола из перечисленных: PPTP, SSTP и почему-то L2TP IPsec
http://wiki.mikrotik.com/wiki/Category:VPN
http://www.mikrotik.com/solutions.php
http://wiki.mikrotik.com/wiki/Tunnels
http://wiki.mikrotik.com/wiki/PPTPServer
PPTP
Наиболее простой вариант для windows-клиента это PPTP
http://www.mikrotik.com/testdocs/ros/2.9/interface/pptp.php#5.29.6
видео, быстрая настройка за 5 минут (видео похоже ускоренное)
http://www.youtube.com/watch?v=Q2OR8hj2ivI
Но есть ряд особенностей. В частности, без указания локального и удаленного адресов будет ошибка соединения.
Если прописывать айпи из сети сервера - с большой вероятностью ничего не заработает вообще, диапазоны не должны пересекаться. А не из сети сервера, то инет может и поднимется, а вот офисные ресурсы будут недоступны. Прописывание в винде офисной сети (route add) - поможет подключиться только к тем айпи, у которых шлюз - этот микротик, остальные даже пинговаться не будут, потому что подключение будет с этим "левым" айпи, надо тогда как-то сообщить всем системам ещё об одной сети, что сложно, а иногда невозможно. Частично помогает proxy-arp, также может L3 роутинг помочь.
Пояснение. Если мы прописали в remote address айпи 10.10.10.2, то залогинившись на сервер с *nix, мы увидим что подключение было именно с этого айпи. Поэтому дефолтный роутер должен быть микротиком, что выполняется не всегда.
SSTP
Ещё из интересных протоколов -- SSTP
Secure Socket Tunneling Protocol (SSTP) transports a PPP tunnel over a SSL 3.0 channel. The use of SSL over TCP port 443 allows SSTP to pass through virtually all firewalls and proxy servers.
Интересен тем, что не отличим от нормального SSL трафика, в отличии от прочих протоколов, где сразу понятно что это бегает VPN.
Вот с поднятием таких туннелей сложнее, в том числе с подключением.
Корректно SSTP работает только на Windows Vista, Windows 7 и RouterOS.
http://wiki.mikrotik.com/wiki/Manual:Interface/SSTP
Radius
Пользователи могут быть как локальными, так и получаться из Radius, для чего надо настроить radius-подключение и поставить галку в PPP-Secrets-PPP Auth.... - Use Radius
сначала проверяется локальная база, потом радиус.
Про L2, L3, bridging и прочее тут опустим.
Линки
http://blog.a-zazell.ru/mikrotik-windows-sstp-tunnel/
http://rfedorov.blogspot.ru/2013/05/pptp-mikrotik-proxy-arp-gre1723.html
вторник, 14 февраля 2012 г.
openvpn: виды соединений
[черновик]
Варианты, которые могут быть:
1) комп-комп
2) комп-сеть
3) сеть-комп
4) сеть-сеть
TAP симулирует Ethernet устройство и работает на канальном уровне модели OSI, оперируя кадрами Ethernet. TUN (сетевой туннель) работает на сетевом уровне модели OSI, оперируя IP пакетами.
TAP используется для создания сетевого моста, тогда как TUN для маршрутизации.
wiki
Возможно создать Layer 3-based IP туннель, называемый TUN, и Layer 2-based Ethernet — TAP, способный передавать Ethernet трафик.
В принципе, все варианты можно реализовать на обоих видах, но с некоторыми оговорками. Например, мультикасты и броадкасты по L3 сами по себе не побегут.
Также есть отличия в настройке для linux, *bsd, windows.
[дальше варианты настроек]
1.1 Комп-комп, TUN
1.2 Комп-комп, TAP
2.1 Комп-сеть, TUN
2.2 Комп-сеть, TAP
3.1 Сеть-комп, TUN
3.2 Сеть-комп, TAP
4.1 Сеть-сеть, TUN
4.2 Сеть-сеть, TAP
Ссылки
http://openvpn.net/index.php/open-source/documentation/howto.html
http://ru.wikipedia.org/wiki/OpenVPN
http://ru.wikipedia.org/wiki/TUN/TAP
http://www.lissyara.su/doc/man/safety/openvpn/
http://www.anfes.ru/e107_plugins/content/content.php?content.6
http://tuxnotes.ru/articles.php?a_id=26
openvpn в centos
http://wolandblog.com/1103-ustanovka-i-nastrojka-openvpn-na-centos-5-3/
Варианты, которые могут быть:
1) комп-комп
2) комп-сеть
3) сеть-комп
4) сеть-сеть
TAP симулирует Ethernet устройство и работает на канальном уровне модели OSI, оперируя кадрами Ethernet. TUN (сетевой туннель) работает на сетевом уровне модели OSI, оперируя IP пакетами.
TAP используется для создания сетевого моста, тогда как TUN для маршрутизации.
wiki
Возможно создать Layer 3-based IP туннель, называемый TUN, и Layer 2-based Ethernet — TAP, способный передавать Ethernet трафик.
В принципе, все варианты можно реализовать на обоих видах, но с некоторыми оговорками. Например, мультикасты и броадкасты по L3 сами по себе не побегут.
Также есть отличия в настройке для linux, *bsd, windows.
[дальше варианты настроек]
1.1 Комп-комп, TUN
1.2 Комп-комп, TAP
2.1 Комп-сеть, TUN
2.2 Комп-сеть, TAP
3.1 Сеть-комп, TUN
3.2 Сеть-комп, TAP
4.1 Сеть-сеть, TUN
4.2 Сеть-сеть, TAP
Ссылки
http://openvpn.net/index.php/open-source/documentation/howto.html
http://ru.wikipedia.org/wiki/OpenVPN
http://ru.wikipedia.org/wiki/TUN/TAP
http://www.lissyara.su/doc/man/safety/openvpn/
http://www.anfes.ru/e107_plugins/content/content.php?content.6
http://tuxnotes.ru/articles.php?a_id=26
openvpn в centos
http://wolandblog.com/1103-ustanovka-i-nastrojka-openvpn-na-centos-5-3/
Подписаться на:
Сообщения (Atom)