Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Mam pytanie czy jest możliwość wyłączenia/przekierowania z tunelowania ruchu http tak aby cała reszta szła przez vpn oprócz www?
Ostatnio edytowany przez menel (2013-12-29 03:20:27)
Offline
A jak robisz przekierowanie na VPN?
Offline
tun2 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet addr:10.10.0.234 P-t-P:10.10.0.233 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:5 errors:0 dropped:0 overruns:0 frame:0 TX packets:2 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:408 (408.0 B) TX bytes:104 (104.0 B) wlan1 Link encap:Ethernet HWaddr 00:c0:ca:32:b5:15 inet addr:192.168.0.101 Bcast:192.168.0.255 Mask:255.255.255.0 inet6 addr: fe80::2c0:caff:fe32:b515/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:852776 errors:0 dropped:0 overruns:0 frame:0 TX packets:554633 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:1198679370 (1.1 GiB) TX bytes:52165766 (49.7 MiB)
0.0.0.0/1 via 10.10.1.101 dev tun2 default via 192.168.0.1 dev wlan1 proto static 10.10.0.1 via 10.10.1.101 dev tun2 10.10.1.101 dev tun2 proto kernel scope link src 10.10.1.102 93.115.84.195 via 192.168.0.1 dev wlan1 128.0.0.0/1 via 10.10.1.101 dev tun2 192.168.0.0/24 dev wlan1 proto kernel scope link src 192.168.0.101
Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 10.10.1.101 128.0.0.0 UG 0 0 0 tun2 0.0.0.0 192.168.0.1 0.0.0.0 UG 0 0 0 wlan1 10.10.0.1 10.10.1.101 255.255.255.255 UGH 0 0 0 tun2 10.10.1.101 0.0.0.0 255.255.255.255 UH 0 0 0 tun2 93.115.84.195 192.168.0.1 255.255.255.255 UGH 0 0 0 wlan1 128.0.0.0 10.10.1.101 128.0.0.0 UG 0 0 0 tun2 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 wlan1
Ostatnio edytowany przez menel (2013-12-29 04:20:46)
Offline
Musisz zrobić markowanie pakietów na podstawie portu docelowego na firewallu, potem zrobić 2 tabele routingu, i kierować routing na podstawie znacznika nadanego przez firewall, do poszczególnych tabel routingu.
Tu masz przykład:
http://bromirski.net/docs/translations/lartc-pl.html#LARTC.NETFILTER
Ale rzeźbienia z tym masz w 3 ch... i jeszcze troszkę.
Ostatnio edytowany przez Jacekalex (2013-12-29 13:32:37)
Offline
324
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 00:42:19)
Offline
[quote=uzytkownikubunt]Może po prostu będziesz uruchamiał program, który ma nie wysyłać ruchu po http, w osobnym namespace? To, w jaki sposób dane z namespace mają być wysyłane do neta można potem iptables w prosty sposób przekierować tam gdzie chcesz. Wada/zaleta: program uruchomiony w takim namespace nie ma dostępu do DBusa.
http://dug.net.pl/tekst/262/uruchamianie_firefoksa_w_osobnej_przestrzeni_nazw_zasobow_sieciowych_%28osobna_kopia_stosu_sieciowego%29_i_przekierowanie_calego_ruchu_poprzez_siec_tor/[/quote]
dbus-lauch {program}
?
W tym namespace nawet dmesg działa, więc nie czaję, dlaczego dbus miałby nie chodzić, jeśli gada przez sockety unix.
Konkretnie:
/var/run/dbus/system_bus_socket
oraz:
@/tmp/dbus-*
U mnie jakoś ten cudowny sposób nie ruszył, wyraźnie nie ma komunikacji między veth0 i veth1, na razie się w to nie zagłębiałem, choć sam system wygląda ciekawie.
W każdym razie dosyć lamersko to napisane, wszędzie sudo (świat nie kończy się na Ubuntu),
a jeśli dla którejś karty veth* dałeś adres z klasy 192.168.0.0/24, to ciekaw jestem, jak to będzie chodzić u kogoś, kto ma router dlinka|tplinka|linksysa|netgeara, i używa domyślnych ustawień routera
i ewentualnie dhcp (jak zaledwie ~99,5% użyszkodników podobnych urządzeń).
To takie drobne uwagi na temat ww tekstu. ;)
Ostatnio edytowany przez Jacekalex (2013-12-29 14:07:41)
Offline
Nie wiem jakiego software uzywasz do vpn-a ale w openvpn jest możliwość takiej konfiguracji. Można zrobić tak aby ruch dla sieci vpn-a szedł po vpnie a ruch nie do sieci vpn szedł przez twoją domyślną bramę.
Offline
[quote=hello_world]Nie wiem jakiego software uzywasz do vpn-a ale w openvpn jest możliwość takiej konfiguracji. Można zrobić tak aby ruch dla sieci vpn-a szedł po vpnie a ruch nie do sieci vpn szedł przez twoją domyślną bramę.[/quote]
To jest dobra nowina.
Dysponujesz może jakimś przykładem konfiguracji, albo sznurkiem do czegoś podobnego?
Bo u góry na 99% jest OpenVPN z interfejsami tun, kart tun w innych vpnach jeszcze nie widziałem (mój okulista umarł na kurzą ślepotę). ;)
Ostatnio edytowany przez Jacekalex (2013-12-29 16:08:15)
Offline
@hello_world, używam openvpn,
Mógłbym prosić o jakieś wskazówki co do takiej konfiguracji?
Offline
[quote=Jacekalex][quote=hello_world]Nie wiem jakiego software uzywasz do vpn-a ale w openvpn jest możliwość takiej konfiguracji. Można zrobić tak aby ruch dla sieci vpn-a szedł po vpnie a ruch nie do sieci vpn szedł przez twoją domyślną bramę.[/quote]
To jest dobra nowina.
Dysponujesz może jakimś przykładem konfiguracji, albo sznurkiem do czegoś podobnego?
Bo u góry na 99% jest OpenVPN z interfejsami tun, kart tun w innych vpnach jeszcze nie widziałem (mój okulista umarł na kurzą ślepotę). ;)[/quote]
Napiszę nie świątecznie.
@Jacekalex
Twoje ograniczenie każdego dnia na Tym forum się pogłębia.
Po tym krótkim wstępie napiszę Ci, że interfejsy tun i tap nie są własnością software OpenVPN.
Gdyby twój horyzont poznawczy próbował wyjść poza swoje ramy dostrzegłbyś że różny software (tinc,ssh itp) korzysta z interfejsów tun tap.
To tyle do Ciebie - zjedz trochę piernika
@menel
Wyświetl tutaj config serwera i klienta.
Potem na kliencie zrób
tcpdump -i wlan0 port 80
i połącz się z dowolną witryną, następnie napisz czy coś tcpdump wypluwa (być może się mylisz i twój ruch internetowy nie idzie przez tunel tylko przez twoją domyślną bramę)
Offline
client dev tun2 proto udp remote 93.115.84.195 25000 resolv-retry infinite nobind persist-key persist-tun auth-user-pass comp-lzo verb 3 cipher AES-128-CBC fast-io pull route-delay 2 redirect-gateway
# tcpdump -i wlan1 port 80 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on wlan1, link-type EN10MB (Ethernet), capture size 65535 bytes 17:27:10.145911 IP 192.168.0.101.35555 > 93-115-84-195.vpnbook.com.http: Flags [s], seq 2075171893, win 29200, options [mss 1460,sackOK,TS val 5211305 ecr 0,nop,wscale 7], length 0 17:27:10.211070 IP 93-115-84-195.vpnbook.com.http > 192.168.0.101.35555: Flags [S.], seq 891225261, ack 2075171894, win 5792, options [mss 1460,sackOK,TS val 2106861938 ecr 5211305,nop,wscale 7], length 0 17:27:10.211143 IP 192.168.0.101.35555 > 93-115-84-195.vpnbook.com.http: Flags [.], ack 1, win 229, options [nop,nop,TS val 5211322 ecr 2106861938], length 0 17:27:10.211369 IP 192.168.0.101.35555 > 93-115-84-195.vpnbook.com.http: Flags [P.], seq 1:167, ack 1, win 229, options [nop,nop,TS val 5211322 ecr 2106861938], length 166 17:27:10.275130 IP 93-115-84-195.vpnbook.com.http > 192.168.0.101.35555: Flags [.], ack 167, win 54, options [nop,nop,TS val 2106861954 ecr 5211322], length 0 17:27:10.275191 IP 93-115-84-195.vpnbook.com.http > 192.168.0.101.35555: Flags [F.], seq 1, ack 167, win 54, options [nop,nop,TS val 2106861954 ecr 5211322], length 0 17:27:10.275437 IP 192.168.0.101.35555 > 93-115-84-195.vpnbook.com.http: Flags [F.], seq 167, ack 2, win 229, options [nop,nop,TS val 5211338 ecr 2106861954], length 0 17:27:10.339796 IP 93-115-84-195.vpnbook.com.http > 192.168.0.101.35555: Flags [.], ack 168, win 54, options [nop,nop,TS val 2106861970 ecr 5211338], length 0
Offline
Jak widać Twój ruch wychodzi przez interfejs wlan0
Jeszcze dla pewności zapytam tunel w czasie testowania był włączony?
Możesz sobie taki test zrobić na interfejsie tun i przy połączeniu z dowolną witryną nie powinno nic wypluwać.
Offline
@hello_world wiem;) sprostuje przez wlan1, był był włączony przecież jest jak byk 93-115-84-195.vpnbook.com.http;)
Czyli co dalej bo już zgłupiałem?
Ostatnio edytowany przez menel (2013-12-29 18:18:26)
Offline
I właśnie dla takich kruczków trzeba zawsze pisać wszystko.
Jak rozumiem korzystasz sobie z jakiegoś darmowego serwera vpn ?
zapuszczając tcpdumpa jaki adres w przeglądarce wybrałeś? Tylko nie mów że vpnbook.com - jeśli tak to wpisz wp.pl
Niestety ja po swojej stronie nie mogę się domyślać.
Offline
przepraszam za wprowadzenie w błąd;)
no jasne darmowy vpn, nie no strona normalna gogle
Ostatnio edytowany przez menel (2013-12-29 18:25:28)
Offline
Wywal opcję redirect-gateway z twojego configa i zrób testy
Podaję link
http://openvpn.net/index.php/open-source/documentation/howto.html
i szukaj frazy redirect-gateway tam masz naspisane
Obawiam się że jak nie masz dostępu do konfiga serwera to nic nie poradzisz. Przynajmniej ja Ci nic nie pomogę.
Ostatnio edytowany przez hello_world (2013-12-29 18:41:56)
Offline
ok trochę próbowałem i lipa, dlatego potrzebuję kilku objaśnień
usunąłem redirect-gateway i dodałem do konfiga
redirect-gateway def1
Teraz mam pytanie, bo wspominają coś tam o iptables (ale nie jestem pewny czy dotyczy to mojego przypadku) a więc pojawia się taki wpis
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
czy mam go też dodać? i czy fraza '10.8.0.0/24' to maska podsieci? adres rutera?, nie jestem pewny co tam wstawić??
drugie pytanie. Jest wpis dotyczący dnsów
dhcp-option DNS 10.8.0.1
Czy też go dodać (ze swoimi dnsami)??
Jak na razie wszystkie próby były bezowocne...
Ostatnio edytowany przez menel (2013-12-29 20:22:51)
Offline
Tak jak napisałem powyżej dla Twojego przypadku to się nie sprawdzi bo to co tam piszą dotyczy serwera. ty do serwera nie masz dostępu
Offline
a ok nie zauważyłem, no szkoda bo się łudziłem, że może się udać.
W każdym bądź razie dzięki za zainteresowanie tematem;)
Offline
Time (s) | Query |
---|---|
0.00011 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00098 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.135.206.25' WHERE u.id=1 |
0.00067 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.135.206.25', 1732855222) |
0.00046 | SELECT * FROM punbb_online WHERE logged<1732854922 |
0.00057 | SELECT topic_id FROM punbb_posts WHERE id=249749 |
0.00007 | SELECT id FROM punbb_posts WHERE topic_id=24905 ORDER BY posted |
0.00051 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=24905 AND t.moved_to IS NULL |
0.00016 | SELECT search_for, replace_with FROM punbb_censoring |
0.00177 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=24905 ORDER BY p.id LIMIT 0,25 |
0.00082 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=24905 |
Total query time: 0.00616 s |