Forum Debian Users Gang

menel · 2013-12-29 03:02:09

Mam pytanie czy jest możliwość wyłączenia/przekierowania z tunelowania ruchu http tak aby cała reszta szła przez vpn oprócz www?

Ostatnio edytowany przez menel (2013-12-29 03:20:27)

Jacekalex · 2013-12-29 03:31:50

A jak robisz przekierowanie na VPN?

menel · 2013-12-29 03:50:05

Kod:

tun2      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.10.0.234  P-t-P:10.10.0.233  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:5 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:408 (408.0 B)  TX bytes:104 (104.0 B)

wlan1     Link encap:Ethernet  HWaddr 00:c0:ca:32:b5:15  
          inet addr:192.168.0.101  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::2c0:caff:fe32:b515/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:852776 errors:0 dropped:0 overruns:0 frame:0
          TX packets:554633 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:1198679370 (1.1 GiB)  TX bytes:52165766 (49.7 MiB)

Kod:

0.0.0.0/1 via 10.10.1.101 dev tun2 
default via 192.168.0.1 dev wlan1  proto static 
10.10.0.1 via 10.10.1.101 dev tun2 
10.10.1.101 dev tun2  proto kernel  scope link  src 10.10.1.102 
93.115.84.195 via 192.168.0.1 dev wlan1 
128.0.0.0/1 via 10.10.1.101 dev tun2 
192.168.0.0/24 dev wlan1  proto kernel  scope link  src 192.168.0.101

Kod:

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.10.1.101     128.0.0.0       UG    0      0        0 tun2
0.0.0.0         192.168.0.1     0.0.0.0         UG    0      0        0 wlan1
10.10.0.1       10.10.1.101     255.255.255.255 UGH   0      0        0 tun2
10.10.1.101     0.0.0.0         255.255.255.255 UH    0      0        0 tun2
93.115.84.195   192.168.0.1     255.255.255.255 UGH   0      0        0 wlan1
128.0.0.0       10.10.1.101     128.0.0.0       UG    0      0        0 tun2
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 wlan1

Ostatnio edytowany przez menel (2013-12-29 04:20:46)

Jacekalex · 2013-12-29 05:07:49

Musisz zrobić markowanie pakietów na podstawie portu docelowego na firewallu, potem zrobić 2 tabele routingu, i kierować routing na podstawie znacznika nadanego przez firewall, do poszczególnych tabel routingu.

Tu masz przykład:
http://bromirski.net/docs/translations/lartc-pl.html#LARTC.NETFILTER

Ale rzeźbienia z tym masz w 3 ch... i jeszcze troszkę.

Ostatnio edytowany przez Jacekalex (2013-12-29 13:32:37)

uzytkownikubunt · 2013-12-29 12:03:52

324

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 00:42:19)

Jacekalex · 2013-12-29 13:56:33

[quote=uzytkownikubunt]Może po prostu będziesz uruchamiał program, który ma nie wysyłać ruchu po http, w osobnym namespace? To, w jaki sposób dane z namespace mają być wysyłane do neta można potem iptables w prosty sposób przekierować tam gdzie chcesz. Wada/zaleta: program uruchomiony w takim namespace nie ma dostępu do DBusa.
http://dug.net.pl/tekst/262/uruchamianie_firefoksa_w_osobnej_przestrzeni_nazw_zasobow_sieciowych_%28osobna_kopia_stosu_sieciowego%29_i_przekierowanie_calego_ruchu_poprzez_siec_tor/[/quote]

Kod:

dbus-lauch {program}

?

W tym namespace nawet dmesg działa, więc nie czaję, dlaczego dbus miałby nie chodzić, jeśli gada przez sockety unix.
Konkretnie:

Kod:

/var/run/dbus/system_bus_socket

oraz:

Kod:

@/tmp/dbus-*

U mnie jakoś ten cudowny sposób nie ruszył, wyraźnie nie ma komunikacji między veth0 i veth1, na razie się w to nie zagłębiałem, choć sam system wygląda ciekawie.

W każdym razie dosyć lamersko to napisane, wszędzie sudo (świat nie kończy się na Ubuntu),
a jeśli dla którejś karty veth* dałeś adres z klasy 192.168.0.0/24, to ciekaw jestem, jak to będzie chodzić u kogoś, kto ma router dlinka|tplinka|linksysa|netgeara, i używa domyślnych ustawień routera
i ewentualnie dhcp (jak zaledwie ~99,5% użyszkodników podobnych urządzeń).

To takie drobne uwagi na temat ww tekstu. ;)

Ostatnio edytowany przez Jacekalex (2013-12-29 14:07:41)

hello_world · 2013-12-29 15:20:45

Nie wiem jakiego software uzywasz do vpn-a ale w openvpn jest możliwość takiej konfiguracji. Można zrobić tak aby ruch dla sieci vpn-a szedł po vpnie a ruch nie do sieci vpn szedł przez twoją domyślną bramę.

Jacekalex · 2013-12-29 16:04:02

[quote=hello_world]Nie wiem jakiego software uzywasz do vpn-a ale w openvpn jest możliwość takiej konfiguracji. Można zrobić tak aby ruch dla sieci vpn-a szedł po vpnie a ruch nie do sieci vpn szedł przez twoją domyślną bramę.[/quote]
To jest dobra nowina.

Dysponujesz może jakimś przykładem konfiguracji, albo sznurkiem do czegoś podobnego?
Bo u góry na 99% jest OpenVPN z interfejsami tun, kart tun w innych vpnach jeszcze nie widziałem (mój okulista umarł na kurzą ślepotę). ;)

Ostatnio edytowany przez Jacekalex (2013-12-29 16:08:15)

menel · 2013-12-29 16:07:03

@hello_world, używam openvpn,
Mógłbym prosić o jakieś wskazówki co do takiej konfiguracji?

hello_world · 2013-12-29 16:48:30

[quote=Jacekalex][quote=hello_world]Nie wiem jakiego software uzywasz do vpn-a ale w openvpn jest możliwość takiej konfiguracji. Można zrobić tak aby ruch dla sieci vpn-a szedł po vpnie a ruch nie do sieci vpn szedł przez twoją domyślną bramę.[/quote]
To jest dobra nowina.

Dysponujesz może jakimś przykładem konfiguracji, albo sznurkiem do czegoś podobnego?
Bo u góry na 99% jest OpenVPN z interfejsami tun, kart tun w innych vpnach jeszcze nie widziałem (mój okulista umarł na kurzą ślepotę). ;)[/quote]
Napiszę nie świątecznie.
@Jacekalex
Twoje ograniczenie każdego dnia na Tym forum się pogłębia.
Po tym krótkim wstępie napiszę Ci, że interfejsy tun i tap nie są własnością software OpenVPN.
Gdyby twój horyzont poznawczy próbował wyjść poza swoje ramy dostrzegłbyś że różny software (tinc,ssh itp) korzysta z interfejsów tun tap.
To tyle do Ciebie - zjedz trochę piernika

@menel
Wyświetl tutaj config serwera i klienta.
Potem na kliencie zrób
tcpdump -i wlan0 port 80
i połącz się z dowolną witryną, następnie napisz czy coś tcpdump wypluwa (być może się mylisz i twój ruch internetowy nie idzie przez tunel tylko przez twoją domyślną bramę)

menel · 2013-12-29 17:35:21

Kod:

client
dev tun2
proto udp
remote 93.115.84.195 25000
resolv-retry infinite
nobind
persist-key
persist-tun
auth-user-pass
comp-lzo
verb 3
cipher AES-128-CBC
fast-io
pull
route-delay 2
redirect-gateway

Kod:

# tcpdump -i wlan1 port 80
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on wlan1, link-type EN10MB (Ethernet), capture size 65535 bytes
17:27:10.145911 IP 192.168.0.101.35555 > 93-115-84-195.vpnbook.com.http: Flags [s], seq 2075171893, win 29200, options [mss 1460,sackOK,TS val 5211305 ecr 0,nop,wscale 7], length 0
17:27:10.211070 IP 93-115-84-195.vpnbook.com.http > 192.168.0.101.35555: Flags [S.], seq 891225261, ack 2075171894, win 5792, options [mss 1460,sackOK,TS val 2106861938 ecr 5211305,nop,wscale 7], length 0
17:27:10.211143 IP 192.168.0.101.35555 > 93-115-84-195.vpnbook.com.http: Flags [.], ack 1, win 229, options [nop,nop,TS val 5211322 ecr 2106861938], length 0
17:27:10.211369 IP 192.168.0.101.35555 > 93-115-84-195.vpnbook.com.http: Flags [P.], seq 1:167, ack 1, win 229, options [nop,nop,TS val 5211322 ecr 2106861938], length 166
17:27:10.275130 IP 93-115-84-195.vpnbook.com.http > 192.168.0.101.35555: Flags [.], ack 167, win 54, options [nop,nop,TS val 2106861954 ecr 5211322], length 0
17:27:10.275191 IP 93-115-84-195.vpnbook.com.http > 192.168.0.101.35555: Flags [F.], seq 1, ack 167, win 54, options [nop,nop,TS val 2106861954 ecr 5211322], length 0
17:27:10.275437 IP 192.168.0.101.35555 > 93-115-84-195.vpnbook.com.http: Flags [F.], seq 167, ack 2, win 229, options [nop,nop,TS val 5211338 ecr 2106861954], length 0
17:27:10.339796 IP 93-115-84-195.vpnbook.com.http > 192.168.0.101.35555: Flags [.], ack 168, win 54, options [nop,nop,TS val 2106861970 ecr 5211338], length 0

hello_world · 2013-12-29 17:55:00

Jak widać Twój ruch wychodzi przez interfejs wlan0
Jeszcze dla pewności zapytam tunel w czasie testowania był włączony?
Możesz sobie taki test zrobić na interfejsie tun i przy połączeniu z dowolną witryną nie powinno nic wypluwać.

menel · 2013-12-29 18:09:17

@hello_world wiem;) sprostuje przez wlan1, był był włączony przecież jest jak byk 93-115-84-195.vpnbook.com.http;)
Czyli co dalej bo już zgłupiałem?

Ostatnio edytowany przez menel (2013-12-29 18:18:26)

hello_world · 2013-12-29 18:20:23

I właśnie dla takich kruczków trzeba zawsze pisać wszystko.
Jak rozumiem korzystasz sobie z jakiegoś darmowego serwera vpn ?
zapuszczając tcpdumpa jaki adres w przeglądarce wybrałeś? Tylko nie mów że vpnbook.com - jeśli tak to wpisz wp.pl
Niestety ja po swojej stronie nie mogę się domyślać.

menel · 2013-12-29 18:24:52

przepraszam za wprowadzenie w błąd;)
no jasne darmowy vpn, nie no strona normalna gogle

Ostatnio edytowany przez menel (2013-12-29 18:25:28)

hello_world · 2013-12-29 18:31:03

Wywal opcję redirect-gateway z twojego configa i zrób testy
Podaję link
http://openvpn.net/index.php/open-source/documentation/howto.html
i szukaj frazy redirect-gateway tam masz naspisane

Obawiam się że jak nie masz dostępu do konfiga serwera to nic nie poradzisz. Przynajmniej ja Ci nic nie pomogę.

Ostatnio edytowany przez hello_world (2013-12-29 18:41:56)

menel · 2013-12-29 20:15:04

ok trochę próbowałem i lipa, dlatego potrzebuję kilku objaśnień
usunąłem redirect-gateway i dodałem do konfiga

Kod:

redirect-gateway def1

Teraz mam pytanie, bo wspominają coś tam o iptables (ale nie jestem pewny czy dotyczy to mojego przypadku) a więc pojawia się taki wpis

Kod:

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

czy mam go też dodać? i czy fraza '10.8.0.0/24' to maska podsieci? adres rutera?, nie jestem pewny co tam wstawić??

drugie pytanie. Jest wpis dotyczący dnsów

Kod:

dhcp-option DNS 10.8.0.1

Czy też go dodać (ze swoimi dnsami)??

Jak na razie wszystkie próby były bezowocne...

Ostatnio edytowany przez menel (2013-12-29 20:22:51)

hello_world · 2013-12-29 20:17:59

Tak jak napisałem powyżej dla Twojego przypadku to się nie sprawdzi bo to co tam piszą dotyczy serwera. ty do serwera nie masz dostępu

menel · 2013-12-29 20:26:18

a ok nie zauważyłem, no szkoda bo się łudziłem, że może się udać.
W każdym bądź razie dzięki za zainteresowanie tematem;)

Time (s)	Query
0.00009	SET CHARSET latin2
0.00004	SET NAMES latin2
0.00087	SELECT u., g., o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.119.248.214' WHERE u.id=1
0.00062	REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.119.248.214', 1732855448)
0.00049	SELECT * FROM punbb_online WHERE logged<1732855148
0.00041	SELECT topic_id FROM punbb_posts WHERE id=249772
0.00007	SELECT id FROM punbb_posts WHERE topic_id=24905 ORDER BY posted
0.00044	SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=24905 AND t.moved_to IS NULL
0.00005	SELECT search_for, replace_with FROM punbb_censoring
0.00094	SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=24905 ORDER BY p.id LIMIT 0,25
0.00078	UPDATE punbb_topics SET num_views=num_views+1 WHERE id=24905
Total query time: 0.0048 s

Forum Debian Users Gang

Ogłoszenie

#1 2013-12-29 03:02:09

menel - Użytkownik

VPN i wyłączenie ruchu http

#2 2013-12-29 03:31:50

Jacekalex - Podobno człowiek...;)

Re: VPN i wyłączenie ruchu http

#3 2013-12-29 03:50:05

menel - Użytkownik

Re: VPN i wyłączenie ruchu http

Kod:

Kod:

Kod:

#4 2013-12-29 05:07:49

Jacekalex - Podobno człowiek...;)

Re: VPN i wyłączenie ruchu http

#5 2013-12-29 12:03:52

uzytkownikubunt - Zbanowany

Re: VPN i wyłączenie ruchu http

#6 2013-12-29 13:56:33

Jacekalex - Podobno człowiek...;)

Re: VPN i wyłączenie ruchu http

Kod:

Kod:

Kod:

#7 2013-12-29 15:20:45

hello_world - Członek DUG

Re: VPN i wyłączenie ruchu http

#8 2013-12-29 16:04:02

Jacekalex - Podobno człowiek...;)

Re: VPN i wyłączenie ruchu http

#9 2013-12-29 16:07:03

menel - Użytkownik

Re: VPN i wyłączenie ruchu http

#10 2013-12-29 16:48:30

hello_world - Członek DUG

Re: VPN i wyłączenie ruchu http

#11 2013-12-29 17:35:21

menel - Użytkownik

Re: VPN i wyłączenie ruchu http

Kod:

Kod:

#12 2013-12-29 17:55:00

hello_world - Członek DUG

Re: VPN i wyłączenie ruchu http

#13 2013-12-29 18:09:17

menel - Użytkownik

Re: VPN i wyłączenie ruchu http

#14 2013-12-29 18:20:23

hello_world - Członek DUG

Re: VPN i wyłączenie ruchu http

#15 2013-12-29 18:24:52

menel - Użytkownik

Re: VPN i wyłączenie ruchu http

#16 2013-12-29 18:31:03

hello_world - Członek DUG

Re: VPN i wyłączenie ruchu http

#17 2013-12-29 20:15:04

menel - Użytkownik

Re: VPN i wyłączenie ruchu http

Kod:

Kod:

Kod:

#18 2013-12-29 20:17:59

hello_world - Członek DUG

Re: VPN i wyłączenie ruchu http

#19 2013-12-29 20:26:18

menel - Użytkownik

Re: VPN i wyłączenie ruchu http

Stopka forum

Informacje debugowania