LINUX.ORG.RU

Сообщения dotstal

 

OpenVPN на роутере, нет интернета

Есть сервер OpenVPN (10.8.0.0) — клиент роутер (192.168.1.1) == клиенты роутера (192.168.1.х) При подключении на клиентах и роутере нет интернета, сервер и роутер Debian 11 Отдельно клиенты свободно подключаются к серверу. При активации push «route 192.168.1.0 255.255.255.0» на сервере, роутер отваливается (приходится перезагружать), сначала пробовал по скрипту ставить, потом решил ручками все сертификаты подписать - не помогло.

Сервер

local хх.хх.хх.хх
port 1194
proto udp
dev tun
#topology subnet
ca ca.crt
cert server.crt
key server.key
dh dh.pem
tls-auth ta.key 0
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
client-to-client
keepalive 10 120
client-config-dir /etc/openvpn/server/ccd
route 192.168.1.0 255.255.255.0
#push "route 192.168.1.0 255.255.255.0"
cipher AES-256-CBC
auth SHA256
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 3
# for udp only
explicit-exit-notify 1

cdd

ifconfig-push 10.8.0.2 255.255.255.0
iroute 192.168.1.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"

Клиент

client
dev tun
proto udp
remote хх.хх.хх.хх 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
auth SHA256
cipher AES-256-CBC
verb 3
key-direction 1

iptables 

#!/bin/bash

export IPT="iptables"

# Внешний интерфейс
export WAN=enp1s0 # МТС
#export WAN=ppp0 # Ростелеком
#export WAN=tun0 # VPN
export WAN_IP=dhcp

# Локальная сеть
export LAN1=br0
export LAN1_IP_RANGE=192.168.1.0/24

# Очищаем правила
$IPT -F
$IPT -F -t nat
$IPT -F -t mangle
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X

# Запрещаем все, что не разрешено
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP

# Разрешаем localhost и локалку
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -i $LAN1 -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A OUTPUT -o $LAN1 -j ACCEPT

# Рзрешаем пинги
#$IPT -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
#$IPT -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
#$IPT -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
#$IPT -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

# Разрешаем все исходящие подключения сервера
$IPT -A OUTPUT -o $WAN -j ACCEPT
# Разрешаем все входящие подключения сервера
#$IPT -A INPUT -i $WAN -j ACCEPT

# разрешаем установленные подключения
$IPT -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

# Отбрасываем неопознанные пакеты
$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -A FORWARD -m state --state INVALID -j DROP

# Отбрасываем нулевые пакеты
$IPT -A INPUT -p tcp --tcp-flags ALL NONE -j DROP

# Закрываемся от syn-flood атак
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
$IPT -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP


# Разрешаем доступ из локалки наружу
$IPT -A FORWARD -i $LAN1 -o $WAN -j ACCEPT
# Закрываем доступ снаружи в локалку
$IPT -A FORWARD -i $WAN -o $LAN1 -j REJECT

# Включаем NAT
$IPT -t nat -A POSTROUTING -o $WAN -s $LAN1_IP_RANGE -j MASQUERADE

# открываем Rutracker
$IPT -t nat -A OUTPUT -p tcp -m tcp --dport 80 -d 195.82.146.120/30 -j DNAT --to-destination 185.15.211.203:80

#все для ТОР
$IPT -A INPUT -s $LAN1_IP_RANGE -p tcp --dport 9040 -j ACCEPT
$IPT -A INPUT -s $LAN1_IP_RANGE -p udp --dport 5300 -j ACCEPT
$IPT -A INPUT -p tcp --dport 9040 -j DROP
$IPT -A INPUT -p udp --dport 5300 -j DROP
$IPT -t nat -A PREROUTING -p tcp -d 10.0.0.0/8 -j REDIRECT --to-port 9040
$IPT -t nat -A PREROUTING -p udp --dport 53 -m string \
--hex-string "|056f6e696f6e00|" --algo bm -j REDIRECT --to-ports 5300
$IPT -t nat -A OUTPUT -p udp --dport 53 -m string \
--hex-string "|056f6e696f6e00|" --algo bm -j REDIRECT --to-ports 5300
$IPT -t nat -A PREROUTING -p tcp -m multiport --dports 80,443 \
-m set --match-set blacklist dst -j REDIRECT --to-port 9040
$IPT -t nat -A OUTPUT -p tcp -m multiport --dports 80,443 \
-m set --match-set blacklist dst -j REDIRECT --to-port 9040

#Обход Squid
$IPT -t nat -A PREROUTING -s 192.168.1.10 -p tcp -m tcp --dport 80 -j RETURN
$IPT -t nat -A PREROUTING -s 192.168.1.10 -p tcp -m tcp --dport 443 -j RETURN
$IPT -t nat -A PREROUTING -s 192.168.1.11 -p tcp -m tcp --dport 80 -j RETURN
$IPT -t nat -A PREROUTING -s 192.168.1.11 -p tcp -m tcp --dport 443 -j RETURN
$IPT -t nat -A PREROUTING -s 192.168.1.20 -p tcp -m tcp --dport 80 -j RETURN
$IPT -t nat -A PREROUTING -s 192.168.1.20 -p tcp -m tcp --dport 443 -j RETURN

#Подключаем Squid
$IPT -t nat -A PREROUTING -p tcp -m tcp -s $LAN1_IP_RANGE --dport 443 -j REDIRECT --to-ports 3129
$IPT -t nat -A PREROUTING -p tcp -m tcp -s $LAN1_IP_RANGE --dport 80 -j REDIRECT --to-ports 3128

# Сохраняем правила
/sbin/iptables-save > /etc/iptables.rules

При подключении 

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.8.0.1        128.0.0.0       UG    0      0        0 tun0
default         100.127.0.1     0.0.0.0         UG    0      0        0 enp1s0
10.8.0.0        0.0.0.0         255.255.255.0   U     0      0        0 tun0
45.9.73.92      100.127.0.1     255.255.255.255 UGH   0      0        0 enp1s0
100.127.0.0     0.0.0.0         255.255.0.0     U     0      0        0 enp1s0
128.0.0.0       10.8.0.1        128.0.0.0       UG    0      0        0 tun0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 br0
Мои полномочия уже всё! Хочу всех клиентов в VPN загнать, а потом когда нибудь, может быть и разделить запросы, хотя мне не нравится как ipset работает...

 , ,

dotstal
()
9 комментариев

Роутер перестал роутить

Есть машина с 6 lan, debian 11, инет на pppoe (настроен через pppoeconf), инета нет. на старом мтс все работает, решил подключить ростелеком с pppoe, итог - нет инета на машине, взял роутер, поставил перед - нет инета. Отключил всё от машины, роутер перед оставил, если в машине 2 клиента инета нет на ней, если один, то инет есть, но не у клиента. Если в машине 0-1 клиент, то подключаюсь с наружи по 192.168.1.1, если клиентов 2+ то снаружи нет, только изнутри. Подскажите пожалуйста как исправить.

( interfaces )

 , ,

dotstal
()
6 комментариев

Squid прозрачный, сборка и настройка Debian

Сборка на виртуалке

  • apt install git fakeroot build-essential devscripts
  • apt build-dep squid3
  • apt install libssl-dev libgnutls28-dev
  • deb-src http://ftp.de.debian.org/debian/ testing main contrib non-free
  • apt source squid3/testing
  • в debian/rules добавляю --enable-ssl \ --enable-ssl-crtd \ --with-openssl \
  • dpkg-buildpackage -us -uc -nc

установка:

  • apt install squid-langpack
  • apt install libdbi-perl squid-langpack
  • dpkg -i squid-common_4.6-1_all.deb squid_4.6-1_amd64.deb
  • dpkg -i squid3_4.6-1_all.deb squidclient_4.6-1_amd64.deb
  • в каталоге /etc/squid : openssl req -new -newkey rsa:1024 -days 365 -nodes -x509 -keyout squidCA.pem -out squidCA.pem
  • ./usr/lib/squid/security_file_certgen -с -s /var/lib/ssl_db -M 4MB

Может есть какие ошибки или что добавить/убавить нужно. Кеш не нужен, может можно пересобрать без этой функции? Конфиг посмотрите, может подкорректировать нужно? 

acl localnet src 192.168.1.0/24	# RFC1918 possible internal network

acl SSL_ports port 443
acl Safe_ports port 80		# http
acl Safe_ports port 21		# ftp
acl Safe_ports port 443		# https
acl Safe_ports port 70		# gopher
acl Safe_ports port 210		# wais
acl Safe_ports port 1025-65535	# unregistered ports
acl Safe_ports port 280		# http-mgmt
acl Safe_ports port 488		# gss-http
acl Safe_ports port 591		# filemaker
acl Safe_ports port 777		# multiling http
acl CONNECT method CONNECT

dns_nameservers 8.8.8.8
dns_nameservers 8.8.4.4
http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow localhost manager
http_access deny manager

http_access allow localnet
http_access allow localhost
http_access deny all

http_port 192.168.1.1:3128 intercept
http_port 192.168.1.1:3130
https_port 192.168.1.1:3129 intercept ssl-bump connection-auth=off cert=/etc/squid/squidCA.pem

cache deny all
always_direct allow all
sslproxy_cert_error allow all

#укажем правило со списком блокируемых ресурсов (в файле домены вида .domain.com)
acl blocked ssl::server_name  "/etc/squid/blocked_https.txt"
acl step1 at_step SslBump1
ssl_bump peek step1

#терминируем соединение, если клиент заходит на запрещенный ресурс
ssl_bump terminate blocked 
ssl_bump splice all

sslcrtd_program /usr/lib/squid/security_file_certgen -s /var/lib/ssl_db -M 4MB

coredump_dir /var/spool/squid
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320
cache_dir aufs /var/spool/squid 20000 49 256
maximum_object_size 61440 KB
minimum_object_size 3 KB

cache_swap_low 90
cache_swap_high 95
maximum_object_size_in_memory 512 KB
memory_replacement_policy lru
logfile_rotate 4

dns_v4_first on




Работал нормально, потом перестал писать логи, отрубил в iptables, снова врубил заработало, но стало сыпать в лог
*kid1| SECURITY ALERT: Host header forgery detected on local=64.233.162.105:443 remote=192.168.1.23:53096 FD 62 flags=33 (local IP does not match any domain IP)
*kid1| SECURITY ALERT: on URL: www.google.com:443

 , ,

dotstal
()
5 комментариев

Ошибка usb-lan при старте

Прошу помощи, подключаю сетевую карту к usb, на рабочей машине все нормально, если воткнуть перед загрузкой то lsusb ее не видит, хочу по ней инет от провайдера завести, а на старте поднимать нечего... на мамке от нетбука асус все работало стабильно. 

  # dmesg | grep usb
[    2.847500] usbcore: registered new interface driver usbfs
[    2.847529] usbcore: registered new interface driver hub
[    2.847585] usbcore: registered new device driver usb
[    3.090015] usb usb1: New USB device found, idVendor=1d6b, idProduct=0002
[    3.090018] usb usb1: New USB device strings: Mfr=3, Product=2, SerialNumber=1
[    3.090020] usb usb1: Product: EHCI Host Controller
[    3.090022] usb usb1: Manufacturer: Linux 4.9.0-9-amd64 ehci_hcd
[    3.090024] usb usb1: SerialNumber: 0000:00:1d.0
[    3.418128] usb 1-1: new high-speed USB device number 2 using ehci-pci
[    3.566398] usb 1-1: New USB device found, idVendor=8087, idProduct=07e6
[    3.566404] usb 1-1: New USB device strings: Mfr=0, Product=0, SerialNumber=0
[    3.858182] usb 1-1.3: new full-speed USB device number 3 using ehci-pci
[    3.942226] usb 1-1.3: device descriptor read/64, error -32
[    4.130304] usb 1-1.3: device descriptor read/64, error -32
[    4.318371] usb 1-1.3: new full-speed USB device number 4 using ehci-pci
[    4.402412] usb 1-1.3: device descriptor read/64, error -32
[    4.594488] usb 1-1.3: device descriptor read/64, error -32
[    4.702608] usb 1-1-port3: attempt power cycle
[    5.306785] usb 1-1.3: new full-speed USB device number 5 using ehci-pci
[    5.722944] usb 1-1.3: device not accepting address 5, error -32
[    5.802971] usb 1-1.3: new full-speed USB device number 6 using ehci-pci
[    6.219156] usb 1-1.3: device not accepting address 6, error -32
[    6.219340] usb 1-1-port3: unable to enumerate USB device
  # lsusb
Bus 001 Device 002: ID 8087:07e6 Intel Corp.
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub

передернул 
  # lsusb
Bus 001 Device 007: ID 0bda:8152 Realtek Semiconductor Corp.
Bus 001 Device 002: ID 8087:07e6 Intel Corp.
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
  # dmesg | grep usb
[    2.847500] usbcore: registered new interface driver usbfs
[    2.847529] usbcore: registered new interface driver hub
[    2.847585] usbcore: registered new device driver usb
[    3.090015] usb usb1: New USB device found, idVendor=1d6b, idProduct=0002
[    3.090018] usb usb1: New USB device strings: Mfr=3, Product=2, SerialNumber=1
[    3.090020] usb usb1: Product: EHCI Host Controller
[    3.090022] usb usb1: Manufacturer: Linux 4.9.0-9-amd64 ehci_hcd
[    3.090024] usb usb1: SerialNumber: 0000:00:1d.0
[    3.418128] usb 1-1: new high-speed USB device number 2 using ehci-pci
[    3.566398] usb 1-1: New USB device found, idVendor=8087, idProduct=07e6
[    3.566404] usb 1-1: New USB device strings: Mfr=0, Product=0, SerialNumber=0
[    3.858182] usb 1-1.3: new full-speed USB device number 3 using ehci-pci
[    3.942226] usb 1-1.3: device descriptor read/64, error -32
[    4.130304] usb 1-1.3: device descriptor read/64, error -32
[    4.318371] usb 1-1.3: new full-speed USB device number 4 using ehci-pci
[    4.402412] usb 1-1.3: device descriptor read/64, error -32
[    4.594488] usb 1-1.3: device descriptor read/64, error -32
[    4.702608] usb 1-1-port3: attempt power cycle
[    5.306785] usb 1-1.3: new full-speed USB device number 5 using ehci-pci
[    5.722944] usb 1-1.3: device not accepting address 5, error -32
[    5.802971] usb 1-1.3: new full-speed USB device number 6 using ehci-pci
[    6.219156] usb 1-1.3: device not accepting address 6, error -32
[    6.219340] usb 1-1-port3: unable to enumerate USB device
[ 2599.635127] usb 1-1.3: new high-speed USB device number 7 using ehci-pci
[ 2599.744587] usb 1-1.3: New USB device found, idVendor=0bda, idProduct=8152
[ 2599.744593] usb 1-1.3: New USB device strings: Mfr=1, Product=2, SerialNumber=3
[ 2599.744597] usb 1-1.3: Product: USB 10/100 LAN
[ 2599.744600] usb 1-1.3: Manufacturer: Realtek
[ 2599.744604] usb 1-1.3: SerialNumber: A0CEC81D0487
[ 2599.760722] usbcore: registered new interface driver r8152
[ 2599.765774] usbcore: registered new interface driver cdc_ether
[ 2599.847237] usb 1-1.3: reset high-speed USB device number 7 using ehci-pci

 ,

dotstal
()
21 комментарий

К роутеру, второй роутер с «шарой».

Есть роутер, к нему заходит wan провайдера, он же назначает ip, из него 3 лана по телекам и пк, и один лан на нетбук, на нем «шара», debian, самба, торент и тп., а так-же у него две wi-fi карты, одна usb вторая mpcie. hostapd поднимает 2 сети, интерфейсы соединены в мост, если нет моста - все нормально (тока нет интернета), стоит активировать мост, как роутер видит два устройства (enp1s0 и wlx503eaa53b68c), с одинаковым ip, и ip лан карты enp1s0 блокирует (mac-ip binding), инет раздает при этом, а вот доступ к себе «шаре» заблокирован. Если запускаю сначала «шару», а потом роутер - то все нормально проходит, если я перезагружаю «шару» - блокировка. Как вылечить? 

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug enp1s0 - сеть от роутера
iface enp1s0 inet dhcp

allow-hotplug wlx503eaa53b68c - wi-fi -1
iface wlx503eaa53b68c inet static
address 192.168.3.1
netmask 255.255.255.0

allow-hotplug wlp2s0 wi-fi -2
iface wlp2s0 inet static
address 192.168.2.1
netmask 255.255.255.0

auto br0
iface br0 inet dhcp
    bridge_ports enp1s0 wlp2s0 wlx503eaa53b68c

 ,

dotstal
()
18 комментариев

Помогите собрать hostapd 2.7

Linux Server 4.9.0-8-amd64 #1 SMP Debian 4.9.144-3.1 (2019-02-19) x86_64 GNU/Linux Подключил тестовые репозитории apt-get source hostapd
По этой инструкции изменял https://debianforum.ru/index.php?topic=13682.0 Установил зависимости apt-get build-dep hostapd
debuild -uc -us -b - выдает ошибку 

../src/drivers/driver_macsec_linux.c:19:39: fatal error: netlink/route/link/macsec.h: Нет такого файла или каталога
 #include <netlink/route/link/macsec.h>
                                       ^
compilation terminated.
Makefile:1988: ошибка выполнения рецепта для цели «../src/drivers/driver_macsec_linux.o»
make[2]: *** [../src/drivers/driver_macsec_linux.o] Ошибка 1
make[2]: *** Ожидание завершения заданий…
make[2]: выход из каталога «/home/dotstal/h.2.7/wpa-2.7+git20190128+0c1e29f/wpa_supplicant»
dh_auto_build: cd wpa_supplicant && make -j2 "INSTALL=install --strip-program=true" returned exit code 2
debian/rules:35: ошибка выполнения рецепта для цели «override_dh_auto_build»
make[1]: *** [override_dh_auto_build] Ошибка 2
make[1]: выход из каталога «/home/dotstal/h.2.7/wpa-2.7+git20190128+0c1e29f»
debian/rules:97: ошибка выполнения рецепта для цели «build»
make: *** [build] Ошибка 2
dpkg-buildpackage: ошибка: debian/rules build возвратил код ошибки 2
debuild: fatal error at line 1116:
dpkg-buildpackage -rfakeroot -us -uc -b failed
dotstal@Server:~/h.2.7/wpa-2.7+git20190128+0c1e29f$



macsec.h - нет в комплекте, но там нет и других - (не понял как написать простым текстом)


#include <netlink/netlink.h>
#include <netlink/genl/genl.h>
#include <netlink/genl/ctrl.h>
#include <netlink/route/link.h>
#include <netlink/route/link/macsec.h> - 19 сторка
#include <linux/if_macsec.h>
#include <inttypes.h>

 ,

dotstal
()
2 комментария

RSS подписка на новые темы