ሊኑክስን በስራ ቦታ መጠቀም ይፈልጋሉ ነገርግን የድርጅትዎ ቪፒኤን አይፈቅድልዎትም? ከዚያ ይህ ጽሑፍ ሊረዳ ይችላል, ምንም እንኳን ይህ እርግጠኛ ባይሆንም. አስቀድሜ ለማስጠንቀቅ እወዳለሁ የኔትወርክ አስተዳደር ጉዳዮችን በደንብ ስላልገባኝ ሁሉንም ነገር ስህተት አድርጌ ሊሆን ይችላል. በሌላ በኩል, ለተራ ሰዎች ለመረዳት በሚያስችል መንገድ መመሪያን ልጽፍ እችላለሁ, ስለዚህ እንድትሞክሩት እመክራችኋለሁ.

ጽሁፉ ብዙ አላስፈላጊ መረጃዎችን ይዟል፣ነገር ግን ያለዚህ እውቀት ቪፒኤን በማዘጋጀት ያልተጠበቀኝን ችግር መፍታት አልቻልኩም ነበር። ይህንን መመሪያ ለመጠቀም የሚሞክር ማንኛውም ሰው እኔ ያልነበሩኝ ችግሮች ያጋጥሙኛል ብዬ አስባለሁ, እና ይህ ተጨማሪ መረጃ እነዚህን ችግሮች በራሳቸው ለመፍታት እንደሚረዳ ተስፋ አደርጋለሁ.

በዚህ መመሪያ ውስጥ ጥቅም ላይ የዋሉት አብዛኛዎቹ ትዕዛዞች በ sudo በኩል መሄድ አለባቸው፣ ይህም ለአጭር ጊዜ ተወግዷል። አስታውስ.

አብዛኛዎቹ የአይፒ አድራሻዎች በጣም ተደብቀዋል፣ ስለዚህ እንደ 435.435.435.435 ያለ አድራሻ ካዩ፣ ለጉዳይዎ የተለየ የሆነ መደበኛ አይፒ መኖር አለበት።

ኡቡንቱ 18.04 አለኝ፣ ነገር ግን በጥቃቅን ለውጦች መመሪያው በሌሎች ስርጭቶች ላይ ሊተገበር የሚችል ይመስለኛል። ሆኖም፣ በዚህ ጽሑፍ ሊኑክስ == ኡቡንቱ።

Cisco አገናኝ

በዊንዶውስ ወይም ማክኦኤስ ላይ ያሉት ከድርጅታችን ቪፒኤን ጋር በሲስኮ ኮኔክሽን ሊገናኙ ይችላሉ፣ ይህም የመተላለፊያ መንገድ አድራሻውን መግለጽ አለበት እና በእያንዳንዱ ጊዜ ሲገናኙ ቋሚ አካል እና የጎግል አረጋጋጭ የመነጨ ኮድ የያዘ የይለፍ ቃል ያስገቡ።

የሊኑክስን ጉዳይ በተመለከተ፣ ሲስኮ ኮኔክተር እንዲሰራ ማድረግ አልቻልኩም፣ ነገር ግን ሲስኮ ኮኔክታን ለመተካት የተሰራውን openconnect ለመጠቀም ምክረ ሀሳብን ጎግል ለማድረግ ችያለሁ።

ግንኙነት ክፈት

በንድፈ ሀሳብ ፣ ኡቡንቱ ለክፍት ግንኙነት ልዩ ግራፊክ በይነገጽ አለው ፣ ግን ለእኔ አልሰራም። ምናልባት ለበጎ ሊሆን ይችላል።

በኡቡንቱ ክፍት ግንኙነት ከጥቅል አስተዳዳሪ ተጭኗል።

apt install openconnect

ከተጫነ በኋላ ወዲያውኑ ከ VPN ጋር ለመገናኘት መሞከር ይችላሉ

openconnect --user poxvuibr vpn.evilcorp.com

vpn.evilcorp.com የውሸት ቪፒኤን አድራሻ ነው።
poxvuibr - ምናባዊ የተጠቃሚ ስም

openconnect የይለፍ ቃል እንድታስገባ ይጠይቅሃል፣ ላስታውስህ፣ የተወሰነ ክፍል እና ከGoogle አረጋጋጭ ኮድ የያዘ ነው፣ እና ከዚያ ከ vpn ጋር ለመገናኘት ይሞክራል። የሚሠራ ከሆነ እንኳን ደስ ያለህ ፣ መሃሉን በደህና መዝለል ትችላለህ ፣ ይህም ብዙ ህመም ነው ፣ እና ከበስተጀርባ ስለመሮጥ ክፍት ግንኙነት ወደ ነጥቡ ይሂዱ። ካልሰራ ከዚያ መቀጠል ይችላሉ። ምንም እንኳን በሚገናኝበት ጊዜ የሚሰራ ከሆነ ፣ ለምሳሌ ፣ በስራ ላይ ካለው እንግዳ Wi-Fi ፣ ከዚያ ለመደሰት በጣም ቀደም ብሎ ሊሆን ይችላል ፣ ሂደቱን ከቤትዎ ለመድገም መሞከር አለብዎት።

የምስክር ወረቀት

ምንም ነገር እንዳይጀምር ከፍተኛ ዕድል አለ፣ እና ክፍት የግንኙነት ውፅዓት እንደዚህ ያለ ነገር ይመስላል።

POST https://vpn.evilcorp.com/
Connected to 777.777.777.777:443
SSL negotiation with vpn.evilcorp.com
Server certificate verify failed: signer not found

Certificate from VPN server "vpn.evilcorp.com" failed verification.
Reason: signer not found
To trust this server in future, perhaps add this to your command line:
    --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444
Enter 'yes' to accept, 'no' to abort; anything else to view: fgets (stdin): Operation now in progress

በአንድ በኩል, ይህ ደስ የማይል ነው, ምክንያቱም ከ VPN ጋር ምንም ግንኙነት ስለሌለ, በሌላ በኩል ግን, ይህንን ችግር እንዴት ማስተካከል እንደሚቻል, በመርህ ደረጃ, ግልጽ ነው.

እዚህ አገልጋዩ የእውቅና ማረጋገጫ ልኮልናል፣ በዚህም ግንኙነቱ ከአገርኛ ኮርፖሬሽን አገልጋይ ጋር እየተሰራ ነው እንጂ ከክፉ አጭበርባሪ ጋር አይደለም፣ እና ይህ ሰርተፍኬት ለስርዓቱ የማይታወቅ ነው። እና ስለዚህ አገልጋዩ እውነት መሆኑን ወይም አለመሆኑን ማረጋገጥ አትችልም። እና ስለዚህ, ልክ እንደ ሁኔታው, መስራት ያቆማል.

የመክፈቻ ግንኙነት ከአገልጋዩ ጋር እንዲገናኝ፡- የአገልጋይ ቁልፍን በመጠቀም ከ VPN አገልጋይ የትኛው ሰርተፍኬት መምጣት እንዳለበት በግልፅ መንገር አለቦት።

እና አገልጋዩ የትኛውን ሰርተፍኬት ከየትኛው openconnect ከታተመ በቀጥታ እንደላከልን ማወቅ ትችላለህ። ከዚህ ክፍል እነሆ፡-

To trust this server in future, perhaps add this to your command line:
    --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444
Enter 'yes' to accept, 'no' to abort; anything else to view: fgets (stdin): Operation now in progress

በዚህ ትዕዛዝ እንደገና ለመገናኘት መሞከር ይችላሉ

openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 --user poxvuibr vpn.evilcorp.com

ምናልባት አሁን እየሰራ ነው, ከዚያ ወደ መጨረሻው መቀጠል ይችላሉ. ግን በግሌ ኡቡንታ በዚህ መልክ በለስ አሳየኝ።

POST https://vpn.evilcorp.com/
Connected to 777.777.777.777:443
SSL negotiation with vpn.evilcorp.com
Server certificate verify failed: signer not found
Connected to HTTPS on vpn.evilcorp.com
XML POST enabled
Please enter your username and password.
POST https://vpn.evilcorp.com/
Got CONNECT response: HTTP/1.1 200 OK
CSTP connected. DPD 300, Keepalive 30
Set up DTLS failed; using SSL instead
Connected as 192.168.333.222, using SSL
NOSSSSSHHHHHHHDDDDD
3
NOSSSSSHHHHHHHDDDDD
3
RTNETLINK answers: File exists
/etc/resolvconf/update.d/libc: Warning: /etc/resolv.conf is not a symbolic link to /run/resolvconf/resolv.conf

/etc/resolv.conf

# Generated by NetworkManager
search gst.evilcorpguest.com
nameserver 127.0.0.53

/አሂድ/resolvconf/resolv.conf

# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
# 127.0.0.53 is the systemd-resolved stub resolver.
# run "systemd-resolve --status" to see details about the actual nameservers.

nameserver 192.168.430.534
nameserver 127.0.0.53
search evilcorp.com gst.publicevilcorp.com

habr.com መፍትሄ ያገኛል፣ ግን ወደዚያ መሄድ አይችሉም። እንደ jira.evilcorp.com ያሉ አድራሻዎች ጨርሶ አልተፈቱም።

እዚህ ያለው ነገር ለእኔ ግልጽ አይደለም. ነገር ግን ሙከራው እንደሚያሳየው መስመሩን ወደ /etc/resolv.conf ካከሉ

nameserver 192.168.430.534

ከዚያ በቪፒኤን ውስጥ ያሉት አድራሻዎች በአስማታዊ መልኩ መፍታት ይጀምራሉ እና በእነሱ ውስጥ መሄድ ይችላሉ ፣ ማለትም ፣ አድራሻዎችን ለመፍታት ዲ ኤን ኤስ የሚፈልገው በተለይ በ /etc/resolv.conf ውስጥ ነው እንጂ ሌላ ቦታ አይደለም።

ከቪፒኤን ጋር ግንኙነት እንዳለ ማረጋገጥ እና በ /etc/resolv.conf ላይ ምንም ለውጥ ሳያደርጉ እንደሚሰራ ማረጋገጥ ይችላሉ ፣ ይህንን ለማድረግ ወደ አሳሹ ውስጥ ያስገቡት የመርጃውን ምሳሌያዊ ስም ሳይሆን የአይፒ አድራሻውን ያስገቡ ።

በውጤቱም, ሁለት ችግሮች አሉ

ከቪፒኤን ጋር ሲገናኙ ዲ ኤን ኤስ አይነሳም።
ሁሉም ትራፊክ ወደ በይነመረብ መድረስ በማይችለው በ VPN በኩል ያልፋል

አሁን ምን ማድረግ እንዳለብዎት እነግርዎታለሁ, ግን በመጀመሪያ ትንሽ አውቶማቲክ.

የይለፍ ቃል ቋሚ ክፍል በራስ-ሰር ግቤት

በአሁኑ ጊዜ የይለፍ ቃልህን ቢያንስ አምስት ጊዜ አስገብተህ ሊሆን ይችላል እና ይህ አሰራር ደክሞሃል። በመጀመሪያ ፣ የይለፍ ቃሉ ረጅም ስለሆነ እና ሁለተኛ ፣ ምክንያቱም በሚያስገቡበት ጊዜ በተወሰነ የጊዜ ገደብ ውስጥ መግጠም ያስፈልግዎታል

ለችግሩ የመጨረሻው መፍትሄ በአንቀጹ ውስጥ አልተካተተም, ነገር ግን የይለፍ ቃሉ ቋሚ ክፍል ብዙ ጊዜ እንዳይገባ ማረጋገጥ ይችላሉ.

የይለፍ ቃሉ ቋሚ ክፍል ቋሚ የይለፍ ቃል ነው እንበል እና ከጎግል አረጋጋጭ ያለው ክፍል 567 ነው ። አጠቃላይ የይለፍ ቃል በመደበኛ ግብዓት በኩል ግቤት ለመክፈት ሊተላለፍ ይችላል-passwd-on-stdin .

echo "fixedPassword567987" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 --user poxvuibr vpn.evilcorp.com --passwd-on-stdin

አሁን ወደ መጨረሻው የገባው ትዕዛዝ ያለማቋረጥ መመለስ እና የGoogle ማረጋገጫ አካልን እዚያ መቀየር ትችላለህ።

የድርጅት ቪፒኤን በይነመረቡን እንዲያስሱ አይፈቅድልዎትም ።

በአጠቃላይ, ወደ ሃብር ለመሄድ የተለየ ኮምፒዩተር መጠቀም ሲኖርብዎት በጣም ምቹ አይደለም. ከስታክኮቨርፎው ለመቅዳት አለመቻል በአጠቃላይ ሥራን ሽባ ያደርገዋል, ስለዚህ አንድ ነገር መደረግ አለበት.

እኛ እንደምንም ማደራጀት አለብን ከውስጥ ኔትዎርክ ሃብት ማግኘት ሲፈልጉ ሊኑክስ ወደ ቪፒኤን ሲሄድ ሃብር ሲፈልጉ ወደ ኢንተርኔት ይሄዳል።

openconnect, ከ vpn ጋር ግንኙነት ከጀመረ በኋላ, ልዩ ስክሪፕት ይሠራል, ይህም በ / usr/share/vpnc-scripts/vpnc-script ውስጥ ይገኛል. አንዳንድ ተለዋዋጮች እንደ ግብአት ወደ ስክሪፕቱ ይተላለፋሉ፣ እና ቪፒኤንን ያዋቅራል። የአጋጣሚ ነገር ሆኖ የትራፊክ ፍሰቶችን በድርጅት ቪፒኤን እና በተቀረው በይነመረብ መካከል የቤተኛ ስክሪፕት እንዴት እንደሚከፋፈል ማወቅ አልቻልኩም።

በግልጽ ለማየት እንደሚቻለው vpn-slice utility የተሰራው በተለይ እንደ እኔ ላሉ ሰዎች ሲሆን ይህም በከበሮ ሳትጨፍሩ በሁለት ቻናሎች ትራፊክ እንድትልክ ያስችልሃል። ደህና ፣ ማለትም ፣ መደነስ አለብህ ፣ ግን ሻምኛ መሆን የለብህም።

vpn-sliceን በመጠቀም የትራፊክ መለያየት

በመጀመሪያ, vpn-sliceን መጫን አለብዎት, ይህንን እራስዎ ማወቅ አለብዎት. በአስተያየቶቹ ውስጥ ጥያቄዎች ካሉ, ስለዚህ ጉዳይ የተለየ ጽሑፍ እጽፋለሁ. ግን ይህ መደበኛ የፓይዘን ፕሮግራም ነው, ስለዚህ ምንም ችግሮች ሊኖሩ አይገባም. እኔ Virtualenv በመጠቀም ጫን.

እና ከዚያ መገልገያው መተግበር አለበት -ስክሪፕት ማብሪያ / ማጥፊያን በመጠቀም ፣ ግንኙነቱን ለመክፈት ከመደበኛው ስክሪፕት ይልቅ vpn-sliceን መጠቀም ያስፈልግዎታል

echo "fixedPassword567987" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 --user poxvuibr --passwd-on-stdin 
--script "./bin/vpn-slice 192.168.430.0/24  " vpn.evilcorp.com

--ስክሪፕት ከስክሪፕቱ ይልቅ መጠራት ያለበት ትእዛዝ ያለው ሕብረቁምፊ አልፏል። ./bin/vpn-slice - ወደ vpn-slice executable ፋይል ዱካ 192.168.430.0/24 - በ vpn ውስጥ ለመግባት የአድራሻዎች ጭምብል። እዚህ ማለት አድራሻው በ 192.168.430 ከጀመረ ይህ አድራሻ ያለው ምንጭ በቪፒኤን ውስጥ መፈለግ አለበት ማለታችን ነው ።

ሁኔታው አሁን ከሞላ ጎደል የተለመደ መሆን አለበት። ማለት ይቻላል። አሁን ወደ ሃብር መሄድ ትችላላችሁ እና ወደ ውስጠ-ኮርፖሬት ሪሶርስ በ ip መሄድ ትችላላችሁ ነገርግን በምሳሌያዊ ስም ወደ ውስጠ-ድርጅት መገልገያ መሄድ አይችሉም። በአስተናጋጆች ውስጥ በምሳሌያዊው ስም እና አድራሻ መካከል ግጥሚያ ከገለጹ ሁሉም ነገር መስራት አለበት። እና አይፒው እስኪቀየር ድረስ ይስሩ. ሊኑክስ አሁን እንደ አይፒው በይነመረብን ወይም ኢንትራኔትን ማግኘት ይችላል። ግን አድራሻውን ለመወሰን የድርጅት ያልሆነ ዲ ኤን ኤስ አሁንም ጥቅም ላይ ይውላል።

ችግሩ በዚህ መልክ እራሱን ማሳየትም ይችላል - በስራ ላይ ሁሉም ነገር ጥሩ ነው, ነገር ግን በቤት ውስጥ የውስጥ ኮርፖሬሽን ሀብቶችን በአይፒ በኩል ብቻ ማግኘት ይችላሉ. ይህ የሆነበት ምክንያት ከድርጅታዊ ዋይ ፋይ ጋር ሲገናኙ የኮርፖሬት ዲ ኤን ኤስ እንዲሁ ጥቅም ላይ ይውላል እና የቪፒኤን ተምሳሌታዊ አድራሻዎች በእሱ ውስጥ ተፈትተዋል ፣ ምንም እንኳን ቪፒኤን ሳይጠቀሙ ወደ እንደዚህ ዓይነት አድራሻ መሄድ አሁንም የማይቻል ቢሆንም።

የአስተናጋጆች ፋይልን በራስ-ሰር ማሻሻል

vpn-slice በትህትና ከተጠየቀ ቪፒኤንን ከፍ ካደረገ በኋላ ወደ ዲ ኤን ኤስ መሄድ ይችላል ፣ እዚያም አስፈላጊዎቹን ሀብቶች በምሳሌያዊ ስማቸው የአይፒ አድራሻዎችን ይፈልጉ እና በአስተናጋጆች ውስጥ ያስገቡ። ቪፒኤንን ካጠፉ በኋላ እነዚህ አድራሻዎች ከአስተናጋጆች ይወገዳሉ። ይህንን ለማድረግ ምሳሌያዊ ስሞችን ወደ vpn-slice እንደ ነጋሪ እሴቶች ማስተላለፍ ያስፈልግዎታል። ልክ እንደዚህ.

echo "fixedPassword567987" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 --user poxvuibr --passwd-on-stdin
--script "./bin/vpn-slice 192.168.430.0/24  jira.vpn.evilcorp.com git.vpn.evilcorp.com " vpn.evilcorp.com

አሁን ሁሉም ነገር በቢሮ ውስጥም ሆነ በባህር ዳርቻ ላይ ሊሠራ ይገባል.

በቪፒኤን በተሰጠው ዲ ኤን ኤስ ውስጥ የሁሉም ንዑስ ጎራዎች አድራሻዎችን ፈልግ

በአውታረ መረቡ ውስጥ ጥቂት አድራሻዎች ካሉ ፣ የአስተናጋጆች ፋይልን በራስ-ሰር የመቀየር አካሄድ በትክክል ይሰራል። ግን በአውታረ መረቡ ላይ ብዙ ሀብቶች ካሉ ፣ እንደ zoidberg.test.evilcorp.com zoidberg የሙከራ ወንበሮች የአንዱ ስም ነው።

አሁን ግን ይህ ፍላጎት ለምን ሊወገድ እንደሚችል ትንሽ ተረድተናል.

ቪፒኤንን ከፍ ካደረጉ በኋላ በ /etc/hosts ውስጥ ከተመለከቱ ይህንን መስመር ማየት ይችላሉ።

192.168.430.534 dns0.tun0 # vpn-slice-tun0 በራስ የተፈጠረ

እና አዲስ መስመር ወደ resolv.conf ታክሏል። በአጭሩ፣ vpn-slice በሆነ መንገድ የ vpn የዲ ኤን ኤስ አገልጋይ የት እንደሚገኝ ተወስኗል።

አሁን በክፉcorp.com የሚያበቃውን የጎራ ስም አይፒ አድራሻ ለማወቅ ሊኑክስ ወደ ኮርፖሬት ዲ ኤን ኤስ እንደሚሄድ እና ሌላ ነገር ካስፈለገ ከዚያ ወደ ነባሪው መሆኑን ማረጋገጥ አለብን።

ለተወሰነ ጊዜ ጎግል ገብቼ እንደዚህ አይነት ተግባር በኡቡንቱ ከሳጥኑ ውጪ እንደሚገኝ ተረድቻለሁ። ይህ ማለት ስሞችን ለመፍታት የአካባቢውን የዲኤንኤስ አገልጋይ dnsmasq የመጠቀም ችሎታ ማለት ነው።

ይህም ማለት ሊኑክስ ለአይ ፒ አድራሻዎች ወደ አካባቢያዊው የዲ ኤን ኤስ አገልጋይ ሁልጊዜ እንደሚሄድ ማረጋገጥ ይችላሉ, ይህም በተራው, እንደ የጎራ ስም, በተዛማጅ ውጫዊ ዲ ኤን ኤስ አገልጋይ ላይ አይፒን ይፈልጋል.

ከአውታረ መረብ እና ከአውታረ መረብ ግንኙነቶች ጋር የተያያዙ ሁሉንም ነገሮች ለማስተዳደር ኡቡንቱ NetworkManagerን ይጠቀማል, እና ለመምረጥ የግራፊክ በይነገጽ ለምሳሌ የ Wi-Fi ግንኙነቶች ለእሱ የፊት ጫፍ ብቻ ነው.

በእሱ አወቃቀሩ ውስጥ መውጣት ያስፈልገናል.

በ /etc/NetworkManager/dnsmasq.d/evilcorp ውስጥ ፋይል ይፍጠሩ

አድራሻ=/.evilcorp.com/192.168.430.534

በክፉ ኮርፕ ፊት ለፊት ላለው ነጥብ ትኩረት ይስጡ. ሁሉም የ evilcorp.com ንዑስ ጎራዎች በድርጅት ዲኤንኤስ ውስጥ መፈለግ እንዳለባቸው dnsmasq ይጠቁማል።

ለስም መፍቻ dnsmasqን እንዲጠቀም NetworkManager ይንገሩ

የአውታረ መረብ አስተዳዳሪ ውቅር በ /etc/NetworkManager/NetworkManager.conf ውስጥ ይገኛል ወደዚያ ማከል አለብህ፡

[ዋና] dns = dnsmasq

የአውታረ መረብ አስተዳዳሪን እንደገና ያስጀምሩ

service network-manager restart

አሁን፣ ከቪፒኤን ጋር ከተገናኙ በኋላ openconnect እና vpn-sliceን በመጠቀም፣ ip በመደበኛነት ይወሰናል፣ ምንም እንኳን ምሳሌያዊ አድራሻዎችን በክርክሩ ላይ ወደ vpnslice ባይጨምሩም።

የግል አገልግሎቶችን በቪፒኤን እንዴት ማግኘት እንደሚቻል

ከቪፒኤን ጋር መገናኘት ከቻልኩ በኋላ ለሁለት ቀናት በጣም ደስተኛ ነበርኩ እና ከዚያ ከቢሮው አውታረመረብ ውጭ ከቪፒኤን ጋር ከተገናኘሁ ደብዳቤ አይሰራም። ምልክቱ የታወቀ ነው አይደል?

የእኛ ደብዳቤ የሚገኘው በ mail.publicevilcorp.com ውስጥ ነው ፣ ይህ ማለት በ dnsmasq ውስጥ ባለው ደንብ ውስጥ አይወድቅም እና የመልእክት አገልጋይ አድራሻው በይፋዊ ዲ ኤን ኤስ ውስጥ ይፈለጋል።

ደህና፣ ቢሮው አሁንም ይህንን አድራሻ የያዘውን ዲ ኤን ኤስ ይጠቀማል። እኔ ያሰብኩት ነው። በእርግጥ, መስመሩን ወደ dnsmasq ከጨመረ በኋላ

አድራሻ=/mail.publicevilcorp.com/192.168.430.534

ሁኔታው ምንም አልተለወጠም. ip ያው ቀረ። ወደ ሥራ መሄድ ነበረብኝ.

እና በኋላ ላይ፣ ወደ ሁኔታው ጠለቅ ብዬ ስገባ እና ችግሩን ትንሽ ስረዳ አንድ ብልህ ሰው እንዴት መፍታት እንዳለብኝ ነገረኝ። ከደብዳቤ አገልጋዩ ጋር እንደዚያው ብቻ ሳይሆን በ VPN በኩል መገናኘት አስፈላጊ ነበር

በ 192.168.430 ለሚጀምሩ አድራሻዎች በ VPN በኩል ለማለፍ vpn-sliceን እጠቀማለሁ። እና የመልዕክት አገልጋዩ የክፉ ኮርፕ ንዑስ ጎራ ያልሆነ ተምሳሌታዊ አድራሻ ብቻ ሳይሆን በ192.168.430 የሚጀምር አይፒ አድራሻም የለውም። እና በእርግጥ ከአጠቃላይ አውታር ማንም ሰው ወደ እሱ እንዲመጣ አይፈቅድም.

ሊኑክስ በቪፒኤን እና ወደ ሜይል ሰርቨር እንዲሄድ፣ ወደ vpn-sliceም ማከል አለቦት። የፖስታ አድራጊው አድራሻ 555.555.555.555 ነው እንበል

echo "fixedPassword567987" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 --user poxvuibr --passwd-on-stdin
--script "./bin/vpn-slice 555.555.555.555 192.168.430.0/24" vpn.evilcorp.com

ቪፒኤንን ከአንድ ነጋሪ እሴት ጋር ለማሳደግ ስክሪፕት

ይህ ሁሉ, በእርግጥ, በጣም ምቹ አይደለም. አዎ፣ ጽሑፉን በፋይል ላይ ማስቀመጥ እና በእጅ ከመፃፍ ይልቅ ወደ ኮንሶሉ ቀድተው መለጠፍ ይችላሉ፣ ግን አሁንም በጣም ደስ የሚል አይደለም። ሂደቱን ቀላል ለማድረግ ትዕዛዙን በ PATH ውስጥ በሚገኝ ስክሪፕት መጠቅለል ይችላሉ። እና ከዚያ ከ Google አረጋጋጭ የተቀበለውን ኮድ ብቻ ማስገባት ያስፈልግዎታል

#!/bin/sh  
echo "fixedPassword$1" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 --user poxvuibr --passwd-on-stdin 
--script "./bin/vpn-slice 192.168.430.0/24  jira.vpn.evilcorp.com git.vpn.evilcorp.com " vpn.evilcorp.com

ስክሪፕቱን በconnect~evilcorp~ ካስቀመጡት በቀላሉ በኮንሶሉ ውስጥ መፃፍ ይችላሉ።

connect_evil_corp 567987

ግን አሁን በሆነ ምክንያት openconnect የሚሰራበትን ኮንሶል ማቆየት አለቦት

ከበስተጀርባ ክፍት ግንኙነትን በማሄድ ላይ

እንደ እድል ሆኖ, የ openconnect ደራሲዎች እኛን ይንከባከቡን እና ለፕሮግራሙ ልዩ ቁልፍ ጨምረዋል - ዳራ , ይህም ፕሮግራሙ ከተጀመረ በኋላ ከበስተጀርባ እንዲሰራ ያደርገዋል. እንደዚህ ካካሄዱት, ከተነሳ በኋላ ኮንሶሉን መዝጋት ይችላሉ

#!/bin/sh  
echo "fixedPassword$1" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 
--user poxvuibr 
--passwd-on-stdin 
--background 
--script "./bin/vpn-slice 192.168.430.0/24  jira.vpn.evilcorp.com git.vpn.evilcorp.com " vpn.evilcorp.com

አሁን ምዝግብ ማስታወሻዎቹ የት እንደሚሄዱ ግልጽ አይደለም. በአጠቃላይ ፣ እኛ በእርግጥ የምዝግብ ማስታወሻዎች አንፈልግም ፣ ግን በጭራሽ አታውቁትም። openconnect ወደ syslog ሊያዞራቸው ይችላል፣ እዚያም ደህንነታቸው የተጠበቀ እና የተጠበቀ ይሆናል። ወደ ትዕዛዙ -syslog ማብሪያ / ማጥፊያ ማከል ያስፈልግዎታል

#!/bin/sh  
echo "fixedPassword$1" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 
--user poxvuibr 
--passwd-on-stdin 
--background 
--syslog 
--script "./bin/vpn-slice 192.168.430.0/24  jira.vpn.evilcorp.com git.vpn.evilcorp.com " vpn.evilcorp.com

እና ስለዚህ ፣ ክፍት ግንኙነት ከበስተጀርባ የሆነ ቦታ እየሰራ እና ማንንም አያስቸግርም ፣ ግን እንዴት ማቆም እንዳለበት ግልፅ አይደለም። ያም ማለት፣ በእርግጥ የ ps ውፅዓትን grep ን በመጠቀም ማጣራት እና ስሙ ክፍት ግንኙነትን የያዘ ሂደት መፈለግ ይችላሉ ፣ ግን ይህ በሆነ መንገድ አሰልቺ ነው። ይህን ያስቡ ደራሲያንም አመሰግናለሁ። Openconnect የሂደቱን መለያ በፋይል ላይ እንዲጽፍ የመክፈቻ ግንኙነትን የሚያስተምሩበት ቁልፍ -pid-ፋይል አለው።

#!/bin/sh  
echo "fixedPassword$1" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 
--user poxvuibr 
--passwd-on-stdin 
--background  
--syslog 
--script "./bin/vpn-slice 192.168.430.0/24  jira.vpn.evilcorp.com git.vpn.evilcorp.com " vpn.evilcorp.com  
--pid-file ~/vpn-pid

አሁን ሁልጊዜ በትእዛዙ ሂደትን መግደል ይችላሉ

kill $(cat ~/vpn-pid)

ሂደት ከሌለ መግደል ይረግማል እንጂ ስህተት አይጥልም። ፋይሉ እዚያ ከሌለ ፣ ከዚያ ምንም መጥፎ ነገር አይከሰትም ፣ ስለዚህ በስክሪፕቱ የመጀመሪያ መስመር ላይ ሂደቱን በደህና መግደል ይችላሉ።

kill $(cat ~/vpn-pid)
#!/bin/sh  
echo "fixedPassword$1" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 
--user poxvuibr 
--passwd-on-stdin 
--background 
--syslog 
--script "./bin/vpn-slice 192.168.430.0/24  jira.vpn.evilcorp.com git.vpn.evilcorp.com " vpn.evilcorp.com  
--pid-file ~/vpn-pid

አሁን ኮምፒተርዎን መክፈት, ኮንሶሉን መክፈት እና ትዕዛዙን ማስኬድ ይችላሉ, ኮዱን ከ Google አረጋጋጭ በማስተላለፍ. ኮንሶሉ ከዚያ በኋላ በምስማር ሊቸነከር ይችላል.

ያለ ቪፒኤን-ክፍል። ከኋለኛው ቃል ይልቅ

ያለ VPN-slice እንዴት መኖር እንደሚቻል ለመረዳት በጣም አስቸጋሪ ሆነ። ብዙ ማንበብ እና ጉግል ማድረግ ነበረብኝ። እንደ እድል ሆኖ፣ ከችግር ጋር ብዙ ጊዜ ካሳለፉ በኋላ፣ ቴክኒካል ማኑዋሎች እና የሰው ክፍት ግንኙነት እንደ አስደሳች ልብ ወለዶች ይነበባል።

በውጤቱም፣ vpn-slice፣ ልክ እንደ ቤተኛ ስክሪፕት፣ የማዞሪያ ሰንጠረዡን ኔትወርኮችን ለመለየት እንደሚያሻሽለው ተረድቻለሁ።

የማዞሪያ ጠረጴዛ

በቀላል አነጋገር ሊኑክስ መሄድ የሚፈልገውን አድራሻ መጀመር ያለበት በመጀመሪያው አምድ ላይ ያለው ሰንጠረዥ ሲሆን በሁለተኛው አምድ ደግሞ የትኛውን የኔትወርክ አስማሚ በዚህ አድራሻ ማለፍ እንዳለበት ያሳያል። እንደ እውነቱ ከሆነ, ተጨማሪ ተናጋሪዎች አሉ, ግን ይህ ዋናውን ነገር አይለውጥም.

የማዞሪያ ሰንጠረዡን ለማየት የአይ ፒ መንገዱን ትዕዛዝ ማስኬድ ያስፈልግዎታል

default via 192.168.1.1 dev wlp3s0 proto dhcp metric 600 
192.168.430.0/24 dev tun0 scope link 
192.168.1.0/24 dev wlp3s0 proto kernel scope link src 192.168.1.534 metric 600 
192.168.430.534 dev tun0 scope link

እዚህ፣ እያንዳንዱ መስመር ወደ አንዳንድ አድራሻ መልእክት ለመላክ የት መሄድ እንዳለቦት ሃላፊነት አለበት። የመጀመሪያው አድራሻው የት መጀመር እንዳለበት መግለጫ ነው. 192.168.0.0/16 ማለት አድራሻው በ192.168 መጀመር አለበት ማለት እንደሆነ ለመረዳት የአይፒ አድራሻ ማስክ ምን እንደሆነ ጎግል ማድረግ አለቦት። ከዴቭ በኋላ መልእክቱ የሚላክበት አስማሚ ስም አለ።

ለቪፒኤን፣ ሊኑክስ ምናባዊ አስማሚ ሠራ - tun0። መስመሩ ከ 192.168 ጀምሮ ለሁሉም አድራሻዎች ትራፊክ ማለፍን ያረጋግጣል

192.168.0.0/16 dev tun0 scope link

እንዲሁም ትዕዛዙን በመጠቀም የማዞሪያ ጠረጴዛውን ወቅታዊ ሁኔታ ማየት ይችላሉ መንገድ-n (አይ ፒ አድራሻዎች በስነጥበብ የተገለሉ ናቸው) ይህ ትዕዛዝ በተለያየ መልክ ውጤት ያስገኛል እና በአጠቃላይ ተቋርጧል, ነገር ግን ውጤቱ ብዙ ጊዜ በኢንተርኔት ላይ በሚገኙ መመሪያዎች ውስጥ ይገኛል እና እርስዎ ማንበብ መቻል አለብዎት.

የመንገድ IP አድራሻ የት መጀመር እንዳለበት ከመዳረሻ እና Genmask አምዶች ጥምር መረዳት ይቻላል። በ Genmask ውስጥ ከቁጥር 255 ጋር የሚዛመዱ የአይፒ አድራሻዎች ክፍሎች ከግምት ውስጥ ይገባሉ ፣ ግን 0 ያሉበት አይደሉም። ያም ማለት መድረሻ 192.168.0.0 እና Genmask 255.255.255.0 ጥምረት ማለት አድራሻው በ 192.168.0 ከጀመረ ወደ እሱ የሚቀርበው ጥያቄ በዚህ መንገድ ይሄዳል ማለት ነው ። እና መድረሻ 192.168.0.0 ግን Genmask 255.255.0.0 ከሆነ በ 192.168 የሚጀምሩ የአድራሻ ጥያቄዎች በዚህ መንገድ ይሄዳሉ

vpn-slice በእውነቱ ምን እንደሚሰራ ለማወቅ ፣ የጠረጴዛዎቹን ሁኔታ ከዚህ በፊት እና በኋላ ለመመልከት ወሰንኩ ።

ቪፒኤንን ከማብራትዎ በፊት እንደዚህ ነበር።

route -n 

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         222.222.222.1   0.0.0.0         UG    600    0        0 wlp3s0
222.222.222.0   0.0.0.0         255.255.255.0   U     600    0        0 wlp3s0
333.333.333.333 222.222.222.1   255.255.255.255 UGH   0      0        0 wlp3s0

ያለ vpn-slice openconnect ከደወለ በኋላ እንዲህ ሆነ

route -n

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 tun0
0.0.0.0         222.222.222.1   0.0.0.0         UG    600    0        0 wlp3s0
222.222.222.0   0.0.0.0         255.255.255.0   U     600    0        0 wlp3s0
333.333.333.333 222.222.222.1   255.255.255.255 UGH   0      0        0 wlp3s0
192.168.430.0   0.0.0.0         255.255.255.0   U     0      0        0 tun0
192.168.430.534 0.0.0.0         255.255.255.255 UH    0      0        0 tun0

እና Openconnect ከ vpn-slice ጋር በማጣመር ከደወሉ በኋላ እንደዚህ ያለ

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         222.222.222.1   0.0.0.0         UG    600    0        0 wlp3s0
222.222.222.0   0.0.0.0         255.255.255.0   U     600    0        0 wlp3s0
333.333.333.333 222.222.222.1   255.255.255.255 UGH   0      0        0 wlp3s0
192.168.430.0   0.0.0.0         255.255.255.0   U     0      0        0 tun0
192.168.430.534 0.0.0.0         255.255.255.255 UH    0      0        0 tun0

vpn-sliceን ካልተጠቀምክ Openconnect በግልጽ ከተጠቆሙት በስተቀር ሁሉም አድራሻዎች በ vpn መግባት አለባቸው ሲል ይጽፋል።

እዚህ ጋ:

0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 tun0

እዚያ, ከእሱ ቀጥሎ, ሌላ መንገድ ወዲያውኑ ይገለጻል, ይህም ሊኑክስ ሊያልፍበት የሚሞክር አድራሻ ከጠረጴዛው ላይ ምንም ዓይነት ጭምብል የማይመሳሰል ከሆነ ጥቅም ላይ መዋል አለበት.

0.0.0.0         222.222.222.1   0.0.0.0         UG    600    0        0 wlp3s0

በዚህ ጉዳይ ላይ መደበኛ የ Wi-Fi አስማሚን መጠቀም እንዳለቦት አስቀድሞ እዚህ ተጽፏል።

እኔ አምናለሁ የቪፒኤን ዱካ ጥቅም ላይ የሚውለው በማዞሪያ ሠንጠረዥ ውስጥ የመጀመሪያው ስለሆነ ነው።

እና በንድፈ-ሀሳብ ፣ ይህንን ነባሪ መንገድ ከመዞሪያው ጠረጴዛ ላይ ካስወገዱ ፣ ከ dnsmasq openconnect ጋር በመተባበር መደበኛ ስራን ማረጋገጥ አለበት።

ሞከርኩ

route del default

እና ሁሉም ነገር ሠርቷል.

ያለ vpn-slice ጥያቄዎችን ወደ ደብዳቤ አገልጋይ ማዞር

ግን እኔ ደግሞ አድራሻው 555.555.555.555 ያለው የፖስታ አገልጋይ አለኝ፣ እሱም በቪፒኤን ማግኘትም አለበት። ወደ እሱ የሚወስደው መንገድ እንዲሁ በእጅ መጨመር አለበት።

ip route add 555.555.555.555 via dev tun0

እና አሁን ሁሉም ነገር ደህና ነው. ስለዚህ ያለ vpn-slice ማድረግ ይችላሉ ነገር ግን ምን እየሰሩ እንደሆነ በደንብ ማወቅ አለብዎት. አሁን በብስክሌቴ ውስጥ ጥቂት ተንቀሳቃሽ ክፍሎች እንዲኖሩ፣ የነባሪውን መንገድ ማስወገድ እና ከ vpn ጋር ከተገናኘሁ በኋላ ለፖስታ መላኪያው መንገድ ለመጨመር ወደ ቤተኛ ክፍት ግንኙነት ስክሪፕት የመጨረሻ መስመር ላይ ለማከል እያሰብኩ ነው።

ምናልባት፣ ይህ የድህረ ቃል አንድ ሰው እንዴት VPN ማዋቀር እንዳለበት እንዲረዳው በቂ ይሆናል። ግን ምን እና እንዴት ማድረግ እንዳለብኝ ለመረዳት እየሞከርኩ እያለ ለጸሃፊው የሚሰሩ ብዙ እንደዚህ ያሉ መመሪያዎችን አነበብኩ ፣ ግን በሆነ ምክንያት ለእኔ አይሰራም ፣ እና ያገኘኋቸውን ሁሉንም ቁርጥራጮች እዚህ ለመጨመር ወሰንኩ ። እንደዚህ ባለ ነገር በጣም ደስተኛ ነኝ።

ምንጭ: hab.com

Openconnect እና vpn-sliceን በመጠቀም በሊኑክስ ውስጥ ከድርጅት VPN ጋር እንዴት እንደሚገናኙ