আপনি কি কর্মক্ষেত্রে লিনাক্স ব্যবহার করতে চান, কিন্তু আপনার কর্পোরেট VPN আপনাকে অনুমতি দেবে না? তারপর এই নিবন্ধটি সাহায্য করতে পারে, যদিও এটি নিশ্চিত নয়। আমি আপনাকে আগাম সতর্ক করতে চাই যে আমি নেটওয়ার্ক প্রশাসনের সমস্যাগুলি ভালভাবে বুঝতে পারি না, তাই এটা সম্ভব যে আমি সবকিছু ভুল করেছি। অন্যদিকে, এটা সম্ভব যে আমি এমনভাবে একটি গাইড লিখতে পারি যা সাধারণ মানুষের কাছে বোধগম্য হবে, তাই আমি আপনাকে এটি চেষ্টা করার পরামর্শ দিচ্ছি।

নিবন্ধটিতে প্রচুর অপ্রয়োজনীয় তথ্য রয়েছে, তবে এই জ্ঞান ছাড়া আমি একটি ভিপিএন সেট আপ করার সাথে অপ্রত্যাশিতভাবে আমার কাছে উপস্থিত সমস্যাগুলি সমাধান করতে সক্ষম হতাম না। আমি মনে করি যে কেউ এই নির্দেশিকাটি ব্যবহার করার চেষ্টা করবে তাদের সমস্যা হবে যা আমার ছিল না, এবং আমি আশা করি যে এই অতিরিক্ত তথ্যগুলি তাদের নিজেরাই এই সমস্যাগুলি সমাধান করতে সাহায্য করবে৷

এই গাইডে ব্যবহৃত বেশিরভাগ কমান্ডগুলি sudo এর মাধ্যমে কার্যকর করা দরকার, যা সংক্ষিপ্ততার জন্য সরানো হয়েছে। মনে রেখ.

বেশিরভাগ IP ঠিকানাগুলি গুরুতরভাবে অস্পষ্ট করা হয়েছে, তাই আপনি যদি 435.435.435.435 এর মতো একটি ঠিকানা দেখতে পান, সেখানে অবশ্যই আপনার ক্ষেত্রে নির্দিষ্ট কিছু স্বাভাবিক আইপি থাকতে হবে।

আমার কাছে উবুন্টু 18.04 আছে, তবে আমি মনে করি ছোটখাটো পরিবর্তনের সাথে গাইডটি অন্যান্য বিতরণে প্রয়োগ করা যেতে পারে। তবে এই লেখায় লিনাক্স == উবুন্টু।

সিসকো কানেক্ট

যারা Windows বা MacOS-এ আছেন তারা Cisco Connect এর মাধ্যমে আমাদের কর্পোরেট VPN-এর সাথে সংযোগ করতে পারেন, যার জন্য গেটওয়ে ঠিকানা উল্লেখ করতে হবে এবং প্রতিবার আপনি সংযোগ করার সময় একটি নির্দিষ্ট অংশ এবং Google প্রমাণীকরণকারী দ্বারা তৈরি করা কোড সমন্বিত একটি পাসওয়ার্ড লিখুন।

লিনাক্সের ক্ষেত্রে, আমি সিসকো কানেক্ট চালু করতে পারিনি, তবে আমি ওপেনকানেক্ট ব্যবহার করার জন্য একটি সুপারিশ গুগল করতে পেরেছি, বিশেষভাবে সিস্কো কানেক্ট প্রতিস্থাপন করার জন্য তৈরি করা হয়েছে।

ওপেন কানেক্ট

তাত্ত্বিকভাবে, উবুন্টুর ওপেনকানেক্টের জন্য একটি বিশেষ গ্রাফিকাল ইন্টারফেস রয়েছে, কিন্তু এটি আমার জন্য কাজ করেনি। হয়তো এটা ভালো জন্য.

উবুন্টুতে, প্যাকেজ ম্যানেজার থেকে openconnect ইনস্টল করা হয়।

apt install openconnect

ইনস্টলেশনের পরপরই, আপনি একটি VPN এর সাথে সংযোগ করার চেষ্টা করতে পারেন৷

openconnect --user poxvuibr vpn.evilcorp.com

vpn.evilcorp.com হল একটি কাল্পনিক VPN এর ঠিকানা
poxvuibr - কাল্পনিক ব্যবহারকারীর নাম

openconnect আপনাকে একটি পাসওয়ার্ড লিখতে বলবে, যা আপনাকে মনে করিয়ে দিচ্ছি, একটি নির্দিষ্ট অংশ এবং Google প্রমাণীকরণকারী থেকে একটি কোড নিয়ে গঠিত, এবং তারপর এটি ভিপিএন-এর সাথে সংযোগ করার চেষ্টা করবে। যদি এটি কাজ করে, অভিনন্দন, আপনি নিরাপদে মাঝখানে এড়িয়ে যেতে পারেন, যা অনেক যন্ত্রণাদায়ক, এবং ব্যাকগ্রাউন্ডে ওপেনকানেক্ট চালানোর বিষয়ে বিন্দুতে যেতে পারেন। যদি এটি কাজ না করে, তাহলে আপনি চালিয়ে যেতে পারেন। যদিও এটি সংযোগ করার সময় কাজ করে, উদাহরণস্বরূপ, কর্মক্ষেত্রে অতিথি ওয়াই-ফাই থেকে, তবে আনন্দ করা খুব তাড়াতাড়ি হতে পারে; আপনার বাড়ি থেকে পদ্ধতিটি পুনরাবৃত্তি করার চেষ্টা করা উচিত।

সনদপত্র

একটি উচ্চ সম্ভাবনা আছে যে কিছুই শুরু হবে না, এবং openconnect আউটপুট এই মত কিছু দেখাবে:

POST https://vpn.evilcorp.com/
Connected to 777.777.777.777:443
SSL negotiation with vpn.evilcorp.com
Server certificate verify failed: signer not found

Certificate from VPN server "vpn.evilcorp.com" failed verification.
Reason: signer not found
To trust this server in future, perhaps add this to your command line:
    --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444
Enter 'yes' to accept, 'no' to abort; anything else to view: fgets (stdin): Operation now in progress

একদিকে, এটি অপ্রীতিকর, কারণ ভিপিএন-এর সাথে কোনও সংযোগ ছিল না, তবে অন্যদিকে, এই সমস্যাটি কীভাবে ঠিক করা যায় তা নীতিগতভাবে পরিষ্কার।

এখানে সার্ভার আমাদের একটি শংসাপত্র পাঠিয়েছে, যার দ্বারা আমরা নির্ধারণ করতে পারি যে সংযোগটি আমাদের নেটিভ কর্পোরেশনের সার্ভারের সাথে করা হচ্ছে, কোন দুষ্ট প্রতারকের সাথে নয়, এবং এই শংসাপত্রটি সিস্টেমের কাছে অজানা। এবং তাই সে সার্ভারটি আসল কিনা তা পরীক্ষা করতে পারে না। এবং তাই, ঠিক ক্ষেত্রে, এটি কাজ করা বন্ধ করে দেয়।

সার্ভারের সাথে ওপেনকানেক্ট সংযোগ করার জন্য, আপনাকে স্পষ্টভাবে বলতে হবে যে কোন সার্টিফিকেটটি ভিপিএন সার্ভার থেকে আসবে —সার্ভারসার্ট কী ব্যবহার করে

এবং সার্ভার কোন সার্টিফিকেট আমাদের সরাসরি পাঠিয়েছে তা ওপেনকানেক্ট কোন প্রিন্ট করেছে তা আপনি খুঁজে পেতে পারেন। এই টুকরা থেকে এখানে:

To trust this server in future, perhaps add this to your command line:
    --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444
Enter 'yes' to accept, 'no' to abort; anything else to view: fgets (stdin): Operation now in progress

এই কমান্ডের সাহায্যে আপনি আবার সংযোগ করার চেষ্টা করতে পারেন

openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 --user poxvuibr vpn.evilcorp.com

সম্ভবত এখন এটি কাজ করছে, তারপরে আপনি শেষ পর্যন্ত যেতে পারেন। কিন্তু ব্যক্তিগতভাবে, উবুন্টা আমাকে এই ফর্মে একটি ডুমুর দেখিয়েছে

POST https://vpn.evilcorp.com/
Connected to 777.777.777.777:443
SSL negotiation with vpn.evilcorp.com
Server certificate verify failed: signer not found
Connected to HTTPS on vpn.evilcorp.com
XML POST enabled
Please enter your username and password.
POST https://vpn.evilcorp.com/
Got CONNECT response: HTTP/1.1 200 OK
CSTP connected. DPD 300, Keepalive 30
Set up DTLS failed; using SSL instead
Connected as 192.168.333.222, using SSL
NOSSSSSHHHHHHHDDDDD
3
NOSSSSSHHHHHHHDDDDD
3
RTNETLINK answers: File exists
/etc/resolvconf/update.d/libc: Warning: /etc/resolv.conf is not a symbolic link to /run/resolvconf/resolv.conf

/etc/resolv.conf

# Generated by NetworkManager
search gst.evilcorpguest.com
nameserver 127.0.0.53

/run/resolvconf/resolv.conf

# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
# 127.0.0.53 is the systemd-resolved stub resolver.
# run "systemd-resolve --status" to see details about the actual nameservers.

nameserver 192.168.430.534
nameserver 127.0.0.53
search evilcorp.com gst.publicevilcorp.com

habr.com সমাধান করবে, কিন্তু আপনি সেখানে যেতে পারবেন না। jira.evilcorp.com এর মতো ঠিকানাগুলি মোটেই সমাধান করা হয় না।

এখানে কি ঘটেছে আমার কাছে পরিষ্কার নয়। কিন্তু পরীক্ষা দেখায় যে আপনি যদি লাইনটি /etc/resolv.conf এ যোগ করেন

nameserver 192.168.430.534

তাহলে VPN-এর ভিতরের ঠিকানাগুলি যাদুকরীভাবে সমাধান করতে শুরু করবে এবং আপনি সেগুলির মধ্য দিয়ে যেতে পারবেন, অর্থাৎ, DNS ঠিকানাগুলি সমাধান করতে যা খুঁজছে তা বিশেষভাবে /etc/resolv.conf-এ দেখায়, অন্য কোথাও নয়।

আপনি যাচাই করতে পারেন যে VPN-এর সাথে একটি সংযোগ আছে এবং এটি /etc/resolv.conf-এ কোনো পরিবর্তন না করেই কাজ করে; এটি করার জন্য, শুধুমাত্র ব্রাউজারে VPN থেকে সম্পদের প্রতীকী নাম নয়, বরং এর IP ঠিকানা লিখুন।

ফলে দুটি সমস্যা হয়

• একটি VPN এর সাথে সংযোগ করার সময়, এর dns তোলা হয় না
• সমস্ত ট্র্যাফিক VPN এর মাধ্যমে যায়, যা ইন্টারনেট অ্যাক্সেসের অনুমতি দেয় না

আমি আপনাকে এখন কি করতে হবে তা বলব, তবে প্রথমে একটু অটোমেশন।

পাসওয়ার্ডের নির্দিষ্ট অংশের স্বয়ংক্রিয় প্রবেশ

এখন পর্যন্ত, আপনি সম্ভবত অন্তত পাঁচবার আপনার পাসওয়ার্ড প্রবেশ করেছেন এবং এই পদ্ধতিটি ইতিমধ্যেই আপনাকে ক্লান্ত করেছে। প্রথমত, কারণ পাসওয়ার্ডটি দীর্ঘ, এবং দ্বিতীয়ত, কারণ প্রবেশ করার সময় আপনাকে একটি নির্দিষ্ট সময়ের মধ্যে ফিট করতে হবে

সমস্যার চূড়ান্ত সমাধান নিবন্ধে অন্তর্ভুক্ত করা হয়নি, তবে আপনি নিশ্চিত করতে পারেন যে পাসওয়ার্ডের নির্দিষ্ট অংশটি বহুবার প্রবেশ করতে হবে না।

ধরা যাক পাসওয়ার্ডের নির্দিষ্ট অংশটি হল fixedPassword, এবং Google প্রমাণীকরণকারীর অংশটি হল 567 987। সম্পূর্ণ পাসওয়ার্ডটি --passwd-on-stdin যুক্তি ব্যবহার করে স্ট্যান্ডার্ড ইনপুটের মাধ্যমে openconnect-এ পাস করা যেতে পারে।

echo "fixedPassword567987" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 --user poxvuibr vpn.evilcorp.com --passwd-on-stdin

এখন আপনি ক্রমাগত শেষ প্রবেশ করা কমান্ডে ফিরে আসতে পারেন এবং সেখানে শুধুমাত্র Google প্রমাণীকরণকারীর অংশ পরিবর্তন করতে পারেন।

একটি কর্পোরেট VPN আপনাকে ইন্টারনেট সার্ফ করার অনুমতি দেয় না।

সাধারণভাবে, হাবরে যাওয়ার জন্য আপনাকে একটি পৃথক কম্পিউটার ব্যবহার করতে হলে এটি খুব অসুবিধাজনক নয়। স্ট্যাকওভারফো থেকে কপি-পেস্ট করার অক্ষমতা সাধারণত কাজকে অচল করে দিতে পারে, তাই কিছু করা দরকার।

আমাদের এটিকে কোনওভাবে সংগঠিত করতে হবে যাতে আপনার যখন অভ্যন্তরীণ নেটওয়ার্ক থেকে কোনও সংস্থান অ্যাক্সেস করার প্রয়োজন হয়, তখন লিনাক্স ভিপিএন-এ যায় এবং যখন আপনাকে হাবরে যেতে হয়, তখন এটি ইন্টারনেটে যায়।

openconnect, vpn-এর সাথে একটি সংযোগ চালু এবং স্থাপন করার পরে, একটি বিশেষ স্ক্রিপ্ট চালায়, যা /usr/share/vpnc-scripts/vpnc-script-এ অবস্থিত। কিছু ভেরিয়েবল ইনপুট হিসাবে স্ক্রিপ্টে পাঠানো হয় এবং এটি VPN কনফিগার করে। দুর্ভাগ্যবশত, আমি একটি নেটিভ স্ক্রিপ্ট ব্যবহার করে একটি কর্পোরেট ভিপিএন এবং বাকি ইন্টারনেটের মধ্যে ট্রাফিক প্রবাহকে কীভাবে বিভক্ত করতে পারি তা বের করতে পারিনি।

স্পষ্টতই, ভিপিএন-স্লাইস ইউটিলিটি বিশেষত আমার মতো লোকেদের জন্য তৈরি করা হয়েছিল, যা আপনাকে খঞ্জনি নাচিয়ে দুটি চ্যানেলের মাধ্যমে ট্র্যাফিক পাঠাতে দেয়। ঠিক আছে, অর্থাৎ, আপনাকে নাচতে হবে, তবে আপনাকে শামান হতে হবে না।

ভিপিএন-স্লাইস ব্যবহার করে ট্রাফিক বিচ্ছেদ

প্রথমত, আপনাকে ভিপিএন-স্লাইস ইনস্টল করতে হবে, আপনাকে নিজেই এটি বের করতে হবে। মন্তব্যে প্রশ্ন থাকলে, আমি এই সম্পর্কে একটি পৃথক পোস্ট লিখব. তবে এটি একটি নিয়মিত পাইথন প্রোগ্রাম, তাই কোনও অসুবিধা হওয়া উচিত নয়। আমি virtualenv ব্যবহার করে ইনস্টল করেছি।

এবং তারপর ইউটিলিটি অবশ্যই প্রয়োগ করতে হবে, -স্ক্রিপ্ট সুইচ ব্যবহার করে, ওপেনকানেক্টকে নির্দেশ করে যে স্ট্যান্ডার্ড স্ক্রিপ্টের পরিবর্তে, আপনাকে ভিপিএন-স্লাইস ব্যবহার করতে হবে

echo "fixedPassword567987" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 --user poxvuibr --passwd-on-stdin 
--script "./bin/vpn-slice 192.168.430.0/24  " vpn.evilcorp.com 

--script একটি কমান্ড সহ একটি স্ট্রিং পাস করা হয় যা স্ক্রিপ্টের পরিবর্তে কল করা প্রয়োজন। ./bin/vpn-slice - ভিপিএন-স্লাইস এক্সিকিউটেবল ফাইলের পথ 192.168.430.0/24 - ভিপিএন-এ যাওয়ার ঠিকানাগুলির মাস্ক। এখানে, আমরা বলতে চাচ্ছি যে ঠিকানাটি যদি 192.168.430 দিয়ে শুরু হয়, তাহলে এই ঠিকানার সংস্থানটিকে VPN এর ভিতরে অনুসন্ধান করতে হবে

পরিস্থিতি এখন প্রায় স্বাভাবিক হওয়া উচিত। প্রায়। এখন আপনি হাবরে যেতে পারেন এবং আপনি ip দ্বারা ইন্ট্রা-কর্পোরেট রিসোর্সে যেতে পারেন, কিন্তু আপনি সিম্বলিক নামে ইন্ট্রা-কর্পোরেট রিসোর্সে যেতে পারবেন না। আপনি হোস্টে প্রতীকী নাম এবং ঠিকানার মধ্যে একটি মিল উল্লেখ করলে, সবকিছুই কাজ করা উচিত। এবং আইপি পরিবর্তন না হওয়া পর্যন্ত কাজ করুন। লিনাক্স এখন আইপির উপর নির্ভর করে ইন্টারনেট বা ইন্ট্রানেট অ্যাক্সেস করতে পারে। কিন্তু নন-কর্পোরেট ডিএনএস এখনও ঠিকানা নির্ধারণ করতে ব্যবহার করা হয়।

সমস্যাটি এই ফর্মটিতেও নিজেকে প্রকাশ করতে পারে - কর্মক্ষেত্রে সবকিছু ঠিক আছে, তবে বাড়িতে আপনি শুধুমাত্র আইপির মাধ্যমে অভ্যন্তরীণ কর্পোরেট সংস্থানগুলি অ্যাক্সেস করতে পারেন। এর কারণ হল আপনি যখন কর্পোরেট Wi-Fi এর সাথে সংযুক্ত থাকেন, তখন কর্পোরেট DNSও ব্যবহার করা হয় এবং VPN থেকে প্রতীকী ঠিকানাগুলি এতে সমাধান করা হয়, যদিও VPN ব্যবহার না করে এই ধরনের ঠিকানায় যাওয়া এখনও অসম্ভব।

হোস্ট ফাইলের স্বয়ংক্রিয় পরিবর্তন

যদি ভিপিএন-স্লাইসকে নম্রভাবে জিজ্ঞাসা করা হয়, তাহলে ভিপিএন বাড়ানোর পরে, এটি তার ডিএনএস-এ যেতে পারে, সেখানে তাদের প্রতীকী নাম দ্বারা প্রয়োজনীয় সংস্থানগুলির আইপি ঠিকানাগুলি খুঁজে পেতে পারে এবং সেগুলি হোস্টে প্রবেশ করতে পারে। VPN বন্ধ করার পরে, এই ঠিকানাগুলি হোস্ট থেকে সরানো হবে। এটি করার জন্য, আপনাকে আর্গুমেন্ট হিসাবে ভিপিএন-স্লাইসে প্রতীকী নাম পাস করতে হবে। এটার মত.

echo "fixedPassword567987" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 --user poxvuibr --passwd-on-stdin
--script "./bin/vpn-slice 192.168.430.0/24  jira.vpn.evilcorp.com git.vpn.evilcorp.com " vpn.evilcorp.com 

এখন সবকিছু অফিসে এবং সৈকতে উভয়ই কাজ করা উচিত।

VPN দ্বারা প্রদত্ত DNS-এ সমস্ত সাবডোমেনের ঠিকানা অনুসন্ধান করুন৷

যদি নেটওয়ার্কের মধ্যে কয়েকটি ঠিকানা থাকে, তাহলে হোস্ট ফাইল স্বয়ংক্রিয়ভাবে সংশোধন করার পদ্ধতিটি বেশ ভাল কাজ করে। কিন্তু যদি নেটওয়ার্কে অনেক রিসোর্স থাকে, তাহলে আপনাকে ক্রমাগত zoidberg.test.evilcorp.com-এর মতো লাইন যোগ করতে হবে স্ক্রিপ্টে zoidberg হল টেস্ট বেঞ্চগুলির একটির নাম।

কিন্তু এখন আমরা একটু বুঝতে পারছি কেন এই প্রয়োজন দূর করা যেতে পারে।

যদি, VPN বাড়ানোর পরে, আপনি /etc/hosts-এ তাকান, আপনি এই লাইনটি দেখতে পাবেন

192.168.430.534 dns0.tun0 # vpn-slice-tun0 স্বয়ংক্রিয়ভাবে তৈরি

এবং resolv.conf এ একটি নতুন লাইন যোগ করা হয়েছে। সংক্ষেপে, ভিপিএন-স্লাইস কোনভাবে নির্ধারণ করে যে ভিপিএন-এর জন্য ডিএনএস সার্ভার কোথায় অবস্থিত।

এখন আমাদের নিশ্চিত করতে হবে যে evilcorp.com-এ শেষ হওয়া ডোমেন নামের আইপি ঠিকানা খুঁজে বের করার জন্য, লিনাক্স কর্পোরেট ডিএনএস-এ যায় এবং অন্য কিছুর প্রয়োজন হলে ডিফল্টে যায়।

আমি বেশ কিছু সময়ের জন্য গুগল করেছি এবং দেখতে পেয়েছি যে এই ধরনের কার্যকারিতা বাক্সের বাইরে উবুন্টুতে উপলব্ধ। এর মানে হল নামগুলি সমাধান করতে স্থানীয় DNS সার্ভার dnsmasq ব্যবহার করার ক্ষমতা।

অর্থাৎ, আপনি নিশ্চিত করতে পারেন যে লিনাক্স সর্বদা IP ঠিকানাগুলির জন্য স্থানীয় DNS সার্ভারে যায়, যা ডোমেনের নামের উপর নির্ভর করে, সংশ্লিষ্ট বহিরাগত DNS সার্ভারে IP সন্ধান করবে।

নেটওয়ার্ক এবং নেটওয়ার্ক সংযোগের সাথে সম্পর্কিত সবকিছু পরিচালনা করতে, উবুন্টু নেটওয়ার্ক ম্যানেজার ব্যবহার করে এবং নির্বাচন করার জন্য গ্রাফিকাল ইন্টারফেস ব্যবহার করে, উদাহরণস্বরূপ, Wi-Fi সংযোগগুলি এটির সামনের প্রান্ত।

আমাদের এর কনফিগারেশনে আরোহণ করতে হবে।

1. /etc/NetworkManager/dnsmasq.d/evilcorp-এ একটি ফাইল তৈরি করুন

ঠিকানা=/.evilcorp.com/192.168.430.534

evilcorp সামনে বিন্দু মনোযোগ দিন. এটি dnsmasq-কে সংকেত দেয় যে evilcorp.com-এর সমস্ত সাবডোমেন কর্পোরেট ডিএনএস-এ অনুসন্ধান করা উচিত।

1. নেটওয়ার্ক ম্যানেজারকে নাম রেজোলিউশনের জন্য dnsmasq ব্যবহার করতে বলুন

নেটওয়ার্ক-ম্যানেজার কনফিগারেশন /etc/NetworkManager/NetworkManager.conf-এ অবস্থিত আপনাকে সেখানে যোগ করতে হবে:

[প্রধান] dns=dnsmasq

1. নেটওয়ার্ক ম্যানেজার পুনরায় চালু করুন

service network-manager restart

এখন, openconnect এবং vpn-slice ব্যবহার করে একটি VPN-এর সাথে সংযোগ করার পরে, ip স্বাভাবিকভাবে নির্ধারিত হবে, এমনকি আপনি vpnslice-এর আর্গুমেন্টে প্রতীকী ঠিকানা যোগ না করলেও।

ভিপিএন-এর মাধ্যমে পৃথক পরিষেবাগুলি কীভাবে অ্যাক্সেস করবেন

আমি ভিপিএন-এর সাথে সংযোগ স্থাপন করার পরে, আমি দুই দিনের জন্য খুব খুশি ছিলাম, এবং তারপরে দেখা গেল যে আমি যদি অফিস নেটওয়ার্কের বাইরে থেকে ভিপিএন-এর সাথে সংযোগ করি, তবে মেল কাজ করে না। লক্ষণটি পরিচিত, তাই না?

আমাদের মেইলটি mail.publicevilcorp.com-এ অবস্থিত, যার মানে এটি dnsmasq-এর নিয়মের অধীনে পড়ে না এবং মেইল ​​সার্ভার ঠিকানা সর্বজনীন DNS এর মাধ্যমে অনুসন্ধান করা হয়।

ঠিক আছে, অফিস এখনও DNS ব্যবহার করে, যা এই ঠিকানাটি ধারণ করে। সেটাই ভাবলাম। আসলে, dnsmasq এ লাইন যোগ করার পরে

address=/mail.publicevilcorp.com/192.168.430.534

পরিস্থিতি সব পরিবর্তন হয়নি. আইপি একই রয়ে গেছে। আমাকে কাজে যেতে হয়েছিল।

এবং শুধুমাত্র পরে, যখন আমি পরিস্থিতির গভীরে গিয়েছিলাম এবং সমস্যাটি কিছুটা বুঝতে পেরেছিলাম, তখন একজন স্মার্ট ব্যক্তি আমাকে বলেছিলেন কীভাবে এটি সমাধান করা যায়। শুধু সেরকম নয়, ভিপিএন এর মাধ্যমে মেইল ​​সার্ভারের সাথে সংযোগ করা দরকার ছিল

192.168.430 দিয়ে শুরু হওয়া ঠিকানাগুলিতে ভিপিএন দিয়ে যেতে আমি ভিপিএন-স্লাইস ব্যবহার করি। এবং মেল সার্ভারে শুধুমাত্র একটি প্রতীকী ঠিকানাই নেই যা evilcorp-এর একটি সাবডোমেন নয়, এটিতে 192.168.430 দিয়ে শুরু হওয়া IP ঠিকানাও নেই। এবং অবশ্যই তিনি সাধারণ নেটওয়ার্ক থেকে কাউকে তার কাছে আসতে দেন না।

লিনাক্সকে ভিপিএন এবং মেল সার্ভারে যাওয়ার জন্য, আপনাকে এটিকে ভিপিএন-স্লাইসেও যুক্ত করতে হবে। ধরা যাক মেইলারের ঠিকানা হল 555.555.555.555

echo "fixedPassword567987" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 --user poxvuibr --passwd-on-stdin
--script "./bin/vpn-slice 555.555.555.555 192.168.430.0/24" vpn.evilcorp.com 

একটি যুক্তি দিয়ে VPN বাড়াতে স্ক্রিপ্ট

এই সব, অবশ্যই, খুব সুবিধাজনক নয়। হ্যাঁ, আপনি একটি ফাইলে পাঠ্যটি সংরক্ষণ করতে পারেন এবং হাতে টাইপ করার পরিবর্তে এটিকে কনসোলে কপি-পেস্ট করতে পারেন, তবে এটি এখনও খুব সুখকর নয়। প্রক্রিয়াটিকে সহজ করার জন্য, আপনি কমান্ডটিকে একটি স্ক্রিপ্টে মোড়ানো করতে পারেন যা PATH-এ অবস্থিত হবে। এবং তারপরে আপনাকে শুধুমাত্র Google প্রমাণীকরণকারী থেকে প্রাপ্ত কোডটি প্রবেশ করতে হবে

#!/bin/sh  
echo "fixedPassword$1" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 --user poxvuibr --passwd-on-stdin 
--script "./bin/vpn-slice 192.168.430.0/24  jira.vpn.evilcorp.com git.vpn.evilcorp.com " vpn.evilcorp.com 

যদি আপনি স্ক্রিপ্টটি connect~evilcorp~ এ রাখেন তাহলে আপনি কেবল কনসোলে লিখতে পারেন

connect_evil_corp 567987

কিন্তু এখন আপনাকে এখনও সেই কনসোলটি রাখতে হবে যেখানে কোনো কারণে openconnect চালু হচ্ছে

ব্যাকগ্রাউন্ডে ওপেনকানেক্ট চলছে

সৌভাগ্যবশত, openconnect-এর লেখকরা আমাদের যত্ন নিয়েছিলেন এবং প্রোগ্রাম-ব্যাকগ্রাউন্ডে একটি বিশেষ কী যোগ করেছেন, যা লঞ্চের পরে পটভূমিতে প্রোগ্রামটিকে কাজ করে। আপনি যদি এটিকে এভাবে চালান তবে আপনি লঞ্চের পরে কনসোলটি বন্ধ করতে পারেন

#!/bin/sh  
echo "fixedPassword$1" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 
--user poxvuibr 
--passwd-on-stdin 
--background 
--script "./bin/vpn-slice 192.168.430.0/24  jira.vpn.evilcorp.com git.vpn.evilcorp.com " vpn.evilcorp.com  

লগগুলি কোথায় যায় তা এখন স্পষ্ট নয়। সাধারণভাবে, আমাদের সত্যিই লগের প্রয়োজন নেই, কিন্তু আপনি কখনই জানেন না। openconnect তাদের syslog এ পুনঃনির্দেশ করতে পারে, যেখানে তাদের নিরাপদ ও সুরক্ষিত রাখা হবে। আপনাকে কমান্ডে –syslog সুইচ যোগ করতে হবে

#!/bin/sh  
echo "fixedPassword$1" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 
--user poxvuibr 
--passwd-on-stdin 
--background 
--syslog 
--script "./bin/vpn-slice 192.168.430.0/24  jira.vpn.evilcorp.com git.vpn.evilcorp.com " vpn.evilcorp.com  

এবং তাই, দেখা যাচ্ছে যে openconnect ব্যাকগ্রাউন্ডে কোথাও কাজ করছে এবং কাউকে বিরক্ত করে না, তবে কীভাবে এটি বন্ধ করা যায় তা পরিষ্কার নয়। অর্থাৎ, আপনি অবশ্যই, grep ব্যবহার করে ps আউটপুট ফিল্টার করতে পারেন এবং এমন একটি প্রক্রিয়া সন্ধান করতে পারেন যার নামে openconnect রয়েছে, তবে এটি একরকম ক্লান্তিকর। লেখকদের ধন্যবাদ যারা এই বিষয়েও চিন্তা করেছেন। Openconnect-এর একটি কী -pid-file আছে, যার সাহায্যে আপনি openconnectকে একটি ফাইলে তার প্রক্রিয়া শনাক্তকারী লিখতে নির্দেশ দিতে পারেন।

#!/bin/sh  
echo "fixedPassword$1" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 
--user poxvuibr 
--passwd-on-stdin 
--background  
--syslog 
--script "./bin/vpn-slice 192.168.430.0/24  jira.vpn.evilcorp.com git.vpn.evilcorp.com " vpn.evilcorp.com  
--pid-file ~/vpn-pid

এখন আপনি সর্বদা কমান্ড দিয়ে একটি প্রক্রিয়া হত্যা করতে পারেন

kill $(cat ~/vpn-pid)

যদি কোন প্রক্রিয়া না থাকে, হত্যা অভিশাপ দেবে, কিন্তু একটি ত্রুটি নিক্ষেপ করবে না। যদি ফাইলটি সেখানে না থাকে, তাহলে খারাপ কিছুই ঘটবে না, তাই আপনি স্ক্রিপ্টের প্রথম লাইনে প্রক্রিয়াটিকে নিরাপদে মেরে ফেলতে পারেন।

kill $(cat ~/vpn-pid)
#!/bin/sh  
echo "fixedPassword$1" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 
--user poxvuibr 
--passwd-on-stdin 
--background 
--syslog 
--script "./bin/vpn-slice 192.168.430.0/24  jira.vpn.evilcorp.com git.vpn.evilcorp.com " vpn.evilcorp.com  
--pid-file ~/vpn-pid

এখন আপনি আপনার কম্পিউটার চালু করতে পারেন, কনসোলটি খুলতে পারেন এবং কমান্ডটি চালাতে পারেন, এটিকে Google প্রমাণীকরণকারী থেকে কোড পাস করে৷ কনসোল তারপর নিচে পেরেক করা যেতে পারে.

ভিপিএন-স্লাইস ছাড়া। একটি আফটারওয়ার্ডের পরিবর্তে

ভিপিএন-স্লাইস ছাড়া কীভাবে বাঁচবেন তা বোঝা খুব কঠিন হয়ে উঠেছে। আমাকে অনেক পড়তে এবং গুগল করতে হয়েছিল। সৌভাগ্যবশত, একটি সমস্যা নিয়ে এত সময় কাটানোর পরে, প্রযুক্তিগত ম্যানুয়াল এবং এমনকি ম্যান ওপেনকানেক্ট উত্তেজনাপূর্ণ উপন্যাসের মতো পড়ে।

ফলস্বরূপ, আমি খুঁজে পেয়েছি যে ভিপিএন-স্লাইস, নেটিভ স্ক্রিপ্টের মতো, রাউটিং টেবিলটিকে আলাদা নেটওয়ার্কে পরিবর্তন করে।

রাউটিং টেবিল

সহজভাবে বলতে গেলে, এটি প্রথম কলামের একটি টেবিল যেখানে লিনাক্স যে ঠিকানা দিয়ে যেতে চায় তা দিয়ে শুরু করা উচিত এবং দ্বিতীয় কলামে কোন নেটওয়ার্ক অ্যাডাপ্টারের মাধ্যমে এই ঠিকানায় যেতে হবে। আসলে, আরো স্পিকার আছে, কিন্তু এটি সারাংশ পরিবর্তন করে না।

রাউটিং টেবিল দেখার জন্য, আপনাকে আইপি রুট কমান্ড চালাতে হবে

default via 192.168.1.1 dev wlp3s0 proto dhcp metric 600 
192.168.430.0/24 dev tun0 scope link 
192.168.1.0/24 dev wlp3s0 proto kernel scope link src 192.168.1.534 metric 600 
192.168.430.534 dev tun0 scope link 

এখানে, প্রতিটি লাইন কোন ঠিকানায় একটি বার্তা পাঠাতে আপনাকে যেখানে যেতে হবে তার জন্য দায়ী। প্রথমটি ঠিকানাটি কোথায় শুরু করা উচিত তার একটি বিবরণ। 192.168.0.0/16 এর অর্থ হল যে ঠিকানাটি 192.168 দিয়ে শুরু করা উচিত তা কীভাবে নির্ধারণ করবেন তা বোঝার জন্য, আপনাকে একটি IP ঠিকানা মাস্ক কী তা গুগল করতে হবে। dev এর পরে অ্যাডাপ্টারের নাম রয়েছে যেখানে বার্তা পাঠানো উচিত।

ভিপিএন-এর জন্য, লিনাক্স একটি ভার্চুয়াল অ্যাডাপ্টার তৈরি করেছে - tun0। লাইনটি নিশ্চিত করে যে 192.168 দিয়ে শুরু হওয়া সমস্ত ঠিকানার জন্য ট্র্যাফিক এর মধ্য দিয়ে যায়

192.168.0.0/16 dev tun0 scope link 

আপনি কমান্ড ব্যবহার করে রাউটিং টেবিলের বর্তমান অবস্থা দেখতে পারেন রুট- n (IP ঠিকানাগুলি চতুরভাবে বেনামী করা হয়েছে) এই কমান্ডটি একটি ভিন্ন আকারে ফলাফল তৈরি করে এবং সাধারণত অবমূল্যায়ন করা হয়, তবে এর আউটপুট প্রায়শই ইন্টারনেটে ম্যানুয়ালগুলিতে পাওয়া যায় এবং আপনাকে এটি পড়তে সক্ষম হতে হবে।

গন্তব্য এবং জেনমাস্ক কলামের সংমিশ্রণ থেকে একটি রুটের আইপি ঠিকানাটি কোথায় শুরু হবে তা বোঝা যায়। আইপি অ্যাড্রেসের যে অংশগুলি জেনমাস্কের 255 নম্বরের সাথে মিলে যায় সেগুলিকে বিবেচনায় নেওয়া হয়, কিন্তু যেখানে 0 আছে সেগুলি নেই৷ অর্থাৎ, গন্তব্য 192.168.0.0 এবং জেনমাস্ক 255.255.255.0 এর সংমিশ্রণটির অর্থ হল যদি ঠিকানাটি 192.168.0 দিয়ে শুরু হয়, তবে এটির অনুরোধটি এই পথ ধরে যাবে। এবং যদি গন্তব্য 192.168.0.0 কিন্তু জেনমাস্ক 255.255.0.0 হয়, তাহলে 192.168 দিয়ে শুরু হওয়া ঠিকানাগুলির অনুরোধগুলি এই রুট বরাবর যাবে

ভিপিএন-স্লাইস আসলে কী করে তা বোঝার জন্য, আমি আগে এবং পরে টেবিলের অবস্থা দেখার সিদ্ধান্ত নিয়েছি

ভিপিএন চালু করার আগে এটি এরকম ছিল

route -n 

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         222.222.222.1   0.0.0.0         UG    600    0        0 wlp3s0
222.222.222.0   0.0.0.0         255.255.255.0   U     600    0        0 wlp3s0
333.333.333.333 222.222.222.1   255.255.255.255 UGH   0      0        0 wlp3s0

ভিপিএন-স্লাইস ছাড়া openconnect কল করার পরে এটি এরকম হয়ে গেল

route -n

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 tun0
0.0.0.0         222.222.222.1   0.0.0.0         UG    600    0        0 wlp3s0
222.222.222.0   0.0.0.0         255.255.255.0   U     600    0        0 wlp3s0
333.333.333.333 222.222.222.1   255.255.255.255 UGH   0      0        0 wlp3s0
192.168.430.0   0.0.0.0         255.255.255.0   U     0      0        0 tun0
192.168.430.534 0.0.0.0         255.255.255.255 UH    0      0        0 tun0

আর ওপেন কানেক্ট কল করার পর ভিপিএন-স্লাইস এর সাথে মিলিয়ে নিন এভাবে

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         222.222.222.1   0.0.0.0         UG    600    0        0 wlp3s0
222.222.222.0   0.0.0.0         255.255.255.0   U     600    0        0 wlp3s0
333.333.333.333 222.222.222.1   255.255.255.255 UGH   0      0        0 wlp3s0
192.168.430.0   0.0.0.0         255.255.255.0   U     0      0        0 tun0
192.168.430.534 0.0.0.0         255.255.255.255 UH    0      0        0 tun0

এটা দেখা যায় যে আপনি যদি ভিপিএন-স্লাইস ব্যবহার না করেন, তাহলে ওপেনকানেক্ট স্পষ্টভাবে লিখেছে যে বিশেষভাবে নির্দেশিত ঠিকানাগুলি ছাড়া, ভিপিএন-এর মাধ্যমে অ্যাক্সেস করতে হবে।

এখানেই:

0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 tun0

সেখানে, এর পাশে, অন্য একটি পথ অবিলম্বে নির্দেশিত হয়, যা অবশ্যই ব্যবহার করতে হবে যদি লিনাক্স যে ঠিকানাটি দিয়ে যাওয়ার চেষ্টা করছে তা টেবিলের কোনও মুখোশের সাথে মেলে না।

0.0.0.0         222.222.222.1   0.0.0.0         UG    600    0        0 wlp3s0

এটি ইতিমধ্যে এখানে লেখা আছে যে এই ক্ষেত্রে আপনাকে একটি স্ট্যান্ডার্ড ওয়াই-ফাই অ্যাডাপ্টার ব্যবহার করতে হবে।

আমি বিশ্বাস করি যে VPN পাথ ব্যবহার করা হয়েছে কারণ এটি রাউটিং টেবিলে প্রথম।

এবং তাত্ত্বিকভাবে, আপনি যদি রাউটিং টেবিল থেকে এই ডিফল্ট পথটি সরিয়ে দেন, তাহলে dnsmasq openconnect-এর সাথে একত্রে স্বাভাবিক অপারেশন নিশ্চিত করা উচিত।

আমি চেষ্টা করেছিলাম

route del default

এবং সবকিছু কাজ করেছে।

ভিপিএন-স্লাইস ছাড়াই একটি মেল সার্ভারে রাউটিং অনুরোধ

কিন্তু আমার কাছে 555.555.555.555 ঠিকানা সহ একটি মেল সার্ভারও রয়েছে, যা ভিপিএন-এর মাধ্যমেও অ্যাক্সেস করতে হবে। এটির রুটটিও ম্যানুয়ালি যোগ করতে হবে।

ip route add 555.555.555.555 via dev tun0

এবং এখন সবকিছু ঠিক আছে। তাই আপনি ভিপিএন-স্লাইস ছাড়া করতে পারেন, তবে আপনি কী করছেন তা আপনাকে ভালভাবে জানতে হবে। আমি এখন ভাবছি যে ডিফল্ট রুটটি সরাতে এবং ভিপিএন-এর সাথে সংযোগ করার পরে মেইলারের জন্য একটি রুট যোগ করার জন্য নেটিভ ওপেনকানেক্ট স্ক্রিপ্টের শেষ লাইনে যোগ করব কিনা, যাতে আমার বাইকের চলমান অংশগুলি কম থাকে।

সম্ভবত, এই পরবর্তী শব্দটি একজনের পক্ষে কীভাবে একটি VPN সেট আপ করতে হয় তা বোঝার জন্য যথেষ্ট হবে। কিন্তু যখন আমি কী এবং কীভাবে করব তা বোঝার চেষ্টা করছিলাম, আমি লেখকের জন্য কাজ করে এমন অনেকগুলি গাইড পড়েছিলাম, কিন্তু কিছু কারণে আমার জন্য কাজ করে না, এবং আমি এখানে পাওয়া সমস্ত টুকরো যোগ করার সিদ্ধান্ত নিয়েছি। আমি যে মত কিছু সম্পর্কে খুব খুশি হবে.

উত্স: www.habr.com