ProHoster > Blog > Rianachd > Mar a cheanglas tu ri VPN corporra ann an Linux a’ cleachdadh openconnect agus vpn-slice

Mar a cheanglas tu ri VPN corporra ann an Linux a’ cleachdadh openconnect agus vpn-slice

A bheil thu airson Linux a chleachdadh aig an obair, ach cha leig an VPN corporra agad leat? An uairsin is dòcha gun cuidich an artaigil seo, ged nach eil seo cinnteach. Bu mhath leam rabhadh a thoirt dhut ro-làimh nach eil mi a 'tuigsinn cùisean rianachd lìonra gu math, agus mar sin tha e comasach gun do rinn mi a h-uile càil ceàrr. Air an làimh eile, tha e comasach gun urrainn dhomh iùl a sgrìobhadh ann an dòigh a bhios e furasta a thuigsinn do dhaoine àbhaisteach, agus mar sin tha mi a ’toirt comhairle dhut feuchainn air.

Tha tòrr fiosrachaidh neo-riatanach san artaigil, ach às aonais an eòlais seo cha bhithinn air a bhith comasach air fuasgladh fhaighinn air na duilgheadasan a nochd dhomh gun dùil le stèidheachadh VPN. Tha mi a’ smaoineachadh gum bi duilgheadasan aig duine sam bith a dh’fheuchas ris an iùl seo a chleachdadh nach robh agam, agus tha mi an dòchas gun cuidich am fiosrachadh a bharrachd seo na duilgheadasan sin fhuasgladh leotha fhèin.

Feumaidh a’ mhòr-chuid de na h-òrdughan a thathar a’ cleachdadh san stiùireadh seo a bhith air an ruith tro sudo, a chaidh a thoirt air falbh airson giorrad. Cùm ann an inntinn.

Tha a’ mhòr-chuid de sheòlaidhean IP air am bacadh gu mòr, mar sin ma chì thu seòladh mar 435.435.435.435, feumaidh IP àbhaisteach a bhith ann, a tha sònraichte don chùis agad.

Tha Ubuntu 18.04 agam, ach tha mi a’ smaoineachadh le atharrachaidhean beaga gum faodar an stiùireadh a chuir an sàs ann an sgaoilidhean eile. Ach, anns an teacsa seo Linux == Ubuntu.

Cisco ceangail

Faodaidh an fheadhainn a tha air Windows no MacOS ceangal ris an VPN corporra againn tro Cisco Connect, a dh’ fheumas an seòladh geata a shònrachadh agus, gach uair a nì thu ceangal, cuir a-steach facal-faire anns a bheil pàirt stèidhichte agus còd air a chruthachadh le Google Authenticator.

A thaobh Linux, cha b’ urrainn dhomh Cisco Connect a ruith, ach fhuair mi air adhart gu google moladh airson openconnect a chleachdadh, a chaidh a dhèanamh gu sònraichte airson Cisco Connect a chuir na àite.

Fosgail ceangal

Gu teòiridheach, tha eadar-aghaidh grafaigeach sònraichte aig Ubuntu airson openconnect, ach cha do dh’ obraich e dhòmhsa. Is dòcha gu bheil e airson na b’ fheàrr.

Air Ubuntu, tha openconnect air a chuir a-steach bhon mhanaidsear pacaid.

apt install openconnect

Dìreach às deidh an stàladh, faodaidh tu feuchainn ri ceangal ri VPN

openconnect --user poxvuibr vpn.evilcorp.com

Is e vpn.evilcorp.com seòladh VPN meallta
poxvuibr - ainm neach-cleachdaidh meallta

Iarraidh openconnect ort facal-faire a chuir a-steach, a tha, leig dhomh do chuimhneachadh, air a dhèanamh suas de phàirt stèidhichte agus còd bho Google Authenticator, agus an uairsin feuchaidh e ri ceangal ris an vpn. Ma tha e ag obair, meala-naidheachd, faodaidh tu sgiobadh gu sàbhailte air a 'mheadhan, a tha gu math pian, agus gluais air adhart chun a' phuing mu bhith a 'ruith openconnect air a' chùl. Mura obraich e, faodaidh tu leantainn air adhart. Ged ma dh 'obraich e nuair a bha e a' ceangal, mar eisimpleir, bho aoigh Wi-Fi aig an obair, is dòcha gum bi e ro thràth airson gàirdeachas a dhèanamh; bu chòir dhut feuchainn ris a 'mhodh-obrachaidh ath-aithris bhon dachaigh.

Teisteanas

Tha coltachd àrd ann nach tòisich dad, agus seallaidh toradh openconnect rudeigin mar seo:

POST https://vpn.evilcorp.com/
Connected to 777.777.777.777:443
SSL negotiation with vpn.evilcorp.com
Server certificate verify failed: signer not found

Certificate from VPN server "vpn.evilcorp.com" failed verification.
Reason: signer not found
To trust this server in future, perhaps add this to your command line:
    --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444
Enter 'yes' to accept, 'no' to abort; anything else to view: fgets (stdin): Operation now in progress

Air an aon làimh, tha seo mì-thlachdmhor, oir cha robh ceangal sam bith ris an VPN, ach air an làimh eile, tha e soilleir mar a chuireas tu an duilgheadas seo air dòigh.

An seo chuir am frithealaiche teisteanas thugainn, leis an urrainn dhuinn dearbhadh gu bheil an ceangal ga dhèanamh ri frithealaiche ar corporra dùthchasach, agus chan ann ri sgamadair olc, agus chan eil fios aig an t-siostam air an teisteanas seo. Agus mar sin chan urrainn dhi dèanamh cinnteach a bheil an frithealaiche fìor no nach eil. Agus mar sin, dìreach gun fhios nach stad e ag obair.

Gus an urrainn do openconnect ceangal ris an fhrithealaiche, feumaidh tu innse gu soilleir dè an teisteanas a bu chòir a thighinn bhon t-seirbheisiche VPN a’ cleachdadh an iuchair -servercert

Agus gheibh thu a-mach dè an teisteanas a chuir am frithealaiche thugainn gu dìreach bhon rud a chaidh a chlò-bhualadh le openconnect. Seo agaibh bhon phìos seo:

To trust this server in future, perhaps add this to your command line:
    --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444
Enter 'yes' to accept, 'no' to abort; anything else to view: fgets (stdin): Operation now in progress

Leis an àithne seo faodaidh tu feuchainn ri ceangal a-rithist

openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 --user poxvuibr vpn.evilcorp.com

Is dòcha a-nis gu bheil e ag obair, faodaidh tu gluasad air adhart chun deireadh. Ach gu pearsanta, sheall Ubuntu dhomh fige san fhoirm seo

POST https://vpn.evilcorp.com/
Connected to 777.777.777.777:443
SSL negotiation with vpn.evilcorp.com
Server certificate verify failed: signer not found
Connected to HTTPS on vpn.evilcorp.com
XML POST enabled
Please enter your username and password.
POST https://vpn.evilcorp.com/
Got CONNECT response: HTTP/1.1 200 OK
CSTP connected. DPD 300, Keepalive 30
Set up DTLS failed; using SSL instead
Connected as 192.168.333.222, using SSL
NOSSSSSHHHHHHHDDDDD
3
NOSSSSSHHHHHHHDDDDD
3
RTNETLINK answers: File exists
/etc/resolvconf/update.d/libc: Warning: /etc/resolv.conf is not a symbolic link to /run/resolvconf/resolv.conf

/etc/resolv.conf

# Generated by NetworkManager
search gst.evilcorpguest.com
nameserver 127.0.0.53

/run/resolvconf/resolv.conf

# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
# 127.0.0.53 is the systemd-resolved stub resolver.
# run "systemd-resolve --status" to see details about the actual nameservers.

nameserver 192.168.430.534
nameserver 127.0.0.53
search evilcorp.com gst.publicevilcorp.com

fuasglaidh habr.com, ach chan urrainn dhut a dhol ann. Chan eil seòlaidhean mar jira.evilcorp.com air am fuasgladh idir.

Chan eil na thachair an seo soilleir dhomh. Ach tha deuchainn a’ sealltainn ma chuireas tu an loidhne ri /etc/resolv.conf

nameserver 192.168.430.534

an uairsin tòisichidh na seòlaidhean taobh a-staigh an VPN a ’fuasgladh gu draoidheil agus faodaidh tu coiseachd troimhe, is e sin, na tha DNS a’ sireadh gus seòlaidhean fhuasgladh a ’coimhead gu sònraichte ann an /etc/resolv.conf, agus chan ann an àiteigin eile.

Faodaidh tu dearbhadh gu bheil ceangal ris an VPN agus bidh e ag obair gun atharrachadh sam bith a dhèanamh air /etc/resolv.conf; gus seo a dhèanamh, dìreach cuir a-steach sa bhrobhsair chan e ainm samhlachail a’ ghoireas bhon VPN, ach an seòladh IP aige

Mar thoradh air an sin, tha dà dhuilgheadas ann

  • Nuair a nì thu ceangal ri VPN, chan eil na dns aige air an togail
  • bidh a h-uile trafaic a’ dol tro VPN, nach leig le ruigsinneachd air an eadar-lìn

Innsidh mi dhut dè a nì thu a-nis, ach an toiseach beagan fèin-ghluasad.

Inntrigeadh fèin-ghluasadach den phàirt stèidhichte den fhacal-fhaire

Ron àm seo, tha e coltach gu bheil thu air am facal-faire agad a chuir a-steach co-dhiù còig tursan agus tha am modh-obrach seo air do shàrachadh mu thràth. An toiseach, leis gu bheil am facal-faire fada, agus san dàrna h-àite, oir nuair a thig thu a-steach feumaidh tu freagairt taobh a-staigh ùine stèidhichte

Cha deach am fuasgladh mu dheireadh don duilgheadas a thoirt a-steach don artaigil, ach faodaidh tu dèanamh cinnteach nach fheum am pàirt stèidhichte den fhacal-fhaire a chuir a-steach iomadh uair.

Canaidh sinn gu bheil am pàirt stèidhichte den fhacal-fhaire suidhichtePassword, agus is e am pàirt bho Google Authenticator 567. Faodar am facal-faire gu lèir a chuir gu openconnect tro in-chur àbhaisteach a’ cleachdadh an argamaid --passwd-on-stdin .

echo "fixedPassword567987" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 --user poxvuibr vpn.evilcorp.com --passwd-on-stdin

A-nis faodaidh tu an-còmhnaidh tilleadh chun àithne mu dheireadh a chaidh a chuir a-steach agus dìreach pàirt de Google Authenticator atharrachadh an sin.

Cha leig VPN corporra leat surfadh air an eadar-lìn.

San fharsaingeachd, chan eil e gu math mì-ghoireasach nuair a dh'fheumas tu coimpiutair air leth a chleachdadh airson a dhol gu Habr. Mar as trice faodaidh neo-chomas lethbhreac-pas a dhèanamh bho stackoverfow obair pairilis, agus mar sin feumar rudeigin a dhèanamh.

Feumaidh sinn dòigh air choireigin a chuir air dòigh gus am bi Linux a’ dol chun VPN nuair a dh’ fheumas tu faighinn gu goireas bhon lìonra a-staigh, agus nuair a dh’ fheumas tu a dhol gu Habr, thèid e chun eadar-lìn.

Bidh openconnect, às deidh dha ceangal a chuir air bhog agus a stèidheachadh le vpn, a’ cur an gnìomh sgriobt sònraichte, a tha suidhichte ann an /usr/share/vpnc-scripts/vpnc-script. Thèid cuid de chaochladairean a chuir chun sgriobt mar chuir a-steach, agus bidh e a’ rèiteachadh an VPN. Gu mì-fhortanach, cha b’ urrainn dhomh obrachadh a-mach ciamar a roinneadh sruthan trafaic eadar VPN corporra agus an còrr den eadar-lìn a’ cleachdadh sgriobt dùthchasach.

A rèir coltais, chaidh an goireas vpn-slice a leasachadh gu sònraichte dha daoine mar mise, a leigeas leat trafaic a chuir tro dhà sheanail gun a bhith a’ dannsa le tambourine. Uill, is e sin, feumaidh tu dannsa, ach chan fheum thu a bhith nad shaman.

Dealachadh trafaic a’ cleachdadh vpn-slice

An toiseach, feumaidh tu vpn-slice a chuir a-steach, feumaidh tu seo a dhèanamh a-mach thu fhèin. Ma tha ceistean anns na beachdan, sgrìobhaidh mi post air leth mu dheidhinn seo. Ach is e prògram Python cunbhalach a tha seo, agus mar sin cha bu chòir duilgheadasan a bhith ann. Stàlaich mi a’ cleachdadh virtualenv.

Agus an uairsin feumar an goireas a chuir an sàs, a’ cleachdadh an tionndadh -script, a’ nochdadh gus openconnect gum feum thu vpn-slice a chleachdadh an àite an sgriobt àbhaisteach.

echo "fixedPassword567987" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 --user poxvuibr --passwd-on-stdin 
--script "./bin/vpn-slice 192.168.430.0/24  " vpn.evilcorp.com

Thèid --script a thoirt seachad le sreang le àithne a dh'fheumas a bhith air a ghairm an àite an sgriobt. ./bin/vpn-slice - slighe chun fhaidhle so-ghnìomhaichte vpn-slice 192.168.430.0/24 - masg de sheòlaidhean airson a dhol ann an vpn. An seo, tha sinn a 'ciallachadh ma thòisicheas an seòladh le 192.168.430, feumar an goireas leis an t-seòladh seo a rannsachadh taobh a-staigh an VPN

Bu chòir don t-suidheachadh a bhith cha mhòr àbhaisteach a-nis. Cha mhòr. A-nis faodaidh tu a dhol gu Habr agus faodaidh tu a dhol chun ghoireas in-chorporra le ip, ach chan urrainn dhut a dhol chun ghoireas in-chorporra le ainm samhlachail. Ma shònraicheas tu maids eadar an t-ainm samhlachail agus an seòladh ann an luchd-aoigheachd, bu chòir a h-uile càil obrachadh. Agus obraich gus an atharraich an seòladh ip. Faodaidh Linux a-nis faighinn chun eadar-lìn no air an eadra-lìon, a rèir an IP. Ach tha DNS neo-chorporra fhathast air a chleachdadh gus an seòladh a dhearbhadh.

Faodaidh an duilgheadas nochdadh anns an fhoirm seo cuideachd - aig an obair tha a h-uile dad gu math, ach aig an taigh chan urrainn dhut ach faighinn gu goireasan corporra a-staigh tro IP. Tha seo air sgàth nuair a tha thu ceangailte ri Wi-Fi corporra, tha an DNS corporra air a chleachdadh cuideachd, agus tha seòlaidhean samhlachail bhon VPN air am fuasgladh ann, a dh’ aindeoin gu bheil e fhathast do-dhèanta a dhol gu seòladh mar sin gun a bhith a ’cleachdadh VPN.

Atharrachadh fèin-ghluasadach air faidhle an neach-aoigheachd

Ma thèid iarraidh air vpn-slice gu modhail, an uairsin às deidh dha an VPN àrdachadh, faodaidh e a dhol chun DNS aige, lorg an sin seòlaidhean IP nan goireasan riatanach leis na h-ainmean samhlachail aca agus cuir a-steach iad ann an luchd-aoigheachd. Às deidh an VPN a chuir dheth, thèid na seòlaidhean sin a thoirt air falbh bho luchd-aoigheachd. Gus seo a dhèanamh, feumaidh tu ainmean samhlachail a chuir gu vpn-slice mar argamaidean. Mar seo.

echo "fixedPassword567987" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 --user poxvuibr --passwd-on-stdin
--script "./bin/vpn-slice 192.168.430.0/24  jira.vpn.evilcorp.com git.vpn.evilcorp.com " vpn.evilcorp.com

A-nis bu chòir a h-uile dad obrachadh an dà chuid san oifis agus air an tràigh.

Lorg seòlaidhean gach subdomain anns an DNS a thug an VPN seachad

Mura h-eil mòran sheòlaidhean taobh a-staigh an lìonra, bidh an dòigh-obrach airson am faidhle aoigheachd atharrachadh gu fèin-ghluasadach ag obair gu math. Ach ma tha tòrr ghoireasan air an lìonra, feumaidh tu an-còmhnaidh loidhnichean mar zoidberg.test.evilcorp.com a chur ris an sgriobt is e zoidberg ainm aon de na beingean deuchainn.

Ach a-nis gu bheil sinn a 'tuigsinn beagan carson a dh' fhaodar an fheum seo a chuir às.

Ma sheallas tu, às deidh dhut an VPN àrdachadh, a-steach /etc/hosts, chì thu an loidhne seo

192.168.430.534 dns0.tun0 # vpn-slice-tun0 AUTOCREATED

Agus chaidh loidhne ùr a chur ri resolv.conf. Ann an ùine ghoirid, cho-dhùin vpn-slice dòigh air choireigin càite an robh am frithealaiche dns airson an vpn suidhichte.

A-nis feumaidh sinn dèanamh cinnteach, gus faighinn a-mach seòladh IP ainm àrainn a ’crìochnachadh ann an evilcorp.com, bidh Linux a’ dol chun DNS corporra, agus ma tha feum air rudeigin eile, an uairsin chun fhear bunaiteach.

Rinn mi Googled airson ùine mhòr agus lorg mi gu bheil an leithid de ghnìomhachd ri fhaighinn ann an Ubuntu a-mach às a’ bhogsa. Tha seo a’ ciallachadh an comas am frithealaiche DNS ionadail dnsmasq a chleachdadh gus ainmean fhuasgladh.

Is e sin, faodaidh tu dèanamh cinnteach gum bi Linux an-còmhnaidh a’ dol chun t-seirbheisiche DNS ionadail airson seòlaidhean IP, a choimheadas an uair sin, a rèir an ainm fearainn, airson an IP air an fhrithealaiche DNS taobh a-muigh co-fhreagarrach.

Gus a h-uile càil co-cheangailte ri lìonraidhean agus ceanglaichean lìonra a riaghladh, bidh Ubuntu a’ cleachdadh NetworkManager, agus tha an eadar-aghaidh grafaigeach airson taghadh, mar eisimpleir, ceanglaichean Wi-Fi dìreach na cheann-aghaidh dha.

Feumaidh sinn streap anns an rèiteachadh aige.

  1. Cruthaich faidhle ann /etc/NetworkManager/dnsmasq.d/evilcorp

seòladh =/.evilcorp.com/192.168.430.534

Thoir an aire don phuing air beulaibh evilcorp. Tha e a’ comharrachadh dnsmasq gum bu chòir a h-uile fo-àrainn de evilcorp.com a sgrùdadh anns na dns corporra.

  1. Iarr air NetworkManager dnsmasq a chleachdadh airson fuasgladh ainmean

Tha rèiteachadh an lìonra-manaidsear suidhichte ann an /etc/NetworkManager/NetworkManager.conf Feumaidh tu a chur ris an sin:

[prìomh] dns = dnsmasq

  1. Ath-thòisich NetworkManager

service network-manager restart

A-nis, às deidh dhut ceangal ri VPN a’ cleachdadh openconnect agus vpn-slice, thèid an ip a dhearbhadh gu h-àbhaisteach, eadhon ged nach cuir thu seòlaidhean samhlachail ris na h-argamaidean gu vpnslice.

Mar a gheibh thu cothrom air seirbheisean fa leth tro VPN

Às deidh dhomh ceangal a dhèanamh ris an VPN, bha mi glè thoilichte airson dà latha, agus an uairsin thionndaidh e a-mach ma cheanglas mi ris an VPN bho thaobh a-muigh lìonra oifis, nach obraich post. Tha an symptom eòlach, nach e?

Tha am post againn suidhichte ann am mail.publicevilcorp.com, a tha a’ ciallachadh nach eil e a’ tighinn fon riaghailt ann an dnsmasq agus thathas a’ sgrùdadh seòladh frithealaiche a’ phuist tro DNS poblach.

Uill, tha an oifis fhathast a’ cleachdadh DNS, anns a bheil an seòladh seo. Sin na bha mi a’ smaoineachadh. Gu dearbh, às deidh an loidhne a chuir ri dnsmasq

seòladh =/mail.publicevilcorp.com/192.168.430.534

chan eil an suidheachadh air atharrachadh idir. dh'fhan ip mar an ceudna. Bha agam ri dhol a dh’ obair.

Agus dìreach às deidh sin, nuair a rinn mi sgrùdadh nas doimhne air an t-suidheachadh agus a ’tuigsinn beagan mun duilgheadas, dh’ innis aon neach snasail dhomh mar a dh ’fhuasglas mi e. Bha e riatanach ceangal a dhèanamh ris an fhrithealaiche puist chan ann a-mhàin mar sin, ach tro VPN

Bidh mi a’ cleachdadh vpn-slice airson a dhol tron ​​​​VPN gu seòlaidhean a thòisicheas le 192.168.430. Agus chan e a-mhàin gu bheil seòladh samhlachail aig an fhrithealaiche puist nach eil na fho-roinn de evilcorp, chan eil seòladh IP aige a thòisicheas le 192.168.430. Agus gu dearbh chan eil e a’ leigeil le duine sam bith bhon lìonra choitcheann tighinn thuige.

Gus an tèid Linux tron ​​VPN agus chun an fhrithealaiche puist, feumaidh tu a chuir ri vpn-slice cuideachd. Canaidh sinn gur e seòladh a’ phostair 555.555.555.555

echo "fixedPassword567987" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 --user poxvuibr --passwd-on-stdin
--script "./bin/vpn-slice 555.555.555.555 192.168.430.0/24" vpn.evilcorp.com

Sgriobt airson àrdachadh VPN le aon argamaid

Tha seo uile, gu dearbh, chan eil e gu math goireasach. Faodaidh, faodaidh tu an teacsa a shàbhaladh gu faidhle agus a chopaigeadh a-steach don consol an àite a bhith ga thaidhpeadh le làimh, ach chan eil e fhathast glè thlachdmhor. Gus am pròiseas a dhèanamh nas fhasa, faodaidh tu an àithne a phasgadh ann an sgriobt a bhios suidhichte ann am PATH. Agus an uairsin cha leig thu a leas ach an còd a fhuaireadh bho Google Authenticator a chuir a-steach

#!/bin/sh  
echo "fixedPassword$1" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 --user poxvuibr --passwd-on-stdin 
--script "./bin/vpn-slice 192.168.430.0/24  jira.vpn.evilcorp.com git.vpn.evilcorp.com " vpn.evilcorp.com

Ma chuireas tu an sgriobt ann an connect ~ evilcorp ~ faodaidh tu dìreach sgrìobhadh sa chonsail

connect_evil_corp 567987

Ach a-nis feumaidh tu fhathast an consol a chumail anns a bheil openconnect a’ ruith fosgailte airson adhbhar air choireigin

A’ ruith openconnect air a’ chùl

Gu fortanach, thug ùghdaran openconnect aire dhuinn agus chuir iad iuchair shònraichte ris a’ phrògram -background, a bheir air a’ phrògram obrachadh air a’ chùl às deidh a chuir air bhog. Ma ruitheas tu e mar seo, faodaidh tu an consol a dhùnadh às deidh a chuir air bhog

#!/bin/sh  
echo "fixedPassword$1" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 
--user poxvuibr 
--passwd-on-stdin 
--background 
--script "./bin/vpn-slice 192.168.430.0/24  jira.vpn.evilcorp.com git.vpn.evilcorp.com " vpn.evilcorp.com

A-nis chan eil e soilleir càite an tèid na logaichean. San fharsaingeachd, chan eil feum againn air logaichean, ach chan eil fios agad a-riamh. Faodaidh openconnect an ath-stiùireadh gu syslog, far an tèid an cumail sàbhailte agus tèarainte. feumaidh tu an tionndadh -syslog a chur ris an àithne

#!/bin/sh  
echo "fixedPassword$1" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 
--user poxvuibr 
--passwd-on-stdin 
--background 
--syslog 
--script "./bin/vpn-slice 192.168.430.0/24  jira.vpn.evilcorp.com git.vpn.evilcorp.com " vpn.evilcorp.com

Agus mar sin, thionndaidh e a-mach gu bheil openconnect ag obair am badeigin air a’ chùl agus nach cuir e dragh air duine sam bith, ach chan eil e soilleir ciamar a chuireas tu stad air. Is e sin, faodaidh tu, gu dearbh, an toradh ps a shìoladh le bhith a’ cleachdadh grep agus coimhead airson pròiseas leis a bheil ainm openconnect, ach tha seo ann an dòigh air choireigin sgìth. Taing dha na h-ùghdaran a smaoinich air seo cuideachd. Tha prìomh -pid-file aig Openconnect, leis an urrainn dhut stiùireadh a thoirt do openconnect an aithnichear pròiseas aige a sgrìobhadh gu faidhle.

#!/bin/sh  
echo "fixedPassword$1" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 
--user poxvuibr 
--passwd-on-stdin 
--background  
--syslog 
--script "./bin/vpn-slice 192.168.430.0/24  jira.vpn.evilcorp.com git.vpn.evilcorp.com " vpn.evilcorp.com  
--pid-file ~/vpn-pid

A-nis faodaidh tu an-còmhnaidh pròiseas a mharbhadh leis an àithne

kill $(cat ~/vpn-pid)

Mura h-eil pròiseas ann, mallaichidh marbhadh, ach cha tilg e mearachd. Mura h-eil am faidhle ann, cha tachair dad dona an dàrna cuid, gus an urrainn dhut am pròiseas a mharbhadh gu sàbhailte sa chiad loidhne den sgriobt.

kill $(cat ~/vpn-pid)
#!/bin/sh  
echo "fixedPassword$1" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 
--user poxvuibr 
--passwd-on-stdin 
--background 
--syslog 
--script "./bin/vpn-slice 192.168.430.0/24  jira.vpn.evilcorp.com git.vpn.evilcorp.com " vpn.evilcorp.com  
--pid-file ~/vpn-pid

A-nis faodaidh tu do choimpiutair a thionndadh, an consol fhosgladh agus an àithne a ruith, a ’toirt seachad a’ chòd bho Google Authenticator. Faodar an consol a chuir sìos an uairsin.

Às aonais VPN-slice. An àite iar-fhacal

Bha e gu math duilich a thuigsinn mar a bhith beò às aonais VPN-slice. Bha agam ri tòrr a leughadh agus google. Gu fortanach, às deidh dha uimhir de ùine a chaitheamh le duilgheadas, leugh leabhraichean-làimhe teicnigeach agus eadhon fear openconnect mar nobhailean inntinneach.

Mar thoradh air an sin, fhuair mi a-mach gu bheil vpn-slice, mar an sgriobt dùthchasach, ag atharrachadh a’ bhòrd stiùiridh gu lìonraidhean a sgaradh.

Clàr stiùiridh

Gus a chuir gu sìmplidh, is e seo clàr anns a’ chiad cholbh anns a bheil cò ris a bu chòir an seòladh a tha Linux airson a dhol troimhe a thòiseachadh, agus anns an dàrna colbh dè an inneal-atharrachaidh lìonra a thèid troimhe aig an t-seòladh seo. Gu dearbh, tha barrachd luchd-labhairt ann, ach chan eil seo ag atharrachadh brìgh.

Gus an clàr slighe fhaicinn, feumaidh tu an àithne slighe ip a ruith

default via 192.168.1.1 dev wlp3s0 proto dhcp metric 600 
192.168.430.0/24 dev tun0 scope link 
192.168.1.0/24 dev wlp3s0 proto kernel scope link src 192.168.1.534 metric 600 
192.168.430.534 dev tun0 scope link

An seo, tha uallach air gach loidhne far am feum thu a dhol gus teachdaireachd a chuir gu seòladh air choireigin. Is e a’ chiad fhear cunntas air far am bu chòir don t-seòladh tòiseachadh. Gus tuigsinn mar a cho-dhùineas tu gu bheil 192.168.0.0/16 a 'ciallachadh gum bu chòir don t-seòladh tòiseachadh le 192.168, feumaidh tu google dè a th' ann am masg seòladh IP. Às deidh dev tha ainm an inneal-atharrachaidh ris am bu chòir an teachdaireachd a chuir.

Airson VPN, rinn Linux inneal-atharrachaidh brìgheil - tun0. Bidh an loidhne a 'dèanamh cinnteach gu bheil trafaig airson a h-uile seòladh a' tòiseachadh le 192.168 a 'dol troimhe

192.168.0.0/16 dev tun0 scope link

Faodaidh tu cuideachd coimhead air staid làithreach a’ chlàir stiùiridh a’ cleachdadh an àithne slighe (Tha seòlaidhean IP gu glic gun urra) Bidh an àithne seo a’ toirt a-mach toraidhean ann an cruth eadar-dhealaichte agus mar as trice chan eilear ga mholadh, ach gu tric lorgar an toradh aige ann an leabhraichean-làimhe air an eadar-lìn agus feumaidh tu a bhith comasach air a leughadh.

Far am bu chòir an seòladh IP airson slighe tòiseachadh faodar a thuigsinn bhon chothlamadh de na colbhan Ceann-uidhe agus Genmask. Thathas a’ toirt aire do na pàirtean sin den t-seòladh IP a tha a rèir àireamhan 255 ann an Genmask, ach chan eil an fheadhainn far a bheil 0. Is e sin, tha an cothlamadh de Ceann-uidhe 192.168.0.0 agus Genmask 255.255.255.0 a’ ciallachadh ma thòisicheas an seòladh le 192.168.0, gun tèid an t-iarrtas thuige air an t-slighe seo. Agus ma thèid Ceann-uidhe 192.168.0.0 ach Genmask 255.255.0.0, an uairsin thèid iarrtasan gu seòlaidhean a thòisicheas le 192.168 air an t-slighe seo

Gus faighinn a-mach dè dha-rìribh a bhios vpn-slice a’ dèanamh, chuir mi romham coimhead air staid nan clàran ro agus às deidh sin

Mus do thionndaidh e air an VPN bha e mar seo

route -n 

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         222.222.222.1   0.0.0.0         UG    600    0        0 wlp3s0
222.222.222.0   0.0.0.0         255.255.255.0   U     600    0        0 wlp3s0
333.333.333.333 222.222.222.1   255.255.255.255 UGH   0      0        0 wlp3s0

Às deidh dha openconnect a ghairm às aonais vpn-slice thàinig e gu bhith mar seo

route -n

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 tun0
0.0.0.0         222.222.222.1   0.0.0.0         UG    600    0        0 wlp3s0
222.222.222.0   0.0.0.0         255.255.255.0   U     600    0        0 wlp3s0
333.333.333.333 222.222.222.1   255.255.255.255 UGH   0      0        0 wlp3s0
192.168.430.0   0.0.0.0         255.255.255.0   U     0      0        0 tun0
192.168.430.534 0.0.0.0         255.255.255.255 UH    0      0        0 tun0

Agus às deidh dha openconnect a ghairm ann an co-bhonn ri vpn-slice mar seo

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         222.222.222.1   0.0.0.0         UG    600    0        0 wlp3s0
222.222.222.0   0.0.0.0         255.255.255.0   U     600    0        0 wlp3s0
333.333.333.333 222.222.222.1   255.255.255.255 UGH   0      0        0 wlp3s0
192.168.430.0   0.0.0.0         255.255.255.0   U     0      0        0 tun0
192.168.430.534 0.0.0.0         255.255.255.255 UH    0      0        0 tun0

Chìthear mura cleachd thu vpn-slice, gu bheil openconnect a’ sgrìobhadh gu soilleir gum feumar a h-uile seòladh, ach a-mhàin an fheadhainn a tha air an comharrachadh gu sònraichte, a ruigsinn tro vpn.

Dìreach an seo:

0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 tun0

An sin, ri thaobh, tha slighe eile air a chomharrachadh sa bhad, a dh'fheumar a chleachdadh mura h-eil an seòladh a tha Linux a 'feuchainn ri dhol troimhe a' freagairt ri masg sam bith bhon chlàr.

0.0.0.0         222.222.222.1   0.0.0.0         UG    600    0        0 wlp3s0

Tha e mu thràth air a sgrìobhadh an seo gum feum thu adapter àbhaisteach Wi-Fi a chleachdadh sa chùis seo.

Tha mi a 'creidsinn gu bheil an t-slighe VPN air a chleachdadh oir is e seo a' chiad fhear anns a 'chlàr slighe.

Agus gu teòiridheach, ma bheir thu air falbh an t-slighe àbhaisteach seo bhon chlàr slighe, an uairsin ann an co-bhonn ri dnsmasq openconnect bu chòir dhut dèanamh cinnteach à obrachadh àbhaisteach.

dh'fheuch mi

route del default

Agus dh'obraich a h-uile càil.

A’ cur iarrtasan gu frithealaiche puist às aonais vpn-slice

Ach tha frithealaiche puist agam cuideachd leis an t-seòladh 555.555.555.555, a dh’ fheumas faighinn thuige tro VPN cuideachd. Feumar an t-slighe thuige a chuir ris le làimh cuideachd.

ip route add 555.555.555.555 via dev tun0

Agus a-nis tha a h-uile dad gu math. Mar sin faodaidh tu a dhèanamh às aonais vpn-slice, ach feumaidh fios a bhith agad gu math dè a tha thu a’ dèanamh. Tha mi a-nis a’ smaoineachadh mu bhith a’ cur ris an loidhne mu dheireadh den sgriobt openconnect dùthchasach toirt air falbh an t-slighe bhunaiteach agus a’ cur slighe a-steach airson an mailer às deidh dhomh ceangal ris an vpn, dìreach gus am bi nas lugha de phàirtean gluasadach sa bhaidhc agam.

Is dòcha, bhiodh an iar-fhacal seo gu leòr airson cuideigin a thuigsinn mar a stèidhicheas tu VPN. Ach fhad ‘s a bha mi a’ feuchainn ri tuigsinn dè agus ciamar a nì mi, leugh mi tòrr de na stiùiridhean sin a tha ag obair don ùghdar, ach airson adhbhar air choireigin nach obraich dhomh, agus chuir mi romhpa na pìosan uile a lorg mi a chuir ris an seo. Bhithinn glè thoilichte mu dheidhinn rudeigin mar sin.

Source: www.habr.com

Cuir beachd ann