શું તમે કામ પર Linux નો ઉપયોગ કરવા માંગો છો, પરંતુ તમારું કોર્પોરેટ VPN તમને પરવાનગી આપશે નહીં? પછી આ લેખ મદદ કરી શકે છે, જો કે આ ચોક્કસ નથી. હું તમને અગાઉથી ચેતવણી આપવા માંગુ છું કે હું નેટવર્ક એડમિનિસ્ટ્રેશન સમસ્યાઓને સારી રીતે સમજી શકતો નથી, તેથી શક્ય છે કે મેં બધું ખોટું કર્યું છે. બીજી બાજુ, શક્ય છે કે હું એવી રીતે માર્ગદર્શિકા લખી શકું કે તે સામાન્ય લોકો માટે સમજી શકાય, તેથી હું તમને તેનો પ્રયાસ કરવાની સલાહ આપું છું.

લેખમાં ઘણી બધી બિનજરૂરી માહિતી છે, પરંતુ આ જ્ઞાન વિના હું VPN સેટ કરવા સાથે મને અણધારી રીતે દેખાતી સમસ્યાઓને હલ કરવામાં સક્ષમ ન હોત. મને લાગે છે કે જે કોઈ પણ આ માર્ગદર્શિકાનો ઉપયોગ કરવાનો પ્રયાસ કરશે તેને સમસ્યાઓ હશે જે મને ન હતી, અને હું આશા રાખું છું કે આ વધારાની માહિતી આ સમસ્યાઓને તેમના પોતાના પર ઉકેલવામાં મદદ કરશે.

આ માર્ગદર્શિકામાં ઉપયોગમાં લેવાતા મોટાભાગના આદેશોને sudo દ્વારા ચલાવવાની જરૂર છે, જે સંક્ષિપ્તતા માટે દૂર કરવામાં આવી છે. ધ્યાનમાં રાખો.

મોટાભાગના IP સરનામાં ગંભીર રીતે અસ્પષ્ટ કરવામાં આવ્યાં છે, તેથી જો તમે 435.435.435.435 જેવું સરનામું જુઓ છો, તો ત્યાં તમારા કેસ માટે વિશિષ્ટ, કેટલાક સામાન્ય IP હોવા જોઈએ.

મારી પાસે ઉબુન્ટુ 18.04 છે, પરંતુ મને લાગે છે કે નાના ફેરફારો સાથે માર્ગદર્શિકા અન્ય વિતરણો પર લાગુ કરી શકાય છે. જો કે, આ લખાણમાં Linux == Ubuntu.

સિસ્કો કનેક્ટ

જેઓ Windows અથવા MacOS પર છે તેઓ Cisco Connect દ્વારા અમારા કોર્પોરેટ VPN સાથે કનેક્ટ થઈ શકે છે, જેને ગેટવે સરનામું નિર્દિષ્ટ કરવાની જરૂર છે અને, જ્યારે પણ તમે કનેક્ટ કરો છો, ત્યારે એક નિશ્ચિત ભાગ અને Google પ્રમાણકર્તા દ્વારા જનરેટ કરાયેલ કોડનો પાસવર્ડ દાખલ કરો.

લિનક્સના કિસ્સામાં, હું સિસ્કો કનેક્ટ ચાલુ કરી શક્યો નથી, પરંતુ મેં ઓપનકનેક્ટનો ઉપયોગ કરવાની ભલામણને ગૂગલ કરવા માટે વ્યવસ્થાપિત કર્યું, જે ખાસ કરીને સિસ્કો કનેક્ટને બદલવા માટે બનાવવામાં આવ્યું હતું.

ઓપન કનેક્ટ

સિદ્ધાંતમાં, ઉબુન્ટુ પાસે ઓપનકનેક્ટ માટે ખાસ ગ્રાફિકલ ઇન્ટરફેસ છે, પરંતુ તે મારા માટે કામ કરતું નથી. કદાચ તે વધુ સારા માટે છે.

ઉબુન્ટુ પર, ઓપનકનેક્ટ પેકેજ મેનેજરમાંથી ઇન્સ્ટોલ કરેલું છે.

apt install openconnect

ઇન્સ્ટોલેશન પછી તરત જ, તમે VPN થી કનેક્ટ કરવાનો પ્રયાસ કરી શકો છો

openconnect --user poxvuibr vpn.evilcorp.com

vpn.evilcorp.com એ કાલ્પનિક VPNનું સરનામું છે
poxvuibr - કાલ્પનિક વપરાશકર્તા નામ

openconnect તમને પાસવર્ડ દાખલ કરવા માટે પૂછશે, જે, હું તમને યાદ કરાવું છું, જેમાં એક નિશ્ચિત ભાગ અને Google Authenticator તરફથી કોડનો સમાવેશ થાય છે, અને પછી તે vpn સાથે કનેક્ટ કરવાનો પ્રયાસ કરશે. જો તે કામ કરે છે, તો અભિનંદન, તમે સુરક્ષિત રીતે મધ્યમને છોડી શકો છો, જે ખૂબ પીડાદાયક છે, અને પૃષ્ઠભૂમિમાં ચાલી રહેલા ઓપનકનેક્ટ વિશેના મુદ્દા પર આગળ વધી શકો છો. જો તે કામ કરતું નથી, તો પછી તમે ચાલુ રાખી શકો છો. જો કે જો તે કનેક્ટ કરતી વખતે કામ કરે છે, ઉદાહરણ તરીકે, કામ પરના અતિથિ Wi-Fi થી, તો પછી આનંદ કરવો ખૂબ જ વહેલું હોઈ શકે છે; તમારે ઘરેથી પ્રક્રિયાને પુનરાવર્તિત કરવાનો પ્રયાસ કરવો જોઈએ.

પ્રમાણપત્ર

ત્યાં એક ઉચ્ચ સંભાવના છે કે કંઈપણ શરૂ થશે નહીં, અને ઓપનકનેક્ટ આઉટપુટ કંઈક આના જેવું દેખાશે:

POST https://vpn.evilcorp.com/
Connected to 777.777.777.777:443
SSL negotiation with vpn.evilcorp.com
Server certificate verify failed: signer not found

Certificate from VPN server "vpn.evilcorp.com" failed verification.
Reason: signer not found
To trust this server in future, perhaps add this to your command line:
    --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444
Enter 'yes' to accept, 'no' to abort; anything else to view: fgets (stdin): Operation now in progress

એક તરફ, આ અપ્રિય છે, કારણ કે VPN સાથે કોઈ કનેક્શન ન હતું, પરંતુ બીજી બાજુ, આ સમસ્યાને કેવી રીતે ઠીક કરવી તે, સૈદ્ધાંતિક રીતે, સ્પષ્ટ છે.

અહીં સર્વરે અમને એક પ્રમાણપત્ર મોકલ્યું છે, જેના દ્વારા અમે નિર્ધારિત કરી શકીએ છીએ કે કનેક્શન અમારા મૂળ કોર્પોરેશનના સર્વર સાથે કરવામાં આવી રહ્યું છે, અને કોઈ દુષ્ટ કપટ કરનાર સાથે નથી, અને આ પ્રમાણપત્ર સિસ્ટમ માટે અજાણ છે. અને તેથી તે ચકાસી શકતી નથી કે સર્વર વાસ્તવિક છે કે નહીં. અને તેથી, માત્ર કિસ્સામાં, તે કામ કરવાનું બંધ કરે છે.

ઓપનકનેક્ટને સર્વર સાથે કનેક્ટ કરવા માટે, તમારે તેને સ્પષ્ટપણે જણાવવાની જરૂર છે કે —servercert કીનો ઉપયોગ કરીને VPN સર્વરમાંથી કયું પ્રમાણપત્ર આવવું જોઈએ.

અને તમે શોધી શકો છો કે સર્વરે અમને કયું પ્રમાણપત્ર મોકલ્યું છે તે ઓપનકનેક્ટ પ્રિન્ટ કર્યું છે. આ ભાગમાંથી અહીં છે:

To trust this server in future, perhaps add this to your command line:
    --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444
Enter 'yes' to accept, 'no' to abort; anything else to view: fgets (stdin): Operation now in progress

આ આદેશ સાથે તમે ફરીથી કનેક્ટ કરવાનો પ્રયાસ કરી શકો છો

openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 --user poxvuibr vpn.evilcorp.com

કદાચ હવે તે કામ કરી રહ્યું છે, પછી તમે અંત તરફ આગળ વધી શકો છો. પરંતુ વ્યક્તિગત રીતે, ઉબુન્ટાએ મને આ સ્વરૂપમાં અંજીર બતાવ્યું

POST https://vpn.evilcorp.com/
Connected to 777.777.777.777:443
SSL negotiation with vpn.evilcorp.com
Server certificate verify failed: signer not found
Connected to HTTPS on vpn.evilcorp.com
XML POST enabled
Please enter your username and password.
POST https://vpn.evilcorp.com/
Got CONNECT response: HTTP/1.1 200 OK
CSTP connected. DPD 300, Keepalive 30
Set up DTLS failed; using SSL instead
Connected as 192.168.333.222, using SSL
NOSSSSSHHHHHHHDDDDD
3
NOSSSSSHHHHHHHDDDDD
3
RTNETLINK answers: File exists
/etc/resolvconf/update.d/libc: Warning: /etc/resolv.conf is not a symbolic link to /run/resolvconf/resolv.conf

/etc/resolv.conf

# Generated by NetworkManager
search gst.evilcorpguest.com
nameserver 127.0.0.53

/run/resolvconf/resolv.conf

# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
# 127.0.0.53 is the systemd-resolved stub resolver.
# run "systemd-resolve --status" to see details about the actual nameservers.

nameserver 192.168.430.534
nameserver 127.0.0.53
search evilcorp.com gst.publicevilcorp.com

habr.com ઉકેલશે, પરંતુ તમે ત્યાં જઈ શકશો નહીં. jira.evilcorp.com જેવા એડ્રેસ બિલકુલ ઉકેલાતા નથી.

અહીં શું થયું તે મને સ્પષ્ટ નથી. પરંતુ પ્રયોગ બતાવે છે કે જો તમે લીટીને /etc/resolv.conf માં ઉમેરો છો

nameserver 192.168.430.534

પછી VPN ની અંદરના સરનામાં જાદુઈ રીતે ઉકેલવા લાગશે અને તમે તેમાંથી પસાર થઈ શકો છો, એટલે કે, સરનામાંઓને ઉકેલવા માટે DNS જે શોધી રહ્યું છે તે ખાસ કરીને /etc/resolv.conf માં દેખાય છે, અને બીજે ક્યાંક નહીં.

તમે ચકાસી શકો છો કે VPN સાથે કનેક્શન છે અને તે /etc/resolv.conf માં કોઈપણ ફેરફાર કર્યા વિના કાર્ય કરે છે; આ કરવા માટે, ફક્ત બ્રાઉઝરમાં VPNમાંથી સંસાધનનું પ્રતીકાત્મક નામ નહીં, પરંતુ તેનું IP સરનામું દાખલ કરો.

પરિણામે, ત્યાં બે સમસ્યાઓ છે

• VPN સાથે કનેક્ટ કરતી વખતે, તેનો dns લેવામાં આવતો નથી
• તમામ ટ્રાફિક VPN મારફતે જાય છે, જે ઇન્ટરનેટને ઍક્સેસ કરવાની મંજૂરી આપતું નથી

હવે શું કરવું તે હું તમને કહીશ, પરંતુ પહેલા થોડું ઓટોમેશન.

પાસવર્ડના નિશ્ચિત ભાગની આપોઆપ એન્ટ્રી

અત્યાર સુધીમાં, તમે સંભવતઃ ઓછામાં ઓછા પાંચ વખત તમારો પાસવર્ડ દાખલ કર્યો હશે અને આ પ્રક્રિયા તમને પહેલેથી જ થાકી ગઈ હશે. પ્રથમ, કારણ કે પાસવર્ડ લાંબો છે, અને બીજું, કારણ કે દાખલ કરતી વખતે તમારે નિશ્ચિત સમયગાળામાં ફિટ થવાની જરૂર છે

સમસ્યાનો અંતિમ ઉકેલ લેખમાં શામેલ કરવામાં આવ્યો ન હતો, પરંતુ તમે ખાતરી કરી શકો છો કે પાસવર્ડનો નિશ્ચિત ભાગ ઘણી વખત દાખલ કરવાની જરૂર નથી.

ચાલો કહીએ કે પાસવર્ડનો નિશ્ચિત ભાગ fixedPassword છે, અને Google Authenticator નો ભાગ 567 987 છે. સમગ્ર પાસવર્ડ --passwd-on-stdin દલીલનો ઉપયોગ કરીને પ્રમાણભૂત ઇનપુટ દ્વારા ઓપનકનેક્ટમાં પસાર કરી શકાય છે.

echo "fixedPassword567987" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 --user poxvuibr vpn.evilcorp.com --passwd-on-stdin

હવે તમે છેલ્લા દાખલ કરેલા આદેશ પર સતત પાછા આવી શકો છો અને ત્યાં ફક્ત Google પ્રમાણકર્તાનો ભાગ બદલી શકો છો.

કોર્પોરેટ VPN તમને ઇન્ટરનેટ સર્ફ કરવાની મંજૂરી આપતું નથી.

સામાન્ય રીતે, જ્યારે તમારે હેબ્ર પર જવા માટે અલગ કમ્પ્યુટરનો ઉપયોગ કરવો પડે ત્યારે તે ખૂબ અસુવિધાજનક નથી. સ્ટેકઓવરફોમાંથી કોપી-પેસ્ટ કરવામાં અસમર્થતા સામાન્ય રીતે કામને લકવો કરી શકે છે, તેથી કંઈક કરવાની જરૂર છે.

અમારે તેને કોઈક રીતે ગોઠવવાની જરૂર છે જેથી જ્યારે તમારે આંતરિક નેટવર્કમાંથી કોઈ સંસાધનને ઍક્સેસ કરવાની જરૂર હોય, ત્યારે Linux VPN પર જાય, અને જ્યારે તમારે Habr પર જવાની જરૂર હોય, ત્યારે તે ઇન્ટરનેટ પર જાય.

openconnect, vpn સાથે જોડાણ શરૂ કર્યા પછી અને સ્થાપિત કર્યા પછી, એક ખાસ સ્ક્રિપ્ટ ચલાવે છે, જે /usr/share/vpnc-scripts/vpnc-script માં સ્થિત છે. કેટલાક ચલો ઇનપુટ તરીકે સ્ક્રિપ્ટમાં પસાર થાય છે, અને તે VPN ને ગોઠવે છે. કમનસીબે, હું મૂળ સ્ક્રિપ્ટનો ઉપયોગ કરીને કોર્પોરેટ VPN અને બાકીના ઈન્ટરનેટ વચ્ચે ટ્રાફિક ફ્લોને કેવી રીતે વિભાજિત કરવું તે સમજી શક્યો નથી.

દેખીતી રીતે, vpn-સ્લાઈસ ઉપયોગિતા ખાસ કરીને મારા જેવા લોકો માટે વિકસાવવામાં આવી હતી, જે તમને ખંજરી વડે નૃત્ય કર્યા વિના બે ચેનલો દ્વારા ટ્રાફિક મોકલવાની મંજૂરી આપે છે. સારું, એટલે કે, તમારે નૃત્ય કરવું પડશે, પરંતુ તમારે શામન બનવાની જરૂર નથી.

vpn-સ્લાઈસનો ઉપયોગ કરીને ટ્રાફિકનું વિભાજન

સૌપ્રથમ, તમારે vpn-સ્લાઈસ ઇન્સ્ટોલ કરવી પડશે, તમારે આ જાતે શોધી કાઢવું ​​પડશે. જો ટિપ્પણીઓમાં પ્રશ્નો હોય, તો હું આ વિશે એક અલગ પોસ્ટ લખીશ. પરંતુ આ એક નિયમિત પાયથોન પ્રોગ્રામ છે, તેથી કોઈ મુશ્કેલીઓ ન હોવી જોઈએ. મેં virtualenv નો ઉપયોગ કરીને ઇન્સ્ટોલ કર્યું.

અને પછી ઉપયોગિતા લાગુ થવી જોઈએ, -સ્ક્રિપ્ટ સ્વીચનો ઉપયોગ કરીને, ઓપનકનેક્ટને સૂચવે છે કે પ્રમાણભૂત સ્ક્રિપ્ટને બદલે, તમારે vpn-સ્લાઈસનો ઉપયોગ કરવાની જરૂર છે.

echo "fixedPassword567987" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 --user poxvuibr --passwd-on-stdin 
--script "./bin/vpn-slice 192.168.430.0/24  " vpn.evilcorp.com 

--script એ આદેશ સાથે સ્ટ્રિંગ પસાર થાય છે જેને સ્ક્રિપ્ટને બદલે કૉલ કરવાની જરૂર છે. ./bin/vpn-સ્લાઈસ - vpn-સ્લાઈસ એક્ઝિક્યુટેબલ ફાઈલનો પાથ 192.168.430.0/24 - vpn માં જવા માટે સરનામાનો માસ્ક. અહીં, અમારો મતલબ એ છે કે જો સરનામું 192.168.430 થી શરૂ થાય છે, તો આ સરનામા સાથેના સંસાધનને VPN ની અંદર શોધવાની જરૂર છે.

પરિસ્થિતિ હવે લગભગ સામાન્ય હોવી જોઈએ. લગભગ. હવે તમે Habr પર જઈ શકો છો અને તમે ip દ્વારા ઈન્ટ્રા-કોર્પોરેટ રિસોર્સ પર જઈ શકો છો, પરંતુ તમે સાંકેતિક નામ દ્વારા ઈન્ટ્રા-કોર્પોરેટ રિસોર્સ પર જઈ શકતા નથી. જો તમે યજમાનોમાં સાંકેતિક નામ અને સરનામા વચ્ચે મેચનો ઉલ્લેખ કરો છો, તો બધું કામ કરવું જોઈએ. અને ip બદલાય ત્યાં સુધી કામ કરો. Linux હવે IP પર આધાર રાખીને ઈન્ટરનેટ અથવા ઈન્ટ્રાનેટનો ઉપયોગ કરી શકે છે. પરંતુ નોન-કોર્પોરેટ DNS હજુ પણ સરનામું નક્કી કરવા માટે વપરાય છે.

સમસ્યા આ સ્વરૂપમાં પણ પ્રગટ થઈ શકે છે - કામ પર બધું સારું છે, પરંતુ ઘરે તમે ફક્ત IP દ્વારા આંતરિક કોર્પોરેટ સંસાધનોને ઍક્સેસ કરી શકો છો. આ એટલા માટે છે કારણ કે જ્યારે તમે કોર્પોરેટ Wi-Fi સાથે કનેક્ટ થાઓ છો, ત્યારે કોર્પોરેટ DNS નો પણ ઉપયોગ કરવામાં આવે છે, અને VPN ના સાંકેતિક સરનામાંઓ તેમાં ઉકેલવામાં આવે છે, તે હકીકત હોવા છતાં કે VPN નો ઉપયોગ કર્યા વિના આવા સરનામાં પર જવું હજી પણ અશક્ય છે.

યજમાનો ફાઈલમાં આપોઆપ ફેરફાર

જો vpn-સ્લાઈસને નમ્રતાપૂર્વક પૂછવામાં આવે, તો પછી VPN વધાર્યા પછી, તે તેના DNS પર જઈ શકે છે, ત્યાં તેમના સાંકેતિક નામો દ્વારા જરૂરી સંસાધનોના IP સરનામાં શોધી શકે છે અને તેમને હોસ્ટમાં દાખલ કરી શકે છે. VPN બંધ કર્યા પછી, આ સરનામાં હોસ્ટમાંથી દૂર કરવામાં આવશે. આ કરવા માટે, તમારે દલીલો તરીકે vpn-સ્લાઈસમાં પ્રતીકાત્મક નામો પસાર કરવાની જરૂર છે. આની જેમ.

echo "fixedPassword567987" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 --user poxvuibr --passwd-on-stdin
--script "./bin/vpn-slice 192.168.430.0/24  jira.vpn.evilcorp.com git.vpn.evilcorp.com " vpn.evilcorp.com 

હવે બધું ઓફિસમાં અને બીચ પર બંને કામ કરવું જોઈએ.

VPN દ્વારા આપવામાં આવેલ DNS માં તમામ સબડોમેન્સનાં સરનામાંઓ માટે શોધો

જો નેટવર્કમાં થોડા સરનામાં છે, તો હોસ્ટ ફાઇલને આપમેળે સંશોધિત કરવાનો અભિગમ ખૂબ સારી રીતે કાર્ય કરે છે. પરંતુ જો નેટવર્ક પર ઘણા બધા સંસાધનો છે, તો તમારે સ્ક્રિપ્ટમાં zoidberg.test.evilcorp.com જેવી લાઇન્સ ઉમેરવાની જરૂર પડશે zoidberg એ ટેસ્ટ બેન્ચમાંથી એકનું નામ છે.

પરંતુ હવે આપણે થોડું સમજીએ છીએ કે આ જરૂરિયાત શા માટે દૂર કરી શકાય છે.

જો, VPN વધાર્યા પછી, તમે /etc/hosts માં જુઓ, તો તમે આ લાઇન જોઈ શકો છો

192.168.430.534 dns0.tun0 # vpn-slice-tun0 ઑટોક્રિએટેડ

અને resolv.conf માં નવી લાઇન ઉમેરવામાં આવી હતી. ટૂંકમાં, vpn-સ્લાઈસ કોઈક રીતે નક્કી કરે છે કે vpn માટેનું dns સર્વર ક્યાં સ્થિત છે.

હવે આપણે એ સુનિશ્ચિત કરવાની જરૂર છે કે evilcorp.com પર સમાપ્ત થતા ડોમેન નામનું IP સરનામું શોધવા માટે, Linux કોર્પોરેટ DNS પર જાય છે, અને જો બીજું કંઈક જરૂરી હોય, તો ડિફોલ્ટ પર જાય છે.

મેં થોડા સમય માટે Googled કર્યું અને જાણવા મળ્યું કે આવી કાર્યક્ષમતા ઉબુન્ટુમાં બૉક્સની બહાર ઉપલબ્ધ છે. આનો અર્થ એ છે કે નામોને ઉકેલવા માટે સ્થાનિક DNS સર્વર dnsmasq નો ઉપયોગ કરવાની ક્ષમતા.

એટલે કે, તમે ખાતરી કરી શકો છો કે Linux હંમેશા IP સરનામાઓ માટે સ્થાનિક DNS સર્વર પર જાય છે, જે બદલામાં, ડોમેન નામના આધારે, સંબંધિત બાહ્ય DNS સર્વર પર IP શોધશે.

નેટવર્ક્સ અને નેટવર્ક કનેક્શન્સને લગતી દરેક વસ્તુને મેનેજ કરવા માટે, ઉબુન્ટુ નેટવર્ક મેનેજરનો ઉપયોગ કરે છે, અને પસંદ કરવા માટે ગ્રાફિકલ ઇન્ટરફેસનો ઉપયોગ કરે છે, ઉદાહરણ તરીકે, Wi-Fi કનેક્શન્સ તેનો આગળનો છેડો છે.

આપણે તેના રૂપરેખામાં ચઢી જવાની જરૂર પડશે.

1. /etc/NetworkManager/dnsmasq.d/evilcorp માં ફાઇલ બનાવો

address=/.evilcorp.com/192.168.430.534

evilcorp સામેના મુદ્દા પર ધ્યાન આપો. તે dnsmasq ને સંકેત આપે છે કે evilcorp.com ના તમામ સબડોમેન્સ કોર્પોરેટ dns માં શોધવા જોઈએ.

1. નેટવર્ક મેનેજરને નામ રીઝોલ્યુશન માટે dnsmasq નો ઉપયોગ કરવા કહો

નેટવર્ક-મેનેજર રૂપરેખાંકન /etc/NetworkManager/NetworkManager.conf માં સ્થિત છે તમારે ત્યાં ઉમેરવાની જરૂર છે:

[મુખ્ય] dns=dnsmasq

1. નેટવર્ક મેનેજરને પુનઃપ્રારંભ કરો

service network-manager restart

હવે, ઓપનકનેક્ટ અને vpn-સ્લાઈસનો ઉપયોગ કરીને VPN સાથે કનેક્ટ થયા પછી, ip સામાન્ય રીતે નક્કી કરવામાં આવશે, પછી ભલે તમે vpnslice માટે દલીલોમાં સાંકેતિક સરનામાં ન ઉમેરતા હોય.

VPN દ્વારા વ્યક્તિગત સેવાઓ કેવી રીતે ઍક્સેસ કરવી

હું VPN થી કનેક્ટ થવામાં વ્યવસ્થાપિત થયા પછી, હું બે દિવસ માટે ખૂબ જ ખુશ હતો, અને પછી તે બહાર આવ્યું કે જો હું ઑફિસ નેટવર્કની બહારથી VPN સાથે કનેક્ટ કરું, તો મેઇલ કામ કરતું નથી. લક્ષણ પરિચિત છે, તે નથી?

અમારો મેઇલ mail.publicevilcorp.com માં સ્થિત છે, જેનો અર્થ છે કે તે dnsmasq માં નિયમ હેઠળ આવતો નથી અને મેઇલ સર્વર સરનામું જાહેર DNS દ્વારા શોધવામાં આવે છે.

ઠીક છે, ઓફિસ હજુ પણ DNS નો ઉપયોગ કરે છે, જેમાં આ સરનામું છે. એવું મેં વિચાર્યું. હકીકતમાં, dnsmasq માં લીટી ઉમેર્યા પછી

address=/mail.publicevilcorp.com/192.168.430.534

પરિસ્થિતિ બિલકુલ બદલાઈ નથી. ip એ જ રહ્યો. મારે કામ પર જવું પડ્યું.

અને માત્ર પછી જ, જ્યારે મેં પરિસ્થિતિમાં ઊંડાણપૂર્વક તપાસ કરી અને સમસ્યાને થોડી સમજાઈ, ત્યારે એક સ્માર્ટ વ્યક્તિએ મને કહ્યું કે તેને કેવી રીતે હલ કરવી. તે મેલ સર્વર સાથે ફક્ત તે જ રીતે નહીં, પરંતુ VPN દ્વારા કનેક્ટ કરવું જરૂરી હતું

હું 192.168.430 થી શરૂ થતા સરનામાં પર VPN મારફતે જવા માટે vpn-સ્લાઈસનો ઉપયોગ કરું છું. અને મેલ સર્વર પાસે માત્ર એક સાંકેતિક સરનામું નથી કે જે evilcorpનું સબડોમેન નથી, તેની પાસે 192.168.430 થી શરૂ થતું IP સરનામું પણ નથી. અને અલબત્ત તે સામાન્ય નેટવર્કમાંથી કોઈને તેની પાસે આવવા દેતો નથી.

Linux ને VPN અને મેઇલ સર્વર પર જવા માટે, તમારે તેને vpn-સ્લાઈસમાં પણ ઉમેરવાની જરૂર છે. ચાલો કહીએ કે મેઈલરનું સરનામું 555.555.555.555 છે

echo "fixedPassword567987" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 --user poxvuibr --passwd-on-stdin
--script "./bin/vpn-slice 555.555.555.555 192.168.430.0/24" vpn.evilcorp.com 

એક દલીલ સાથે VPN વધારવા માટેની સ્ક્રિપ્ટ

આ બધું, અલબત્ત, ખૂબ અનુકૂળ નથી. હા, તમે ટેક્સ્ટને ફાઇલમાં સાચવી શકો છો અને તેને હાથથી ટાઇપ કરવાને બદલે કન્સોલમાં કૉપિ-પેસ્ટ કરી શકો છો, પરંતુ તે હજી પણ ખૂબ સુખદ નથી. પ્રક્રિયાને સરળ બનાવવા માટે, તમે આદેશને સ્ક્રિપ્ટમાં લપેટી શકો છો જે PATH માં સ્થિત હશે. અને પછી તમારે ફક્ત Google Authenticator તરફથી પ્રાપ્ત કોડ દાખલ કરવાની જરૂર પડશે

#!/bin/sh  
echo "fixedPassword$1" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 --user poxvuibr --passwd-on-stdin 
--script "./bin/vpn-slice 192.168.430.0/24  jira.vpn.evilcorp.com git.vpn.evilcorp.com " vpn.evilcorp.com 

જો તમે સ્ક્રિપ્ટને connect~evilcorp~માં મુકો છો તો તમે ખાલી કન્સોલમાં લખી શકો છો

connect_evil_corp 567987

પરંતુ હવે તમારે હજુ પણ કન્સોલ રાખવાનું છે જેમાં કોઈ કારણસર openconnect ઓપન ચાલી રહ્યું છે

પૃષ્ઠભૂમિમાં ઓપનકનેક્ટ ચાલી રહ્યું છે

સદનસીબે, ઓપનકનેક્ટના લેખકોએ અમારી કાળજી લીધી અને પ્રોગ્રામ -બેકગ્રાઉન્ડમાં એક ખાસ કી ઉમેરી, જે પ્રોગ્રામને લોન્ચ કર્યા પછી પૃષ્ઠભૂમિમાં કામ કરે છે. જો તમે તેને આ રીતે ચલાવો છો, તો તમે લોન્ચ કર્યા પછી કન્સોલ બંધ કરી શકો છો

#!/bin/sh  
echo "fixedPassword$1" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 
--user poxvuibr 
--passwd-on-stdin 
--background 
--script "./bin/vpn-slice 192.168.430.0/24  jira.vpn.evilcorp.com git.vpn.evilcorp.com " vpn.evilcorp.com  

હવે તે સ્પષ્ટ નથી કે લોગ ક્યાં જાય છે. સામાન્ય રીતે, અમને ખરેખર લોગની જરૂર નથી, પરંતુ તમે ક્યારેય જાણતા નથી. openconnect તેમને syslog પર રીડાયરેક્ટ કરી શકે છે, જ્યાં તેમને સુરક્ષિત અને સુરક્ષિત રાખવામાં આવશે. તમારે આદેશમાં –syslog સ્વીચ ઉમેરવાની જરૂર છે

#!/bin/sh  
echo "fixedPassword$1" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 
--user poxvuibr 
--passwd-on-stdin 
--background 
--syslog 
--script "./bin/vpn-slice 192.168.430.0/24  jira.vpn.evilcorp.com git.vpn.evilcorp.com " vpn.evilcorp.com  

અને તેથી, તે તારણ આપે છે કે ઓપનકનેક્ટ પૃષ્ઠભૂમિમાં ક્યાંક કામ કરી રહ્યું છે અને કોઈને પરેશાન કરતું નથી, પરંતુ તેને કેવી રીતે રોકવું તે સ્પષ્ટ નથી. એટલે કે, તમે, અલબત્ત, grep નો ઉપયોગ કરીને ps આઉટપુટને ફિલ્ટર કરી શકો છો અને એવી પ્રક્રિયા શોધી શકો છો કે જેના નામમાં openconnect હોય, પરંતુ આ કોઈક રીતે કંટાળાજનક છે. આ વિશે વિચારનારા લેખકોનો પણ આભાર. Openconnect પાસે કી -pid-file છે, જેની મદદથી તમે ઓપનકનેક્ટને તેના પ્રોસેસ ઓળખકર્તાને ફાઇલમાં લખવા માટે સૂચના આપી શકો છો.

#!/bin/sh  
echo "fixedPassword$1" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 
--user poxvuibr 
--passwd-on-stdin 
--background  
--syslog 
--script "./bin/vpn-slice 192.168.430.0/24  jira.vpn.evilcorp.com git.vpn.evilcorp.com " vpn.evilcorp.com  
--pid-file ~/vpn-pid

હવે તમે હંમેશા આદેશ વડે પ્રક્રિયાને મારી શકો છો

kill $(cat ~/vpn-pid)

જો ત્યાં કોઈ પ્રક્રિયા નથી, તો મારવા શાપ આપશે, પરંતુ ભૂલ ફેંકશે નહીં. જો ફાઇલ ત્યાં નથી, તો પછી કંઈપણ ખરાબ થશે નહીં, તેથી તમે સ્ક્રિપ્ટની પ્રથમ લાઇનમાં પ્રક્રિયાને સુરક્ષિત રીતે મારી શકો છો.

kill $(cat ~/vpn-pid)
#!/bin/sh  
echo "fixedPassword$1" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 
--user poxvuibr 
--passwd-on-stdin 
--background 
--syslog 
--script "./bin/vpn-slice 192.168.430.0/24  jira.vpn.evilcorp.com git.vpn.evilcorp.com " vpn.evilcorp.com  
--pid-file ~/vpn-pid

હવે તમે તમારા કમ્પ્યુટરને ચાલુ કરી શકો છો, કન્સોલ ખોલી શકો છો અને આદેશ ચલાવી શકો છો, તેને Google Authenticator તરફથી કોડ પસાર કરી શકો છો. કન્સોલ પછી નીચે ખીલી શકાય છે.

વીપીએન-સ્લાઈસ વિના. આફ્ટરવર્ડને બદલે

VPN-સ્લાઈસ વિના કેવી રીતે જીવવું તે સમજવું ખૂબ જ મુશ્કેલ બન્યું. મારે ઘણું વાંચવું અને ગૂગલ કરવું પડ્યું. સદનસીબે, સમસ્યા સાથે આટલો સમય વિતાવ્યા પછી, તકનીકી માર્ગદર્શિકાઓ અને તે પણ મેન ઓપનકનેક્ટ ઉત્તેજક નવલકથાઓની જેમ વાંચે છે.

પરિણામે, મને જાણવા મળ્યું કે vpn-સ્લાઈસ, નેટીવ સ્ક્રિપ્ટની જેમ, રૂટીંગ ટેબલને અલગ નેટવર્ક્સમાં સંશોધિત કરે છે.

રૂટીંગ ટેબલ

તેને સરળ રીતે કહીએ તો, આ પ્રથમ સ્તંભમાં એક ટેબલ છે જેમાં Linux જે સરનામું પસાર કરવા માંગે છે તે કયા સરનામાથી શરૂ થવું જોઈએ અને બીજા સ્તંભમાં આ સરનામા પર કયા નેટવર્ક એડેપ્ટરમાંથી પસાર થવું જોઈએ. વાસ્તવમાં, ત્યાં વધુ વક્તાઓ છે, પરંતુ આનાથી સાર બદલાતો નથી.

રૂટીંગ ટેબલ જોવા માટે, તમારે ip route આદેશ ચલાવવાની જરૂર છે

default via 192.168.1.1 dev wlp3s0 proto dhcp metric 600 
192.168.430.0/24 dev tun0 scope link 
192.168.1.0/24 dev wlp3s0 proto kernel scope link src 192.168.1.534 metric 600 
192.168.430.534 dev tun0 scope link 

અહીં, દરેક લાઇન તમારે અમુક સરનામાં પર સંદેશ મોકલવા માટે ક્યાં જવાની જરૂર છે તે માટે જવાબદાર છે. પ્રથમ એ વર્ણન છે કે સરનામું ક્યાંથી શરૂ થવું જોઈએ. 192.168.0.0/16 નો અર્થ એ છે કે સરનામું 192.168 થી શરૂ થવું જોઈએ તે કેવી રીતે નક્કી કરવું તે સમજવા માટે, તમારે IP એડ્રેસ માસ્ક શું છે તે ગૂગલ કરવાની જરૂર છે. dev પછી એડેપ્ટરનું નામ છે કે જેના પર સંદેશ મોકલવો જોઈએ.

VPN માટે, Linux એ વર્ચ્યુઅલ એડેપ્ટર બનાવ્યું - tun0. લાઇન એ સુનિશ્ચિત કરે છે કે 192.168 થી શરૂ થતા તમામ સરનામાંઓ માટે ટ્રાફિક તેમાંથી પસાર થાય છે

192.168.0.0/16 dev tun0 scope link 

તમે આદેશનો ઉપયોગ કરીને રૂટીંગ ટેબલની વર્તમાન સ્થિતિ પણ જોઈ શકો છો માર્ગ -n (IP સરનામાં ચતુરાઈપૂર્વક અનામી છે) આ આદેશ એક અલગ સ્વરૂપમાં પરિણામો ઉત્પન્ન કરે છે અને સામાન્ય રીતે દૂર કરવામાં આવે છે, પરંતુ તેનું આઉટપુટ ઘણીવાર ઈન્ટરનેટ પરના માર્ગદર્શિકાઓમાં જોવા મળે છે અને તમારે તેને વાંચવામાં સમર્થ હોવું જરૂરી છે.

માર્ગ માટેનું IP સરનામું ક્યાંથી શરૂ થવું જોઈએ તે ગંતવ્ય અને જેનમાસ્ક કૉલમના સંયોજનથી સમજી શકાય છે. IP એડ્રેસના તે ભાગો કે જે Genmask માં 255 નંબરોને અનુરૂપ છે તે ધ્યાનમાં લેવામાં આવે છે, પરંતુ જ્યાં 0 છે તે નથી. એટલે કે, ડેસ્ટિનેશન 192.168.0.0 અને જેનમાસ્ક 255.255.255.0 ના સંયોજનનો અર્થ એ છે કે જો સરનામું 192.168.0 થી શરૂ થાય છે, તો તેની વિનંતી આ માર્ગ પર જશે. અને જો ડેસ્ટિનેશન 192.168.0.0 પરંતુ જેનમાસ્ક 255.255.0.0 હોય, તો 192.168 થી શરૂ થતા સરનામાંની વિનંતીઓ આ માર્ગ પર જશે.

vpn-સ્લાઈસ વાસ્તવમાં શું કરે છે તે જાણવા માટે, મેં પહેલા અને પછી કોષ્ટકોની સ્થિતિ જોવાનું નક્કી કર્યું.

VPN ચાલુ કરતા પહેલા તે આના જેવું હતું

route -n 

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         222.222.222.1   0.0.0.0         UG    600    0        0 wlp3s0
222.222.222.0   0.0.0.0         255.255.255.0   U     600    0        0 wlp3s0
333.333.333.333 222.222.222.1   255.255.255.255 UGH   0      0        0 wlp3s0

વીપીએન-સ્લાઈસ વિના ઓપનકનેક્ટને કૉલ કર્યા પછી તે આના જેવું બન્યું

route -n

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 tun0
0.0.0.0         222.222.222.1   0.0.0.0         UG    600    0        0 wlp3s0
222.222.222.0   0.0.0.0         255.255.255.0   U     600    0        0 wlp3s0
333.333.333.333 222.222.222.1   255.255.255.255 UGH   0      0        0 wlp3s0
192.168.430.0   0.0.0.0         255.255.255.0   U     0      0        0 tun0
192.168.430.534 0.0.0.0         255.255.255.255 UH    0      0        0 tun0

અને ઓપનકનેક્ટને કોલ કર્યા પછી આ રીતે vpn-સ્લાઈસ સાથે સંયોજનમાં

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         222.222.222.1   0.0.0.0         UG    600    0        0 wlp3s0
222.222.222.0   0.0.0.0         255.255.255.0   U     600    0        0 wlp3s0
333.333.333.333 222.222.222.1   255.255.255.255 UGH   0      0        0 wlp3s0
192.168.430.0   0.0.0.0         255.255.255.0   U     0      0        0 tun0
192.168.430.534 0.0.0.0         255.255.255.255 UH    0      0        0 tun0

તે જોઈ શકાય છે કે જો તમે vpn-સ્લાઈસનો ઉપયોગ કરતા નથી, તો પછી openconnect સ્પષ્ટપણે લખે છે કે તમામ સરનામાંઓ, ખાસ સૂચવેલા સિવાય, vpn દ્વારા એક્સેસ કરવા જોઈએ.

અહીંથી:

0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 tun0

ત્યાં, તેની બાજુમાં, બીજો રસ્તો તરત જ સૂચવવામાં આવે છે, જેનો ઉપયોગ કરવો આવશ્યક છે જો Linux જે સરનામું પસાર કરવાનો પ્રયાસ કરી રહ્યું છે તે ટેબલમાંથી કોઈપણ માસ્ક સાથે મેળ ખાતું નથી.

0.0.0.0         222.222.222.1   0.0.0.0         UG    600    0        0 wlp3s0

તે અહીં પહેલેથી જ લખ્યું છે કે આ કિસ્સામાં તમારે પ્રમાણભૂત Wi-Fi એડેપ્ટરનો ઉપયોગ કરવાની જરૂર છે.

હું માનું છું કે VPN પાથનો ઉપયોગ થાય છે કારણ કે તે રૂટીંગ કોષ્ટકમાં પ્રથમ છે.

અને સૈદ્ધાંતિક રીતે, જો તમે રૂટીંગ ટેબલમાંથી આ ડિફોલ્ટ પાથને દૂર કરો છો, તો પછી dnsmasq openconnect સાથે જોડાણમાં સામાન્ય કામગીરીની ખાતરી કરવી જોઈએ.

મેં પ્રયત્ન કર્યો

route del default

અને બધું કામ કર્યું.

vpn-સ્લાઈસ વિના મેઈલ સર્વર પર રૂટીંગ વિનંતીઓ

પરંતુ મારી પાસે 555.555.555.555 સરનામું ધરાવતું મેઇલ સર્વર પણ છે, જેને VPN દ્વારા પણ એક્સેસ કરવાની જરૂર છે. તેના માટેનો માર્ગ પણ મેન્યુઅલી ઉમેરવાની જરૂર છે.

ip route add 555.555.555.555 via dev tun0

અને હવે બધું સારું છે. તેથી તમે vpn-સ્લાઈસ વિના કરી શકો છો, પરંતુ તમારે સારી રીતે જાણવાની જરૂર છે કે તમે શું કરી રહ્યા છો. હું હવે મૂળ ઓપનકનેક્ટ સ્ક્રિપ્ટની છેલ્લી લાઇનમાં ડિફોલ્ટ રૂટને દૂર કરવા અને vpn સાથે કનેક્ટ થયા પછી મેઇલર માટે રૂટ ઉમેરવા વિશે વિચારી રહ્યો છું, જેથી મારી બાઇકમાં ઓછા ફરતા ભાગો હોય.

સંભવતઃ, VPN કેવી રીતે સેટ કરવું તે સમજવા માટે કોઈ વ્યક્તિ માટે આ પછીનો શબ્દ પૂરતો હશે. પરંતુ જ્યારે હું શું અને કેવી રીતે કરવું તે સમજવાનો પ્રયાસ કરી રહ્યો હતો, ત્યારે મેં આવા ઘણા માર્ગદર્શિકાઓ વાંચ્યા જે લેખક માટે કામ કરે છે, પરંતુ કેટલાક કારણોસર મારા માટે કામ કરતું નથી, અને મેં અહીં મને મળેલા તમામ ટુકડાઓ ઉમેરવાનું નક્કી કર્યું. હું આવા કંઈક વિશે ખૂબ જ ખુશ થઈશ.

સોર્સ: www.habr.com