तुम्हाला कामावर लिनक्स वापरायचे आहे, परंतु तुमचे कॉर्पोरेट व्हीपीएन तुम्हाला परवानगी देणार नाही? मग हे निश्चित नसले तरी हा लेख मदत करू शकेल. मी तुम्हाला आधीच चेतावणी देऊ इच्छितो की मला नेटवर्क प्रशासनाच्या समस्या चांगल्याप्रकारे समजत नाहीत, म्हणून हे शक्य आहे की मी सर्वकाही चुकीचे केले आहे. दुसरीकडे, हे शक्य आहे की मी मार्गदर्शक अशा प्रकारे लिहू शकतो की ते सामान्य लोकांना समजेल, म्हणून मी तुम्हाला प्रयत्न करण्याचा सल्ला देतो.

लेखात बरीच अनावश्यक माहिती आहे, परंतु या माहितीशिवाय मी VPN सेट करताना अनपेक्षितपणे माझ्यासमोर आलेल्या समस्यांचे निराकरण करू शकलो नसतो. मला वाटते की या मार्गदर्शकाचा वापर करण्‍याचा प्रयत्‍न करणार्‍या कोणासही समस्या असतील ज्या मला नव्हत्या, आणि मला आशा आहे की ही अतिरिक्त माहिती स्वतःहून या समस्यांचे निराकरण करण्यात मदत करेल.

या मार्गदर्शकामध्ये वापरल्या जाणार्‍या बहुतेक कमांड्स sudo द्वारे चालवल्या पाहिजेत, ज्या संक्षिप्ततेसाठी काढल्या गेल्या आहेत. लक्षात ठेवा.

बहुतेक IP पत्ते गंभीरपणे अस्पष्ट केले गेले आहेत, म्हणून जर तुम्हाला 435.435.435.435 सारखा पत्ता दिसला, तर तेथे काही सामान्य IP असणे आवश्यक आहे, तुमच्या बाबतीत विशिष्ट.

माझ्याकडे उबंटू 18.04 आहे, परंतु मला वाटते की किरकोळ बदलांसह मार्गदर्शक इतर वितरणांवर लागू केला जाऊ शकतो. तथापि, या मजकुरात Linux == Ubuntu.

सिस्को कनेक्ट

जे Windows किंवा MacOS वर आहेत ते Cisco Connect द्वारे आमच्या कॉर्पोरेट VPN शी कनेक्ट होऊ शकतात, ज्यासाठी गेटवे पत्ता निर्दिष्ट करणे आवश्यक आहे आणि प्रत्येक वेळी तुम्ही कनेक्ट करता तेव्हा, निश्चित भाग आणि Google Authenticator द्वारे व्युत्पन्न केलेला कोड असलेला पासवर्ड प्रविष्ट करा.

लिनक्सच्या बाबतीत, मी सिस्को कनेक्ट चालू करू शकलो नाही, परंतु मी ओपनकनेक्ट वापरण्याची शिफारस गुगल करण्यात व्यवस्थापित केले, विशेषत: सिस्को कनेक्ट पुनर्स्थित करण्यासाठी.

ओपनकनेक्ट

सिद्धांतानुसार, ओपनकनेक्टसाठी उबंटूकडे एक विशेष ग्राफिकल इंटरफेस आहे, परंतु ते माझ्यासाठी कार्य करत नाही. कदाचित ते चांगल्यासाठी आहे.

उबंटूवर, ओपनकनेक्ट हे पॅकेज मॅनेजरमधून स्थापित केले आहे.

apt install openconnect

स्थापनेनंतर लगेच, तुम्ही VPN शी कनेक्ट करण्याचा प्रयत्न करू शकता

openconnect --user poxvuibr vpn.evilcorp.com

vpn.evilcorp.com हा काल्पनिक VPN चा पत्ता आहे
poxvuibr - काल्पनिक वापरकर्तानाव

openconnect तुम्हाला पासवर्ड एंटर करण्यास सांगेल, ज्यामध्ये मी तुम्हाला एक निश्चित भाग आणि Google Authenticator कडील कोड समाविष्ट करून देतो, आणि नंतर तो vpn शी कनेक्ट करण्याचा प्रयत्न करेल. हे कार्य करत असल्यास, अभिनंदन, आपण सुरक्षितपणे मध्यभागी वगळू शकता, जे खूप वेदनादायक आहे, आणि पार्श्वभूमीत चालू असलेल्या ओपनकनेक्टच्या बिंदूवर जाऊ शकता. जर ते कार्य करत नसेल, तर तुम्ही सुरू ठेवू शकता. जरी ते कनेक्ट करताना कार्य करत असले तरी, उदाहरणार्थ, कामावर असलेल्या अतिथी वाय-फाय वरून, नंतर आनंद करणे खूप लवकर असू शकते; आपण घरून प्रक्रिया पुन्हा करण्याचा प्रयत्न केला पाहिजे.

प्रमाणपत्र

काहीही सुरू होणार नाही अशी उच्च संभाव्यता आहे आणि ओपनकनेक्ट आउटपुट असे काहीतरी दिसेल:

POST https://vpn.evilcorp.com/
Connected to 777.777.777.777:443
SSL negotiation with vpn.evilcorp.com
Server certificate verify failed: signer not found

Certificate from VPN server "vpn.evilcorp.com" failed verification.
Reason: signer not found
To trust this server in future, perhaps add this to your command line:
    --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444
Enter 'yes' to accept, 'no' to abort; anything else to view: fgets (stdin): Operation now in progress

एकीकडे, हे अप्रिय आहे, कारण व्हीपीएनशी कोणतेही कनेक्शन नव्हते, परंतु दुसरीकडे, या समस्येचे निराकरण कसे करावे हे तत्त्वतः स्पष्ट आहे.

येथे सर्व्हरने आम्हाला एक प्रमाणपत्र पाठवले आहे, ज्याद्वारे आम्ही हे निर्धारित करू शकतो की कनेक्शन आमच्या मूळ कॉर्पोरेशनच्या सर्व्हरशी केले जात आहे, आणि एखाद्या दुष्ट फसवणुकीसाठी नाही आणि हे प्रमाणपत्र सिस्टमला अज्ञात आहे. आणि म्हणून ती सर्व्हर खरा आहे की नाही हे तपासू शकत नाही. आणि म्हणून, फक्त बाबतीत, ते कार्य करणे थांबवते.

सर्व्हरशी ओपनकनेक्‍ट कनेक्ट होण्‍यासाठी, तुम्हाला —सर्व्हरसर्ट की वापरून व्हीपीएन सर्व्हरकडून कोणते प्रमाणपत्र आले पाहिजे हे स्पष्टपणे सांगावे लागेल.

आणि सर्व्हरने आम्हाला कोणते प्रमाणपत्र थेट ओपनकनेक्ट मुद्रित केले ते तुम्ही शोधू शकता. या तुकड्यातून येथे आहे:

To trust this server in future, perhaps add this to your command line:
    --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444
Enter 'yes' to accept, 'no' to abort; anything else to view: fgets (stdin): Operation now in progress

या आदेशासह तुम्ही पुन्हा कनेक्ट करण्याचा प्रयत्न करू शकता

openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 --user poxvuibr vpn.evilcorp.com

कदाचित आता ते कार्य करत आहे, नंतर आपण शेवटपर्यंत जाऊ शकता. पण वैयक्तिकरित्या, उबुंटाने मला या स्वरूपात एक अंजीर दाखवला

POST https://vpn.evilcorp.com/
Connected to 777.777.777.777:443
SSL negotiation with vpn.evilcorp.com
Server certificate verify failed: signer not found
Connected to HTTPS on vpn.evilcorp.com
XML POST enabled
Please enter your username and password.
POST https://vpn.evilcorp.com/
Got CONNECT response: HTTP/1.1 200 OK
CSTP connected. DPD 300, Keepalive 30
Set up DTLS failed; using SSL instead
Connected as 192.168.333.222, using SSL
NOSSSSSHHHHHHHDDDDD
3
NOSSSSSHHHHHHHDDDDD
3
RTNETLINK answers: File exists
/etc/resolvconf/update.d/libc: Warning: /etc/resolv.conf is not a symbolic link to /run/resolvconf/resolv.conf

/etc/resolv.conf

# Generated by NetworkManager
search gst.evilcorpguest.com
nameserver 127.0.0.53

/run/resolvconf/resolv.conf

# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
# 127.0.0.53 is the systemd-resolved stub resolver.
# run "systemd-resolve --status" to see details about the actual nameservers.

nameserver 192.168.430.534
nameserver 127.0.0.53
search evilcorp.com gst.publicevilcorp.com

habr.com निराकरण करेल, परंतु आपण तेथे जाऊ शकणार नाही. jira.evilcorp.com सारखे पत्ते अजिबात सोडवले जात नाहीत.

येथे काय घडले ते मला स्पष्ट नाही. पण प्रयोग दाखवतो की जर तुम्ही ओळ /etc/resolv.conf वर जोडली

nameserver 192.168.430.534

मग VPN मधील पत्ते जादुईपणे निराकरण करण्यास सुरवात करतील आणि आपण त्यामधून जाऊ शकता, म्हणजेच, पत्त्यांचे निराकरण करण्यासाठी DNS जे शोधत आहे ते विशेषत: /etc/resolv.conf मध्ये दिसते, आणि कुठेतरी नाही.

तुम्ही VPN शी कनेक्शन असल्याचे सत्यापित करू शकता आणि ते /etc/resolv.conf मध्ये कोणतेही बदल न करता कार्य करते; हे करण्यासाठी, फक्त ब्राउझरमध्ये VPN मधील स्त्रोताचे प्रतीकात्मक नाव नाही तर त्याचा IP पत्ता प्रविष्ट करा.

परिणामी, दोन समस्या आहेत

• VPN शी कनेक्ट करताना, त्याचा dns उचलला जात नाही
• सर्व रहदारी VPN द्वारे जाते, जे इंटरनेटवर प्रवेश करण्यास परवानगी देत ​​​​नाही

आता काय करायचे ते मी सांगेन, पण आधी थोडे ऑटोमेशन.

पासवर्डच्या निश्चित भागाची स्वयंचलित एंट्री

आतापर्यंत, तुम्ही बहुधा तुमचा पासवर्ड किमान पाच वेळा एंटर केला असेल आणि या प्रक्रियेमुळे तुम्हाला आधीच कंटाळा आला असेल. प्रथम, पासवर्ड लांब असल्यामुळे आणि दुसरे म्हणजे, प्रवेश करताना तुम्हाला एका निश्चित कालावधीत बसणे आवश्यक आहे.

समस्येचे अंतिम समाधान लेखात समाविष्ट केले गेले नाही, परंतु आपण हे सुनिश्चित करू शकता की पासवर्डचा निश्चित भाग बर्याच वेळा प्रविष्ट करावा लागणार नाही.

पासवर्डचा निश्चित भाग fixedPassword आहे असे गृहीत धरू आणि Google Authenticator कडील भाग 567 आहे. संपूर्ण पासवर्ड --passwd-on-stdin युक्तिवाद वापरून मानक इनपुटद्वारे ओपन कनेक्ट करण्यासाठी पास केला जाऊ शकतो.

echo "fixedPassword567987" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 --user poxvuibr vpn.evilcorp.com --passwd-on-stdin

आता तुम्ही शेवटच्या एंटर केलेल्या कमांडवर सतत परत येऊ शकता आणि तिथे फक्त Google Authenticator चा काही भाग बदलू शकता.

कॉर्पोरेट VPN तुम्हाला इंटरनेट सर्फ करण्याची परवानगी देत ​​नाही.

सर्वसाधारणपणे, जेव्हा तुम्हाला हॅब्रला जाण्यासाठी वेगळा संगणक वापरावा लागतो तेव्हा ते फार गैरसोयीचे नसते. स्टॅकओव्हरफॉ वरून कॉपी-पेस्ट करण्यास असमर्थता सामान्यतः कामाला अर्धांगवायू करू शकते, म्हणून काहीतरी करणे आवश्यक आहे.

आम्‍हाला ते कसे तरी व्‍यवस्‍थित करण्‍याची आवश्‍यकता आहे जेणेकरून तुम्‍हाला अंतर्गत नेटवर्कवरून संसाधनात प्रवेश करण्‍याची आवश्‍यकता असेल, तेव्हा Linux VPN वर जाईल आणि तुम्‍हाला Habr वर जाण्‍याची आवश्‍यकता असेल तेव्हा ते इंटरनेटवर जाईल.

openconnect, लॉन्च केल्यानंतर आणि vpn सह कनेक्शन स्थापित केल्यानंतर, एक विशेष स्क्रिप्ट कार्यान्वित करते, जी /usr/share/vpnc-scripts/vpnc-script मध्ये स्थित आहे. काही व्हेरिएबल्स स्क्रिप्टला इनपुट म्हणून पास केले जातात आणि ते VPN कॉन्फिगर करते. दुर्दैवाने, मूळ स्क्रिप्ट वापरून कॉर्पोरेट VPN आणि उर्वरित इंटरनेट दरम्यान रहदारी प्रवाह कसे विभाजित करावे हे मला समजू शकले नाही.

वरवर पाहता, व्हीपीएन-स्लाइस युटिलिटी विशेषतः माझ्यासारख्या लोकांसाठी विकसित केली गेली आहे, जी तुम्हाला डफ वाजवल्याशिवाय दोन चॅनेलद्वारे रहदारी पाठविण्याची परवानगी देते. बरं, म्हणजे, तुम्हाला नाचावं लागेल, पण तुम्हाला शमन असण्याची गरज नाही.

व्हीपीएन-स्लाइस वापरून रहदारी वेगळे करणे

प्रथम, तुम्हाला व्हीपीएन-स्लाइस स्थापित करावे लागतील, तुम्हाला हे स्वतःच शोधून काढावे लागेल. टिप्पण्यांमध्ये प्रश्न असल्यास, मी याबद्दल स्वतंत्र पोस्ट लिहीन. परंतु हा एक नियमित पायथन प्रोग्राम आहे, त्यामुळे कोणतीही अडचण येऊ नये. मी virtualenv वापरून स्थापित केले.

आणि नंतर उपयुक्तता लागू करणे आवश्यक आहे, -स्क्रिप्ट स्विच वापरून, ओपनकनेक्टला सूचित करते की मानक स्क्रिप्टऐवजी, तुम्हाला व्हीपीएन-स्लाइस वापरण्याची आवश्यकता आहे.

echo "fixedPassword567987" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 --user poxvuibr --passwd-on-stdin 
--script "./bin/vpn-slice 192.168.430.0/24  " vpn.evilcorp.com 

--script ला कमांडसह स्ट्रिंग पास केली जाते ज्याला स्क्रिप्टऐवजी कॉल करणे आवश्यक आहे. ./bin/vpn-स्लाइस - vpn-स्लाइस एक्झिक्युटेबल फाइलचा मार्ग 192.168.430.0/24 - vpn मध्ये जाण्यासाठी पत्त्यांचा मुखवटा. येथे, आमचा असा अर्थ आहे की जर पत्ता 192.168.430 ने सुरू होत असेल, तर या पत्त्यासह संसाधन VPN मध्ये शोधणे आवश्यक आहे.

आता परिस्थिती जवळजवळ सामान्य झाली पाहिजे. जवळजवळ. आता तुम्ही Habr वर जाऊ शकता आणि तुम्ही ip द्वारे इंट्रा-कॉर्पोरेट रिसोर्सवर जाऊ शकता, परंतु तुम्ही प्रतिकात्मक नावाने इंट्रा-कॉर्पोरेट संसाधनावर जाऊ शकत नाही. आपण यजमानांमध्ये प्रतीकात्मक नाव आणि पत्त्यामधील जुळणी निर्दिष्ट केल्यास, सर्वकाही कार्य केले पाहिजे. आणि ip बदलेपर्यंत काम करा. लिनक्स आता आयपीवर अवलंबून इंटरनेट किंवा इंट्रानेटमध्ये प्रवेश करू शकते. परंतु अद्याप पत्ता निर्धारित करण्यासाठी नॉन-कॉर्पोरेट DNS वापरला जातो.

समस्या या स्वरूपात देखील प्रकट होऊ शकते - कामावर सर्व काही ठीक आहे, परंतु घरी आपण केवळ आयपीद्वारे अंतर्गत कॉर्पोरेट संसाधनांमध्ये प्रवेश करू शकता. याचे कारण असे की जेव्हा तुम्ही कॉर्पोरेट वाय-फाय शी कनेक्ट करता तेव्हा कॉर्पोरेट DNS देखील वापरला जातो आणि VPN मधील प्रतीकात्मक पत्ते त्यात सोडवले जातात, तरीही VPN न वापरता अशा पत्त्यावर जाणे अशक्य आहे.

होस्ट फाइलचे स्वयंचलित बदल

जर व्हीपीएन-स्लाइसला विनम्रपणे विचारले असेल, तर व्हीपीएन वाढवल्यानंतर, ते त्याच्या डीएनएसवर जाऊ शकते, तेथे आवश्यक संसाधनांचे आयपी पत्ते त्यांच्या प्रतीकात्मक नावाने शोधू शकतात आणि ते होस्टमध्ये प्रविष्ट करू शकतात. VPN बंद केल्यानंतर, हे पत्ते होस्टमधून काढले जातील. हे करण्यासाठी, तुम्हाला प्रतिकात्मक नावे vpn-स्लाइसला वितर्क म्हणून पास करणे आवश्यक आहे. याप्रमाणे.

echo "fixedPassword567987" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 --user poxvuibr --passwd-on-stdin
--script "./bin/vpn-slice 192.168.430.0/24  jira.vpn.evilcorp.com git.vpn.evilcorp.com " vpn.evilcorp.com 

आता सर्वकाही कार्यालयात आणि समुद्रकिनार्यावर दोन्ही कार्य केले पाहिजे.

VPN ने दिलेल्या DNS मधील सर्व सबडोमेनचे पत्ते शोधा

नेटवर्कमध्ये काही पत्ते असल्यास, होस्ट फाइल आपोआप बदलण्याचा दृष्टीकोन चांगला कार्य करतो. परंतु नेटवर्कवर भरपूर संसाधने असल्यास, तुम्हाला सतत zoidberg.test.evilcorp.com सारख्या ओळी जोडण्याची आवश्यकता असेल zoidberg हे चाचणी बेंचपैकी एकाचे नाव आहे.

पण आता ही गरज का दूर केली जाऊ शकते हे आपल्याला थोडे समजले आहे.

जर, VPN वाढवल्यानंतर, तुम्ही /etc/hosts मध्ये पाहिले, तर तुम्ही ही ओळ पाहू शकता

192.168.430.534 dns0.tun0 # vpn-slice-tun0 ऑटोक्रिएटेड

आणि resolv.conf मध्ये एक नवीन ओळ जोडली गेली. थोडक्यात, व्हीपीएन-स्लाइसने व्हीपीएनसाठी डीएनएस सर्व्हर कोठे स्थित आहे हे कसे तरी निर्धारित केले आहे.

आता आपल्याला खात्री करणे आवश्यक आहे की evilcorp.com वर समाप्त होणाऱ्या डोमेन नावाचा IP पत्ता शोधण्यासाठी, लिनक्स कॉर्पोरेट DNS कडे जाते आणि आणखी काही आवश्यक असल्यास, डीफॉल्टकडे जाते.

मी काही काळ Google केले आणि मला आढळले की अशी कार्यक्षमता उबंटूमध्ये बॉक्सच्या बाहेर उपलब्ध आहे. याचा अर्थ नावांचे निराकरण करण्यासाठी स्थानिक DNS सर्व्हर dnsmasq वापरण्याची क्षमता.

म्हणजेच, तुम्ही खात्री करू शकता की लिनक्स नेहमी IP पत्त्यांसाठी स्थानिक DNS सर्व्हरवर जाते, जे डोमेन नावावर अवलंबून, संबंधित बाह्य DNS सर्व्हरवर IP शोधेल.

नेटवर्क आणि नेटवर्क कनेक्शनशी संबंधित प्रत्येक गोष्ट व्यवस्थापित करण्यासाठी, उबंटू नेटवर्क मॅनेजर वापरतो, आणि निवडण्यासाठी ग्राफिकल इंटरफेस, उदाहरणार्थ, वाय-फाय कनेक्शन हे फक्त समोरचे टोक आहे.

आम्हाला त्याच्या कॉन्फिगरेशनमध्ये चढणे आवश्यक आहे.

1. /etc/NetworkManager/dnsmasq.d/evilcorp मध्ये फाइल तयार करा

address=/.evilcorp.com/192.168.430.534

वाईटकॉर्पच्या समोरच्या बिंदूकडे लक्ष द्या. ते dnsmasq ला संकेत देते की evilcorp.com चे सर्व सबडोमेन कॉर्पोरेट dns मध्ये शोधले पाहिजेत.

1. नेटवर्क मॅनेजरला नाव निराकरणासाठी dnsmasq वापरण्यास सांगा

नेटवर्क-व्यवस्थापक कॉन्फिगरेशन /etc/NetworkManager/NetworkManager.conf मध्ये स्थित आहे तुम्हाला तेथे जोडण्याची आवश्यकता आहे:

[मुख्य] ​​dns=dnsmasq

1. नेटवर्क मॅनेजर रीस्टार्ट करा

service network-manager restart

आता, openconnect आणि vpn-slice वापरून VPN शी कनेक्ट केल्यानंतर, ip सामान्यपणे निर्धारित केले जाईल, जरी तुम्ही vpnslice मधील वितर्कांमध्ये प्रतीकात्मक पत्ते जोडले नाहीत.

VPN द्वारे वैयक्तिक सेवांमध्ये प्रवेश कसा करायचा

मी व्हीपीएनशी कनेक्ट करण्यात व्यवस्थापित केल्यानंतर, मी दोन दिवस खूप आनंदी होतो आणि नंतर असे दिसून आले की जर मी ऑफिस नेटवर्कच्या बाहेरून व्हीपीएनशी कनेक्ट केले तर मेल कार्य करत नाही. लक्षण परिचित आहे, नाही का?

आमचा मेल mail.publicevilcorp.com वर स्थित आहे, याचा अर्थ तो dnsmasq मधील नियमांतर्गत येत नाही आणि मेल सर्व्हर पत्ता सार्वजनिक DNS द्वारे शोधला जातो.

बरं, ऑफिस अजूनही DNS वापरते, ज्यात हा पत्ता आहे. असे मला वाटले. खरं तर, dnsmasq मध्ये ओळ जोडल्यानंतर

address=/mail.publicevilcorp.com/192.168.430.534

परिस्थिती अजिबात बदललेली नाही. ip तसाच राहिला. मला कामावर जायचे होते.

आणि फक्त नंतर, जेव्हा मी परिस्थितीचा सखोल अभ्यास केला आणि समस्या थोडीशी समजली, तेव्हा एका हुशार व्यक्तीने मला ते कसे सोडवायचे ते सांगितले. मेल सर्व्हरशी असेच नव्हे तर व्हीपीएनद्वारे कनेक्ट करणे आवश्यक होते

मी VPN मधून 192.168.430 ने सुरू होणाऱ्या पत्त्यांवर जाण्यासाठी vpn-स्लाइस वापरतो. आणि मेल सर्व्हरमध्ये फक्त प्रतीकात्मक पत्ता नाही जो evilcorp चे सबडोमेन नाही, तर त्यात 192.168.430 ने सुरू होणारा IP पत्ता देखील नाही. आणि अर्थातच तो सामान्य नेटवर्कमधील कोणालाही त्याच्याकडे येऊ देत नाही.

Linux ला व्हीपीएन आणि मेल सर्व्हरवर जाण्यासाठी, तुम्हाला ते व्हीपीएन-स्लाइसमध्ये देखील जोडावे लागेल. समजा मेलरचा पत्ता 555.555.555.555 आहे

echo "fixedPassword567987" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 --user poxvuibr --passwd-on-stdin
--script "./bin/vpn-slice 555.555.555.555 192.168.430.0/24" vpn.evilcorp.com 

एका युक्तिवादासह VPN वाढवण्याची स्क्रिप्ट

हे सर्व अर्थातच फारसे सोयीचे नाही. होय, तुम्ही मजकूर फाईलमध्ये सेव्ह करू शकता आणि हाताने टाइप करण्याऐवजी तो कन्सोलमध्ये कॉपी-पेस्ट करू शकता, परंतु तरीही ते फारसे आनंददायी नाही. प्रक्रिया सुलभ करण्यासाठी, तुम्ही कमांड स्क्रिप्टमध्ये गुंडाळू शकता जी PATH मध्ये असेल. आणि मग तुम्हाला फक्त Google Authenticator कडून मिळालेला कोड टाकावा लागेल

#!/bin/sh  
echo "fixedPassword$1" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 --user poxvuibr --passwd-on-stdin 
--script "./bin/vpn-slice 192.168.430.0/24  jira.vpn.evilcorp.com git.vpn.evilcorp.com " vpn.evilcorp.com 

तुम्ही स्क्रिप्ट कनेक्ट ~evilcorp~ मध्ये ठेवल्यास तुम्ही कन्सोलमध्ये फक्त लिहू शकता

connect_evil_corp 567987

परंतु आता तुम्हाला कन्सोल ठेवावा लागेल ज्यामध्ये ओपनकनेक्ट काही कारणास्तव चालू आहे

बॅकग्राउंडमध्ये ओपनकनेक्ट चालू आहे

सुदैवाने, ओपनकनेक्टच्या लेखकांनी आमची काळजी घेतली आणि प्रोग्राममध्ये एक विशेष की जोडली - पार्श्वभूमी, ज्यामुळे कार्यक्रम लॉन्च झाल्यानंतर पार्श्वभूमीत कार्य करतो. तुम्ही हे असे चालवल्यास, तुम्ही लॉन्च केल्यानंतर कन्सोल बंद करू शकता

#!/bin/sh  
echo "fixedPassword$1" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 
--user poxvuibr 
--passwd-on-stdin 
--background 
--script "./bin/vpn-slice 192.168.430.0/24  jira.vpn.evilcorp.com git.vpn.evilcorp.com " vpn.evilcorp.com  

आता लॉग कुठे जातात हे स्पष्ट नाही. सर्वसाधारणपणे, आम्हाला खरोखर लॉगची आवश्यकता नाही, परंतु तुम्हाला कधीच माहित नाही. openconnect त्यांना syslog वर पुनर्निर्देशित करू शकते, जेथे त्यांना सुरक्षित आणि सुरक्षित ठेवले जाईल. तुम्हाला कमांडमध्ये –syslog स्विच जोडणे आवश्यक आहे

#!/bin/sh  
echo "fixedPassword$1" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 
--user poxvuibr 
--passwd-on-stdin 
--background 
--syslog 
--script "./bin/vpn-slice 192.168.430.0/24  jira.vpn.evilcorp.com git.vpn.evilcorp.com " vpn.evilcorp.com  

आणि म्हणून, असे दिसून आले की ओपनकनेक्ट पार्श्वभूमीत कुठेतरी कार्यरत आहे आणि कोणालाही त्रास देत नाही, परंतु ते कसे थांबवायचे हे स्पष्ट नाही. म्हणजेच, तुम्ही अर्थातच, grep वापरून ps आउटपुट फिल्टर करू शकता आणि ज्याच्या नावात openconnect आहे अशा प्रक्रियेचा शोध घेऊ शकता, परंतु हे काहीसे कंटाळवाणे आहे. याबद्दल विचार करणाऱ्या लेखकांचेही आभार. Openconnect मध्ये एक की -pid-file आहे, ज्याच्या सहाय्याने तुम्ही openconnect ला त्याचा प्रोसेस आयडेंटिफायर फाइलवर लिहिण्यास सांगू शकता.

#!/bin/sh  
echo "fixedPassword$1" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 
--user poxvuibr 
--passwd-on-stdin 
--background  
--syslog 
--script "./bin/vpn-slice 192.168.430.0/24  jira.vpn.evilcorp.com git.vpn.evilcorp.com " vpn.evilcorp.com  
--pid-file ~/vpn-pid

आता तुम्ही नेहमी कमांडने प्रक्रिया नष्ट करू शकता

kill $(cat ~/vpn-pid)

कोणतीही प्रक्रिया नसल्यास, मारणे शाप देईल, परंतु त्रुटी फेकणार नाही. जर फाइल तेथे नसेल, तर काहीही वाईट होणार नाही, म्हणून तुम्ही स्क्रिप्टच्या पहिल्या ओळीत प्रक्रिया सुरक्षितपणे नष्ट करू शकता.

kill $(cat ~/vpn-pid)
#!/bin/sh  
echo "fixedPassword$1" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 
--user poxvuibr 
--passwd-on-stdin 
--background 
--syslog 
--script "./bin/vpn-slice 192.168.430.0/24  jira.vpn.evilcorp.com git.vpn.evilcorp.com " vpn.evilcorp.com  
--pid-file ~/vpn-pid

आता तुम्ही तुमचा संगणक चालू करू शकता, कन्सोल उघडू शकता आणि Google Authenticator कडील कोड पास करून कमांड चालवू शकता. कन्सोल नंतर खाली खिळले जाऊ शकते.

व्हीपीएन-स्लाइसशिवाय. नंतरच्या शब्दाऐवजी

व्हीपीएन-स्लाइसशिवाय कसे जगायचे हे समजणे खूप कठीण आहे. मला खूप वाचावे लागले आणि गुगल करावे लागले. सुदैवाने, एखाद्या समस्येवर इतका वेळ घालवल्यानंतर, तांत्रिक पुस्तिका आणि अगदी मॅन ओपनकनेक्ट रोमांचक कादंबरीसारखे वाचले.

परिणामी, मला आढळले की व्हीपीएन-स्लाइस, नेटिव्ह स्क्रिप्टप्रमाणे, राउटिंग टेबलला वेगळे नेटवर्कमध्ये बदलते.

राउटिंग टेबल

सोप्या भाषेत सांगायचे तर, पहिल्या कॉलममध्ये ही एक टेबल आहे ज्यामध्ये लिनक्सला ज्या पत्त्यावर जायचे आहे ते कोणत्या पत्त्याने सुरू करावे आणि दुसऱ्या कॉलममध्ये या पत्त्यावर कोणत्या नेटवर्क अॅडॉप्टरमधून जायचे आहे. खरं तर, अधिक स्पीकर्स आहेत, परंतु हे सार बदलत नाही.

रूटिंग टेबल पाहण्यासाठी, तुम्हाला ip रूट कमांड चालवावी लागेल

default via 192.168.1.1 dev wlp3s0 proto dhcp metric 600 
192.168.430.0/24 dev tun0 scope link 
192.168.1.0/24 dev wlp3s0 proto kernel scope link src 192.168.1.534 metric 600 
192.168.430.534 dev tun0 scope link 

येथे, एखाद्या पत्त्यावर संदेश पाठवण्यासाठी तुम्हाला कुठे जायचे आहे यासाठी प्रत्येक ओळ जबाबदार आहे. पहिला पत्ता कुठून सुरू झाला पाहिजे याचे वर्णन आहे. 192.168.0.0/16 म्हणजे पत्ता 192.168 ने सुरू झाला पाहिजे हे कसे ठरवायचे हे समजून घेण्यासाठी, तुम्हाला IP पत्ता मुखवटा म्हणजे काय Google करणे आवश्यक आहे. dev नंतर अॅडॉप्टरचे नाव आहे ज्यावर संदेश पाठवला जावा.

व्हीपीएनसाठी, लिनक्सने व्हर्च्युअल अडॅप्टर बनवले - ट्यून0. 192.168 ने सुरू होणार्‍या सर्व पत्त्यांसाठी ट्रॅफिक त्यामधून जात असल्याची खात्री रेषा करते

192.168.0.0/16 dev tun0 scope link 

तुम्ही कमांड वापरून राउटिंग टेबलची सद्यस्थिती देखील पाहू शकता मार्ग -एन (IP पत्ते हुशारीने अनामित केले जातात) ही आज्ञा वेगळ्या स्वरूपात परिणाम देते आणि सामान्यतः बहिष्कृत केली जाते, परंतु त्याचे आउटपुट इंटरनेटवरील मॅन्युअलमध्ये आढळते आणि तुम्हाला ते वाचण्यास सक्षम असणे आवश्यक आहे.

मार्गाचा IP पत्ता कोठून सुरू व्हायला हवा हे गंतव्यस्थान आणि जेनमास्क स्तंभांच्या संयोजनावरून समजू शकते. जेनमास्कमधील 255 क्रमांकाशी संबंधित IP पत्त्याचे ते भाग विचारात घेतले जातात, परंतु जेथे 0 आहे ते नाहीत. म्हणजेच, डेस्टिनेशन 192.168.0.0 आणि जेनमास्क 255.255.255.0 च्या संयोजनाचा अर्थ असा की जर पत्ता 192.168.0 ने सुरू होत असेल, तर त्याला विनंती या मार्गावर जाईल. आणि जर डेस्टिनेशन 192.168.0.0 पण जेनमास्क 255.255.0.0 असेल, तर 192.168 ने सुरू होणाऱ्या पत्त्याच्या विनंत्या या मार्गावर जातील

व्हीपीएन-स्लाइस प्रत्यक्षात काय करते हे शोधण्यासाठी, मी टेबलच्या आधी आणि नंतरच्या स्थिती पाहण्याचा निर्णय घेतला.

VPN चालू करण्यापूर्वी हे असे होते

route -n 

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         222.222.222.1   0.0.0.0         UG    600    0        0 wlp3s0
222.222.222.0   0.0.0.0         255.255.255.0   U     600    0        0 wlp3s0
333.333.333.333 222.222.222.1   255.255.255.255 UGH   0      0        0 wlp3s0

व्हीपीएन-स्लाइसशिवाय ओपनकनेक्ट कॉल केल्यावर ते असे झाले

route -n

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 tun0
0.0.0.0         222.222.222.1   0.0.0.0         UG    600    0        0 wlp3s0
222.222.222.0   0.0.0.0         255.255.255.0   U     600    0        0 wlp3s0
333.333.333.333 222.222.222.1   255.255.255.255 UGH   0      0        0 wlp3s0
192.168.430.0   0.0.0.0         255.255.255.0   U     0      0        0 tun0
192.168.430.534 0.0.0.0         255.255.255.255 UH    0      0        0 tun0

आणि व्हीपीएन-स्लाइससह ओपन कनेक्ट कॉल केल्यानंतर

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         222.222.222.1   0.0.0.0         UG    600    0        0 wlp3s0
222.222.222.0   0.0.0.0         255.255.255.0   U     600    0        0 wlp3s0
333.333.333.333 222.222.222.1   255.255.255.255 UGH   0      0        0 wlp3s0
192.168.430.0   0.0.0.0         255.255.255.0   U     0      0        0 tun0
192.168.430.534 0.0.0.0         255.255.255.255 UH    0      0        0 tun0

हे पाहिले जाऊ शकते की आपण व्हीपीएन-स्लाइस वापरत नसल्यास, ओपनकनेक्ट स्पष्टपणे लिहिते की विशेषत: सूचित केलेले पत्ते वगळता सर्व पत्ते व्हीपीएनद्वारे प्रवेश करणे आवश्यक आहे.

इथे:

0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 tun0

तेथे, त्याच्या पुढे, दुसरा मार्ग ताबडतोब सूचित केला जातो, जो लिनक्स ज्या पत्त्यावरून जाण्याचा प्रयत्न करीत आहे तो टेबलमधील कोणत्याही मुखवटाशी जुळत नसल्यास वापरला जाणे आवश्यक आहे.

0.0.0.0         222.222.222.1   0.0.0.0         UG    600    0        0 wlp3s0

येथे आधीच लिहिले आहे की या प्रकरणात आपल्याला मानक वाय-फाय अडॅप्टर वापरण्याची आवश्यकता आहे.

माझा विश्वास आहे की व्हीपीएन पथ वापरला जातो कारण तो रूटिंग टेबलमध्ये पहिला आहे.

आणि सैद्धांतिकदृष्ट्या, आपण रूटिंग टेबलमधून हा डीफॉल्ट मार्ग काढल्यास, dnsmasq openconnect च्या संयोगाने सामान्य ऑपरेशन सुनिश्चित केले पाहिजे.

मी प्रयत्न केला

route del default

आणि सर्वकाही कार्य केले.

व्हीपीएन-स्लाइसशिवाय मेल सर्व्हरवर विनंत्या रूट करणे

परंतु माझ्याकडे 555.555.555.555 या पत्त्यासह मेल सर्व्हर देखील आहे, ज्याला VPN द्वारे देखील प्रवेश करणे आवश्यक आहे. त्यासाठीचा मार्गही हाताने जोडावा लागेल.

ip route add 555.555.555.555 via dev tun0

आणि आता सर्व काही ठीक आहे. त्यामुळे तुम्ही व्हीपीएन-स्लाइसशिवाय करू शकता, परंतु तुम्ही काय करत आहात हे तुम्हाला चांगले माहित असणे आवश्यक आहे. मी आता मूळ ओपनकनेक्ट स्क्रिप्टच्या शेवटच्या ओळीत डीफॉल्ट मार्ग काढून टाकण्याचा आणि व्हीपीएनशी कनेक्ट केल्यानंतर मेलरसाठी मार्ग जोडण्याचा विचार करत आहे, जेणेकरून माझ्या बाइकमध्ये कमी हलणारे भाग असतील.

कदाचित, व्हीपीएन कसा सेट करायचा हे समजण्यासाठी हे नंतरचे शब्द पुरेसे असतील. परंतु मी काय आणि कसे करावे हे समजून घेण्याचा प्रयत्न करत असताना, मी असे बरेच मार्गदर्शक वाचले जे लेखकासाठी कार्य करतात, परंतु काही कारणास्तव माझ्यासाठी कार्य करत नाहीत आणि मला सापडलेले सर्व तुकडे मी येथे जोडण्याचा निर्णय घेतला. मला अशा गोष्टीबद्दल खूप आनंद होईल.

स्त्रोत: www.habr.com