ПроХостер > блог > Администрација > Како се повезати на корпоративни ВПН у Линуку користећи опенцоннецт и впн-слице

Како се повезати на корпоративни ВПН у Линуку користећи опенцоннецт и впн-слице

Да ли желите да користите Линук на послу, али ваш корпоративни ВПН вам то не дозвољава? Онда би овај чланак могао помоћи, иако то није сигурно. Унапред вас упозоравам да се не разумем добро у проблеме мрежне администрације, па је могуће да сам све урадио погрешно. С друге стране, могуће је да могу да напишем водич на начин да буде разумљив обичним људима, па вам саветујем да га испробате.

Чланак садржи много непотребних информација, али без тог знања не бих успео да решим проблеме који су ми се неочекивано појавили са подешавањем ВПН-а. Мислим да ће свако ко покуша да користи овај водич имати проблеме које ја нисам имао, и надам се да ће ове додатне информације помоћи да сами реше ове проблеме.

Већина команди коришћених у овом водичу треба да се покрене преко судо, који је уклоњен ради краткоће. Имати на уму.

Већина ИП адреса је озбиљно замућена, тако да ако видите адресу као што је 435.435.435.435, тамо мора да постоји нека нормална ИП адреса, специфична за ваш случај.

Имам Убунту 18.04, али мислим да се уз мање измене водич може применити на друге дистрибуције. Међутим, у овом тексту Линук == Убунту.

Цисцо Цоннецт

Они који користе Виндовс или МацОС могу да се повежу на наш корпоративни ВПН преко Цисцо Цоннецт-а, који треба да наведе адресу мрежног пролаза и, сваки пут када се повежете, унесете лозинку која се састоји од фиксног дела и кода који генерише Гоогле Аутхентицатор.

У случају Линука, нисам могао да покренем Цисцо Цоннецт, али сам успео да изгуглам препоруку да користим опенцоннецт, направљену посебно да замени Цисцо Цоннецт.

Опенцоннецт

У теорији, Убунту има посебан графички интерфејс за опенцоннецт, али мени није функционисао. Можда је и на боље.

На Убунту-у, опенцоннецт се инсталира из менаџера пакета.

apt install openconnect

Одмах након инсталације, можете покушати да се повежете на ВПН

openconnect --user poxvuibr vpn.evilcorp.com

впн.евилцорп.цом је адреса фиктивног ВПН-а
поквуибр - измишљено корисничко име

опенцоннецт ће од вас тражити да унесете лозинку, која се, да вас подсетим, састоји од фиксног дела и кода из Гоогле Аутхентицатор-а, а затим ће покушати да се повеже на впн. Ако ради, честитам, можете безбедно да прескочите средину, која је веома мучна, и да пређете на тачку о опенцоннецт-у који ради у позадини. Ако не успије, онда можете наставити. Иако је функционисало приликом повезивања, на пример, са гостујућег Ви-Фи-ја на послу, онда је можда прерано да се радујете; требало би да покушате да поновите процедуру од куће.

Потврда

Постоји велика вероватноћа да ништа неће почети, а излаз опенцоннецт ће изгледати отприлике овако:

POST https://vpn.evilcorp.com/
Connected to 777.777.777.777:443
SSL negotiation with vpn.evilcorp.com
Server certificate verify failed: signer not found

Certificate from VPN server "vpn.evilcorp.com" failed verification.
Reason: signer not found
To trust this server in future, perhaps add this to your command line:
    --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444
Enter 'yes' to accept, 'no' to abort; anything else to view: fgets (stdin): Operation now in progress

С једне стране, ово је непријатно, јер није било везе са ВПН-ом, али с друге стране, како решити овај проблем је у принципу јасно.

Овде нам је сервер послао сертификат, по коме можемо да утврдимо да се конекција остварује са сервером наше матичне корпорације, а не са злим преварантом, а овај сертификат је непознат систему. И зато не може да провери да ли је сервер стваран или не. И тако, за сваки случај, престане да ради.

Да би се опенцоннецт повезао са сервером, потребно је да му експлицитно кажете који сертификат треба да долази са ВПН сервера користећи —серверцерт кључ

И можете сазнати који сертификат нам је сервер послао директно из онога што је опенцоннецт одштампао. Ево из овог дела:

To trust this server in future, perhaps add this to your command line:
    --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444
Enter 'yes' to accept, 'no' to abort; anything else to view: fgets (stdin): Operation now in progress

Овом командом можете покушати да се поново повежете

openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 --user poxvuibr vpn.evilcorp.com

Можда сада ради, онда можете да пређете на крај. Али лично ми је Убунта показао фигу у овом облику

POST https://vpn.evilcorp.com/
Connected to 777.777.777.777:443
SSL negotiation with vpn.evilcorp.com
Server certificate verify failed: signer not found
Connected to HTTPS on vpn.evilcorp.com
XML POST enabled
Please enter your username and password.
POST https://vpn.evilcorp.com/
Got CONNECT response: HTTP/1.1 200 OK
CSTP connected. DPD 300, Keepalive 30
Set up DTLS failed; using SSL instead
Connected as 192.168.333.222, using SSL
NOSSSSSHHHHHHHDDDDD
3
NOSSSSSHHHHHHHDDDDD
3
RTNETLINK answers: File exists
/etc/resolvconf/update.d/libc: Warning: /etc/resolv.conf is not a symbolic link to /run/resolvconf/resolv.conf

/ Етц / ресолв.цонф

# Generated by NetworkManager
search gst.evilcorpguest.com
nameserver 127.0.0.53

/рун/ресолвцонф/ресолв.цонф

# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
# 127.0.0.53 is the systemd-resolved stub resolver.
# run "systemd-resolve --status" to see details about the actual nameservers.

nameserver 192.168.430.534
nameserver 127.0.0.53
search evilcorp.com gst.publicevilcorp.com

хабр.цом ће се решити, али нећете моћи да одете тамо. Адресе попут јира.евилцорп.цом уопште нису решене.

Шта се овде десило није ми јасно. Али експеримент показује да ако додате ред у /етц/ресолв.цонф

nameserver 192.168.430.534

онда ће адресе унутар ВПН-а почети да се магично решавају и можете да прођете кроз њих, то јест, оно што ДНС тражи да разреши адресе изгледа посебно у /етц/ресолв.цонф, а не негде другде.

Можете да проверите да постоји веза са ВПН-ом и да ради без икаквих промена у /етц/ресолв.цонф; да бисте то урадили, само унесите у претраживач не симболично име ресурса са ВПН-а, већ његову ИП адресу

Као резултат тога, постоје два проблема

  • Када се повезујете на ВПН, његов ДНС се не преузима
  • сав саобраћај иде преко ВПН-а, који не дозвољава приступ Интернету

Рећи ћу вам шта да радите сада, али прво мало аутоматизације.

Аутоматски унос фиксног дела лозинке

До сада сте највероватније већ унели своју лозинку најмање пет пута и овај поступак вас је већ уморио. Прво, зато што је лозинка дуга, а друго, зато што при уласку треба да стане у фиксни временски период

Коначно решење проблема није укључено у чланак, али можете бити сигурни да фиксни део лозинке не мора да се уноси много пута.

Рецимо да је фиксни део лозинке фикедПассворд, а део из Гоогле Аутхентицатор-а је 567 987. Цела лозинка се може проследити опенцоннецт преко стандардног уноса користећи аргумент --пассвд-он-стдин .

echo "fixedPassword567987" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 --user poxvuibr vpn.evilcorp.com --passwd-on-stdin

Сада се можете стално враћати на последњу унету команду и тамо мењати само део Гоогле Аутхентицатор-а.

Корпоративни ВПН не дозвољава вам да сурфујете Интернетом.

Генерално, није баш незгодно када морате да користите посебан рачунар да бисте отишли ​​у Хабр. Немогућност копирања-пејста са стацковерфов-а генерално може да паралише рад, тако да нешто треба да се уради.

Морамо то некако да организујемо тако да када треба да приступите неком ресурсу са интерне мреже, Линукс иде на ВПН, а када треба да идете на Хабр, иде на Интернет.

опенцоннецт, након покретања и успостављања везе са впн-ом, извршава посебну скрипту, која се налази у /уср/схаре/впнц-сцриптс/впнц-сцрипт. Неке променљиве се прослеђују скрипти као улаз и она конфигурише ВПН. Нажалост, нисам могао да схватим како да поделим токове саобраћаја између корпоративног ВПН-а и остатка Интернета користећи изворну скрипту.

Очигледно, услужни програм впн-слице је развијен посебно за људе попут мене, који вам омогућава да шаљете саобраћај кроз два канала без плесања уз тамбуру. Па, то јест, мораћете да играте, али не морате да будете шаман.

Раздвајање саобраћаја помоћу впн-слице

Прво, мораћете да инсталирате впн-слице, ово ћете морати сами да схватите. Ако буде питања у коментарима, о томе ћу написати посебан пост. Али ово је обичан Питхон програм, тако да не би требало бити никаквих потешкоћа. Инсталирао сам користећи виртуаленв.

А онда се услужни програм мора применити, користећи прекидач -сцрипт, што указује на опенцоннецт да уместо стандардне скрипте треба да користите впн-слице

echo "fixedPassword567987" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 --user poxvuibr --passwd-on-stdin 
--script "./bin/vpn-slice 192.168.430.0/24  " vpn.evilcorp.com

--сцрипт се прослеђује стринг са командом коју треба позвати уместо скрипте. ./бин/впн-слице - путања до извршне датотеке впн-слице 192.168.430.0/24 - маска адреса на које треба ићи у впн-у. Овде мислимо да ако адреса почиње са 192.168.430, онда ресурс са овом адресом треба да се претражи унутар ВПН-а

Сада би ситуација требало да буде скоро нормална. Скоро. Сада можете ићи на Хабр и можете ићи на унутар-корпоративни ресурс по ИП-у, али не можете ићи на ресурс унутар компаније по симболичком имену. Ако наведете подударање између симболичког имена и адресе у хостовима, све би требало да функционише. И ради док се ИП не промени. Линук сада може да приступи Интернету или интранету, у зависности од ИП адресе. Али не-корпоративни ДНС се и даље користи за одређивање адресе.

Проблем се такође може манифестовати у овом облику - на послу је све у реду, али код куће можете приступити само интерним корпоративним ресурсима преко ИП-а. То је зато што када сте повезани на корпоративни Ви-Фи, користи се и корпоративни ДНС и у њему се решавају симболичне адресе са ВПН-а, упркос чињеници да је и даље немогуће отићи на такву адресу без коришћења ВПН-а.

Аутоматска измена фајла хостс

Ако се впн-слице љубазно замоли, онда након подизања ВПН-а може да оде на свој ДНС, да тамо пронађе ИП адресе потребних ресурса по њиховим симболичким именима и унесе их у хостове. Након искључивања ВПН-а, ове адресе ће бити уклоњене са хостова. Да бисте то урадили, морате да проследите симболична имена впн-слице-у као аргументе. Овако.

echo "fixedPassword567987" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 --user poxvuibr --passwd-on-stdin
--script "./bin/vpn-slice 192.168.430.0/24  jira.vpn.evilcorp.com git.vpn.evilcorp.com " vpn.evilcorp.com

Сада би све требало да функционише и у канцеларији и на плажи.

Потражите адресе свих поддомена у ДНС-у које даје ВПН

Ако постоји мало адреса унутар мреже, онда приступ аутоматског модификовања датотеке хостс функционише прилично добро. Али ако постоји много ресурса на мрежи, онда ћете стално морати да додајете линије као што је зоидберг.тест.евилцорп.цом у скрипту зоидберг је име једне од тестних столова.

Али сада када смо мало разумели зашто се ова потреба може елиминисати.

Ако, након подизања ВПН-а, погледате у /етц/хостс, можете видети ову линију

192.168.430.534 днс0.тун0 # впн-слице-тун0 АУТОЦРЕАТЕД

И нова линија је додата у ресолв.цонф. Укратко, впн-слице је некако одредио где се налази днс сервер за впн.

Сада морамо да се уверимо да да би сазнали ИП адресу имена домена које се завршава на евилцорп.цом, Линук иде на корпоративни ДНС, а ако је потребно нешто друго, онда на подразумевани.

Гуглао сам доста времена и открио да је таква функционалност доступна у Убунту-у без употребе. То значи могућност коришћења локалног ДНС сервера днсмаск за решавање имена.

То јест, можете осигурати да Линук увек иде на локални ДНС сервер за ИП адресе, који ће заузврат, у зависности од имена домена, тражити ИП на одговарајућем спољном ДНС серверу.

За управљање свиме што је везано за мреже и мрежне везе, Убунту користи НетворкМанагер, а графички интерфејс за бирање, на пример, Ви-Фи веза је само предњи крај за њега.

Мораћемо да се попнемо у његовој конфигурацији.

  1. Направите датотеку у /етц/НетворкМанагер/днсмаск.д/евилцорп

аддресс=/.евилцорп.цом/192.168.430.534

Обратите пажњу на тачку испред евилцорп-а. То сигнализира днсмаск-у да све поддомене евилцорп.цом треба претражити у корпоративном ДНС-у.

  1. Реците НетворкМанагер-у да користи днсмаск за разрешење имена

Конфигурација мрежног менаџера се налази у /етц/НетворкМанагер/НетворкМанагер.цонф Тамо треба да додате:

[main] dns=dnsmasq

  1. Поново покрените НетворкМанагер

service network-manager restart

Сада, након повезивања на ВПН користећи опенцоннецт и впн-слице, ИП ће се нормално одредити, чак и ако не додате симболичке адресе у аргументе впнслице.

Како приступити појединачним услугама путем ВПН-а

Након што сам успео да се повежем на ВПН, био сам веома срећан два дана, а онда се испоставило да ако се повежем на ВПН изван канцеларијске мреже, пошта не ради. Симптом је познат, зар не?

Наша пошта се налази на маил.публицевилцорп.цом, што значи да не потпада под правило у днсмаск-у и да се адреса сервера поште претражује преко јавног ДНС-а.

Па, канцеларија и даље користи ДНС, који садржи ову адресу. То је оно што сам мислио. У ствари, након додавања линије у днсмаск

адреса=/маил.публицевилцорп.цом/192.168.430.534

ситуација се уопште није променила. ип је остао исти. Морао сам да идем на посао.

И тек касније, када сам дубље ушао у ситуацију и мало схватио проблем, једна паметна особа ми је рекла како да га решим. Било је потребно повезати се са сервером поште не само тако, већ преко ВПН-а

Користим впн-слице да прођем кроз ВПН до адреса које почињу са 192.168.430. А маил сервер не само да има симболичку адресу која није поддомен евилцорп-а, већ нема ни ИП адресу која почиње са 192.168.430. И наравно не дозвољава никоме из опште мреже да дође код њега.

Да би Линук прошао кроз ВПН и на сервер поште, потребно је да га додате и у впн-слице. Рецимо да је адреса пошиљаоца 555.555.555.555

echo "fixedPassword567987" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 --user poxvuibr --passwd-on-stdin
--script "./bin/vpn-slice 555.555.555.555 192.168.430.0/24" vpn.evilcorp.com

Скрипта за подизање ВПН-а са једним аргументом

Све ово, наравно, није баш згодно. Да, можете да сачувате текст у датотеку и да га копирате и залепите у конзолу уместо да га куцате ручно, али то и даље није баш пријатно. Да бисте олакшали процес, можете умотати команду у скрипту која ће се налазити у ПАТХ. А онда ћете морати само да унесете код који сте добили од Гоогле Аутхентицатор-а

#!/bin/sh  
echo "fixedPassword$1" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 --user poxvuibr --passwd-on-stdin 
--script "./bin/vpn-slice 192.168.430.0/24  jira.vpn.evilcorp.com git.vpn.evilcorp.com " vpn.evilcorp.com

Ако ставите скрипту у цоннецт~евилцорп~ можете једноставно писати у конзоли

connect_evil_corp 567987

Али сада још увек морате да држите отворену конзолу у којој је опенцоннецт из неког разлога

Покретање опенцоннецт-а у позадини

На срећу, аутори опенцоннецт-а су се побринули за нас и додали посебан кључ у програм -бацкгроунд, који омогућава да програм ради у позадини након покретања. Ако га покренете овако, можете затворити конзолу након покретања

#!/bin/sh  
echo "fixedPassword$1" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 
--user poxvuibr 
--passwd-on-stdin 
--background 
--script "./bin/vpn-slice 192.168.430.0/24  jira.vpn.evilcorp.com git.vpn.evilcorp.com " vpn.evilcorp.com

Сада једноставно није јасно куда иду дневници. Уопштено говорећи, не требају нам евиденције, али никад се не зна. опенцоннецт може да их преусмери на системски дневник, где ће бити безбедни и безбедни. морате додати прекидач –сислог у команду

#!/bin/sh  
echo "fixedPassword$1" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 
--user poxvuibr 
--passwd-on-stdin 
--background 
--syslog 
--script "./bin/vpn-slice 192.168.430.0/24  jira.vpn.evilcorp.com git.vpn.evilcorp.com " vpn.evilcorp.com

И тако, испоставило се да опенцоннецт ради негде у позадини и никоме не смета, али није јасно како то зауставити. То јест, можете, наравно, филтрирати пс излаз користећи греп и тражити процес чије име садржи опенцоннецт, али то је некако досадно. Хвала и ауторима који су размишљали о овоме. Опенцоннецт има кључ -пид-филе, помоћу којег можете упутити опенцоннецт да упише свој идентификатор процеса у датотеку.

#!/bin/sh  
echo "fixedPassword$1" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 
--user poxvuibr 
--passwd-on-stdin 
--background  
--syslog 
--script "./bin/vpn-slice 192.168.430.0/24  jira.vpn.evilcorp.com git.vpn.evilcorp.com " vpn.evilcorp.com  
--pid-file ~/vpn-pid

Сада увек можете да убијете процес помоћу команде

kill $(cat ~/vpn-pid)

Ако нема процеса, килл ће проклињати, али неће изазвати грешку. Ако датотека није ту, онда се ништа лоше неће догодити, тако да можете безбедно да убијете процес у првом реду скрипте.

kill $(cat ~/vpn-pid)
#!/bin/sh  
echo "fixedPassword$1" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 
--user poxvuibr 
--passwd-on-stdin 
--background 
--syslog 
--script "./bin/vpn-slice 192.168.430.0/24  jira.vpn.evilcorp.com git.vpn.evilcorp.com " vpn.evilcorp.com  
--pid-file ~/vpn-pid

Сада можете да укључите рачунар, отворите конзолу и покренете команду, преносећи јој код из Гоогле Аутхентицатор-а. Конзола се тада може приковати.

Без ВПН-среза. Уместо поговора

Испоставило се да је веома тешко разумети како живети без ВПН-слице. Морао сам много да читам и гуглам. На срећу, након што смо провели толико времена са проблемом, технички приручници, па чак и ман опенцоннецт, читају се као узбудљиви романи.

Као резултат тога, открио сам да впн-слице, као и матична скрипта, модификује табелу рутирања у одвојене мреже.

Табела рутирања

Поједностављено речено, ово је табела у првој колони која садржи са чиме треба да почне адреса преко које Линук жели да прође, а у другој колони кроз који мрежни адаптер треба да прође на овој адреси. У ствари, има више говорника, али то не мења суштину.

Да бисте видели табелу рутирања, потребно је да покренете команду ип роуте

default via 192.168.1.1 dev wlp3s0 proto dhcp metric 600 
192.168.430.0/24 dev tun0 scope link 
192.168.1.0/24 dev wlp3s0 proto kernel scope link src 192.168.1.534 metric 600 
192.168.430.534 dev tun0 scope link

Овде је свака линија одговорна за то где треба да идете да бисте послали поруку на неку адресу. Први је опис где адреса треба да почне. Да бисте разумели како да утврдите да 192.168.0.0/16 значи да адреса треба да почиње са 192.168, потребно је да прогуглате шта је маска ИП адресе. После дев налази се назив адаптера на који треба послати поруку.

За ВПН, Линук је направио виртуелни адаптер - тун0. Линија обезбеђује да саобраћај за све адресе које почињу са 192.168 пролази кроз њу

192.168.0.0/16 dev tun0 scope link

Такође можете погледати тренутно стање табеле рутирања помоћу команде рута -н (ИП адресе су паметно анонимизоване) Ова команда даје резултате у другачијем облику и генерално је застарела, али њен излаз се често налази у приручницима на Интернету и морате бити у могућности да га прочитате.

Одакле ИП адреса за руту треба да почне може се разумети из комбинације колона Дестинатион и Генмаск. У обзир се узимају они делови ИП адресе који одговарају бројевима 255 у Генмаск-у, али они где је 0 нису. То јест, комбинација Дестинатион 192.168.0.0 и Генмаск 255.255.255.0 значи да ако адреса почиње са 192.168.0, онда ће захтев према њој ићи овом рутом. А ако одредиште 192.168.0.0 али Генмаск 255.255.0.0, онда ће захтеви за адресе које почињу са 192.168 ићи овом рутом

Да бих схватио шта впн-слице заправо ради, одлучио сам да погледам стања табела пре и после

Пре укључивања ВПН-а било је овако

route -n 

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         222.222.222.1   0.0.0.0         UG    600    0        0 wlp3s0
222.222.222.0   0.0.0.0         255.255.255.0   U     600    0        0 wlp3s0
333.333.333.333 222.222.222.1   255.255.255.255 UGH   0      0        0 wlp3s0

Након позивања опенцоннецт-а без впн-слице-а постало је овако

route -n

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 tun0
0.0.0.0         222.222.222.1   0.0.0.0         UG    600    0        0 wlp3s0
222.222.222.0   0.0.0.0         255.255.255.0   U     600    0        0 wlp3s0
333.333.333.333 222.222.222.1   255.255.255.255 UGH   0      0        0 wlp3s0
192.168.430.0   0.0.0.0         255.255.255.0   U     0      0        0 tun0
192.168.430.534 0.0.0.0         255.255.255.255 UH    0      0        0 tun0

И након позива опенцоннецт у комбинацији са впн-слице-ом овако

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         222.222.222.1   0.0.0.0         UG    600    0        0 wlp3s0
222.222.222.0   0.0.0.0         255.255.255.0   U     600    0        0 wlp3s0
333.333.333.333 222.222.222.1   255.255.255.255 UGH   0      0        0 wlp3s0
192.168.430.0   0.0.0.0         255.255.255.0   U     0      0        0 tun0
192.168.430.534 0.0.0.0         255.255.255.255 UH    0      0        0 tun0

Може се видети да ако не користите впн-слице, онда опенцоннецт експлицитно пише да се свим адресама, осим оних које су посебно назначене, мора приступити преко впн-а.

Баш овде:

0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 tun0

Тамо, поред ње, одмах је назначена друга путања, која се мора користити ако адреса кроз коју Линукс покушава да прође не одговара ниједној маски из табеле.

0.0.0.0         222.222.222.1   0.0.0.0         UG    600    0        0 wlp3s0

Овде је већ написано да у овом случају морате користити стандардни Ви-Фи адаптер.

Верујем да се ВПН путања користи јер је прва у табели рутирања.

И теоретски, ако уклоните ову подразумевану путању из табеле рутирања, онда би у спрези са днсмаск опенцоннецт требало да обезбеди нормалан рад.

покушао сам

route del default

И све је функционисало.

Усмеравање захтева на сервер поште без впн-слице-а

Али имам и маил сервер са адресом 555.555.555.555, коме такође треба приступити преко ВПН-а. Руту до њега такође треба додати ручно.

ip route add 555.555.555.555 via dev tun0

И сада је све у реду. Дакле, можете без впн-слице-а, али морате добро да знате шта радите. Сада размишљам о томе да у последњу линију матичне опенцоннецт скрипте додам уклањање подразумеване руте и додам руту за маилер након повезивања на впн, само да би било мање покретних делова у мом бициклу.

Вероватно би овај поговор био довољан да неко схвати како да подеси ВПН. Али док сам покушавао да схватим шта и како да радим, прочитао сам доста таквих водича који раде за аутора, али из неког разлога не раде за мене, и одлучио сам да овде додам све делове које сам пронашао. Био бих веома срећан због тако нечег.

Извор: ввв.хабр.цом

Додај коментар