Рубрика: Сети

Rocky Linux 8.4 Open vSwitch

Прикручивать к системе буду через network-scripts, хоть и legacy, но просто, быстро и без бубна. А NetworkManager вообще выключу к х.ям. И вообще это заметка для себя, потому что OVSDHCPINTERFACES и OVSBOOTPROTO как-то не сразу обнаружилось, а надо было.

Устанавливаем пакеты, в два этапа

dnf install -y centos-release-nfv-openvswitch
dnf install -y network-scripts openvswitch2.13

Запускаем OpenVSwitch

systemctl enable --now openvswitch

Добавляем OVS свитч ovs-br0, порт в него добавим позже, иначе отвалится сеть

ovs-vsctl add-br ovs-br0

Создаем файлы конфигурации свитча

cat > /etc/sysconfig/network-scripts/ifcfg-ovs-br0 << EOF
DEVICE=ovs-br0
BOOTPROTO=dhcp 
ONBOOT=yes
TYPE=OVSBridge
PEERDNS=yes
IPV6INIT=no
# Static IP
IPADDR=192.168.0.2
NETMASK=255.255.255.0
GATEWAY=192.168.0.1
DNS1=192.168.0.1
DNS2=1.1.1.1
#Or DHCP Config, BOOTPROTO должно быть none
OVSBOOTPROTO=dhcp
OVSDHCPINTERFACES=enp0s3
EOF

И его порта,

cat > /etc/sysconfig/network-scripts/ifcfg-enp0s3 << EOF
DEVICE=enp0s3
ONBOOT=yes
TYPE=OVSPort
DEVICETYPE=ovs
OVS_BRIDGE=ovs-br0
EOF

Выключаем NetworkManager и заводим sys-v скрипты

systemctl disable NetworkManager
systemctl enable network

Вот тут кончится сеть или перезагружать компьютер через минутку (shutdown -r +1)

ovs-vsctl add-port ovs-br0 enp0s3

или выполнить в скрипте

systemctl stop NetworkManager
systemctl start network

Ну а дальше:
https://habr.com/ru/post/242741/

Прячем виртуальный хост в малиновый пирог

МагияПро OpenVPN написано уже довольно дофига. И даже мной. Но вот возникла необходимость сделать ВЖУХ.

Итак:
Сервер на Raspberry-pi, eth0 в мост с tap1
Клиент на libvirt хост, VPN поднимает хост, отдает мостом (br1 tap1) гостю. Гость прозрачно сидит в локальной сети, про VPN не знает.
Можно отключить гостю virbr0, тогда он еще и в интернет ходить будет через впн. Такая вот петрушка.
Имеем — без малинки сервера нет, но малинка сама по себе не знает откуда он берется, изучать её на в другом месте или при выключенном VPN-клиенте бессмыслительно. Еще логи в /dev/null переправить и предусмотреть аварийное выключение VPN клиента.
А еще порт понестандартнее и ваще огонь.
Конфиги чуть внизу.
Читать далее

OpenVPN & MikroTik

Как оказалось, все просто. Имеется, сервер на ubuntu Linux, который выполняет роль шлюза в некоем головном офисе, задача дешево и хорошо подключить удаленный офис.
В качестве клиента будет выступать MikroTik router board.
Сеть будет маршрутизуемая — офисы, как сидели в разных сетях, так и останутся, но после проброса туннеля будут видеть друг-друга.

Читать далее

Статичные туннели OpenVPN

Создаем ключ:

openvpn --genkey --secret static.key

Конфиг А:

dev tun
ifconfig 10.8.0.1 10.8.0.2
secret static.key
remote a.example.com

Конфиг Б:

dev tun
ifconfig 10.8.0.2 10.8.0.1
secret static.key
remote b.example.com

(отличаются только порядком адресов в ifconfig и опцией remote)

По вкусу добавить:
proto tcp — использовать TCP
port 1194 — использовать порт 1194
comp-lzo — сжатие трафика
route 192.168.4.0 255.255.255.0 — при поднятии туннеля добавить правило маршрутизации.

в одной из точек можно убрать опцию remote — тогда она будет ждать подключения второй.

Взлом DIR-320NRU или как ограничить скорость

Понадобилось устроить шейпер на какой-нить убердешевой железке. Железкой планировался быть DIR-320 от известного китайского производителя. Но внезапно вместо хорошего и простого DIR-320 приехал ужасный и непонятный DIR-320NRU и начались проблемы.

Читать далее

Еще раз об OpenVPN

Уже как-то описывал настройку OpenVPN сервера и клиентов, но это было давно и не правда, а сегодня (внезапно) друг решился настроить правильный шлюз, и правильный VPN
Все команды по установке OpenVPN, создание моста и пути указаны для уже родного ubuntu-server, но упор сделан на то, чтобы после вдумчивого чтения проблем не возникло в любом дистрибутиве, и даже другой OS.

Читать далее

SSH туннель

Вот многие пользуются годами SSH и не знают, что кроме как подключиться к консоли сервера с помощью можно еще много чего делать,
Например туннель:
ssh -2 -N -C -L ПортЛокалхоста:Сервер:ПортСервера user_на_шлюзе@Шлюз
Пробрасывает ПортЛокалхоста на на ПортСервера через Шлюз (на котором установлен ssh-сервер)

(D)DoS WPA сетей

Процесс взлома WPA сетей уже достаточно хорошо обрисован на просторах интернета, правда в рунете изложенный материал рассчитан на детей школьного возраста и носит характер пошаговой инструкции, как-нибудь позже исправим это, но сейчас о другом: о том, как можно оставить кого-нибудь без жизненно-важной сети.

Читать далее