abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 17:44 | Zajímavý článek

    Jak si zobrazit pomocí Chrome a na Chromiu založených webových prohlížečích stránky s neplatným certifikátem? Stačí napsat thisisunsafe.

    Ladislav Hagara | Komentářů: 0
    dnes 00:33 | Bezpečnostní upozornění

    V repozitáři AUR (Arch User Repository) linuxové distribuce Arch Linux byly nalezeny a odstraněny tři balíčky s malwarem. Jedná se o librewolf-fix-bin, firefox-patch-bin a zen-browser-patched-bin.

    Ladislav Hagara | Komentářů: 8
    dnes 00:22 | Komunita

    Dle plánu by Debian 13 s kódovým názvem Trixie měl vyjít v sobotu 9. srpna.

    Ladislav Hagara | Komentářů: 0
    včera 13:22 | Komunita

    Vývoj linuxové distribuce Clear Linux (Wikipedie) vyvíjené společností Intel a optimalizováné pro jejich procesory byl oficiálně ukončen.

    Ladislav Hagara | Komentářů: 1
    18.7. 14:00 | Zajímavý článek

    Byl publikován aktuální přehled vývoje renderovacího jádra webového prohlížeče Servo (Wikipedie).

    Ladislav Hagara | Komentářů: 0
    18.7. 12:00 | Nová verze

    V programovacím jazyce Go naprogramovaná webová aplikace pro spolupráci na zdrojových kódech pomocí gitu Forgejo byla vydána ve verzi 12.0 (Mastodon). Forgejo je fork Gitei.

    Ladislav Hagara | Komentářů: 1
    17.7. 18:44 | Zajímavý článek

    Nová čísla časopisů od nakladatelství Raspberry Pi zdarma ke čtení: Raspberry Pi Official Magazine 155 (pdf) a Hello World 27 (pdf).

    Ladislav Hagara | Komentářů: 1
    17.7. 16:11 | Nová verze

    Hyprland, tj. kompozitor pro Wayland zaměřený na dláždění okny a zároveň grafické efekty, byl vydán ve verzi 0.50.0. Podrobný přehled novinek na GitHubu.

    Ladislav Hagara | Komentářů: 4
    17.7. 15:55 | Komunita

    Patrick Volkerding oznámil před dvaatřiceti lety vydání Slackware Linuxu 1.00. Slackware Linux byl tenkrát k dispozici na 3,5 palcových disketách. Základní systém byl na 13 disketách. Kdo chtěl grafiku, potřeboval dalších 11 disket. Slackware Linux 1.00 byl postaven na Linuxu .99pl11 Alpha, libc 4.4.1, g++ 2.4.5 a XFree86 1.3.

    Ladislav Hagara | Komentářů: 6
    16.7. 21:22 | IT novinky

    Ministerstvo pro místní rozvoj (MMR) jako první orgán státní správy v Česku spustilo takzvaný „bug bounty“ program pro odhalování bezpečnostních rizik a zranitelných míst ve svých informačních systémech. Za nalezení kritické zranitelnosti nabízí veřejnosti odměnu 1000 eur, v případě vysoké závažnosti je to 500 eur. Program se inspiruje přístupy běžnými v komerčním sektoru nebo ve veřejné sféře v zahraničí.

    Ladislav Hagara | Komentářů: 19
    Kolik tabů máte standardně otevřeno ve web prohlížeči?
     (19%)
     (19%)
     (4%)
     (8%)
     (4%)
     (8%)
     (4%)
     (35%)
    Celkem 26 hlasů
     Komentářů: 4, poslední dnes 16:33
    Rozcestník

    Dotaz: OpenVPN - monitoring uživatelů uvnitř VPN sítí

    19.11.2009 20:22 Bassman
    OpenVPN - monitoring uživatelů uvnitř VPN sítí
    Přečteno: 711×
    Ahoj, měl bych na Vás dotaz. Mám nakonfigurované OpenVPN které mi propojuje jednotlivé pobočky. Dále VPN přístupy používají obchodní cestující (mají vlastní IP rozsah), kteří se ověří vůči VPN serveru v centrále a někdy jdou tunelem přímo na pobočku a ne do vnitřní sítě (VPN server je v DMZ). Tzn. data neodejdou vůbec z VPN serveru na router, ale přímo routují uvnitř VPN serveru do jiného IP rozsahu (pobočkového). Potřeboval bych monitorovat provoz těchto obchodních cestujících. Je to možné když jsou pakety stále na jednom interfacu? Předpokládám, že pokud ano, tak by se musely nastavit IPTABLES a logovat veškerý provoz. Moc děkuji za odpověď.

    Odpovědi

    19.11.2009 21:57 NN
    Rozbalit Rozbalit vše Re: OpenVPN - monitoring uživatelů uvnitř VPN sítí
    Jestli jsem to dobre pochopil, tak mas VPN-ky mezi pobockama a centralou a dalsi mozne VPN-ky na pobocky,nebo centralu z venku. Jen se divim proc to neni resene centralne pres centralu a routovane do pobocek, ale muzu se na pobocku pripojit i "bokem", nicmene kde je problem. Muzes napriklad do iptables na pobocce pridat ALLOW pravidlo na mobilni rozsah s tim, ze ho budes logovat, zalezi co si predstavujes pod pojmem monitorovat..

    NN
    23.11.2009 15:30 Bassman
    Rozbalit Rozbalit vše Re: OpenVPN - monitoring uživatelů uvnitř VPN sítí
    Ne, pochopil jsi to špatně - nebo jsem to špatně popsal. Vše jde přes centrálu. Do cetrály se připojují jak pobočky, tak obchodní cestující. Z pobočky jdou dál do LAN do DB atd. Obchodní cestující se přihlásí také přes centrální VPN a může jít buď na DB, emaily atd. nebo v rámci VPN na pobočku. Tzn. veškerý provoz jde přes centrální VPN server a já bych chtěl monitorovat obchodní cestující pokud by nešel do LAN (to vidím na routeru), ale na pobočku (to na routeru nemohu vidět, protože provoz směruje přímo VPN server). Snad jsem to teď popsal jasněji. Díky!!
    23.11.2009 18:37 NN
    Rozbalit Rozbalit vše Re: OpenVPN - monitoring uživatelů uvnitř VPN sítí
    Porad moc nechapu kde tam sedi ten router a a co znamena "smeruje primo VPN server",ale chapu to tak ze jde defacto z venkovniho tunelu do pobockoveho tunelu. Takze nevidis vnitrni IP-cko. A dostavame se k jadru veci, coze to chces vlastne monitorovat. Jestli jse o IP-cka tak to muzes zachtit na firewall-u.

    NN
    23.11.2009 18:53 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: OpenVPN - monitoring uživatelů uvnitř VPN sítí
    Myslím že tazatel má duševní problém s tím že příchozí interface je zároveň odchozí, ale to ničemu nebrání a IMHO budou vidět jak příchozí tak odchozí pakety. Monitorovat lze pak prakticky cokoliv od statistik až po obsah paketů.
    In Ada the typical infinite loop would normally be terminated by detonation.
    23.11.2009 20:57 Mti. | skóre: 31 | blog: Mti
    Rozbalit Rozbalit vše Re: OpenVPN - monitoring uživatelů uvnitř VPN sítí
    no... pokud ma jen jeden openvpn server (jeden konfigurak, kazdy klient svuj klic, nastavene pevne adresy... ) a vsechno ostatni je reseno jako klienti tohoto serveru (pobocky i rw), tak si nejsu tak uplne jisty. Prave jsem zkusil mezi svymi klienty spustit ping. Na serveru (tcpdump -i tun0 icmp) byl videt pouze provoz na eth1, kde je openvpn povesene, ale tcpdump na tun0 nic nevidel. Ocekavam, ze toto mel puvodni pisatel na mysli. Openvpn se tvari jako mala vnitrni sit se switcherem a az to, co se ma routovat do/z serveru, se tvari, ze leze pres tun. :-/
    Vidim harddisk mrzuty, jehoz hlava plotny se dotyka...
    25.11.2009 19:31 bassman
    Rozbalit Rozbalit vše Re: OpenVPN - monitoring uživatelů uvnitř VPN sítí
    Ano. To je přesně můj problém!! :-) VPN adaptér tun0 slouží v případě "cesťáka" pro vstup, ale zároveň pro výstup paketů pokud jde na pobočku. Pokud jde dál do sítě, tak pakety odcházejí přes eth0 z DMZ na firewall a dále do LAN. Já tedy potřebuju vědět, jestli jsem schopen nějak monitorovat provoz, pokud je vstupní i vástupní rozhraní jeden adaptér (v mém případě tun0). Jak mám v tomto případě nastavit IPtables? Pokud bych monitorovat IN tun0 OUT eth0, tak jsem schopen se s tím nějak poprat, ale takto ... :-(.
    25.11.2009 20:59 NN
    Rozbalit Rozbalit vše Re: OpenVPN - monitoring uživatelů uvnitř VPN sítí
    FORWARD -i tun0 -o tun0 ?

    NN
    25.11.2009 21:24 Dramon
    Rozbalit Rozbalit vše Re: OpenVPN - monitoring uživatelů uvnitř VPN sítí
    Pokud máte zapnutou direktivu "client-to-client", OpenVPN ten paket příjme a pokud vidí, že je určen někam dál do VPN, tak jej na tun rozhraní ani nevybalí a rovnou jej tam pošle. Tím pádem nemají IPTables šanci. Pokud se ale nepletu, tak vypnutím této direktivy a povolením routebacku na rozhraní tun by jste měl donutit OpenVPN server paket dešifrovat a poslat na tun rozhraní, neb nebude vědět co s ním. Tam se ho ujme "routovací tabulka" a vrátí ho zpět OpenVPN. Aspoň mám dojem, že mi to takto kdysi fungovalo.
    Při nejhorším si rozjeďte ještě jeden server pro pobočku, je to otázka minuty
    26.11.2009 12:05 Bassman
    Rozbalit Rozbalit vše Re: OpenVPN - monitoring uživatelů uvnitř VPN sítí
    Ano, mám zapnutý parametr client-to-client a přesně z toho co píšete, mám obavy. Rozjet druhý VPN by skutečně mělo být řešení. Zkusím nejdříve variantu vypnout C2C a pomocí routovací tabulky směrovat provoz zpět do tunelu.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.