abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    včera 23:33 | Komunita

    Vývojáři KDE ve spolupráci se společností Slimbook oznámili 16palcový notebook KDE Slimbook VI s předinstalovaným KDE Neon s Plasmou 6. Uvnitř se nachází procesor AMD Ryzen 7 8845HS s integrovanou grafickou kartou Radeon 780M.

    Ladislav Hagara | Komentářů: 0
    včera 16:55 | Komunita

    Ve Würzburgu dnes začala konference vývojářů a uživatelů desktopového prostředí KDE Akademy 2024. Sledovat lze také online (YouTube, Mastodon, 𝕏, …)

    Ladislav Hagara | Komentářů: 0
    včera 16:44 | Nová verze

    Byla vydána nová major verze 14 svobodného systému pro řízení přístupu k síti (NAC) PacketFence (Wikipedie). Přehled novinek v oznámení o vydání. Pro uživatele předchozích verzí jsou k dispozici poznámky k aktualizaci.

    Ladislav Hagara | Komentářů: 0
    včera 02:33 | Zajímavý článek

    Jak nahrávat zvuk z webového prohlížeče na Linuxu s PipeWire pomocí Nahrávání zvuku (Sound Recorder) a Helvum případně qpwgraph, článek na webu Libre Arts.

    Ladislav Hagara | Komentářů: 0
    6.9. 22:11 | Komunita

    Vývoj webového serveru a reverzní proxy nginx byl přesunut z Mercurial na GitHub.

    Ladislav Hagara | Komentářů: 1
    6.9. 17:44 | Nová verze

    Open source platforma Home Assistant (Demo, GitHub, Wikipedie) pro monitorování a řízení inteligentní domácnosti byla vydána ve verzi 2024.9.

    Ladislav Hagara | Komentářů: 2
    6.9. 17:22 | Bezpečnostní upozornění

    České bezpečnostní instituce, jmenovitě Vojenské zpravodajství (VZ) a Bezpečnostní informační služba (BIS), ve spolupráci s americkou Agenturou pro kybernetickou a infrastrukturní bezpečnost (CISA), Federálním úřadem pro vyšetřování (FBI), Národní bezpečností agenturou (NSA) a dalšími mezinárodními partnery ze Spojeného království, Austrálie, Kanady, Německa, Nizozemska, Estonska, Ukrajiny a Lotyšska vydaly upozornění (

    … více »
    Ladislav Hagara | Komentářů: 15
    6.9. 03:00 | Nová verze

    Byla vydána (𝕏) srpnová aktualizace aneb nová verze 1.93 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a animovanými gify v poznámkách k vydání. Ve verzi 1.93 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.

    Ladislav Hagara | Komentářů: 0
    6.9. 02:00 | IT novinky

    Společnost Laravel stojící za stejnojmenným open source PHP frameworkem získala investici 57 milionů dolarů od společnosti Accel. Především na Laravel Cloud.

    Ladislav Hagara | Komentářů: 2
    6.9. 01:00 | Nová verze

    Byla vydána verze 1.81.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Řešena je také zranitelnost CVE-2024-43402. Vyzkoušet Rust lze například na stránce Rust by Example.

    Ladislav Hagara | Komentářů: 0
    Rozcestník

    Dotaz: OpenVPN - monitoring uživatelů uvnitř VPN sítí

    19.11.2009 20:22 Bassman
    OpenVPN - monitoring uživatelů uvnitř VPN sítí
    Přečteno: 702×
    Ahoj, měl bych na Vás dotaz. Mám nakonfigurované OpenVPN které mi propojuje jednotlivé pobočky. Dále VPN přístupy používají obchodní cestující (mají vlastní IP rozsah), kteří se ověří vůči VPN serveru v centrále a někdy jdou tunelem přímo na pobočku a ne do vnitřní sítě (VPN server je v DMZ). Tzn. data neodejdou vůbec z VPN serveru na router, ale přímo routují uvnitř VPN serveru do jiného IP rozsahu (pobočkového). Potřeboval bych monitorovat provoz těchto obchodních cestujících. Je to možné když jsou pakety stále na jednom interfacu? Předpokládám, že pokud ano, tak by se musely nastavit IPTABLES a logovat veškerý provoz. Moc děkuji za odpověď.

    Odpovědi

    19.11.2009 21:57 NN
    Rozbalit Rozbalit vše Re: OpenVPN - monitoring uživatelů uvnitř VPN sítí
    Jestli jsem to dobre pochopil, tak mas VPN-ky mezi pobockama a centralou a dalsi mozne VPN-ky na pobocky,nebo centralu z venku. Jen se divim proc to neni resene centralne pres centralu a routovane do pobocek, ale muzu se na pobocku pripojit i "bokem", nicmene kde je problem. Muzes napriklad do iptables na pobocce pridat ALLOW pravidlo na mobilni rozsah s tim, ze ho budes logovat, zalezi co si predstavujes pod pojmem monitorovat..

    NN
    23.11.2009 15:30 Bassman
    Rozbalit Rozbalit vše Re: OpenVPN - monitoring uživatelů uvnitř VPN sítí
    Ne, pochopil jsi to špatně - nebo jsem to špatně popsal. Vše jde přes centrálu. Do cetrály se připojují jak pobočky, tak obchodní cestující. Z pobočky jdou dál do LAN do DB atd. Obchodní cestující se přihlásí také přes centrální VPN a může jít buď na DB, emaily atd. nebo v rámci VPN na pobočku. Tzn. veškerý provoz jde přes centrální VPN server a já bych chtěl monitorovat obchodní cestující pokud by nešel do LAN (to vidím na routeru), ale na pobočku (to na routeru nemohu vidět, protože provoz směruje přímo VPN server). Snad jsem to teď popsal jasněji. Díky!!
    23.11.2009 18:37 NN
    Rozbalit Rozbalit vše Re: OpenVPN - monitoring uživatelů uvnitř VPN sítí
    Porad moc nechapu kde tam sedi ten router a a co znamena "smeruje primo VPN server",ale chapu to tak ze jde defacto z venkovniho tunelu do pobockoveho tunelu. Takze nevidis vnitrni IP-cko. A dostavame se k jadru veci, coze to chces vlastne monitorovat. Jestli jse o IP-cka tak to muzes zachtit na firewall-u.

    NN
    23.11.2009 18:53 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: OpenVPN - monitoring uživatelů uvnitř VPN sítí
    Myslím že tazatel má duševní problém s tím že příchozí interface je zároveň odchozí, ale to ničemu nebrání a IMHO budou vidět jak příchozí tak odchozí pakety. Monitorovat lze pak prakticky cokoliv od statistik až po obsah paketů.
    In Ada the typical infinite loop would normally be terminated by detonation.
    23.11.2009 20:57 Mti. | skóre: 31 | blog: Mti
    Rozbalit Rozbalit vše Re: OpenVPN - monitoring uživatelů uvnitř VPN sítí
    no... pokud ma jen jeden openvpn server (jeden konfigurak, kazdy klient svuj klic, nastavene pevne adresy... ) a vsechno ostatni je reseno jako klienti tohoto serveru (pobocky i rw), tak si nejsu tak uplne jisty. Prave jsem zkusil mezi svymi klienty spustit ping. Na serveru (tcpdump -i tun0 icmp) byl videt pouze provoz na eth1, kde je openvpn povesene, ale tcpdump na tun0 nic nevidel. Ocekavam, ze toto mel puvodni pisatel na mysli. Openvpn se tvari jako mala vnitrni sit se switcherem a az to, co se ma routovat do/z serveru, se tvari, ze leze pres tun. :-/
    Vidim harddisk mrzuty, jehoz hlava plotny se dotyka...
    25.11.2009 19:31 bassman
    Rozbalit Rozbalit vše Re: OpenVPN - monitoring uživatelů uvnitř VPN sítí
    Ano. To je přesně můj problém!! :-) VPN adaptér tun0 slouží v případě "cesťáka" pro vstup, ale zároveň pro výstup paketů pokud jde na pobočku. Pokud jde dál do sítě, tak pakety odcházejí přes eth0 z DMZ na firewall a dále do LAN. Já tedy potřebuju vědět, jestli jsem schopen nějak monitorovat provoz, pokud je vstupní i vástupní rozhraní jeden adaptér (v mém případě tun0). Jak mám v tomto případě nastavit IPtables? Pokud bych monitorovat IN tun0 OUT eth0, tak jsem schopen se s tím nějak poprat, ale takto ... :-(.
    25.11.2009 20:59 NN
    Rozbalit Rozbalit vše Re: OpenVPN - monitoring uživatelů uvnitř VPN sítí
    FORWARD -i tun0 -o tun0 ?

    NN
    25.11.2009 21:24 Dramon
    Rozbalit Rozbalit vše Re: OpenVPN - monitoring uživatelů uvnitř VPN sítí
    Pokud máte zapnutou direktivu "client-to-client", OpenVPN ten paket příjme a pokud vidí, že je určen někam dál do VPN, tak jej na tun rozhraní ani nevybalí a rovnou jej tam pošle. Tím pádem nemají IPTables šanci. Pokud se ale nepletu, tak vypnutím této direktivy a povolením routebacku na rozhraní tun by jste měl donutit OpenVPN server paket dešifrovat a poslat na tun rozhraní, neb nebude vědět co s ním. Tam se ho ujme "routovací tabulka" a vrátí ho zpět OpenVPN. Aspoň mám dojem, že mi to takto kdysi fungovalo.
    Při nejhorším si rozjeďte ještě jeden server pro pobočku, je to otázka minuty
    26.11.2009 12:05 Bassman
    Rozbalit Rozbalit vše Re: OpenVPN - monitoring uživatelů uvnitř VPN sítí
    Ano, mám zapnutý parametr client-to-client a přesně z toho co píšete, mám obavy. Rozjet druhý VPN by skutečně mělo být řešení. Zkusím nejdříve variantu vypnout C2C a pomocí routovací tabulky směrovat provoz zpět do tunelu.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.