С тегами:

ограничения

Любые посты за всё время, сначала свежие, с любым рейтингом
Найти посты
сбросить
загрузка...
30
Живу в Чехии, не могу посмотреть....
15 Комментариев  
Живу в Чехии, не могу посмотреть....
74
Когда ты не достиг возраста двенадцати лет
2 Комментария в Котомафия  
Когда ты не достиг возраста двенадцати лет
39
Алхимик недоделанный.
43 Комментария  

Я люблю готовить, имею образование технолога промышленности общепита и 4 разряд повара. Проработал поваром 4 года, но устал и сменил род деятельности, готовка осталась в качестве хобби. Разумеется, имею большое количество знакомых любителей и профессионалов кулинарного дела. Часто обмениваемся рецептами, обсуждаем совместимости блюд и прочее, но каждый раз, когда дело доходит до моего рецепта лимонной курочки, начинается одно и то же.

-...записываю.

-Шалфей, сельдерей, оливковое масло, лимонная кислота...

-Стоп, что?! ЗАЧЕМ?! Используй лимон!

-Он горчит.

-Если снять белую прослойку под кожуркой, убрать семена и плевы, то не горчит.

-Видишь, сколько работы, лимонная кислота проще.

-Тогда возьми лимонный сок!

-Он дороже и быстро портится, лимонная кислота удобнее.

-Лимонной кислотой только соду гасят, ни в одном рецепте не видел, чтоб её добавляли в чистом виде. Так нельзя.

-А в моём увидел. Почему нельзя то?

-Так нельзя, потому что нельзя!

За все время мне так и не привели ни единого довода, почему бы для аромата и кислинки не засыпать удобный порошок, и не возиться с лимоном. Но все, как один, утверждают НЕЛЬЗЯ!

1005
Собственный vpn?
294 Комментария в GNU/Linux  
Собственный vpn? vpn, openvpn, обход, ограничения, длиннопост

Начну, пожалуй, с причин, по которым я захотел его. Живу я с недавних пор в районе, где проводного интернета нет, а мобильный по LTE представлен только одним оператором. После переезда я расчехлил свой старый TP-LINK MR 3020, припаял разъем под антенну wifi и накрутил саму антенну, в usb вставил купленный у друга huawei m150-2 (E3372s). Все было замечательно, пока единственный доступный оператор с единственным "безлимитным" тарифом не решил брать 200% сверху за факт "раздачи" интернета. Итого - 300%. Я такие вещи обычно называю - "о***ли".

На все это наложилось нежелание постоянно видеть сообщение, что такой-то сайт закрыт по решению каких-то там дядек, знающих лучше меня, как мне жить. А интернет нужен для работы. И привык я смотреть фильмы и сериалы онлайн, а то и в UO на FW погонять изредка.

То есть скорость скачивания и задержки должны быть приемлимыми.

К тому же, я заметил, что вечерами явно присутствует ограничение на число соединений. то есть - открываем 10 вкладок, 11-я уже говорит об ошибке - "соединение сброшено". Закрываем какую-либо, обновляем 11-ю - все открывается.


Я хотел установить клиента VPN сразу в роутере, что позволило бы не заморачиваться с клиентами на конечных устройствах (два андроид-фона, медиацентр на pi2/openelec, пара ноутов) и скрыть от провайдера сам факт раздачи. Провайдер должен видеть один шифрованный канал на подходящий для этого порт.


Популярных технологий, имеющих возможность стартануть на роутере, было две. Это L2TP и OpenVPN. Для первой даже была вебморда, но, как я ни старался - клиентская часть не поднималась. А, да. В "родной" прошивке отсутствовала возможность использовать L2TP через usb 3g/4g, только как авторизационная составляющая для WAN-порта (ethernet). С openwrt я был на "вы", и осторожно, поэтому предпочел поискать готовую прошивку, которой можно было бы прошиться через стандартную вебморду. И я ее нашел.


Построена она на openwrt, поэтому сия инструкция сгодится для любой openwrt - прошивки с установленным пакетом openvpn, да и для других кастомных прошивок тоже.


Итак - OpenVPN. Серверная часть. Опыт работы с ним уже был, пусть и без клиентской части в роутере. Я много работаю с дистрибутивами CentOS, преимущественно 6.X, поэтому её и выбрал. Нам понадобится vps/vds сервер, который можно относительно недорого арендовать. У меня была возможность протестировать три площадки, и по итогам я сделал свой выбор. Рассматривал площадки исключительно в РФ, хотелось комфортной скорости в рунете. Как ни крути, с зарубежными площадками есть такие проблемы.


Первая площадка - недорогой VDS на kvm (более подходящая технология виртуализации), 129р/мес, 400мб ОЗУ, ssd, MSK. Пинги радуют, но общая скорость маловата.

Вторая площадка - kvm, Новосибирск. 400р. Ресурсы сервера хорошие. Пинги не радуют, скорость по итогу тоже.

Третья площадка - OpenVZ, MSK, 1Gb ОЗУ, ssd, 299р. (UDP: полез проверять цены и выяснил, что тарифы подняли, но ресурсов значительно больше. Подробнее в самом конце поста). Пришлось попросить техподдержку подключить tun/tap девайсы, сделайте это сразу, если у Вас OpenVZ. Перед покупкой уточните, что это возможно. Ссылку на эту площадку я отправлю попросившему пикабушнику в электропочту, но запросы пишите мне на мойник_собака_майлру. Приложите ссылку на свой профиль, буду проверять каждого, пикабушникам 1 день не высылаю :)


Как Вы уже поняли, ограничения на доступы к сайтам не распространяются на хостинги и ДЦ, не предназначенные для розничной доставки интернета населению. Это хорошо.


Итак, у Вас есть VDS, это либо KVM, либо OpenVZ с подключенными tun/tap девайсами. Заказываем операционку - CentOS 6.x [minimal i686]. Скачиваем клиент ssh - например, putty. Логинимся по ip сервера на порт 22 по протоколу ssh, вводим имя root и пароль. Мы в консоли!

Собственный vpn? vpn, openvpn, обход, ограничения, длиннопост

Также нужно качнуть WinSCP либо другой файл-менеджер, поддерживающий SSH, и залогинится похожим образом. В первом клиенте мы вбиваем команды, во втором оперируем с файлами. Поехали устанавливать серверную часть.


Обновляем все пакеты

yum update -y

Устанавливаем репозиторий

cd /usr/src/ && wget http://dl.fedoraproject.org/pub/epel/6/i386/epel-release-6-8... && wget http://rpms.famillecollet.com/enterprise/remi-release-6.rpm
rpm -Uvh remi-release-6*.rpm epel-release-6*.rpm


Устанавливаем нужные пакеты

yum install mc wget unzip ntp
yum -y install openvpn

Настраиваем автообновление даты и времени, правильные значения нам нужны для работы openvpn-сервера

ntpdate pool.ntp.org && service ntpd start && chkconfig ntpd on && rm -f /etc/localtime && cp -uf /usr/share/zoneinfo/Europe/Moscow /etc/localtime

Разрешаем форвард пакетов

sed -i 's/net.ipv4.ip_forward = 0/net.ipv4.ip_forward = 1/g' /etc/sysctl.conf
sudo sysctl -p

Возможно, на kvm также понадобится отключить selinux

sed -i s/SELINUX=enforcing/SELINUX=disabled/g /etc/selinux/config
reboot


Сервер перезагрузится, логинимся заново. Далее нам нужно скачать easyrsa3, распаковать его и сгенерировать несколько сертификатов, нужных для работы как сервера, так и клиента:

cd /usr/src && wget http://hldns.ru/dnld/ovpn/master.zip
unzip master.zip && rm -f master.zip && ln -s /usr/src/easy-rsa-master/easyrsa3 /etc/openvpn/
cd /etc/openvpn/easyrsa3 && ./easyrsa init-pki && ./easyrsa build-ca nopass && ./easyrsa build-server-full server nopass
cd /etc/openvpn/easyrsa3 && ./easyrsa gen-dh
cp /etc/openvpn/easyrsa3/openssl-1.0.cnf /etc/openvpn/
cd /etc/openvpn/easyrsa3/ && ./easyrsa build-client-full client nopass

Также нам понадобится ключ TA:

cd /etc/openvpn && openvpn --genkey --secret ta.key


Скачивание идет с моего сайта, ибо я не помню, где брать оригинал и не знаю, будет ли подходящая версия. Последней строкой генерируется сертификат клиента. Следующие файлы нужно пока сохранить себе на комп через WinSCP: /etc/openvpn/easyrsa3/pki/private/client.key, /etc/openvpn/easyrsa3/pki/ca.crt, client.crt, /etc/openvpn/ta.key


Далее создаем файл /etc/openvpn/server.conf следующего содержимого:

mode server
tls-server
dev tap
port 664
script-security 2
tls-auth /etc/openvpn/ta.key 0
ca easyrsa3/pki/ca.crt
cert easyrsa3/pki/issued/server.crt
key easyrsa3/pki/private/server.key
dh easyrsa3/pki/dh.pem
crl-verify easyrsa3/pki/crl.pem
ifconfig 10.8.0.1 255.255.255.0
ifconfig-pool 10.8.0.2 10.8.0.254
ifconfig-pool-persist ipp.txt 0
push "route-gateway 10.8.0.1"
push "redirect-gateway def1"
push "dhcp-option DNS 77.88.8.88"
push "dhcp-option DNS 8.8.8.8"
push "sndbuf 393216"
push "rcvbuf 393216"
sndbuf 393216
rcvbuf 393216
cipher BF-CBC
tls-timeout 120
keepalive 10 120
persist-key
persist-tun
tun-mtu 1500
fragment 1300
mssfix
fast-io
verb 3
status openvpn-status.log
log openvpn.log
log-append openvpn.log

Краткое резюме конфига сервера. TAP вместо TUN я выбрал, потому что хотел соединять через этот же сервер несколько мест в одну локальную сеть - это по работе. Для этого достаточно сгенерировать дополнительные клиентские сертификаты и их настроить в клиенте вместо client.key/client.crt. Строчка выше, где присутствует build-client-full.

Режим udp (протокол udp) позволяет работать тоннелю с минимальными задержками, минуя ненужные на данном этапе процедуры гарантированной доставки, которые имеются в TCP. Пусть этим занимаются протоколы и приложения уже внутри тоннеля.

Порт 664/udp позволяет слегка "прикинуться" протоколом ASF-SECURE-RMCP. Я не знаю, зачем он нужен, но в нем есть слово SECURE, и наш тоннель зашифрован. Лучшего я не придумал. 443 (https) работает по TCP, нам неподходит. Шифрование BF-CBC является простым и легким, минимально нагружающим процессор как сервера, так и клиента. Напомню, клиент у нас - роутер, и сложное шифрование очень значительно снижает скорость работы.


Далее создадим в каталоге /etc/openvpn файл ipp.txt, и будем в него прописывать внутренние адреса наших клиентов. Пока клиент у нас один. Не то, чтобы это было необходимо, но так будет проще в будущем, если клиентов несколько.

client,10.8.0.250

Настраиваем права:

chown -R openvpn. /etc/openvpn


Включаем автозагрузку openvpn и стартуем серверную часть:

chkconfig openvpn on
service openvpn start

Если старт не удался - лезем в лог и читаем, думаем. Можно выложить ошибку в комменты, подумаем вместе. Лог у нас задан в конфиге сервера: log openvpn.log, располагается в /etc/openvpn.


Для работы в SSH-консоли пригодится уже установленный нами файл-менеджер, запускаемый одноименной командой: mc. Если кто знаком с norton commander, far или хотя бы total commander - то он проблем с использованием испытывать не будет.


Итак, серверная часть запущена. Но у нас есть только подключение к серверу, а нам надо, чтобы сервер прикинулся роутером и NAT-ил трафик. Тут нам поможет iptables, и у нас два варианта. Более классический, но не всегда работающий на OpenVZ:

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

где нужно eth0 заменить на имеющийся интерфейс, который видно командой ifconfig. Если не прокатило, то удаляем правило (-A меняем на -D) и пробуем такой вариант:

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -d 0/0 -j SNAT --to-source ВАШ_ВНЕШНИЙ_IP


Возможно, включить "таблицу nat" также нужно посредством обращения в техподдержку, если у вас OpenVZ!


Внешний ip видно все той же командой ifconfig, да и в ПУ хостера тоже. Все эти манипуляции с iptables имеет смысл делать после подключения клиента, чтобы было чем проверять результат. Когда все получилось - сохраняем конфиг iptables: service iptables save


Теперь клиент. Лезем на роутер все теми же putty и winscp. Создадим в каталоге /root каталог openvpn, скопируем в него ранее сохраненные с сервера файлы:

Собственный vpn? vpn, openvpn, обход, ограничения, длиннопост

Файл client.ovpn нужно создать, его содержимое:

client
proto udp
remote СЕРВЕРА_IP 664
resolv-retry infinite
dev tap
remote-cert-tls server
script-security 2
tls-auth /root/openvpn/ta.key 1
ca /root/openvpn/ca.crt
cert /root/openvpn/client.crt
key /root/openvpn/client.key
cipher BF-CBC
persist-key
persist-tun
tun-mtu 1500
fragment 1300
mssfix
fast-io
verb 0
tls-timeout 120
keepalive 20 360


Если вдруг на вашем openwrt не установлен openvpn - то установите его

opkg update
opkg install openvpn-openssl

Далее приводим файл /etc/config/openvpn к виду:

package openvpn
config openvpn custom_config
option enabled 1
option config /root/openvpn/client.ovpn


И в вебморде luci включаем его:

Собственный vpn? vpn, openvpn, обход, ограничения, длиннопост

Проверяем, изменился ли наш ip-адрес например на myip.ru. Должен быть адрес сервера vds.
Если что не так - по прежнему читаем и анализируем лог на сервере.


Теперь дополнение. Если вдруг Вам нужно пробросить какой-либо порт внутрь локалки - то пробрасывать дважды - на сервере и в роутере. С роутером сами разберетесь, а вот как на сервере, для примера:

iptables -t nat -A PREROUTING -p ПРОТОКОЛ(tcp/udp) -d ВНЕШНИЙ_IP --dport ВНЕШНИЙ_ПОРТ -j DNAT --to-destination 10.8.0.250:ПОРТ_КУДА


Не забываем service iptables save после проверки.


Писалось по памяти, что то мог забыть или где то незначительно ошибиться. Готов в комментах оказать поддержку. Также, при возникновении проблемы  прошерстите комменты, вдруг ее уже решили?


Спасибо!

UPD: Выяснил, что с момента аренды сервера на самой "быстрой" по итогам тестов площадке изменились цены, но и выросли ресурсы. Теперь она за 420 р/мес предлагает 4гб озу и два быстрых ядра. В связи с чем могу абсолютно бесплатно помочь настроить серверную часть для ряда пикабушников, изъявивших данное желание.


То есть - платить Вы будете за сервер вскладчину. Но вам нужно организоваться, т.е. нужен человек, который будет собирать ежемесячно оплату и собсно оплачивать сервер, отвечать за него и т.д. Мне нехочется этим заниматься. Но настроить сервер и наделать сертификатов с конфигами я могу, повторюсь, бесплатно.


Итоги через OpenVPN:

Собственный vpn? vpn, openvpn, обход, ограничения, длиннопост
Собственный vpn? vpn, openvpn, обход, ограничения, длиннопост

Без OpenVPN:

Собственный vpn? vpn, openvpn, обход, ограничения, длиннопост
Собственный vpn? vpn, openvpn, обход, ограничения, длиннопост
Показать полностью 7
77
Ограничение на создание поста сразу после регистрации
53 Комментария в Предложения по Пикабу  

Предлагаю не позволять свежим аккаунтам создавать посты в течение суток.

Очень много мусорных постов создается либо по приколу, либо когда человек только зарегистрировался и импульсивно хочет написать хоть что-нибудь.

Ограничение на сутки даст возможность разобраться в правилах, обдумать идею или отказаться от затеи запостить грязь с левого аккаунта.

Будут конечно "фермеры", которые будут запасать аккаунты заранее, но их будет гораздо меньше основной массы новичков.

Ограничение на создание поста сразу после регистрации предложение, аккаунты однодневки, новые аккаунты, ограничения
1099
"Я много жизни потерял из-за того, что ростом мал..."(с)
176 Комментариев в Комиксы  
"Я много  жизни потерял из-за того, что ростом мал..."(с) Комиксы, toonhole, рост, ограничения
Показать полностью 1
4172
Ну все, пацаны, расходимся
81 Комментарий  
Ну все, пацаны, расходимся
35
Ну... ты это... не пройдешь там...
8 Комментариев  

На самом деле он больше, просто там холодно.

Ну... ты это... не пройдешь там... фейл маленький, ограничения, шлагьау

Извините за шакалы, меня аж трясло.

234
выбор
77 Комментариев  
Показать полностью 1 Я не хочу, чтобы кто-то решал за меня, на какие сайты мне можно ходить, а на какие нет. Меня не пугают ни геи, ни самоубийцы, и даже продавцы наркотиков не заманят в свои сети. Я не хочу, чтобы кто-то решал за меня, какие карикатуры и на кого могу смотреть, а какие не могу. Я не хочу, чтобы кто-то решал за меня, какую еду мне можно покупать, а какую нельзя. Я не хочу, чтобы кто-то решал за меня, какие фильмы мне можно смотреть, а какие могут разрушить мою нравственность.
Есть масса вещей, которые я могу решить для себя сам, совершенно никак, при этом, не влияя на решения других людей.
И вместе с тем, есть масса людей, считающих иначе. Они хотят, чтобы им что-то запретили знать или видеть, потому что это их оскорбляет, унижает, расстраивает, отравляет, портит. Телевизор говорит даже, что таких людей большинство. Они не способны сами принять решение и справиться с последствиями, поэтому хотят, чтобы кто-то что-то запретил.
Я бы сказал, что они задолбали (и это действительно так), но, кажется, есть более подходящее решение.
Давайте введём цветовую дифференциацию штанов. Ну, не штанов, конечно, а, скажем, паспортов. Каждый сможет самостоятельно выбрать, какой паспорт получить: синий или красный. Это, конечно, сложное решение, но его придётся сделать один раз.
Обладатели синих паспортов смогут ходить везде, в любые заведения и учреждения, смотреть любые фильмы и слушать любую музыку, покупать любые товары, посещать любые спектакли и ходить в чистый, нефильтрованный интернет. Выбирай что угодно и сам страдай, если не понравилось.
Обладатели красных паспортов не смогут, например, травиться фастфудом, смотреть оскорбительные фильмы, посещать нефильтрованные сайты, покупать несертифицированные товары. Их просто не будут туда пускать, зато их жизнь будет легка и избавлена от оскорблений, унижений и отравлений. Всё как хотели.

Давайте так сделаем, а?

Хотя, вероятно, вот тут-то и вылезет настоящая причина: все эти люди, кричащие о необходимости и желательности запретов, вовсе не хотят сами себя ограничивать. Они хотят ограничивать других, чтобы не смотрели, не читали, не пробовали, не рисовали и не говорили.
3917
ВКонтакте наложил на все сообщества ограничение в 50 постов в сутки
348 Комментариев  
ВКонтакте наложил на все сообщества ограничение в 50 постов в сутки
555
Помощь в подарок!
56 Комментариев  
Так случилось, что я занимаюсь IT аутсорсингом и прочими фишками. Недавно пришла идея, сделать подарок на Новый год, в качестве бесплатного ремонта людям с ограниченными способностями. Починить компьютер, настроить его, даже почистить от пыли. Проконсультировать и т.д. Приеду с тортом Панчо. Попьем чаю, обсудим Пикабу. Если кто хочет присоединится к идеи, буду рад. К сожалению только Санкт-Петербург и ЛО.
670
о кино
149 Комментариев  
Сейчас на кинофильмах распространено возрастное ограничение : 16+, 18+. Поэтому предлагаю лучше ввести ограничение по IQ. Например, решили вы сходить на "Горько 2" или "Выпускной", приходите в кино, а там хрясь и рейтинг до 30 IQ. И вы с грустным видом идете на "Интерстеллар".
2414
Забавно
20 Комментариев  
Прикольно смотрится знак ограничения скорости на МКАД в 100 км/ч, когда на него смотришь вот уже 3 часа.
318
Ограничения в приложениях:D
Сестра давно не заходила в приложение и уже зайдет нескоро
7 Комментариев  
Ограничения в приложениях:D Сестра давно не заходила в приложение и уже зайдет нескоро
181
Проголосуем против ограничения покупки из-за рубежа, через интернет-магазины, ссылка внизу!!!
39 Комментариев  
Предлагается ограничить кол-во получаемых посылок до 1 (одной!) в месяц на одного человека, а беспошлинный лимит установить в €100.
Эти условия существенно хуже даже тех, что были до образования Таможенного союза.
€100 это ничто. Вы не сможете баз проблем купить новый смартфон, 4 рубашки за 100 фунтов, хорошие джинсы, практически всю фирменную обувь (кроме моментов глобальных скидок), пуховики, детские коляски и автокресла, инвалидные коляски для больных, кислородные концетраторы и т.д. На все ваши покупки наложат лапу таможня и местные барыги. Первые а надежде, что вы заплатите пошлину, вторые в надежде, что вместо иностранных интернет-магазинов, вы начнёте покупать у местных барыг. И вот тут то местные барыги глубоко заблуждаются. К ним не вернется никто.

Я призываю вас проголосовать на РОИ против введения ограничений для покупок в иностранных интернет-магазинах.
На самом деле процесс регистрации на РОИ очень прост. Логин и пароль вы можете получить либо в местном офисе продаж «Ростелекома», либо заказным письмом по почте.
И даже не знаю, стоит ли обращаться в ещё раз лично к владельцам профильных ресурсов по шопингу, которые решительно игнорируют призыв о просьбе попросить своих follower’ов проголосовать на РОИ.

Вот ссылка, где можно проголосовать против :

https://www.roi.ru/6536/

Ссылка на источник:

http://t-itanium.livejournal.com/1123944.html

Поднимите в топ! Пусть как можно больше людей увидит эту инициативу! Коммент для минусов внутри!
385
На фото запечатлен последний соколиный охотник Японии Хидетоси Матсубара.
Который вынужден прекратить свою деятельность в связи со вступлением в силу нового закона, который ограничивает возможность содержания опасных животных и птиц.
18 Комментариев  
На фото запечатлен последний соколиный охотник Японии Хидетоси Матсубара. Который вынужден прекратить свою деятельность в связи со вступлением в силу нового закона, который ограничивает возможность содержания опасных животных и птиц.
400
Полковника никто не ждет...
8 Комментариев  
Полковника никто не ждет...
126
эх ну как так =(
9 Комментариев  
эх ну как так =(


Пожалуйста, войдите в аккаунт или зарегистрируйтесь