imnotj3sus

на Пикабу
поставил 2391 плюс и 26 минусов
проголосовал за 0 редактирований
1871 рейтинг 127 подписчиков 728 комментариев 6 постов 3 в горячем
401

Ответ на пост «Интернет в Республике Беларусь» 

Сертификат корневой: https://mega.nz/file/EOQQzaBC#vEHoRi7o5ovqLK7_DOARQUypG-nyY8...

IP: 5.187.3.12

Login: pika-pika

Password: FreeAngelaDavis

Протокол SSTP, можно проверять. Если честно, без понятия, не ляжет ли оно на фиг. Но пусть будет.

Протокол L2TP/IPsec, PSK: NoOneLivesForever

Для Л2ТП сертификат не нужен, должны подцепиться мобилки.


Вдруг кому-то поможет. Буду рад.

Не найден сетевой путь при подключении к домену

На случай окончательной смерти платформы Блогспот, о которой тут, оказывается, нельзя упоминать.


Если при присоединении к домену машина откатывает ошибку вида «При присоединении к домену "domain.name" произошла следующая ошибка: Не найден сетевой путь», ДНС настроен верно и компьютер и контроллер домена друг-друга видят, проверьте службу «Модуль поддержки NetBIOS через TCP/IP». Она должна быть настроена на автоматический запуск и запущена.


Пост скорее просто заметка на память. Ну и может пригодится кому-нибудь однажды.

Капитализм вновь ударил в спину

https://pikabu.ru/story/2_amazon_kak_oplot_dobra_6518418


После этой статьи я оять заглох на неделю. И вот почему: Amazon прикрыл лавочку и виртуалки теперь бесплатны только первые 750 часов. Дальше за деньги и с лимитом трафика.

Так что уже готовая статья с конфигом несколько утратила актуальность, а я тестирую Google Cloud. Отсюда вопрос: пилить сначала статью с конфигом или сначала доделать статью по другим виртуалкам?

28

2) Amazon как оплот добра

Доброго дня.

Работой придавило так, что света белого не видно, поэтому посты пишутся медленнее, чем я рассчитывал, но я стараюсь, тружусь на благо высшей цели и всё такое прочее.

Текущая статья — в первую очередь пошаговое руководство. В конце я обязательно поясню, что, как и зачем было сделано, но раскрывать это на каждом шаге мне показалось крайне неудобным.


Сегодня мы поговорим об Amazon Web Services как о наиболее гибком и простом инструменте, который полностью отвечает нашим целям. В качестве первого нашего VPN-сервера выбран Cloud Hosted Router от Mikrotik. Почему? Потому, что для него можно написать плюс-минус универсальный конфиг, который при минимальных правках можно просто кинуть в терминал и всё будет работать так, как задумано. С него мы начнём, но на нём не остановимся, я надеюсь. Но, повторюсь, для всех задач, связанных с обеспечением себе бесперебойного доступа к любым сервисам, это, на мой взгляд, самый гибкий и простой инструмент.

Amazon Web Services бесплатны для простейших задач в течение года. CloudHostedRouter бесплатен в течение двух месяцев без каких бы то ни было ограничений. По окончании тестового периода новый сервер накатывается так же просто. Либо можно продолжать пользоваться старым, но без обновлений и с урезанной до 1Мбит/с скоростью. Кому-то может хватить и этого.

Итак, нам понадобится личный кабинет на официальном сайте Mikrotik и личный кабинет в AWS. Я не буду подробно останавливаться на регистрации кабинетов, но, если это потребуется, напишите в комментариях и я разберу процедуру регистрации подробнее.

Amazon для регистрации потребует живой и работающий номер телефона и ввод кода с экрана автоинформатору, это, думаю, надо сразу указать.


Предположим, мы молодцы, зарегистрировались в AWS и никаких проблем у нас не возникло. Теперь нам нужен маркетплейс Амазона, доступен он по ссылке: https://aws.amazon.com/marketplace/search

В строку поиска вводим CHR, жмём Enter и находим Cloud Hosted Router. Далее Continue to subscription. Платить нас ничего не заставят, это просто добавит данный продукт в ваши подписки.

После Subscribe жмите Continue to configuration и затем Continue to Launch.

2) Amazon как оплот добра Роскомнадзор, Сети, Интернет, Блокировка, Длиннопост

В этом разделе вам нужно в выделенном выпадающем списке выбрать Launch through EC2 и нажать большую кнопку Launch.

2) Amazon как оплот добра Роскомнадзор, Сети, Интернет, Блокировка, Длиннопост

Собственно, для наших целей ничего особенного не нужно, поэтому просто проверьте, что в качестве типа выбран t2.micro с зеленой плашкой, как на скриншоте, и жмите Review and Launch. В новом окне жмёте Next, в следующем Launch.

2) Amazon как оплот добра Роскомнадзор, Сети, Интернет, Блокировка, Длиннопост

Вам предложат создать пару ключей. Для наших целей она не важна, но создать её придётся, можно заполнить всё как на скриншоте и сохранить ключи в уютном месте. Дальше запускаем наш свежий инстанс и, пока наслаждаемся торжеством гайдлайнов над сложностью амазоновской инфраструктуры, жмём кнопку View Instances.

2) Amazon как оплот добра Роскомнадзор, Сети, Интернет, Блокировка, Длиннопост

В этом окне вы видите список запущенных станций и на нём придётся остановиться подробнее.


Instances. То самое окно, в котором вы в данный момент находитесь. В нём содержится список всех запущенных станций, отсюда можно управлять их состоянием, настраивать различные элементы и всячески менять параметры каждого узла. Узлов вы можете создать неограниченное количество, всё зависит только от вашей фантазии.


Security Groups. Содержит список групп безопасности. Каждая группа безопасности содержит список портов и сервисов, доступ к которым будет разрешён из внешнего мира.


Elastic IPs. Содержит выделенные неизменные адреса, которые мы можем запросить у Амазона.



Теперь, когда мы, нисколько не разобравшись в интерфейсе, хотим закончить всё это мероприятие, нам необходимо создать группу безопасности для нашей свежей машины. Для этого идём в Security Groups, жмём Create Security Group, в открывшемся окне нажимаем Add Rule и видим следующую картину:

2) Amazon как оплот добра Роскомнадзор, Сети, Интернет, Блокировка, Длиннопост

Для наших целей подойдёт группа с разрешением всех портов потому, что виртуальная машина, созданная нами, всё равно потребует настройки фаерволла и этот механизм защиты можно опустить. Поэтому выбираем в поле Type «All Traffic», а в поле Source — «Anywhere» и нажимаем Create.

Затем в Elastic IPs, Allocate New Address, Allocate. Это создаст вам постоянный адрес, который мы сейчас привяжем к машине. Нажимаем на адрес правой кнопкой, выбираем Associate address и видим следующее окно:

2) Amazon как оплот добра Роскомнадзор, Сети, Интернет, Блокировка, Длиннопост

В поле Instance выбираем нашу виртуалку, в поле Private IP должен быть только её серый адрес, жмём Associate и возвращаемся в Instances.

По нажатию на нашу виртуалку правой кнопкой, откроется меню операций с узлом:

2) Amazon как оплот добра Роскомнадзор, Сети, Интернет, Блокировка, Длиннопост

Откроем пункт Change security groups и поставим галочку на нашей новой группе, а с созданной автоматически — снимем и нажмём Assign.


Всё. На этом создание нашего сервера закончено. К нему можно подключаться, настраивать его и использовать по любому вообразимому назначению.

Само собой, я даже не пытался раскрывать здесь тонкости настройки Амазона и всё безумное многообразие функционала, которое у него имеется. Сначала была такая мысль, но документ растёт невероятными темпами, а практической пользы от этого никакой. Мы и так, по сути, забиваем гвозди микроскопом, поэтому я позволю себе оставить эту тему для дальнейших постов.


Теперь попробуем разобраться с тем, что же было сделано. В маркетплейсе Амазона содержится преднастроенный шаблон RouterOS, точнее CHR, направленное на размещение в облаке либо на обычных компьютерах, решение. Это, как понятно из названия, операционная система, которую компания Mikrotik льёт на поставляемое оборудование. За редким исключением, все устройства этой компании так или иначе несут на борту одну из версий этой оси. Одним из преимуществ является простота переноса конфигураций, поэтому я и начал именно с такого решения, как наиболее хорошо мной изученного, легко настраиваемого и масштабируемого. Далее. Мы создали виртуальную машину из шаблона, разрешили доступ к ней из любого источника и на любой порт и назначили ей постоянный адрес, по которому и будем производить подключение.


Сейчас наша виртуалка беззащитна, у неё по умолчанию даже пароля нет, поэтому либо верните ей группу безопасности, которая была задана по умолчанию, либо для дальнейших опытов нам надо будет создать новую.


В следующем посте я дам плюс-минус универсальную конфигурацию, объясню, как поправить её под ваши задачи и расскажу, как превратить имеющуюся сейчас заготовку в полноценный VPN-сервер.


В заключение, хочу задать пару вопросов:


Во-первых, как удобнее лить конфигурации? Просто текстом сюда? Или на Pastebin? Или есть какие-то дополнительные инструменты форматирования, типа ката?


Во-вторых, у меня нет доступа к яблочным устройствам, а для чистоты эксперимента, неплохо бы и их проверить. Поэтому, возможно, найдутся те, кому не лень потратить пару часов свободного времени, наделать скриншотов и помочь в тестировании?


В-третьих, подскажите, есть ли на Пикабу форматирование текста при создании постов и где об этом почитать? В помощи я такой информации не нашёл, возможно, неправильно искал.


Ну и, как обычно, просьба не кидаться тапками, чукча не писатель, я только учусь.

Показать полностью 7
76

1) Введение

Окей, кому-то это всё-таки нужно. Постараюсь оправдать оказанное мне высокое доверие.


Этот пост с высокой долей вероятности можно пропустить потому, что в здесь я буду говорить об очевидных вещах, которые сейчас, кажется, вообще всем понятны. Но он нужен, во-первых, для того, чтобы привести голову в порядок и вообще привыкнуть к необходимости излагать мысли, а во-вторых, для того, чтобы ну уж точно ни у кого не осталось вопросов. Для начала, попрошу вас особо не кидать тапками, я всё-таки привык железки настраивать, а не писать о том, что именно и как работает. Но очень хочется донести до как можно большего количества людей одну простую мысль: это всё не слишком сложно, доступно рядовому пользователю у себя дома и настраивается за час неспешного ковыряния в настройках. Ну и надо для вас чем-то заполнить время, которое я потрачу на рисование схем и лепку скриншотов.


Итак, как всё устроено? У большинства в квартирах стоит роутер. Коробочка с лампочками, в которую приходит провод от провайдера и которая, чаще всего, вайфай. Мне для успокоения совести нужно рассказать, как это всё работает. Я буду разбирать общий случай, не затрагивая частные ситуации, если у людей всё не так, значит и статья им эта вряд ли нужна.


Во-первых, это устройство — маршрутизатор. То есть, в его задачи входит принять запрос от вашего компьютера/телефона/планшета/холодильника и отправить его по нужному адресу.

Во-вторых, это устройство — DNS-сервер. То есть, в его задачи входит получить от вас запрос в виде доменного имени (pikabu.ru) и вернуть в ответ IP-адрес, соответствующий этому имени.

В-третьих, это устройство — Firewall. Фаерволл — это служба, отвечающая за обработку проходящих через устройство пакетов. В самых простых случаях это фильтрация входящих соединений с целью защитить вашу сеть от зловредов и их инструментов. Но нас пока он не очень интересует.


В-четвёртых, это устройство — NAT. Нельзя назвать НАТ отдельным сервисом, это, скорее, одна из функций фаерволла. В общем, она нужна для того, чтобы все устройства, подключенные к вашему роутеру, могли попадать в интернет. И тут уже придётся раскрыть вопрос подробнее.

Дело в том, что обмен данными в интернете возможен только между «реальными» IP-адресами. Но их не так много. Всего 4,5 миллиарда. При этом часть адресов отведена под специальные нужды и не может использоваться в интернете. Поэтому ваш роутер выдаёт вам адрес вроде 192.168.1.X. И с высокой долей вероятности, такой же адрес выдаётся и вашему соседу, и компьютерам в библиотеке или больнице. Эти адреса ещё называются «серыми» потому, что предназначены для внутренних задач компаний. Так вот NAT как раз и занимается преобразованием этих адресов в один — в адрес, предоставленный вам провайдером. И для всего мира ваш компьютер, выходя в сеть, обладает тем же адресом, что и ваш телефон, подключенный к тому же маршрутизатору. А в большинстве случаев, без подключения дополнительной услуги, вы делите этот адрес ещё и с соседями, а то и целым подъездом или домом. Это случай, когда провайдер выдаёт вам «серый» IP-адрес. Так же, как вы выдаёте серые адреса устройствам в сети, подключенной к вашему роутеру.


В итоге, роутер у вас дома — многозадачное устройство. И каждая из перечисленных функций — отдельный сервис, что-то из этого может отсутствовать и это тоже будет нормально. Сервисов на устройстве может быть довольно много и для понимания работы всего этого безобразия нужно понимать, что очень часто слово «сервер» — это только название службы.


Перейдём к работе вашей сети. Когда ваш телефон пытается открыть пикабу, он отправляет запрос с адресом pikabu.ru на DNS-сервер, который в ответ присылает ему IP-адрес, к которому нужно отправлять запросы. После этого телефон отправляет запрос, в котором так же содержится имя сайта pikabu.ru, но этот запрос уже отправлен на IP-адрес, полученный от DNS-сервера. Вы ведь ещё понимаете, что это всё одно и то же устройство, просто телефон обращается к разным его сервисам? А дальше начинается магия. Ваш маршрутизатор знает только об одной сети (ну, может быть, о двух, если есть гостевой вайфай), поэтому он перенаправляет ваш запрос шлюзу, который указан в полученных от провайдера настройках. Тот шлюз, получив запрос, переправляет его следующему шлюзу и так по цепочке, пока ваш запрос не достигнет точки назначения. Полный путь пакета можно узнать с помощью команды traceroute (tracert в Windows). Вывод команды не объективен и на него можно влиять на любом из узлов, которые встречаются на пути, но мы пока не будем углубляться в специфику работы traceroute и в то, почему она плохо подходит для диагностики. Пока нам важно, что мы видим десяток-полтора узлов по пути следования нашего пакета до Пикабу. На каждом из этих узлов (а на самом деле, наверняка, на гораздо большем их количестве) ваш пакет может быть отброшен, заменен, просто уничтожен. И тут мы подходим к тому, ради чего всё затевалось.

VPN, Virtual Private Network, который в зависимости от протокола и реализации, с большим или меньшим успехом заменяет обычный провод, напрямую воткнутый в ещё один роутер. Соответственно, запросы, которые отправляются в созданный туннель, не будут напрямую обрабатываться цепочкой устройств, которую мы бы увидели, выполнив traceroute до сервера. Трассировка, в данном случае, покажет только один узел — VPN-сервер. И все такие запросы не будут обработаны фильтрами провайдера. И здесь важна самая главная особенность всех современных домашних роутеров: в них есть встроенный VPN-клиент. И возможность построения связи с произвольным VPN-сервером в произвольной точке планеты.

Само собой, устройства в цепочке эти пакеты, на самом деле, обрабатывают, плюс есть технологии типа DPI, но в общем случае и при наличии шифрования, содержимое для стороннего наблюдателя недоступно и не попадает под фильтры.


На этом я с теорией закончу. И так слишком занудно, даже по моим меркам. Завтра перейдём к тому, что такое VPS, зачем они нужны и как ими пользоваться. А также я попробую рассказать про Amazon, его интерфейс и как им пользоваться. Амазон понадобится нам для создания бесплатного VPN-сервера.

Показать полностью
109

Роскомнадзор и все-все-все

Доброго дня, Пикабу.

В свете последних событий, а также в связи с усилением активности нашего нежно любимого РКН, возникла у меня мысль описать различные костыли, призванные не позволить вашим безвинно пострадавшим бойлерам остаться без связи с внешним миром.

Идея в том, что все подобные решения можно настраивать без привязки к конкретному устройству, то есть, настроить домашний роутер один раз и забыть на какое-то продолжительное время о том, что бойлер не видит родные сайты.

Так вот, отсюда вопрос: а будет ли вам вообще интересно читать о таком? Ведь многие вопросы решаются очень индивидуально и вообще всем я самостоятельно помочь не смогу, но обещаю какие-то общие ситуации разбирать и по возможности создавать простейшие инструкции для разных устройств.

Ну и, конечно же, есть решения, которые потребуют вливания некоторого (не большого, честно-честно) количества денег, но я вообще не представляю, будет ли это актуально.

Отличная работа, все прочитано!