Gaaf, Count me in. Wil ook wel knooppunt zijn. Server staat hier 24/7 aan. Heb ook redelijke ervaring met openvpn heb het een tijdje zelf gebruikt om een vpn tussen mijn server en de server bij mijn ouders te maken.
/u/47968/avatargot.png?f=community){kind=avatar}
/u/13471/karnemelk.png?f=community)
:strip_icc():strip_exif()/u/96747/gnu_linux_poster_60.jpg?f=community)
Lijkt me niet echt handig? En als het kan met 1 config dan moet dat lukken ook 
"You smell that, son? What sir? Napalm, I love the smell of napalm in the mornin!" || Children of Bodom fan!
Het lijkt me erg leuk om mee te doen!
Vooral om te kijken hoe dit gaat i.v.m een cisco 837 router voor de server.... waarschijnlijk goed doornatten... of ze gewoon op de cisco aan te maken
PS:.. zowel mijn server als mijn cisco router staan 24h p/d aan dus knooppunt kan makkelijk.
Vooral om te kijken hoe dit gaat i.v.m een cisco 837 router voor de server.... waarschijnlijk goed doornatten... of ze gewoon op de cisco aan te maken
PS:.. zowel mijn server als mijn cisco router staan 24h p/d aan dus knooppunt kan makkelijk.
[ Voor 20% gewijzigd door Justin_Time op 22-10-2005 20:42 ]
Elke dag dronken is ook een geregeld leven.
:strip_exif()/u/87484/2.gif?f=community)
Het loopt uit de hand 
te veel knooppunten!
te veel knooppunten!
The whole problem with the world is that fools and fanatics are always so certain of themselves, and wiser people so full of doubts. -- Bertrand Russell
/u/24970/tesla_avatar.JPG?f=community){kind=avatar}
Ik wil ook wel mee doen ... liever niet als knooppunt, omdat ik me al met redelijk veel dingen bezoghoud en er toch al genoeg knooppunten zijn volgens mij. Maar als het echt nodig is, is er wel wat te regelen natuurlijk
Ik stem overigens ook met OpenVPN, omdat ik hier al een paar jaar zeer positieve ervaringen mee heb. Ook qua security is OpenVPN wel prettig. En opties als compressie zijn ook altijd welkom natuurlijk
Edit: meerdere OpenVPN tunnels is vrij eenvoudig, zou je gewoon een andere local en remote port kunnen kiezen, bijv. 5001 ipv 5000
Ik stem overigens ook met OpenVPN, omdat ik hier al een paar jaar zeer positieve ervaringen mee heb. Ook qua security is OpenVPN wel prettig. En opties als compressie zijn ook altijd welkom natuurlijk
Edit: meerdere OpenVPN tunnels is vrij eenvoudig, zou je gewoon een andere local en remote port kunnen kiezen, bijv. 5001 ipv 5000
[ Voor 14% gewijzigd door Cybje op 23-10-2005 17:00 ]
Wat ruist er door het struikgewas
:strip_exif()/u/37147/homerexcited.gif?f=community)
Verwijderd
Lijkt me leuk om mee te doen, ik heb redelijk wat ervaring met OSPF en ook wel wat kennis van BGP... ik heb wel een paar "maars"...
- Hoe zorg ik dat mijn router / linuxbak niet voor alles en iedereen openstaat? Ik heb nu een redelijk strikte firewall en daar zal ik toch een aantal flinke gaten in moeten prikken om dit te laten werken, zeker als knooppunt.
- Waarom zo'n strikte structuur? Als je wilt experimenteren met BGP is het juist leuk om net zo'n structuur als het échte Internet te gebruiken: geen
- je zou bijvoorbeeld een aantal users kunnen verenigen tot een AS - bijvoorbeeld een ervaren BGP-er met 2 mindere goden en die AS-en dan onderling "peering agreements" aan laten gaan.
- Hoe zorg ik dat mijn router / linuxbak niet voor alles en iedereen openstaat? Ik heb nu een redelijk strikte firewall en daar zal ik toch een aantal flinke gaten in moeten prikken om dit te laten werken, zeker als knooppunt.
- Waarom zo'n strikte structuur? Als je wilt experimenteren met BGP is het juist leuk om net zo'n structuur als het échte Internet te gebruiken: geen
- je zou bijvoorbeeld een aantal users kunnen verenigen tot een AS - bijvoorbeeld een ervaren BGP-er met 2 mindere goden en die AS-en dan onderling "peering agreements" aan laten gaan.
Verwijderd
Count me in, onder voorbehoud.... Ff een paar op/aanmerkingen:
- Ondanks dat het al vele malen eerder is vermeld, lees svp allemaal ff de wiki van virt-ix. GoT-VPN is niet het eerste initiatief op dit gebied, en virt-ix is voor zover ik kan zien de enige die ook echt voor langere tijd een ix in de lucht houden en hier ook zeer actief mee bezig zijn. (zie bijvoorbeeld de if_tap bug en recente migratie naar openvpn).
- Ok, dus we hebben backbones, op de clients een peering sessie met de backbones en eventueel nog peeringsessies met andere clients. Wat verder? Gaan we nog andere dingen uitproberen op dit netwerk? Gaat het IPv6 aanbieden? Hoe stabiel gaat het worden? Hoe geinteresseerd zijn mensen om voor langere tijd actief te zijn op dit vpn? Of wordt dit een vpn waar alleen maar bgp updates overheen gaan? Kortom, wat is men nog meer van plan om te doen met dit vpn?
- Ik hoor dingen over een transit naar internet. Is dit puur voor uitgaand verkeer of wordt het ook mogelijk om inbound ranges te mappen (alleen als iemand via RIPE netblocks weet te ritselen denk ik ...). Als het alleen maar uitgaand is, hoe gaat er gemonitored worden op misbruik hiervan? Kan het zo zijn dat het complete VPN platgetrokken wordt op het moment dat er 1 misbruikend element inzit?
- Bij Virt-IX weet ik dat over het algemeen redelijk tot goed technisch ingestelde mensen rondhangen. Ook weet ik dat je (helaas voor sommigen) best wat moeite moet doen om ertussen te komen. Hoe zit het met dit VPN? Hoe hoog zijn de toelatingseisen? Wat gaat er gebeuren als er een grote hoeveelheid (sorry voor de term) beginnelingen op het VPN komt (eg, wie gaat voor helpdesk spelen?).
Vanavond meer
- Ondanks dat het al vele malen eerder is vermeld, lees svp allemaal ff de wiki van virt-ix. GoT-VPN is niet het eerste initiatief op dit gebied, en virt-ix is voor zover ik kan zien de enige die ook echt voor langere tijd een ix in de lucht houden en hier ook zeer actief mee bezig zijn. (zie bijvoorbeeld de if_tap bug en recente migratie naar openvpn).
- Ok, dus we hebben backbones, op de clients een peering sessie met de backbones en eventueel nog peeringsessies met andere clients. Wat verder? Gaan we nog andere dingen uitproberen op dit netwerk? Gaat het IPv6 aanbieden? Hoe stabiel gaat het worden? Hoe geinteresseerd zijn mensen om voor langere tijd actief te zijn op dit vpn? Of wordt dit een vpn waar alleen maar bgp updates overheen gaan? Kortom, wat is men nog meer van plan om te doen met dit vpn?
- Ik hoor dingen over een transit naar internet. Is dit puur voor uitgaand verkeer of wordt het ook mogelijk om inbound ranges te mappen (alleen als iemand via RIPE netblocks weet te ritselen denk ik ...). Als het alleen maar uitgaand is, hoe gaat er gemonitored worden op misbruik hiervan? Kan het zo zijn dat het complete VPN platgetrokken wordt op het moment dat er 1 misbruikend element inzit?
- Bij Virt-IX weet ik dat over het algemeen redelijk tot goed technisch ingestelde mensen rondhangen. Ook weet ik dat je (helaas voor sommigen) best wat moeite moet doen om ertussen te komen. Hoe zit het met dit VPN? Hoe hoog zijn de toelatingseisen? Wat gaat er gebeuren als er een grote hoeveelheid (sorry voor de term) beginnelingen op het VPN komt (eg, wie gaat voor helpdesk spelen?).
Vanavond meer
ik ga hier zeker even naar kijken op het moment begrijp ik namelijk nog weinig van openvpn.
in 1e instantie wil ik het eerst maar eens aan de praat krijgen. Daarna gaan we wel kijken wat voor uitbreidingen we gaan doen. Ik zit zeker te denken aan een IRC server. DNS servers om de traceroutes wat logsicher te laten lijken.
o dit moment lijtk het me niet verstandig maar je weet nooit. Zie mijn vorogaande opmerking
Toelatingseisen zijn er niet. Ik vermoed ook niet dat die gaan komen. Er is behoefte aan goede documentatie en dan moet de gebruiker er maar uit zietn te komen. Voor hulp kan dit topic of een vervolg gebruikt worden- Bij Virt-IX weet ik dat over het algemeen redelijk tot goed technisch ingestelde mensen rondhangen. Ook weet ik dat je (helaas voor sommigen) best wat moeite moet doen om ertussen te komen. Hoe zit het met dit VPN? Hoe hoog zijn de toelatingseisen? Wat gaat er gebeuren als er een grote hoeveelheid (sorry voor de term) beginnelingen op het VPN komt (eg, wie gaat voor helpdesk spelen?).
Vanavond meer
Ik denk dat het het beste is een nieuw topic te openen als er iets draait. Dit topic lijkt me ook meer geweest om te brainstormen wat we er allemaal mee kunnen doen en wie er mee wou doen (kan ik vervolg natuurlijk ook ) en wie wou spelen als core router
) en wie wou spelen als core router
"You smell that, son? What sir? Napalm, I love the smell of napalm in the mornin!" || Children of Bodom fan!
:strip_icc():strip_exif()/u/21865/shoe_60x60.jpg?f=community)
/u/26983/eend.GIF?f=community)
Webhosting is geen probleem, als je wat nodig hebt: gewoon ff roepen
Wiki snap ik verder niks van om in te stellen ofzo?
Wiki snap ik verder niks van om in te stellen ofzo?
"You smell that, son? What sir? Napalm, I love the smell of napalm in the mornin!" || Children of Bodom fan!
:strip_icc():strip_exif()/u/22646/crop6531f78f6a5cb_cropped.jpg?f=community)
Woonachtig Down Under. Ik negeer je insults niet, maar tegen de tijd dat ik ze lees zijn ze meestal niet relevant meer
"You smell that, son? What sir? Napalm, I love the smell of napalm in the mornin!" || Children of Bodom fan!
Deze is nog niet in productie
Als je GoT-wiki wilt gebruiken moet je die uit Spider.007 zijn sig gebruiken afaik./
Woonachtig Down Under. Ik negeer je insults niet, maar tegen de tijd dat ik ze lees zijn ze meestal niet relevant meer
http://gotwiki.spider007.net/GoTwiki/Hoofdpagina dus:
[...]
Deze is nog niet in productie
"You smell that, son? What sir? Napalm, I love the smell of napalm in the mornin!" || Children of Bodom fan!
Lees ik heb een succesvolle tunnel opgezet tussen avatar en mijn bakkie. Omdat openvpn een iets andere setup hanteert dan verwacht moet ik de nummerplannen anders gaan doen. Ik ben nog geen fan van openvpn maar het werkt wel.10:22 <@TrailBlazer> woei lijkt gewoon te werken
10:22 < avatar> $ ping 10.133.2.1
10:22 < avatar> PING 10.133.2.1 (10.133.2.1) 56(84) bytes of data.
10:22 < avatar> 64 bytes from 10.133.2.1: icmp_seq=1 ttl=64 time=46.3 ms
10:22 < avatar> 64 bytes from 10.133.2.1: icmp_seq=2 ttl=64 time=41.1 ms
10:22 <@TrailBlazer>
"You smell that, son? What sir? Napalm, I love the smell of napalm in the mornin!" || Children of Bodom fan!
:strip_exif()/u/851/pb_logo.gif?f=community){kind=logo}
Ik wil ook wel meedoen. Ik heb al wel wat met vtun getunneld tussen werk-thuis en laptop-server, maar nog niet uitgeleerd. Zoals anderen vóór mij ben ik wel benieuwd naar de setup alvorens ik mijn machine 'open' ga stellen voor anderen
Whenever you find that you are on the side of the majority, it is time to reform.
:strip_exif()/u/8077/jerney.gif?f=community)
* Demo heeft een FreeBSD 5.4 server en wil graag meedoen. Ik heb in de afgelopen maanden een hoop geleerd met dat ding, maar VPN nog niet. Dus een nieuw, leerzaam projectje erbij is leuk
Unix doesn't prevent a user from doing stupid things, because that would necessarily prevent them from doing brilliant things.
while true ; do echo -n "bla" ; sleep 1 ; done
:strip_icc():strip_exif()/u/29534/moto-icon.jpg?f=community){kind=icon}
Ik heb liever dat je dat soort dingen hier bespreekt i.p.v. offsite
God, root, what is difference? | Talga Vassternich | IBM zuigt
ik zal alle sollicitaties hier plaatsen en mijn keuze toelichten. Het leek me alleen wat overzichtelijker als ik ze eerst in mijn mail kreeg:
Ik heb liever dat je dat soort dingen hier bespreekt i.p.v. offsite
/u/11437/wandcontactdoos.png?f=community)
Waarom 2 blokken? Omdat je 2 tunnels hebt voor de redundancy? Dan is het wel mogelijk om iemand te bereiken als 1 tunnel / core eruit ligt, maar dan moet dat dus wel via een ander ip-adres?
Ik bedoel, iemand die op tunnel A ip X heeft, valt niet te bereiken op X als tunnel A eruit ligt -> DNS / bereikbaarheidsprobleem.
Of zie ik het dan verkeerd? Als het een ip-adressen-tekort zou zijn dan kun je beter 172.22/15 nemen
Ik wil overigens ook wel meedoen, maar niet als knooppunt. Het is alleen wat onduidelijk in je post of je dan ook moet mailen
Op IRC / in de TS gaat het alleen over "sollicitaties", hier lijk je het echter over alleen knooppunten te hebben
"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock
je moet gewoon mailen en de keuzes komen hier te staan denk ik
"You smell that, son? What sir? Napalm, I love the smell of napalm in the mornin!" || Children of Bodom fan!
nee je snapt het nut nog niet van de twee blokken. Ik zal later nog de gedachtengang van deze beslissing toelichten. Dit gaat echter een stuk beter als er wat configs zijn.:
[...]
Waarom 2 blokken? Omdat je 2 tunnels hebt voor de redundancy? Dan is het wel mogelijk om iemand te bereiken als 1 tunnel / core eruit ligt, maar dan moet dat dus wel via een ander ip-adres?
Ik bedoel, iemand die op tunnel A ip X heeft, valt niet te bereiken op X als tunnel A eruit ligt -> DNS / bereikbaarheidsprobleem.
Of zie ik het dan verkeerd? Als het een ip-adressen-tekort zou zijn dan kun je beter 172.22/15 nemen
Ik wil overigens ook wel meedoen, maar niet als knooppunt. Het is alleen wat onduidelijk in je post of je dan ook moet mailen
Als je geen knoopunt wil zijn hoef je niet te mailen. mensen kunnen zich aanmelden als de cores up en running zijn.
/u/26191/AC-60px.png?f=community)
Hier een strakke firewall:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
| # Gooi eerst alles dicht. iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP # Beetje open zetten. iptables -A INPUT -m state --state RELATED,ESTABLISHED iptables -A OUTPUT -m state --state RELATED,ESTABLISHED # ICMP iptables -A INPUT -i tun+ -p ICMP --icmp-type 3 -j ACCEPT iptables -A INPUT -i tun+ -p ICMP --icmp-type 5 -j ACCEPT iptables -A INPUT -i tun+ -p ICMP --icmp-type 8 -j ACCEPT iptables -A INPUT -i tun+ -p ICMP --icmp-type 11 -j ACCEPT iptables -A INPUT -i tun+ -p ICMP --icmp-type 30 -j ACCEPT # OpenVPN iptables -A OUTPUT -p udp --dport 1194 -j ACCEPT # Border Gateway Protocol iptables -A INPUT -i tun+ -p tcp --dport 179 -j ACCEPT |
Heel simpel, laat ongeveer niks door... je komt niet eens meer op t.net
commentaar graag.
Anders zet de common dingen die normale mensen open willen hebben (zeg 80, 21, 22) er ook in, gecomment. Als tegemoetkoming aan diegenen van ons die niet zo bekend zijn met iptables.
Als tegemoetkoming aan diegenen van ons die niet zo bekend zijn met iptables.
Flap
Dan zal ik ook maar gelijk gaan NATen :-):
Anders zet de common dingen die normale mensen open willen hebben (zeg 80, 21, 22) er ook in, gecomment.
Der komt over een paar min weer een nieuwe
Ik ben totaal niet bekend met iptables (staat al een jaar oid op mijn todo:
Anders zet de common dingen die normale mensen open willen hebben (zeg 80, 21, 22) er ook in, gecomment.
) maar als ik de regels van <randomcaps>Neo The Matrix Man</randomcaps> even bekijk vallen die er zelf ook nog wel tussen te zetten?code:
1
2
3
4
5
6
7
8
9
10
| # OpenVPN iptables -A OUTPUT -p udp --dport 1194 -j ACCEPT # Border Gateway Protocol iptables -A INPUT -i tun+ -p tcp --dport 179 -j ACCEPT # Verbouwen naar de gewenste service: iptables -A INPUT -i tun+ -p tcp --dport 80 -j ACCEPT iptables -A INPUT -i tun+ -p tcp --dport 21 -j ACCEPT iptables -A INPUT -i tun+ -p tcp --dport 22 -j ACCEPT |
Oftewel de Destination Port aanpassen
Let wel dat dit dus alleen het verkeer over een tunnel is (--in-interface alles dat met tun begint), je normale eth0 valt hier dus buiten. (Okee, dat laatste (-i) heb ik even opgezocht
al had ik het dus wel goed gegokt )
[ Voor 1% gewijzigd door Paul op 26-10-2005 10:05 . Reden: typo ]
"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock
Klopt als een bus, en je kan me ook gewoon Maurice of Mouse noemen hoor:
[...]
code:
Oftewel de Destination Port aanpassen
Let wel dat dit dus alleen het verkeer over een tunnel is (--in-interface alles dat met tun begint), je normale eth0 valt hier dus buiten. (Okee, dat laatste (-i) heb ik even opgezocht
Zeer basic NAT, zodat je nog een beetje kan internetten :-P
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
| # GoT-VPN: IPTables script voor clienten. # # # eth0 = LAN # eth1 = WAN (internet) (ppp0 kan ook) # tun+ = alle tunnel apparaten # Gooi eerst alles dicht. iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP # Beetje open zetten. iptables -A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP iptables -A INPUT -m state --state RELATED,ESTABLISHED iptables -A OUTPUT -p tcp --syn -j ACCEPT iptables -A OUTPUT -m state --state RELATED,ESTABLISHED # ICMP iptables -A INPUT -i tun+ -p ICMP --icmp-type 3 -j ACCEPT iptables -A INPUT -i tun+ -p ICMP --icmp-type 5 -j ACCEPT iptables -A INPUT -i tun+ -p ICMP --icmp-type 8 -j ACCEPT iptables -A INPUT -i tun+ -p ICMP --icmp-type 11 -j ACCEPT iptables -A INPUT -i tun+ -p ICMP --icmp-type 30 -j ACCEPT # OpenVPN iptables -A OUTPUT -o eth1 -p udp --dport 1194 -j ACCEPT # Border Gateway Protocol iptables -A INPUT -i tun+ -p tcp --dport 179 -j ACCEPT iptables -A OUTPUT -o tun+ -p tcp --dport 179 -j ACCEPT ######################### ## NAT ## Ben geen iptables expert. ## Maar hoe kan je goed je nat chains dicht zetten? ## Is het eigenlijk wel nodig? ######################### iptables -A FORWARD -i eth0 -j ACCEPT iptables -A FORWARD -m --state ESTABLISHED,RELATED -j ACCEPT iptables -t -A PREROUTING -o eth1 -j MASQUERADE |
edit:
-i vervangen door -o bij de outputs
-i vervangen door -o bij de outputs
FreeBSD firewall:
Als iemand zin heeft om hem aan te vullen met de syn/ack checks, be my guest
code:
1
2
3
4
5
| ipfw add allow icmp from any to any via tap* icmptypes 3,5,8,11 ipfw add allow udp from any to any 1194 out via tap* keep-state ipfw add allow tcp from any to me 179 in via tap* ipfw add allow tcp from me to any 179 out via tap* ipfw add deny ip from any to any via tap* |
Als iemand zin heeft om hem aan te vullen met de syn/ack checks, be my guest
edit:
s/tun/tap/g
s/tun/tap/g
[ Voor 10% gewijzigd door RupS op 28-10-2005 15:34 ]
Verwijderd
Dit heb ik op dit moment draaien op m'n virt-ix firewall / router. Niet echt dicht, maarja, dit is ook een router, de machines erachter zijn allemaal individueel gefirewalled en het werkt (Met als toegevoegte bonus tcp flag matching ).
).code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
| vnet_if = "sis2"
vnet_ip_v4 = "1.2.3.4"
vnet_net_v4 = "1.2.3.4/29"
vix_if = "tun0"
vix_ip_v4 = "5.6.7.8"
#########################
## tun0 (vix_if), ingress
pass in quick on $vix_if inet proto tcp from any to \
{ $vix_ip_v4, $vnet_net_v4 } flags S/SA modulate state
pass in quick on $vix_if inet proto { udp, icmp } from any to \
{ $vix_ip_v4 $vnet_net_v4 } keep state
pass in quick on $vix_if inet6 proto tcp from any to any flags \
S/SA modulate state
pass in quick on $vix_if inet6 proto { udp, ipv6-icmp } from any \
to any keep state
########################
## tun0 (vix_if), egress
pass out quick on $vix_if inet proto tcp from \
{ <own_nets_v4>, $vnet_net_v4, $vix_ip_v4 } to any \
flags S/SA modulate state
pass out quick on $vix_if inet proto { udp, icmp } from \
{ <own_nets_v4>, $vnet_net_v4, $vix_ip_v4 } to any keep state
pass out quick on $vix_if inet6 proto tcp from \
any to any flags S/SA modulate state
pass out quick on $vix_if inet6 proto { udp, ipv6-icmp } from \
any to any keep state |
Er is zeker ook niet zoiets voor mijn windows bak?
"You smell that, son? What sir? Napalm, I love the smell of napalm in the mornin!" || Children of Bodom fan!
Verwijderd
Zeur niet, jij hebt <insert random gui based w32 firewall>:
Er is zeker ook niet zoiets voor mijn windows bak?
Op linux in ieder geval::
FreeBSD firewall:
code:
Als iemand zin heeft om hem aan te vullen met de syn/ack checks, be my guest
code:
1
2
3
4
5
6
7
8
9
10
| -A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP -A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP -A INPUT -m state --state INVALID -j DROP -A INPUT -p tcp -m tcp --tcp-option 64 -j DROP -A INPUT -p tcp -m tcp --tcp-option 128 -j DROP |
Denon AVR-X2800H, Quadral Amun Mk.III, Technics SL-7, DIY PhonoPre, AT-152LP / 4.225kW Heckert Solar / SMA 3.0-1AV-41 / Kia e-Niro 64kWh First Edition
dan ga ik je maar negeren ja:
[...]
OpenVPN draait prima onder Windows
edit:
Tenzij je het natuurlijk over de firewall had.. dan negeer je me maar
Had het idd over de firewall.... nouja dan moet ik maar kijken of ik wat in me NVidia Firewall wat kan regelen via de webinterface denk.... geen idee hoe dat moet trouwens
"You smell that, son? What sir? Napalm, I love the smell of napalm in the mornin!" || Children of Bodom fan!
Verwijderd
Mocht je er niet uitkomen; 'Agnitum Outpost' is een heerlijke win32-vuurmuur.:
[...]
dan ga ik je maar negeren ja
Had het idd over de firewall.... nouja dan moet ik maar kijken of ik wat in me NVidia Firewall wat kan regelen via de webinterface denk.... geen idee hoe dat moet trouwens
Beetje support mijnerzeids moet wel lukken.
Heb ook interesse in het hele VPN project, ware het niet dat ik de komende weken nogal vol zit.. maar 'k zal het hele gebeuren in het oog houden en eventueel later instappen.
Veel succes ( en plezier
) alvast iedereen!
Ja nouja ik kijk eerst wel of het lukt met me NVidia firewall:
[...]
Mocht je er niet uitkomen; 'Agnitum Outpost' is een heerlijke win32-vuurmuur.
Beetje support mijnerzeids moet wel lukken.
Maar iig bedankt voor het aanbieden
[ Voor 3% gewijzigd door webfreakz.nl op 26-10-2005 16:57 ]
"You smell that, son? What sir? Napalm, I love the smell of napalm in the mornin!" || Children of Bodom fan!
:strip_icc():strip_exif()/u/74712/26.jpg?f=community)
Jawel hoor, WIPFW: http://wipfw.sourceforge.net/:
Er is zeker ook niet zoiets voor mijn windows bak?
"A loaf that attempts to twist it's own fate is not a loaf at all, but is, in fact, a pretzel."
even een update. Ik heb de moed opgegeven met tunnel interfaces. Ik ben nu aan het testen met tap devices en dat ziet er al een heeeel stuk beter uit moet ik zeggen. 90% zeker dat het dit wordt. Dus een verzoek aan de mensen die aan de firewall werken. Graag aanpassen naar een tap device
Verwijderd
Mag ik vragen waarom? Is wellicht voor iedereen interessant om te weten waarom je nu voor een tap interface gekozen hebt.:
even een update. Ik heb de moed opgegeven met tunnel interfaces. Ik ben nu aan het testen met tap devices en dat ziet er al een heeeel stuk beter uit moet ik zeggen. 90% zeker dat het dit wordt. Dus een verzoek aan de mensen die aan de firewall werken. Graag aanpassen naar een tap device
"You smell that, son? What sir? Napalm, I love the smell of napalm in the mornin!" || Children of Bodom fan!
Tja meer weet ik ook niet dan dat tunnels niet lukte?
Dat haalde ik uit z'n post...
"You smell that, son? What sir? Napalm, I love the smell of napalm in the mornin!" || Children of Bodom fan!
Denon AVR-X2800H, Quadral Amun Mk.III, Technics SL-7, DIY PhonoPre, AT-152LP / 4.225kW Heckert Solar / SMA 3.0-1AV-41 / Kia e-Niro 64kWh First Edition
tail -f /var/log/daemon.log& is je beste vriend bij configs checken
Denon AVR-X2800H, Quadral Amun Mk.III, Technics SL-7, DIY PhonoPre, AT-152LP / 4.225kW Heckert Solar / SMA 3.0-1AV-41 / Kia e-Niro 64kWh First Edition
Of je start hem gewoon met openvpn --config /etc/openvpn/<configfile>.conf en zorgt ervoor dat je niet logt naar file. Sowieso is dat de weg om te gaan tijdens het debuggen, omdat je dan simpel de tunnel kan up-and-down-brengen
Woonachtig Down Under. Ik negeer je insults niet, maar tegen de tijd dat ik ze lees zijn ze meestal niet relevant meer
dit is denk ik iets voor een volgende fase. In principe vind ik het prima ik heb alleen geen cisco tot mijn beschikking met een fw/ipsec feature set
update
op advies van r3boot heb ik gekeken naar de mogelijkheden van een username password authenticatie. Dit gaat ondertussen ook goed. Die authenticatie gaat mbv een script wat ik nu even zelf in elkaar geflanst heb, maar niet heel erg schaalbaar is.
Het script wordt aangeroepen door openvpn met als argument een filenaam. In deze file staan onder elkaar de username en password. Het programma valideert deze en exit met 0 bij een goede authenticatie en met 1 bij een foute. Mijn vraag is nu kan iemand een beter script schijven dat het wachtwoord uit de een of andere database kan halen. Nu staan de ww nog hard in het script
. Bij voorkeur kan die database door een andere tool gevuld worden zodat ik niet elke keer vi er bij hoef te halen als er een user bij komt. Mijn perl scriptje staat hier beneden ter inspiratie.
update
op advies van r3boot heb ik gekeken naar de mogelijkheden van een username password authenticatie. Dit gaat ondertussen ook goed. Die authenticatie gaat mbv een script wat ik nu even zelf in elkaar geflanst heb, maar niet heel erg schaalbaar is.
Het script wordt aangeroepen door openvpn met als argument een filenaam. In deze file staan onder elkaar de username en password. Het programma valideert deze en exit met 0 bij een goede authenticatie en met 1 bij een foute. Mijn vraag is nu kan iemand een beter script schijven dat het wachtwoord uit de een of andere database kan halen. Nu staan de ww nog hard in het script
. Bij voorkeur kan die database door een andere tool gevuld worden zodat ik niet elke keer vi er bij hoef te halen als er een user bij komt. Mijn perl scriptje staat hier beneden ter inspiratie.code:
1
2
3
4
5
6
7
8
9
| #!/usr/bin/perl
$pass{"madmax"}="password1";
$pass{"avatar"}="password2";
@data=<>;
chomp @data;
if (defined($pass{"$data[0]"})) {
exit 0 if ($pass{"$data[0]"} eq $data[1]);
}
exit 1; |
[ Voor 78% gewijzigd door TrailBlazer op 28-10-2005 11:38 ]
Verwijderd
het is vrij triviaal om een tun device te bridgen met een echte interface, om zo je bgp alsnog op een cisco af te handelen. Zie ook deze pagina op de virt-ix wiki. Het opzetten van een vpn concentrator behoort denk ik niet tot de mogelijkheden van dit project tenzij je zo'n apparaat wilt sponsoren
Zo snel er gescript gaat worden, beginnen mijn nekharen overeind te komen.. zeker als er een authenticatiescript moet komen...:
dit is denk ik iets voor een volgende fase. In principe vind ik het prima ik heb alleen geen cisco tot mijn beschikking met een fw/ipsec feature set
update
op advies van r3boot heb ik gekeken naar de mogelijkheden van een username password authenticatie. Dit gaat ondertussen ook goed. Die authenticatie gaat mbv een script wat ik nu even zelf in elkaar geflanst heb, maar niet heel erg schaalbaar is.
Het script wordt aangeroepen door openvpn met als argument een filenaam. In deze file staan onder elkaar de username en password. Het programma valideert deze en exit met 0 bij een goede authenticatie en met 1 bij een foute. Mijn vraag is nu kan iemand een beter script schijven dat het wachtwoord uit de een of andere database kan halen. Nu staan de ww nog hard in het script
code:
#!/usr/bin/perl $pass{"madmax"}="password1"; $pass{"avatar"}="password2"; @data=<>; chomp @data; if (defined($pass{"$data[0]"})) { exit 0 if ($pass{"$data[0]"} eq $data[1]); } exit 1;
Even snel googlen gaf deze link: http://www.opendarwin.org...ftware/openvpn-auth-ldap/
Ik gok trouwens ook wel dat openVPN PAM ondersteunt... en dan kan je dus op ongeveer alles authenticeren..
[ Voor 7% gewijzigd door MrBarBarian op 28-10-2005 12:18 ]
Verwijderd
Dit doet authenticaten tegen een mysql databeestje
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
| #!/usr/bin/perl
use DBI;
@data=<>;
chomp @data;
my $dbh = DBI->connect_cached('DBI:mysql:gotvpn:localhost','gotvpn','password') or die('Can\'t connect to database');
my $sth = $dbh->prepare('SELECT username,password FROM clients WHERE username = ?');
$sth->execute($data[0]);
if($sth->rows == 1) {
@row = $sth->fetchrow_array();
if($row[0] eq $data[0] & $row[1] eq $data[1]) {
exit 0;
}
}
exit 1; |
[ Voor 17% gewijzigd door Verwijderd op 28-10-2005 15:57 ]
leef je uit zou ik zeggen. Ik kan hem ook vast wel aan de praat krijgen met ldap alleen tijd he.
Overigens kan je dan ook aan dingen gaan denken als synchroniserende ldap DB's enzo
En als ik deze post van jou bekijk.
heb ik net een chef authenticatie gevonden.
[ Voor 5% gewijzigd door TrailBlazer op 28-10-2005 12:56 ]
/u/31090/bla.png?f=community)
Mag ik vragen waarom je een /16 uittrekt voor client-ip's? En waarom je de reeksen van AS'en koppelt aan een "core", wat als iemand nou multi-homed wil zijn? Gaat dit niet in tegen de natuur van een AS?
En waarom je de reeksen van AS'en koppelt aan een "core", wat als iemand nou multi-homed wil zijn? Gaat dit niet in tegen de natuur van een AS?
Vergeet je niet de link tussen core2-primair naar core1-backup?
Niet geheel offtopic: ik ben momenteel de OpenVPN-howto aan het volgen en een VPN met PKI op aan het zetten tussen 2 locaties
Ik ben pas bij het aanmaken van de CA (Lees: na het installeren van een OS en het binnenhengelen van de packages zo ongeveer stap 1) maar toch
Voorbereiding heb ik al gehad(beide sites hadden ip-adressen in dezelfde range en ik wilde gaan routen ipv bridgen, dus 1 site omgezet naar een ander subnet, waaronder een Linksysrouter die stock mijn gewenste subnetmasker (/16) niet snapte, dus daar staat nu OpenWRT op ).
Niet geheel offtopic: ik ben momenteel de OpenVPN-howto aan het volgen en een VPN met PKI op aan het zetten tussen 2 locaties
Ik ben pas bij het aanmaken van de CA (Lees: na het installeren van een OS en het binnenhengelen van de packages zo ongeveer stap 1) maar toch
Voorbereiding heb ik al gehad(beide sites hadden ip-adressen in dezelfde range en ik wilde gaan routen ipv bridgen, dus 1 site omgezet naar een ander subnet, waaronder een Linksysrouter die stock mijn gewenste subnetmasker (/16) niet snapte, dus daar staat nu OpenWRT op ).
"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock
je hebt nooit genoeg ruimte. Maar ik had er ook best /20 van kunnen maken.:
Mag ik vragen waarom je een /16 uittrekt voor client-ip's?
ok je bent niet multihomed. Echter je hangt wel aan twee verschillende cores die elk weer aan een andere core hangen. Dus je bent nog steeds steeds redundant. Overigens vind ik het prima als mensen onderling ook koppelingen gaan maken. Alleen ze moeten niet gaan zeuren als ze opeens als Transit AS gaan fungeren en dus al het verkeer naar zich toe trekken omdat ze hun routingupdates niet onder controle houden. Zou overigens wel leuk zijn om te zien dat er een linksys router doorbrandt omdat je al het verkeer naar je toe trekt.En waarom je de reeksen van AS'en koppelt aan een "core", wat als iemand nou multi-homed wil zijn? Gaat dit niet in tegen de natuur van een AS?
nee ik hoef niet perse full meshed. mischien later
[ Voor 17% gewijzigd door TrailBlazer op 30-10-2005 20:14 ]
Geen idee wat dat inhoud, het viel me gewoon op dat je 1 lijntje miste aangezien je alles met iedereen aan het verbinden leek te zijn
"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock
/u/100867/crop5601ca928ac47_cropped.png?f=community)
Klopt, had wat scheef gekeken
Ik heb mijn VPN in de lucht
Ik heb op de VPN-dozen een route aangemaakt (en laten pushen) naar de netten die er aan beide kanten achter hangen, ik heb op een 3e en 4e pc beiden routes aangemaakt naar de andere kant en ik kan er op
Wel 1 klein probleempje nog: ik kan vanaf de netten achter een gatewat wel de andere gateway (en verder) pingen, maar vanaf die gateways zelf kan ik niet de netten achter de andere gateway pingen? Ik heb dus weer wat uit te zoeken
"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock
Ik wil ook wel testclient spelen Moet alleen wat regeltjes in de firewall zetten waardoor verkeer van GoT-VPN niet naar Zaak-VPN kan en terug
maar goed, dat lijkt me een source tun1 dest tun2 action drop en andersom
Moet alleen wat regeltjes in de firewall zetten waardoor verkeer van GoT-VPN niet naar Zaak-VPN kan en terug maar goed, dat lijkt me een source tun1 dest tun2 action drop en andersom
"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock
:strip_icc():strip_exif()/u/1508/sax_k.jpg?f=community)
Donderdagavond heb ik er wel tijd voor
het ultieme jaargetijde.... | #!/usr/bin/girl | Art prints and fun
/u/8555/Shadow_60x60.png?f=community)
* ShadowLord wil ook best wel testen
(Kwam het topic nu pas tegen )
Vanavond ff aan m'n router (Debian machientje) gaan sleutelen...
(Kwam het topic nu pas tegen
)Vanavond ff aan m'n router (Debian machientje) gaan sleutelen...
You see things; and you say, "Why?" But I dream things that never were; and I say, "Why not?"
hoi mooi mensen die willen testen.
Opeens liep ik vandaag tegen wat vreemde problemen aan. Het lijkt erop dat als er verkeer terugkomt over een andere tap interface dan het is uitgestuurd dat het verkeer geblocked wordt. Ik heb nog niet kunnen vinden of dit een feature of een bug is. Ik heb nu een aanpassing gedaan op de backup core en nu gaat het verkeer wel altijd goed als alles gewoon netjes draait. Ik moet nog even bedenken wat de impact exact is als er hier en daar wat uitvalt. De 1e tests lijken in ieder geval goed te gaan.
OVerigens de core ziet er nu zo uit
Opeens liep ik vandaag tegen wat vreemde problemen aan. Het lijkt erop dat als er verkeer terugkomt over een andere tap interface dan het is uitgestuurd dat het verkeer geblocked wordt. Ik heb nog niet kunnen vinden of dit een feature of een bug is. Ik heb nu een aanpassing gedaan op de backup core en nu gaat het verkeer wel altijd goed als alles gewoon netjes draait. Ik moet nog even bedenken wat de impact exact is als er hier en daar wat uitvalt. De 1e tests lijken in ieder geval goed te gaan.
OVerigens de core ziet er nu zo uit
Ik weet niet of we hier iets aan hebben maar er is een nieuwe versie van OpenVPN: 2.0.4
meuktracker: Asus A7V 1009
meuktracker: Asus A7V 1009
"You smell that, son? What sir? Napalm, I love the smell of napalm in the mornin!" || Children of Bodom fan!
:strip_icc():strip_exif()/u/47471/crop5aa6cb9f97040_cropped.jpeg?f=community)
* PowerSp00n wil eventueel ook wel als testpersoon optreden .
OpenVPN heb ik al even ervaring mee, BGP nog niet (ben alleen nog bezig met de basics van OSPF/EIGRP etc via CCNA)...
.OpenVPN heb ik al even ervaring mee, BGP nog niet (ben alleen nog bezig met de basics van OSPF/EIGRP etc via CCNA
)...
Denon AVR-X2800H, Quadral Amun Mk.III, Technics SL-7, DIY PhonoPre, AT-152LP / 4.225kW Heckert Solar / SMA 3.0-1AV-41 / Kia e-Niro 64kWh First Edition
ik heb nu in alle interface directories dit toegevoegd maar nog geen succes. Ik ga eerst de tunnels maar eens downgooien kijken of het dan wel werkt.
edit werkt dus ook niet
het gekke is ook als ik log_martians aanzet zie ik niks in de logs verschijnen
edit werkt dus ook niet
het gekke is ook als ik log_martians aanzet zie ik niks in de logs verschijnen
[ Voor 27% gewijzigd door TrailBlazer op 03-11-2005 08:10 ]
Denon AVR-X2800H, Quadral Amun Mk.III, Technics SL-7, DIY PhonoPre, AT-152LP / 4.225kW Heckert Solar / SMA 3.0-1AV-41 / Kia e-Niro 64kWh First Edition