Re: Проблема доступа по SSH к компьютеру, подуключенному к сети через 3G.
25.09.2013, 20:41, "Семен Кландров" orte...@gmail.com: Если честно, я не знаю, куда копать. Посоветуйте что-нибудь пожалуйста.Сталкивался с той же проблемой, используя 3G модем от Мегафон. Пришел к выводу, что скорее всего это дело рук провайдера. Хотя лучше всё-таки сами и спросите у вашего провайдера.25 сентября 2013 г., 20:01 пользователь Андрей Михалёв endr...@yandex.ru написал: Если честно, я не знаю, куда копать. Посоветуйте что-нибудь пожалуйста. Может быть умолчательные настройки файрволла в случае ppp-соединения (частным случаем которого является использование сотового модема) и сильно отличаются от других вариантов?Запросы на соединение с вашим компом просто блокируются провайдером. этож 3G! =)суровые пошли провайдеры…парсят шифрованный трафик — как семечки лузгают.p.s. я в курсе про "cipher none".
Re: Проблема доступа по SSH к компьютеру, подуключенному к сети через 3G.
Am 26.09.2013 09:21, schrieb alexander barakin (aka sash-kan): 25.09.2013, 20:41, Семен Кландров orte...@gmail.com: Если честно, я не знаю, куда копать. Посоветуйте что-нибудь пожалуйста. Сталкивался с той же проблемой, используя 3G модем от Мегафон. Пришел к выводу, что скорее всего это дело рук провайдера. Хотя лучше всё-таки сами и спросите у вашего провайдера. 25 сентября 2013 г., 20:01 пользователь Андрей Михалёв endr...@yandex.ru mailto:endr...@yandex.ru написал: Если честно, я не знаю, куда копать. Посоветуйте что-нибудь пожалуйста. Может быть умолчательные настройки файрволла в случае ppp-соединения (частным случаем которого является использование сотового модема) и сильно отличаются от других вариантов? Запросы на соединение с вашим компом просто блокируются провайдером. этож 3G! =) суровые пошли провайдеры… парсят шифрованный трафик — как семечки лузгают. p.s. я в курсе про cipher none. лудше Сателит поставить
Re: Проблема доступа по SSH к компьютеру, подуключенному к сети через 3G.
alexander barakin (aka sash-kan) - debian-russian@lists.debian.org @ Thu, 26 Sep 2013 11:21:38 +0400: Если честно, я не знаю, куда копать. Посоветуйте что-нибудь пожалуйста. ab(s Сталкивался с той же проблемой, используя 3G модем от Мегафон. Пришел к выводу, что скорее всего это дело рук провайдера. Хотя лучше всё-таки сами и спросите у ab(s вашего провайдера. ab(s 25 сентября 2013 г., 20:01 пользователь Андрей Михалёв endr...@yandex.ru написал: Если честно, я не знаю, куда копать. Посоветуйте что-нибудь пожалуйста. ab(s Может быть умолчательные настройки файрволла в случае ppp-соединения ab(s (частным случаем которого является использование сотового модема) и ab(s сильно отличаются от других вариантов? ab(s ab(s Запросы на соединение с вашим компом просто блокируются провайдером. этож 3G! =) ab(s суровые пошли провайдеры… ab(s парсят шифрованный трафик — как семечки лузгают. Для того, чтобы заблокировать входящий запрос, совершенно не обязательно парсить шифрованный трафик. Ну, за исключением варианта OpenVPN over TCP c настроенным keepalive. Да, я тоже в курсе, что в других вариантах тоже иногда можно настроить такой keepalive, чтобы файрволы провайдера не продалбывали соединение. Но обычно это будет довольно частый keepalive, типичное время протухания, допустим, UDP-сессии в подобном файрволе - секунд 30. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/87ioxn8q8x@wizzle.ran.pp.ru
Re: Проблема доступа по SSH к компьютеру, подуключенному к сети через 3G.
On Thu, Sep 26, 2013 at 09:08:46PM +0400, Artem Chuprina wrote: alexander barakin (aka sash-kan) - debian-russian@lists.debian.org @ Thu, 26 Sep 2013 11:21:38 +0400: ab(s Запросы на соединение с вашим компом просто блокируются провайдером. этож 3G! =) ab(s суровые пошли провайдеры??? ab(s парсят шифрованный трафик ??? как семечки лузгают. Для того, чтобы заблокировать входящий запрос, совершенно не обязательно парсить шифрованный трафик. Чё, правда? But why? :) Речь-то идёт о трафике внутри vpn-туннеля, установленного от хоста в какое-то внешнее облако. Во всяком случае это единственная видимая мне причина, по которой в этой дискуссии упоминается vpn. -- Eugene Berdnikov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20130926173217.gi3...@sie.protva.ru
Re: Проблема доступа по SSH к компьютеру, подуключенному к сети через 3G.
Eugene Berdnikov b...@protva.ru writes: On Thu, Sep 26, 2013 at 09:08:46PM +0400, Artem Chuprina wrote: alexander barakin (aka sash-kan) - debian-russian@lists.debian.org @ Thu, 26 Sep 2013 11:21:38 +0400: ab(s Запросы на соединение с вашим компом просто блокируются провайдером. этож 3G! =) ab(s суровые пошли провайдеры??? ab(s парсят шифрованный трафик ??? как семечки лузгают. Для того, чтобы заблокировать входящий запрос, совершенно не обязательно парсить шифрованный трафик. Чё, правда? But why? :) Речь-то идёт о трафике внутри vpn-туннеля, установленного от хоста в какое-то внешнее облако. Ну, VPN-туннель у меня работает по UDP. Это не постоянно поддерживаемое соединение. Раз в 10 секунд (настраивается параметром keepalive в конфиге openvpn) происходит обмен сообщениями, откуда vpn-сервер и узнает обратный адрес. Кстати, а не в этом ли может быть дело? Вот у меня дома внешний адрес, судя по всему не так уж часто меняется, потому все и работает... А вот с 3g-модемом дело может быть обстоит куда хуже. Может, действительно для компа за 3g-модемом лучше использовать tcp? Артём, спасибо! Во всяком случае это единственная видимая мне причина, по которой в этой дискуссии упоминается vpn. Я думаю, что в случае возникновения ситуации ничего не понятно и идей больше нет, есть смысл в задаваемом вопросе указывать *все* обстоятельства дела, даже если не ясна их важность для решения проблемы. pgpDBlhsme0Bd.pgp Description: PGP signature
openvpn при такой схеме
Есть локальная сеть 192.168.1.0, которая подключена к инету через ADSL-роутер, нужно подключать по vpn клиентов из другой локалки... с помощью Openvpn можно осуществить такую схему: в локалке 192.168.1.0 поднять debian сервер с openvpn-сервером с адресом, к примеру 192.168.1.7 на порту 5194, а в настройках ADSL-роутера прописать проброс портов? или же debian сервер должен иметь 2 сетевухи - одна с реальным айпишником, другая смотрит в локалку... Vpn-клиентов с другой стороны-десятки и они периодически должны подключаться к openvpn-серверу, на них будет установлена клиентская часть openvpn... Или для реализации такой схемы есть варианты использования других технологий, отличных от openvpn? Кто в теме, подскажите, плз... -- BW, Сохин Вячеслав -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/52447bd5.5080...@yandex.ua
Re: Проблема доступа по SSH к компьютеру, подуключенному к сети через 3G.
Eugene Berdnikov - debian-russian@lists.debian.org @ Thu, 26 Sep 2013 21:32:17 +0400: alexander barakin (aka sash-kan) - debian-russian@lists.debian.org @ Thu, 26 Sep 2013 11:21:38 +0400: ab(s Запросы на соединение с вашим компом просто блокируются провайдером. этож 3G! =) ab(s суровые пошли провайдеры??? ab(s парсят шифрованный трафик ??? как семечки лузгают. Для того, чтобы заблокировать входящий запрос, совершенно не обязательно парсить шифрованный трафик. EB Чё, правда? But why? :) Речь-то идёт о трафике внутри vpn-туннеля, EB установленного от хоста в какое-то внешнее облако. Так VPN-туннель-то тоже в чем-то идет. Например, OpenVPN ходит либо внутри UDP, либо внутри TCP. Если таймаут на (в терминах iptables) RELATED,ESTABLISHED на файрволе провайдера меньше, чем keepalive, то пакет, начинающий сессию внутри туннеля, может оказаться начинающим ее и снаружи оного с кочки зрения оного файрвола. И привет. А на UDP keepalive на файрволе может быть и маленьким, протокол-то sessionless. Разумеется, гарантии у такой блокировки не будет. А вот проблему создать она может. В официальных VPN я не силен, каковы там особенности внешних протоколов, не знаю. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/871u4b8mmv@wizzle.ran.pp.ru
Re: Проблема доступа по SSH к компьютеру, подуключенному к сети через 3G.
Dmitrii Kashin - debian-russian@lists.debian.org @ Thu, 26 Sep 2013 22:06:17 +0400: alexander barakin (aka sash-kan) - debian-russian@lists.debian.org @ Thu, 26 Sep 2013 11:21:38 +0400: ab(s Запросы на соединение с вашим компом просто блокируются провайдером. этож 3G! =) ab(s суровые пошли провайдеры??? ab(s парсят шифрованный трафик ??? как семечки лузгают. Для того, чтобы заблокировать входящий запрос, совершенно не обязательно парсить шифрованный трафик. Чё, правда? But why? :) Речь-то идёт о трафике внутри vpn-туннеля, установленного от хоста в какое-то внешнее облако. DK Ну, VPN-туннель у меня работает по UDP. Это не постоянно поддерживаемое DK соединение. Раз в 10 секунд (настраивается параметром keepalive в DK конфиге openvpn) происходит обмен сообщениями, откуда vpn-сервер и DK узнает обратный адрес. Кстати, а не в этом ли может быть дело? Вот у DK меня дома внешний адрес, судя по всему не так уж часто меняется, потому DK все и работает... А вот с 3g-модемом дело может быть обстоит куда хуже. Ну, у 3g-модема адрес так часто тоже не меняется. Ну и 10 секунд, конечно, не таймаут для провайдерского файрвола. 30 секунд или минута - верю, да. Если keepalive 10 минут, а не 10 секунд, другое дело. DK Может, действительно для компа за 3g-модемом лучше использовать tcp? Хрен знает. У OpenVPN в документации сказано на хреновом канале TCP в норме работает заметно хуже, чем UDP, но зато все же какая-никакая, а сессия. Мы в свое время делали TCP, потому что было два канала, основной и резервный, и ответ должен был уходить туда, откуда пришел запрос. TCP это позволял, а UDP - нет (точнее, мне не удалось тогда быстро придумать, как его заставить). -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/87wqm377tl@wizzle.ran.pp.ru
Re: Проблема доступа по SSH к компьютеру, подуключенному к сети через 3G.
On Thu, Sep 26, 2013 at 10:26:48PM +0400, Artem Chuprina wrote: Так VPN-туннель-то тоже в чем-то идет. Например, OpenVPN ходит либо внутри UDP, либо внутри TCP. Если таймаут на (в терминах iptables) RELATED,ESTABLISHED на файрволе провайдера меньше, чем keepalive, то пакет, начинающий сессию внутри туннеля, может оказаться начинающим ее и снаружи оного с кочки зрения оного файрвола. Тогда у товарища туннель будет постоянно рваться. Впрочем, он может этого не заметить, хотя утверждает, что проблема постоянная, а при рвущемся туннеле она была бы плавающая. И привет. А на UDP keepalive на файрволе может быть и маленьким, протокол-то sessionless. Только не keepalive, а таймаут, и это для пинга он может быть маленьким, до нескольких секунд, а чтобы сделать его таким для udp -- нужно чего-то крепко обкуриться... Но если забойную дурь соснуть, то можно и для tcp таймауты выкрутить под нуль, я таких уродов в инете пару раз встречал. :) -- Eugene Berdnikov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20130926202042.gj3...@sie.protva.ru
Re: Проблема доступа по SSH к компьютеру, подуключенному к сети через 3G.
On Thu, Sep 26, 2013 at 10:32:06PM +0400, Artem Chuprina wrote: Dmitrii Kashin - debian-russian@lists.debian.org @ Thu, 26 Sep 2013 22:06:17 +0400: DK Может, действительно для компа за 3g-модемом лучше использовать tcp? Хрен знает. У OpenVPN в документации сказано на хреновом канале TCP в норме работает заметно хуже, чем UDP, Правильно сказано, это ж классический meltdown effect. но зато все же какая-никакая, а сессия. Мы в свое время делали TCP, потому что было два канала, основной и резервный, и ответ должен был уходить туда, откуда пришел запрос. TCP это позволял, а UDP - нет (точнее, мне не удалось тогда быстро придумать, как его заставить). Элементарно, Ватсон: -j DNAT --to [ip.of.vpn.serv], после чего conntrack делает штамповку правильного src_ip в обратных пакетах за вас. -- Eugene Berdnikov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20130926202538.gk3...@sie.protva.ru
Re: Проблема доступа по SSH к компьютеру, подуключенному к сети через 3G.
26.09.2013 21:08, Artem Chuprina пишет: Для того, чтобы заблокировать входящий запрос, совершенно не обязательно парсить шифрованный трафик. Ну, за исключением варианта OpenVPN over TCP c настроенным keepalive. Да, я тоже в курсе, что в других вариантах тоже иногда можно настроить такой keepalive, чтобы файрволы провайдера не продалбывали соединение. Но обычно это будет довольно частый keepalive, типичное время протухания, допустим, UDP-сессии в подобном файрволе - секунд 30. Вариант с keepalive и протухшей записью в NAT у провайдера я отмёл потому что для провайдерского NAT нет разницы что внутри пакета - TCP или ICMP. У ТС есть ответ на icmp внутри туннеля, а вот на tcp ответов нет. Вот ещё идея пришла в голову - с MTU всё хорошо? Как внутри туннеля так и снаружи. -- Best regards, Mikhail - WWW: http://www.antmix.ru/ XMPP: ant...@stopicq.ru signature.asc Description: OpenPGP digital signature
Re: openvpn при такой схеме
27 сентября 2013 г., 0:24 пользователь Sohin Vyacheslaw in.s...@yandex.ua написал: Есть локальная сеть 192.168.1.0, которая подключена к инету через ADSL-роутер, нужно подключать по vpn клиентов из другой локалки... с помощью Openvpn можно осуществить такую схему: в локалке 192.168.1.0 поднять debian сервер с openvpn-сервером с адресом, к примеру 192.168.1.7 на порту 5194, а в настройках ADSL-роутера прописать проброс портов? Всё нормально работало на предыдущей работе по такой схеме. Правда, натов было два :-) или же debian сервер должен иметь 2 сетевухи - одна с реальным айпишником, другая смотрит в локалку... Vpn-клиентов с другой стороны-десятки и они периодически должны подключаться к openvpn-серверу, на них будет установлена клиентская часть openvpn... Или для реализации такой схемы есть варианты использования других технологий, отличных от openvpn? Кто в теме, подскажите, плз... pptp, l2tp, ... Много их. Лучше задачу полностью озвучить и спросить, что лучше. -- Stanislav
[RFR] wml://users/com/{ecomputecorp,emni,enbuenosaires,energynet,epigenomics,essentialsystems,eurogaraninformatica,euronetics,evitrum}.wml
Cheers! Lev Lamberov users_com_ecomputecorp.wml.en_ru.patch Description: Binary data users_com_emni.wml.en_ru.patch Description: Binary data users_com_enbuenosaires.wml.en_ru.patch Description: Binary data users_com_energynet.wml.en_ru.patch Description: Binary data users_com_epigenomics.wml.en_ru.patch Description: Binary data users_com_essentialsystems.wml.en_ru.patch Description: Binary data users_com_eurogaraninformatica.wml.en_ru.patch Description: Binary data users_com_euronetics.wml.en_ru.patch Description: Binary data users_com_evitrum.wml.en_ru.patch Description: Binary data
[RFR] wml://users/com/{fahrwerk-berlin,faunalia,filledshelves,freeside,frogfoot}.wml
Cheers! Lev Lamberov users_com_fahrwerk-berlin.wml.en_ru.patch Description: Binary data users_com_faunalia.wml.en_ru.patch Description: Binary data users_com_filledshelves.wml.en_ru.patch Description: Binary data users_com_freeside.wml.en_ru.patch Description: Binary data users_com_frogfoot.wml.en_ru.patch Description: Binary data