Mesh VPN on Debian (Was Re: Current best practices for system configuration management?)
Hi, On Sat, Apr 20, 2024 at 04:40:24PM -0700, Mike Castle wrote: > Like Alex, one of my physical machines is a laptop that is not always > on the home network. Though I'm usually connected to *something*. > I'm still debating whether to bother with a VPN or trying something > like a tailnet. For mesh VPN I really like Yggdrasil (packaged in Debian, but widely available). It does quite a lot of the things that people use Tailscale for, but has the advantages of: - Completely FOSS - No need to contact a central authority - your nodes all self-organise - Thus no limit on how many nodes you can have for free (though Tailscale's limit is very generous) Like Tailscale it will detect other instances of itself on your LAN so local traffic remains local (avoid a VPN hairpin) while you still use the same Yggdrasil IP addresses to talk to things. Downsides compared to Tailscale are things like: - Not as polished a product so no hand-holding; you need to read the docs - Not available on as many platforms. It is a single static Go binary so it's not hard to deploy if you can compile it, but I don't know what the story is on things like mobile platforms, whereas there's Tailscale apps for everything. - I don't have personal experience but possibly it's more energy intensive than Tailscale which would matter a lot on mobile devices There is a good introduction and comparison with some other solutions here: https://www.complete.org/easily-accessing-all-your-stuff-with-a-zero-trust-mesh-vpn/ I still wouldn't want to automated a config push/pull to a laptop over a mesh VPN I think, but others have mentioned that you can do Ansible in a pull mode. Thanks, Andy -- https://bitfolk.com/ -- No-nonsense VPS hosting
Re: OT: VPN sobre Debian
El 25/8/23 a las 11:42, itzcoalt Alvarez escribió: En 25/08/23 08:26, JavierDebian escribió: Buenos días. Necesito contratar una VPN. Nunca lo hice. Va la pregunta: ¿Cuál es la más conveniente para sistemas GNU/Linux? Por lo que veo en las ofertas, todas dice "para Windows MAC, Chrome, Android, iOS..." y ahí me quedé. Me estoy basando en este artículo: https://www.wizcase.com/best-vpn-for-linux/ Gracias. JAP > Hola que tal. > > > Algunas nubes te ofrecen una VM gratis, en ella puedes instalar Debian, > y hacer un tunel ssh, con ello la salida la tendrías como una vpn y gratis. > > > Saludos > > > > Ufff. Las VPS cobran fortunas Y lo que yo quiero es ver "streaming" que tiene en mi país muchas cosas bloqueadas. (Y algo de Tor/Onion también ...) No me quiero complicar tanto. No pienso subir ni utilizarla para manejar información reservada; nada mejor que un disco portátil para eso. Refino la pregunta: ¿Cuál es la VPN más conveniente para sistemas GNU/Linux que me permita acceder a los servicio de streaming? Gracias. JAP
Re: OT: VPN sobre Debian
El 2023-08-25 12:52, Camaleón escribió: El 2023-08-25 a las 11:26 -0300, JavierDebian escribió: Buenos días. Necesito contratar una VPN. Nunca lo hice. Va la pregunta: ¿Cuál es la más conveniente para sistemas GNU/Linux? Por lo que veo en las ofertas, todas dice "para Windows MAC, Chrome, Android, iOS..." y ahí me quedé. Me estoy basando en este artículo: https://www.wizcase.com/best-vpn-for-linux/ Usar una VPN significa vender tu alma y más oscuros secretos a un tercero. Ja, ja, ja. Excelente defición! Y contratar un vps, instalarle Debian y armar una VPN propia? Cómo lo ves? Es el mismo riesgo o algo mejor? Gracias. Además de la parte técnica o el protocolo / aplicación a usar (OpenVPN, WireGuard...), que obviamente es importante, lo primero que buscaría es un proveedor (SÚPER)(CON)FIABLE, porque le vas a dar acceso a todos tus datos. No hace mucho leí una noticia de brecha de seguridad en una VPN (era Hamachi, si mal no recuerdo) de ahí la cautela mostrada. En suma, buscaría un servicio que utilizaran/recomendaran los mejores hackers que conozcas :-) Saludos, Saludos.
Re: OT: VPN sobre Debian
Como va? Estoy usando Proton VPN hace unos dias sin problemas. Podes probar free, si le das un mail te dan 10 Gb por mes. Te dan un usuario y contraseña, elegis 4 o 5 servidores y bajas los archivos de autenticacion de cada uno. Haces una red nueva con cada archivo, usuario y contraseña. Cuando va a Crear conexion de red abris el menu donde dice cabelada y vas hasta la ultima opcion que es VPN desde un archivo guardado y la configuras. En la lista de conexiones te aparece Cableada, WiFi y VPNs. En mi caso hice cuatro conexiones, cuando la activo busca en los cuatro servidores cual esta disponible. Hasta ahora me gustó como funciona. El 25/8/23 a las 11:26, JavierDebian escribió: Buenos días. Necesito contratar una VPN. Nunca lo hice. Va la pregunta: ¿Cuál es la más conveniente para sistemas GNU/Linux? Por lo que veo en las ofertas, todas dice "para Windows MAC, Chrome, Android, iOS..." y ahí me quedé. Me estoy basando en este artículo: https://www.wizcase.com/best-vpn-for-linux/ Gracias. JAP */Gerardo Braica */gbra...@gmail.com.ar /*/*
Re: OT: VPN sobre Debian
Hola que tal. Algunas nubes te ofrecen una VM gratis, en ella puedes instalar Debian, y hacer un tunel ssh, con ello la salida la tendrías como una vpn y gratis. Saludos En 25/08/23 08:26, JavierDebian escribió: Buenos días. Necesito contratar una VPN. Nunca lo hice. Va la pregunta: ¿Cuál es la más conveniente para sistemas GNU/Linux? Por lo que veo en las ofertas, todas dice "para Windows MAC, Chrome, Android, iOS..." y ahí me quedé. Me estoy basando en este artículo: https://www.wizcase.com/best-vpn-for-linux/ Gracias. JAP OpenPGP_0x78E609ED94463BC3.asc Description: OpenPGP public key OpenPGP_signature Description: OpenPGP digital signature
Re: OT: VPN sobre Debian
On Fri, Aug 25, 2023 at 11:26:41AM -0300, JavierDebian wrote: > Buenos días. > > Necesito contratar una VPN. > Nunca lo hice. > > Va la pregunta: > ¿Cuál es la más conveniente para sistemas GNU/Linux? > > Por lo que veo en las ofertas, todas dice "para Windows MAC, Chrome, > Android, iOS..." y ahí me quedé. > Yo no sé de los servicios VPN. Pero, en mi caso lo que me sirve mejor es tener una máquina virtual en la nube (ubicada donde quiera que la situación demanda), y ahí instalar OpenVPN (o WireGuard, dependiendo). Veo esto como una solución superior, porque evita que la conexión sea reconocida como proveniente de un servicio VPN conocido. Es decir, pienso que hay menos posibilidad que el tráfico sea bloqueado (o que haya otra interferencia) por los servicios que no gustan ver tráfico de VPN. Pero también no me es molesto tener la máquina virtual y mantenerla. Saludos, -Roberto -- Roberto C. Sánchez
OT: VPN sobre Debian
Buenos días. Necesito contratar una VPN. Nunca lo hice. Va la pregunta: ¿Cuál es la más conveniente para sistemas GNU/Linux? Por lo que veo en las ofertas, todas dice "para Windows MAC, Chrome, Android, iOS..." y ahí me quedé. Me estoy basando en este artículo: https://www.wizcase.com/best-vpn-for-linux/ Gracias. JAP
trouble with VPN deactivation
Hi, I am using a Debian Sid system with the GNOME desktop related packages from experimental (GNOME 44). And: $ id uid=1001(patrice) gid=1001(patrice) groupes=1001(patrice),4(adm),24(cdrom),25(floppy),27(sudo),29(audio),30(dip),44(video),46(plugdev),109(netdev),113(bluetooth),117(scanner),135(sbuild),1000(lpadmin) Activating a VPN configuration is working nicely. But when switching back to the default network configuration it does not seem to not be ideal. Also the network is working but seems to me somehow degraded. Here are the traces observed using journalctl: -- Switching VPN on juin 26 19:51:56 HOSTNAME NetworkManager[902]: [1687801916.4276] vpn[0x55cb21ef7960,4d48a71a-ce3f-4cae-a421-ce0f17a0369d,"X"]: starting fortisslvpn juin 26 19:51:56 HOSTNAME NetworkManager[902]: [1687801916.4279] audit: op="connection-activate" uuid="4d48a71a-ce3f-4cae-a421-ce0f17a0369d" name="X" pid=2681 uid=1001 result="success" juin 26 19:51:56 HOSTNAME NetworkManager[6178]: INFO: Connected to gateway. juin 26 19:51:56 HOSTNAME NetworkManager[6178]: INFO: Authenticated. juin 26 19:51:56 HOSTNAME NetworkManager[6178]: INFO: Remote gateway has allocated a VPN. juin 26 19:51:57 HOSTNAME pppd[6182]: Plugin /usr/lib/pppd/2.4.9/nm-fortisslvpn-pppd-plugin.so loaded. juin 26 19:51:57 HOSTNAME NetworkManager[6182]: Plugin /usr/lib/pppd/2.4.9/nm-fortisslvpn-pppd-plugin.so loaded. juin 26 19:51:57 HOSTNAME pppd[6182]: pppd 2.4.9 started by root, uid 0 juin 26 19:51:57 HOSTNAME kernel: PPP generic driver version 2.4.2 juin 26 19:51:57 HOSTNAME pppd[6182]: Using interface ppp0 juin 26 19:51:57 HOSTNAME NetworkManager[6182]: Using interface ppp0 juin 26 19:51:57 HOSTNAME NetworkManager[6182]: Connect: ppp0 <--> /dev/pts/1 juin 26 19:51:57 HOSTNAME pppd[6182]: Connect: ppp0 <--> /dev/pts/1 juin 26 19:51:57 HOSTNAME NetworkManager[6182]: {/tmp/.AY6261} {/tmp} juin 26 19:51:57 HOSTNAME NetworkManager[6182]: {/tmp/.AY6261} {.AY6261} juin 26 19:51:57 HOSTNAME NetworkManager[902]: [1687801917.1194] manager: (ppp0): new Ppp device (/org/freedesktop/NetworkManager/Devices/6) juin 26 19:51:57 HOSTNAME kernel: PPP BSD Compression module registered juin 26 19:51:57 HOSTNAME kernel: PPP Deflate Compression module registered juin 26 19:51:57 HOSTNAME NetworkManager[6178]: INFO: Got addresses: [X.X.X.X], ns [X.X.X.X, X.X.X.X] juin 26 19:51:57 HOSTNAME NetworkManager[6178]: INFO: Negotiation complete. juin 26 19:52:00 HOSTNAME NetworkManager[6178]: INFO: Got addresses: [X.X.X.X], ns [X.X.X.X, X.X.X.X] juin 26 19:52:00 HOSTNAME NetworkManager[6178]: INFO: Negotiation complete. juin 26 19:52:00 HOSTNAME NetworkManager[6178]: INFO: Negotiation complete. juin 26 19:52:00 HOSTNAME pppd[6182]: local IP address X.X.X.X juin 26 19:52:00 HOSTNAME NetworkManager[6182]: local IP address X.X.X.X juin 26 19:52:00 HOSTNAME NetworkManager[6182]: remote IP address X.X.X.X juin 26 19:52:00 HOSTNAME NetworkManager[6182]: primary DNS address X.X.X.X juin 26 19:52:00 HOSTNAME NetworkManager[6182]: secondary DNS address X.X.X.X juin 26 19:52:00 HOSTNAME pppd[6182]: remote IP address X.X.X.X juin 26 19:52:00 HOSTNAME NetworkManager[902]: [1687801920.5882] device (ppp0): state change: unmanaged -> unavailable (reason 'connection-assumed', sys-iface-state: 'external') juin 26 19:52:00 HOSTNAME NetworkManager[6182]: Can't execute /etc/ppp/ip-up: Permission denied juin 26 19:52:00 HOSTNAME pppd[6182]: primary DNS address X.X.X.X juin 26 19:52:00 HOSTNAME NetworkManager[902]: [1687801920.5893] device (ppp0): state change: unavailable -> disconnected (reason 'none', sys-iface-state: 'external') juin 26 19:52:00 HOSTNAME pppd[6182]: secondary DNS address X.X.X.X juin 26 19:52:00 HOSTNAME pppd[6182]: Can't execute /etc/ppp/ip-up: Permission denied juin 26 19:52:00 HOSTNAME dbus-daemon[827]: [system] Activating via systemd: service name='org.freedesktop.nm_dispatcher' unit='dbus-org.freedesktop.nm-dispatcher.service' requested by ':1.12' (uid=0 pid=902 comm="/usr/sbin/NetworkManager --no-daemon") juin 26 19:52:00 HOSTNAME NetworkManager[6178]: INFO: Interface ppp0 is UP. juin 26 19:52:00 HOSTNAME NetworkManager[6178]: INFO: Tunnel is up and running. juin 26 19:52:00 HOSTNAME systemd[1]: Starting NetworkManager-dispatcher.service - Network Manager Script Dispatcher Service... ░░ Subject: L'unité (unit) NetworkManager-dispatcher.service a commencé à démarrer ░░ Defined-By: systemd ░░ Support: https://www.debian.org/support ░░ ░░ L'unité (unit) NetworkManager-dispatcher.service a commencé à démarrer. juin 26 19:52:00 HOSTNAME dbus-daemon[827]: [system] Successfully activated service 'org.freedesktop.nm_dispatcher' juin 26 19:52:00 HOSTNAME systemd[1]: Started NetworkManager-dispatcher.service - Network Manager Script Dispatcher Service. ░░ Subject: L'unité (unit) NetworkManager-dispatcher.service a terminé son démarrage ░░ Defin
Re: Faire un routeur HA dual WAN (+ VPN) avec un PC sous debian
Le jeudi 15 juin 2023 à 18:06 +0200, roger.tar...@free.fr a écrit : > Je vois que le ZYXEL LTE490-M904 est à environ 400 € sur le site du > fabricant et à 730 € chez certains revendeurs. > C'est un produit pour l'extérieur (IP68). > Il a bien "One Gigabit RJ-45 PoE LAN port". Oui, il a UN port ethernet POE, le fabricant met à jour relativement régulièrement son firmware. Christophe
Re: Faire un routeur HA dual WAN (+ VPN) avec un PC sous debian
J'ai eu un zyxel il y a longtemps. Le problème c'est le jour où ils ont décidé de l'arrêter, plus de muse à jour. Pour moi, j'ai un sg3100 de chez netgate et pas de soucis Le 15 juin 2023 18:06:39 GMT+02:00, roger.tar...@free.fr a écrit : >Merci pour le script. > >Je vois que le ZYXEL LTE490-M904 est à environ 400 € sur le site du fabricant >et à 730 € chez certains revendeurs. >C'est un produit pour l'extérieur (IP68). >Il a bien "One Gigabit RJ-45 PoE LAN port". >https://www.zyxel.com/fr/fr/products/mobile-broadband/4g-lte-a-pro-outdoor-router-lte7490-m904 > >- Mail original - >De: "Christophe Maquaire" >À: "Liste Debian" >Envoyé: Mercredi 14 Juin 2023 18:37:44 >Objet: Re: Faire un routeur HA dual WAN (+ VPN) avec un PC sous debian > >Le mercredi 14 juin 2023 à 17:46 +0200, roger.tar...@free.fr a écrit : >> Bonjour, >> >Bonjour, >> J'ai besoin de disposer d'un lien internet redondant (FO+ 4G). >> Si le lien principal (FO) tombe, alors l'autre lien 4G prend le >> relais automatiquement. >> Si le lien principal revient, alors c'est lui qui va reprendre le >> relais. >> >> J'aimerais en réaliser un avec un PC debian équipé des matériels et >> logiciels nécessaires. >> (Mon expérience du Raspberry me fait oublier cette solution : sur le >> long terme, mes cartes flash "haut de gamme" n'ont jamais tenu) >> >> Je dispose : >> - d'un modem FO (interface Ethernet) et d'un routeur Ethernet/WiFi >> d'un opérateur. >> IMPORTANT : j'ignore si le routeur de l'opérateur peut être remplacé >> par n'importe quel routeur ! >> - d'un modem 4G avec une interface WiFi+USB (j'attends un modem qui >> ait aussi une interface Ethernet) >> - d'un PC qui a trois interfaces réseau (2 Ethernet et 1 WiFi) ; >> logiquement, il lui faudrait 3 cartes réseau... >> >> Je sais que c'est théoriquement possible de faire ça. Ce doit être du >> routage de flux conditionnel (sur l'état des liens). >> Et je sais par expérience dans un domaine approché que ça doit être >> rapide ou tès long à réaliser. >> Surtout que je n'ai pas d'expérience. >> >J'ai un script récupéré je ne sais plus où et adapté à mes besoins qui >fait çà en IPv4 > >---début >#!/bin/bash > ># variables (eventuellement passees par ENV) > >CHECK_DELAY=${CHECK_DELAY:-5} >CHECK_IP=${CHECK_IP:-1.1.1.1} >PRIMARY_IF=${PRIMARY_IF:-enp3s0f0} >PRIMARY_GW=${PRIMARY_GW:-192.168.1.254} >BACKUP_IF=${BACKUP_IF:-enp4s0f1} >BACKUP_GW=${BACKUP_GW:-192.168.2.254} >FAILOVER_LOG=${FAILOVER_LOG:-/var/log/failover.log} > >date >> $FAILOVER_LOG >echo "CHECK_DELAY " $CHECK_DELAY >> $FAILOVER_LOG >echo "CHECK_IP " $CHECK_IP >> $FAILOVER_LOG >echo "PRIMARY_IF "$PRIMARY_IF >> $FAILOVER_LOG >echo "PRIMARY_GW " $PRIMARY_GW >> $FAILOVER_LOG >echo "BACKUP_IF " $BACKUP_IF >> $FAILOVER_LOG >echo "BACKUP_GW " $BACKUP_GW >> $FAILOVER_LOG > > ># Comparaison défault GW actuelle avec celle donnée en argument >gateway_if() { >[[ "$1" = "$(ip route get "$CHECK_IP" | grep dev | cut -d ' ' -f5 )" ]] >} > > ># boucle continue de vérification de la connectivité sur primary >while true >do > if gateway_if "$BACKUP_IF" >then > ip route add "$CHECK_IP" via "$PRIMARY_GW" dev "$PRIMARY_IF" > PING_PRIMARY_IF=$( ping -I "$PRIMARY_IF" -c1 "$CHECK_IP"|grep >'packet loss'|cut -d ' ' -f4) > ip route del "$CHECK_IP" via "$PRIMARY_GW" dev "$PRIMARY_IF" >else > PING_PRIMARY_IF=$(ping -I "$PRIMARY_IF" -c1 "$CHECK_IP"|grep >'packet loss'|cut -d ' ' -f4) > fi > > if [ $PING_PRIMARY_IF -eq 1 ] ># succès de verif interface primaire >then ># On est sur backup? > if gateway_if "$BACKUP_IF" >then ># Switch sur primary >date >> $FAILOVER_LOG >echo "GW "$BACKUP_GW "=> "$PRIMARY_GW >> $FAILOVER_LOG >echo "INTERFACE "$BACKUP_IF "=> "$PRIMARY_IF >> $FAILOVER_LOG > ip route del default via "$BACKUP_GW" dev "$BACKUP_IF" > ip route add default via "$PRIMARY_GW" dev "$PRIMARY_IF" > fi >else ># echec de verif interface primaire ># On est sur primary? > if gateway_if "$PRIMARY_IF" >then > ># Switch sur backup > ip route del default via "$PRIM
Re: Faire un routeur HA dual WAN (+ VPN) avec un PC sous debian
Merci pour le script. Je vois que le ZYXEL LTE490-M904 est à environ 400 € sur le site du fabricant et à 730 € chez certains revendeurs. C'est un produit pour l'extérieur (IP68). Il a bien "One Gigabit RJ-45 PoE LAN port". https://www.zyxel.com/fr/fr/products/mobile-broadband/4g-lte-a-pro-outdoor-router-lte7490-m904 - Mail original - De: "Christophe Maquaire" À: "Liste Debian" Envoyé: Mercredi 14 Juin 2023 18:37:44 Objet: Re: Faire un routeur HA dual WAN (+ VPN) avec un PC sous debian Le mercredi 14 juin 2023 à 17:46 +0200, roger.tar...@free.fr a écrit : > Bonjour, > Bonjour, > J'ai besoin de disposer d'un lien internet redondant (FO+ 4G). > Si le lien principal (FO) tombe, alors l'autre lien 4G prend le > relais automatiquement. > Si le lien principal revient, alors c'est lui qui va reprendre le > relais. > > J'aimerais en réaliser un avec un PC debian équipé des matériels et > logiciels nécessaires. > (Mon expérience du Raspberry me fait oublier cette solution : sur le > long terme, mes cartes flash "haut de gamme" n'ont jamais tenu) > > Je dispose : > - d'un modem FO (interface Ethernet) et d'un routeur Ethernet/WiFi > d'un opérateur. > IMPORTANT : j'ignore si le routeur de l'opérateur peut être remplacé > par n'importe quel routeur ! > - d'un modem 4G avec une interface WiFi+USB (j'attends un modem qui > ait aussi une interface Ethernet) > - d'un PC qui a trois interfaces réseau (2 Ethernet et 1 WiFi) ; > logiquement, il lui faudrait 3 cartes réseau... > > Je sais que c'est théoriquement possible de faire ça. Ce doit être du > routage de flux conditionnel (sur l'état des liens). > Et je sais par expérience dans un domaine approché que ça doit être > rapide ou tès long à réaliser. > Surtout que je n'ai pas d'expérience. > J'ai un script récupéré je ne sais plus où et adapté à mes besoins qui fait çà en IPv4 ---début #!/bin/bash # variables (eventuellement passees par ENV) CHECK_DELAY=${CHECK_DELAY:-5} CHECK_IP=${CHECK_IP:-1.1.1.1} PRIMARY_IF=${PRIMARY_IF:-enp3s0f0} PRIMARY_GW=${PRIMARY_GW:-192.168.1.254} BACKUP_IF=${BACKUP_IF:-enp4s0f1} BACKUP_GW=${BACKUP_GW:-192.168.2.254} FAILOVER_LOG=${FAILOVER_LOG:-/var/log/failover.log} date >> $FAILOVER_LOG echo "CHECK_DELAY " $CHECK_DELAY >> $FAILOVER_LOG echo "CHECK_IP " $CHECK_IP >> $FAILOVER_LOG echo "PRIMARY_IF "$PRIMARY_IF >> $FAILOVER_LOG echo "PRIMARY_GW " $PRIMARY_GW >> $FAILOVER_LOG echo "BACKUP_IF " $BACKUP_IF >> $FAILOVER_LOG echo "BACKUP_GW " $BACKUP_GW >> $FAILOVER_LOG # Comparaison défault GW actuelle avec celle donnée en argument gateway_if() { [[ "$1" = "$(ip route get "$CHECK_IP" | grep dev | cut -d ' ' -f5 )" ]] } # boucle continue de vérification de la connectivité sur primary while true do if gateway_if "$BACKUP_IF" then ip route add "$CHECK_IP" via "$PRIMARY_GW" dev "$PRIMARY_IF" PING_PRIMARY_IF=$( ping -I "$PRIMARY_IF" -c1 "$CHECK_IP"|grep 'packet loss'|cut -d ' ' -f4) ip route del "$CHECK_IP" via "$PRIMARY_GW" dev "$PRIMARY_IF" else PING_PRIMARY_IF=$(ping -I "$PRIMARY_IF" -c1 "$CHECK_IP"|grep 'packet loss'|cut -d ' ' -f4) fi if [ $PING_PRIMARY_IF -eq 1 ] # succès de verif interface primaire then # On est sur backup? if gateway_if "$BACKUP_IF" then # Switch sur primary date >> $FAILOVER_LOG echo "GW "$BACKUP_GW "=> "$PRIMARY_GW >> $FAILOVER_LOG echo "INTERFACE "$BACKUP_IF "=> "$PRIMARY_IF >> $FAILOVER_LOG ip route del default via "$BACKUP_GW" dev "$BACKUP_IF" ip route add default via "$PRIMARY_GW" dev "$PRIMARY_IF" fi else # echec de verif interface primaire # On est sur primary? if gateway_if "$PRIMARY_IF" then # Switch sur backup ip route del default via "$PRIMARY_GW" dev "$PRIMARY_IF" ip route add default via "$BACKUP_GW" dev "$BACKUP_IF" date >> $FAILOVER_LOG echo "GW "$PRIMARY_GW "=> "$BACKUP_GW >> $FAILOVER_LOG echo "INTERFACE "$PRIMARY_IF "=> "$BACKUP_IF >> $FAILOVER_LOG fi # la primary est down et on est dèjà sur la backup # du coup on espère que la backup est UP fi sleep "$CHECK_DELAY" done ---fin- En gros on ping sur l'interface usuelle, si ça foire on passe sur l'interface de backup en adaptant la table de routage. Si l'interface usuelle remonte, on switch de nouveau. Si on NAT (c'est probable) il faut ajouter les règles utiles (iptables ou nftables) > > Quel modèle vous a satisfait ? > J'ai un routeur ZYXEL LTE490-M904 sur la façade qui fonctionne pas mal, mais qui n'est pas donné > > PS : Je ne dispose pas d'info des opérateurs pour déterminer si un > tel appareil saurait remplacer le modem FO de l'opérateur et > communiquer avec le serveur FO de l'opérateur. > Je dirais plutôt que non (protocole proprio ?) > Avez-vous déjà réussi à utiliser votre propre modem FO au réseau de > votre opérateur ? > Me contente d'une box... > Merci. De rien, Christophe
Re: Faire un routeur HA dual WAN (+ VPN) avec un PC sous debian
Bonjour Le 15/06/2023 à 10:52, RogerT a écrit : Bonjour, Tu connectes donc sans souci le modem FO de l’opérateur avec ton propre routeur. Est-ce toujours possible ? Non (j’imaginais que l’opérateur créait une relation propriétaire entre son modem et son routeur). Quel modèle de routeur netgate (qui embarque pfsense) t’a satisfait ? Merci. Le 15 juin 2023 à 07:33, Benoit Szczygiel a écrit : Bonjour, Remplacer le routeur opérateur n'est pas un problème, c'est ce que je fais depuis longtemps. Pour le logiciel, j'utilise pfsense et pour me simplifier les choses, j'ai un routeur netgate qui l'embarque. Bonne journée Le 14 juin 2023 18:39:07 GMT+02:00, Sabri KHEMISSA a écrit : Bonjour, Je te suggère d'installer opnsense https://opnsense.org/ sur ton PC. La solution répond à tes deux besoins : WAN Failover et VPN (au choix VPN SSL ou IPSec) A mon sens, tu ne pourras pas remplacer le routeur opérateur. Prévoir du NAT au niveau de ton routeur pour le VPN (il te faudra une IP fixe sur Internet ou faire du DynDNS, le cas échéant). Bonne soirée, /Sabri Le mer. 14 juin 2023 à 17:46, a écrit : Bonjour, J'ai besoin de disposer d'un lien internet redondant (FO+ 4G). Si le lien principal (FO) tombe, alors l'autre lien 4G prend le relais automatiquement. Si le lien principal revient, alors c'est lui qui va reprendre le relais. Le dispositif du commerce doit s'appeler un HA dual WAN router. Et il intègre souvent un VPN. Je ne veux plus dépendre d'un seul opérateur dont la ligne ou le matériel peut être défaillant. Et dont l'équipement détient tous mes réglages (routage de ports/NAT). J'aimerais en réaliser un avec un PC debian équipé des matériels et logiciels nécessaires. (Mon expérience du Raspberry me fait oublier cette solution : sur le long terme, mes cartes flash "haut de gamme" n'ont jamais tenu) Je dispose : - d'un modem FO (interface Ethernet) et d'un routeur Ethernet/WiFi d'un opérateur. IMPORTANT : j'ignore si le routeur de l'opérateur peut être remplacé par n'importe quel routeur ! - d'un modem 4G avec une interface WiFi+USB (j'attends un modem qui ait aussi une interface Ethernet) - d'un PC qui a trois interfaces réseau (2 Ethernet et 1 WiFi) ; logiquement, il lui faudrait 3 cartes réseau... Je sais que c'est théoriquement possible de faire ça. Ce doit être du routage de flux conditionnel (sur l'état des liens). Et je sais par expérience dans un domaine approché que ça doit être rapide ou tès long à réaliser. Surtout que je n'ai pas d'expérience. Schéma de connexion au PC : modem 4G /WiFi+USB [+Ethernet] connecté au PC en USB (ou en WiFi) [ou en Ethernet s'il a tel port] modem FO connecté en Ethernet au PC Routeur Ethernet connecté au PC = routeur du LAN Etes-vous d'accord pour ce schéma de câblage matériel ? Ensuite... Comment dois-je procéder sur le plan logiciel ? Je souhaite aussi que ce PC assure le VPN, de façon à m'affranchir de toute configuration chez l'opérateur. Existe-t-il un paquet debian qui fasse tout ça ? Enfin, si vous connaissez bien cette application, peut-être recommanderez-vous d'acheter un appareil du marché (carte robuste et compacte) qui fait ça tout seul : - modem 4G avec carte SIM - routeur Ethernet pour y connecter le modem FO/ADSL de l'opérateur - VPN openVPN/IPsec Quel modèle vous a satisfait ? PS : Je ne dispose pas d'info des opérateurs pour déterminer si un tel appareil saurait remplacer le modem FO de l'opérateur et communiquer avec le serveur FO de l'opérateur. Je dirais plutôt que non (protocole proprio ?) Avez-vous déjà réussi à utiliser votre propre modem FO au réseau de votre opérateur ? Merci. Benoît szczygiel
Re: Faire un routeur HA dual WAN (+ VPN) avec un PC sous debian
Bonjour, Tu connectes donc sans souci le modem FO de l’opérateur avec ton propre routeur. Est-ce toujours possible ? (j’imaginais que l’opérateur créait une relation propriétaire entre son modem et son routeur). Quel modèle de routeur netgate (qui embarque pfsense) t’a satisfait ? Merci. > Le 15 juin 2023 à 07:33, Benoit Szczygiel a écrit : > > > Bonjour, > Remplacer le routeur opérateur n'est pas un problème, c'est ce que je fais > depuis longtemps. > Pour le logiciel, j'utilise pfsense et pour me simplifier les choses, j'ai un > routeur netgate qui l'embarque. > Bonne journée > > > Le 14 juin 2023 18:39:07 GMT+02:00, Sabri KHEMISSA > a écrit : >> Bonjour, >> >> Je te suggère d'installer opnsense https://opnsense.org/ sur ton PC. >> >> La solution répond à tes deux besoins : WAN Failover et VPN (au choix VPN >> SSL ou IPSec) >> >> A mon sens, tu ne pourras pas remplacer le routeur opérateur. Prévoir du NAT >> au niveau de ton routeur pour le VPN (il te faudra une IP fixe sur Internet >> ou faire du DynDNS, le cas échéant). >> >> Bonne soirée, >> /Sabri >> >>> Le mer. 14 juin 2023 à 17:46, a écrit : >>> Bonjour, >>> >>> J'ai besoin de disposer d'un lien internet redondant (FO+ 4G). >>> Si le lien principal (FO) tombe, alors l'autre lien 4G prend le relais >>> automatiquement. >>> Si le lien principal revient, alors c'est lui qui va reprendre le relais. >>> >>> Le dispositif du commerce doit s'appeler un HA dual WAN router. Et il >>> intègre souvent un VPN. >>> >>> Je ne veux plus dépendre d'un seul opérateur dont la ligne ou le matériel >>> peut être défaillant. Et dont l'équipement détient tous mes réglages >>> (routage de ports/NAT). >>> >>> J'aimerais en réaliser un avec un PC debian équipé des matériels et >>> logiciels nécessaires. >>> (Mon expérience du Raspberry me fait oublier cette solution : sur le long >>> terme, mes cartes flash "haut de gamme" n'ont jamais tenu) >>> >>> Je dispose : >>> - d'un modem FO (interface Ethernet) et d'un routeur Ethernet/WiFi d'un >>> opérateur. >>> IMPORTANT : j'ignore si le routeur de l'opérateur peut être remplacé par >>> n'importe quel routeur ! >>> - d'un modem 4G avec une interface WiFi+USB (j'attends un modem qui ait >>> aussi une interface Ethernet) >>> - d'un PC qui a trois interfaces réseau (2 Ethernet et 1 WiFi) ; >>> logiquement, il lui faudrait 3 cartes réseau... >>> >>> Je sais que c'est théoriquement possible de faire ça. Ce doit être du >>> routage de flux conditionnel (sur l'état des liens). >>> Et je sais par expérience dans un domaine approché que ça doit être rapide >>> ou tès long à réaliser. >>> Surtout que je n'ai pas d'expérience. >>> >>> Schéma de connexion au PC : >>> modem 4G /WiFi+USB [+Ethernet] connecté au PC en USB (ou en WiFi) [ou en >>> Ethernet s'il a tel port] >>> modem FO connecté en Ethernet au PC >>> Routeur Ethernet connecté au PC = routeur du LAN >>> >>> Etes-vous d'accord pour ce schéma de câblage matériel ? >>> >>> >>> Ensuite... Comment dois-je procéder sur le plan logiciel ? >>> Je souhaite aussi que ce PC assure le VPN, de façon à m'affranchir de toute >>> configuration chez l'opérateur. >>> Existe-t-il un paquet debian qui fasse tout ça ? >>> >>> >>> Enfin, si vous connaissez bien cette application, peut-être >>> recommanderez-vous d'acheter un appareil du marché (carte robuste et >>> compacte) qui fait ça tout seul : >>> - modem 4G avec carte SIM >>> - routeur Ethernet pour y connecter le modem FO/ADSL de l'opérateur >>> - VPN openVPN/IPsec >>> Quel modèle vous a satisfait ? >>> >>> >>> PS : Je ne dispose pas d'info des opérateurs pour déterminer si un tel >>> appareil saurait remplacer le modem FO de l'opérateur et communiquer avec >>> le serveur FO de l'opérateur. >>> Je dirais plutôt que non (protocole proprio ?) >>> Avez-vous déjà réussi à utiliser votre propre modem FO au réseau de votre >>> opérateur ? >>> >>> Merci. > > Benoît szczygiel
Re: Faire un routeur HA dual WAN (+ VPN) avec un PC sous debian
Bonjour, Remplacer le routeur opérateur n'est pas un problème, c'est ce que je fais depuis longtemps. Pour le logiciel, j'utilise pfsense et pour me simplifier les choses, j'ai un routeur netgate qui l'embarque. Bonne journée Le 14 juin 2023 18:39:07 GMT+02:00, Sabri KHEMISSA a écrit : >Bonjour, > >Je te suggère d'installer opnsense https://opnsense.org/ sur ton PC. > >La solution répond à tes deux besoins : WAN Failover et VPN (au choix VPN >SSL ou IPSec) > >A mon sens, tu ne pourras pas remplacer le routeur opérateur. Prévoir du >NAT au niveau de ton routeur pour le VPN (il te faudra une IP fixe sur >Internet ou faire du DynDNS, le cas échéant). > >Bonne soirée, >/Sabri > >Le mer. 14 juin 2023 à 17:46, a écrit : > >> Bonjour, >> >> J'ai besoin de disposer d'un lien internet redondant (FO+ 4G). >> Si le lien principal (FO) tombe, alors l'autre lien 4G prend le relais >> automatiquement. >> Si le lien principal revient, alors c'est lui qui va reprendre le relais. >> >> Le dispositif du commerce doit s'appeler un HA dual WAN router. Et il >> intègre souvent un VPN. >> >> Je ne veux plus dépendre d'un seul opérateur dont la ligne ou le matériel >> peut être défaillant. Et dont l'équipement détient tous mes réglages >> (routage de ports/NAT). >> >> J'aimerais en réaliser un avec un PC debian équipé des matériels et >> logiciels nécessaires. >> (Mon expérience du Raspberry me fait oublier cette solution : sur le long >> terme, mes cartes flash "haut de gamme" n'ont jamais tenu) >> >> Je dispose : >> - d'un modem FO (interface Ethernet) et d'un routeur Ethernet/WiFi d'un >> opérateur. >> IMPORTANT : j'ignore si le routeur de l'opérateur peut être remplacé par >> n'importe quel routeur ! >> - d'un modem 4G avec une interface WiFi+USB (j'attends un modem qui ait >> aussi une interface Ethernet) >> - d'un PC qui a trois interfaces réseau (2 Ethernet et 1 WiFi) ; >> logiquement, il lui faudrait 3 cartes réseau... >> >> Je sais que c'est théoriquement possible de faire ça. Ce doit être du >> routage de flux conditionnel (sur l'état des liens). >> Et je sais par expérience dans un domaine approché que ça doit être rapide >> ou tès long à réaliser. >> Surtout que je n'ai pas d'expérience. >> >> Schéma de connexion au PC : >> modem 4G /WiFi+USB [+Ethernet] connecté au PC en USB (ou en WiFi) [ou en >> Ethernet s'il a tel port] >> modem FO connecté en Ethernet au PC >> Routeur Ethernet connecté au PC = routeur du LAN >> >> Etes-vous d'accord pour ce schéma de câblage matériel ? >> >> >> Ensuite... Comment dois-je procéder sur le plan logiciel ? >> Je souhaite aussi que ce PC assure le VPN, de façon à m'affranchir de >> toute configuration chez l'opérateur. >> Existe-t-il un paquet debian qui fasse tout ça ? >> >> >> Enfin, si vous connaissez bien cette application, peut-être >> recommanderez-vous d'acheter un appareil du marché (carte robuste et >> compacte) qui fait ça tout seul : >> - modem 4G avec carte SIM >> - routeur Ethernet pour y connecter le modem FO/ADSL de l'opérateur >> - VPN openVPN/IPsec >> Quel modèle vous a satisfait ? >> >> >> PS : Je ne dispose pas d'info des opérateurs pour déterminer si un tel >> appareil saurait remplacer le modem FO de l'opérateur et communiquer avec >> le serveur FO de l'opérateur. >> Je dirais plutôt que non (protocole proprio ?) >> Avez-vous déjà réussi à utiliser votre propre modem FO au réseau de votre >> opérateur ? >> >> Merci. >> Benoît szczygiel
Re: Faire un routeur HA dual WAN (+ VPN) avec un PC sous debian
Le mercredi 14 juin 2023 à 17:46 +0200, roger.tar...@free.fr a écrit : > Bonjour, > Bonjour, > J'ai besoin de disposer d'un lien internet redondant (FO+ 4G). > Si le lien principal (FO) tombe, alors l'autre lien 4G prend le > relais automatiquement. > Si le lien principal revient, alors c'est lui qui va reprendre le > relais. > > J'aimerais en réaliser un avec un PC debian équipé des matériels et > logiciels nécessaires. > (Mon expérience du Raspberry me fait oublier cette solution : sur le > long terme, mes cartes flash "haut de gamme" n'ont jamais tenu) > > Je dispose : > - d'un modem FO (interface Ethernet) et d'un routeur Ethernet/WiFi > d'un opérateur. > IMPORTANT : j'ignore si le routeur de l'opérateur peut être remplacé > par n'importe quel routeur ! > - d'un modem 4G avec une interface WiFi+USB (j'attends un modem qui > ait aussi une interface Ethernet) > - d'un PC qui a trois interfaces réseau (2 Ethernet et 1 WiFi) ; > logiquement, il lui faudrait 3 cartes réseau... > > Je sais que c'est théoriquement possible de faire ça. Ce doit être du > routage de flux conditionnel (sur l'état des liens). > Et je sais par expérience dans un domaine approché que ça doit être > rapide ou tès long à réaliser. > Surtout que je n'ai pas d'expérience. > J'ai un script récupéré je ne sais plus où et adapté à mes besoins qui fait çà en IPv4 ---début #!/bin/bash # variables (eventuellement passees par ENV) CHECK_DELAY=${CHECK_DELAY:-5} CHECK_IP=${CHECK_IP:-1.1.1.1} PRIMARY_IF=${PRIMARY_IF:-enp3s0f0} PRIMARY_GW=${PRIMARY_GW:-192.168.1.254} BACKUP_IF=${BACKUP_IF:-enp4s0f1} BACKUP_GW=${BACKUP_GW:-192.168.2.254} FAILOVER_LOG=${FAILOVER_LOG:-/var/log/failover.log} date >> $FAILOVER_LOG echo "CHECK_DELAY " $CHECK_DELAY >> $FAILOVER_LOG echo "CHECK_IP " $CHECK_IP >> $FAILOVER_LOG echo "PRIMARY_IF "$PRIMARY_IF >> $FAILOVER_LOG echo "PRIMARY_GW " $PRIMARY_GW >> $FAILOVER_LOG echo "BACKUP_IF " $BACKUP_IF >> $FAILOVER_LOG echo "BACKUP_GW " $BACKUP_GW >> $FAILOVER_LOG # Comparaison défault GW actuelle avec celle donnée en argument gateway_if() { [[ "$1" = "$(ip route get "$CHECK_IP" | grep dev | cut -d ' ' -f5 )" ]] } # boucle continue de vérification de la connectivité sur primary while true do if gateway_if "$BACKUP_IF" then ip route add "$CHECK_IP" via "$PRIMARY_GW" dev "$PRIMARY_IF" PING_PRIMARY_IF=$( ping -I "$PRIMARY_IF" -c1 "$CHECK_IP"|grep 'packet loss'|cut -d ' ' -f4) ip route del "$CHECK_IP" via "$PRIMARY_GW" dev "$PRIMARY_IF" else PING_PRIMARY_IF=$(ping -I "$PRIMARY_IF" -c1 "$CHECK_IP"|grep 'packet loss'|cut -d ' ' -f4) fi if [ $PING_PRIMARY_IF -eq 1 ] # succès de verif interface primaire then # On est sur backup? if gateway_if "$BACKUP_IF" then # Switch sur primary date >> $FAILOVER_LOG echo "GW "$BACKUP_GW "=> "$PRIMARY_GW >> $FAILOVER_LOG echo "INTERFACE "$BACKUP_IF "=> "$PRIMARY_IF >> $FAILOVER_LOG ip route del default via "$BACKUP_GW" dev "$BACKUP_IF" ip route add default via "$PRIMARY_GW" dev "$PRIMARY_IF" fi else # echec de verif interface primaire # On est sur primary? if gateway_if "$PRIMARY_IF" then # Switch sur backup ip route del default via "$PRIMARY_GW" dev "$PRIMARY_IF" ip route add default via "$BACKUP_GW" dev "$BACKUP_IF" date >> $FAILOVER_LOG echo "GW "$PRIMARY_GW "=> "$BACKUP_GW >> $FAILOVER_LOG echo "INTERFACE "$PRIMARY_IF "=> "$BACKUP_IF >> $FAILOVER_LOG fi # la primary est down et on est dèjà sur la backup # du coup on espère que la backup est UP fi sleep "$CHECK_DELAY" done ---fin- En gros on ping sur l'interface usuelle, si ça foire on passe sur l'interface de backup en adaptant la table de routage. Si l'interface usuelle remonte, on switch de nouveau. Si on NAT (c'est probable) il faut ajouter les règles utiles (iptables ou nftables) > > Quel modèle vous a satisfait ? > J'ai un routeur ZYXEL LTE490-M904 sur la façade qui fonctionne pas mal, mais qui n'est pas donné > > PS : Je ne dispose pas d'info des opérateurs pour déterminer si un > tel appareil saurait remplacer le modem FO de l'opérateur et > communiquer avec le serveur FO de l'opérateur. > Je dirais plutôt que non (protocole proprio ?) > Avez-vous déjà réussi à utiliser votre propre modem FO au réseau de > votre opérateur ? > Me contente d'une box... > Merci. De rien, Christophe
Re: Faire un routeur HA dual WAN (+ VPN) avec un PC sous debian
Bonjour, Je te suggère d'installer opnsense https://opnsense.org/ sur ton PC. La solution répond à tes deux besoins : WAN Failover et VPN (au choix VPN SSL ou IPSec) A mon sens, tu ne pourras pas remplacer le routeur opérateur. Prévoir du NAT au niveau de ton routeur pour le VPN (il te faudra une IP fixe sur Internet ou faire du DynDNS, le cas échéant). Bonne soirée, /Sabri Le mer. 14 juin 2023 à 17:46, a écrit : > Bonjour, > > J'ai besoin de disposer d'un lien internet redondant (FO+ 4G). > Si le lien principal (FO) tombe, alors l'autre lien 4G prend le relais > automatiquement. > Si le lien principal revient, alors c'est lui qui va reprendre le relais. > > Le dispositif du commerce doit s'appeler un HA dual WAN router. Et il > intègre souvent un VPN. > > Je ne veux plus dépendre d'un seul opérateur dont la ligne ou le matériel > peut être défaillant. Et dont l'équipement détient tous mes réglages > (routage de ports/NAT). > > J'aimerais en réaliser un avec un PC debian équipé des matériels et > logiciels nécessaires. > (Mon expérience du Raspberry me fait oublier cette solution : sur le long > terme, mes cartes flash "haut de gamme" n'ont jamais tenu) > > Je dispose : > - d'un modem FO (interface Ethernet) et d'un routeur Ethernet/WiFi d'un > opérateur. > IMPORTANT : j'ignore si le routeur de l'opérateur peut être remplacé par > n'importe quel routeur ! > - d'un modem 4G avec une interface WiFi+USB (j'attends un modem qui ait > aussi une interface Ethernet) > - d'un PC qui a trois interfaces réseau (2 Ethernet et 1 WiFi) ; > logiquement, il lui faudrait 3 cartes réseau... > > Je sais que c'est théoriquement possible de faire ça. Ce doit être du > routage de flux conditionnel (sur l'état des liens). > Et je sais par expérience dans un domaine approché que ça doit être rapide > ou tès long à réaliser. > Surtout que je n'ai pas d'expérience. > > Schéma de connexion au PC : > modem 4G /WiFi+USB [+Ethernet] connecté au PC en USB (ou en WiFi) [ou en > Ethernet s'il a tel port] > modem FO connecté en Ethernet au PC > Routeur Ethernet connecté au PC = routeur du LAN > > Etes-vous d'accord pour ce schéma de câblage matériel ? > > > Ensuite... Comment dois-je procéder sur le plan logiciel ? > Je souhaite aussi que ce PC assure le VPN, de façon à m'affranchir de > toute configuration chez l'opérateur. > Existe-t-il un paquet debian qui fasse tout ça ? > > > Enfin, si vous connaissez bien cette application, peut-être > recommanderez-vous d'acheter un appareil du marché (carte robuste et > compacte) qui fait ça tout seul : > - modem 4G avec carte SIM > - routeur Ethernet pour y connecter le modem FO/ADSL de l'opérateur > - VPN openVPN/IPsec > Quel modèle vous a satisfait ? > > > PS : Je ne dispose pas d'info des opérateurs pour déterminer si un tel > appareil saurait remplacer le modem FO de l'opérateur et communiquer avec > le serveur FO de l'opérateur. > Je dirais plutôt que non (protocole proprio ?) > Avez-vous déjà réussi à utiliser votre propre modem FO au réseau de votre > opérateur ? > > Merci. >
Re: Faire un routeur HA dual WAN (+ VPN) avec un PC sous debian
Bonjour Le 14/06/2023 à 17:46, roger.tar...@free.fr a écrit : Bonjour, J'ai besoin de disposer d'un lien internet redondant (FO+ 4G). Si le lien principal (FO) tombe, alors l'autre lien 4G prend le relais automatiquement. Si le lien principal revient, alors c'est lui qui va reprendre le relais. Le dispositif du commerce doit s'appeler un HA dual WAN router. Et il intègre souvent un VPN. Je ne veux plus dépendre d'un seul opérateur dont la ligne ou le matériel peut être défaillant. Et dont l'équipement détient tous mes réglages (routage de ports/NAT). J'aimerais en réaliser un avec un PC debian équipé des matériels et logiciels nécessaires. (Mon expérience du Raspberry me fait oublier cette solution : sur le long terme, mes cartes flash "haut de gamme" n'ont jamais tenu) Je dispose : - d'un modem FO (interface Ethernet) et d'un routeur Ethernet/WiFi d'un opérateur. IMPORTANT : j'ignore si le routeur de l'opérateur peut être remplacé par n'importe quel routeur ! - d'un modem 4G avec une interface WiFi+USB (j'attends un modem qui ait aussi une interface Ethernet) - d'un PC qui a trois interfaces réseau (2 Ethernet et 1 WiFi) ; logiquement, il lui faudrait 3 cartes réseau... Je sais que c'est théoriquement possible de faire ça. Ce doit être du routage de flux conditionnel (sur l'état des liens). Et je sais par expérience dans un domaine approché que ça doit être rapide ou tès long à réaliser. Surtout que je n'ai pas d'expérience. Schéma de connexion au PC : modem 4G /WiFi+USB [+Ethernet] connecté au PC en USB (ou en WiFi) [ou en Ethernet s'il a tel port] modem FO connecté en Ethernet au PC Routeur Ethernet connecté au PC = routeur du LAN Pourquoi rajouter un routeru puisque le PC peut faire ce job Etes-vous d'accord pour ce schéma de câblage matériel ? Ensuite... Comment dois-je procéder sur le plan logiciel ? Je souhaite aussi que ce PC assure le VPN, de façon à m'affranchir de toute configuration chez l'opérateur. Existe-t-il un paquet debian qui fasse tout ça ? Non. Déjà le routeur FO peut il être en mode pont ? Si non, il faut créer un réseau entre le PC et ce routeur. Même question concernant le point WIFI. Enfin, si vous connaissez bien cette application, peut-être recommanderez-vous d'acheter un appareil du marché (carte robuste et compacte) qui fait ça tout seul : - modem 4G avec carte SIM - routeur Ethernet pour y connecter le modem FO/ADSL de l'opérateur - VPN openVPN/IPsec Quel modèle vous a satisfait ? L'ANSSI recommande de ne PAS mettre le VPN sur le FW mais derrière. Concernant le VPN wireguard sans hésiter. PS : Je ne dispose pas d'info des opérateurs pour déterminer si un tel appareil saurait remplacer le modem FO de l'opérateur et communiquer avec le serveur FO de l'opérateur. Je dirais plutôt que non (protocole proprio ?) Avez-vous déjà réussi à utiliser votre propre modem FO au réseau de votre opérateur ? Regarde sur la fibre.info, tu y trouveras des tonnes d'informations Ma configuration: 2 FTTH, FREE pas de mode pont donc réseau 192.168.x.y, Operateur Pro en mode pont. les 2 routeurs sont connectés à un switch, chacun son VLAN. Le serveur (Debian11) gère tous les liens VLAN et possède 2 machines virtuelles: UTM Sophos (licence gratuite pour utilisation privée) et une VM routeur. L'UTM Sophos récupère tous les flux, elle fait office de FW. La seconde VM fait le routage pour le LAN, serveur DHCP, gère les VPN, sites Internet, etc. Lorsque l'un des liens tombe, l'UTM bascule le flux sur le second. Je fais de la répartition en faisant sortir certains PC/flux/services par opérateur. -- Daniel
Faire un routeur HA dual WAN (+ VPN) avec un PC sous debian
Bonjour, J'ai besoin de disposer d'un lien internet redondant (FO+ 4G). Si le lien principal (FO) tombe, alors l'autre lien 4G prend le relais automatiquement. Si le lien principal revient, alors c'est lui qui va reprendre le relais. Le dispositif du commerce doit s'appeler un HA dual WAN router. Et il intègre souvent un VPN. Je ne veux plus dépendre d'un seul opérateur dont la ligne ou le matériel peut être défaillant. Et dont l'équipement détient tous mes réglages (routage de ports/NAT). J'aimerais en réaliser un avec un PC debian équipé des matériels et logiciels nécessaires. (Mon expérience du Raspberry me fait oublier cette solution : sur le long terme, mes cartes flash "haut de gamme" n'ont jamais tenu) Je dispose : - d'un modem FO (interface Ethernet) et d'un routeur Ethernet/WiFi d'un opérateur. IMPORTANT : j'ignore si le routeur de l'opérateur peut être remplacé par n'importe quel routeur ! - d'un modem 4G avec une interface WiFi+USB (j'attends un modem qui ait aussi une interface Ethernet) - d'un PC qui a trois interfaces réseau (2 Ethernet et 1 WiFi) ; logiquement, il lui faudrait 3 cartes réseau... Je sais que c'est théoriquement possible de faire ça. Ce doit être du routage de flux conditionnel (sur l'état des liens). Et je sais par expérience dans un domaine approché que ça doit être rapide ou tès long à réaliser. Surtout que je n'ai pas d'expérience. Schéma de connexion au PC : modem 4G /WiFi+USB [+Ethernet] connecté au PC en USB (ou en WiFi) [ou en Ethernet s'il a tel port] modem FO connecté en Ethernet au PC Routeur Ethernet connecté au PC = routeur du LAN Etes-vous d'accord pour ce schéma de câblage matériel ? Ensuite... Comment dois-je procéder sur le plan logiciel ? Je souhaite aussi que ce PC assure le VPN, de façon à m'affranchir de toute configuration chez l'opérateur. Existe-t-il un paquet debian qui fasse tout ça ? Enfin, si vous connaissez bien cette application, peut-être recommanderez-vous d'acheter un appareil du marché (carte robuste et compacte) qui fait ça tout seul : - modem 4G avec carte SIM - routeur Ethernet pour y connecter le modem FO/ADSL de l'opérateur - VPN openVPN/IPsec Quel modèle vous a satisfait ? PS : Je ne dispose pas d'info des opérateurs pour déterminer si un tel appareil saurait remplacer le modem FO de l'opérateur et communiquer avec le serveur FO de l'opérateur. Je dirais plutôt que non (protocole proprio ?) Avez-vous déjà réussi à utiliser votre propre modem FO au réseau de votre opérateur ? Merci.
Re: OT - ocultar una vpn
On 2023-05-04 at 21:16 +0200, juan carlos rebate wrote: > Incluso creando vpns con azure o aws lo detecta, ya no es el hecho de > entrar sino el reto de porque no puedo con una vpn ¿De qué red irc se trata? ¿A qué servidor conectas? no sé por qué movistar iba a impedirte conectar, pero que solo dure 5 segundos es la propia red irc impidiendo el acceso desde proxies y vpn. Igual tienen bloqueado el acceso desde todo aws Un saludo
RE: OT - ocultar una vpn
De: RamsesEnviado: jueves, 4 de mayo de 2023 21:06Para: debian-user-spanish@lists.debian.orgAsunto: RE: OT - ocultar una vpn El 4 de mayo de 2023 20:55:16 CEST, juan carlos rebate escribió:>Enviado desde Correo para Windows> >De: Ramses >Enviado: jueves, 4 de mayo de 2023 20:42>Para: debian-user-spanish@lists.debian.org >Asunto: RE: OT - ocultar una vpn> >El 4 de mayo de 2023 20:06:07 CEST, juan carlos rebate escribió:> >>De: Ramses > >>Enviado: jueves, 4 de mayo de 2023 19:44> >>Para: debian-user-spanish@lists.debian.org > >>Asunto: RE: OT - ocultar una vpn> >> > >>El 4 de mayo de 2023 18:55:58 CEST, juan carlos rebate escribió:> >> > >>>De: JavierDebian > >> > >>>Enviado: martes, 2 de mayo de 2023 19:26> >> > >>>Para: debian-user-spanish@lists.debian.org > >> > >>>Asunto: Re: OT - ocultar una vpn> >> > >>> > >> > >>>El 2/5/23 a las 12:05, Juan carlos Rebate escribió:> >> > >>> > >> > >>>> hola lista, disculpad si hay faltas de ortografía pero envio este> >> > >>> > >> > >>>> correo deprisa y corriendo. el tema es que intento acceder a una red> >> > >>> > >> > >>>> irc la cual mi proveedor tiene bloqueada, con varias vpn conocidas me> >> > >>> > >> > >>>> logro conectar pero solo por 5 segundos, despues me banean alegando> >> > >>> > >> > >>>> que la razón es estar usando una vpn, necesito saber si existe alguna> >> > >>> > >> > >>>> manera de saltar esa bobada, he probado con la de expressvpn, nordvpn,> >> > >>> > >> > >>>> norton security en el cual viene una vpn, opera (el cual siempre me da> >> > >>> > >> > >>>> la misma ip a pesar de cambiar la región), todos me los detecta y> >> > >>> > >> > >>>> banea. me da cosilla montar un openvpn en un dedicado o un vps si va a> >> > >>> > >> > >>>> dar el mismo resultado, alguien sabria como ocultar el uso de vpn? no> >> > >>> > >> > >>>> vale usar red 4g o 5g porque el operador es el mismo, los webproxy o> >> > >>> > >> > >>>> proxy tampoco valen, alguna otra idea? gracias y perdon por cualquier> >> > >>> > >> > >>>> error ortografico o de otro tipo> >> > >>> > >> > >>>> > >> > >>> > >> > >>>Probá con VPNs que ofusquen los métodos de detección de VPN.> >> > >>> > >> > >>>Dos que lo hacen:> >> > >>> > >> > >>>https://www.cyberghostvpn.com> >> > >>> > >> > >>>https://surfshark.com> >> > >>> > >> > >>>SurfShark se puede activar el ofuscador en forma manual o automática.> >> > >>> > >> > >>>JAP> >> > >>> > >> > >>>Hola, perdón por tardar en responder. Ninguna vpn ofusca absolutamente nada, he probado 10 vpn y todas las tedecta como vpn/proxy, supuestamente son capaces de burlar Netflix, hbo y demás que son mas avanzadas y ninguna burla una mrda de servidor irc?. Según surfshark no hay fugas, ninguna de sus ip están en lista negra y dicen tener encriptado militar? Ya claro.> >> > >>Buenas tardes,> >> > >>En mi modesta opinión...> >> > >>A los servidores del IRC no debería nada referente a si la conexión proviene de una VPN o no, ya que la VPN irá terminada en un servidor terminador de VPN del proveedor y este mete el tráfico en Internet con la IP pertinente. Claro que pueden tener encriptacion militar, pero eso es entre el equipo cliente y el servidor terminador de la VPN, este servidor desencripta el tráfico de la VPN y lo mete en Internet sin encriptación ninguna.> >> > >>Otra cosa es que el servidor IRC tenga controlados los rangos de IP con los que esos proveedores de VPN meten el tráfico en Internet y detectan que viene de un proveedor de VPN.> >> > >>Saludos> >> > >>Yo creo que es mas por el protocolo vpn, me deja acceder durante 2 segundos luego me lo banea, incluso con una vpn casera mee lo deetecta, no es cuestión del proveedor sino que son capaces de mirar el patrón de paquetes (no se como lo hace, si por algún tipo de cortafuegos o algún tipo de sistema de filtrado de paquetes, todas las vpn usan los mismos protocolos, openvpn udp y openvpn tcp entonces es normal que lo reconozca> >Buenas tardes,> >Pero cuando llegas a Internet, al IRC, llegas fuera de la VPN, ningún protocolo de VPN, ninguna encriptación ni nada, eso se queda en el Servidor / Terminador de la VPN.> >Saludos> >Entonces porque yo con movistar sin vpn no puedo entrar, monto una vpn casera con openvpn y si puedo entrar durante dos segundos? Después me banea la conexión, la vpn usa la misma ip dada por movistar. Con Jazztel si puedo entrar sin vpn, monto una vpn con openvpn usando la misma ip de Jazztel y lo banea a los dos segundo diciendo proxy/vpn tu conexíon no está permitidaPorque Movistar te está haciendo alguna trastada. Saludos Incluso creando vpns con azure o aws lo detecta, ya no es el hecho de entrar sino el reto de porque no puedo con una vpn
RE: OT - ocultar una vpn
El 4 de mayo de 2023 20:55:16 CEST, juan carlos rebate escribió: >Enviado desde Correo <https://go.microsoft.com/fwlink/?LinkId=550986> para >Windows > >De: Ramses <mailto:ramses.sevi...@gmail.com> >Enviado: jueves, 4 de mayo de 2023 20:42 >Para: debian-user-spanish@lists.debian.org ><mailto:debian-user-spanish@lists.debian.org> >Asunto: RE: OT - ocultar una vpn > >El 4 de mayo de 2023 20:06:07 CEST, juan carlos rebate >escribió: > >>De: Ramses <mailto:ramses.sevi...@gmail.com> > >>Enviado: jueves, 4 de mayo de 2023 19:44 > >>Para: debian-user-spanish@lists.debian.org >><mailto:debian-user-spanish@lists.debian.org> > >>Asunto: RE: OT - ocultar una vpn > >> > >>El 4 de mayo de 2023 18:55:58 CEST, juan carlos rebate >>escribió: > >> > >>>De: JavierDebian <mailto:javier.debian.bb...@gmail.com> > >> > >>>Enviado: martes, 2 de mayo de 2023 19:26 > >> > >>>Para: debian-user-spanish@lists.debian.org >>><mailto:debian-user-spanish@lists.debian.org> > >> > >>>Asunto: Re: OT - ocultar una vpn > >> > >>> > >> > >>>El 2/5/23 a las 12:05, Juan carlos Rebate escribió: > >> > >>> > >> > >>>> hola lista, disculpad si hay faltas de ortografía pero envio este > >> > >>> > >> > >>>> correo deprisa y corriendo. el tema es que intento acceder a una red > >> > >>> > >> > >>>> irc la cual mi proveedor tiene bloqueada, con varias vpn conocidas me > >> > >>> > >> > >>>> logro conectar pero solo por 5 segundos, despues me banean alegando > >> > >>> > >> > >>>> que la razón es estar usando una vpn, necesito saber si existe alguna > >> > >>> > >> > >>>> manera de saltar esa bobada, he probado con la de expressvpn, nordvpn, > >> > >>> > >> > >>>> norton security en el cual viene una vpn, opera (el cual siempre me da > >> > >>> > >> > >>>> la misma ip a pesar de cambiar la región), todos me los detecta y > >> > >>> > >> > >>>> banea. me da cosilla montar un openvpn en un dedicado o un vps si va a > >> > >>> > >> > >>>> dar el mismo resultado, alguien sabria como ocultar el uso de vpn? no > >> > >>> > >> > >>>> vale usar red 4g o 5g porque el operador es el mismo, los webproxy o > >> > >>> > >> > >>>> proxy tampoco valen, alguna otra idea? gracias y perdon por cualquier > >> > >>> > >> > >>>> error ortografico o de otro tipo > >> > >>> > >> > >>>> > >> > >>> > >> > >>>Probá con VPNs que ofusquen los métodos de detección de VPN. > >> > >>> > >> > >>>Dos que lo hacen: > >> > >>> > >> > >>>https://www.cyberghostvpn.com > >> > >>> > >> > >>>https://surfshark.com > >> > >>> > >> > >>>SurfShark se puede activar el ofuscador en forma manual o automática. > >> > >>> > >> > >>>JAP > >> > >>> > >> > >>>Hola, perdón por tardar en responder. Ninguna vpn ofusca absolutamente nada, >>>he probado 10 vpn y todas las tedecta como vpn/proxy, supuestamente son >>>capaces de burlar Netflix, hbo y demás que son mas avanzadas y ninguna burla >>>una mrda de servidor irc?. Según surfshark no hay fugas, ninguna de sus ip >>>están en lista negra y dicen tener encriptado militar? Ya claro. > >> > >>Buenas tardes, > >> > >>En mi modesta opinión... > >> > >>A los servidores del IRC no debería nada referente a si la conexión proviene >>de una VPN o no, ya que la VPN irá terminada en un servidor terminador de VPN >>del proveedor y este mete el tráfico en Internet con la IP pertinente. Claro >>que pueden tener encriptacion militar, pero eso es entre el equipo cliente y >>el servidor terminador de la VPN, este servidor desencripta el tráfico de la >>VPN y lo mete en Internet sin encriptación ninguna. > >> > >>Otra cosa es que el servidor IRC tenga controlados los rangos de IP con los >>que esos proveedores de VPN meten el tráfico en Internet y detectan que viene >>de un proveedor de VPN. > >> > >>Saludos > >> > >>Yo creo que es mas por el protocolo vpn, me deja acceder durante 2 segundos >>luego me lo banea, incluso con una vpn casera mee lo deetecta, no es cuestión >>del proveedor sino que son capaces de mirar el patrón de paquetes (no se como >>lo hace, si por algún tipo de cortafuegos o algún tipo de sistema de filtrado >>de paquetes, todas las vpn usan los mismos protocolos, openvpn udp y openvpn >>tcp entonces es normal que lo reconozca > >Buenas tardes, > >Pero cuando llegas a Internet, al IRC, llegas fuera de la VPN, ningún >protocolo de VPN, ninguna encriptación ni nada, eso se queda en el Servidor / >Terminador de la VPN. > >Saludos > >Entonces porque yo con movistar sin vpn no puedo entrar, monto una vpn casera >con openvpn y si puedo entrar durante dos segundos? Después me banea la >conexión, la vpn usa la misma ip dada por movistar. Con Jazztel si puedo >entrar sin vpn, monto una vpn con openvpn usando la misma ip de Jazztel y lo >banea a los dos segundo diciendo proxy/vpn tu conexíon no está permitida Porque Movistar te está haciendo alguna trastada. Saludos
RE: OT - ocultar una vpn
Enviado desde Correo para Windows De: RamsesEnviado: jueves, 4 de mayo de 2023 20:42Para: debian-user-spanish@lists.debian.orgAsunto: RE: OT - ocultar una vpn El 4 de mayo de 2023 20:06:07 CEST, juan carlos rebate escribió:>De: Ramses >Enviado: jueves, 4 de mayo de 2023 19:44>Para: debian-user-spanish@lists.debian.org >Asunto: RE: OT - ocultar una vpn> >El 4 de mayo de 2023 18:55:58 CEST, juan carlos rebate escribió:> >>De: JavierDebian > >>Enviado: martes, 2 de mayo de 2023 19:26> >>Para: debian-user-spanish@lists.debian.org > >>Asunto: Re: OT - ocultar una vpn> >> > >>El 2/5/23 a las 12:05, Juan carlos Rebate escribió:> >> > >>> hola lista, disculpad si hay faltas de ortografía pero envio este> >> > >>> correo deprisa y corriendo. el tema es que intento acceder a una red> >> > >>> irc la cual mi proveedor tiene bloqueada, con varias vpn conocidas me> >> > >>> logro conectar pero solo por 5 segundos, despues me banean alegando> >> > >>> que la razón es estar usando una vpn, necesito saber si existe alguna> >> > >>> manera de saltar esa bobada, he probado con la de expressvpn, nordvpn,> >> > >>> norton security en el cual viene una vpn, opera (el cual siempre me da> >> > >>> la misma ip a pesar de cambiar la región), todos me los detecta y> >> > >>> banea. me da cosilla montar un openvpn en un dedicado o un vps si va a> >> > >>> dar el mismo resultado, alguien sabria como ocultar el uso de vpn? no> >> > >>> vale usar red 4g o 5g porque el operador es el mismo, los webproxy o> >> > >>> proxy tampoco valen, alguna otra idea? gracias y perdon por cualquier> >> > >>> error ortografico o de otro tipo> >> > >>> > >> > >>Probá con VPNs que ofusquen los métodos de detección de VPN.> >> > >>Dos que lo hacen:> >> > >>https://www.cyberghostvpn.com> >> > >>https://surfshark.com> >> > >>SurfShark se puede activar el ofuscador en forma manual o automática.> >> > >>JAP> >> > >>Hola, perdón por tardar en responder. Ninguna vpn ofusca absolutamente nada, he probado 10 vpn y todas las tedecta como vpn/proxy, supuestamente son capaces de burlar Netflix, hbo y demás que son mas avanzadas y ninguna burla una mrda de servidor irc?. Según surfshark no hay fugas, ninguna de sus ip están en lista negra y dicen tener encriptado militar? Ya claro.> >Buenas tardes,> >En mi modesta opinión...> >A los servidores del IRC no debería nada referente a si la conexión proviene de una VPN o no, ya que la VPN irá terminada en un servidor terminador de VPN del proveedor y este mete el tráfico en Internet con la IP pertinente. Claro que pueden tener encriptacion militar, pero eso es entre el equipo cliente y el servidor terminador de la VPN, este servidor desencripta el tráfico de la VPN y lo mete en Internet sin encriptación ninguna.> >Otra cosa es que el servidor IRC tenga controlados los rangos de IP con los que esos proveedores de VPN meten el tráfico en Internet y detectan que viene de un proveedor de VPN.> >Saludos> >Yo creo que es mas por el protocolo vpn, me deja acceder durante 2 segundos luego me lo banea, incluso con una vpn casera mee lo deetecta, no es cuestión del proveedor sino que son capaces de mirar el patrón de paquetes (no se como lo hace, si por algún tipo de cortafuegos o algún tipo de sistema de filtrado de paquetes, todas las vpn usan los mismos protocolos, openvpn udp y openvpn tcp entonces es normal que lo reconozcaBuenas tardes, Pero cuando llegas a Internet, al IRC, llegas fuera de la VPN, ningún protocolo de VPN, ninguna encriptación ni nada, eso se queda en el Servidor / Terminador de la VPN. Saludos Entonces porque yo con movistar sin vpn no puedo entrar, monto una vpn casera con openvpn y si puedo entrar durante dos segundos? Después me banea la conexión, la vpn usa la misma ip dada por movistar. Con Jazztel si puedo entrar sin vpn, monto una vpn con openvpn usando la misma ip de Jazztel y lo banea a los dos segundo diciendo proxy/vpn tu conexíon no está permitida
RE: OT - ocultar una vpn
El 4 de mayo de 2023 20:06:07 CEST, juan carlos rebate escribió: >De: Ramses <mailto:ramses.sevi...@gmail.com> >Enviado: jueves, 4 de mayo de 2023 19:44 >Para: debian-user-spanish@lists.debian.org ><mailto:debian-user-spanish@lists.debian.org> >Asunto: RE: OT - ocultar una vpn > >El 4 de mayo de 2023 18:55:58 CEST, juan carlos rebate >escribió: > >>De: JavierDebian <mailto:javier.debian.bb...@gmail.com> > >>Enviado: martes, 2 de mayo de 2023 19:26 > >>Para: debian-user-spanish@lists.debian.org >><mailto:debian-user-spanish@lists.debian.org> > >>Asunto: Re: OT - ocultar una vpn > >> > >>El 2/5/23 a las 12:05, Juan carlos Rebate escribió: > >> > >>> hola lista, disculpad si hay faltas de ortografía pero envio este > >> > >>> correo deprisa y corriendo. el tema es que intento acceder a una red > >> > >>> irc la cual mi proveedor tiene bloqueada, con varias vpn conocidas me > >> > >>> logro conectar pero solo por 5 segundos, despues me banean alegando > >> > >>> que la razón es estar usando una vpn, necesito saber si existe alguna > >> > >>> manera de saltar esa bobada, he probado con la de expressvpn, nordvpn, > >> > >>> norton security en el cual viene una vpn, opera (el cual siempre me da > >> > >>> la misma ip a pesar de cambiar la región), todos me los detecta y > >> > >>> banea. me da cosilla montar un openvpn en un dedicado o un vps si va a > >> > >>> dar el mismo resultado, alguien sabria como ocultar el uso de vpn? no > >> > >>> vale usar red 4g o 5g porque el operador es el mismo, los webproxy o > >> > >>> proxy tampoco valen, alguna otra idea? gracias y perdon por cualquier > >> > >>> error ortografico o de otro tipo > >> > >>> > >> > >>Probá con VPNs que ofusquen los métodos de detección de VPN. > >> > >>Dos que lo hacen: > >> > >>https://www.cyberghostvpn.com > >> > >>https://surfshark.com > >> > >>SurfShark se puede activar el ofuscador en forma manual o automática. > >> > >>JAP > >> > >>Hola, perdón por tardar en responder. Ninguna vpn ofusca absolutamente nada, >>he probado 10 vpn y todas las tedecta como vpn/proxy, supuestamente son >>capaces de burlar Netflix, hbo y demás que son mas avanzadas y ninguna burla >>una mrda de servidor irc?. Según surfshark no hay fugas, ninguna de sus ip >>están en lista negra y dicen tener encriptado militar? Ya claro. > >Buenas tardes, > >En mi modesta opinión... > >A los servidores del IRC no debería nada referente a si la conexión proviene >de una VPN o no, ya que la VPN irá terminada en un servidor terminador de VPN >del proveedor y este mete el tráfico en Internet con la IP pertinente. Claro >que pueden tener encriptacion militar, pero eso es entre el equipo cliente y >el servidor terminador de la VPN, este servidor desencripta el tráfico de la >VPN y lo mete en Internet sin encriptación ninguna. > >Otra cosa es que el servidor IRC tenga controlados los rangos de IP con los >que esos proveedores de VPN meten el tráfico en Internet y detectan que viene >de un proveedor de VPN. > >Saludos > >Yo creo que es mas por el protocolo vpn, me deja acceder durante 2 segundos >luego me lo banea, incluso con una vpn casera mee lo deetecta, no es cuestión >del proveedor sino que son capaces de mirar el patrón de paquetes (no se como >lo hace, si por algún tipo de cortafuegos o algún tipo de sistema de filtrado >de paquetes, todas las vpn usan los mismos protocolos, openvpn udp y openvpn >tcp entonces es normal que lo reconozca Buenas tardes, Pero cuando llegas a Internet, al IRC, llegas fuera de la VPN, ningún protocolo de VPN, ninguna encriptación ni nada, eso se queda en el Servidor / Terminador de la VPN. Saludos
RE: OT - ocultar una vpn
De: RamsesEnviado: jueves, 4 de mayo de 2023 19:44Para: debian-user-spanish@lists.debian.orgAsunto: RE: OT - ocultar una vpn El 4 de mayo de 2023 18:55:58 CEST, juan carlos rebate escribió:>De: JavierDebian >Enviado: martes, 2 de mayo de 2023 19:26>Para: debian-user-spanish@lists.debian.org >Asunto: Re: OT - ocultar una vpn> >El 2/5/23 a las 12:05, Juan carlos Rebate escribió:> >> hola lista, disculpad si hay faltas de ortografía pero envio este> >> correo deprisa y corriendo. el tema es que intento acceder a una red> >> irc la cual mi proveedor tiene bloqueada, con varias vpn conocidas me> >> logro conectar pero solo por 5 segundos, despues me banean alegando> >> que la razón es estar usando una vpn, necesito saber si existe alguna> >> manera de saltar esa bobada, he probado con la de expressvpn, nordvpn,> >> norton security en el cual viene una vpn, opera (el cual siempre me da> >> la misma ip a pesar de cambiar la región), todos me los detecta y> >> banea. me da cosilla montar un openvpn en un dedicado o un vps si va a> >> dar el mismo resultado, alguien sabria como ocultar el uso de vpn? no> >> vale usar red 4g o 5g porque el operador es el mismo, los webproxy o> >> proxy tampoco valen, alguna otra idea? gracias y perdon por cualquier> >> error ortografico o de otro tipo> >> > >Probá con VPNs que ofusquen los métodos de detección de VPN.> >Dos que lo hacen:> >https://www.cyberghostvpn.com> >https://surfshark.com> >SurfShark se puede activar el ofuscador en forma manual o automática.> >JAP> >Hola, perdón por tardar en responder. Ninguna vpn ofusca absolutamente nada, he probado 10 vpn y todas las tedecta como vpn/proxy, supuestamente son capaces de burlar Netflix, hbo y demás que son mas avanzadas y ninguna burla una mrda de servidor irc?. Según surfshark no hay fugas, ninguna de sus ip están en lista negra y dicen tener encriptado militar? Ya claro.Buenas tardes, En mi modesta opinión... A los servidores del IRC no debería nada referente a si la conexión proviene de una VPN o no, ya que la VPN irá terminada en un servidor terminador de VPN del proveedor y este mete el tráfico en Internet con la IP pertinente. Claro que pueden tener encriptacion militar, pero eso es entre el equipo cliente y el servidor terminador de la VPN, este servidor desencripta el tráfico de la VPN y lo mete en Internet sin encriptación ninguna. Otra cosa es que el servidor IRC tenga controlados los rangos de IP con los que esos proveedores de VPN meten el tráfico en Internet y detectan que viene de un proveedor de VPN. Saludos Yo creo que es mas por el protocolo vpn, me deja acceder durante 2 segundos luego me lo banea, incluso con una vpn casera mee lo deetecta, no es cuestión del proveedor sino que son capaces de mirar el patrón de paquetes (no se como lo hace, si por algún tipo de cortafuegos o algún tipo de sistema de filtrado de paquetes, todas las vpn usan los mismos protocolos, openvpn udp y openvpn tcp entonces es normal que lo reconozca
RE: OT - ocultar una vpn
El 4 de mayo de 2023 18:55:58 CEST, juan carlos rebate escribió: >De: JavierDebian <mailto:javier.debian.bb...@gmail.com> >Enviado: martes, 2 de mayo de 2023 19:26 >Para: debian-user-spanish@lists.debian.org ><mailto:debian-user-spanish@lists.debian.org> >Asunto: Re: OT - ocultar una vpn > >El 2/5/23 a las 12:05, Juan carlos Rebate escribió: > >> hola lista, disculpad si hay faltas de ortografía pero envio este > >> correo deprisa y corriendo. el tema es que intento acceder a una red > >> irc la cual mi proveedor tiene bloqueada, con varias vpn conocidas me > >> logro conectar pero solo por 5 segundos, despues me banean alegando > >> que la razón es estar usando una vpn, necesito saber si existe alguna > >> manera de saltar esa bobada, he probado con la de expressvpn, nordvpn, > >> norton security en el cual viene una vpn, opera (el cual siempre me da > >> la misma ip a pesar de cambiar la región), todos me los detecta y > >> banea. me da cosilla montar un openvpn en un dedicado o un vps si va a > >> dar el mismo resultado, alguien sabria como ocultar el uso de vpn? no > >> vale usar red 4g o 5g porque el operador es el mismo, los webproxy o > >> proxy tampoco valen, alguna otra idea? gracias y perdon por cualquier > >> error ortografico o de otro tipo > >> > >Probá con VPNs que ofusquen los métodos de detección de VPN. > >Dos que lo hacen: > >https://www.cyberghostvpn.com > >https://surfshark.com > >SurfShark se puede activar el ofuscador en forma manual o automática. > >JAP > >Hola, perdón por tardar en responder. Ninguna vpn ofusca absolutamente nada, >he probado 10 vpn y todas las tedecta como vpn/proxy, supuestamente son >capaces de burlar Netflix, hbo y demás que son mas avanzadas y ninguna burla >una mrda de servidor irc?. Según surfshark no hay fugas, ninguna de sus ip >están en lista negra y dicen tener encriptado militar? Ya claro. Buenas tardes, En mi modesta opinión... A los servidores del IRC no debería nada referente a si la conexión proviene de una VPN o no, ya que la VPN irá terminada en un servidor terminador de VPN del proveedor y este mete el tráfico en Internet con la IP pertinente. Claro que pueden tener encriptacion militar, pero eso es entre el equipo cliente y el servidor terminador de la VPN, este servidor desencripta el tráfico de la VPN y lo mete en Internet sin encriptación ninguna. Otra cosa es que el servidor IRC tenga controlados los rangos de IP con los que esos proveedores de VPN meten el tráfico en Internet y detectan que viene de un proveedor de VPN. Saludos
RE: OT - ocultar una vpn
De: JavierDebianEnviado: martes, 2 de mayo de 2023 19:26Para: debian-user-spanish@lists.debian.orgAsunto: Re: OT - ocultar una vpn El 2/5/23 a las 12:05, Juan carlos Rebate escribió:> hola lista, disculpad si hay faltas de ortografía pero envio este> correo deprisa y corriendo. el tema es que intento acceder a una red> irc la cual mi proveedor tiene bloqueada, con varias vpn conocidas me> logro conectar pero solo por 5 segundos, despues me banean alegando> que la razón es estar usando una vpn, necesito saber si existe alguna> manera de saltar esa bobada, he probado con la de expressvpn, nordvpn,> norton security en el cual viene una vpn, opera (el cual siempre me da> la misma ip a pesar de cambiar la región), todos me los detecta y> banea. me da cosilla montar un openvpn en un dedicado o un vps si va a> dar el mismo resultado, alguien sabria como ocultar el uso de vpn? no> vale usar red 4g o 5g porque el operador es el mismo, los webproxy o> proxy tampoco valen, alguna otra idea? gracias y perdon por cualquier> error ortografico o de otro tipo> Probá con VPNs que ofusquen los métodos de detección de VPN.Dos que lo hacen: https://www.cyberghostvpn.com https://surfshark.com SurfShark se puede activar el ofuscador en forma manual o automática. JAP Hola, perdón por tardar en responder. Ninguna vpn ofusca absolutamente nada, he probado 10 vpn y todas las tedecta como vpn/proxy, supuestamente son capaces de burlar Netflix, hbo y demás que son mas avanzadas y ninguna burla una mrda de servidor irc?. Según surfshark no hay fugas, ninguna de sus ip están en lista negra y dicen tener encriptado militar? Ya claro.
Re: OT - ocultar una vpn
El 2/5/23 a las 12:05, Juan carlos Rebate escribió: hola lista, disculpad si hay faltas de ortografía pero envio este correo deprisa y corriendo. el tema es que intento acceder a una red irc la cual mi proveedor tiene bloqueada, con varias vpn conocidas me logro conectar pero solo por 5 segundos, despues me banean alegando que la razón es estar usando una vpn, necesito saber si existe alguna manera de saltar esa bobada, he probado con la de expressvpn, nordvpn, norton security en el cual viene una vpn, opera (el cual siempre me da la misma ip a pesar de cambiar la región), todos me los detecta y banea. me da cosilla montar un openvpn en un dedicado o un vps si va a dar el mismo resultado, alguien sabria como ocultar el uso de vpn? no vale usar red 4g o 5g porque el operador es el mismo, los webproxy o proxy tampoco valen, alguna otra idea? gracias y perdon por cualquier error ortografico o de otro tipo Probá con VPNs que ofusquen los métodos de detección de VPN. Dos que lo hacen: https://www.cyberghostvpn.com https://surfshark.com SurfShark se puede activar el ofuscador en forma manual o automática. JAP
RE: OT - ocultar una vpn
De: Luis Muñoz FuenteEnviado: martes, 2 de mayo de 2023 17:22Para: debian-user-spanish@lists.debian.orgAsunto: Re: OT - ocultar una vpn El 2/5/23 a las 17:05, Juan carlos Rebate escribió:> hola lista, disculpad si hay faltas de ortografía pero envio este> correo deprisa y corriendo. el tema es que intento acceder a una red> irc la cual mi proveedor tiene bloqueada, con varias vpn conocidas me> logro conectar pero solo por 5 segundos, despues me banean alegando> que la razón es estar usando una vpn, necesito saber si existe alguna> manera de saltar esa bobada, he probado con la de expressvpn, nordvpn,> norton security en el cual viene una vpn, opera (el cual siempre me da> la misma ip a pesar de cambiar la región), todos me los detecta y> banea. me da cosilla montar un openvpn en un dedicado o un vps si va a> dar el mismo resultado, alguien sabria como ocultar el uso de vpn? no> vale usar red 4g o 5g porque el operador es el mismo, los webproxy o> proxy tampoco valen, alguna otra idea? gracias y perdon por cualquier> error ortografico o de otro tipo> Hola:NO sé muy bien si te entiendo, podría funcionar a través de web: https://webchat.oftc.net/ no, no busco un proveedor de irc distinto no, lo que busco es que el servidor irc no sepa que estoy en una vpn, creo que la red irc detecta el protocolo usado por las von y lo capa, porque no creo que el bloqueo sea mediante ip
Re: OT - ocultar una vpn
El 2/5/23 a las 17:05, Juan carlos Rebate escribió: hola lista, disculpad si hay faltas de ortografía pero envio este correo deprisa y corriendo. el tema es que intento acceder a una red irc la cual mi proveedor tiene bloqueada, con varias vpn conocidas me logro conectar pero solo por 5 segundos, despues me banean alegando que la razón es estar usando una vpn, necesito saber si existe alguna manera de saltar esa bobada, he probado con la de expressvpn, nordvpn, norton security en el cual viene una vpn, opera (el cual siempre me da la misma ip a pesar de cambiar la región), todos me los detecta y banea. me da cosilla montar un openvpn en un dedicado o un vps si va a dar el mismo resultado, alguien sabria como ocultar el uso de vpn? no vale usar red 4g o 5g porque el operador es el mismo, los webproxy o proxy tampoco valen, alguna otra idea? gracias y perdon por cualquier error ortografico o de otro tipo Hola: NO sé muy bien si te entiendo, podría funcionar a través de web: https://webchat.oftc.net/
OT - ocultar una vpn
hola lista, disculpad si hay faltas de ortografía pero envio este correo deprisa y corriendo. el tema es que intento acceder a una red irc la cual mi proveedor tiene bloqueada, con varias vpn conocidas me logro conectar pero solo por 5 segundos, despues me banean alegando que la razón es estar usando una vpn, necesito saber si existe alguna manera de saltar esa bobada, he probado con la de expressvpn, nordvpn, norton security en el cual viene una vpn, opera (el cual siempre me da la misma ip a pesar de cambiar la región), todos me los detecta y banea. me da cosilla montar un openvpn en un dedicado o un vps si va a dar el mismo resultado, alguien sabria como ocultar el uso de vpn? no vale usar red 4g o 5g porque el operador es el mismo, los webproxy o proxy tampoco valen, alguna otra idea? gracias y perdon por cualquier error ortografico o de otro tipo
Re: [HS] Ambiance (Re: Fuite de DNS avec mon client VPN)
--- Original Message --- Le lundi 9 janvier 2023 à 15:44, Sébastien NOBILI a écrit : > > > Bonjour, > > Le 2023-01-08 07:03, Olivier Back my spare a écrit : > > > Privacytools.io a tout ce que vous > > voulez mais il semble que votre kif soit de surfer en se faisant > > passer pour un autre. > > > Merci de cesser les attaques de ce genre. C'est déjà la deuxième depuis > la semaine dernière. On n'est pas abonnés ici pour lire ce genre de > choses. > > Sébastien +1 Hugues publickey - hlarrive@pm.me - 0xE9429B87.asc Description: application/pgp-keys signature.asc Description: OpenPGP digital signature
[HS] Ambiance (Re: Fuite de DNS avec mon client VPN)
Bonjour, Le 2023-01-08 07:03, Olivier Back my spare a écrit : Privacytools.io a tout ce que vous voulez mais il semble que votre kif soit de surfer en se faisant passer pour un autre. Merci de cesser les attaques de ce genre. C'est déjà la deuxième depuis la semaine dernière. On n'est pas abonnés ici pour lire ce genre de choses. Sébastien
Re : Re: Fuite de DNS avec mon client VPN
Le dimanche 8 janvier 2023 à 07:03, Olivier Back my spare a écrit : > Je vais encore en fâcher plus d'un mais bon... Fâcher peut-être pas, mais agacer, ça se pourrait ! > Expressvpn dit que le premier élément qui est la cause des fuites DNS, > c'est le webrtc. Pourtant je croyais que vous aviez lu leur doc. > J'ai fait un test de fuites DNS et le webrtc est peut-être un autre problème. > Là, vous affirmez à l'aide d'un wiki douteux que le problème se situe au > niveau de /etc/resolv.conf. > Ca n'a rien de douteux, je m'en suis rendu compte hier, l'installation d'openvpn installe un script /etc/openvpn/update-resolv-conf, qui, s'il n'est pas appelé pour modifier /etc/resolv.conf, ça va laisser /etc/resolv.conf avec l'ip du serveur DNS de la box du FAI. Donc je passais par un VPN en continuant à interroger le serveur DNS de la box du FAI. C'est pas une fuite de DNS, c'est juste une erreur de config de ne pas avoir veillé à appeler /etc/openvpn/update-resolv-conf qui lui-même fait appel à /sbin/resolvconf et met à jour /etc/resolv.conf. > Jamais de la vie je ne toucherais en profondeur quelque chose qui n'est > même pas documenté dans ma distrib qui fait un bon 600 pages et encore > moins sur des wiki comme celui d'ubuntu, Debian ou Fedora. > C'est pas toucher en profondeur que faire en sorte de veiller à ce que le script /etc/openvpn/update-resolv-conf soit bien appelé et qu'il dispose de /sbin/resolvconf, de façon à ce que /etc/resolv.conf soit bien mi à jour au démarrage du démon VPN. Après avoir veillé à cela, il y a un avant et un après. Avant : www.dnsleaktest.com affichait le DNS de mon FAI ce qui est logique puisque c'est le DNS qui était affecté à nameserver /etc/resolv.conf. Après il ne pouvait plus le voir, car nameserver reçoit le DNS du VPN. Si vous avez des conseils à me donner pour faire en sorte que ma résolution de nom de domaine soit bien configurée par openvpn, sans faire cette manip, ils sont les bien venus. Cette manip n'est peut-être pas la façon la plus appropriée d'y parvenir. Mais ma config d'avant, qui consistait à continuer à interroger le DNS du FAI dans /etc/resolv.conf, plutôt que celui du VPN, n'était certainement appropriée. Et j'en ai la preuve par un teste www.dnsleaktest.com, avant et après. > > Vous ne cherchez pas comment fonctionne le VPN pour résoudre le > problème. Vous bidouillez sans savoir ce que vous faites pour un > nonsenese problème pour une nonsense raison. La sécurité comme vous le > prétendez n'est qu'un prétexte. Privacytools.io a tout ce que vous > voulez mais il semble que votre kif soit de surfer en se faisant passer > pour un autre. > Vos conseil pour bien configurer un client openvpn sous GNU/Linux Debian sont les bienvenus! Mais s'il vous plaît, tenons nous en au sujet : la config d'un client openvpn sur une distribution GNU/Linux Debian afin d'éviter une fuite de DNS. Et ne divaguez sur des théories psychologisantes de comptoir. Merci d'avance -- Benoît
Re: Fuite de DNS avec mon client VPN
Bonjour Je vais encore en fâcher plus d'un mais bon... Expressvpn dit que le premier élément qui est la cause des fuites DNS, c'est le webrtc. Pourtant je croyais que vous aviez lu leur doc. Là, vous affirmez à l'aide d'un wiki douteux que le problème se situe au niveau de /etc/resolv.conf. Jamais de la vie je ne toucherais en profondeur quelque chose qui n'est même pas documenté dans ma distrib qui fait un bon 600 pages et encore moins sur des wiki comme celui d'ubuntu, Debian ou Fedora. Vous ne cherchez pas comment fonctionne le VPN pour résoudre le problème. Vous bidouillez sans savoir ce que vous faites pour un nonsenese problème pour une nonsense raison. La sécurité comme vous le prétendez n'est qu'un prétexte. Privacytools.io a tout ce que vous voulez mais il semble que votre kif soit de surfer en se faisant passer pour un autre. Le 07/01/2023 à 17:07, benoit a écrit : Bonjour à toutes et tous, Il y a quelque temps, je vous avais demandé de l'aide entre autre concernant une fuite de DNS J'ai trouvé la solution ici https://steamforge.net/wiki/index.php/How_to_configure_OpenVPN_to_resolve_local_DNS_&_hostnames#Client_Mod <https://steamforge.net/wiki/index.php/How_to_configure_OpenVPN_to_resolve_local_DNS_&_hostnames#Client_Mod> Et ça empêche la fuite de DNS. Ce n'en était même pas une en fait, c'est juste mon /etc/resolv.conf qui n'était pas mi à jour par openvpn. Vu que /etc/resolv.conf continue à renseigner le DNS de ma box : nameserver 192.168.178.1 plutôt que celui du serveur VPN ben forcément. Donc en suivant la doc ci dessus ca résous le problème. Juste un détail , le fichier /etc/resolv.conf contient ceci quand le vpn fonctionne nameserver 10.71.0.1 nameserver 192.168.178.1 et juste nameserver 192.168.178.1 quand le vpn est stoppé serait-il possible de n'avoir que l'un ou l'autre ? Merci Benoit Envoyé avec la messagerie sécurisée Proton Mail <https://proton.me/>. -- Gestionnaire d'infrastructure/ Gestionnaire de parc informatique "It is possible to commit no errors and still lose. That is not a weakness. That is life." – Captain Jean-Luc Picard to Data
Fuite de DNS avec mon client VPN
Bonjour à toutes et tous, Il y a quelque temps, je vous avais demandé de l'aide entre autre concernant une fuite de DNS J'ai trouvé la solution ici https://steamforge.net/wiki/index.php/How_to_configure_OpenVPN_to_resolve_local_DNS_&_hostnames#Client_Mod Et ça empêche la fuite de DNS. Ce n'en était même pas une en fait, c'est juste mon /etc/resolv.conf qui n'était pas mi à jour par openvpn. Vu que /etc/resolv.conf continue à renseigner le DNS de ma box : nameserver 192.168.178.1 plutôt que celui du serveur VPN ben forcément. Donc en suivant la doc ci dessus ca résous le problème. Juste un détail , le fichier /etc/resolv.conf contient ceci quand le vpn fonctionne nameserver 10.71.0.1 nameserver 192.168.178.1 et juste nameserver 192.168.178.1 quand le vpn est stoppé serait-il possible de n'avoir que l'un ou l'autre ? Merci Benoit Envoyé avec la messagerie sécurisée [Proton Mail](https://proton.me/).
Re: Comment masquer l’usage d’un VPN ?
Pour améliorer la confidentialité, votre appareil utilise une adresse MAC adresse réseau unique (Media Access Control). différente avec chaque réseau Wi-Fi…….L’amnésie est possible chez Apple :—> https://support.apple.com/fr-fr/HT211227 lElle devrait limiter les indiscrétions du DNS.Le 25 déc. 2022 à 00:32, Dethegeek a écrit :Un peu de lecture en anglais, provenant de expressvpn : https://www.expressvpn.com/dns-leak-testTon problème vient du fait que quand ton ordinateur veut interroger un site, il doit convertir le nom de domaine en une adresse IP. On passe par un serveur dns, qui joue le rôle d'annuaire. Si ton pc est configuré pour solliciter un dns potentiellement hostile, alors ce dans peut connaître ton adresse IP et en déduire tous les sites que tu visites (ou services comme des messageries par exemple).Le principe est donc d'utiliser un DNS qui n'enregistre rien, de confiance. C'est le même enjeu que pour un vpn d'ailleurs.Le sam. 24 déc. 2022 à 21:25, benoit <benoit...@protonmail.ch> a écrit :Le samedi 24 décembre 2022 à 03:06, Olivier Back my spare <backup.my.sp...@gmail.com> a écrit : > > Une des solutions est d'ajouter une extension pour bloquer le webrtc sur > le navigateur. > Bonsoir, J'ai essayé les 3 premiers de cette liste, mais le problème de fuite de DNS persiste. https://addons.mozilla.org/fr/firefox/search/?q=webrtc J'en déduis que la fuite de DNS ne vient pas de webrtc, mais j'y connais rien... J'ai aussi essayé le navigateur librewolf idem. Pourquoi ce navigateur, n'est-il pas dans les dépôts debian ? https://packages.debian.org/search?keywords=librewolf=names=all=all -- Benoit smime.p7s Description: S/MIME cryptographic signature
Re: Comment masquer l’usage d’un VPN ?
Un peu de lecture en anglais, provenant de expressvpn : https://www.expressvpn.com/dns-leak-test Ton problème vient du fait que quand ton ordinateur veut interroger un site, il doit convertir le nom de domaine en une adresse IP. On passe par un serveur dns, qui joue le rôle d'annuaire. Si ton pc est configuré pour solliciter un dns potentiellement hostile, alors ce dans peut connaître ton adresse IP et en déduire tous les sites que tu visites (ou services comme des messageries par exemple). Le principe est donc d'utiliser un DNS qui n'enregistre rien, de confiance. C'est le même enjeu que pour un vpn d'ailleurs. Le sam. 24 déc. 2022 à 21:25, benoit a écrit : > Le samedi 24 décembre 2022 à 03:06, Olivier Back my spare < > backup.my.sp...@gmail.com> a écrit : > > > > Une des solutions est d'ajouter une extension pour bloquer le webrtc sur > > le navigateur. > > > > Bonsoir, > > J'ai essayé les 3 premiers de cette liste, mais le problème de fuite de > DNS persiste. > https://addons.mozilla.org/fr/firefox/search/?q=webrtc > > J'en déduis que la fuite de DNS ne vient pas de webrtc, mais j'y connais > rien... > > J'ai aussi essayé le navigateur librewolf idem. > > Pourquoi ce navigateur, n'est-il pas dans les dépôts debian ? > > https://packages.debian.org/search?keywords=librewolf=names=all=all > > -- > Benoit > >
Re: Comment masquer l’usage d’un VPN ?
Le samedi 24 décembre 2022 à 03:06, Olivier Back my spare a écrit : > > Une des solutions est d'ajouter une extension pour bloquer le webrtc sur > le navigateur. > Bonsoir, J'ai essayé les 3 premiers de cette liste, mais le problème de fuite de DNS persiste. https://addons.mozilla.org/fr/firefox/search/?q=webrtc J'en déduis que la fuite de DNS ne vient pas de webrtc, mais j'y connais rien... J'ai aussi essayé le navigateur librewolf idem. Pourquoi ce navigateur, n'est-il pas dans les dépôts debian ? https://packages.debian.org/search?keywords=librewolf=names=all=all -- Benoit
Re: Comment masquer l’usage d’un VPN ?
Bonjour. Une des solutions est d'ajouter une extension pour bloquer le webrtc sur le navigateur. Le 23/12/2022 à 12:30, benoit a écrit : Bonjour, Voici un retour de mes démarches. Suite à un premier test recommandé par le support d'expressvpn, j'ai une fuite de DNS, les sites que je visitent peuvent détecter l’adresse ip attribuée par mon fournisseur d'accès internet et le nom de mon fournisseur. Du coup le VPN ne sert à rien du tout. Le lundi 19 décembre 2022 à 18:01, benoit a écrit : Bonjour à toutes et tous, Je passe par un VPN pour me connecter à internet, mais je suis bloqué sur certains sites qui le détectent. J’ai un peu lu sur le sujet avant de poster, je n’y connais rien, mais d’après ce que j’ai cru comprendre, c’est une fonctionnalité des pare-feux qui font de la « detection by deep packet inspection » (DPI). Mais qu’il y aurait un moyen de contourner cela avec de l’obfuscation, qui modifie les paquets pour faire croire à une navigation normale. Cet article ressemble plus à de la pub pour expressVPN, mais vu que c’est mon VPN... https://www.top10vpn.com/guides/vpn-obfuscation/ J’utilise le client openvpn pour me connecter à expressVPN et je ne sais pas comment faire cela sans utiliser l’app fournie par expressVPN qui n’est pas libre. En tout cas avec le client opnevpn, je me fais jeter de plein de site. Merci d’avance pour votre aide. – Benoît -- Gestionnaire d'infrastructure/ Gestionnaire de parc informatique "It is possible to commit no errors and still lose. That is not a weakness. That is life." – Captain Jean-Luc Picard to Data
Re: Comment masquer l’usage d’un VPN ?
Bonjour, Voici un retour de mes démarches. Suite à un premier test recommandé par le support d'expressvpn, j'ai une fuite de DNS, les sites que je visitent peuvent détecter l’adresse ip attribuée par mon fournisseur d'accès internet et le nom de mon fournisseur. Du coup le VPN ne sert à rien du tout. Le lundi 19 décembre 2022 à 18:01, benoit a écrit : > Bonjour à toutes et tous, > > Je passe par un VPN pour me connecter à internet, mais je suis bloqué sur > certains sites qui le détectent. > > J’ai un peu lu sur le sujet avant de poster, je n’y connais rien, mais > d’après ce que j’ai cru comprendre, c’est une fonctionnalité des pare-feux > qui font de la « detection by deep packet inspection » (DPI). > > Mais qu’il y aurait un moyen de contourner cela avec de l’obfuscation, qui > modifie les paquets pour faire croire à une navigation normale. > > Cet article ressemble plus à de la pub pour expressVPN, mais vu que c’est mon > VPN... > > https://www.top10vpn.com/guides/vpn-obfuscation/ > > J’utilise le client openvpn pour me connecter à expressVPN et je ne sais pas > comment faire cela sans utiliser l’app fournie par expressVPN qui n’est pas > libre. > > En tout cas avec le client opnevpn, je me fais jeter de plein de site. > > Merci d’avance pour votre aide. > > – > > Benoît
Re: Re : Re: Comment masquer l’usage d’un VPN ?
Bonjour Le 21/12/2022 à 21:29, Frederic Zulian a écrit : Dans les dépôts officiels Debian on trouve : fred@fred-desktop:/$ aptitude search virtualbox p boinc-virtualbox - metapackage for virtualbox-savvy projects p virtualbox-guest-additions-iso - guest additions iso image for VirtualBox v virtualbox-guest-modules Mais pour avoir "tout" virtualbox il faut rajouter un dépôt spécifique (cf https://linuxiac.com/how-to-install-virtualbox-on-debian-11-bullseye/ <https://linuxiac.com/how-to-install-virtualbox-on-debian-11-bullseye/> ). Moi, je ne cherche pas virtualbox mais merci pour ce partage de liens pour apt sourcelist. Je le sauvegarde. Le mer. 21 déc. 2022 à 16:58, Olivier backup my spare mailto:backup.my.sp...@gmail.com>> a écrit : Bonjour Le 21/12/2022 à 11:09, benoit a écrit : > Le mercredi 21 décembre 2022 à 00:28, Christophe mailto:t...@stuxnet.org>> a > écrit : > >> Hello, >> >> La première connexion que je me pose, c'est la raison d'utiliser un VPN ? >> (de fait : quelle est l'intention de masquer l'utilisation d'un VPN ?) > > Bonjour, > > J’utilise un VPN, parce qu’il me semble qu'internet n’est pas une zone > libre et émancipatrice voulue par les promoteurs d’un internet libre et > neutre. [cut] > > Je vais ouvrir un autre post pour une VM facilement vu que virtualbox > n'est pas dans les dépôts debian, c'est qu'il y a un truc qui > contrevient à la charte... > Si c'est la vie privée qui vous motive. Je vous conseille vivement d'aller faire un tour sur https://www.privacytools.io/ <https://www.privacytools.io/> Vous y trouverez des tonnes d'infos valable pour tous les OS : Linux Debian, Mac, Windows D'ailleurs ExpressVPN, selon le site, n'est classé que 3 ème. ;-) Cordialement -- AI Gestionnaire d'infrastructure/ Gestionnaire de Parc. Centre d'économie S** Monero (XMR) - The secure, private, untraceable cryptocurrency that keeps your money confidential. Grassroots. Open source. Dedicated to privacy & freedom. Monero || #xmr smime.p7s Description: Signature cryptographique S/MIME
Re: Re : Re: Comment masquer l’usage d’un VPN ?
Dans les dépôts officiels Debian on trouve : fred@fred-desktop:/$ aptitude search virtualbox p boinc-virtualbox - metapackage for virtualbox-savvy projects p virtualbox-guest-additions-iso - guest additions iso image for VirtualBox v virtualbox-guest-modules Mais pour avoir "tout" virtualbox il faut rajouter un dépôt spécifique (cf https://linuxiac.com/how-to-install-virtualbox-on-debian-11-bullseye/ ). Frédéric ZULIAN Le mer. 21 déc. 2022 à 16:58, Olivier backup my spare < backup.my.sp...@gmail.com> a écrit : > Bonjour > > Le 21/12/2022 à 11:09, benoit a écrit : > > Le mercredi 21 décembre 2022 à 00:28, Christophe a > > écrit : > > > >> Hello, > >> > >> La première connexion que je me pose, c'est la raison d'utiliser un VPN > ? > >> (de fait : quelle est l'intention de masquer l'utilisation d'un VPN ?) > > > > Bonjour, > > > > J’utilise un VPN, parce qu’il me semble qu'internet n’est pas une zone > > libre et émancipatrice voulue par les promoteurs d’un internet libre et > > neutre. > [cut] > > > > Je vais ouvrir un autre post pour une VM facilement vu que virtualbox > > n'est pas dans les dépôts debian, c'est qu'il y a un truc qui > > contrevient à la charte... > > > > Si c'est la vie privée qui vous motive. Je vous conseille vivement > d'aller faire un tour sur https://www.privacytools.io/ > Vous y trouverez des tonnes d'infos valable pour tous les OS : Linux > Debian, Mac, Windows > D'ailleurs ExpressVPN, selon le site, n'est classé que 3 ème. ;-) > > Cordialement > > > -- > AI Gestionnaire d'infrastructure/ Gestionnaire de Parc. > Centre d'économie S** > Monero (XMR) - The secure, private, untraceable cryptocurrency > that keeps your money confidential. > Grassroots. Open source. Dedicated to privacy & freedom. > Monero || #xmr >
Re: Re : Re: Comment masquer l’usage d’un VPN ?
Bonjour Le 21/12/2022 à 11:09, benoit a écrit : Le mercredi 21 décembre 2022 à 00:28, Christophe a écrit : Hello, La première connexion que je me pose, c'est la raison d'utiliser un VPN ? (de fait : quelle est l'intention de masquer l'utilisation d'un VPN ?) Bonjour, J’utilise un VPN, parce qu’il me semble qu'internet n’est pas une zone libre et émancipatrice voulue par les promoteurs d’un internet libre et neutre. [cut] Je vais ouvrir un autre post pour une VM facilement vu que virtualbox n'est pas dans les dépôts debian, c'est qu'il y a un truc qui contrevient à la charte... Si c'est la vie privée qui vous motive. Je vous conseille vivement d'aller faire un tour sur https://www.privacytools.io/ Vous y trouverez des tonnes d'infos valable pour tous les OS : Linux Debian, Mac, Windows D'ailleurs ExpressVPN, selon le site, n'est classé que 3 ème. ;-) Cordialement -- AI Gestionnaire d'infrastructure/ Gestionnaire de Parc. Centre d'économie S** Monero (XMR) - The secure, private, untraceable cryptocurrency that keeps your money confidential. Grassroots. Open source. Dedicated to privacy & freedom. Monero || #xmr smime.p7s Description: Signature cryptographique S/MIME
Re : Re: Comment masquer l’usage d’un VPN ?
Hello, n'y aurait-il pas une confusion entre anonymat et sécurité ? Si le VPN est un tuyau de transmission, la moindre des choses est de retrouver en sortie l'intégralité de l'envoi. Donc un envoi sûr avec les chiffrements et la crypto. qui vont bien. Si l'on souhaite être anonyme, à part l'IP dont on peut s'attendre que la localisation change par l'utilisation d'un VPN, il reste l'identification cette fois unique de la machine qui reste.et sans parler de l'ordi en entier,ce peut être la carte WiFi utilisée et l'adresse MAC constructeur. Comment installer un VPN que l'on maîtrise ? De : "benoit" A : debian-user-french@lists.debian.org Envoyé: mercredi 21 Décembre 2022 14:10 Objet : Re : Re: Comment masquer l’usage d’un VPN ? Le mercredi 21 décembre 2022 à 00:28, Christophe a écrit : Hello, La première connexion que je me pose, c'est la raison d'utiliser un VPN ? (de fait : quelle est l'intention de masquer l'utilisation d'un VPN ?) Bonjour, J’utilise un VPN, parce qu’il me semble qu'internet n’est pas une zone libre et émancipatrice voulue par les promoteurs d’un internet libre et neutre. C’est une jungle de pillards de données, (pour les sociétés privées) ce que certains auteurs appellent : capitalisme de surveillance. https://www.monde-diplomatique.fr/2019/01/ZUBOFF/59443 D’après le monde diplomatique, au niveau gouvernemental, la plupart des états dit démocratiques, pratiquant la surveillance de masse sous prétexte de lutte contre le terrorisme(voir les déclarations de Edward Snowden). Je doute fort que le MD soit un journal complotiste, je pense qu’ils font un bon travail de journalisme. https://www.monde-diplomatique.fr/2020/12/SIZAIRE/62589 https://blog.mondediplo.net/2015-06-03-Repenser-le-droit-a-l-heure-de-la-surveillance-de https://www.monde-diplomatique.fr/2015/06/TREGUER/53056 D’après le ce journal, nos régimes dits démocratiques fournissent ces technologies liberticides de Deep Packet Inspection (DPI) à des dictatures. https://www.monde-diplomatique.fr/2012/01/CHAMPAGNE/47183 Donc, même si je n’ai rien à cacher et tout particulièrement parce que je n’ai commis aucun délit, il me semble qu’il est de mon devoir de citoyen de résister de mon mieux au capitalisme de surveillance et aux dérives liberticides de nos régimes politiques. Il me semble que c’est un devoir civique de compliquer la surveillance de mon mieux, faire ma part de citoyen responsable, pour que des lanceurs d’alerte, des militants pacifiques et des journalistes puissent exercer leurs activités en toute liberté. Les VPN vendus en masse contournent l'usage initial de ce que devrait être un VPN, ventant monts et merveilles en terme de sécurité et de confidentialité lors de la navigation internet, ne sont qu'une illusion. La belle affaire : au lieu que ce soit le FAI qui voit le trafic, c'est une société tierce, et en plus tu la rémunères pour le faire ... Ce n'est donc que déplacer le problème. Du coup, je suis d’accord avec tes critiques, c’est une maladresse de ma part de passer par une société privée, c’est déplacer le problème. C’est pire que faire entrer des loups dans la bergerie, c'est leur confier sa défense ! ;-) Les sites qui le détectent, c'est simplement parce qu'ils voient que l'IP source de la connexion appartient à un fournisseur de VPN. Il n'y a pas d'explication plus compliquée à trouver ... J’ai un peu lu sur le sujet avant de poster, je n’y connais rien, mais d’après ce que j’ai cru comprendre, c’est une fonctionnalité des pare-feux qui font de la « detection by deep packet inspection » (DPI). Ça pourrait, uniquement si quelqu'un se met à analyser le trafic sur son transit ... Mais les sites que tu visites le détectent avec des méthodes bien plus simple que ça ... Ok bon a savoir Mais qu’il y aurait un moyen de contourner cela avec de l’obfuscation, qui modifie les paquets pour faire croire à une navigation normale. C'est quoi une navigation normale ? Plus ça va, plus ça devient louche cette question . Une navigation qui ressemble à une navigation qui ne passe pas par un VPN pour ne pas me faire jeter de nombreux sites. J'aurais tendance à dire que "appli fournie" ou "client OpenVPN" ça ne changera absolument rien ... ce sont de toutes façons les même serveurs qui seront utilisés, donc les mêmes IP source qui seront présentées au site (autrement nommé serveur) distant. Donc : Rien à voir avec Debian. Rien à voir avec OpenVPN. Je rejoins Olivier : aller se plaindre chez le fournisseur de VPN. Pour avoir des billes à avancer : - Installer l'application sur une machine virtuelle, - l'utiliser et se rendre compte que la situation est exactement la même, - aller leur dire que le service n'est pas au niveau. C'est le seul vrai conseil à donner dans le contexte, en plus du fait de ne jamais utiliser de VPN dont on a pas la maîtrise soi-même
Re : Re: Comment masquer l’usage d’un VPN ?
Le mercredi 21 décembre 2022 à 00:28, Christophe a écrit : > Hello, > > La première connexion que je me pose, c'est la raison d'utiliser un VPN ? > > (de fait : quelle est l'intention de masquer l'utilisation d'un VPN ?) Bonjour, J’utilise un VPN, parce qu’il me semble qu'internet n’est pas une zone libre et émancipatrice voulue par les promoteurs d’un internet libre et neutre. C’est une jungle de pillards de données, (pour les sociétés privées) ce que certains auteurs appellent : capitalisme de surveillance. https://www.monde-diplomatique.fr/2019/01/ZUBOFF/59443 D’après le monde diplomatique, au niveau gouvernemental, la plupart des états dit démocratiques, pratiquant la surveillance de masse sous prétexte de lutte contre le terrorisme(voir les déclarations de Edward Snowden). Je doute fort que le MD soit un journal complotiste, je pense qu’ils font un bon travail de journalisme. https://www.monde-diplomatique.fr/2020/12/SIZAIRE/62589 https://blog.mondediplo.net/2015-06-03-Repenser-le-droit-a-l-heure-de-la-surveillance-de https://www.monde-diplomatique.fr/2015/06/TREGUER/53056 D’après le ce journal, nos régimes dits démocratiques fournissent ces technologies liberticides de Deep Packet Inspection (DPI) à des dictatures. https://www.monde-diplomatique.fr/2012/01/CHAMPAGNE/47183 Donc, même si je n’ai rien à cacher et tout particulièrement parce que je n’ai commis aucun délit, il me semble qu’il est de mon devoir de citoyen de résister de mon mieux au capitalisme de surveillance et aux dérives liberticides de nos régimes politiques. Il me semble que c’est un devoir civique de compliquer la surveillance de mon mieux, faire ma part de citoyen responsable, pour que des lanceurs d’alerte, des militants pacifiques et des journalistes puissent exercer leurs activités en toute liberté. > Les VPN vendus en masse contournent l'usage initial de ce que devrait être un > VPN, ventant monts et merveilles en terme de sécurité et de confidentialité > lors de la navigation internet, ne sont qu'une illusion. > > La belle affaire : au lieu que ce soit le FAI qui voit le trafic, c'est une > société tierce, et en plus tu la rémunères pour le faire ... Ce n'est donc > que déplacer le problème. Du coup, je suis d’accord avec tes critiques, c’est une maladresse de ma part de passer par une société privée, c’est déplacer le problème. C’est pire que faire entrer des loups dans la bergerie, c'est leur confier sa défense ! ;-) > Les sites qui le détectent, c'est simplement parce qu'ils voient que l'IP > source de la connexion appartient à un fournisseur de VPN. Il n'y a pas > d'explication plus compliquée à trouver ... > >> J’ai un peu lu sur le sujet avant de poster, je n’y connais rien, mais >> d’après ce que j’ai cru comprendre, c’est une fonctionnalité des pare-feux >> qui font de la « detection by deep packet inspection » (DPI). > > Ça pourrait, uniquement si quelqu'un se met à analyser le trafic sur son > transit ... Mais les sites que tu visites le détectent avec des méthodes bien > plus simple que ça ... Ok bon a savoir >> Mais qu’il y aurait un moyen de contourner cela avec de l’obfuscation, qui >> modifie les paquets pour faire croire à une navigation normale. > > C'est quoi une navigation normale ? Plus ça va, plus ça devient louche cette > question . > >> Une navigation qui ressemble à une navigation qui ne passe pas par un VPN pour ne pas me faire jeter de nombreux sites. > J'aurais tendance à dire que "appli fournie" ou "client OpenVPN" ça ne > changera absolument rien ... ce sont de toutes façons les même serveurs qui > seront utilisés, donc les mêmes IP source qui seront présentées au site > (autrement nommé serveur) distant. > > Donc : > Rien à voir avec Debian. > Rien à voir avec OpenVPN. > Je rejoins Olivier : aller se plaindre chez le fournisseur de VPN. > Pour avoir des billes à avancer : > - Installer l'application sur une machine virtuelle, > - l'utiliser et se rendre compte que la situation est exactement la même, > - aller leur dire que le service n'est pas au niveau. > > C'est le seul vrai conseil à donner dans le contexte, en plus du fait de ne > jamais utiliser de VPN dont on a pas la maîtrise soi-même ... Ok c'est un bon plan je vais vérifier ça dans une VM ! ;-) Je vais ouvrir un autre post pour une VM facilement vu que virtualbox n'est pas dans les dépôts debian, c'est qu'il y a un truc qui contrevient à la charte... Merci -- Benoît
Re: Comment masquer l’usage d’un VPN ?
Hello, Le 19/12/2022 à 18:01, benoit a écrit : Bonjour à toutes et tous, Je passe par un VPN pour me connecter à internet, mais je suis bloqué sur certains sites qui le détectent. La première connexion que je me pose, c'est la raison d'utiliser un VPN ? (de fait : quelle est l'intention de masquer l'utilisation d'un VPN ?) A bien remettre dans le contexte : Un VPN devrait permettre uniquement de tisser un tunnel sécurité entre deux points du réseau Internet. L'usage privilégié, étant de relier deux réseaux locaux entre eux. Les VPN vendus en masse contournent l'usage initial de ce que devrait être un VPN, ventant monts et merveilles en terme de sécurité et de confidentialité lors de la navigation internet, ne sont qu'une illusion. La belle affaire : au lieu que ce soit le FAI qui voit le trafic, c'est une société tierce, et en plus tu la rémunères pour le faire ... Ce n'est donc que déplacer le problème. Ponctuellement, parce que la navigation sur le site concerné est bloquée dans son pays d'origine, c'est à peu près le seul intérêt que j'y vois. Les sites qui le détectent, c'est simplement parce qu'ils voient que l'IP source de la connexion appartient à un fournisseur de VPN. Il n'y a pas d'explication plus compliquée à trouver ... J’ai un peu lu sur le sujet avant de poster, je n’y connais rien, mais d’après ce que j’ai cru comprendre, c’est une fonctionnalité des pare-feux qui font de la « detection by deep packet inspection » (DPI). Ça pourrait, uniquement si quelqu'un se met à analyser le trafic sur son transit ... Mais les sites que tu visites le détectent avec des méthodes bien plus simple que ça ... Mais qu’il y aurait un moyen de contourner cela avec de l’obfuscation, qui modifie les paquets pour faire croire à une navigation normale. C'est quoi une navigation normale ? Plus ça va, plus ça devient louche cette question . Cet article ressemble plus à de la pub pour expressVPN, mais vu que c’est mon VPN... https://www.top10vpn.com/guides/vpn-obfuscation/ J’utilise le client openvpn pour me connecter à expressVPN et je ne sais pas comment faire cela sans utiliser l’app fournie par expressVPN qui n’est pas libre. En tout cas avec le client opnevpn, je me fais jeter de plein de site. J'aurais tendance à dire que "appli fournie" ou "client OpenVPN" ça ne changera absolument rien ... ce sont de toutes façons les même serveurs qui seront utilisés, donc les mêmes IP source qui seront présentées au site (autrement nommé serveur) distant. Donc : Rien à voir avec Debian. Rien à voir avec OpenVPN. Je rejoins Olivier : aller se plaindre chez le fournisseur de VPN. Pour avoir des billes à avancer : - Installer l'application sur une machine virtuelle, - l'utiliser et se rendre compte que la situation est exactement la même, - aller leur dire que le service n'est pas au niveau. C'est le seul vrai conseil à donner dans le contexte, en plus du fait de ne jamais utiliser de VPN dont on a pas la maîtrise soi-même ...
Re: Comment masquer l’usage d’un VPN ?
Le 19/12/2022 à 18:01, benoit a écrit : Bonjour à toutes et tous, Je passe par un VPN pour me connecter à internet, mais je suis bloqué sur certains sites qui le détectent. J’ai un peu lu sur le sujet avant de poster, je n’y connais rien, mais d’après ce que j’ai cru comprendre, c’est une fonctionnalité des pare-feux qui font de la « detection by deep packet inspection » (DPI). Mais qu’il y aurait un moyen de contourner cela avec de l’obfuscation, qui modifie les paquets pour faire croire à une navigation normale. Cet article ressemble plus à de la pub pour expressVPN, mais vu que c’est mon VPN... https://www.top10vpn.com/guides/vpn-obfuscation/ <https://www.top10vpn.com/guides/vpn-obfuscation/> J’utilise le client openvpn pour me connecter à expressVPN et je ne sais pas comment faire cela sans utiliser l’app fournie par expressVPN qui n’est pas libre. En tout cas avec le client opnevpn, je me fais jeter de plein de site. Merci d’avance pour votre aide. – Benoît (attention, j'y connais rien de rien, tu viens de m'apprendre le concept d'obfuscation en réseaux) *peut-être* que tu pourrais faire de l'obfuscation simplement en utilisant Tor et Obfs4proxy à la place de ton navigateur et que ça suffirait à tromper ton fournisseur VPN? pas taper si j'ai dit n'importe quoi ;-)
Re: Re : Re: Comment masquer l’usage d’un VPN ?
Bonjour Le 20/12/2022 à 18:37, benoit a écrit : Le lundi 19 décembre 2022 à 21:05, Olivier backup my spare a écrit : Bonjour Rapprochez vous de ExpressVPN et dites leur votre mécontentement. Le problème vient d'eux. Bonjour Je veux bien essayer, mais je suis déjà presque sûr de la réponse, ils me diront d'utiliser leur app non libre comme client au lieu d'openvpn. Leur site web et un lien vers leur app proprio, les messages insistant, que sans l'app on a pas le même niveau de sécurité que est assez explicite... Qu'est ce que vous entendez par niveau de sécurité? Ceci dit, vous avez dit d'où vient le problème. Ils ont une app proprio avec des réglages à eux. Sauf à leur demander, il faudra faire beaucoup de tests pour faire vos réglages. Essayez de regarder cette page. https://trisquel.info/it/browser/addons/disable-webrtc Parfois, c'est le navigateur qui nous "vend" et donne nos infos réseau : dns, etc. Ca m'est arrivé avec protonvpn Mais bon je tante et si c'est ça qu'ils me répondent, je chercherai un autre service VPN. -- AI Gestionnaire d'infrastructure/ Gestionnaire de Parc. Centre d'économie S** Monero (XMR) - The secure, private, untraceable cryptocurrency that keeps your money confidential. Grassroots. Open source. Dedicated to privacy & freedom. Monero || #xmr smime.p7s Description: Signature cryptographique S/MIME
Re : Re: Comment masquer l’usage d’un VPN ?
Le lundi 19 décembre 2022 à 21:05, Olivier backup my spare a écrit : > Bonjour > > Rapprochez vous de ExpressVPN et dites leur votre mécontentement. > Le problème vient d'eux. > Bonjour Je veux bien essayer, mais je suis déjà presque sûr de la réponse, ils me diront d'utiliser leur app non libre comme client au lieu d'openvpn. Leur site web et un lien vers leur app proprio, les messages insistant, que sans l'app on a pas le même niveau de sécurité que est assez explicite... Mais bon je tante et si c'est ça qu'ils me répondent, je chercherai un autre service VPN.
Re: Comment masquer l’usage d’un VPN ?
Bonjour Rapprochez vous de ExpressVPN et dites leur votre mécontentement. Le problème vient d'eux. Cordialement. Le 19/12/2022 à 18:01, benoit a écrit : Bonjour à toutes et tous, Je passe par un VPN pour me connecter à internet, mais je suis bloqué sur certains sites qui le détectent. J’ai un peu lu sur le sujet avant de poster, je n’y connais rien, mais d’après ce que j’ai cru comprendre, c’est une fonctionnalité des pare-feux qui font de la « detection by deep packet inspection » (DPI). Mais qu’il y aurait un moyen de contourner cela avec de l’obfuscation, qui modifie les paquets pour faire croire à une navigation normale. Cet article ressemble plus à de la pub pour expressVPN, mais vu que c’est mon VPN... https://www.top10vpn.com/guides/vpn-obfuscation/ <https://www.top10vpn.com/guides/vpn-obfuscation/> J’utilise le client openvpn pour me connecter à expressVPN et je ne sais pas comment faire cela sans utiliser l’app fournie par expressVPN qui n’est pas libre. En tout cas avec le client opnevpn, je me fais jeter de plein de site. Merci d’avance pour votre aide. – Benoît -- AI Gestionnaire d'infrastructure/ Gestionnaire de Parc. Centre d'économie S** Monero (XMR) - The secure, private, untraceable cryptocurrency that keeps your money confidential. Grassroots. Open source. Dedicated to privacy & freedom. Monero || #xmr smime.p7s Description: Signature cryptographique S/MIME
Comment masquer l’usage d’un VPN ?
Bonjour à toutes et tous, Je passe par un VPN pour me connecter à internet, mais je suis bloqué sur certains sites qui le détectent. J’ai un peu lu sur le sujet avant de poster, je n’y connais rien, mais d’après ce que j’ai cru comprendre, c’est une fonctionnalité des pare-feux qui font de la « detection by deep packet inspection » (DPI). Mais qu’il y aurait un moyen de contourner cela avec de l’obfuscation, qui modifie les paquets pour faire croire à une navigation normale. Cet article ressemble plus à de la pub pour expressVPN, mais vu que c’est mon VPN... https://www.top10vpn.com/guides/vpn-obfuscation/ J’utilise le client openvpn pour me connecter à expressVPN et je ne sais pas comment faire cela sans utiliser l’app fournie par expressVPN qui n’est pas libre. En tout cas avec le client opnevpn, je me fais jeter de plein de site. Merci d’avance pour votre aide. – Benoît
Re : Add route exceptions to a VPN with network manager
Le 11/10/2022 18:44:04, Michel a écrit : > Voire un defayukt d'aiguillage ;) Dafuk? nicolas patrois : pts noir asocial -- RÉALISME M : Qu'est-ce qu'il nous faudrait pour qu'on nous considère comme des humains ? Un cerveau plus gros ? P : Non... Une carte bleue suffirait...
Re: Add route exception in NetworkManager vpn
On Tue, 11 Oct 2022, Erwan David wrote: Hi, I use a vpn with network manager which routes everything through it. I'd like to add some exceptions for local or not so local ressources that cannot be reached through the VPN. The ideal situation would be to be able to give as gateway for those routes "the default gateway before the VPN was up". Is there a way to do this ? It may be through a dispatcher script at vpn-preup time, but I'm not sure by reading the doc if the routes have been changed at that time or not. The original route must still be there or the VPN itself couldn't stay up although possibly now as a route to a single IP. So provided you can find that route, you can create more routes via the same next-hop. so something like: ip route add 8.8.8.8/32 via 1.2.3.4 dev isp After the vpn is up, use ip route show (and possibly ip rule show) to see how the vpn traffic is routed.
Re: Add route exceptions to a VPN with network manager
Le 11/10/2022 à 18:20, Fabien R a écrit : > On 11/10/2022 16:05, Erwan David wrote: >> Hi, >> >> I use a vpn with network manager which routes everything through it. >> I'd like to add some exceptions for local or not so local ressources that >> cannot be reached through the VPN. >> The ideal situation would be to be able to give as gateway for those routes >> "the defayukt gateway before the VPN was up". >> Is there a way to do this ? >> >> Thank you >> > Tes messages semblent subir une erreur d'aiguillage. Voire un defayukt d'aiguillage ;)
Add route exception in NetworkManager vpn
Hi, I use a vpn with network manager which routes everything through it. I'd like to add some exceptions for local or not so local ressources that cannot be reached through the VPN. The ideal situation would be to be able to give as gateway for those routes "the default gateway before the VPN was up". Is there a way to do this ? It may be through a dispatcher script at vpn-preup time, but I'm not sure by reading the doc if the routes have been changed at that time or not. Thank you
Re: Add route exceptions to a VPN with network manager
On 11/10/2022 16:05, Erwan David wrote: Hi, I use a vpn with network manager which routes everything through it. I'd like to add some exceptions for local or not so local ressources that cannot be reached through the VPN. The ideal situation would be to be able to give as gateway for those routes "the defayukt gateway before the VPN was up". Is there a way to do this ? Thank you Tes messages semblent subir une erreur d'aiguillage. -- Fabien
Add route exceptions to a VPN with network manager
Hi, I use a vpn with network manager which routes everything through it. I'd like to add some exceptions for local or not so local ressources that cannot be reached through the VPN. The ideal situation would be to be able to give as gateway for those routes "the defayukt gateway before the VPN was up". Is there a way to do this ? Thank you
Re: Network manager: activating VPN in GNOME remote session doesn't work, but in KDE remote session (xrdp)
Hmm, there seems to be a difference between networkmanager in KDE and in Gnome: Situation is, there are two users, A and B. B defined this VPN connection and wants to start it. If only B is logged in (directly, not remotely), she can start the VPN in both KDE and Gnome. If B is logged in remotely, she can start it only if it's a KDE session, not in Gnome. A cannot start the VPN: in a KDE session, networkmanager asks for a password (which A doesn't know); in a Gnome session, no password dialog is shown at all (which cannot work, obviously...). I already tried to store the password in the VPN config file at /etc/ NetworkManager/system-connections/..., followed by a service network-manager restart but it didn't work: ... [vpn] ... password-flags=0 ... [vpn-secrets] password=PASSWORD Any ideas? Thank you. Best, Bernd On Tuesday, August 9, 2022 11:09:44 AM CEST B.M. wrote: > nmcli con up doesn't work either: nothing happens except the > three dots where the VPN icon is shown and after 90 seconds a timeout > message appears in the terminal window; so exactly the same behaviour :-( > > Bernd > > On Monday, August 8, 2022 3:03:17 PM CEST Harald Dunkel wrote: > > Hi BM > > > > if your VPN is IPsec, then you might want to examine charon's output via > > journalctl. Probably openvpn, wireguard and others can be found there, > > too. > > > > Another thing to try is to establish the VPN connection using nmcli in a > > terminal window, e.g. > > > > nmcli con up "VPN name" > > > > Maybe you get a usable error message this way. > > > > > > Regards > > > > Harri
Re: Network manager: activating VPN in GNOME remote session doesn't work, but in KDE remote session (xrdp)
nmcli con up doesn't work either: nothing happens except the three dots where the VPN icon is shown and after 90 seconds a timeout message appears in the terminal window; so exactly the same behaviour :-( Bernd On Monday, August 8, 2022 3:03:17 PM CEST Harald Dunkel wrote: > Hi BM > > if your VPN is IPsec, then you might want to examine charon's output via > journalctl. Probably openvpn, wireguard and others can be found there, too. > > Another thing to try is to establish the VPN connection using nmcli in a > terminal window, e.g. > > nmcli con up "VPN name" > > Maybe you get a usable error message this way. > > > Regards > > Harri
Re: Network manager: activating VPN in GNOME remote session doesn't work, but in KDE remote session (xrdp)
Hi BM if your VPN is IPsec, then you might want to examine charon's output via journalctl. Probably openvpn, wireguard and others can be found there, too. Another thing to try is to establish the VPN connection using nmcli in a terminal window, e.g. nmcli con up "VPN name" Maybe you get a usable error message this way. Regards Harri
Network manager: activating VPN in GNOME remote session doesn't work, but in KDE remote session (xrdp)
Hi I'm encountering a somehow strange problem: A user logs into another computer via xrdp, starting either KDE Plasma or GNOME3. Then she wants to connect to a vpn (openvpn) by clicking on Tray Icon -> Networks -> -> Connect (in case of KDE) or -> VPN Off -> Connect (in case of Gnome). If it's a KDE session, connecting to the VPN works just fine. In a Gnome session, the VPN icon is shown as connecting... (the three dots) "forever", while the VPN menu entry is shown as if it connected successfully (there is an entry to disconnect). Syslog shows the same two VPN related lines in both cases, but while in the KDE case there are more lines following, in the Gnome case it seems to hang - no more line appear. The first two lines are: MYHOSTNAME NetworkManager[1169]: [1659945658.8171] vpn[0x55b54f2be990,ede1c8a5-4428-4610-bf27-dc2bc040e876,""]: starting openvpn MYHOSTNAME NetworkManager[1169]: [1659945658.8175] audit: op="connection-activate" uuid="ede1c8a5-4428-4610-bf27-dc2bc040e876" name="" pid=20182 uid=1002 result="success" If the user is logged into the computer directly, she can activate the VPN connection and it's just working fine. Only in a remote session it doesn't work, but only in the Gnome case. Debian Testing with Gnome 42, KDE Plasma/Frameworks also the latest. Does anyone have an idea what's happening here or why the connection is not established correctly? Thank you very much! Best, Bernd PS: Please add me as CC since I'm currently not subscribed to the list.
Re: VPN et demande de redirection de port
Bonsoir Jeremy, Je préfère ne pas activer la DMZ de la box. Ma box n'interviendrait donc pas (même DMZ inactif) me dis-tu ? J'explique ce que je comprenais à tort : Je récupère l'IP du serveur VPN et du port attribué dans des variables comme ceci : IP_VPN= $(piactl get vpnip) PORT=$(piactl get portforward) Avec ceci je pensais faire depuis l'ordi (client VPN) pour atteindre ma box avec le protocole HTTP : http://${IP_VPN}:${PORT} Et ça ne marche pas. J'ai pourtant un petit serveur Apache2 actif sur la bécane cliente du VPN. Ensuite je reviens à ta règle iptables. Je me demande comment récupérer le nom de cette "interface réseau virtuel" (tun0). "ip a" ne m'aide pas pour cela. Merci -- pierre estrem Le 16/07/2022 à 07:39, Jérémy Prego a écrit : Bonjour, si le vpn est connecter sur un pc, la box, ne pourra rien faire pour toi. Si tu souhaites que l'ordi qui héberge le serveur web, soit accessible par le vpn sur le port 80 /443, il faut faire le port translating, sur le pc qui a le vpn, pour lui dire qu'il doit contacter le pc qui a l'ip 192.168.1.x sur son port 80/443 en interne. avec iptables, on peut faire comme ça: iptables -t nat -A PREROUTING -p tcp --dport 80 -i tun0 -j DNAT --to-destination 192.168.1.10:80 Ou avec nftable, on peut faire comme ça: nft add rule ip nat PREROUTING iifname "tun0" tcp dport 80 counter dnat to 192.168.1.10:80 "tun0" dans les 2 règles précédentes est à remplacé par la vrai interface du vpn. si ça ne fonctionne pas, il faut peut être un masquerade de l'interface du vpn avant. Bref, tout ça pour dire que la box n'entre plus en ligne de compte ici. Jerem Le 16/07/2022 à 03:39, Pierre ESTREM a écrit : Bonsoir, J'éi souscrit au VPN "Private Internet Access" et j'ai eu tenté d'acquérir une IP dédiée. Comme j'ai fait une bêtise je n'ai pas pu en profiter (j'ai perdu le "jeton" et le support n'a pas répondu ! :-( ). Mais j'ai pu activer un port qui m'est dédié avec la commande "piactl set requestportfoward true". L'ip de ceserveur et le port changent évidemment dynamiquement. A partir de là je sèche complètement : je n'arrive pas à utiliser le NAT de ma box pour par exemple pointer un serveur web qui ferait parti de mon LAN... Devrais-je passer par un service DNS ? Quels conseils me donneriez-vous ? Merci -- Pierre ESTREM
Re: VPN et demande de redirection de port
Bonjour, si le vpn est connecter sur un pc, la box, ne pourra rien faire pour toi. Si tu souhaites que l'ordi qui héberge le serveur web, soit accessible par le vpn sur le port 80 /443, il faut faire le port translating, sur le pc qui a le vpn, pour lui dire qu'il doit contacter le pc qui a l'ip 192.168.1.x sur son port 80/443 en interne. avec iptables, on peut faire comme ça: iptables -t nat -A PREROUTING -p tcp --dport 80 -i tun0 -j DNAT --to-destination 192.168.1.10:80 Ou avec nftable, on peut faire comme ça: nft add rule ip nat PREROUTING iifname "tun0" tcp dport 80 counter dnat to 192.168.1.10:80 "tun0" dans les 2 règles précédentes est à remplacé par la vrai interface du vpn. si ça ne fonctionne pas, il faut peut être un masquerade de l'interface du vpn avant. Bref, tout ça pour dire que la box n'entre plus en ligne de compte ici. Jerem Le 16/07/2022 à 03:39, Pierre ESTREM a écrit : Bonsoir, J'éi souscrit au VPN "Private Internet Access" et j'ai eu tenté d'acquérir une IP dédiée. Comme j'ai fait une bêtise je n'ai pas pu en profiter (j'ai perdu le "jeton" et le support n'a pas répondu ! :-( ). Mais j'ai pu activer un port qui m'est dédié avec la commande "piactl set requestportfoward true". L'ip de ceserveur et le port changent évidemment dynamiquement. A partir de là je sèche complètement : je n'arrive pas à utiliser le NAT de ma box pour par exemple pointer un serveur web qui ferait parti de mon LAN... Devrais-je passer par un service DNS ? Quels conseils me donneriez-vous ? Merci -- Pierre ESTREM
VPN et demande de redirection de port
Bonsoir, J'éi souscrit au VPN "Private Internet Access" et j'ai eu tenté d'acquérir une IP dédiée. Comme j'ai fait une bêtise je n'ai pas pu en profiter (j'ai perdu le "jeton" et le support n'a pas répondu ! :-( ). Mais j'ai pu activer un port qui m'est dédié avec la commande "piactl set requestportfoward true". L'ip de ceserveur et le port changent évidemment dynamiquement. A partir de là je sèche complètement : je n'arrive pas à utiliser le NAT de ma box pour par exemple pointer un serveur web qui ferait parti de mon LAN... Devrais-je passer par un service DNS ? Quels conseils me donneriez-vous ? Merci -- Pierre ESTREM
Re: VPN en mode console
Bonjour, J'ai une expérience avec "Private Internet Access". Fonctionne bien en mode CLI avec le client 'piactl' et le tar fourni une fois installé démarre le démon au login de la session. Pas cher mais dans mon cas (presque aveugle) ,sans IP dédiée (51€ pour 1 an) on rencontre beaucoup de captcha... impossible à passer. Support de la hotline mauvais ; pas de réponse (à des questions en anglais). De fait je suis coincé et je passerai sous NordVPN. Plus cher mais la commande 'nordvpn' paraît plus complète et le support m'a répondu à une question en français. Bonne chasse. ;) -- pierre estrem Le 28/05/2022 à 08:42, deb...@padoly.besaba.com a écrit : Bonjour à tous, Comme vous le savez, je vais passer de la version 8.11 de Debian à la version 11 cet été en faisant probablement une installation complète. Dès l'installation du système, je souhaite installer un VPN dont je souhaite qu'il ait les caractéristiques suivantes : - pas d'interface graphique ; - choix du serveur par l'intermédiaire d'un fichier texte en indiquant une adresse IP principale et éventuellement une adresse IP secondaire ; - démarrage du VPN au démarrage du système. - arrêt du VPN par l'intermédiaire d'une instruction du type ''stop vpn'' vous avez compris que je souhaite un VPN ''transparent'' Merci pour vos conseils. Alex
Re: VPN en mode console
Le Sat, 28 May 2022 11:15:06 +0200 hamster écrivait: > > J'ai pas une grande experience des VPN mais je pense que openvpn répond > a tes besoins. > > Mais je pense qu'il faut commencer par voir a quels serveurs tu veux te > connecter, et qu'est-ce qui est compatible avec ces serveurs. > bonjour, Oui, openvpn est parfait, mais il faut quand même payer un fournisseur (expressvpn, nordvpn ou d'autres) ... On perd un peu de vitesse de connexion, mais on perd moins qu'avec un fournisseur gratuit. Enfin, si quelqu'un connaît un fournisseur vpn gratuit, sans trop de perte de vitesse, qu'il ou elle le fasse connaître ! Pour l'instant, les quelques que j'ai essayés me laissent pour le moins sceptique Bonne journée et bon week-end Erwin
Re: VPN en mode console
Le 28/05/2022 à 08:42, deb...@padoly.besaba.com a écrit : Bonjour à tous, Comme vous le savez, je vais passer de la version 8.11 de Debian à la version 11 cet été en faisant probablement une installation complète. Dès l'installation du système, je souhaite installer un VPN dont je souhaite qu'il ait les caractéristiques suivantes : - pas d'interface graphique ; - choix du serveur par l'intermédiaire d'un fichier texte en indiquant une adresse IP principale et éventuellement une adresse IP secondaire ; - démarrage du VPN au démarrage du système. - arrêt du VPN par l'intermédiaire d'une instruction du type ''stop vpn'' vous avez compris que je souhaite un VPN ''transparent'' J'ai pas une grande experience des VPN mais je pense que openvpn répond a tes besoins. Mais je pense qu'il faut commencer par voir a quels serveurs tu veux te connecter, et qu'est-ce qui est compatible avec ces serveurs.
Re: VPN en mode console
Le Sat, 28 May 2022 09:42:12 +0300 deb...@padoly.besaba.com écrivait: > Bonjour à tous, > > Comme vous le savez, je vais passer de la version 8.11 de Debian à la > version 11 cet été en faisant probablement une installation complète. > > Dès l'installation du système, je souhaite installer un VPN dont je > souhaite qu'il ait les caractéristiques suivantes : > > - pas d'interface graphique ; > > - choix du serveur par l'intermédiaire d'un fichier texte en indiquant > une adresse IP principale et éventuellement une adresse IP secondaire ; > > - démarrage du VPN au démarrage du système. > > - arrêt du VPN par l'intermédiaire d'une instruction du type ''stop > vpn'' > > vous avez compris que je souhaite un VPN ''transparent'' > > Merci pour vos conseils. > > Alex Bonjour, j'utilise Nordvpn sur un raspberry (raspbian) sans interface graphique via un petit script ce n'est pas le choix d'une adresse IP mais le choix d'un pays puis d'un serveur à l'intérieur d'icelui. pour lancer : sudo nordvpn udp|tcp affiche : - - connexion nordvpn - - al ar at au ba be bg br ca ca-us ch ch-nl ch-onion ch-se cl cr cy cz de dk ee es fi fr fr-uk ge gr hk hk-tw hr hu id ie il in is it jp kr lu lv md mk mx my nl nl-ch nl-onion nl-se nl-uk no nz pl pt ro rs se se-ch se-nl sg si sk th tr tw tw-hk ua uk uk-fr uk-nl us us-ca vn za quel pays ? --> puis : quel pays ? --> be be148 be149 be150 be151 be152 be153 be154 be155 be156 be157 be158 be159 be160 be161 be162 be163 be164 be165 be166 be167 be168 be169 be170 be171 be172 be173 be174 be175 be176 be177 be178 be179 be180 be181 be182 be183 be184 be185 be186 be187 be188 be189 be190 be191 be192 be193 be194 be195 be196 be197 be198 be199 be200 be201 be202 be203 quel serveur ? --> et c'est parti. Si cela vous intéresse, je peux poster le script ici. Erwin
VPN en mode console
Bonjour à tous, Comme vous le savez, je vais passer de la version 8.11 de Debian à la version 11 cet été en faisant probablement une installation complète. Dès l'installation du système, je souhaite installer un VPN dont je souhaite qu'il ait les caractéristiques suivantes : - pas d'interface graphique ; - choix du serveur par l'intermédiaire d'un fichier texte en indiquant une adresse IP principale et éventuellement une adresse IP secondaire ; - démarrage du VPN au démarrage du système. - arrêt du VPN par l'intermédiaire d'une instruction du type ''stop vpn'' vous avez compris que je souhaite un VPN ''transparent'' Merci pour vos conseils. Alex
Re: VPN sin ethernet ni ip pública...
El vie, 8 abr 2022 a las 5:46, luis () escribió: > ... > > > > Más fácil: > > > > - Monta una conexión WIFI Compartida en el móvil. > > - Conecta el equipo a esa WIFI que has creado y compartido en el móvil. > > - Instala la VPN en el equipo. > > > > Eso debería funcionar, ya que estás saliendo Internet desde el equipo > > con la IP Pública del teléfono. > > > Es cierto, no me lo habia imaginado así, y el mío comparte la wifi, pues > no todos lo hacen, sobre todo los móviles mas viejitos :) > > -- > Saludos, > Luis > depende de la forma en que se comparte, cuando compartes desde el movil vía cable o bluetooth, el móvil se convierte en una interfaz de red, así que los equipos conectados comparten la misma IP del dispositivo. Cuando compartes vía Wifi, el dispositivo se convierte en un access point con servicios de DHCP, DNS y router integrados. Con esto se forma una LAN en la que cada equipo recibe una IP de esa LAN. En este último caso puedes instalar un cliente VPN en cualquiera de los equipos conectados y enrutar los demás equipos para que lo utilicen como gateway. De esta manera el tráfico de la LAN es enviado a este equipo, el cual establece el tunel con el servidor VPN usando al móvil como gateway. Dado que no puedes apagar el DHCP del móvil, el enrutamiento deberá hacerse de forma manual en los equipos conectados, aunque si tienes un router y un equipo de sora, eso también se puede solucionar. Aviéntate este manual para entender un poco más sobre como funcionan los gateway: https://albertomolina.wordpress.com/2009/01/09/nat-con-iptables/
Re: VPN sin ethernet ni ip pública...
... Más fácil: - Monta una conexión WIFI Compartida en el móvil. - Conecta el equipo a esa WIFI que has creado y compartido en el móvil. - Instala la VPN en el equipo. Eso debería funcionar, ya que estás saliendo Internet desde el equipo con la IP Pública del teléfono. Es cierto, no me lo habia imaginado así, y el mío comparte la wifi, pues no todos lo hacen, sobre todo los móviles mas viejitos :) -- Saludos, Luis
Re: VPN sin ethernet ni ip pública...
El 8 de abril de 2022 8:37:37 CEST, "Camaleón" escribió: >El 2022-04-07 a las 17:18 -0400, luis escribió: > >> Es posible tener una vpn en debian 11 sin tener una conexión ethernet(cable) >> ni ip pública? > >Sí. > >> Aquí en Cuba, muchos tenemos internet compartiendo los datos del móvil. De >> este modo no tienes ip pública. >> >> He visto un par de video tutoriales para configurar openVPN pero se refieren >> a una conexión ethernet y a una ip pública. >> >> Es posible configurarse una vpn mediante la conexión a un ap de un móvil? > >Sí. > >> En el móvil si podemos tener vpn y de este modo podemos conectarnos a donde >> querramos pero cuando te conectas desde una laptop al ap del móvil, entonces >> no te funciona la vpn del móvil cuando navegas desde la laptop. >> >> Solución??? > >Es una limitación de Android, que no permite enrutar paquetes entre >dispositivos cuando compartes los datos de la VPN a través del punto de >acceso. > >Instala alguna app para evitar esa restricción. En Google encuentras >varias opciones y alternativas, por ejemplo: > >VPN Hotspot lets you share your VPN connection over a hotspot >https://www.xda-developers.com/vpn-hotspot-share-vpn-connection/ > >https://www.google.com/search?q=vpn+cell+phone+share+ap > >Saludos, > Más fácil: - Monta una conexión WIFI Compartida en el móvil. - Conecta el equipo a esa WIFI que has creado y compartido en el móvil. - Instala la VPN en el equipo. Eso debería funcionar, ya que estás saliendo Internet desde el equipo con la IP Pública del teléfono. Saludos, Ramsés
Re: VPN sin ethernet ni ip pública...
El 2022-04-07 a las 17:18 -0400, luis escribió: > Es posible tener una vpn en debian 11 sin tener una conexión ethernet(cable) > ni ip pública? Sí. > Aquí en Cuba, muchos tenemos internet compartiendo los datos del móvil. De > este modo no tienes ip pública. > > He visto un par de video tutoriales para configurar openVPN pero se refieren > a una conexión ethernet y a una ip pública. > > Es posible configurarse una vpn mediante la conexión a un ap de un móvil? Sí. > En el móvil si podemos tener vpn y de este modo podemos conectarnos a donde > querramos pero cuando te conectas desde una laptop al ap del móvil, entonces > no te funciona la vpn del móvil cuando navegas desde la laptop. > > Solución??? Es una limitación de Android, que no permite enrutar paquetes entre dispositivos cuando compartes los datos de la VPN a través del punto de acceso. Instala alguna app para evitar esa restricción. En Google encuentras varias opciones y alternativas, por ejemplo: VPN Hotspot lets you share your VPN connection over a hotspot https://www.xda-developers.com/vpn-hotspot-share-vpn-connection/ https://www.google.com/search?q=vpn+cell+phone+share+ap Saludos, -- Camaleón
VPN sin ethernet ni ip pública...
Hola, Es posible tener una vpn en debian 11 sin tener una conexión ethernet(cable) ni ip pública? Aquí en Cuba, muchos tenemos internet compartiendo los datos del móvil. De este modo no tienes ip pública. He visto un par de video tutoriales para configurar openVPN pero se refieren a una conexión ethernet y a una ip pública. Es posible configurarse una vpn mediante la conexión a un ap de un móvil? En el móvil si podemos tener vpn y de este modo podemos conectarnos a donde querramos pero cuando te conectas desde una laptop al ap del móvil, entonces no te funciona la vpn del móvil cuando navegas desde la laptop. Solución??? -- Saludos, Luis
Re : Re: Exposer mon site web sur le net par l’ip publique d’un VPN comme ProtonVPN ou autre.
Le mardi 18 janvier 2022 à 18:18, NoSpam a écrit : > ProtonVPN n'accepte pas les connexions entrantes, ce qui me parait logique > pour un VPN. Ma réponse précédente reste valable, il te faudra toutefois > faire de la redirection des requêtes sur le port 443 de l'IP du VPS vers > celle de ton serveur WEB à domicile au travers du tunnel ssh. Bonsoir, Merci à ceux qui mont répondu ! Je vais tester ces différentes solutions : - mysocket me parait bien durant le développement - Dyndns avoir un nom de domaine c'est mieux pour la suite - @NoSpam ce qui me motive à l'auto-hébergement c'est indépendance en premier, mais aussi que je n'ai pas envie de faire du php/mysql. Il me semble que l'avantage d'un VPS, serait de pouvoir installer PostgreSQL, ruby ou python et utiliser rails ou django pour le développement. J'ai trouvé un VPS pas cher avec Debian dans le choix des OS...
Re: Exposer mon site web sur le net par l’ip publique d’un VPN comme ProtonVPN ou autre.
On Tue, Jan 18, 2022 at 05:13:35PM +, benoit wrote a message of 56 lines which said: > Vu que mon FAI ne me donne pas une IP fixe, que dois-je faire pour > utiliser l’IP fixe du serveur VPN (dans ce cas ci ProtonVPN) pour > exposer mon site web sur internet? Une solution possible est d'utiliser un des services auxquels on se connecte depuis l'intérieur, avant de recevoir les connexions extérieures. Un exemple est mysocket. Mon expérience : https://www.bortzmeyer.org/mysocket.html
Re: Exposer mon site web sur le net par l’ip publique d’un VPN comme ProtonVPN ou autre.
- Mail original - > De: "benoit" > À: "liste.debian" > Envoyé: Mardi 18 Janvier 2022 18:13:35 > Objet: Exposer mon site web sur le net par l’ip publique d’un VPN > comme ProtonVPN ou autre. > Bonjour à toutes et tous, > Je voudrais créer mon site web sur un serveur web > auto-hébergé(apache) à domicile sous Debian bullseye, sur la même > machine j’ai installé un client VPN ( openvpn@client.service ) qui > se connecte à ProtonVPN, le tout derrière la box de mon FAI. > Pour la navigation sur internet des ordinateurs de bureau connectés > derrière cette machine, tout va bien, je passe par le VPN avec l’IP > du serveur VPN, moyennant une règle NAT. > Vu que mon FAI ne me donne pas une IP fixe, que dois-je faire pour > utiliser l’IP fixe du serveur VPN (dans ce cas ci ProtonVPN) pour > exposer mon site web sur internet? > Merci d’avance > -- > Benoit > Sent with ProtonMail Secure Email. Bonjour Benoit, Pour ton service en auto-hébergement il te faut un système à base de DynDNS ou équivalent ... Voici par exemple une solution : https://www.ionos.co.uk/digitalguide/server/tools/free-dynamic-dns-providers-an-overview/ récapitulatif des services assurant un DNS pour des IP dynamiques : https://www.comparitech.com/net-admin/dynamic-dns-providers/ documentation : https://fr.wikipedia.org/wiki/Dyn_(entreprise) Merci pour ton aimable attention Bien à toi Bernard
Re: Exposer mon site web sur le net par l’ip publique d’un VPN comme ProtonVPN ou autre.
ProtonVPN n'accepte pas les connexions entrantes, ce qui me parait logique pour un VPN. Ma réponse précédente reste valable, il te faudra toutefois faire de la redirection des requêtes sur le port 443 de l'IP du VPS vers celle de ton serveur WEB à domicile au travers du tunnel ssh. Le 18/01/2022 à 18:13, benoit a écrit : Bonjour à toutes et tous, Je voudrais créer mon site web sur un serveur web auto-hébergé(apache) à domicile sous Debian bullseye, sur la même machine j’ai installé un client VPN (openvpn@client.service <mailto:openvpn@client.service>) qui se connecte à ProtonVPN, le tout derrière la box de mon FAI. Pour la navigation sur internet des ordinateurs de bureau connectés derrière cette machine, tout va bien, je passe par le VPN avec l’IP du serveur VPN, moyennant une règle NAT. Vu que mon FAI ne me donne pas une IP fixe, que dois-je faire pour utiliser l’IP fixe du serveur VPN (dans ce cas ci ProtonVPN) pour exposer mon site web sur internet? Merci d’avance -- Benoit Sent with ProtonMail <https://protonmail.com/> Secure Email.
Exposer mon site web sur le net par l’ip publique d’un VPN comme ProtonVPN ou autre.
Bonjour à toutes et tous, Je voudrais créer mon site web sur un serveur web auto-hébergé(apache) à domicile sous Debian bullseye, sur la même machine j’ai installé un client VPN (openvpn@client.service) qui se connecte à ProtonVPN, le tout derrière la box de mon FAI. Pour la navigation sur internet des ordinateurs de bureau connectés derrière cette machine, tout va bien, je passe par le VPN avec l’IP du serveur VPN, moyennant une règle NAT. Vu que mon FAI ne me donne pas une IP fixe, que dois-je faire pour utiliser l’IP fixe du serveur VPN (dans ce cas ci ProtonVPN) pour exposer mon site web sur internet? Merci d’avance -- Benoit Sent with [ProtonMail](https://protonmail.com/) Secure Email.
Re: Accéder à mon serveur web domestique par l’ip publique d’un VPN comme ProtonVPN ou autre.
Bonjour, Merci pour ta réponse, je me rend compte que j'ai mal formulé ma question. Je vais créer un autre sujet. Sent with [ProtonMail](https://protonmail.com/) Secure Email. ‐‐‐ Original Message ‐‐‐ Le mardi 18 janvier 2022 à 17:32, NoSpam a écrit : > Bonjour, > > afin d'être indépendant du prestataire, je connecterai le serveur domestique > via le VPN proton à un VPS (coute plus grand chose de nos jours). > J'attaquerqi ensuite ce VPS pour accéder au serveur domestique. Le tout en > ssh. > > Le 18/01/2022 à 17:24, benoit a écrit : > >> Bonjour à toutes et tous, >> >> J’ai un serveur web domestique sous Debian bullseye, sur la même machine >> j’ai installé un client VPN (openvpn@client.service) qui se connecte à >> ProtonVPN, le tout derrière la box de mon FAI. >> >> Pour la navigation sur internet des ordinateurs de bureau connectés derrière >> cette machine, tout va bien, je passe par le VPN avec l’IP du serveur VPN, >> moyennant une règle NAT. >> >> Que dois-je faire pour utiliser l’IP du serveur VPN pour accéder à mon >> serveur web domestique ? >> >> Merci d’avance >> >> – >> Benoît >> >> Sent with [ProtonMail](https://protonmail.com/) Secure Email.
Re: Accéder à mon serveur web domestique par l’ip publique d’un VPN comme ProtonVPN ou autre.
Bonjour, afin d'être indépendant du prestataire, je connecterai le serveur domestique via le VPN proton à un VPS (coute plus grand chose de nos jours). J'attaquerqi ensuite ce VPS pour accéder au serveur domestique. Le tout en ssh. Le 18/01/2022 à 17:24, benoit a écrit : Bonjour à toutes et tous, J’ai un serveur web domestique sous Debian bullseye, sur la même machine j’ai installé un client VPN (openvpn@client.service <mailto:openvpn@client.service>) qui se connecte à ProtonVPN, le tout derrière la box de mon FAI. Pour la navigation sur internet des ordinateurs de bureau connectés derrière cette machine, tout va bien, je passe par le VPN avec l’IP du serveur VPN, moyennant une règle NAT. Que dois-je faire pour utiliser l’IP du serveur VPN pour accéder à mon serveur web domestique ? Merci d’avance – Benoît Sent with ProtonMail <https://protonmail.com/> Secure Email.
Accéder à mon serveur web domestique par l’ip publique d’un VPN comme ProtonVPN ou autre.
Bonjour à toutes et tous, J’ai un serveur web domestique sous Debian bullseye, sur la même machine j’ai installé un client VPN (openvpn@client.service) qui se connecte à ProtonVPN, le tout derrière la box de mon FAI. Pour la navigation sur internet des ordinateurs de bureau connectés derrière cette machine, tout va bien, je passe par le VPN avec l’IP du serveur VPN, moyennant une règle NAT. Que dois-je faire pour utiliser l’IP du serveur VPN pour accéder à mon serveur web domestique ? Merci d’avance – Benoît Sent with [ProtonMail](https://protonmail.com/) Secure Email.
VPN españa para ver TV
Queridos amigos. Quiero hacer VPN desde Argentina para conectarme a unos canales de TV españoles que no puedo ver por restricciones geográficas. Antes de hacer pruebas e investigaciones quise consultar por acá para ver si podía ahorrar tiempo. Disculpen la vagancia. Saludos
[OT] Sobre el BLOQUEO DE SITIOS y el uso de las VPN.
El 2021-05-01 a las 21:37 -0400, luis escribió: > Deseo consultar algo con los expertos. > > Es posible bloquear páginas en los servidores del proveedor de internet y > que no se puedan acceder a ciertos sitios aún usando VPN? (...) Sin connivencia entre el proveedor ISP y el servicio de VPN (marcado de paquetes), no. Ahora bien, ten por seguro que, llegado el caso, el ISP bloqueará debidamente el acceso a la VPN y problema (parcialmente) resuelto. Existe el precedente de China, que ya lo están haciendo así. Saludos, -- Camaleón
Sobre el BLOQUEO DE SITIOS y el uso de las VPN.
Hola, Deseo consultar algo con los expertos. Es posible bloquear páginas en los servidores del proveedor de internet y que no se puedan acceder a ciertos sitios aún usando VPN? Hasta donde he podido ver, que si lo hace la propia empresa dueña del sitio, con el uso de VPN se puede acceder, aunque tal vez con una configuración bien rigurosa se logre el bloqueo. Ahora mi duda es, que si lo hace el proveedor de internet, y con una configuracion fuerte, se pueda lograr bloquear. En nuestro(Cuba) país se bloquean ciertas páginas y con el uso de VPN se logra verlas, pero no se siempre es posible verlas. Ahora mismo está sucediendo un fenómeno. Se está procesando al líder nacional de Trust Inventisng por sus ganancias en criptomonedas. Está detenido porque se considera que son ganancias ilícitas, y me temo que el gobierno esté trabajando para impedir que los cubanos accedamos a esta y otras empresas, como QubitTech, ahora renombrada a QubitLife. Por favor, necesitamos una respuesta precisa pues más de 800 000 cubanos tienen cuentas en Trust Investing y peligran sus inversiones y ganancias. -- Saludos, Luis
Re: LXC / Netplan / Bridge-vpn
Noves pistes en aquesta consulta: https://discuss.linuxcontainers.org/t/how-to-use-a-gateway-not-in-same-network-of-the-container-ip-address/10706 Narcis Garcia __ I'm using this dedicated address because personal addresses aren't masked enough at this mail public archive. Public archive administrator should fix this against automated addresses collectors. El 3/4/21 a les 17:44, Narcis Garcia ha escrit: > Estic en una entitat on també s'aborda aquesta qüestió, però purament > amb Debian a tots costats (centre amb IPs públiques, servidor local, > contenidors) i només amb programari suportat (stable/main). > Després de moltes sessions de recerca i desenvolupament, s'està > elaborant un assistent per als enllaços VPN (gesvipen), un altre per a > les rutes NAT/DNAT (durruter) i un altre per a la configuració de > contenidors LXC 2 i LXC 3 (ctctl). > > Hem provat LXC 4 amb Debian bullseye/testing i els contenidors no > arrenquen. No sembla funcionar. Encara no hem provat LXC 4 amb Ubuntu. > > > Narcis Garcia > > __ > I'm using this dedicated address because personal addresses aren't > masked enough at this mail public archive. Public archive administrator > should fix this against automated addresses collectors. > El 2/2/21 a les 20:37, Daniel ha escrit: >> Hola a tothom >> >> tinc la següent infraestructura, >> >> * Ubuntu 20.04 amb contenidors lxc 4 >> * Servidor a un datacenter amb 2 IPs Públiques (en el futur N) >> * X bridges interns, comunicant amb altres datacenter via openvpn (amb >> els rangs 10.20.xx) >> * Tinc que redireccionar una de les IPs públiques cap a un contenidor >> intern, però em perdo pel camí. Abans tenia una estructura similar >> amb ubuntu 14, pero amb el canvi del network/interfaces a netplan em >> falta informació. >> Ho he intentat configurant al host la IP i amb el shorewall >> redireccionant els ports cap als contenidors i ara configurant la >> segona IP directament al contenidor, però tinc algun error que no >> detecto i no m'arriben els paquets. >> >> La configuració que tinc ara al contenidor es aquesta: >> >> # IP interna cap la resta de servidors. >> lxc.net.0.type = veth >> lxc.net.0.flags = up >> lxc.net.0.link = vmbr0 >> lxc.net.0.name = eth0 >> lxc.net.0.veth.pair = veth-contenidor >> #lxc.net.0.ipv4.gateway = 10.20.30.8 >> lxc.net.0.ipv4.address = 10.20.30.196/24 >> >> # IP Publica >> lxc.net.1.type = veth >> lxc.net.1.flags = up >> lxc.net.1.link = lxcbr0 >> lxc.net.1.name = eth1 >> lxc.net.1.veth.pair = veth-s07 >> lxc.net.1.ipv4.gateway = GWdeldatacenter >> lxc.net.1.ipv4.address = IPpublica/32 >> >> Ara ja no se en quin punt m'he perdut, alguna pista? >> >> Daniel >> >
Re: LXC / Netplan / Bridge-vpn
Estic en una entitat on també s'aborda aquesta qüestió, però purament amb Debian a tots costats (centre amb IPs públiques, servidor local, contenidors) i només amb programari suportat (stable/main). Després de moltes sessions de recerca i desenvolupament, s'està elaborant un assistent per als enllaços VPN (gesvipen), un altre per a les rutes NAT/DNAT (durruter) i un altre per a la configuració de contenidors LXC 2 i LXC 3 (ctctl). Hem provat LXC 4 amb Debian bullseye/testing i els contenidors no arrenquen. No sembla funcionar. Encara no hem provat LXC 4 amb Ubuntu. Narcis Garcia __ I'm using this dedicated address because personal addresses aren't masked enough at this mail public archive. Public archive administrator should fix this against automated addresses collectors. El 2/2/21 a les 20:37, Daniel ha escrit: > Hola a tothom > > tinc la següent infraestructura, > > * Ubuntu 20.04 amb contenidors lxc 4 > * Servidor a un datacenter amb 2 IPs Públiques (en el futur N) > * X bridges interns, comunicant amb altres datacenter via openvpn (amb > els rangs 10.20.xx) > * Tinc que redireccionar una de les IPs públiques cap a un contenidor > intern, però em perdo pel camí. Abans tenia una estructura similar > amb ubuntu 14, pero amb el canvi del network/interfaces a netplan em > falta informació. > Ho he intentat configurant al host la IP i amb el shorewall > redireccionant els ports cap als contenidors i ara configurant la > segona IP directament al contenidor, però tinc algun error que no > detecto i no m'arriben els paquets. > > La configuració que tinc ara al contenidor es aquesta: > > # IP interna cap la resta de servidors. > lxc.net.0.type = veth > lxc.net.0.flags = up > lxc.net.0.link = vmbr0 > lxc.net.0.name = eth0 > lxc.net.0.veth.pair = veth-contenidor > #lxc.net.0.ipv4.gateway = 10.20.30.8 > lxc.net.0.ipv4.address = 10.20.30.196/24 > > # IP Publica > lxc.net.1.type = veth > lxc.net.1.flags = up > lxc.net.1.link = lxcbr0 > lxc.net.1.name = eth1 > lxc.net.1.veth.pair = veth-s07 > lxc.net.1.ipv4.gateway = GWdeldatacenter > lxc.net.1.ipv4.address = IPpublica/32 > > Ara ja no se en quin punt m'he perdut, alguna pista? > > Daniel >
Re: Mozilla VPN on Debian?
D Dimov writes: > And since you mentioned that you wouldn't sign up for it, do you have another > VPN > provider/service that you would recommend that works in Debian Buster > (stable) with just free > software? I've used AirVPN before (https://airvpn.org/), they have a web page for generating a configuration file for openvpn.
Re: Mozilla VPN on Debian?
On Saturday, February 27, 2021, 5:43:25 AM EST, Anssi Saari wrote: Brian writes: > On Fri 26 Feb 2021 at 18:04:28 +, D Dimov wrote: > >> Hello, >> Mozilla VPN is supposed to work on Ubuntu, but I wonder if it will >> work on Debian as well, considering that Ubintu is build on Debian. >> Has anyone tried? (The Mozilla support was not helpful in answering my >> question). > > Nothing to do with Debian. How about signing up for the service and > giving us a review of it? I don't think I will sign up for it but with a quick look, Wireguard should be possible to configure even in NetworkManager. Although not with NetworkManager 1.14 in Debian Buster. But there are wireguard packages for Buster. However, if whatever parameters wireguard happens to need can be pried from Mozilla then there should be no need to bother with their client? Which is at least open source and available from https://github.com/mozilla-mobile/mozilla-vpn-client And in fact, Mullvad, which is the actual VPN provider for Mozilla, makes a Wireguard config available on their web page. At least if you have an account with them. No idea if that works if you bought from Mozilla and not Mullvad. --- REPLY:Anssi,(Sorry yahoo won't format the reply inline with ">)My Debian stable does have network-manager 1.14. And I don't know that I'd be able to pry the the parameters needed.Also, you are right about Mullvad, and I see that if I get the service from Mullvad, instead of from Mozilla (for a slightly higher price), they do provide an installation file for Debian:wget --content-disposition https://mullvad.net/download/app/deb/latest sudo apt-get -y install gdebi-core && sudo gdebi MullvadVPN-.X_amd64.deband it seems to be GPL licensed: https://github.com/mullvad/mullvadvpn-app/blob/master/LICENSE.md I think this is the easiest way to for me to go. And since you mentioned that you wouldn't sign up for it, do you have another VPN provider/service that you would recommend that works in Debian Buster (stable) with just free software?Thanks!Luben
Re: Mozilla VPN on Debian?
Brian writes: > On Fri 26 Feb 2021 at 18:04:28 +, D Dimov wrote: > >> Hello, >> Mozilla VPN is supposed to work on Ubuntu, but I wonder if it will >> work on Debian as well, considering that Ubintu is build on Debian. >> Has anyone tried? (The Mozilla support was not helpful in answering my >> question). > > Nothing to do with Debian. How about signing up for the service and > giving us a review of it? I don't think I will sign up for it but with a quick look, Wireguard should be possible to configure even in NetworkManager. Although not with NetworkManager 1.14 in Debian Buster. But there are wireguard packages for Buster. However, if whatever parameters wireguard happens to need can be pried from Mozilla then there should be no need to bother with their client? Which is at least open source and available from https://github.com/mozilla-mobile/mozilla-vpn-client And in fact, Mullvad, which is the actual VPN provider for Mozilla, makes a Wireguard config available on their web page. At least if you have an account with them. No idea if that works if you bought from Mozilla and not Mullvad.
Re: Mozilla VPN on Debian?
On 26/02/2021 21:27, Dan Ritter wrote: > D Dimov wrote: >> >> On Friday, February 26, 2021, 3:16:03 PM EST, Dan Ritter >> wrote: >> D Dimov wrote: >>> Hello, >>> Mozilla VPN is supposed to work on Ubuntu, but I wonder if it will work on >>> Debian as well, considering that Ubintu is build on Debian. Has anyone >>> tried? (The Mozilla support was not helpful in answering my question). >> What protocol is the Mozilla VPN? Most common ones are supported >> in Debian. >> >> Dan, they use WireGuard. >> >> These are the installation instructions they provide: >> Install commands: >> sudo add-apt-repository ppa:mozillacorp/mozillavpn >> sudo apt-get update >> sudo apt-get install mozillavpn >> >> Run command: >> mozillavpn >> If I try to install it, is there a chance it will screw up my system? If >> not, I can try it. If it doesn't work, should >> apt-get remove mozillavpndo be able to uninstall/remove it? > Maybe. add-apt-repository won't work, that's for sure. You could > look it up and add it in /etc/apt/sources.d/ and then run Why not? ❯ dpkg -S add-apt-repository software-properties-common: /usr/bin/add-apt-repository software-properties-common: /usr/share/man/man1/add-apt-repository.1.gz ❯ apt policy software-properties-common software-properties-common: Installed: 0.96.20.2-2.1 Candidate: 0.96.20.2-2.1 Version table: *** 0.96.20.2-2.1 990 990 http://deb.debian.org/debian testing/main amd64 Packages 990 http://deb.debian.org/debian testing/main i386 Packages 500 http://deb.debian.org/debian unstable/main amd64 Packages 500 http://deb.debian.org/debian unstable/main i386 Packages 100 /var/lib/dpkg/status 0.96.20.2-2 500 500 http://deb.debian.org/debian stable/main amd64 Packages 500 http://deb.debian.org/debian stable/main i386 Packages So add-apt-repository is in debian. The man page even mentions that it handles "ppa:/" repositories, so I don't see what's so "for sure" about it not working. > > apt update > apt show mozillavpn > > and look at what it Depends on. If it's self-contained, it will > probably work. If it drags in new versions of libraries, you > could potentially trash your system. The term is FrankenDebian, > to suggest Frankenstein's monster bolted together from spare > parts. > > But wireguard is directly supported by Debian; it's in > buster-backports. One option would be to get an Ubuntu system > long enough to acquire the wireguard key -- perhaps in a VM -- > and then use the key in a normal /etc/wireguard/wg0.conf setup. > > -dsr- > OpenPGP_signature Description: OpenPGP digital signature
Re: Mozilla VPN on Debian?
D Dimov wrote: > > On Friday, February 26, 2021, 3:16:03 PM EST, Dan Ritter > wrote: > D Dimov wrote: > > Hello, > > Mozilla VPN is supposed to work on Ubuntu, but I wonder if it will work on > > Debian as well, considering that Ubintu is build on Debian. Has anyone > > tried? (The Mozilla support was not helpful in answering my question). > > What protocol is the Mozilla VPN? Most common ones are supported > in Debian. > > Dan, they use WireGuard. > > These are the installation instructions they provide: > Install commands: > sudo add-apt-repository ppa:mozillacorp/mozillavpn > sudo apt-get update > sudo apt-get install mozillavpn > > Run command: > mozillavpn > If I try to install it, is there a chance it will screw up my system? If not, > I can try it. If it doesn't work, should > apt-get remove mozillavpndo be able to uninstall/remove it? Maybe. add-apt-repository won't work, that's for sure. You could look it up and add it in /etc/apt/sources.d/ and then run apt update apt show mozillavpn and look at what it Depends on. If it's self-contained, it will probably work. If it drags in new versions of libraries, you could potentially trash your system. The term is FrankenDebian, to suggest Frankenstein's monster bolted together from spare parts. But wireguard is directly supported by Debian; it's in buster-backports. One option would be to get an Ubuntu system long enough to acquire the wireguard key -- perhaps in a VM -- and then use the key in a normal /etc/wireguard/wg0.conf setup. -dsr-
Re: Mozilla VPN on Debian?
D Dimov wrote: > Hello, > Mozilla VPN is supposed to work on Ubuntu, but I wonder if it will work on > Debian as well, considering that Ubintu is build on Debian. Has anyone tried? > (The Mozilla support was not helpful in answering my question). What protocol is the Mozilla VPN? Most common ones are supported in Debian. -dsr-
Re: Mozilla VPN on Debian?
On Fri 26 Feb 2021 at 18:04:28 +, D Dimov wrote: > Hello, > Mozilla VPN is supposed to work on Ubuntu, but I wonder if it will > work on Debian as well, considering that Ubintu is build on Debian. > Has anyone tried? (The Mozilla support was not helpful in answering my > question). Nothing to do with Debian. How about signing up for the service and giving us a review of it? -- Brian.
Re: fer un dibuix (era Re: LXC / Netplan / Bridge-vpn)
Champagne ! Content d'haver pogut ajudar ! -- R. Sicart Rams Le 11 février 2021 15:44:41 GMT+01:00, Daniel a écrit : >Merci Roger, > >m'has fet caure en el problema!!! > >Realment al servidor col, només n'hi ha un contenidor que surti per >IPc, >la resta surten per les IPs oficials de fwhaus. >Però el nou servidor està a un altre proveïdor i la connexió es molt >lenta, així que per això volia recuperar la idea per tots els nous >contenidors. > >I efectivament, el problema era de rutes, jo volia que tot el tràfic >sortís pel gateway standard a fwhaus, excepte el port 80, que es quedes > >al firewall del node, però no funciona. Així que he fet que tot el >tràfic del contenidor es quedi local i solucionat! > >M'agradaria millorar el tema amb múltiples gateways, però supera el meu > >nivell de xarxes i així ja fa el servei. > >Mil gràcies! > >Daniel > >El 9/2/21 a les 18:46, roger.sic...@gmail.com ha escrit: >> Bones, >> >> Osti tu qui embolic xD >> >> Si ho he entès bé, vols que els contenidors de COL surtin a Internet >a >> través de l'IP publica del servidor, és a dir IPC. I el mateix per >als >> contenidors del servidor ALL, a través de l'IP IPA. >> >> Suposo que ja has verificat les rutes per fer que els paquets que han > >> d'anar cap a Internet surtin pel bon dispositiu de xarxa ? >> >> Si fas DNAT per al trafic entrant que s'ha de dirigir cap als >> contenidors, pot ser que et falti alguna regla SNAT per al trafic que > >> surt dels contenidors cap a Internet. >> >> Docker fa manipulacions d'aquests tipus a la configuració iptables, >> potser pots trobar algo a la documentació que parli d'aquest tema. >> >> Sort! >> -- >> >> R. Sicart >> >> Le 9 février 2021 12:04:08 GMT+01:00, Daniel >> a écrit : >> >> Al final he utilitzat dia per fer l'esquema ràpid que estic més >acostumat. >> >> A Fwhaus estan les IPs públiques i el servidor Openvpn de cada >bridge. >> >> Cada servidor té una IP pública per accedir via ssh, però els >> contenidors interns fan servir fwhaus com gateway. >> >> N'hi ha una excepció que a Col, a la IP IPC tinc dirigit el port >80 a un >> contenidor concret, i en principi funciona sense problemes. >> >> Fins aquí, cap problema i porta anys funcionant. >> >> Ara hem donat d'alta a un datacenter, el servidor ALL, i els >contenidors >> segueixen enrutant cap a fwhaus sense problemes, excepte que va >> espectacularment lent (n'hi ha uns milers de km entre ells). >> >> Llavors volia fer que els sistemes que estan a Col, surtin >directament, >> sense passar per fwhaus. He provat posar un contenidor que faci >de fw o >> directament amb el tallafocs del node, redirigir els ports que >necessito >> (igual que ho tinc a l'altre servidor sense problemes) >> >> En els dos casos, el problema que em trobo que no aconsegueixo >que >> arribin els paquets als contenidors. Veig amb el tcpdump que si >que >> arriben a la IP pública IPA, però, amb la mateixa configuració >que tinc >> a l'altre servidor, no arriba res. >> >> Potser es alguna configuració diferent del nou datacenter? >> >> >> ?!¿?¿! >> >> Perdoneu el rotllo, suposo que m'estic saltant alguna cosa >evident, però >> ara mateix no se per on cercar l'error, >> >> Daniel >> >> >> >> >> El 6/2/21 a les 1:06, Alex Muntada ha escrit: >> >> Hola Daniel >> >> La idea de fer un dibuix es bona, així potser entendre jo >> el muntatge que tinc! >> >> Una forma molt fàcil de fer-ho és amb mermaid-js[1]. Hi ha un >> editor en línia[2] per si ho vols provar i, a més a més, es >> poden incrustar documents mermaid dins dels blocs de codi del >> markdown del gitlab i similars: ```mermaid sequenceDiagram >> Client ->>+ Servidor : ping Servidor ->>+ Client : pong ``` >> Salut, Alex [1] >> https://mermaid-js.github.io/mermaid/#/flowchart [2] >> https://mermaid-js.github.io/mermaid-live-editor/ -- ⢀⣴⠾⠻⢶⣦⠀ >> ⣾⠁⢠⠒⠀⣿⡁ Alex Muntada ⢿⡄⠘⠷⠚⠋ Debian >> Developer log.alexm.org ⠈⠳⣄ >>
Re: fer un dibuix (era Re: LXC / Netplan / Bridge-vpn)
Merci Roger, m'has fet caure en el problema!!! Realment al servidor col, només n'hi ha un contenidor que surti per IPc, la resta surten per les IPs oficials de fwhaus. Però el nou servidor està a un altre proveïdor i la connexió es molt lenta, així que per això volia recuperar la idea per tots els nous contenidors. I efectivament, el problema era de rutes, jo volia que tot el tràfic sortís pel gateway standard a fwhaus, excepte el port 80, que es quedes al firewall del node, però no funciona. Així que he fet que tot el tràfic del contenidor es quedi local i solucionat! M'agradaria millorar el tema amb múltiples gateways, però supera el meu nivell de xarxes i així ja fa el servei. Mil gràcies! Daniel El 9/2/21 a les 18:46, roger.sic...@gmail.com ha escrit: Bones, Osti tu qui embolic xD Si ho he entès bé, vols que els contenidors de COL surtin a Internet a través de l'IP publica del servidor, és a dir IPC. I el mateix per als contenidors del servidor ALL, a través de l'IP IPA. Suposo que ja has verificat les rutes per fer que els paquets que han d'anar cap a Internet surtin pel bon dispositiu de xarxa ? Si fas DNAT per al trafic entrant que s'ha de dirigir cap als contenidors, pot ser que et falti alguna regla SNAT per al trafic que surt dels contenidors cap a Internet. Docker fa manipulacions d'aquests tipus a la configuració iptables, potser pots trobar algo a la documentació que parli d'aquest tema. Sort! -- R. Sicart Le 9 février 2021 12:04:08 GMT+01:00, Daniel a écrit : Al final he utilitzat dia per fer l'esquema ràpid que estic més acostumat. A Fwhaus estan les IPs públiques i el servidor Openvpn de cada bridge. Cada servidor té una IP pública per accedir via ssh, però els contenidors interns fan servir fwhaus com gateway. N'hi ha una excepció que a Col, a la IP IPC tinc dirigit el port 80 a un contenidor concret, i en principi funciona sense problemes. Fins aquí, cap problema i porta anys funcionant. Ara hem donat d'alta a un datacenter, el servidor ALL, i els contenidors segueixen enrutant cap a fwhaus sense problemes, excepte que va espectacularment lent (n'hi ha uns milers de km entre ells). Llavors volia fer que els sistemes que estan a Col, surtin directament, sense passar per fwhaus. He provat posar un contenidor que faci de fw o directament amb el tallafocs del node, redirigir els ports que necessito (igual que ho tinc a l'altre servidor sense problemes) En els dos casos, el problema que em trobo que no aconsegueixo que arribin els paquets als contenidors. Veig amb el tcpdump que si que arriben a la IP pública IPA, però, amb la mateixa configuració que tinc a l'altre servidor, no arriba res. Potser es alguna configuració diferent del nou datacenter? ?!¿?¿! Perdoneu el rotllo, suposo que m'estic saltant alguna cosa evident, però ara mateix no se per on cercar l'error, Daniel El 6/2/21 a les 1:06, Alex Muntada ha escrit: Hola Daniel La idea de fer un dibuix es bona, així potser entendre jo el muntatge que tinc! Una forma molt fàcil de fer-ho és amb mermaid-js[1]. Hi ha un editor en línia[2] per si ho vols provar i, a més a més, es poden incrustar documents mermaid dins dels blocs de codi del markdown del gitlab i similars: ```mermaid sequenceDiagram Client ->>+ Servidor : ping Servidor ->>+ Client : pong ``` Salut, Alex [1] https://mermaid-js.github.io/mermaid/#/flowchart [2] https://mermaid-js.github.io/mermaid-live-editor/ -- ⢀⣴⠾⠻⢶⣦⠀ ⣾⠁⢠⠒⠀⣿⡁ Alex Muntada ⢿⡄⠘⠷⠚⠋ Debian Developer log.alexm.org ⠈⠳⣄
Re: fer un dibuix (era Re: LXC / Netplan / Bridge-vpn)
Bones, Osti tu qui embolic xD Si ho he entès bé, vols que els contenidors de COL surtin a Internet a través de l'IP publica del servidor, és a dir IPC. I el mateix per als contenidors del servidor ALL, a través de l'IP IPA. Suposo que ja has verificat les rutes per fer que els paquets que han d'anar cap a Internet surtin pel bon dispositiu de xarxa ? Si fas DNAT per al trafic entrant que s'ha de dirigir cap als contenidors, pot ser que et falti alguna regla SNAT per al trafic que surt dels contenidors cap a Internet. Docker fa manipulacions d'aquests tipus a la configuració iptables, potser pots trobar algo a la documentació que parli d'aquest tema. Sort! -- R. Sicart Le 9 février 2021 12:04:08 GMT+01:00, Daniel a écrit : >Al final he utilitzat dia per fer l'esquema ràpid que estic més >acostumat. > >A Fwhaus estan les IPs públiques i el servidor Openvpn de cada bridge. > >Cada servidor té una IP pública per accedir via ssh, però els >contenidors interns fan servir fwhaus com gateway. > >N'hi ha una excepció que a Col, a la IP IPC tinc dirigit el port 80 a >un >contenidor concret, i en principi funciona sense problemes. > >Fins aquí, cap problema i porta anys funcionant. > >Ara hem donat d'alta a un datacenter, el servidor ALL, i els >contenidors >segueixen enrutant cap a fwhaus sense problemes, excepte que va >espectacularment lent (n'hi ha uns milers de km entre ells). > >Llavors volia fer que els sistemes que estan a Col, surtin directament, > >sense passar per fwhaus. He provat posar un contenidor que faci de fw o > >directament amb el tallafocs del node, redirigir els ports que >necessito >(igual que ho tinc a l'altre servidor sense problemes) > >En els dos casos, el problema que em trobo que no aconsegueixo que >arribin els paquets als contenidors. Veig amb el tcpdump que si que >arriben a la IP pública IPA, però, amb la mateixa configuració que tinc > >a l'altre servidor, no arriba res. > >Potser es alguna configuració diferent del nou datacenter? > > >?!¿?¿! > >Perdoneu el rotllo, suposo que m'estic saltant alguna cosa evident, >però >ara mateix no se per on cercar l'error, > >Daniel > > > > >El 6/2/21 a les 1:06, Alex Muntada ha escrit: >> Hola Daniel >> >>> La idea de fer un dibuix es bona, així potser entendre jo el >>> muntatge que tinc! >> Una forma molt fàcil de fer-ho és amb mermaid-js[1]. Hi ha un >> editor en línia[2] per si ho vols provar i, a més a més, es poden >> incrustar documents mermaid dins dels blocs de codi del markdown >> del gitlab i similars: >> >> ```mermaid >> sequenceDiagram >> Client ->>+ Servidor : ping >> Servidor ->>+ Client : pong >> ``` >> >> Salut, >> Alex >> >> [1] https://mermaid-js.github.io/mermaid/#/flowchart >> [2] https://mermaid-js.github.io/mermaid-live-editor/ >> >> -- >>⢀⣴⠾⠻⢶⣦⠀ >>⣾⠁⢠⠒⠀⣿⡁ Alex Muntada >>⢿⡄⠘⠷⠚⠋ Debian Developer log.alexm.org >>⠈⠳⣄ >>
Re: fer un dibuix (era Re: LXC / Netplan / Bridge-vpn)
Al final he utilitzat dia per fer l'esquema ràpid que estic més acostumat. A Fwhaus estan les IPs públiques i el servidor Openvpn de cada bridge. Cada servidor té una IP pública per accedir via ssh, però els contenidors interns fan servir fwhaus com gateway. N'hi ha una excepció que a Col, a la IP IPC tinc dirigit el port 80 a un contenidor concret, i en principi funciona sense problemes. Fins aquí, cap problema i porta anys funcionant. Ara hem donat d'alta a un datacenter, el servidor ALL, i els contenidors segueixen enrutant cap a fwhaus sense problemes, excepte que va espectacularment lent (n'hi ha uns milers de km entre ells). Llavors volia fer que els sistemes que estan a Col, surtin directament, sense passar per fwhaus. He provat posar un contenidor que faci de fw o directament amb el tallafocs del node, redirigir els ports que necessito (igual que ho tinc a l'altre servidor sense problemes) En els dos casos, el problema que em trobo que no aconsegueixo que arribin els paquets als contenidors. Veig amb el tcpdump que si que arriben a la IP pública IPA, però, amb la mateixa configuració que tinc a l'altre servidor, no arriba res. Potser es alguna configuració diferent del nou datacenter? ?!¿?¿! Perdoneu el rotllo, suposo que m'estic saltant alguna cosa evident, però ara mateix no se per on cercar l'error, Daniel El 6/2/21 a les 1:06, Alex Muntada ha escrit: Hola Daniel La idea de fer un dibuix es bona, així potser entendre jo el muntatge que tinc! Una forma molt fàcil de fer-ho és amb mermaid-js[1]. Hi ha un editor en línia[2] per si ho vols provar i, a més a més, es poden incrustar documents mermaid dins dels blocs de codi del markdown del gitlab i similars: ```mermaid sequenceDiagram Client ->>+ Servidor : ping Servidor ->>+ Client : pong ``` Salut, Alex [1] https://mermaid-js.github.io/mermaid/#/flowchart [2] https://mermaid-js.github.io/mermaid-live-editor/ -- ⢀⣴⠾⠻⢶⣦⠀ ⣾⠁⢠⠒⠀⣿⡁ Alex Muntada ⢿⡄⠘⠷⠚⠋ Debian Developer log.alexm.org ⠈⠳⣄
Re: fer un dibuix (era Re: LXC / Netplan / Bridge-vpn)
Hola Daniel > La idea de fer un dibuix es bona, així potser entendre jo el > muntatge que tinc! Una forma molt fàcil de fer-ho és amb mermaid-js[1]. Hi ha un editor en línia[2] per si ho vols provar i, a més a més, es poden incrustar documents mermaid dins dels blocs de codi del markdown del gitlab i similars: ```mermaid sequenceDiagram Client ->>+ Servidor : ping Servidor ->>+ Client : pong ``` Salut, Alex [1] https://mermaid-js.github.io/mermaid/#/flowchart [2] https://mermaid-js.github.io/mermaid-live-editor/ -- ⢀⣴⠾⠻⢶⣦⠀ ⣾⠁⢠⠒⠀⣿⡁ Alex Muntada ⢿⡄⠘⠷⠚⠋ Debian Developer log.alexm.org ⠈⠳⣄ signature.asc Description: PGP signature
Re: LXC / Netplan / Bridge-vpn
Merci per les respostes. Encara no tinc la solució, però he canviat el punt de mira. Afegint el paquet ifupdown, he pogut tornar a configurar les adreces amb el mètode clàssic que l'entenc millor i he creat el dispositiu enp35s0:0 per diferenciar-ho de la IP "bàsica". He tornat a config la IP al node físic per intentar redireccionar amb el shorewall els ports que m'interessen. Una cosa estranya que m'he trobat, tinc el debug activat, i el primer cop que ho vaig fer, cada vegada que m'intentava connectar a la IP, almenys em sortien logs avisant-me. Ara no, però amb el tcpdump que em recomana l'Alex si que veig que els paquets arriben a la màquina, però no al contenidor. La entrada del shorewall es aquesta: (DNAT:debug WAN DMZ:10.20.30.196 tcp 80,443 - IP_PUBLICA) Des de el node si que puc fer telnet al port 80 del contenidor i la resta de regles en principi estan bé. En altre servidor està funcionant una solució equivalent, així que no acabo de veure l'error. Imagino que deu estar relacionats amb els bridges, però tinc que continuar investigant. Per cert que vol dir l'estat UNKNOWN a un dispositiu tap? A vegades algun estan UP i altres UNKNOWN, però no sembla que afecti a la connectivitat amb altres serveis. Tinc entreteniment per una estona, veig, Daniel PD: La idea de fer un dibuix es bona, així potser entendre jo el muntatge que tinc! El 4/2/21 a les 15:49, Alex Muntada ha escrit: Hola Daniel Abans tenia una estructura similar amb ubuntu 14, pero amb el canvi del network/interfaces a netplan em falta informació. No tinc gens d'experiència amb netplan (no ve per defecte amb Debian) així que no et puc ajudar amb el seu ús. Per altra banda, si ho tinc ben entès, hauries de poder seguir configurant la xarxa amb el fitxer d'interfaces encara que tinguis netplan instal·lat. Suposo que eliminar-lo potser trenca dependències prou importants que podrien dificultar les actualitzacions, però intueixo que es deu poder desactivar. Ho he intentat configurant al host la IP i amb el shorewall redireccionant els ports cap als contenidors i ara configurant la segona IP directament al contenidor, però tinc algun error que no detecto i no m'arriben els paquets. Per fer seguiment dels problemes de xarxa és molt útil capturar paquets amb tcpdump i després analitzar les traces obtingudes amb wireshark o tshark. Salut i bona sort, Alex -- ⢀⣴⠾⠻⢶⣦⠀ ⣾⠁⢠⠒⠀⣿⡁ Alex Muntada ⢿⡄⠘⠷⠚⠋ Debian Developer log.alexm.org ⠈⠳⣄