Configuring Linux
System administration
Network technologies
Lifehacks for geeks
Comments 17
0
Большинство ip адресов подверглись жестокой обфускации

Адреса из пулов для частных сетей и тестирования читались бы легче и не описывали бы что либо конфиденциальное. Ну, или указывать какой IP к какой сети принадлежит (wan/lan/vpn).

Пример...
  • 192.0.2.0/24 — для описания WAN
  • 198.18.0.0/15 — для описания WAN (предназначена для тестирования оборудования)
  • 192.168.0.0/24 — для описания LAN
  • 172.16.0.0/12 — для описания LAN
  • 10.0.0.0/8 — для описания LAN

0

Есть такая штука, как network-manager-vpnc — плагин цискиного vpn для NetworkManager, который работает через vpnc. Умеет импортировать нативные цискины конфиги, дальнейшие настройки — через NetworkManager, в том числе можно и через GUI.

0

Он и для openconnect есть, но у меня не завёлся. Почему я не понял, а теперь я считаю, что у велосипеда, который я собрал есть определённые достоинства. ))

0

Их нет. Поставьте totp (консольный гуглаутентификатор) и настройте нормально networkmanager. Ну и пароль добавьте в ключницу вашего DE, после чего добавьте в автозагрузку скрипт через пользовательский юнит файл системд в домашней директории при логине, с автореконнектом. Ключинца по умолчанию разблокируется когда ваша сессия активна.

0
Их нет.

В статье их нет. А дальше вы собственно сами их перечислили )).


и настройте нормально networkmanager

Что вы имеете в виду под нормальной настройкой? Пока что я обернул скрипт модулем systemd, который запускается после поднятия сети.


Ну и пароль добавьте в ключницу вашего DE

Спасибо за совет! Значительную часть ваших рекомендаций я уже использую, но ключница у меня там не участвует. Вы предлагаете положить в ключницу пароль от впн, то есть его фиксированную часть? И можно будет использовать его как переменную в скрипте?

0
Что вы имеете в виду под нормальной настройкой?

Открыть логи journalctl и посмотреть там причины сбоев в работе openconnect из networkmanager. Настроить использования сети впн только для ресурсов за впн (галочка в гуях нетворкменеджера).


И можно будет использовать его как переменную в скрипте?

Да.

0

Но если я буду использовать графический интерфейс то у меня же не получится дёргать скрипт с помощью systemd.


Вы хотите сказать, что графический интерфейс нужно использовать для того, чтобы диагностировать проблему, а дальше сделать всё скриптами, только запускать openconnect надо с помощью NetworkManager, а не напрямую, как я делаю сейчас?

0
Если вы воспользуетесь NetworkManager и настроите всё через gui, то потом сможете поднимать соединение из консоли без проблем. Хоть через nmtui (текстовый интерфейс), хоть через nmcli (командный интерфейс).
+2
Что тут произошло, мне не понятно. Но эксперимент показывает, что если добавить в /etc/resolv.conf строку


А вас не смущает, то что в файле явно сказано, что менять его не стоит…

Правьте хотя бы тут: /etc/systemd/resolved.conf
после изменений: systemctl restart systemd-resolved.service

0
А вас не смущает, то что в файле явно сказано, что менять его не стоит…

Очень смущает. Именно поэтому я и не стал его менять )). За рекомендацию спасибо, меня интересовало, что делать, если мне всё-таки захочется поправить этот файл, но я как-то всё откладывал выяснения на потом.

+1
Какое-то переизобретение велосипеда. Предположу, что у пользователей с Windows и MacOS нет такой проблемы с роутами. Это значит, что они отдаются сервером в виде HTTP Header-ов, это можно посмотреть, если подключиться с опцией --verbose.
Ещё у openconnect есть штатный механизм для обработки этих header-ов, называется vpnc-script, если запустить openconnect c --script /usr/share/vpnc-scripts/vpnc-script (значение по умолчанию) не передавая никаких параметров, то он и resolv.conf поправит (или dnsmasq) и роуты нужные добавит на основании данных от VPN. Но, вероятно, в вашей версии Ubuntu что-то идёт не так, у меня на 16.04 и 18.04 всё ок.
Пример заголовков:
X-CSTP-DNS: nameserver1
X-CSTP-Split-Exclude: 0.0.0.0/255.255.255.255
X-CSTP-Split-Include: 172.14.24.0/255.255.255.0
0
Какое-то переизобретение велосипеда.

Типа того. Я утешаю себя тем, что это многому меня научило.


Предположу, что у пользователей с Windows и MacOS нет такой проблемы с роутами.

Да, у них нет проблем.


Это значит, что они отдаются сервером в виде HTTP Header-ов

Попробовал, да, всё так. Большое спасибо, уверен в будущем это поможет мне не нащупывать маршруты вслепую ))


Но, вероятно, в вашей версии Ubuntu что-то идёт не так, у меня на 16.04 и 18.04 всё ок.

Я пробовал с нескольких разных машин, до сих пор проблема воспроизводилась везде.

0

Увы но на маке и Винде работа с впн намного хуже, как только я распробовал нетворкменеджер Линукс стал единственным инструментом который автоматически поднимает мне туннели любого вида куда нужно, при этом не обрывая интернет и не гоняет лишний трафик по туннелям если админы впн косорукие.

0

Наши админы например решили пушить dafault gw через vpn. Так как мне такая радость нафиг не нужна, пришлось кинуть скрипт в /etc/vpnc/post-connect.d/ чтобы оно его назад вернуло и прописало только нужные через тунель.


dns у меня свой локальный настроен — просто настроил форвард для рабочей зоны.

0
Я честно скажу — не запускал цисковского клиента на линуксах, но ЕМНИП он есть оригинальный… или не взлетел?
0

Оригинальный какой-то капризный, и anyconnect и старый cisco vpnclient

0

У меня не взлетел оригинальный, а потом не взлетел gui интерфейс для openconnect. Я погуглил, проблема с оригинальным клиентом возникает у многих, проблема с gui возникает реже, но так как получилось настроить консольные скрипты, я не стал разбираться отчего возникла проблема с gui.

Only those users with full accounts are able to leave comments.  , please.