ОколоITшный дыбр #38
... Господин nixxl опубликовал весьма занятное наблюдение. Возможна ситуация, когда у тебя достаточно свежий DNS-сервер / ресолвер (например, BIND 9.18), а у каких-нибудь мурзилок слишком тухлый до такой степени, что ещё не знает про существование EDNS. В таком случае у тебя на сети не будут ресолвиться доменные имена этих мурзилок от слова "совсем" из- ( Read more... )
Comments 15
Reply
Reply
https://t.me/zatelecom/25339
Я могу разве что подтвердить, что он (этот отрывок) настоящий.
Reply
Reply
Хе-хе... так и представил себе - БР "продавил" интересы своих подопечных, летом VPN`ы банков остались стоять как хрен у пубертатного подростка по весне ... а вокруг всего этого благолепия вой а-ля "сэр Генри Михалков в центре девонширской хляби": у всех, кто не банки, накрылись их тоннели между бранчами, POS`ами, удалёнщиками и т.д., и т.п.
Вот уж воистину - "бомбить Воронеж"... :((
С уважением.
p.s. Для меня тема не праздная - есть и филиал (HQ в белокаменной, IPSec "в Россию"), и удалёнщики (L2TP), и Линк (ща как начнут игрища с сертами-MItM`ами... да просто по косорукости TLS завалят)... чую, нахлебаемся, не пронесёт мимо, как прошлым летом (были локальные "туннелепады" милостью роскомпозорников) :((
Reply
Попытка просто переключить OpenVPN на udp привела к отвалу тунеля.
На клиенте вот такое в логе:
UDP link local: (not bound)
UDP link remote: [AF_INET]0.0.0.0:00000
TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
TLS Error: TLS handshake failed
SIGUSR1[soft,tls-error] received, process restarting
На tcp пашет без проблем.
На серваке iptables строка:
iptables -P INPUT DROP
iptables -A INPUT -p udp -m state --state NEW --dport 00000 -j ACCEPT
И даже если на все таблици сделать ACCEPT, ничего не меняется.
Я не понимаю что я делаю не так, памаЖите! :(
Reply
TCP не попадает в udp2raw за ненадобностью. Там идея какая. UDP-трафик блокируется в транзите, а TCP работает зело медленно из-за "окна", подтверждений и всего вот этого. Поэтому давайте возьмём UDP, немного подрихтуем у него заголовки пакетов и сделаем вид что это как будто бы TCP.
Я сам пока ещё не тестировал этого зверя, ручки не дошли. Но могу немного покапитанствовать.
1. Этот udp2raw должен быть установлен и запущен с двух сторон.
2. Я бы смотрел что там в сниффере (tcpdump / wireshark) и повесил бы какое-нибудь логирование пакетов во внутреннем представлении ядра ("-j LOG", "conntrack -l" или ulogd2).
Reply
GPON - в модеме когда-то давно было выставлено перенаправление "TCP only"
Но это вобщем-то ситуацию не сильно исправило:
udp2raw запущен на обеих апаратах и вроде друг-жруга видит, ну точнее как только клиентский запускаешь, они начинают очень активно трепаться друг с другом:
сервак завершает свой инит:
[2023-05-08 02:54:48][INFO]now listening at 0.0.0.0:xxxxx
Как только клиент "появляется" сервак выдаёт следующее:
[2023-05-08 02:55:00][INFO][x.x.x.x:xxxxx]received syn,sent syn ack back
А клиент бодро сыпит сообщениями:
[2023-05-08 00:55:00][INFO](re)sent tcp syn
Что вся эта бурная деятельность означает, лично мне вообще не понятно.
Но OpenVPN ругается идентично:
UDP link local: (not bound)
Короче завтра буду копаться, судя по "(re)sent", у udp2raw что-то пошло не так.
Reply
> GPON - в модеме когда-то давно было выставлено перенаправление "TCP only"
Оно должно было сработать по идее. Собственно, udp2raw как раз для этого и предназначен.
Reply
>... Из дома чё-то не открывается https://play.google.com/ . Опять что ли его сломали? Или и не чинили? Но приложения на андроидофонах вроде обновляются нормально.
Его заблокировали больше года назад, внереестрово, на ТСПУ, вместе с news.google.com
Reply
Leave a comment