Автор: vvv
Debian l2tp клиент до микротика
Задача: создать автоматическое l2tp соединение хостинга(debian — клиент) с серверной(mikrotik — сервер).
Решение:
Mikrotik configuration:
L2TP server:
/interface l2tp-server server set enabled=yes ipsec-secret=...any.ipsec.secret... use-ipsec=yes service=l2tp
L2TP secret:
/ppp secret
add name=...l2tp.user... password=...l2tp.pass... + local & remote addressIPsec Profile (in debian configuration IKE)
ip ipsec profile print
Flags: * - default
0 * name="default" hash-algorithm=sha1 enc-algorithm=aes-128,3des dh-group=modp2048,modp1024 lifetime=1d proposal-check=obey nat-traversal=yes dpd-interval=2m dpd-maximum-failures=5 IPsec Proposal (in debian configuration ESP)
ip ipsec proposal print
Flags: X - disabled, * - default
0 * name="default" auth-algorithms=sha1 enc-algorithms=3des lifetime=30m pfs-group=modp1024
Debian install & configuration:
apt install xl2tpd strongswan libstrongswan-extra-plugins
/etc/ipsec.conf
Редактируем файл /etc/ipsec.conf, отступы в начале строк параметров, обязательны.
conn %defaultikelifetime=60mkeylife=20mrekeymargin=3mkeyingtries=1keyexchange=ikev1authby=secretconn myvpnkeyexchange=ikev1left=%defaultrouteauto=start dpdaction=hold closeaction=holdauthby=secrettype=transportleftprotoport=17/1701rightprotoport=17/1701right=...ipsec.server.ip...ike=aes-sha1-modp1024!esp=3des-sha1-modp1024!
/etc/ipsec.secrets
Создадим 2 файла с правами 600, пустая строка в конце файла обязательна:
: PSK "...any.ipsec.secret..."/etc/xl2tpd/xl2tpd.conf
[myl2tp]
lns = ...ipsec.server.ip...
ppp debug = yes
pppoptfile = /etc/ppp/options.l2tpd.client
length bit = yes/etc/ppp/options.l2tpd.client
ipcp-accept-local
ipcp-accept-remote
refuse-eap
require-chap
noccp
noauth
mtu 1280
mru 1280
noipdefault
#defaultroute
usepeerdns
connect-delay 5000
name ...l2tp.user...
password ...l2tp.pass...Start:
service strongswan-starter restart
service xl2tpd restart
ipsec up myvpn
...connection 'myvpn' established successfully
echo "c myl2tp" > /var/run/xl2tpd/l2tp-control
ip address
ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1450 qdisc pfifo_fast state UNKNOWN group default qlen 3
link/ppp
inet 172.16.0.250 peer 172.16.0.100/32 scope global ppp0
valid_lft forever preferred_lft forever
ip route add A.B.C.D dev ppp0
Скрипт автоматизации:
Возможные ошибки:
- «Failed to start LSB: layer 2 tunelling protocol daemon.» Решение, запуск с монитором: xl2tpd -D
(синтаксическая ошибка была) - debian: «received NO_PROPOSAL_CHOSEN error notify», mikrotik: «failed to pre-process ph2 packet»
Решение: На микротике поправить IP-IPsec
[spoiler title=’Решение: На микротике поправить IP-IPsec’ style=’green’ collapse_link=’true’]Пример: Сервер: /ip ipsec peer print address=YY.YYY.YY.YY/32 local-address=ХХ.ХХХ.ХХ.ХХ auth-method=pre-shared-key secret=»ПАРОЛЬ» generate-policy=port-strict policy-template-group=default exchange-mode=main send-initial-contact=yes nat-traversal=no proposal-check=obey hash-algorithm=sha1 enc-algorithm=aes-128 dh-group=modp2048,modp1024 lifetime=1d dpd-interval=disable-dpd Клиентский роутер: MikroTik] > ip ipsec peer print Flags: X — disabled, D — dynamic, R — responder 0 name=»DC» address=ХХ.ХХХ.ХХ.ХХ/32 local-address=YY.YYY.YY.YY profile=default exchange-mode=main send-initial-contact=yes /ip ipsec policy add dst-address=ХХ.ХХХ.ХХ.ХХ/32 ipsec-protocols=ah peer=DC proposal=PROPOSAL-IPSEC-MAIN \ protocol=gre sa-dst-address=ХХ.ХХХ.ХХ.ХХ sa-src-address=YY.YYY.YY.YY src-address=\ YY.YYY.YY.YY/32 tunnel=yes Т.е. на клиенте в протоколах я поставил ah вместо esp, а на сервере отключил dpd и позволил формировать policy автоматически. В результате, туннель поднялся, а на центральном роутере появилась диинамическая policy от клиента.[/spoiler]
Источник: https://gist.github.com/danielv99/ae6dbd6d3f5b8fe4241519f5a0733ff3
https://forummikrotik.ru/viewtopic.php?t=11235
https://wiki.slackware.su/wiki:articles:l2tp
L2TP VPN client on Linux Debian
ipsec.conf(5) – Linux man page
Микротик скрипты закладка
Ссылка на раздел «Скрипты» официального форума
https://forum.mikrotik.com/viewforum.ph … b2a9bebef2Collection of Sertik`s scriptsРешил объединить на одной странице свои работы, опубликованные на форуме, в том числе выполненные в соавторстве либо с использованием готового кода других авторов. Это с одной стороны попытка подвести временный итог своей деятельности (не реклама
) , с другой — удобный справочник для поиска скриптов и приемов скриптописания. Надеюсь список будет пополняться.
https://forum.mikrotik.com/viewforum.ph … b2a9bebef2Collection of Sertik`s scriptsРешил объединить на одной странице свои работы, опубликованные на форуме, в том числе выполненные в соавторстве либо с использованием готового кода других авторов. Это с одной стороны попытка подвести временный итог своей деятельности (не реклама
) , с другой — удобный справочник для поиска скриптов и приемов скриптописания. Надеюсь список будет пополняться.
Готовые скрипты и функции Читать далее «Микротик скрипты закладка»
Уведомление о наличии отсутвии хоста в сети на микротике netwatch telegram
Добавить в Tools > Netwatch скрипты отправки:
UP:
/tool fetch url="https://api.telegram.org/bot5416297136:AAHAx3p-yFsDr4nG8h5YNBI6nRyPeXXXXX/sendMessage?chat_id=-100158142342&text=\F0\9F\9F\A2 <b>Server</b> is UP&parse_mode=html" keep-result=no
DOWN:
/tool fetch url="https://api.telegram.org/bot5416297136:AAHAx3p-yFsDr4nG8h5YNBI6nRyPeXXXXX/sendMessage?chat_id=-100158148142342&text=\F0\9F\94\B4 <b>Server</b> is DOWN&parse_mode=html" keep-result=no
Результат:
Обзор и тестирование Mikrotik RB2011LS-IN с оптическим SFP портом для определения его максимальной пропускной способности.
Приобрел маршрутизатор с SFP портом, попытаюсь подключить его к Ростелекому, для домашнего Интернета. Понравилось отсутствие лишних проводов, для знакомства с этой технологией, нашел простую и доходчивую статью от (31.07.2012 23:25). Дальше ей слово. Читать далее «Обзор и тестирование Mikrotik RB2011LS-IN с оптическим SFP портом для определения его максимальной пропускной способности.»
Debian 12 установить Касперский Ендпойнт c Агентом
wget https://products.s.kaspersky-labs.com/endpoints/keslinux10/12.1.0.1508/multilanguage-12.1.0.1508/3931313439317c44454c7c31/kesl_12.1.0-1508_amd64.deb apt-get install ./kesl_12.1.0-1508_amd64.deb wget https://products.s.kaspersky-labs.com/administrationkit/ksc10/15.1.0.20748/russian-20551983-ru/3931313330317c44454c7c31/klnagent64_15.1.0-20748_amd64.deb apt-get install ./klnagent64_15.1.0-20748_amd64.deb
windows7 openvpn 2.5.10 client два подключения
Вводные:
— OpenVPN 2.5.10 похоже последняя подходящая версия, что работает с Win7. Версия 2.6.12 — уже не встали сетевые драйвера.
— на данной машине создать два подключения. Один сетевой адаптер(tun0) во время установки поставится. Для другого подключения к опенвпн, — нужно добавить второй(tun1) самостоятельно.
— сервер OpenVPN(debian). Описание настройки в предыдущей записи.
Решение:
2.5.10, добавление дополнительго сетевого адаптера: «c:\Program Files\OpenVPN\bin\tapctl.exe» create
Для старых версий 2.3, скрипт такой C:\Program Files\TAP-Windows\bin\addtap.bat или тут c:\Program Files\TAP-Windows\bin\
Рабочий пример конфигурация клиента OpenVPN 2.5.10:
client dev tun1 proto udp remote vpn.mysite.ru 1194 resolv-retry infinite nobind persist-tun ca ca.crt cert client1.crt key client1.key remote-cert-tls server data-ciphers AES-256-GCM:AES-128-GCM:?CHACHA20-POLY1305:AES-256-CBC tls-auth ta.key 1 verb 3 mute 20
Литература:
https://openvpn.net/community-resources/how-to/
- С первой попытки помогли примеры: Пример Клиента.
(до этого источника долго мучался с кучей нерабочих(старых) примеров, поэтому еще раз напоминаю, самый быстрый путь — начать с родной инструкции производителя)
2. https://serveradmin.ru/kak-sdelat-odnovremenno-neskolko-openvpn-podklyucheniy/
Debian 12 установка настройка сервера OpenVPN 2.6.3
Установка ОпенВПН со скриптами администрирования ключей(изи-РСА):
apt install openvpn easy-rsa
cd /etc/openvpn/easy-rsa
Инициализация структуры путей к скрипту:
./easyrsa init-pki
Здесь можно настроить под себя конфигурацию(переменные) самой службы.
Далее создание ключей и сертификатов:
./easyrsa build-ca nopass
./easyrsa gen-req vpn-server nopass
./easyrsa sign-req server vpn-server
openvpn --genkey secret pki/ta.key
Пример рабочей конфигурация сервера OpenVPN 2.6:
port 1194 proto udp dev tun ca /etc/openvpn/easy-rsa/pki/ca.crt cert /etc/openvpn/easy-rsa/pki/issued/vpn-server.crt key /etc/openvpn/easy-rsa/pki/private/vpn-server.key dh /etc/openvpn/easy-rsa/pki/dh.pem data-ciphers AES-256-GCM:AES-128-GCM:?CHACHA20-POLY1305:AES-256-CBC topology subnet server 10.77.0.0 255.255.0.0 ifconfig-pool-persist /etc/openvpn/server/ipp.txt client-config-dir /etc/openvpn/server/ccd # Указать шлюз клиентам #push "redirect-gateway def1 bypass-dhcp" #push "redirect-gateway ipv6 bypass-dhcp" #push "route-gateway 192.168.10.1" # Указывать ДСИ #push "dhcp-option DNS 8.8.8.8" #push "dhcp-option DNS 1.1.1.1" keepalive 10 120 persist-tun status /var/log/openvpn/openvpn-status.log log-append /var/log/openvpn/openvpn.log verb 3 explicit-exit-notify 1 tls-auth /etc/openvpn/easy-rsa/pki/ta.key 0
Создать файлы, прописать права доступа. Эти файлы для возможной записи статических адресов(ccd) и журнала авторегистраций(ipp) клиентов:
mkdir /etc/openvpn/server/ccd chmod 755 /etc/openvpn/server/ccd touch /etc/openvpn/server/ipp.txt chmod 755 /etc/openvpn/server/ipp.txt
Разрешаем автоматический старт сервиса OpenVPN:
systemctl enable openvpn-server@server
Запускаем сервер openvpn-server:
systemctl start openvpn-server@server
Перезагрузить службу openvpn:
systemctl restart openvpn-server@server
Основные команды администратора сервера OpenVPN для управления клиентами:
(перейти в папку со скриптом: cd /etc/openvpn/easy-rsa)
1. Создать сертификат клиенту:
./easyrsa.real build-client-full client1 nopass
Срок действия сертификата можно менять в переменной в файле vars
2. Отозвать сертификат клиента:
./easyrsa.real revoke client1
3. Сгенерировать список отзыва:
./easyrsa.real gen-crl
Выдача статических адресов клиенту вручную осуществляется через файл=название сертификата, помещенному в папку /etc/openvpn/server/ccd. Например, файл client1, содержимое файла:
ifconfig-push 10.77.77.100 255.255.255.0
Литература:
Самое главное: пример конфига сервера: https://github.com/OpenVPN/openvpn/blob/master/sample/sample-config-files/server.conf
- Почему отключена сжатие, шифрование GCM и нет SHA512: https://forums.openvpn.net/viewtopic.php?t=33671
- https://redos.red-soft.ru/base/redos-7_3/7_3-network/7_3-sett-vpn/7_3-openvpn/?nocache=1732823939909 (заброшка)
- https://wiki.debian.org/OpenVPN#Installation (заброшка)
Андроид список полезных программ для телефона
Список опробованных на CRdroid 9.12 Android 13
- Запись звонков(с root доступом) — BCR-1.49-release(модуль для Magisk). домашняя страница: https://github.com/chenxiaolong/BCR
SJRC F5s Pro+ восстановление аккумулятора
Банки вздулись из-за хранения в перезаряженном состоянии. Нужно было хранить на уровне заряда 70%. Задача перепаковать (заменить) вздувшиеся банки.
Разборка литий-ионного аккумулятора от SJRC F5S PROplus:
Внутри находится сборка «DS803060» с габаритами 69х37х18мм, запас ~1-2мм. Данная сборка состоит из двух соединенных параллельно элементов c надписью «DS 903475-2S 7.4V 2000mAh 14.80Wh 231102″:
Возможные варианты замены банок — аккумуляторы впритык 18700, или длинне 903872G-N на 3580mAh
или в тютельку: LiitoKala Lii-30A 18650
Цена
Размеры