возможно

сейчас точно умеет

а че там считать, формат один и тот же. спросили 121 - отдал, спросили 249 - отдал то же самое, спросили и то и другое - отдал что-то одно

Ребят, так в итоге раздать на серваки статик роут до VPN гейтвея это ок или костыли?

я бы завернул всё на свитч и он был роутил

Ребят, так в итоге раздать на серваки статик роут до VPN гейтвея это ок или костыли?

от клиента и впн зависит

нолики туда, внп сюда, ипсек разтуда

win-клиентам можно и по dhcp раздавать через ppp

Клиенты Linux only и врядли будет винда.

VPN - OpenVPN

впн то какой

там есть push routes

оп-па.

~> host google.com 192.168.1.1 Using domain server: Name: 192.168.1.1 Address: 192.168.1.1#53 Aliases: google.com has address 172.217.20.110 google.com has IPv6 address 2a00:1450:400e:80b::200e google.com mail is handled by 50 alt4.aspmx.l.google.com. google.com mail is handled by 30 alt2.aspmx.l.google.com. google.com mail is handled by 20 alt1.aspmx.l.google.com. google.com mail is handled by 40 alt3.aspmx.l.google.com. google.com mail is handled by 10 aspmx.l.google.com.

dnsotls заработал :)

а пуш роутс ему не поможет. сервера то всё равно не знаю что ты пушнул клиентам

там есть push routes

Это же пуш VPN клиентам? Как он поможет

и маршрута к клиентам нет

У меня главная проблема именно в том чтобы серваки отвечать могли.

эм. не так понял, сорян

00:03:19.955907 IP (tos 0x0, ttl 64, id 46785, offset 0, flags [DF], proto TCP (6), length 40) 46.xxx.xx.xx.51824 > 45.32.237.14.853: Flags [R], cksum 0xa456 (correct), seq 990155947, win 0, length 0 E..(..@.@.....%*- ...p.U;.......P....V.. 00:03:19.955978 ethertype IPv4, IP (tos 0x0, ttl 55, id 23646, offset 0, flags [DF], proto TCP (6), length 52) 45.32.237.14.853 > 46.xxx.xx.xx.51824: Flags [F.], cksum 0x3c28 (correct), seq 3838, ack 528, win 470, options [nop,nop,TS val 3377358172 ecr 39147353], length 0 E..4\^@.7.yQ- ....%*.U.pVON.;.......<(..... .Ne\.UWY 00:03:19.955988 IP (tos 0x0, ttl 55, id 23646, offset 0, flags [DF], proto TCP (6), length 52) 45.yyy.yy.yy.853 > 46.xxx.xx.xx.51824: Flags [F.], cksum 0x3c28 (correct), seq 3838, ack 528, win 470, options [nop,nop,TS val 3377358172 ecr 39147353], length 0 E..4\^@.7.yQ- ....%*.U.pVON.;.......<(..... .Ne\.UWY

А то я вчера ipsec'и настривал и чота зарубил где то в районе iptables редирект похоже

У меня главная проблема именно в том чтобы серваки отвечать могли.

нать :)

нать :)

фу

нать :)

Есть потребность видеть реальный VPN IP клиента на серверах

теперь никаких dnscrypt не нужно :)

@kmisak ^^^

ну а чо. если сервер не знает о подсетях клиента, то пусть и не знает

А то я вчера ipsec'и настривал и чота зарубил где то в районе iptables редирект похоже

ну а чо. если сервер не знает о подсетях клиента, то пусть и не знает

им (серверам) нужно знать сетку клиентов

зачем - это отдельный вопрос к ТС ;)

Причем как то не до конца зарубил. Если сервак нужны попинговать то почему то вдруг связь появляется :D

в общем я бы выдавал статик роут

теперь никаких dnscrypt не нужно :)

на чем?

анбаунд?

ога.

зачем - это отдельный вопрос к ТС ;)

я ж говорю, чтоб на серваках видеть с какого IP пришел коннект.

я ж говорю, чтоб на серваках видеть с какого IP пришел коннект.

хорошо хоть не МАС ;)

на сервере как резолвер, на домашнем раутере как stub.

а DoH пробовал?

домашний раутер всё с 53 хоста хватает и пуляет over dls в сторону резолвера на своём сервере.

я ж говорю, чтоб на серваках видеть с какого IP пришел коннект.

заранее это не известно чтоли per client?

а зачем этот doh пробовать?

просто дополнительные уровни абстракции лишние.

как по мне, нативный dns внутри tls прям ok

под хттпс замаскировать

хорошо хоть не МАС ;)

Да это фарш доставшийся в наследие стартапа. Юзеры ходят под хер пойми какими учетками. Надо иметь возможность прямо сейчас хоть как то выяснять кто дрочит базу/веб. Пока все учетки не вычистил.

его блочить легче

Да это фарш доставшийся в наследие стартапа. Юзеры ходят под хер пойми какими учетками. Надо иметь возможность прямо сейчас хоть как то выяснять кто дрочит базу/веб. Пока все учетки не вычистил.

радиус

но это переконфиг клиентов

чего, как я понимаю, ты не хочешь

радиус

Ключевое слово "прямо сейчас". Сетку настроить я могу образно говоря прямо сейчас. А история с LDAP/AAA и тп это не на один месяц и она уже идет.

под хттпс замаскировать

там жеж tls.

Ключевое слово "прямо сейчас". Сетку настроить я могу образно говоря прямо сейчас. А история с LDAP/AAA и тп это не на один месяц и она уже идет.

повторюсь - я бы статик роут раздал

это быстро и это просто

никакой доп нагрузки

повторюсь - я бы статик роут раздал

Ага, ок, понял. Спасибо!

впрочем и я сейчас раздаю.

ебался с MS TMG три дня

в итоге доказал ей, что у меня будет отдельный DHCP для VPN клиентов и он будет херачить 121 им

=)))

:D

чтобы весь клиенсикй траффик через себя не гонять

@kmisak кстати, посмотрел в dnsotls, там нет никакого sni в client hello

нахер они мне упали с торрентами хуёрантами и прочим говном с домашних компов

это гуд

завтра тоже себе подниму

днсмаск придется сносить или рядом анбаунд ставить

ну я снёс в lede dnsmasq

и заменил на odhcpd + unbound

надо dhcp проверить, кстати.

кстати, судя по дампу, там нефига не dtls и просто tcp.

микротик 6.42 отгрузили оказывается

то есть скорость проигрывает в пользу безопасности.

ну да ладно.

зато никаких анальных mitm и товарищей майоров.

зато никаких анальных mitm и товарищей майоров.

мммм

а мне можно?