Привет Хабралюди.
Решил описать настройку сервиса VPN от Hide My Ass (HMA) на роутере с ОС GNU\Linux Slackware 13.0.
Прошу тапками не бросаться, как никак первая публикация. Претензии по поводу пропущенных запятых принимаются с благодарностью.
Итак приступим.
Задача: выборочно направить в туннель трафик пользователей локальной сети офиса для некоторых сайтов.
Имеется машина с Slackware 13.0, раздающая Интернет в небольшом офисе.
В ней две сетевые карты:
Eth0 – «смотрит» в локальную сеть офиса (192.168.1.1/24)
Eth1 — «смотрит» в Интернет и имеет белый ip.
В README к конфигам от HMA указываются следующие требования:
Requirements:
Если надо обновляем OpenVPN. И CURL
У меня имелся:
Сервис HMA VPN при подключении меняет Default Getway, посему нам надо будет внести некоторые изменения в конфиг клиента для подключения с серверам HMA.
Для десктоп-юзеров сервис работает следующим образом:
В консоли переходим в папку с разархивированными конфигами HMA VPN.
Для выбора сервера для подключения надо сделать следующее:
И потом использовать косанду:
Нам такой подход не подходит, потому что надо руками вводить логин\пароль и «Country name», и изменяется default getway, что делает невозможным доступ к роутеру из интернетов.
Добавляем в конфиг для подключения такие опции:
Нам требовались сервера в Европе.
Я получал список ip для подключения таким образом:
В браузер вводил адресс, где COUNTRY это «Country name» из вывода
“hma-start -l”.
Будьте внимательны. Сервера могут меняются со временем. Проверяйте их на сайте HMA.
Для управления start/stop/restart демоном openvpn использовал скрипт из GNU\Linux Debian.
Незабываем добавить в фаервол:
Добавляем в /etc/rc.d/rc.local:
Имеем следующую картину:
Спасибо за внимание.
Надеюсь данный материал Вам будет полезен.
PS Просьба не считать этот материал рекламой. Просто используем этот сервис.
Решил описать настройку сервиса VPN от Hide My Ass (HMA) на роутере с ОС GNU\Linux Slackware 13.0.
Прошу тапками не бросаться, как никак первая публикация. Претензии по поводу пропущенных запятых принимаются с благодарностью.
Итак приступим.
Задача: выборочно направить в туннель трафик пользователей локальной сети офиса для некоторых сайтов.
Имеется машина с Slackware 13.0, раздающая Интернет в небольшом офисе.
В ней две сетевые карты:
Eth0 – «смотрит» в локальную сеть офиса (192.168.1.1/24)
Eth1 — «смотрит» в Интернет и имеет белый ip.
В README к конфигам от HMA указываются следующие требования:
Requirements:
openvpn 2.1+
curl
Root access
Если надо обновляем OpenVPN. И CURL
У меня имелся:
ls -al /var/log/packages/|grep openvpn
-rw-r--r-- 1 root root 7205 2010-02-23 10:51 openvpn-2.1.1-i486-2gds
ls -al /var/log/packages/|grep curl
-rw-r--r-- 1 root root 7269 2010-02-23 10:59 curl-7.19.6-i486-1
Сервис HMA VPN при подключении меняет Default Getway, посему нам надо будет внести некоторые изменения в конфиг клиента для подключения с серверам HMA.
Для десктоп-юзеров сервис работает следующим образом:
В консоли переходим в папку с разархивированными конфигами HMA VPN.
Для выбора сервера для подключения надо сделать следующее:
./hma-start -l
USA, Arizona (Phoenix)
USA, California (Los Angeles)
USA, California (Orange County)
USA, California (San Diego)
USA, Florida
USA, Georgia
USA, Illinois, Chicago
USA, New Jersey
USA, New York
USA, Oregon (Portland)
USA, Pennsylvania
USA, Texas (2)
USA, Texas (Dallas)
USA, Virginia
USA, Washington (Seattle)
USA, Washington DC
Canada, Quebec
Canada, Quebec 2
United Kingdom, Cheltenham
United Kingdom, Cheltenham (#2)
United Kingdom, London
United Kingdom, Maidenhead
United Kingdom, Manchester
Netherlands, Amsterdam
Germany, Bavaria (Nuremberg)
Germany, Hessen (Frankfurt)
Ireland, Dublin
Sweden, Vasternorrlands Lan
Estonia (Tallinn)
Russia (Moscow)
И потом использовать косанду:
hma-start "Country name"
Нам такой подход не подходит, потому что надо руками вводить логин\пароль и «Country name», и изменяется default getway, что делает невозможным доступ к роутеру из интернетов.
Добавляем в конфиг для подключения такие опции:
# записываем логин пароль в файл hma.pwd, что бы каждый раз не вводить
auth-user-pass ./hma.pwd
# отвергаем изменение default getway
route-nopull
# добавление маршрутов для хождения пользователей локальной сети на сайт vkontakte.ru
# через туннель HMA VPN. Взято для примера.
route 93.186.0.0 255.255.0.0
# Использование random для подключения к серверам
remote-random
#Ireland_Dublin
remote 212.78.230.30 443
# Amsterdamm
remote 195.242.152.162 443
# Frankfurt , Germany
# remote 78.159.102.209 443
# UK,London
#remote 77.92.92.161 443
#UK,Manchester
#remote 89.238.165.132 443
# Germany, Bavaria (Nuremberg)
remote 78.46.46.106 443
# Sweden, Vasternorrlands Lan
#remote 95.143.192.60 443
# Estonia (Tallinn)
remote 80.79.113.114 443
# United Kingdom, Maidenhead
remote 213.229.83.26 443
Нам требовались сервера в Европе.
Я получал список ip для подключения таким образом:
В браузер вводил адресс, где COUNTRY это «Country name» из вывода
“hma-start -l”.
Будьте внимательны. Сервера могут меняются со временем. Проверяйте их на сайте HMA.
Для управления start/stop/restart демоном openvpn использовал скрипт из GNU\Linux Debian.
Незабываем добавить в фаервол:
$IPTABLES -t nat -A POSTROUTING -o tun1 -j MASQUERADE
Добавляем в /etc/rc.d/rc.local:
modprobe tun
if [ -x /etc/rc.d/rc.openvpn-hma ]; then
/etc/rc.d/rc.openvpn-hma start client
fi
Имеем следующую картину:
mtr vkontakte.ru
Host Loss% Snt Last Avg Best Wrst StDev
1. 212.78.230.215 0.0% 11 199.4 174.6 131.2 211.2 28.2
2. 212.78.230.2 0.0% 11 171.2 179.2 117.4 274.6 44.2
3. 212.78.224.1 0.0% 11 146.6 167.5 126.8 206.8 22.5
4. ae0-111-xcr1.duc.cw.net 0.0% 11 210.9 181.2 137.1 210.9 22.9
5. xe-5-0-0-xcr1.lsw.cw.net 0.0% 11 152.2 180.5 143.2 217.8 22.8
6. rostele-gw.lsw.cw.net 0.0% 11 202.3 176.9 121.9 249.9 39.7
7. so-1-0-0.spbr-rgr2.sz.ip.rostelecom.ru0.0% 10 251.5 218.5 183.9 258.2 25.9
8. ???
9. srv249-226.vkontakte.ru 0.0% 10 199.2 204.1 170.2 268.2 33.6
10. ???
11. srv5-226.vkontakte.ru 0.0% 10 156.2 189.4 156.2 241.3 30.5
Спасибо за внимание.
Надеюсь данный материал Вам будет полезен.
PS Просьба не считать этот материал рекламой. Просто используем этот сервис.