Как стать автором
Обновить

Комментарии 37

НЛО прилетело и опубликовало эту надпись здесь
Главное не забыть используемые локальные сети маршрутизировать через внутренний шлюз компании, а всё остальное пускать через OpenVPN туннель.

Хм, у меня автоматом рабочие локальные ресурсы работают и локальные домашние, так что никаких проблем с этим не возникало.
статья не рассчитана на профессионалов?
Это у вас шутки такие?
Это я чтоб на меня профессионалы не налетели, ведь наверняка какие-то ошибки есть. А вообще тут кроме установки ОС все по шагам расписано, только копируй и вставляй в терминал.
Ваше решение с openvp требует установку клиента на рабочем месте.
Как вам ограничивают контент? Неужто вы думаете что ваш впн останется незамеченным?
Как минимум будет бросаться в глаза что у вас весь трафик по одному направлению идет.
Есть способ проще. Прокси сервер дома + foxyproxy плагин, чтобы использовать прокси только для запрещенного контента.
PS/Статье не помешает добавить тег «вредные советы». Ибо нельзя значит нельзя.
У нас конент ограничен на уровне провайдера, вроде NetPolice-ом. Домашний прокси не пробовал, а вот по сравнению с Тором скорость работы значительно быстрее.
P.S. спасибо, поправлю тег, не знал про такой.
И вправду есть такой тег? Я это в шутку.
Openvpn на голом линуксе из любви к контактику) Я бы простил это любому сотруднику. Куда лучше чем анонимайзеры.
:D Как видите есть :D Ну, кстати, дело не во вконтактике, а много различных полезных ресурсов режется, которые могут понадобиться при работе.
Кстати, насчет
Как минимум будет бросаться в глаза что у вас весь трафик по одному направлению идет.

Если динамический IP то его закрыть не смогут, а порт мы можем сами поменять. Другое дело, что могут прийти дяди свыше и надавать по балде за такие проделки.
Сразу оговорюсь, что статья не рассчитана на профессионалов, а скорее предназначена для людей нуждающихся в полноценном доступе к интернету.


Подумалось, что статья для секретарей и бухгалтеров, которым закрыли соцсети, а тут

Будем считать, что Вы установили чистый, голый Debian в терминальном или графическом режиме, на Ваш вкус.


Это 5.
Повторюсь, имелось ввиду не сервер промышленных масштабов, например, для компании, а просто домашнее баловство =)
Если очень сильно захотеть, то это не будет большой трудностью, все расписано по шагам.
Офигеть какие народ схемы придумывает.
Существенно проще (раз уж дома linux) прицепиться к домашней тачке по SSH с помощью Bitwise Tunnelier (который умеет поднимать локальную SOCKS5 поверх SSH), ну а прокси уже как хотите пользуете.
Существенно проще (раз уж дома linux) прицепиться к домашней тачке по SSH с помощью Bitwise Tunnelier (который умеет поднимать локальную SOCKS5 поверх SSH), ну а прокси уже как хотите пользуете.

Ну линукс у меня вынужденно на виртуалке для решения данной проблемы. Ваше решение не показалось мне таким уж простым, но залезу почитаю об этом способе, может и вправду проще.
1. ssh -D 9999 my.home.box
2. Настроить в браузере SOCKS5 прокси на localhost:9999

Куда уж проще?
А у вас разрешено ставить собственный софт и открыты все порты в мир?
Да, с этим проблем нет, как я уже писал, фильтрация проходит на уровне провайдера.
Тогда какой смысл возиться с vpn? Подняли прокси дома — и развлекаетесь.
Выше уже говорили об этой возможности, не догадался использовать ее.
У меня дома без палева sstp на 443 порту.
Проще всего сделать всё на ssh, и ставить ничего не надо.
Качаем putty, распаковываем и делаем батник:

plink -P 22 USER@HOST -D 3010

и в настройках у FireFox Дополнительно->Сеть выставляем socks прокси:
127.0.0.1:3010

поздравляю, вы в сети из дома.

А так это велосипед который описывают по традиции раз в полгода
ищем по тегам ssh или openVPN.
Все подобные системы обхода упрутся в прокси(HTTPS MitM) с фаерволом.
Большинство текущих роутеров ( на ум приходит тот же бюджетный ASUS N12 c1 за 1200р прошитый последнеи бета прошивкой) умеют из коробки VPN сервером быть, главное подсеть у него ставить не такую как на работе, а то при одинаковом ip адресе шлюза и DNS рискуете не получить профита.
Требование лишь в наличии «белого» аипишника.
Кстати на роутере пробовал настраивать, но он только в домашнюю локалку пускал, интернет все равно шел через рабочую сеть. ASUS N66-RT, кажется этот.
Сделаите дома подсеть 10.0.0.x, видимо получается, что рабочий шлюз 192.168.1.1 и шлюз у впна один и тот же и он ломится через рабочий. У меня тоже он же, все ок
Хм, попробую, спасибо.
НЛО прилетело и опубликовало эту надпись здесь
Разве для установки клиента не нужны администраторские права на компьютере? а у обычных пользователей как правило их нет.
Ограничение не через прокси сервер с фаерволом где обычно закрыты все лишние порты(в статье предлагается использовать 1194 порт)?
Ну естественно у каждого индивидуальные случае, я описал, как я справился с проблемой, у меня админские права на компьютере, а ограничение происходит на уровне провайдера.
а зачем провайдеру закрывать вам развлекательные ресурсы?
Я работаю в госучреждении.
имхо, ваш случай — исключение.
и зачем на винду ставить виртуалку+линукс, если есть openvpn под win?
как многие заметили, в большенстве случаев:
— если все это возможно запустить в работу, то ваш трафик спалят
— порты по-умолчанию закрыты, на 80 порт его вешать?
— обычно у пользователя нет прав на уставку софт

(все это относится к организациям, где делают закрытие «вконтакте» не для галочки)
Ну возможно, просто у меня нет возможности протестировать в серьезной организации. Спасибо за отзыв.
НЛО прилетело и опубликовало эту надпись здесь
моё мнение, что решение неадекватное, если честно.
1. Девочка бухгалтер явно дома не поднимет [виртуалку [с дебианом]].

2. Я не очень представляю себе, как девочка бухгалтер без админских прав сменит себе DNS, настройки прокси.

3. А то и запустит неподписанный переносимый на флешке броузер, есть правильно настроены политики безопасности. И вообще запустит что-либо из домашнего каталога.

4. DNS траффик на левые сервера обычно запрещают, соответственно смена DNS не поможет, в hosts прописать нужные айпишники вконтактику/одноглазникам по отсутствию админ-прав тоже, кхм, маловероятно.

5. Обычно все левые порты закрыты, разрешён только http(s) траффик,

6. Система анализа траффика в нормально настроенной сети впн, торенты, файлопомойки и stream (flash видео или ютубы) и ftp обычно блокирует для всех, кроме избранных, тоже самое может касаться, например, асек и скайпов, а в случае появления нехарактерного траффика идёт уведомление сотрудников ИТ безопасности.

7. На одном из последних семинаров слышал про п/о, которое позволяет, допустим, пользоваться вконтактом/фейсбуком, но при этом запрещает смотреть оттуда видео, пересылать через них файлы и играть в тамошние игрушки.

8. И ни слова про прокси.

Единственный самый нормальный вариант — свой не корпоративный и не контролируемый компанией телефон с планшетом, где можно творить всё, что дуще угодно, если гайки сильно закручены.

Если не очень — можно попробовать пообщаться с админами. При правильном подходе, я думаю, что можно договориться.
НЛО прилетело и опубликовало эту надпись здесь
Bluecoat proxy умеет делеть пункт 7. Там есть большой список (около 100) сайтов/соцсетей и для каждого типа можно настраивать свои правила. Например на youtube можно смотреть смотреть видео, но нельзя логиниться или заливать их. Или в жж можно логиниться и постить, но нельзя заливать фотки-видео.
вставлю свои семь копеек
— про порт 1194 уже сказали, придётся поднимать vpn на порту 80 (а лучше 443)
— правильные поцоны используют роутер или RaspberryPi для этих целей, а не какие-то виртуалбоксы
— и самое главное моё возмущение: на работе нужно работать!!! Если я у себя такого умника поймаю, то за изобретение «пять», а вот в премию «кол с минусом» и бан на доступ в инет. Вы б попробовали начальству обосновать необходимость отмены запретов, и если это действительно для пользы, то Вам на встречу пойдут, а если для развлечений, то «кол с минусом» и я уже написал за что.
Мне одному пришла в голову банальная мысль, что это элементарно непорядочно — сперва подписать кучу бумаг и полиси об использовании служебных ресурсов при устройстве на работу, а потом бесцеремонно проковыривать дырки в безопасности?

В большинстве мест, где я работал (из них два банка мирового уровня), были закрыты всякие дропбоксы и внешние почты\одноклассники\контакты и твиттеры. Дык в чем проблема — все это работает прекрасно и со смартфона: зашел на кухню, налил кофе и почитал чего хочется. Для чего весь этот цирк?
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории