
<div dir="ltr"><div dir="ltr"><br><input name="virtru-metadata" type="hidden" value="{"email-policy":{"state":"closed","expirationUnit":"days","disableCopyPaste":false,"disablePrint":false,"disableForwarding":false,"enableNoauth":false,"persistentProtection":false,"expandedWatermarking":false,"expires":false,"isManaged":false},"attachments":{},"compose-id":"9","compose-window":{"secure":false}}"></div><br><div class="gmail_quote" style=""><div dir="ltr" class="gmail_attr">пн, 8 бер. 2021 о 12:09 Mykola Ulianytskyi <<a href="mailto:lystor@gmail.com">lystor@gmail.com</a>> пише:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">VPS можна купити з External IP на мережевому інтерфейсі у іншого<br>


провайдера та встановити на нього будь який VPN GW.<br></blockquote><div><br></div><div>Не варіант because corporative policy:(</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">


<br>


В AWS на інстансах сірі IP + NAT.<br>


<br></blockquote><div><br></div><div>То єсть, моя задача не має вирішення навіть якщо я присобачив Public Elastic IP?</div><div><br></div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">


--<br>


Best regards,<br>


Mykola<br>


<br>


On Mon, Mar 8, 2021 at 11:23 AM Oleh Hrynchuk <<a href="mailto:oleh.hrynchuk@gmail.com" target="_blank">oleh.hrynchuk@gmail.com</a>> wrote:<br>


><br>


> Кароч, задача глобальна наступна:<br>


><br>


> Є кілька американських ресурсів (наші клієнти), котрі дозволяють доступ виключно з американських ІР.<br>


> Нашим девам і QA з України треба періодично туди доступатися.<br>


> Виникла ідея підняти в AWS в регіоні US на базі безкоштовного EC2 t2.micro якийсь безкоштовний VPN GW з NAT (щоби ліпилося Source IP Amazon'a) і через нього "ходити" на ті ресурси<br>


> Навантаження планується мінімальне. Але кількість одночасних сесій може перевищувати 2 (т.ч. free OpenVPN не дуже бажано, хоча якщо вже нічого не підійде, то згодиться й воно).<br>


><br>


> Як найпростіше це зробити?<br>


><br>


> В принципі OpenConnect server був би чудовим рішенням, але щось не можу налагодити механізм роутингу трафіку від VPN-клієнта після його підключення. Нікуди не хоче ходити за винятком Private IP Ocserv AWS :( Не піднімається на клієнті правильний роутинг, хоч плач, хоч конект з ocserv відбувається.<br>


><br>


><br>


><br>


> нд, 7 бер. 2021 о 17:37 Oleh Hrynchuk <<a href="mailto:oleh.hrynchuk@gmail.com" target="_blank">oleh.hrynchuk@gmail.com</a>> пише:<br>


>><br>


>> Доброго вечора усім.<br>


>><br>


>> Десь гальмую з networking...<br>


>><br>


>> Засетапив ocserv (openconnect server) на класичному ubuntu server 20.04, що знаходиться в AWS.<br>


>> Ubuntu має eth0: 172.31.18.xx/20<br>


>> До нього присобачений Public IP: 54.xx.xx.xx/32<br>


>><br>


>> В ocserv.conf прописано між іншим<br>


>><br>


>> ipv4-network = 172.31.18.0<br>


>> ipv4-netmask = 255.255.240.0<br>


>><br>


>> І конект ніби й піднімається, але після:<br>


>><br>


>> Connected as 172.31.19.13, using SSL + LZ4, with DTLS disabled<br>


>> Connect Banner:<br>


>> | Welcome<br>


>><br>


>> Error: Nexthop has invalid gateway.<br>


>> Error: any valid prefix is expected rather than "broadcast/24".<br>


>><br>


>><br>


>> А на клієнті<br>


>> oleh@oleh-ws:~$ ip a<br>


>> ...<br>


>> 27: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1472 qdisc fq_codel state UNKNOWN group default qlen 500<br>


>>     link/none<br>


>>     inet <a href="http://172.31.19.13/32" rel="noreferrer" target="_blank">172.31.19.13/32</a> scope global tun0<br>


>>        valid_lft forever preferred_lft forever<br>


>>     inet6 fe80::c077:3a39:601b:c5e/64 scope link stable-privacy<br>


>>        valid_lft forever preferred_lft forever<br>


>> oleh@oleh-ws:~$<br>


>><br>


>><br>


>> oleh@oleh-ws:~$ ip r<br>


>> default dev tun0 scope link<br>


>> default via 192.168.31.200 dev enp3s0 proto dhcp metric 100<br>


>> default via 192.168.31.200 dev wlp2s0 proto dhcp metric 600<br>


>> <a href="http://169.254.0.0/16" rel="noreferrer" target="_blank">169.254.0.0/16</a> dev enp3s0 scope link metric 1000<br>


>> <a href="http://172.31.16.0/20" rel="noreferrer" target="_blank">172.31.16.0/20</a> dev tun0 scope link<br>


>> oleh@oleh-ws:~$<br>


>><br>


>><br>


>><br>


>> І ніякі маршрути з клієнтського ноута не йдуть.<br>


>><br>


>> Чого я не доробив, чи може щось не так зробив?<br>


>><br>


>><br>


>> --<br>


>> Regards,<br>


>> /oleh hrynchuk<br>


><br>


><br>


><br>


> --<br>


> Regards,<br>


> /oleh hrynchuk<br>


> _______________________________________________<br>


> uanog mailing list<br>


> <a href="mailto:uanog@uanog.kiev.ua" target="_blank">uanog@uanog.kiev.ua</a><br>


> <a href="https://mailman.uanog.kiev.ua/mailman/listinfo/uanog" rel="noreferrer" target="_blank">https://mailman.uanog.kiev.ua/mailman/listinfo/uanog</a><br>


</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div>Regards,<br>/oleh hrynchuk</div></div></div></div>