
<div dir="ltr"><div dir="ltr">Дуже дякую, Ігоре!<br><br>Мабуть саме те що треба..<br>Зараз гляну.<input name="virtru-metadata" type="hidden" value="{"email-policy":{"state":"closed","expirationUnit":"days","disableCopyPaste":false,"disablePrint":false,"disableForwarding":false,"enableNoauth":false,"persistentProtection":false,"expandedWatermarking":false,"expires":false,"isManaged":false},"attachments":{},"compose-id":"1","compose-window":{"secure":false}}"><div><br></div><div><br></div></div><br><div class="gmail_quote" style=""><div dir="ltr" class="gmail_attr">вт, 9 бер. 2021 о 07:49 Igor Sviridov <<a href="mailto:sia@uanog.sink.nest.org">sia@uanog.sink.nest.org</a>> пише:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">hi,<br>


<br>


Нещодавно реалiзовував шось подiбне на Taiscale:<br>


<a href="https://tailscale.com/kb/1059/ip-blocklist-relays" rel="noreferrer" target="_blank">https://tailscale.com/kb/1059/ip-blocklist-relays</a><br>


<br>


Tailscale - то така SDN в облацi, на базi Wireguard, з зовнiшньою аутентiфiкацieю, 2-way NAT traversal та iншими плюшками;<br>


трафик звичайно йде напрямки, якщо можливо.<br>


Пiдтримує усе - навiть raspberry pi та FreeBSD :)<br>


<br>


Для ціє задачi Tailscale -  це можливо забагато, але в нього е й інші використання.<br>


<br>


А щоб найдешевше - можна поставити у AWS Wireguard та NAT.<br>


Ось наприклад:<br>


<a href="https://habr.com/en/post/449234/" rel="noreferrer" target="_blank">https://habr.com/en/post/449234/</a><br>


<br>


Але пiдтримувати це без SSO/LDAP etc - ще та морока.<br>


<br>


--igor<br>


<br>


On Mon, Mar 08, 2021 at 11:23:06AM +0200, Oleh Hrynchuk wrote:<br>


> <br>


> Кароч, задача глобальна наступна:<br>


> <br>


> Є кілька американських ресурсів (наші клієнти), котрі дозволяють доступ<br>


> виключно з американських ІР.<br>


> Нашим девам і QA з України треба періодично туди доступатися.<br>


> Виникла ідея підняти в AWS в регіоні US на базі безкоштовного EC2 t2.micro<br>


> якийсь безкоштовний VPN GW з NAT (щоби ліпилося Source IP Amazon'a) і через<br>


> нього "ходити" на ті ресурси<br>


> Навантаження планується мінімальне. Але кількість одночасних сесій може<br>


> перевищувати 2 (т.ч. free OpenVPN не дуже бажано, хоча якщо вже нічого не<br>


> підійде, то згодиться й воно).<br>


> <br>


> Як найпростіше це зробити?<br>


> <br>


> В принципі OpenConnect server був би чудовим рішенням, але щось не можу<br>


> налагодити механізм роутингу трафіку від VPN-клієнта після його<br>


> підключення. Нікуди не хоче ходити за винятком Private IP Ocserv AWS :( Не<br>


> піднімається на клієнті правильний роутинг, хоч плач, хоч конект з ocserv<br>


> відбувається.<br>


> <br>


> <br>


> <br>


> нд, 7 бер. 2021 о 17:37 Oleh Hrynchuk <<a href="mailto:oleh.hrynchuk@gmail.com" target="_blank">oleh.hrynchuk@gmail.com</a>> пише:<br>


> <br>


> > Доброго вечора усім.<br>


> ><br>


> > Десь гальмую з networking...<br>


> ><br>


> > Засетапив ocserv (openconnect server) на класичному ubuntu server 20.04,<br>


> > що знаходиться в AWS.<br>


> > Ubuntu має eth0: 172.31.18.xx/20<br>


> > До нього присобачений Public IP: 54.xx.xx.xx/32<br>


> ><br>


> > В ocserv.conf прописано між іншим<br>


> ><br>


> > ipv4-network = 172.31.18.0<br>


> > ipv4-netmask = 255.255.240.0<br>


> ><br>


> > І конект ніби й піднімається, але після:<br>


> ><br>


> > Connected as 172.31.19.13, using SSL + LZ4, with DTLS disabled<br>


> > Connect Banner:<br>


> > | Welcome<br>


> ><br>


> ><br>


> ><br>


> > *Error: Nexthop has invalid gateway.Error: any valid prefix is expected<br>


> > rather than "broadcast/24".*<br>


> ><br>


> ><br>


> > А на клієнті<br>


> > oleh@oleh-ws:~$ ip a<br>


> > ...<br>


> > 27: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1472 qdisc<br>


> > fq_codel state UNKNOWN group default qlen 500<br>


> >     link/none<br>


> >     inet <a href="http://172.31.19.13/32" rel="noreferrer" target="_blank">172.31.19.13/32</a> scope global tun0<br>


> >        valid_lft forever preferred_lft forever<br>


> >     inet6 fe80::c077:3a39:601b:c5e/64 scope link stable-privacy<br>


> >        valid_lft forever preferred_lft forever<br>


> > oleh@oleh-ws:~$<br>


> ><br>


> ><br>


> > oleh@oleh-ws:~$ ip r<br>


> > default dev tun0 scope link<br>


> > default via 192.168.31.200 dev enp3s0 proto dhcp metric 100<br>


> > default via 192.168.31.200 dev wlp2s0 proto dhcp metric 600<br>


> > <a href="http://169.254.0.0/16" rel="noreferrer" target="_blank">169.254.0.0/16</a> dev enp3s0 scope link metric 1000<br>


> > <a href="http://172.31.16.0/20" rel="noreferrer" target="_blank">172.31.16.0/20</a> dev tun0 scope link<br>


> > oleh@oleh-ws:~$<br>


> ><br>


> ><br>


> ><br>


> > І ніякі маршрути з клієнтського ноута не йдуть.<br>


> ><br>


> > Чого я не доробив, чи може щось не так зробив?<br>


> ><br>


> ><br>


> > --<br>


> > Regards,<br>


> > /oleh hrynchuk<br>


> ><br>


> <br>


> <br>


> -- <br>


> Regards,<br>


> /oleh hrynchuk<br>


<br>


> _______________________________________________<br>


> uanog mailing list<br>


> <a href="mailto:uanog@uanog.kiev.ua" target="_blank">uanog@uanog.kiev.ua</a><br>


> <a href="https://mailman.uanog.kiev.ua/mailman/listinfo/uanog" rel="noreferrer" target="_blank">https://mailman.uanog.kiev.ua/mailman/listinfo/uanog</a><br>


</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div>Regards,<br>/oleh hrynchuk</div></div></div></div>