Email or username:

Password:

Forgot your password?
Alexey's posts Post Back to profile
Alexey Skobkin

Итоги рабочего дня:

Уёбки второй день продолжают блокировать VPN по протоколам.

Я перебираю различные варианты подключения к корпоративным ресурсам.

Остаются два маскирующихся варианта:

- SSTP
- OpenVPN через Cloak

Первый работает только на убунтах потому, что требуется настройка, которой просто нет вне убунты в NetworkManager
Второй требует OpenVPN 3, которого нет в Gentoo.

MikroTik (RouterOS) не умеет OpenVPN со статическим ключом, а на сертификат для SSTP ругается.

Пробую ещё пачку промежуточных вариантов разной степени всратости.

В итоге под конец дня результаты:

✅ Доступ к корпоративным ресурсам восстановлен через QEMU-виртуалку с Ubuntu 22.04 где поднят SSTP, включён форвардинг и маскарад, а на хосте я дёргаю написанный шелл-скрипт, который прокидывает маршруты до корпоративных ресурсов через эту виртуалку
⚠️ Поработал по таскам чуть больше часа

2024 год. Россия. Пиздец.

#Russia #shit #network #internet #censorship #VPN #WTF

16 January at 17:39 | Open on lor.sh
33 comments
Alexey Skobkin

Вот вы только вдумайтесь в этот факт.

Легальная аккредитованная компания вынуждена использовать маскировку трафика для доступа сотрудников в сеть ☝️

16 January at 17:40 | Open on lor.sh
Umnik

@skobkin наша не использует. Видимо есть официальный механизм, когда тебя просто не будут трогать.

17 January at 8:02 | Open on lor.sh
André Polykanine

@skobkin Это, конечно, жесть. А как они, например, тот же WireGuard блокируют, если он такой секьюрный? Извините, если вопрос тупой, но реально не понимаю. Есть какие-то сигнатуры или что?

16 January at 17:44 | Open on dragonscave.space
Alexey Skobkin

@menelion
> А как они, например, тот же WireGuard блокируют, если он такой секьюрный?

Как связана секьюрность с блокировками?

И нет, в компании не используют WG для доступа к корпоресурсам. С этим есть ряд сложностей, он не очень хорошо для этого приспособлен.

> Есть какие-то сигнатуры или что?

Есть. WG не пытается маскироваться. Это не его задача.

16 January at 17:45 | Open on lor.sh
iliazeus

@menelion wireguard-трафик трудно сломать, чтобы посмотреть, что внутри, но очень легко узнать со стороны. Как-то скрыть само наличие подключения wireguard не пытается.

@skobkin

16 January at 19:42 | Open on lor.sh
Roman

@skobkin у нетворкменеджера довольно удобные консольные утилиты, чего нет в гуе, есть там.

16 January at 17:50 | Open on mtdn.anyqn.com
:blobcatlaptop: gravitos :blobcatcomfsip:​

@skobkin

>

Первый работает только на убунтах потому, что требуется настройка, которой просто нет вне убунты в NetworkManager

:blobcatlaptop:​ потому что её надо ставить отдельно, сырцы у гнома
16 January at 18:05 | Open on wetdry.world
:blobcatlaptop: gravitos :blobcatcomfsip:​

@skobkin вот я себе на рач поставил - и пожалуйста!
16 January at 18:08 | Open on wetdry.world
Alexey Skobkin

@gravitos
В жопу себе рач свой засунь вместе с нерелевантными скриншотами 👌
16 January at 18:22 | Open on lor.sh
Alexey Skobkin

@gravitos
Сорян, я не видел коммента до этого. Думал, что ты очередной "btw I use arch".

Но тем не менее, если бы ты внимательно читал пост, то заметил бы что там написано следующее:

> Первый работает только на убунтах потому, что требуется настройка, которой просто нет вне убунты в NetworkManager

"Первый" - это SSTP.
"Нет настройки" и "нет SSTP" - это разные вещи.

16 January at 18:28 | Open on lor.sh
:blobcatlaptop: gravitos :blobcatcomfsip:​

@skobkin ну, генту у меня времени разворачивать нет, тем более с целыми кедами, но я посмотрю, что можно сделать, так сказать, издалека :blobcatthumbsup:​

а настройка у меня в гноме появилась именно после установки того пакета
16 January at 18:35 | Open on wetdry.world
Alexey Skobkin

@gravitos
Зачем? :philosoraptor:

16 January at 18:36 | Open on lor.sh
:blobcatlaptop: gravitos :blobcatcomfsip:​

@skobkin потому что у меня много свободного времени, резкое желание помогать людям и больше нечем заняться

16 January at 18:36 | Open on wetdry.world
Alexey Skobkin

@gravitos
А, так это ещё и не Gentoo-based дистрибутив. Тогда я не очень понял, к чему ты это 🙄

16 January at 18:38 | Open on lor.sh
:blobcatlaptop: gravitos :blobcatcomfsip:​

@skobkin к тому, что в генте такой пакет тоже есть, но я хз, как он себя ведёт конкретно с кедами. в гноме - работает, и настройка появляется

16 January at 18:39 | Open on wetdry.world
Alexey Skobkin

@gravitos
Откуда ты знаешь, что она появляется если ты даже не спрашивал какая именно?

Покажи скриншот окна конфигурации -> VPN -> Advanced (под логином-паролем и адресом сервера).

16 January at 18:41 | Open on lor.sh
:blobcatlaptop: gravitos :blobcatcomfsip:​ replied to Alexey

@skobkin кстати да, а какая настройка-то, это ты верно подметил
16 January at 18:42 | Open on wetdry.world
Alexey Skobkin replied to :blobcatlaptop: gravitos :blobcatcomfsip:​

@gravitos
Да, у тебя она есть.

Настройка - это выбор CA сертификата для туннеля. Не сертификата аутентификации, а именно CA по которому сертификат шифрования туннеля проверяется.

Причём если начать гуглить это окно настроек как оно выглядит в разных дистрибутивах - оно не везде есть.

Например:
help.nsu.ru/pages/viewpage.act
16 January at 18:46 | Open on lor.sh
:blobcatlaptop: gravitos :blobcatcomfsip:​ replied to Alexey

@skobkin возможно, это как-то связано с реализацией клиента SSTP, на котором это работает. в том, что у меня, этот функционал есть
16 January at 18:52 | Open on wetdry.world
Alexey Skobkin replied to :blobcatlaptop: gravitos :blobcatcomfsip:​

@gravitos
Спасибо, я это понимаю. Я тоже разработчик и умею использовать if.

16 January at 18:55 | Open on lor.sh
:blobcatlaptop: gravitos :blobcatcomfsip:​ replied to Alexey

@skobkin и всё-таки - в том SSTP клиенте, который стоит у тебя, есть этот функционал? если он есть там, но не отображается в настройках сетей - можно попробовать обойтись без настроек :blobcatlaptop:​

16 January at 19:00 | Open on wetdry.world
Alexey Skobkin replied to :blobcatlaptop: gravitos :blobcatcomfsip:​
:blobcatlaptop: gravitos :blobcatcomfsip:​ replied to Alexey

@skobkin вот тут есть пример конфига на скармливание nmcli

16 January at 19:05 | Open on wetdry.world
Alexey Skobkin replied to :blobcatlaptop: gravitos :blobcatcomfsip:​

@gravitos
Это обычный nmconnection файл. Его можно и гуям скормить.
Но то, что тут есть нужные ключи может быть полезно когда будет этап причёсывания всего этого говна.

16 January at 19:09 | Open on lor.sh
:blobcatlaptop: gravitos :blobcatcomfsip:​ replied to Alexey

@skobkin а вот это интересно - в кедах у меня этой настройки тоже нет! виртуалка одна и та же.

зато он есть в nm-connection-editor, который ставится вместе с network-manager-applet (пакет для генты вот тут ) и крысой, гы.
16 January at 19:22 | Open on wetdry.world
Alexey Skobkin replied to :blobcatlaptop: gravitos :blobcatcomfsip:​

@gravitos
Ну у меня в планах было его с флагом gtk4 собрать и посмотреть как он в гномьи варианты впишется. Но реально проще руками конфиг написать будет.

P.S. Остановись, мне не нужно помогать, я сам разберусь. Я не не понимаю что делать, мне некогда.

16 January at 19:25 | Open on lor.sh
:blobcatlaptop: gravitos :blobcatcomfsip:​ replied to Alexey
Alexey Skobkin replied to :blobcatlaptop: gravitos :blobcatcomfsip:​

@gravitos
Спасибо.
Она в этой стране всем пригодится.

16 January at 19:26 | Open on lor.sh
DELETED

@skobkin а где такое происходит?

16 January at 18:07 | Open on mastodon.ml
Alexey Skobkin

@copypasta
Страна в тегах была.

16 January at 18:24 | Open on lor.sh
mittorn

@skobkin нужно не обходить блокировки, а считать убытки и судиться с провайдером. Емли не навести шумиху, гайки дальше закрутятся, если навести - могут временно ослабиться до следующего обострения

16 January at 20:10 | Open on masturbated.one
Go Up