我正在帮忙组织一个小会议。 没有互联网连接,所以我们仅限于有限的移动LTE连接。 我们有一个基于Ubuntu的服务器,作为一个路由器,提供一个DHCP和DNS服务器,并从其子网192.168.1.0/24路由到LTE连接(USB棒)。 即使我们从内部networking到基于LTE的互联网的NATconfiguration工作,我们想要防止客户端使用太多的有价值的数量,并且限制每个客户端(MAC地址?)到一定数量的数据,例如100MB。 如果一个客户端达到这个限制(上传和下载的总和),我们希望被告知(一个日志条目足够),他应该被扼杀(如果可能的话)或从互联网连接切断(但他仍然应该能够在本地networking中进行通信)。 有什么机制或软件可以用于这种情况?
我有一堆通过使用NATredirect到互联网的“网关”服务器连接到世界的服务器。 我试图通过OpenVPNconfiguration文件将网关服务器连接到VPN客户端。 当我连接它返回一个错误“ RTNETLINK answers: File exists ”。 我没有任何防火墙或端口问题,因为使用同一个OpenVPN文件的内部客户端的连接工作得很好。 这里是我的VPN连接之前的路由表 192.168.110.0 * 255.255.255.224 U 0 0 0 eth1 10.149.0.0 * 255.255.0.0 U 0 0 0 ib0 link-local * 255.255.0.0 U 1002 0 0 eth0 link-local * 255.255.0.0 U 1003 0 0 eth1 link-local * 255.255.0.0 U 1004 0 0 ib0 10.141.0.0 * 255.255.0.0 U 0 […]
我在使MT与OpenVPN服务器(Debian)一起工作时遇到一些问题。 我可以成功连接到OVPN服务器,但stream量不会通过OVPN服务器路由。 这是我的configuration。 设置 – http://i.imgur.com/WvbjQaj.jpg OpenVPN服务器(Debian / Linux)configuration #cat /etc/openvpn/server.conf 当地95.2.171.3 端口1194 原型TCP dev tun ca ca.crt cert server.crt 密钥server.key dh dh.pem 服务器10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt client-config-dir ccd 路由192.168.81.0/24 255.255.255.0 保持活力10 120 tun-mtu 1500 mssfix 1450 密码AES-256-CBC auth sha1 坚持键 坚持-TUN 状态/var/log/openvpn-status.log log-append /var/log/openvpn.log 动词5 crl-verify /etc/openvpn/easy-rsa/pki/crl.pem #cat / etc / openvpn / ccd […]
我想连接到Linux中的第三方VPN服务器(例如Debian Jessie),但默认情况下仍然使用我的eth0 lan接口作为默认路由 ,并且很好奇如何实现这一点。 我将使用策略路由或networking命名空间或规则集来select何时使用第三方VPN。 但是,我不清楚openvpn在幕后做了什么,它build立了所有的stream量通过它。 为了克服这个问题,当从我的客户端连接时,是否像覆盖“redirect网关”一样简单?
Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface default 192.168.1.1 0.0.0.0 UG 202 0 0 eth0 default 192.168.43.1 0.0.0.0 UG 303 0 0 wlan0 192.168.1.0 * 255.255.255.0 U 202 0 0 eth0 192.168.43.0 * 255.255.255.0 U 303 0 0 wlan0 我可以删除192.168.1.1条目: ip route del default via 192.168.1.1 这工作,但重启后,这条线回来。 任何想法如何使用基于Debian的发行版永久删除它?
这是一个关于是否使用桥接或路由OpenVPN设置,以及如何build立连接的问题。 TLDR: 一个主站点,多个卫星站点。 所有站点都在同一个子网上。 如果使用桥接模式,如何防止VPN上不需要的stream量(带宽/数据使用是有限的)。 如果使用路由模式,如何将各个IP地址(而不是子网)路由到特定的VPN端点? 背景:这个主题是一个有多个(3+)远程泵站的污水处理厂。 主要办公室运行我们的SCADA系统,并有多个PLC和工作站。 每个远程泵站都有一个或多个PLC / PanelView单元,目前所有的远程站点都利用150MHz的无线电信号将遥测数据发送回主要位置。 由于无线电信号质量差和带宽限制,我们希望切换所有站点来使用4G蜂窝数据调制解调器。 为了安全和简单,我认为最好的方法是在每个位置(目前使用运行DD-WRT最新版本的Linksys E1200)build立一个支持OpenVPN的路由器,并configuration它们连接到总部的OpenVPN服务器。 但是,有一个问题:所有远程站点使用与主站点相同的子网。 这是安装收音机的供应商设置的,显然是为了“保持简单”,但这只是我们头痛的问题。 我们不能更改IP地址映射,因为我们没有用于某些设备的编程软件,而且还需要在每个PLC中重新编程。 所以我们坚持所有的网站在同一个子网。 (192.168.100.X) 我的问题是:我应该使用路由或桥接模式进行此设置? 如果我使用桥接模式,我不希望OpenVPN网桥通过任何多余的stream量(广播等),因为蜂窝调制解调器有限的每月数据传输津贴。 如果我使用路由模式,如何强制OpenVPN只路由适用于远程站点的特定IP地址? 例如:主站点:使用192.168.100.1 – 30,也是40+ 远程站点1:192.168.100.32-37远程站点2:192.168.1.31远程站点3:192.168.100.110-120,140 所以我们不能根据子网进行路由 – 但必须将各个IP路由到各个位置。 我将不胜感激这个设置的任何build议。 我尝试使用具有255.255.255.255子网掩码的指定路由的路由模式,但无法获取一个站点与主要位置之间的通信。 OpenVPN连接已成功build立,但无法ping通。
有没有办法将networkingA的数据包转发到networkingB(就像路由器一样),而不用改变源IP地址(反之亦然,从networkingB到networkingA),还要执行stream量整形规则? 该解决scheme应该在FreeBSD中实现。 我search了FreeBSD的stream量整形,发现了ALTQ,但我不确定是否可以transparently地转发ALTQ包。 如果可能的话,那么我可能会使用Squid服务器(用于caching和更重要的logging用户的下载/上传 )和ALTQ(或其他)来设置networking来pipe理它们的带宽。 所以我的networking架构将是: Internet <==> SquidServer <==> TrafficshapingServer <==> LocalNetwork 但是,如果TrafficShaping用他的IP地址replace数据包的SourceIP,则Squid的日志变得无用。 因为Squid不知道哪个数据包来自哪个IP地址(所有Squid看到TrafficShaping IPAddress)
我有一个专门的T1线路,在我的办公室和我的数据中心之间运行。 两端都有公网IP地址。 在两端,我们有连接到SonicWall防火墙的AdTran T1路由器。 SonicWalls执行站点到站点VPN并处理networking转换,因此办公室networking(10.0.100.x)上的计算机可以访问机架(10.0.103.x)中的服务器。 所以问题是:我可以只添加一个静态路由到SonicWalls,这样每个networking都可以通过VPN访问对方吗? 是否存在安全问题(例如,其他人添加了适当的静态路由并能够访问办公室或数据中心)? 有另外一个/更好的方法来做到这一点? 我在看这个的原因是因为T1已经是一个非常小的pipe道,并有VPN的开销,使连接真的很慢。 – 说明(感谢迄今为止的答案): 对我来说,绊脚石是T1有一个公共IP地址。 如果我在办公室设置了一条路线,说:“你可以在200.XYZ上find10.0.103.0的网关”,那么网上的一些哥们也可以设置相同的路由, 也可以访问我的10.0.103.0networking? 有了VPN,我知道这是不可能的,因为有防止外部人进入的授权协议。 另外,我想这个问题是“通过T1线路在两个远程networking之间路由的正确方式是什么? 所讨论的T1在我的办公室有一个物理端点,而在数据中心的某个地方有另一个物理端点,但IP地址又是公开的。 我并不担心电话或数据中心的人正在嗅探我的密码(如果他们是,那肯定会吸吮,但这种情况超出了我的偏执狂门槛:)。
该手册说: “转发主机端口<1024不可能:在基于Unix的主机上(例如,Linux,Solaris,Mac OS X),不可能绑定到不是由root运行的应用程序的1024以下的端口” 。 是否有可能禁用此限制? 我使用VBoxHeadless机器运行主要的互联网服务(例如邮件服务器(SMTP,IMAP,LDAP,HTTP,HTTPS),并通过VBoxManage modifyvm –natpf1捕获主机端口)。 我现在看到的唯一解决scheme是捕获一个更高的端口,并通过iptables或redir的方式redirectstream量较低的端口。 但也许有更自然的解决办法?
traceroute的联机帮助页表示“-U”参数(UDP探测)是默认值,但每次都得到不同的结果。 和你”: traceroute -U www.univ-paris1.fr traceroute to www.univ-paris1.fr (193.55.96.121), 30 hops max, 60 byte packets […] 13 rap-vl165-te3-2-jussieu-rtr-021.noc.renater.fr (193.51.181.101) 59.445 ms 56.924 ms 56.651 ms […] 18 * paris1web.univ-paris1.fr (193.55.96.121) 23.797 ms 23.603 ms 但正常的跟踪路由给了我另一个结果(永远不会到达最终节点) – 它可以是“!X”或者在最多30跳之后退出: traceroute www.univ-paris1.fr traceroute to www.univ-paris1.fr (193.55.96.121), 30 hops max, 60 byte packets […] 11 te1-1-paris1-rtr-021.noc.renater.fr (193.51.189.38) 28.147 ms […]