काम पर लिनक्स का उपयोग करना चाहते हैं, लेकिन एक कॉर्पोरेट वीपीएन नहीं करता है? तब यह लेख मदद कर सकता है, हालांकि यह सटीक नहीं है। मैं पहले से चेतावनी देना चाहता हूं कि मैं नेटवर्क प्रशासन के मुद्दों को खराब तरीके से समझता हूं, इसलिए यह संभव है कि मैंने सब कुछ गलत किया। दूसरी ओर, यह संभव है कि मैं इस तरह से मैनुअल लिख सकता हूं कि यह सामान्य लोगों के लिए समझ में आएगा, इसलिए मैं आपको कोशिश करने की सलाह देता हूं।

लेख में बहुत सारी अतिरिक्त जानकारी है, लेकिन इस ज्ञान के बिना मैं उन समस्याओं को हल नहीं कर पाऊंगा जो मुझे अचानक वीपीएन सेटिंग के साथ हुई थीं। मुझे लगता है कि जो कोई भी इस नियमावली को लागू करने की कोशिश करेगा, उसके पास ऐसी समस्याएं होंगी जो मेरे पास नहीं थीं, और मुझे उम्मीद है कि इस अतिरिक्त जानकारी से इन समस्याओं को अपने आप हल करने में मदद मिलेगी।

मैनुअल में उपयोग किए जाने वाले अधिकांश कमांडों को सुडो के माध्यम से चलाने की आवश्यकता होती है, जिसे संक्षिप्तता के लिए हटा दिया जाता है। ध्यान रखें।

अधिकांश आईपी पते गंभीर रूप से बाधित थे, इसलिए यदि आप 435.435.435.435 जैसे पते देखते हैं, तो आपके मामले के लिए विशिष्ट कुछ सामान्य आईपी होना चाहिए।

मेरे पास Ubuntu 18.04 है, लेकिन मुझे लगता है कि कुछ बदलावों के साथ गाइड को अन्य वितरणों पर लागू किया जा सकता है। हालाँकि, इस पाठ में, लिनक्स == उबंटू।

सिस्को कनेक्ट

जो लोग विंडोज या मैकओएस पर बैठे हैं, वे सिस्को कनेक्ट के माध्यम से हमारे कॉर्पोरेट वीपीएन से जुड़ सकते हैं, जिन्हें कनेक्ट होने पर प्रत्येक बार एक गेटवे एड्रेस को निर्दिष्ट करने और एक पासवर्ड दर्ज करने की आवश्यकता होती है, जिसमें एक निश्चित भाग और Google प्रमाणक द्वारा उत्पन्न कोड होता है।

लिनक्स के मामले में, सिस्को कनेक्ट को प्राप्त करना संभव नहीं था, लेकिन यह विशेष रूप से सिस्को कनेक्ट को बदलने के लिए बनाए गए openconnect का उपयोग करने के लिए Google की सिफारिश पर निकला।

Openconnect

सिद्धांत रूप में, ubunt में openconnect के लिए एक विशेष ग्राफिकल इंटरफ़ेस है, लेकिन यह मेरे लिए काम नहीं करता है। शायद यह सबसे अच्छा है।

Ubunt में openconnect पैकेज मैनेजर से स्थापित किया गया है।

apt install openconnect 

स्थापना के तुरंत बाद, आप वीपीएन से कनेक्ट करने का प्रयास कर सकते हैं

 openconnect --user poxvuibr vpn.evilcorp.com 

vpn.evilcorp.com काल्पनिक वीपीएन एड्रेस है
poxvuibr - काल्पनिक उपयोगकर्ता नाम

openconnect आपको एक पासवर्ड दर्ज करने के लिए कहेगा, जो, मुझे याद है, Google प्रमाणक से एक निश्चित भाग और कोड शामिल है, और फिर vpn से कनेक्ट करने का प्रयास करता है। यदि यह पता चला, बधाई हो, तो आप सुरक्षित रूप से बीच में छोड़ सकते हैं, जो बहुत दर्द है और पृष्ठभूमि में ओपेंकोनक्ट के बारे में बिंदु पर जाएं। यदि यह काम नहीं करता है, तो आप जारी रख सकते हैं। हालांकि अगर यह कनेक्ट करते समय निकला, उदाहरण के लिए, काम पर एक अतिथि वाई-फाई से, आनन्दित और जल्दी संभव है, तो आपको घर से प्रक्रिया को दोहराने की कोशिश करनी चाहिए।

प्रमाणपत्र

उच्च संभावना के साथ, कुछ भी शुरू नहीं होगा, और ऑपनकोनेक्ट निकास कुछ इस तरह दिखाई देगा:

 POST https://vpn.evilcorp.com/ Connected to 777.777.777.777:443 SSL negotiation with vpn.evilcorp.com Server certificate verify failed: signer not found Certificate from VPN server "vpn.evilcorp.com" failed verification. Reason: signer not found To trust this server in future, perhaps add this to your command line: --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 Enter 'yes' to accept, 'no' to abort; anything else to view: fgets (stdin): Operation now in progress 

एक तरफ, यह अप्रिय है, क्योंकि वीपीएन से कोई संबंध नहीं था, लेकिन दूसरी तरफ, इस समस्या को कैसे ठीक किया जाए यह सिद्धांत रूप में समझा जा सकता है।

तब सर्वर ने हमें एक प्रमाणपत्र भेजा, जिसके अनुसार यह निर्धारित किया जा सकता है कि कनेक्शन देशी निगम के सर्वर से बना है, न कि दुर्भावनापूर्ण जालसाज़ के लिए, और यह प्रमाणपत्र सिस्टम के लिए अज्ञात है। और इसलिए वह जांच नहीं कर सकती कि असली सर्वर है या नहीं। और इसलिए, बस मामले में, यह काम करना बंद कर देता है।

सर्वर से अभी भी कनेक्ट करने के लिए openconnect के लिए, आपको स्पष्ट रूप से यह बताना होगा कि वीपीएन सर्वर से किस सर्टिफिकेट में आना चाहिए - थरथानेवाला कुंजी का उपयोग करके

और आप यह पता लगा सकते हैं कि कौन सा सर्टिफिकेट हमारे द्वारा भेजे गए सर्वर से सीधे छपे हुए ऑपनकोनट से छपा है। यहाँ इस टुकड़े से:

 To trust this server in future, perhaps add this to your command line: --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 Enter 'yes' to accept, 'no' to abort; anything else to view: fgets (stdin): Operation now in progress 

इस कमांड से आप फिर से जुड़ने की कोशिश कर सकते हैं

 openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 --user poxvuibr vpn.evilcorp.com 

हो सकता है कि यह अभी काम कर रहा है, तो आप अंत तक जा सकते हैं। लेकिन उबंटा ने मुझे व्यक्तिगत रूप से इस रूप में दिखाया

 POST https://vpn.evilcorp.com/ Connected to 777.777.777.777:443 SSL negotiation with vpn.evilcorp.com Server certificate verify failed: signer not found Connected to HTTPS on vpn.evilcorp.com XML POST enabled Please enter your username and password. POST https://vpn.evilcorp.com/ Got CONNECT response: HTTP/1.1 200 OK CSTP connected. DPD 300, Keepalive 30 Set up DTLS failed; using SSL instead Connected as 192.168.333.222, using SSL NOSSSSSHHHHHHHDDDDD 3 NOSSSSSHHHHHHHDDDDD 3 RTNETLINK answers: File exists /etc/resolvconf/update.d/libc: Warning: /etc/resolv.conf is not a symbolic link to /run/resolvconf/resolv.conf 

/etc/resolv.conf

 # Generated by NetworkManager search gst.evilcorpguest.com nameserver 127.0.0.53 

/run/resolvconf/resolv.conf

 # Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8) # DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN # 127.0.0.53 is the systemd-resolved stub resolver. # run "systemd-resolve --status" to see details about the actual nameservers. nameserver 192.168.430.534 nameserver 127.0.0.53 search evilcorp.com gst.publicevilcorp.com 

habr.com को हल किया जाएगा, लेकिन वहां प्रवेश करना संभव नहीं होगा। Jira.evilcorp.com जैसे पते बिल्कुल भी हल नहीं होते हैं।

यहां क्या हुआ यह मेरे लिए स्पष्ट नहीं है। लेकिन प्रयोग से पता चलता है कि यदि आप लाइन को /etc/resolv.conf में जोड़ते हैं

 nameserver 192.168.430.534 

तब वीपीएन के अंदर पते जादुई रूप से हल हो जाएंगे और उनके चारों ओर जाना संभव होगा, अर्थात, जिनके लिए डीएनएस पते को हल करना है, /etc/resolv.conf में दिखता है, और कहीं और नहीं।

वीपीएन से एक संबंध है और यह काम करता है, आप /etc/resolv.conf में बदलाव किए बिना सुनिश्चित कर सकते हैं, बस ब्राउज़र में vpn से संसाधन का प्रतीकात्मक नाम दर्ज करें, और इसका आईपी पता

परिणाम दो समस्याएं हैं

• वीपीएन के संबंध में इसके डीएनएस को नहीं उठाया गया है
• सभी ट्रैफ़िक vpn से होकर जाते हैं, जो आपको इंटरनेट पर जाने की अनुमति नहीं देता है

अब मैं जो करूंगा वह आपको बताऊंगा, लेकिन पहले थोड़ा स्वचालन।

पासवर्ड के निश्चित भाग की स्वचालित प्रविष्टि

वर्तमान क्षण तक, आप सबसे अधिक संभावना पासवर्ड को कम से कम पांच बार दर्ज कर चुके हैं और इस प्रक्रिया ने आपको पहले ही बहुत थका दिया है। सबसे पहले, क्योंकि पासवर्ड लंबा है, और दूसरी बात, क्योंकि प्रवेश करते समय, आपको एक निश्चित समय अवधि के भीतर रखने की आवश्यकता होती है

समस्या का अंतिम समाधान लेख में शामिल नहीं किया गया था, लेकिन यह किया जा सकता है ताकि पासवर्ड के निश्चित हिस्से को कई बार दर्ज नहीं करना पड़े।

मान लीजिए कि पासवर्ड का निश्चित भाग तयशुदा है, और Google प्रमाणक 567 987 का हिस्सा है। ऑपेंकोनकट का पूरा पासवर्ड मानक इनपुट के माध्यम से तर्क --पासवार्ड-ऑन-स्टडिन का उपयोग करके पारित किया जा सकता है।

 echo "fixedPassword567987" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 --user poxvuibr vpn.evilcorp.com --passwd-on-stdin 

अब आप लगातार अंतिम दर्ज की गई कमांड पर वापस लौट सकते हैं और वहां केवल Google प्रमाणक का हिस्सा बदल सकते हैं।

कॉर्पोरेट वीपीएन इंटरनेट का उपयोग करने की अनुमति नहीं देता है।

सामान्य तौर पर, यह बहुत असुविधाजनक नहीं होता है जब एक हब पर जाने के लिए आपको एक अलग कंप्यूटर का उपयोग करना पड़ता है। स्टैकओवरफॉ के साथ कॉपी और पेस्ट करने की क्षमता की कमी आम तौर पर काम को पंगु बना सकती है, इसलिए कुछ करने की आवश्यकता है।

किसी तरह व्यवस्थित करना आवश्यक है, ताकि जब आपको आंतरिक नेटवर्क से संसाधन पर जाने की आवश्यकता हो, तो लिनक्स vpn पर जाता है, और जब आपको हब पर जाने की आवश्यकता होती है, तो यह इंटरनेट पर जाता है।

vpn के साथ संबंध स्थापित करने और स्थापित करने के बाद openconnect, एक विशेष स्क्रिप्ट निष्पादित करता है, जो / usr / share / vpnc-script / vpnc-script में स्थित है। कुछ चर इनपुट स्क्रिप्ट में स्थानांतरित किए जाते हैं, और यह vpn कॉन्फ़िगरेशन करता है। दुर्भाग्य से, मैं यह पता नहीं लगा सका कि कॉरपोरेट वीपीएन और इंटरनेट के बाकी ट्रैफिक प्रवाह को देशी स्क्रिप्ट का उपयोग करके कैसे विभाजित किया जाए।

मेरे जैसे लोगों के लिए विशेष रूप से, वीपीएन-स्लाइस उपयोगिता विकसित की गई थी, जो आपको दो चैनलों के माध्यम से टैम्पोरिन के साथ नृत्य किए बिना यातायात को निर्देशित करने की अनुमति देती है। ठीक है, अर्थात्, आपको नृत्य करना होगा, लेकिन एक जादूगर आवश्यक नहीं है।

वीपीएन-स्लाइस के साथ यातायात विभाजित करें

सबसे पहले, वीपीएन-स्लाइस स्थापित करना होगा, आपको इसे अपने दम पर पता लगाना होगा। यदि टिप्पणियों में प्रश्न हैं, तो मैं इस बारे में एक अलग पोस्ट लिखूंगा। लेकिन यह एक नियमित अजगर कार्यक्रम है, इसलिए इसमें कोई कठिनाई नहीं होनी चाहिए। मैंने virtualenv का उपयोग करके सेट किया है।

और फिर आपको उपयोगिता का उपयोग करने की आवश्यकता है - ऑप्सिट कुंजी का उपयोग करते हुए openconnect का संकेत है कि मानक स्क्रिप्ट के बजाय आपको वीपीएन-स्लाइस का उपयोग करने की आवश्यकता है

 echo "fixedPassword567987" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 --user poxvuibr --passwd-on-stdin \ --script "./bin/vpn-slice 192.168.430.0/24 " vpn.evilcorp.com 

इनस्क्रिप्ट में, एक लाइन को कमांड के साथ पास किया जाता है जिसे स्क्रिप्ट के बजाय कॉल करने की आवश्यकता होती है। ./bin/vpn-slice - vpn-slice निष्पादन योग्य फ़ाइल के लिए पथ 192.168.430.0/24 - वीपीएन में जाने के लिए पतों का मुखौटा। यहाँ, मेरा मतलब है कि यदि पता १ ९ २.१६30.४३० से शुरू होता है, तो इस पते के साथ संसाधन वीपीएन के अंदर खोजा जाना चाहिए

अब स्थिति लगभग सामान्य होनी चाहिए। लगभग। अब आप हब में लॉग इन कर सकते हैं और आप आंतरिक कॉर्पोरेट संसाधन में आईपी द्वारा लॉग इन कर सकते हैं, लेकिन आप प्रतीकात्मक नाम से आंतरिक कॉर्पोरेट संसाधन में लॉग इन नहीं कर सकते। यदि आप मेजबानों में प्रतीकात्मक नाम और पते के पत्राचार को पंजीकृत करते हैं, तो सब कुछ काम करना चाहिए। और आईपी बदलने तक काम करें। लिनक्स अब इंटरनेट या कॉर्पोरेट नेटवर्क पर जाने में सक्षम है, जो आईपी पर निर्भर करता है। लेकिन गैर-कॉर्पोरेट DNS का उपयोग अभी भी पता निर्धारित करने के लिए किया जाता है।

समस्या अभी भी इस रूप में खुद को प्रकट कर सकती है - काम पर सब कुछ ठीक है, और घर पर आप केवल आईपी द्वारा आंतरिक कॉर्पोरेट संसाधनों का उपयोग कर सकते हैं। ऐसा इसलिए है क्योंकि जब आप कॉरपोरेट वाई-फाई से जुड़े होते हैं, तो कॉरपोरेट डीएनएस का भी उपयोग किया जाता है, और इसमें वीपीएन संकल्प से सांकेतिक पते, हालांकि वीपीएन का उपयोग किए बिना ऐसे पते पर जाना अभी भी असंभव है।

मेजबानों फ़ाइल का स्वचालित संशोधन

यदि आप विनम्रता से वीपीएन-स्लाइस पूछते हैं, तो वीपीएन बढ़ाने के बाद, यह अपने डीएनएस पर जा सकता है, वहां उनके प्रतीकात्मक नामों से आवश्यक संसाधनों के आईपी पते ढूंढ सकता है और उन्हें मेजबानों में दर्ज कर सकता है। वीपीएन बंद होने के बाद, ये पते मेजबानों से हटा दिए जाएंगे। ऐसा करने के लिए, तर्कों के रूप में वीपीएन-स्लाइस को प्रतीकात्मक नाम दें। वहां तुम जाओ।

 echo "fixedPassword567987" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 --user poxvuibr --passwd-on-stdin --script "./bin/vpn-slice 192.168.430.0/24 jira.vpn.evilcorp.com git.vpn.evilcorp.com " vpn.evilcorp.com 

अब सब कुछ कार्यालय और समुद्र तट दोनों पर काम करना चाहिए।

VPN द्वारा दिए गए DNS में सभी उप-डोमेन के पते खोजें

यदि नेटवर्क के भीतर कुछ पते हैं, तो मेजबान फ़ाइल को स्वचालित रूप से संशोधित करने के साथ दृष्टिकोण काफी काम कर रहा है। लेकिन अगर नेटवर्क पर बहुत सारे संसाधन हैं, तो आपको स्क्रिप्ट zoidberg में zoidberg.test.evilcorp.com जैसी लाइनों को लगातार जोड़ना होगा, यह एक टेस्ट स्टैंड का नाम है।

लेकिन अब हमें इस बात की थोड़ी समझ है कि इस जरूरत को क्यों खत्म किया जा सकता है।

अगर, वीपीएन बढ़ाने के बाद, / etc / मेजबानों में देखें, तो आप देख सकते हैं, यहाँ एक पंक्ति है

192.168.430.534 dns0.tun0 # vpn-slice-tun0 AUTOCREATED

हां, और एक नई लाइन को resolv.conf में जोड़ा गया था। संक्षेप में, वीपीएन-स्लाइस किसी तरह निर्धारित किया जाता है कि वीपीएन के लिए डीएनएस सर्वर कहां स्थित है।

अब हमें यह सुनिश्चित करने की ज़रूरत है कि डोमेन का नाम पता पता करने के लिए, जो कि badcorp.com में समाप्त हो रहा है, लिनक्स कॉर्पोरेट डीएनएस में चला गया, और अगर कुछ और चाहिए, तो डिफ़ॉल्ट रूप से।

मैं एक लंबे समय के लिए googled और पाया कि इस तरह की कार्यक्षमता बॉक्स से बाहर ubunt में है। यह नामों को हल करने के लिए स्थानीय डीएनएस dnsmasq सर्वर का उपयोग करने की क्षमता को संदर्भित करता है।

यही है, आप कर सकते हैं लिनक्स हमेशा आईपी पते के लिए स्थानीय डीएनएस सर्वर पर जाएं, जो बदले में, डोमेन नाम के आधार पर, इसी बाहरी डीएनएस सर्वर पर आईपी की तलाश करेगा।

नेटवर्क और नेटवर्क कनेक्शन से संबंधित सभी चीज़ों को प्रबंधित करने के लिए, Ubunt ने NetworkManager का उपयोग किया है, और चयन के लिए चित्रमय इंटरफ़ेस, उदाहरण के लिए, एक वाई-फाई कनेक्शन बस इसके सामने है।

हमें इसके विन्यास में चढ़ने की आवश्यकता होगी।

1. /Etc/NetworkManager/dnsmasq.d/evilcorp में फ़ाइल बनाएँ

पता = /। badcorp.com/192.168.430.534

बुराईकॉर्प से पहले बिंदु पर ध्यान दें। यह dnsmasq को इंगित करता है कि सभी badcorp.com सबडोमेंस को कॉर्पोरेट डीएनएस में खोजा जाना चाहिए।

1. बताएं NetworkManager नामों को हल करने के लिए dnsmasq का उपयोग करता है

नेटवर्क-प्रबंधक कॉन्फ़िगरेशन /etc/NetworkManager/NetworkManager.conf में स्थित है। आपको वहां जोड़ना होगा:

[मुख्य]
dns = dnsmasq

1. नेटवर्क प्रबंधक को पुनरारंभ करें

 service network-manager restart 

अब, openconnect और vpn-slice का एक गुच्छा का उपयोग करके वीपीएन से कनेक्ट करने के बाद, आईपी सामान्य रूप से पता लगाया जाएगा भले ही आप vpnslice के तर्कों के लिए प्रतीकात्मक पते न जोड़ें।

अलग-अलग सेवाओं के लिए वीपीएन के माध्यम से कैसे जाना है

वीपीएन से जुड़ने के बाद, मैं दो दिनों के लिए बहुत खुश था, और फिर यह पता चला कि यदि आप वीपीएन से कनेक्ट करते हैं तो कार्यालय नेटवर्क से नहीं, मेल काम नहीं करता है। एक परिचित लक्षण, है ना?

हमारा मेल mail.publicevilcorp.com में है, जिसका अर्थ है कि यह dnsmasq में नियम के तहत नहीं आता है और मेल सर्वर का पता सार्वजनिक DNS के माध्यम से खोजा जाता है।

खैर, कार्यालय अभी भी DNS का उपयोग करता है जिसमें यह पता है। यही है, मैंने ऐसा सोचा। वास्तव में, dnsmasq के लिए एक लाइन जोड़ने के बाद

पता = / mail.publicevilcorp.com / 192.168.430.534

स्थिति नहीं बदली है। आईपी ​​वही रहा। मुझे काम पर जाना था।

और केवल तब, जब मैंने स्थिति में देरी की और समस्या को थोड़ा हल किया, एक स्मार्ट व्यक्ति ने मुझे बताया कि इसे कैसे हल किया जाए। मेल सर्वर को न केवल उस तरह से कनेक्ट करना आवश्यक था, बल्कि वीपीएन के माध्यम से

मैं वीपीएन-स्लाइस का उपयोग वीपीएन के माध्यम से उन पतों पर जाने के लिए करता हूं जो 192.168.430 से शुरू होते हैं। और मेल सर्वर पर, केवल प्रतीकात्मक पता ही नहीं है, यह एक बुराई का उपडोमेन है, इसमें एक आईपी पता भी है जो 192.168.430 से शुरू नहीं होता है। और निश्चित रूप से वह किसी को भी सामान्य नेटवर्क से बाहर नहीं जाने देता।

वीपीएन और मेल सर्वर के माध्यम से जाने के लिए लिनक्स के लिए, आपको इसे वीपीएन-स्लाइस में जोड़ना होगा। मान लीजिए कि मेलर का पता 555.555.555.555 है

 echo "fixedPassword567987" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 --user poxvuibr --passwd-on-stdin --script "./bin/vpn-slice 555.555.555.555 192.168.430.0/24" vpn.evilcorp.com 

एक तर्क के साथ वीपीएन बढ़ाने के लिए स्क्रिप्ट

यह सब, ज़ाहिर है, बहुत सुविधाजनक नहीं है। हां, आप टेक्स्ट को किसी फ़ाइल में सहेज सकते हैं और उसे अपने हाथों से टाइप करने के बजाय कंसोल पर कॉपी-पेस्ट कर सकते हैं, लेकिन यह अभी भी पर्याप्त सुखद है। प्रक्रिया को सुविधाजनक बनाने के लिए, आप उस पटकथा में कमांड को लपेट सकते हैं जो पीएटीएच में स्थित होगी। और फिर आपको केवल Google प्रमाणक से प्राप्त कोड दर्ज करना होगा

 #!/bin/sh echo "fixedPassword$1" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 --user poxvuibr --passwd-on-stdin \ --script "./bin/vpn-slice 192.168.430.0/24 jira.vpn.evilcorp.com git.vpn.evilcorp.com " vpn.evilcorp.com 

यदि आप स्क्रिप्ट को कनेक्ट ~ badcorp ~ में रखते हैं तो आप बस कंसोल में लिख सकते हैं

 connect_evil_corp 567987 

लेकिन अब, वैसे भी, किसी कारण से आपको उस कंसोल को रखना होगा जिसमें openconnect खुला चल रहा है

Openconnect पृष्ठभूमि में लॉन्च

सौभाग्य से, openconnect के लेखकों ने हमारी देखभाल की और कार्यक्रम में एक विशेष कुंजी - बैकग्राउंड जोड़ा, जो लॉन्च के बाद कार्यक्रम को पृष्ठभूमि में काम करता है। यदि आप इसे इस तरह चलाते हैं, तो लॉन्च के बाद आप कंसोल को बंद कर सकते हैं

 #!/bin/sh echo "fixedPassword$1" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 \ --user poxvuibr \ --passwd-on-stdin \ --background \ --script "./bin/vpn-slice 192.168.430.0/24 jira.vpn.evilcorp.com git.vpn.evilcorp.com " vpn.evilcorp.com 

अब यह स्पष्ट नहीं है कि लॉग कहाँ जाते हैं। लॉग आमतौर पर वास्तव में हमारे लिए आवश्यक नहीं हैं, लेकिन आप कभी नहीं जानते हैं। openconnect उन्हें syslog पर पुनर्निर्देशित कर सकता है, जहां उन्हें बरकरार रखा जाएगा। आपको --syslog कुंजी को कमांड में जोड़ने की आवश्यकता है

 #!/bin/sh echo "fixedPassword$1" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 \ --user poxvuibr \ --passwd-on-stdin \ --background \ --syslog \ --script "./bin/vpn-slice 192.168.430.0/24 jira.vpn.evilcorp.com git.vpn.evilcorp.com " vpn.evilcorp.com \ 

और इसलिए, यह पता चला है कि openconnect पृष्ठभूमि में कहीं काम कर रहा है और किसी को परेशान नहीं करता है, लेकिन इसे कैसे रोकें यह स्पष्ट नहीं है। यह है, आप निश्चित रूप से, एक निकास के साथ ps निकास को फ़िल्टर कर सकते हैं और एक प्रक्रिया की तलाश कर सकते हैं जिसके नाम में openconnect है, लेकिन यह किसी तरह से नीरस है। उन लेखकों के लिए धन्यवाद, जिन्होंने इस बारे में सोचा। Openconnect में thepid-file कुंजी है, जिसकी सहायता से आप openconnect को इसकी प्रक्रिया आईडी को फ़ाइल में लिखने का निर्देश दे सकते हैं।

 #!/bin/sh echo "fixedPassword$1" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 \ --user poxvuibr \ --passwd-on-stdin \ --background \ --syslog \ --script "./bin/vpn-slice 192.168.430.0/24 jira.vpn.evilcorp.com git.vpn.evilcorp.com " vpn.evilcorp.com \ --pid-file ~/vpn-pid 

अब आप हमेशा कमांड के साथ प्रक्रिया को कील कर सकते हैं

 kill $(cat ~/vpn-pid) 

यदि कोई प्रक्रिया नहीं है, तो हत्या कसम खाएगी, लेकिन यह एक त्रुटि नहीं फेंकेगी। यदि कोई फ़ाइल नहीं है, तो कुछ भी बुरा नहीं होगा, इसलिए आप स्क्रिप्ट की पहली पंक्ति में प्रक्रिया को सुरक्षित रूप से मार सकते हैं।

 kill $(cat ~/vpn-pid) #!/bin/sh echo "fixedPassword$1" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 \ --user poxvuibr \ --passwd-on-stdin \ --background \ --syslog \ --script "./bin/vpn-slice 192.168.430.0/24 jira.vpn.evilcorp.com git.vpn.evilcorp.com " vpn.evilcorp.com \ --pid-file ~/vpn-pid 

अब आप कंप्यूटर को चालू कर सकते हैं, कंसोल खोल सकते हैं और कमांड चला सकते हैं, इसे Google प्रमाणक से कोड पास कर सकते हैं। कंसोल को तब nailed किया जा सकता है।

वीपीएन-स्लाइस के बिना। एक आफ्टरवर्ड के बजाय

यह समझना बहुत मुश्किल था कि वीपीएन-स्लाइस के बिना कैसे रहना है। मुझे बहुत कुछ और गूगल पढ़ना था। सौभाग्य से, जब मैंने समस्या के साथ इतना समय बिताया, तो तकनीकी मैनुअल और यहां तक ​​कि मैन ऑपनेंकनेक्ट को रोमांचक उपन्यासों की तरह पढ़ा गया।

नतीजतन, मुझे पता चला कि देशी स्क्रिप्ट की तरह वीपीएन-स्लाइस, अलग नेटवर्क के लिए रूटिंग टेबल को संशोधित करता है।

रूटिंग टेबल

सरल शब्दों में, पहले कॉलम में ऐसी तालिका जिसमें वह पता होता है जहां लिनक्स जाना चाहता है, और दूसरे में जिसके माध्यम से नेटवर्क एडेप्टर इस पते पर जाना चाहिए। वास्तव में, अधिक कॉलम हैं, लेकिन यह सार नहीं बदलता है।

रूटिंग टेबल देखने के लिए, आपको आईपी रूट कमांड चलाने की आवश्यकता है

 default via 192.168.1.1 dev wlp3s0 proto dhcp metric 600 192.168.430.0/24 dev tun0 scope link 192.168.1.0/24 dev wlp3s0 proto kernel scope link src 192.168.1.534 metric 600 192.168.430.534 dev tun0 scope link 

यहां, प्रत्येक पंक्ति ज़िम्मेदार है कि किसी पते पर संदेश भेजने के लिए कहाँ जाना है। पहला विवरण है जहां पता शुरू होना चाहिए। यह समझने के लिए कि 192.168.0.0/16 का निर्धारण कैसे किया जाता है, इसका मतलब है कि पता 192.168 से शुरू होना चाहिए, आपको यह जानना होगा कि आईपी पते का मुखौटा क्या है। देव के बाद एडेप्टर का नाम है जिस पर संदेश भेजा जाना चाहिए।

वीपीएन के लिए, लिनक्स ने एक वर्चुअल एडॉप्टर बनाया - tun0। 192.168 से शुरू होने वाले सभी पतों के लिए ट्रैफ़िक के लिए, इसके माध्यम से जाने के लिए, लाइन का जवाब

 192.168.0.0/16 dev tun0 scope link 

आप रूट-एन कमांड का उपयोग करके राउटिंग टेबल की वर्तमान स्थिति को भी देख सकते हैं (आईपी पते गुमनाम रूप से प्रतिभाशाली हैं) यह कमांड एक अलग रूप में परिणाम उत्पन्न करता है और आमतौर पर पदावनत किया जाता है, लेकिन इसका निकास अक्सर ऑनलाइन मैनुअल में आता है और आपको इसे पढ़ने में सक्षम होने की आवश्यकता है।

मार्ग के लिए आईपी पते को कहां से शुरू किया जाना चाहिए, इसे डेस्टिनेशन और जेनमास्क कॉलम के संयोजन से समझा जा सकता है। जिन आईपी एड्रेस के कुछ हिस्से जिनमे Genmask में 255 नंबर होते हैं, को ध्यान में रखा जाता है, और जहाँ 0 नहीं है। यही है, डेस्टिनेशन 192.168.0.0 और जेनमस्क 255.255.255.0 के संयोजन का मतलब है कि यदि पता 192.168.0 से शुरू होता है, तो इसके लिए एक अनुरोध इस मार्ग पर चलेगा। और यदि गंतव्य 192.168.0.0 है, लेकिन जेनमास्क 255.255.0.0 है, तो 192.168 से शुरू होने वाले पतों का अनुरोध इस मार्ग पर चलेगा

वीपीएन-स्लाइस वास्तव में क्या करता है, यह पता लगाने के लिए, मैंने पहले और बाद में तालिकाओं की स्थिति को देखने का फैसला किया

वीपीएन चालू करने से पहले, यह इस तरह था

 route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 222.222.222.1 0.0.0.0 UG 600 0 0 wlp3s0 222.222.222.0 0.0.0.0 255.255.255.0 U 600 0 0 wlp3s0 333.333.333.333 222.222.222.1 255.255.255.255 UGH 0 0 0 wlp3s0 

वीपीएन-स्लाइस के बिना ओपेनकनेक्ट को कॉल करने के बाद ऐसा हो गया

 route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 tun0 0.0.0.0 222.222.222.1 0.0.0.0 UG 600 0 0 wlp3s0 222.222.222.0 0.0.0.0 255.255.255.0 U 600 0 0 wlp3s0 333.333.333.333 222.222.222.1 255.255.255.255 UGH 0 0 0 wlp3s0 192.168.430.0 0.0.0.0 255.255.255.0 U 0 0 0 tun0 192.168.430.534 0.0.0.0 255.255.255.255 UH 0 0 0 tun0 

और इस तरह vpn-slice के साथ संयोजन में openconnect कॉल करने के बाद

 Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 222.222.222.1 0.0.0.0 UG 600 0 0 wlp3s0 222.222.222.0 0.0.0.0 255.255.255.0 U 600 0 0 wlp3s0 333.333.333.333 222.222.222.1 255.255.255.255 UGH 0 0 0 wlp3s0 192.168.430.0 0.0.0.0 255.255.255.0 U 0 0 0 tun0 192.168.430.534 0.0.0.0 255.255.255.255 UH 0 0 0 tun0 

यह देखा जा सकता है कि यदि आप vpn-slice का उपयोग नहीं करते हैं, तो openconnect स्पष्ट रूप से लिखता है कि आपको vpn से होकर अलग-अलग इंगित किए गए सभी पते पर जाना चाहिए।

यहां:

 0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 tun0 

पास ही में तुरंत एक और रास्ता दिखाया गया जिसका उपयोग किया जाना चाहिए यदि पता है कि लिनक्स जिस माध्यम से जाने की कोशिश कर रहा है वह तालिका से किसी भी मुखौटा से मेल नहीं खाता है।

 0.0.0.0 222.222.222.1 0.0.0.0 UG 600 0 0 wlp3s0 

यहां पहले ही लिखा जा चुका है कि इस मामले में आपको मानक वाई-फाई अडैप्टर से गुजरना होगा।

मेरा मानना ​​है कि वीपीएन के लिए पथ का उपयोग किया जाता है क्योंकि यह रूटिंग टेबल में पहला है।

और सैद्धांतिक रूप से, यदि आप रूटिंग टेबल से इस डिफ़ॉल्ट पथ को हटाते हैं, तो dnsmasq openconnect के साथ मिलकर सामान्य ऑपरेशन करना चाहिए।

मैंने कोशिश की

 route del default 

और इसने काम किया।

वीपीएन-स्लाइस के बिना मेल सर्वर के लिए रूटिंग अनुरोध

लेकिन मेरे पास 555.555.555.555 पते के साथ एक मेल सर्वर भी है, जिसे आपको vpn से गुजरना होगा। इसका मार्ग भी हाथ से जोड़ना होगा।

 ip route add 555.555.555.555 via dev tun0 

और अब सभी नियम। तो आप वीपीएन-स्लाइस के बिना कर सकते हैं, लेकिन आपको पहले से ही अच्छी तरह से जानना होगा कि आप क्या कर रहे हैं। मैं अब डिफ़ॉल्ट मार्ग को हटाने और मेलर के लिए मार्ग जोड़ने के बारे में सोच रहा हूँ, जो कि openconnect देशी स्क्रिप्ट की अंतिम पंक्ति में vpn से जुड़ने के बाद, बस मेरी बाइक में चलते भागों की संख्या को छोटा करने के लिए।

संभवतः, कोई व्यक्ति यह समझने के लिए कि वीपीएन को कैसे कॉन्फ़िगर किया जाए, इसके बाद पर्याप्त होगा। लेकिन जब मैं यह समझने की कोशिश कर रहा था कि यह क्या और कैसे करना है, तो मैंने बहुत सारे ऐसे मैनुअल पढ़े जो लेखक के लिए काम करते हैं, लेकिन किसी कारण से मेरे लिए काम नहीं करते हैं और मुझे जो भी टुकड़े मिले, उन्हें यहाँ जोड़ने का फैसला किया। मैं ऐसा कुछ करके बहुत खुश होऊंगा।