Pokiaľ tam pridám ešte prepínače -debug -msg tak vidím, že pri ServerHello prejde 1297/4035 bajtov a ďalej je ticho. Asi by som pátral po nejakom probléme s fragmentáciou paketov po ceste (MTU, PMTUD, atd.)
… a predpokladam ze aj vas tes bol urobeny z VPS?
… a z osobneho pocitaca je komunikacia kompletna?
Inak, tie prepinace su sikovne.
On 13 Nov 2021, at 16:11, Kamil Kukura kamil.kukura@pentatri.cz wrote:
Pokiaľ tam pridám ešte prepínače -debug -msg tak vidím, že pri ServerHello prejde 1297/4035 bajtov a ďalej je ticho. Asi by som pátral po nejakom probléme s fragmentáciou paketov po ceste (MTU, PMTUD, atd.)
-- Kamil tel.: +420 910 128 153
Mam taku mensiu zahadu…
na prikaz [1] zadany cez ssh na mojej vps:
openssl s_client -connect www.sczsk.sk:443 -tls1_2
…dostavam len ciastocnu odpoved:
CONNECTED(00000003)
…a nic viac.
Na ten isty prikaz na iny server - (napriklad) nabezky.sk - dostanem komplet odpoved.
Z mojho pocitaca doma, prikaz [1] tiez vrati ocakavane data.
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Ahoj,
hraju si s OpenVPN / NordVPN a nejde mi to. Na lokále (Ubuntu na laptopu) zcela bez problémů, jak přes nordvpn tak openvpn3 klienty.
Na VPS po připojení k VPN všechno utichne (tcpdump -i tun0, tcpdump -i venet0) a je po žížalkách. Routování vypadá takhle:
Nevíte náhodou někdo čím by to mohlo být ?
Když to shodím (openvpn3 session-manage --config nordvpn.ovpn --disconnect), začne hned zas na venet0 být veselo.
Díky moc, už jsem s tím ztratil půl víkendu.
Marek
On 2021-11-14 13:56, Marek Tichy wrote:
Ahoj,
hraju si s OpenVPN / NordVPN a nejde mi to. Na lokále (Ubuntu na laptopu) zcela bez problémů, jak přes nordvpn tak openvpn3 klienty.
Na VPS po připojení k VPN všechno utichne (tcpdump -i tun0, tcpdump -i venet0) a je po žížalkách. Routování vypadá takhle:
Ahoj,
tam je ta chyba prave pekne videt - porovnej to s routovaci tabulkou pred zapnutim toho vpn klienta, po zapnuti ji pokazi tak, ze to nefunguje; asi ty rozdily bude chtit doresit nejakym "route-up" skriptem v konfiguraci toho OpenVPN klienta.
Routovaci tabulka na VPS se lisi od bezneho setupu proto, ze takhle jsme schopni smerovat primo konkretni /32 IPv4 adresy na dane VPSky podle potreby; nemusime resit, po jakych subnetech jsme kde sehnali IP adresy, nemusime v tech subnetech tak rezervovat adresy pro routery a nehrozi spoofing packetu na L2 vrstve.
Nevyhodou je, ze s tim takhle ruzne automagic setup skripty nemusi pocitat a je potreba to doladit rucne.
Btw, jaka je motivace bezet VPN klienta na VPS tak, aby pres nej sel traffic ven? My traffic nelogujeme a ani se k tomu nechystame :) Pokud potrebujes anonymne do netu z VPS, pridej mu privatni IPv4 adresu tak, aby byla prvni, tim pujde to VPS do netu pres spolecny NAT.
/snajpa
Ahoj,
díky moc za odpověď.
Routovací tabulka před zapnutím toho vpn klienta mi nepřijde nijak komplexní.
Spíš mi přijde jako vypiglovaná výloha prodejny suvenýrů v Muzeu nul.
Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface 0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 venet0
No, nevím kde je pes, pakety pomocí -t mangle označím, větev už si pomocí OpenVPN nepodřezávám (route-nopull), alternativní routovací tabulka pro označené pakety je
Destination Gateway Genmask Flags MSS Window irtt Iface
10.7.0.0 0.0.0.0 255.255.255.0 U 0 0 0 tun0 0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 tun0
ale na tun0 se ten paket nikdy neobjeví. Asi jsem na základce chyběl, když jsme brali iptables-legacy a ip.
Nevadí, poradil jsem si jinak. RE BTW nejde o anonymitu, ale o lokaci. S tou privátní adresou díky za tip a popis data retention policy, určitě někdy využiju :-).
Díky
Marek
On 14. 11. 21 15:29, Pavel Snajdr wrote:
On 2021-11-14 13:56, Marek Tichy wrote:
Ahoj,
hraju si s OpenVPN / NordVPN a nejde mi to. Na lokále (Ubuntu na laptopu) zcela bez problémů, jak přes nordvpn tak openvpn3 klienty.
Na VPS po připojení k VPN všechno utichne (tcpdump -i tun0, tcpdump -i venet0) a je po žížalkách. Routování vypadá takhle:
Ahoj,
tam je ta chyba prave pekne videt - porovnej to s routovaci tabulkou pred zapnutim toho vpn klienta, po zapnuti ji pokazi tak, ze to nefunguje; asi ty rozdily bude chtit doresit nejakym "route-up" skriptem v konfiguraci toho OpenVPN klienta.
Routovaci tabulka na VPS se lisi od bezneho setupu proto, ze takhle jsme schopni smerovat primo konkretni /32 IPv4 adresy na dane VPSky podle potreby; nemusime resit, po jakych subnetech jsme kde sehnali IP adresy, nemusime v tech subnetech tak rezervovat adresy pro routery a nehrozi spoofing packetu na L2 vrstve.
Nevyhodou je, ze s tim takhle ruzne automagic setup skripty nemusi pocitat a je potreba to doladit rucne.
Btw, jaka je motivace bezet VPN klienta na VPS tak, aby pres nej sel traffic ven? My traffic nelogujeme a ani se k tomu nechystame :) Pokud potrebujes anonymne do netu z VPS, pridej mu privatni IPv4 adresu tak, aby byla prvni, tim pujde to VPS do netu pres spolecny NAT.
/snajpa _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Ahoj,
Routovací tabulka před zapnutím toho vpn klienta mi nepřijde nijak komplexní.
Spíš mi přijde jako vypiglovaná výloha prodejny suvenýrů v Muzeu nul.
to bude oboje tim, ze do vylohy prodejny suvenyru patri ten nastroj, kterym se snazis na tu routovaci tabulku divat.
Evidentne ukazuje nesmysly, co neodpovidaji tomu, co je tam realne nastavene :)
Zkus popojet trochu do soucasnosti a pouzit 'ip', konkretne 'ip route show' v tomhle pripade ;)
/snajpa
Tak uznávám, že jsem už poněkud staršího data a netstat -nr (a netstat -tupln) v mé neuronové síti zfosilnatěly natolik, že kolikrát ani nevím, že jsem je napsal.
# ip route show default dev venet0 scope link
ukazuje nemlich to samé, jen jazykem mileniálů, ale na to nevím, jaké muzeum bych pro to vymyslel :-)
M
On 15. 11. 21 9:02, Pavel Snajdr wrote:
Ahoj,
Routovací tabulka před zapnutím toho vpn klienta mi nepřijde nijak komplexní.
Spíš mi přijde jako vypiglovaná výloha prodejny suvenýrů v Muzeu nul.
to bude oboje tim, ze do vylohy prodejny suvenyru patri ten nastroj, kterym se snazis na tu routovaci tabulku divat.
Evidentne ukazuje nesmysly, co neodpovidaji tomu, co je tam realne nastavene :)
Zkus popojet trochu do soucasnosti a pouzit 'ip', konkretne 'ip route show' v tomhle pripade ;)
/snajpa _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Učit se novější nástroje, které odpovídají době - a hlavně jádru, na kterém běžíte - je určitě dobře, ale v tomhle případě je problém vidět i z toho, co jste poslal předtím: po zapnutí VPN máte jako výchozí bránu zařízení tap0, tedy VPN, pro všechen síťový provoz.
Tj. pakety, které mají jít k tomu VPN serveru přímo, se místo toho směrují do té VPN, takže s tím VPN serverem ztratíte spojení. Je to docela obvyklý problém při snaze o nastavení "všechen provoz přes VPN", určitě různě po internetu najdete sto a jeden návod, jak to řešit.
On 15. 11. 21 10:03, Marek Tichy wrote:
Tak uznávám, že jsem už poněkud staršího data a netstat -nr (a netstat -tupln) v mé neuronové síti zfosilnatěly natolik, že kolikrát ani nevím, že jsem je napsal.
# ip route show default dev venet0 scope link
ukazuje nemlich to samé, jen jazykem mileniálů, ale na to nevím, jaké muzeum bych pro to vymyslel :-)
M
On 15. 11. 21 9:02, Pavel Snajdr wrote:
Ahoj,
Routovací tabulka před zapnutím toho vpn klienta mi nepřijde nijak komplexní.
Spíš mi přijde jako vypiglovaná výloha prodejny suvenýrů v Muzeu nul.
to bude oboje tim, ze do vylohy prodejny suvenyru patri ten nastroj, kterym se snazis na tu routovaci tabulku divat.
Evidentne ukazuje nesmysly, co neodpovidaji tomu, co je tam realne nastavene :)
Zkus popojet trochu do soucasnosti a pouzit 'ip', konkretne 'ip route show' v tomhle pripade ;)
/snajpa _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
On 2021-11-15 10:11, Jirka Bourek wrote:
Učit se novější nástroje, které odpovídají době - a hlavně jádru, na kterém běžíte - je určitě dobře, ale v tomhle případě je problém vidět i z toho, co jste poslal předtím: po zapnutí VPN máte jako výchozí bránu zařízení tap0, tedy VPN, pro všechen síťový provoz.
Tj. pakety, které mají jít k tomu VPN serveru přímo, se místo toho směrují do té VPN, takže s tím VPN serverem ztratíte spojení. Je to docela obvyklý problém při snaze o nastavení "všechen provoz přes VPN", určitě různě po internetu najdete sto a jeden návod, jak to řešit.
Pardon, se mi ztratila druha odpoved, co jsem posilal hned na tu s 'ip' - tady se bavime stale o stare OpenVZ platforme. Chtelo by to posunout nad novejsi vpsAdminOS spis driv, nez pozdeji, i kdyby to nesouviselo - OpenVZ uz neni podporovana platforma pro beh v podstate cehokoliv novejsiho, to uz jen doziva.
Tak treba bude problem nekde tim smerem...
/snajpa
Tipnul bych si, že tím to nebude, OpenVPN ze zkušenosti do kategorie "čehokoliv novějšího" moc nepatří.
Pardon, se mi ztratila druha odpoved, co jsem posilal hned na tu s 'ip'
- tady se bavime stale o stare OpenVZ platforme. Chtelo by to posunout
nad novejsi vpsAdminOS spis driv, nez pozdeji, i kdyby to nesouviselo - OpenVZ uz neni podporovana platforma pro beh v podstate cehokoliv novejsiho, to uz jen doziva.
Tak treba bude problem nekde tim smerem...
/snajpa _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Bože, jak bych se asi díval do té alternativní routovací tabulky jinak než pomocí
#ip route show table vpn
Stačilo.
Problém není, že ztratím spojení a na to jsem si ani nestěžoval. Problém je, že v okamžiku kdy ma jít přes tun0 podle routovací tabulky všechno, nejde přes něj vůbec nic. Ale to je jedno.
Jen jsem se ptal, jestli někdo nemá nějaký nápad. Používám openvpn3 klienta který ma release co měsíc celý rok 2021.
Moc rád přejdu na vpsAdminOS, jen mě teď trochu začíná děsit představa, že se při tom budu muset na něco zeptat. Ne že by to tomuhle problému pomohlo, ale něčemu nebo někomu to asi pomůže, no.
Co mám udělat ? "Contact our support at podpora@vpsfree.cz if you wish to schedule a migration." ?
M
On 15. 11. 21 10:11, Jirka Bourek wrote:
Učit se novější nástroje, které odpovídají době - a hlavně jádru, na kterém běžíte - je určitě dobře, ale v tomhle případě je problém vidět i z toho, co jste poslal předtím: po zapnutí VPN máte jako výchozí bránu zařízení tap0, tedy VPN, pro všechen síťový provoz.
Tj. pakety, které mají jít k tomu VPN serveru přímo, se místo toho směrují do té VPN, takže s tím VPN serverem ztratíte spojení. Je to docela obvyklý problém při snaze o nastavení "všechen provoz přes VPN", určitě různě po internetu najdete sto a jeden návod, jak to řešit.
On 15. 11. 21 10:03, Marek Tichy wrote:
Tak uznávám, že jsem už poněkud staršího data a netstat -nr (a netstat -tupln) v mé neuronové síti zfosilnatěly natolik, že kolikrát ani nevím, že jsem je napsal.
# ip route show default dev venet0 scope link
ukazuje nemlich to samé, jen jazykem mileniálů, ale na to nevím, jaké muzeum bych pro to vymyslel :-)
M
On 15. 11. 21 9:02, Pavel Snajdr wrote:
Ahoj,
Routovací tabulka před zapnutím toho vpn klienta mi nepřijde nijak komplexní.
Spíš mi přijde jako vypiglovaná výloha prodejny suvenýrů v Muzeu nul.
to bude oboje tim, ze do vylohy prodejny suvenyru patri ten nastroj, kterym se snazis na tu routovaci tabulku divat.
Evidentne ukazuje nesmysly, co neodpovidaji tomu, co je tam realne nastavene :)
Zkus popojet trochu do soucasnosti a pouzit 'ip', konkretne 'ip route show' v tomhle pripade ;)
/snajpa _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Moc rád přejdu na vpsAdminOS, jen mě teď trochu začíná děsit představa, že se při tom budu muset na něco zeptat. Ne že by to tomuhle problému pomohlo, ale něčemu nebo někomu to asi pomůže, no.
Co mám udělat ? "Contact our support at podpora@vpsfree.cz if you wish to schedule a migration." ?
Ono je mozna lepsi resit konkretni problemy na podpore, kdy u toho zminis konkretni VPS ID a nejaky reproducer, ze "tohle zkousim a takhle mi to nejde, mrknete na to pls nekdo" - takhle je to totiz hodne obecne loveni a vychazi to na celkem dost mailu sem-tam, nez prijdeme na to, kde je problem :)
Nemusis nutne na vyzkouseni prechazet s celou VPS, staci udelat testovaci na playgroundu nebo stagingu.
https://kb.vpsfree.cz/navody/vps/playgroundvps
/snajpa
… a predpokladam ze aj vas tes bol urobeny z VPS?
… a z osobneho pocitaca je komunikacia kompletna?
Inak, tie prepinace su sikovne.
Ahoj,
mne to doma (UPC/Vodafone) dela uplne to same, co z datacentra, visi to hodne dlouho na tom CONNECTED(00000003), nez to umre na timeoutu.
Jak psal Kamil, problem bude asi nekde na siti bliz k tomu www.sczsk.sk serveru (nebo mozna primo sitova konfigurace toho serveru).
/snajpa
Asi mam moj domaci pocitac nejak zvlastne nakonfigurovany ze mi to odtial funguje.
Dakujem vsetkym za pomoc.
On 14 Nov 2021, at 15:33, Pavel Snajdr snajpa@snajpa.net wrote:
… a predpokladam ze aj vas tes bol urobeny z VPS? … a z osobneho pocitaca je komunikacia kompletna? Inak, tie prepinace su sikovne.
Ahoj,
mne to doma (UPC/Vodafone) dela uplne to same, co z datacentra, visi to hodne dlouho na tom CONNECTED(00000003), nez to umre na timeoutu.
Jak psal Kamil, problem bude asi nekde na siti bliz k tomu www.sczsk.sk serveru (nebo mozna primo sitova konfigurace toho serveru).
/snajpa _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Zahada vyriesena - server www.sczsk.sk blokuje IP adresy zo zahranicia.
On 15 Nov 2021, at 07:50, Alexander Zatko alexander.zatko@nabezky.sk wrote:
Asi mam moj domaci pocitac nejak zvlastne nakonfigurovany ze mi to odtial funguje.
Dakujem vsetkym za pomoc.
On 14 Nov 2021, at 15:33, Pavel Snajdr snajpa@snajpa.net wrote:
… a predpokladam ze aj vas tes bol urobeny z VPS? … a z osobneho pocitaca je komunikacia kompletna? Inak, tie prepinace su sikovne.
Ahoj,
mne to doma (UPC/Vodafone) dela uplne to same, co z datacentra, visi to hodne dlouho na tom CONNECTED(00000003), nez to umre na timeoutu.
Jak psal Kamil, problem bude asi nekde na siti bliz k tomu www.sczsk.sk serveru (nebo mozna primo sitova konfigurace toho serveru).
/snajpa _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
community-list@lists.vpsfree.cz
-
Alexander Zatko -
Jirka Bourek -
Kamil Kukura -
Marek Tichy -
Pavel Snajdr