Акадо+OpenVPN?
lexa - 19/Ноя/2010 11:17
Меж тем, по следам вчерашней ужасной страшилки нам сообщают, что конкретно у Акадо и конкретно OpenVPN (и конкретно в штаты, если это существенно) - не работает. В точности как на роеме пишут (пункт 4).
Я вот не являюсь пользователем ни OpenVPN, ни Акадо, однако интересно.
Может кто-то у себя попробовать?
Comments
1. зачем ты рекламируешь эту помойку? 2. еще К лет назад у о
1. зачем ты рекламируешь эту помойку?
2. еще К лет назад у одного провайдера в районе волги в договре были запрещены всякие туннели. и нет, шифрование не причем. это они денех за трафик хотели, что бы не делали туннель по дешевому трафику и потом лишали их прибыли за дорогой трафик.
3. две минуты в гугле и http://www.akado.ru/office/faq/technical/
===
Фильтруется ли в сети АКАДО протокол GRE (Generic Routing Encapsulation)?
АКАДО не фильтрует протокол GRE, и никакие другие протоколы туннелирования также не фильтруются (при использовании внешнего IP адреса).
Возможна ли в сети АКАДО работа через VPN (Virtual Private Network)?
Да, возможна. При доступе с внешним IP-адресом никаких ограничений нет.
===
если у абонента приватный адрес, то ему сложнее.
4. зачем ты рекламируешь эту помойку?
Какую из помоек, Роем или Акадо? Вообще, я никого не реклам
Какую из помоек, Роем или Акадо?
Вообще, я никого не рекламирую. Мне сказали следущее (голосом)
- три месяца назад проблем у Акадо+OpenVPN не было
- сегодня - есть проблемы, не ходит.
В промежутке - не проверяли.
Вот я и пытаюсь понять, что происходит. Понять. Не отрекламировать.
Вообще-то у OpenVPN-сервера есть замечательная фича - способ
Вообще-то у OpenVPN-сервера есть замечательная фича - способность отличать запросы HTTPS от собственных. Так что ее сервер можно вполне перевесить на 443-й порт. И ругаться по поводу "а почему у меня HTTPS не работает".
Роем помойка же. ссылается на хабр помойка же. ссылается на
Роем
помойка же.
ссылается на хабр
помойка же.
ссылается на жж.
ну вот хочется поковыряться -- на оригинал в жж ссылку давай, а в этих двух помойках глаза об каменты ломаются.
Вообще, я никого не рекламирую. Мне сказали следущее (голосом)
- три месяца назад проблем у Акадо+OpenVPN не было
- сегодня - есть проблемы, не ходит.
В промежутке - не проверяли.
Вот я и пытаюсь понять, что происходит. Понять. Не отрекламировать.
а чего тут понимать?
1. все врут.
2. винда? ну сами сломали.
3. один раз я встречался косвенно с провайдером, у которого ESP зарезан был. провайдер -- прибалтийский.
Роем-не роем, какая тебе разница на кого я ссылаюсь. Может я
Роем-не роем, какая тебе разница на кого я ссылаюсь. Может я Юре хочу приятное сделать.
Вместе с тем, я же вообще не про это спрашиваю, а про другое - "работает ли VPN из Акады в штаты, а если нет - то почему".
Все врут - обоюдоостро. Не винда.
Все врут - обоюдоостро. Не винда.
ну а tcpdump-то запускался?
ну а tcpdump-то запускался?
Cейчас - некогда разбираться, снимаю. Yota работает, нет бло
Cейчас - некогда разбираться, снимаю. Yota работает, нет блокировок.
о да, времени на это надо дофига. аж 10 секунд. в жж строчит
о да, времени на это надо дофига.
аж 10 секунд.
в жж строчить дольше.
Дяденька, 10 секундами тут не обойдется.
Дяденька, 10 секундами тут не обойдется.
о да, о да, и это ты рассказываешь человеку, у которого tcpd
о да, о да, и это ты рассказываешь человеку, у которого tcpdump -- основной рабочий инструмент. ну после почтового клиента.
Вот тебе - десять секунд. А человеку, который последний раз
Вот тебе - десять секунд. А человеку, который последний раз этим полгода назад пользовался - сначала полдня маны читать.
tcpdump -ni имяинтерфеса
tcpdump -ni имяинтерфеса
Выдержку при люминисцетнтых лампах сколько времени ставите?
Выдержку при люминисцетнтых лампах сколько времени ставите?
Вот именно. Основной рабочий инструмент. А если не основно
Вот именно. Основной рабочий инструмент.
А если не основной инструмент - то не 10. Лично я обычно минут 10 только вспоминаю как там правила писать, чтобы все говно не вываливал, делая сначала полсотни ошибок.
"P"!
"P"!
А надо, если частота сети 50 Гц, 1/50 или 1/25. В крайнем сл
А надо, если частота сети 50 Гц, 1/50 или 1/25. В крайнем случае - 1/100.
лампы уже давно другие, кстатии надо проверить (что другие).
лампы уже давно другие, кстатии надо проверить (что другие).
Не всегда другие, и не всегда балласт работает надежно, обес
Не всегда другие, и не всегда балласт работает надежно, обеспечивая постоянный баланс белого вне зависимости от выдержки; и не всегда все лампы в помешении ведут себя достаточно одинаково.
Мой случай был не для tcpdump'а - после установления сессии при попытке доступа к серверу связь попросту обрывалась.
<q>Не всегда другие, и не всегда балласт работает надежно, о
Не всегда другие, и не всегда балласт работает надежно, обеспечивая постоянный баланс белого вне зависимости от выдержки; и не всегда все лампы в помешении ведут себя достаточно одинаково.
да у меня в помещении один хрен темновато, там по любому на "P" 1/20 и меньше выходит.
Мой случай был не для tcpdump'а - после установления сессии при попытке доступа к серверу связь попросту обрывалась.
э нет, правильное описание картины проишествия вытащить черезвычайно сложно. поэтому tcpdump позволил бы увидеть интенсивный обмен трафиком и задать правильные уточняющие вопросы.
т.е. даже если он сразу не позволяет локализировать проблему, он позволяет откинуть лишние варианты и увидеть варианты таки имеющие отношение к проблеме.
Люменисцентные лампы работают в противофазе парами. А снимат
Люменисцентные лампы работают в противофазе парами. А снимать все равно со вспышкой.
> Люменисцентные лампы работают в противофазе парами. Кому
> Люменисцентные лампы работают в противофазе парами.
Кому - как.
> А снимать все равно со вспышкой.
Если баланса белого на фоне не жалко, можно.
не надо тут (в таких случаях) фильтры писать. можешь полезно
не надо тут (в таких случаях) фильтры писать.
можешь полезное отфильтровать. лучше торнеты выключи.
<q>Роем-не роем, какая тебе разница на кого я ссылаюсь</q> б
Роем-не роем, какая тебе разница на кого я ссылаюсь
большая эстетическая разница
Мой блог, на кого хочу - на того и ссылаюсь.
Мой блог, на кого хочу - на того и ссылаюсь.
OpenVPN не использует GRE. Она использует обычный UDP или да
OpenVPN не использует GRE. Она использует обычный UDP или даже TCP. Именно поэтому OpenVPN-овские туннели прекрасно работают (хотя и небыстро, потому что TCP over TCP) через всякие NAT-ы.
это не важно в данном случае (наезде)
это не важно в данном случае (наезде)
В моем случае настройка на TCP, 443 порт.
В моем случае настройка на TCP, 443 порт.
маленькое дополнение (а то непонятно получилось): небыстро -
маленькое дополнение (а то непонятно получилось): небыстро - это только в случае туннеля через TCP, с UDP такой проблемы нет.
И не работает? Может быть они пытаются <a href="http://www.
И не работает?
Может быть они пытаются что-то вот такое
применять? Что будет если сходить на какой-нибудь нормальный https-сайт, и внимательно посмтотреть на отдаваемый им сертификат?
Пока не используют. Я сижу за ними, на сервере на 443 сидит
Пока не используют. Я сижу за ними, на сервере на 443 сидит свой протокол, не https. Всё работает через нат без проблем.
Ну с UDP-туннели через NAT-ы без специальных ухищрений со ст
Ну с UDP-туннели через NAT-ы без специальных ухищрений со стороны админа NAT-а вообще не работают.
Да. Но в гостиницах TCP/443 вызывает меньше проблем.
Да. Но в гостиницах TCP/443 вызывает меньше проблем.
с чего бы это? "через NAT-ы без специальных ухищрений со ст
с чего бы это?
"через NAT-ы без специальных ухищрений со стороны админа NAT-а вообще не работают" те протоколы, в которых внутри сообщений передаются IP-адреса клиента/сервера (тот же ftp или sip).
у openvpn такой проблемы нет, если нет сознательной фильтрации - то он работает через NAT
хотя да, вспомнил - у нас живёт какой-то VPN-over-UDP (кажет
хотя да, вспомнил - у нас живёт какой-то VPN-over-UDP (кажется от клиент-банка, а может быть от какой-нибудь сдачи отчётности), в котором фиксирован порт клиента.
Соответсвенно из локальной сети через NAT не более одного клиента может подключиться, а у нас несколько организаций - пришлось разносить на разные внешние IP.
но опять же - у openvpn и этой проблемы нет (он отвечает на тот порт, с которого пришёл запрос).
работает некоторое количество туннелей через UDP с клиентами за NAT, никаких проблем.
Какие проблемы?
Какие проблемы?
Буду знать.
Буду знать.
>хотя да, вспомнил - у нас
>хотя да, вспомнил - у нас живёт какой-то VPN-over-UDP
>(кажется от клиент-банка, а может быть от какой-нибудь
>сдачи отчётности), в котором фиксирован порт клиента.
если "континент" - то порт можно поменять в свойствах ppp адаптера
Я вот являюсь пользователем Akado, и OpenVPN туннель на мест
Я вот являюсь пользователем Akado, и OpenVPN туннель на место работы жены у меня на домашней машине поднят.
При этом я спокойно зашел с работы домой по ssh (тоже, кстати, шифрованный траффик) и проверил что VPN работает, зайдя lynx-ом на интранетовский сайт в той сети, куда ведет vpn.
Thanx. IP-адрес - внешний и статический (см. выше цитату из
Thanx.
IP-адрес - внешний и статический (см. выше цитату из faq)?
Ну если я туда снаружи зашел по ssh... У меня туда MX моег
Ну если я туда снаружи зашел по ssh...
У меня туда MX моего домена показывает, И не только MX но и www и _jabber._tcp SRV тоже.
Может ты через туннель зашел, кто тебя знает. Проще явно сп
Может ты через туннель зашел, кто тебя знает.
Проще явно спросить.
У меня в конфиге openvpn vpn написано следующее: client dev
У меня в конфиге openvpn vpn написано следующее:
client
dev tun
proto tcp
remote xxx.xxx.ru 1194
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
comp-lzo
Первоисточник там какой-то совершенно непонятной компетенции
Первоисточник там какой-то совершенно непонятной компетенции: http://zlotyt.livejournal.com/83095.html?thread=582551#t582551
Не, это ТАМ первоисточник. А "первоисточник" моего поста жа
Не, это ТАМ первоисточник.
А "первоисточник" моего поста жалуется на то же самое прямо вот голосом в телефон.
Потому и интересно докопаться до деталей.
если нет 10 секунд на запуск tcpdump - то шансов докопаться
если нет 10 секунд на запуск tcpdump - то шансов докопаться до деталей -- нуль.
Ты как-то непонятно возбудился на этот пост, это что-то личн
Ты как-то непонятно возбудился на этот пост, это что-то личное?
Я всего-лишь хочу получить *еще* данных. От других источников. Вот от Витуса уже получил.
мне кажется нужно разбираться в данном конкретном случае - к
мне кажется нужно разбираться в данном конкретном случае - какой VPN, как настроен, ...
Илья, как я понимаю, будет разбираться, как только дойдут ру
Илья, как я понимаю, будет разбираться, как только дойдут руки.
Вместе с тем, независимые данные тоже интересны, если "у всех" не работает - то может и разбираться уже не надо.
Разобрался. Вроде. Акадо связку TCP/443 пропускает. Техничес
Разобрался. Вроде. Акадо связку TCP/443 пропускает. Техническая поддержка фильтрацию отрицает, говорит - была маленькая проблема, спасибо, сейяас поправим. И похоже, поправили.
оно по нарастающей. меня раздражают хабр и роем. меня бесят
оно по нарастающей.
меня раздражают хабр и роем.
меня бесят люди, которые не могут потратить 10 секунд на то, что бы воспользоваться инструментальными средствами (проверить кабель, убедиться что протокол UP, количество ошибок и прочее [не про этот случай], запустить tcpdump), но будут перебирать 100500 теоретических построений.
У меня на этой неделе перестал работать шифрованный SSL-ем I
У меня на этой неделе перестал работать шифрованный SSL-ем ICQ через pidgin. Ничего у себя не апгрейдил. Если отключить SSL в клиенте - работает, если включить - не может зарегистрироваться (От https://api.oscar.aol.com/aim/startOSCARSession получен неожиданный ответ: Ok).
Jabber в том же клиенте как работал, так и работает.
это icqшные проделки. писали про это.
это icqшные проделки. писали про это.
Подумал щас и обновил pidgin-2.7.1 до 2.7.5 и всё прошло. И
Подумал щас и обновил pidgin-2.7.1 до 2.7.5 и всё прошло.
Извините, был напуган.
Понятно... Ну, тут, увы, больше ничем помочь не могу, я ушёл
Понятно... Ну, тут, увы, больше ничем помочь не могу, я ушёл из акады обратно в кверти полгода назад по причине её адской ненадёжности и наплевательства суппорта. Кверти, правда, аплоад торрентов фильтрует, сцуки, но это уж лютый оффтоп.
Акадо: Cisco VPN работает
Использую через Акадо дома Cisco VPN для соединения через Долгопрудный с 8 городами РФ.
Использую также шифрованый канал с аппаратным ключом (Remote Access to HP network 6.2) в Германию, Израиль, ЮАР.
Работает отлично.
Я готов поставить на выходных (если будет время) OpenVPN дома под Linux и проверить - потестить в меру своих ламерских сил. Куда коннектиться, на какой сервер, явки-пароли?
Давайте дождемся развлечений
Давайте дождемся развлечений Ильи с tcpdump, если виновный не будет найден, будем дальше разбираться.
акадо есть разное, есть
акадо есть разное, есть бывшие домашние сетки, купленные акадой (там в основном на эзернете), и есть собственная сеть на доксисе
в феврале переехал из одного района (с эзернет-сетью) в другой (с доксис)
пользоваться акадо стало совершенно невозможно:
- весь днс-трафик заворачивают на свои днс-сервера (и на нем блокируют всякие кавказцентры и прочий "экстремизм")
- постоянно рвутся vpn и ssh-сессии, буквально отвернешься чаю налить, и привет - "коннекция закрыта удаленным хостом" (особенно бесило ночью, когда разбудит смс от нагиоса, лезешь починять, идешь налить чаю, по пути просыпаясь - а там привет, оборванная сессия)
в итоге после 2-х месяцев мучений перешел на другого провайдера