Акадо+OpenVPN?

Меж тем, по следам вчерашней ужасной страшилки нам сообщают, что конкретно у Акадо и конкретно OpenVPN (и конкретно в штаты, если это существенно) - не работает. В точности как на роеме пишут (пункт 4).

Я вот не являюсь пользователем ни OpenVPN, ни Акадо, однако интересно.

Может кто-то у себя попробовать?

Comments

1. зачем ты рекламируешь эту помойку?
2. еще К лет назад у одного провайдера в районе волги в договре были запрещены всякие туннели. и нет, шифрование не причем. это они денех за трафик хотели, что бы не делали туннель по дешевому трафику и потом лишали их прибыли за дорогой трафик.
3. две минуты в гугле и http://www.akado.ru/office/faq/technical/
===
Фильтруется ли в сети АКАДО протокол GRE (Generic Routing Encapsulation)?
АКАДО не фильтрует протокол GRE, и никакие другие протоколы туннелирования также не фильтруются (при использовании внешнего IP адреса).
Возможна ли в сети АКАДО работа через VPN (Virtual Private Network)?
Да, возможна. При доступе с внешним IP-адресом никаких ограничений нет.
===
если у абонента приватный адрес, то ему сложнее.

4. зачем ты рекламируешь эту помойку?

Какую из помоек, Роем или Акадо?

Вообще, я никого не рекламирую. Мне сказали следущее (голосом)
- три месяца назад проблем у Акадо+OpenVPN не было
- сегодня - есть проблемы, не ходит.
В промежутке - не проверяли.

Вот я и пытаюсь понять, что происходит. Понять. Не отрекламировать.

Вообще-то у OpenVPN-сервера есть замечательная фича - способность отличать запросы HTTPS от собственных. Так что ее сервер можно вполне перевесить на 443-й порт. И ругаться по поводу "а почему у меня HTTPS не работает".

Роем-не роем, какая тебе разница на кого я ссылаюсь. Может я Юре хочу приятное сделать.

Вместе с тем, я же вообще не про это спрашиваю, а про другое - "работает ли VPN из Акады в штаты, а если нет - то почему".

Роем

помойка же.
ссылается на хабр
помойка же.
ссылается на жж.
ну вот хочется поковыряться -- на оригинал в жж ссылку давай, а в этих двух помойках глаза об каменты ломаются.

Вообще, я никого не рекламирую. Мне сказали следущее (голосом)
- три месяца назад проблем у Акадо+OpenVPN не было
- сегодня - есть проблемы, не ходит.
В промежутке - не проверяли.

Вот я и пытаюсь понять, что происходит. Понять. Не отрекламировать.

а чего тут понимать?
1. все врут.
2. винда? ну сами сломали.

3. один раз я встречался косвенно с провайдером, у которого ESP зарезан был. провайдер -- прибалтийский.

Все врут - обоюдоостро. Не винда.

ну а tcpdump-то запускался?

Cейчас - некогда разбираться, снимаю. Yota работает, нет блокировок.

о да, времени на это надо дофига.
аж 10 секунд.
в жж строчить дольше.

Дяденька, 10 секундами тут не обойдется.

о да, о да, и это ты рассказываешь человеку, у которого tcpdump -- основной рабочий инструмент. ну после почтового клиента.

Вот тебе - десять секунд. А человеку, который последний раз этим полгода назад пользовался - сначала полдня маны читать.

tcpdump -ni имяинтерфеса

Вот именно. Основной рабочий инструмент.

А если не основной инструмент - то не 10. Лично я обычно минут 10 только вспоминаю как там правила писать, чтобы все говно не вываливал, делая сначала полсотни ошибок.

Выдержку при люминисцетнтых лампах сколько времени ставите?

"P"!

А надо, если частота сети 50 Гц, 1/50 или 1/25. В крайнем случае - 1/100.

лампы уже давно другие, кстатии надо проверить (что другие).

Не всегда другие, и не всегда балласт работает надежно, обеспечивая постоянный баланс белого вне зависимости от выдержки; и не всегда все лампы в помешении ведут себя достаточно одинаково.

Мой случай был не для tcpdump'а - после установления сессии при попытке доступа к серверу связь попросту обрывалась.

Не всегда другие, и не всегда балласт работает надежно, обеспечивая постоянный баланс белого вне зависимости от выдержки; и не всегда все лампы в помешении ведут себя достаточно одинаково.
да у меня в помещении один хрен темновато, там по любому на "P" 1/20 и меньше выходит.

Мой случай был не для tcpdump'а - после установления сессии при попытке доступа к серверу связь попросту обрывалась.
э нет, правильное описание картины проишествия вытащить черезвычайно сложно. поэтому tcpdump позволил бы увидеть интенсивный обмен трафиком и задать правильные уточняющие вопросы.

т.е. даже если он сразу не позволяет локализировать проблему, он позволяет откинуть лишние варианты и увидеть варианты таки имеющие отношение к проблеме.

Люменисцентные лампы работают в противофазе парами. А снимать все равно со вспышкой.

> Люменисцентные лампы работают в противофазе парами.

Кому - как.

> А снимать все равно со вспышкой.

Если баланса белого на фоне не жалко, можно.

не надо тут (в таких случаях) фильтры писать.
можешь полезное отфильтровать. лучше торнеты выключи.

Роем-не роем, какая тебе разница на кого я ссылаюсь
большая эстетическая разница

Мой блог, на кого хочу - на того и ссылаюсь.

OpenVPN не использует GRE. Она использует обычный UDP или даже TCP. Именно поэтому OpenVPN-овские туннели прекрасно работают (хотя и небыстро, потому что TCP over TCP) через всякие NAT-ы.

это не важно в данном случае (наезде)

В моем случае настройка на TCP, 443 порт.

маленькое дополнение (а то непонятно получилось): небыстро - это только в случае туннеля через TCP, с UDP такой проблемы нет.

И не работает?

Может быть они пытаются что-то вот такое
применять? Что будет если сходить на какой-нибудь нормальный https-сайт, и внимательно посмтотреть на отдаваемый им сертификат?

Пока не используют. Я сижу за ними, на сервере на 443 сидит свой протокол, не https. Всё работает через нат без проблем.

Да. Но в гостиницах TCP/443 вызывает меньше проблем.

Ну с UDP-туннели через NAT-ы без специальных ухищрений со стороны админа NAT-а вообще не работают.

с чего бы это?

"через NAT-ы без специальных ухищрений со стороны админа NAT-а вообще не работают" те протоколы, в которых внутри сообщений передаются IP-адреса клиента/сервера (тот же ftp или sip).

у openvpn такой проблемы нет, если нет сознательной фильтрации - то он работает через NAT

Какие проблемы?

хотя да, вспомнил - у нас живёт какой-то VPN-over-UDP (кажется от клиент-банка, а может быть от какой-нибудь сдачи отчётности), в котором фиксирован порт клиента.
Соответсвенно из локальной сети через NAT не более одного клиента может подключиться, а у нас несколько организаций - пришлось разносить на разные внешние IP.

но опять же - у openvpn и этой проблемы нет (он отвечает на тот порт, с которого пришёл запрос).
работает некоторое количество туннелей через UDP с клиентами за NAT, никаких проблем.

Буду знать.

>хотя да, вспомнил - у нас живёт какой-то VPN-over-UDP
>(кажется от клиент-банка, а может быть от какой-нибудь
>сдачи отчётности), в котором фиксирован порт клиента.

если "континент" - то порт можно поменять в свойствах ppp адаптера

Я вот являюсь пользователем Akado, и OpenVPN туннель на место работы жены у меня на домашней машине поднят.
При этом я спокойно зашел с работы домой по ssh (тоже, кстати, шифрованный траффик) и проверил что VPN работает, зайдя lynx-ом на интранетовский сайт в той сети, куда ведет vpn.

Thanx.

IP-адрес - внешний и статический (см. выше цитату из faq)?

Ну если я туда снаружи зашел по ssh...

У меня туда MX моего домена показывает, И не только MX но и www и _jabber._tcp SRV тоже.

Может ты через туннель зашел, кто тебя знает.

Проще явно спросить.

У меня в конфиге openvpn vpn написано следующее:
client
dev tun
proto tcp
remote xxx.xxx.ru 1194
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
comp-lzo

Первоисточник там какой-то совершенно непонятной компетенции: http://zlotyt.livejournal.com/83095.html?thread=582551#t582551

Не, это ТАМ первоисточник.

А "первоисточник" моего поста жалуется на то же самое прямо вот голосом в телефон.

Потому и интересно докопаться до деталей.

если нет 10 секунд на запуск tcpdump - то шансов докопаться до деталей -- нуль.

Ты как-то непонятно возбудился на этот пост, это что-то личное?

Я всего-лишь хочу получить *еще* данных. От других источников. Вот от Витуса уже получил.

мне кажется нужно разбираться в данном конкретном случае - какой VPN, как настроен, ...

Илья, как я понимаю, будет разбираться, как только дойдут руки.

Вместе с тем, независимые данные тоже интересны, если "у всех" не работает - то может и разбираться уже не надо.

Разобрался. Вроде. Акадо связку TCP/443 пропускает. Техническая поддержка фильтрацию отрицает, говорит - была маленькая проблема, спасибо, сейяас поправим. И похоже, поправили.

оно по нарастающей.
меня раздражают хабр и роем.
меня бесят люди, которые не могут потратить 10 секунд на то, что бы воспользоваться инструментальными средствами (проверить кабель, убедиться что протокол UP, количество ошибок и прочее [не про этот случай], запустить tcpdump), но будут перебирать 100500 теоретических построений.

У меня на этой неделе перестал работать шифрованный SSL-ем ICQ через pidgin. Ничего у себя не апгрейдил. Если отключить SSL в клиенте - работает, если включить - не может зарегистрироваться (От https://api.oscar.aol.com/aim/startOSCARSession получен неожиданный ответ: Ok).
Jabber в том же клиенте как работал, так и работает.

это icqшные проделки. писали про это.

Подумал щас и обновил pidgin-2.7.1 до 2.7.5 и всё прошло.

Извините, был напуган.

Понятно... Ну, тут, увы, больше ничем помочь не могу, я ушёл из акады обратно в кверти полгода назад по причине её адской ненадёжности и наплевательства суппорта. Кверти, правда, аплоад торрентов фильтрует, сцуки, но это уж лютый оффтоп.

Использую через Акадо дома Cisco VPN для соединения через Долгопрудный с 8 городами РФ.

Использую также шифрованый канал с аппаратным ключом (Remote Access to HP network 6.2) в Германию, Израиль, ЮАР.

Работает отлично.

Я готов поставить на выходных (если будет время) OpenVPN дома под Linux и проверить - потестить в меру своих ламерских сил. Куда коннектиться, на какой сервер, явки-пароли?

Давайте дождемся развлечений Ильи с tcpdump, если виновный не будет найден, будем дальше разбираться.

акадо есть разное, есть бывшие домашние сетки, купленные акадой (там в основном на эзернете), и есть собственная сеть на доксисе
в феврале переехал из одного района (с эзернет-сетью) в другой (с доксис)
пользоваться акадо стало совершенно невозможно:
- весь днс-трафик заворачивают на свои днс-сервера (и на нем блокируют всякие кавказцентры и прочий "экстремизм")
- постоянно рвутся vpn и ssh-сессии, буквально отвернешься чаю налить, и привет - "коннекция закрыта удаленным хостом" (особенно бесило ночью, когда разбудит смс от нагиоса, лезешь починять, идешь налить чаю, по пути просыпаясь - а там привет, оборванная сессия)

в итоге после 2-х месяцев мучений перешел на другого провайдера

Add new comment