TIL iptables NETMAP, feature intéressante!

petite note pour mémoire et partage :

• Étendre le broadcast domain du VRACK d'ovh sur le RPNv2 d'online c'est assez simple avec OpenVPN, il suffit de passer le serveur en net bridge
• Penser à activer le proxying ARP sur les interfaces private (lartc.org/howto/lartc.bridging.proxy-arp.html) internes aux vrack/rpn
• Pour augmenter la taille de la bande passante disponible et assurer le failover sans problème, une single AS BGP (ou OSPF, j'ai pas été trop loin sur mes tests) avec des annonces rapides fait le taf, j'ai mis chaque routeur au même niveau de poids
• Les neighbors BGP qui partagent leurs plages d'adresses (BGP et statique) sont au sein du même vlan privé, les interco 1:1 openvpn sont uniquement destinées à assurer le transport

Au final j'ai ~60Mbps de bande passante entre chaque routeur, pour un total dépassant les 100Mbps, la stack réseau agit comme un switch transparent entre les deux réseaux. Les performances en 1:1 sont correctes, mais tributaires de la bande passante d'un seul routeur (sadly, j'ai pas réussi à faire de multipath sur ça). Par contre, la stack exprime tout son potentiel sur les transferts many:many

la bonne vieille technique pour faire du networking PROPRE :-) comme disent les gens d'openvpn "c'est pas facile le réseau, alors plutôt que d'essayer de prendre des raccourcis, essayez d'apprendre à pratiquer correctement"

you can try to reneg-sec 0 in your server.conf:

https://duo.com/docs/openvpn

https://tldrify.com/m80

j'ai essayé différents éléments de configuration dans openvpn pour arriver à cette conclusion là finalement, ça a été un gros GROS calvaire de résoudre ce pb parce que l'option n'est pas beaucoup utilisée ni documentée, et que peu de gens ont un setup 3FA sur openvpn ...

vu ici :https://upandclear.org/2017/01/26/client-openvpn-android-complet/
que c'est un client openvpn @ android audité

putain ENFIN quelqu'un qui a pris le temps de détailler son processus, promis je fias un blogpost ou quelque chose quand j'aurais fini

via https://ecirtam.net/links/?mVxTUA

Partager le port 443 entre OpenVPN et un serveur web

Éditer le fichier de configuration du serveur, exemple un OpenVPN sous Yunohost :
nano /etc/openvpn/yunohost.conf
Modifier le protocole UDP part TCP :
proto tcp
Indiquer le port :
port 443
Ajouter la directive port-share :
port-share 127.0.0.1 1443
Éditer le fichier de configuration du client VPN (toujours dans le cas de Yunohost) :
nano var/www/openvpn/domaine.tld.ovpn 
Changer le port d’écoute :
remote domaine.tld 443
Changer le port d’écoute pour le serveur web :
Nginx :
sed -i -e "s/443/1443/g" /etc/nginx/conf.d/*.conf
Apache2 :
sed -i -e "s/443/1443/g" /etc/apache2/ports.conf
Relancer les services :
Serveur web Nginx :
systemctl restart nginx
Serveur web Apache2 :
systemctl restart apache2
Serveur OpenVPN :
systemctl restart openvpn
ou pour Yunohost :
systemctl restart openvpn@yunohost.service
Test de connexion du serveur OpenVPN et du serveur web sur le port 443

Test du serveur OpenVPN :
sudo openvpn domaine.tld.ovpn

Interesting! via Oros links

Petite update de mon vpn pour le rendre un peu plus bulletproof, c'est assez fou de voir ce qu'on peut faire avec openvpn, très simplement!

Un role ansible pour openvpn

Une fois que j'aurais fini mon petit setup a moi j'irias peut être ailleurs :) mais bon le support est super cool compétent et ils rechignent pas à filer des mois gratuits !
Pour IPredator :

1. We keep connection logs for debugging purposes, which happens encrypted and off-site. Connection logs contain information for debugging PPTP client issues. We try to store the least amount legally possible anywhere. IP-addresses are encrypted and can only be decrypted by non-support staff to ensure a proper process. For example, to work around issues where the police ruffles up the support staff a bit to get data for an abuse report. In the database we only store the details users give us on sign-up and a limited backlog of payments.

2. Sweden.

3. Usually we only receive email, therefore we drop anything that has DMCA in the subject. If they want something they need to send us a letter or a fax or send the police. Most of the time we get complaints for running the TPB proxy or the TOR servers.

4. PaySafe, BitCoins, PayPal, PaySon, AlertPay

Une doc conseillée par le support d'ipredator, a lire et appliquer avant de revenir vers eux :)

une autre doc que je veux pas perdre pcq elle est bien :)

--mark value
Mark encrypted packets being sent with value. The mark value can be matched in policy routing and packetfilter rules. This option is only supported in Linux and does nothing on other operating systems.

dispo uniquement en v2.3 du coup .. je l'ai installée !