Вбокс, и по ку ему
Apr. 23rd, 2022 05:57 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
phd_ruЗвонит мне на неделе главный сисадмин мед. центра и говорит: "Руководство требует защитить сеть по максимуму. Так что есть предложение убрать сервер oper.med.ru из Интернета, оставить только во внутренней сети НЦХ."
Для нашего отдела это важный сервер, мой 84-летний шеф на работу редко ездит, процессы из дома смотрит. Использует несколько дисков, которые я ему Самбой экспортирую. Плюс собственно сайт. Перед тем, как убирать, надо его предупредить. Позвонил, предупредил.
Сам тем временем подсчитываю штрафные очки. Раньше я этот сервер использовал для VPN внутрь локальной сети. Теперь мне надо иметь какой-то другой VPN. У меня уже был один для доступа к VMWare (oper.med.ru много лет назад стал виртуалкой, что удобно, потому что мне не надо ездить в Москву когда маршрутизация ломается и нужна консоль), но через этот VPN видно только VMWaрь. Звоню обратно старшему сисадмину, спрашиваю, не мог бы он мне расширить маршрутизацию. А он говорит, мы тут всем на микротике делаем vpn, тебе тоже будет. А, ok, OpenVPN, это хорошо, это я умею. Потому что VPN для VMWaря IPSec+L2TP, он у меня в Windows настроен, потому что он только для клиента vSphere, который тоже только в Windows. А Windows у меня в окошке VirtualBox в Линуксе.
Я тем не менее напрягся, и научился настраивать IPSec+L2TP в Линуксе. Пусть будет. Особенно с учётом того, что в андроиде почему-то не подключается.
Ну и "последняя" проверка — запускаю VirtualBox, чтобы проверить, что доступ к консоли у меня сохранится. А он не запускается. Я бился с ним час, так и не смог. Что-то капитально сломалось с тех пор как я его последний раз запускал.
Давным-давно,кажется, в прошлую пятницу
Удалил VirtualBox и все виртуалки, поставил QEMU, создал новый пустой образ, запускаю установку Windows. Процесс часа на полтора. После ставлю клиент VMWare. Инсталлятор говорит, нет места. Я 10 гигабайт выделил, а чёртов виндовоз всё забрал. Ok, расширяю место до 15G. Клиент VMWare — нет места. 20G — только тогда процесс пошёл.
Запускаю клиент vSphere, подключаюсь к серверу, открываю консоль. Вот теперь, наконец, можно убрать внешний IP, прописать внутренней сетевой карте внутренний шлюз и проверить, что хотя бы изнутри наружу я могу.
И вот на такую фигню ушёл полный рабочий день. Дурацкая профессия. Компьютеры — зло.
К этому времени я догадался, что можно попытаться настроить VPN изнутри наружу. Я раньше не знал термина Reverse VPN, теперь знаю. Мне даже настраивать почти ничего не пришлось — только научить WireGuard посылать пакетики keep alive для фиксации доступа снаружи вовнутрь.
На следующий день молодой админ прислал конфиг OpenVPN для подключения. Я подключился, а у меня половина внутренних IP недоступна. Я звоню, и мы совместно выясняем, что те хосты, которые настраивал молодой, работают. А которые налаживал старший сисадмин — не работают. :-D А мне именно недоступные нужны. Один хост молодой сам починил. Остальные на следующей неделе они совместно. Жду, мне не срочно, у меня сейчас вся внутренняя сеть доступна через мой обратный VPN.
Чтобы жить было веселее, я вчера случайно удалил виртуалку с виндоусом. Пришлось ещё раз ставить заново, и клиент VMWare ставить и настраивать.
Итого: произошла запланированная замена VBox на QEMU; произошла немного непланово, в середине другой работы. Я научился IPSec+L2TP в Linux. У меня есть мой VPN внутрь сети, и скоро будет официяльный. Я лишился многих виртуалок, т.е. освободил много места; при следующем бэкапе на USB'ные диски и там место освободится.
Минусы: потрачено очень много времени на пустяковую задачу. Нужно научить моего шефа пользоваться oper.med.ru только с внутренним адресом. AnyDesk у них у всех стоит на внутренних компьютерах, а для доступа из домашнего браузера придётся шефу ставить и настраивать OpenVPN. Я лишился многих виртуалок; не все из них нужны, но некоторые придётся восстанавливать.
X-Post в ЖЖ.
Для нашего отдела это важный сервер, мой 84-летний шеф на работу редко ездит, процессы из дома смотрит. Использует несколько дисков, которые я ему Самбой экспортирую. Плюс собственно сайт. Перед тем, как убирать, надо его предупредить. Позвонил, предупредил.
Сам тем временем подсчитываю штрафные очки. Раньше я этот сервер использовал для VPN внутрь локальной сети. Теперь мне надо иметь какой-то другой VPN. У меня уже был один для доступа к VMWare (oper.med.ru много лет назад стал виртуалкой, что удобно, потому что мне не надо ездить в Москву когда маршрутизация ломается и нужна консоль), но через этот VPN видно только VMWaрь. Звоню обратно старшему сисадмину, спрашиваю, не мог бы он мне расширить маршрутизацию. А он говорит, мы тут всем на микротике делаем vpn, тебе тоже будет. А, ok, OpenVPN, это хорошо, это я умею. Потому что VPN для VMWaря IPSec+L2TP, он у меня в Windows настроен, потому что он только для клиента vSphere, который тоже только в Windows. А Windows у меня в окошке VirtualBox в Линуксе.
Я тем не менее напрягся, и научился настраивать IPSec+L2TP в Линуксе. Пусть будет. Особенно с учётом того, что в андроиде почему-то не подключается.
Ну и "последняя" проверка — запускаю VirtualBox, чтобы проверить, что доступ к консоли у меня сохранится. А он не запускается. Я бился с ним час, так и не смог. Что-то капитально сломалось с тех пор как я его последний раз запускал.
Давным-давно,
Удалил VirtualBox и все виртуалки, поставил QEMU, создал новый пустой образ, запускаю установку Windows. Процесс часа на полтора. После ставлю клиент VMWare. Инсталлятор говорит, нет места. Я 10 гигабайт выделил, а чёртов виндовоз всё забрал. Ok, расширяю место до 15G. Клиент VMWare — нет места. 20G — только тогда процесс пошёл.
Запускаю клиент vSphere, подключаюсь к серверу, открываю консоль. Вот теперь, наконец, можно убрать внешний IP, прописать внутренней сетевой карте внутренний шлюз и проверить, что хотя бы изнутри наружу я могу.
И вот на такую фигню ушёл полный рабочий день. Дурацкая профессия. Компьютеры — зло.
К этому времени я догадался, что можно попытаться настроить VPN изнутри наружу. Я раньше не знал термина Reverse VPN, теперь знаю. Мне даже настраивать почти ничего не пришлось — только научить WireGuard посылать пакетики keep alive для фиксации доступа снаружи вовнутрь.
На следующий день молодой админ прислал конфиг OpenVPN для подключения. Я подключился, а у меня половина внутренних IP недоступна. Я звоню, и мы совместно выясняем, что те хосты, которые настраивал молодой, работают. А которые налаживал старший сисадмин — не работают. :-D А мне именно недоступные нужны. Один хост молодой сам починил. Остальные на следующей неделе они совместно. Жду, мне не срочно, у меня сейчас вся внутренняя сеть доступна через мой обратный VPN.
Чтобы жить было веселее, я вчера случайно удалил виртуалку с виндоусом. Пришлось ещё раз ставить заново, и клиент VMWare ставить и настраивать.
Итого: произошла запланированная замена VBox на QEMU; произошла немного непланово, в середине другой работы. Я научился IPSec+L2TP в Linux. У меня есть мой VPN внутрь сети, и скоро будет официяльный. Я лишился многих виртуалок, т.е. освободил много места; при следующем бэкапе на USB'ные диски и там место освободится.
Минусы: потрачено очень много времени на пустяковую задачу. Нужно научить моего шефа пользоваться oper.med.ru только с внутренним адресом. AnyDesk у них у всех стоит на внутренних компьютерах, а для доступа из домашнего браузера придётся шефу ставить и настраивать OpenVPN. Я лишился многих виртуалок; не все из них нужны, но некоторые придётся восстанавливать.
X-Post в ЖЖ.
no subject
Date: 2022-04-23 07:49 pm (UTC)Я лично для виндовых виртуалок меньше 70G не выделяю 10-20 это какому-нибудь скромному линуксу или фрюхе.
no subject
Date: 2022-04-23 08:05 pm (UTC)Про Линукс: сервер phdru.name — 20 гигабайт, из них 8 свободно. :-D