Бесплатный VPN от riseup.net. Часть 3.

Настройка на другом компьютере с Linux

Как следует из ранее изложенного, ничего сверхъестественного не обнаружилось, и для того, чтобы воспользоваться этим VPN, требовательный к железу Debian 9 x64 не нужен совершенно. Bitmask тоже не нужен. Проблемы могут возникнуть разве что с виндой, а вот с линуксов вполне можно раздавать VPN-интернет на другие устройства в локальной сети, в т.ч. и на виндовые компьютеры. Без bitmask это даже лучше получается, поскольку он пакостит в iptables. Пакостит, правда, для «более лучшей» защиты пользователя. Но в данном случае получается, как у Черномырдина — хотели как лучше, получилось как всегда.

Конфигурация Openvpn

Первым делом надо составить конфиг для Openvpn. Не буду каждый параметр пояснять, а ссылка на сами конфиги есть в конце заметки. Вроде составил правильно, по ранее извлеченным параметрам Openvpn. Единственное что добавил от себя, это запуск пользовательских скриптов — параметры script-security 2, разрешающий оный запуск, и параметры up '/путь/к/скрипту up' и down '/путь/к/скрипту down', указывающие Openvpn, какой скрипт надо запускать при, соответственно, установке и разрыве соединения.

Про подобные скрипты я совсем недавно упоминал.

Сертификаты

Получены в прошлой части.

Пользовательский скрипт настройки соединения.

Переделывался из ранее приведенного примера с небольшими изменениями:

#!/bin/bash

#заводим человеческие переменные

MAIN_STAT=$1 #up/down
DEV_NAME=$2
TUN_MTU=$3
LINK_MTU=$4
LOCAL_IP=$5
REMOTE_IP=$6
ADD_STAT=$7 #init/restart

#путь к ip и iptables
ACPATH="/usr/sbin/"

# [...]

#соединение поднялось
if [ "$MAIN_STAT" = "up" ]; then
	#установка маршрута по умолчанию
    "$ACPATH"ip route del default #удаление старого
	#установка нового
	#именно так, локальный ip и удаленный - один и тот же
	#особенность провайдера Oo
    "$ACPATH"ip route add default via $LOCAL_IP dev $DEV_NAME src $LOCAL_IP
    
     #разрешение транзитного трафика
	"$ACPATH"iptables -P FORWARD ACCEPT
    
    #установка адреса DNS-сервера
    echo "nameserver 10.42.0.1">/etc/resolv.conf
    exit
fi

#соединение разорвано
if [ "$MAIN_STAT" = "down" ]; then
    #запрет транзитного трафика
    "$ACPATH"iptables -P FORWARD DROP 
    #установка маршрута по умолчанию без VPN
	"$ACPATH"ip route del default
    "$ACPATH"ip route add default via 10.10.1.1 dev eth1 src 10.10.20.55
    
    #восстанавление адресов DNS по умолчанию
    echo "nameserver 8.8.8.8">/etc/resolv.conf
    echo "nameserver 8.8.4.4">>/etc/resolv.conf
fi

Основная особенность в том, что сервер, вместо REMOTE_IP, передает маску подсети, а чтобы маршрутизация осуществлялась правильно, вместо удаленного IP надо прописать выданный сервером локальный.

Долго с этим разбирался, т.к. поначалу был глюк — транзитный трафик проходил, а вот локальный нет. Помог выхлоп ifconfig:

tun0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST> mtu 1500
inet 10.42.0.2 netmask 255.255.248.0 destination 10.42.0.2
inet6 2001:db8:123::1000 prefixlen 64 scopeid 0x0
unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 txqueuelen 100 (UNSPEC)
RX packets 982346 bytes 1307345786 (1.2 GiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 541554 bytes 27027659 (25.7 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

Вторая важная особенность — надо прописать правильный DNS.
И не забыть передать его клиентам, если компьютер используется в качестве PPTP- или другого VPN-сервера.

ЗЫ. Если будете пользоваться сервисом riseup.net, по возможности донатьте, хорошее дело ребята делают. Фиг где в мире встретишь таких альтруистов.

Ссылки

Предыдущие части заметки

Часть 1. копия
Часть 2. копия
Скачать все в PDF

Конфиги

На моем сайте копия

На PasteBin:
Голландия
Канада
США

Скачать с Mega.nz

Скрипт настройки сети

На PasteBin
Скачать с Mega.nz

Riseup

http://riseup.net
Регистрация Riseup Black
О Riseup
Донат

Bitmask

http://bitmask.net
http://leap.se

Бесплатный VPN от riseup.net. Часть 2.

Получение данных для нормального запуска VPN, без bitmask и на любом линуксе.

Подготовка

1. Ставим Debian x64. Я ставил 8.10 на виртуалку в VMWare 9 с netinst установщика, при установке можно выбрать LXDE, чтоб быстрее поставилось и тянуло меньше ерунды с инета.

2. Заходим в консоль и переключаемся под root
su

3. Обновляем списки пакетов после установки (из консоли)
apt update

4. Для удобства можно поставить mc
apt install mc

4. Ставим Openvpn
apt install openvpn

5. Качаем Bitmask (bundle-версию) отсюда копия на всякий случай и распаковываем его в отдельный каталог в пользовательской директории.

Регистрация

Первый вариант, на сайте https://riseup.net. Переходим по ссылке, придумываем имя пользователя и пароль.

Вариант второй — через Bitmask под катом:
Регистрация успешна, теперь надо получить данные для использования VPN

Глюки и зависания Bitmask

Bitmask оказался каким-то нестабильным и висючим, периодически при запуске делая бочку:

Отчего он так себя вел, непонятно совершенно. Лечилось либо убийством с помощью pkill и последующим перезапуском, либо запуском через консоль и двойным Ctrl+C (на одиночный он прячется в трей), или удалением каталога программы и каталога .config/leap из домашней директории. Накрайняк была копия HDD виртуалки.

Получение сертификатов VPN

Запускаем bitmask, вводим логин (в виде login@riseup.net) и пароль, логинимся и попадаем в главное окно, или если через bitmask и регистрировались, то сразу попадаем в главное окно, можно даже не пытаться соединиться, сертификаты уже получены.

При первом запуске с ранее зарегистрированным через сайт логином и без заранее добавленного в bitmask провайдера riseup.net может возникнуть следующая картина

Жмем Install Helper Files, после чего несколько раз будет запрошен пароль root, после чего можно нажать кнопку Trun ON
По началу у меня все очень долго соединялось, я так и не дождался. Но на момент написания данного текста все заработало сразу же, я так понял, товарищи из Riseup починили голландский сервер, висевший до этого пару дней.

Нужные сертификаты лежат в домашнем каталоге пользователя:
/home/username/.config/leap/providers/riseup.net/keys/ca/cacert.pem
/home/username/.config/leap/providers/riseup.net/keys/client/openvpn.pem

Получение параметров Openvpn.

Bitmask, как выяснилось, фактически навороченная обертка над Openvpn. Соединением VPN управляет именно он. А параметры можно получить независимо от того, удалось ли соединиться с помощью bitmask, или bitmask долго думает над соединением, например, из-за какого-нибудь одного зависшего сервера. Откроем консоль и посмотрим:

ps -Af|grep openvpn

Ага! Вот и все нужные нам параметры, из которых вполне можно сделать конфиг для Openvpn:

nobody 2934 2515 0 05:27 ? 00:00:00 /usr/sbin/openvpn --setenv LEAPOPENVPN 1 --nobind --client --dev tun --tls-client --remote-cert-tls server --management-signal --script-security 1 --user nobody --persist-key --persist-local-ip --persist-remote-ip --group nogroup --verb 1 --remote 5.79.86.180 443 udp --remote 199.58.81.145 443 udp --remote 198.252.153.28 443 udp --tls-cipher DHE-RSA-AES128-SHA --cipher AES-128-CBC --auth SHA1 --keepalive 10 30 --management-client-user kvakushka --management /tmp/leap-tmpzK6zDA/openvpn.socket unix --ca /home/kvakushka/.config/leap/providers/riseup.net/keys/ca/cacert.pem --cert /home/kvakushka/.config/leap/providers/riseup.net/keys/client/openvpn.pem --key /home/kvakushka/.config/leap/providers/riseup.net/keys/client/openvpn.pem
kvakush+ 9906 2676 0 05:56 pts/3 00:00:00 grep openvpn

Ссылка на готовые конфиги копия

DNS-сервер

Этот VPN использует свой локальный DNS-сервер, дабы данные клиента не уходили к его провайдеру или, например, корпорации добра. IP можно подсмотреть в скрипте bitmask-root в каталоге с bundle bitmask’а в директории apps/helpers

NAMESERVER = "10.42.0.1"

В общем, сохраняем параметры Openvpn в текстовый файл, запоминаем адрес DNS-сервера, копируем на флэшку или закидываем в облако сертификаты, и можно настраивать данный VPN на любом другом компьютере. Но Bitmask или вообще жесткий диск виртуалки, советую куда-нибудь забэкапить. Он может потребоваться в будущем для обновления сертификатов. Как их выковырнуть вручную я, пока что, недопетрил, а Riseup периодически сертификаты обновляет.

Начало

Продолжение следует…

Бесплатный VPN от riseup.net

Бесплатный, довольно быстрый, но не без геморроя. Иначе не было бы смысла о нем писать.

Немного о сервисе

Сервис надежный в плане безопасности и защиты приваси от всяких нехороших дядек в погонах и пиджаках, ибо основан политическими активистами анархического толка для таких же политических активистов. Причем основан, аж в 1999 году во время протестов против ВТО в Сиэтле и с тех пор работает на благо человечества.
Кроме VPN Riseup также предоставляет защищенную электронную почту и обслуживает новостные рассылки для активистов.
Подробнее можно почитать на официальном сайте https://riseup.net/ru/about-us

VPN-сервис

Фактически, сервисов даже два. Riseup Red, включающий в себя кроме VPN, электронную почту и XMPP. VPN Red-сервиса настраивается просто и его можно без особых проблем использовать на любом устройстве. Достаточно зарегистрироваться, скачать конфиг и поставить OpenVPN. Но вот с регистрацией проблема, нужен либо инвайт от зарегистрированного пользователя, либо написать администрации, объяснив, зачем тебе их VPN и какой конкретно деятельностью ты занимаешься. Со знакомыми анархами, у которых была регистрация на Riseup, мы давно всякие контакты потеряли. Искать инвайты, или же просить админов, это, во-первых, лишнее общение с живыми людьми, а, во-вторых, х.з., дадут или нет. Нарвешься еще на как[-ого/-ую/-ое]-нибудь SJW, радикальную феминистку, веганского прозелита, или неадекватного антифа, который фашистов видит только что не в своем шкафу, и хрен тебе, а не инвайт. Хотя, среди админов, поговаривают, неадекватных нет, но зачем людей от работы отвлекать.
Есть еще один сервис Riseup Black, предоставляющий пока только VPN, но обещают и электронную почту со сквозным шифрованием в ближайшем будущем. На Riseup Red регистрация без инвайтов и даже без указания электронной почты Безопасность же и политика непередачи данных третьим лицам в виде злобных корпораций и не менее злобной гебни. Зарегистрироваться можно либо на сайте, либо через приложение Bitmask, которое и обеспечивает VPN-соединение, что рекоменовано. Вот в Bitmask и была целая песцовая нора…

VPN с Bitmask’ом и раздолбайством

Хоть вроде нам обещали доступность, анархичность, всемирное счастье и прочий мир, труд, май и благорастворение воздухов, все оказалось совсем не так радужно.
Юзерам винды не повезло вообще — версии клиента под форточки нет в природе, только обещание, что «скоро будет». Есть версии под Mac и Android, но по их поводу ничего сказать не могу, у нас нет их. Кто отпишется, тому печенька.
Версия под Linux, слава Ктулху, была, и это по началу обнадежило. И даже есть дистрибутивы bundle. Т.е. «портабельные», распаковал на флэшку и забыл о пакетах, зависимостях и установках. Но не тут-то было! В ходе непродолжительного исследования выяснилось, что Bitmask больше напоминает разработанную инопланетянами скороварку, чем программу под линуксы. «Из коробки» и корректно эта фиговина работает только на астероиде с определенной гравитацией, атмосферным давлением, и только в первую субботу после полнолуния, когда Венера в Козероге. Да и то не уверен, потому что когда понял, какой дистрибьютив официально ™ поддерживается, уже сделал так, чтоб поддерживалось везде, кроме винды. Во всяком случае, с VPN оно соединяет.

Очевидные гадости:
— приложение только под 64-разрядные ОС
— только под Убунту и Дебиан
— нифига не под все Убунты и Дебианы

Неочевидные гадости, или о раздолбайстве:
— на сайте bitmask’а нагло врут, что есть x32 версии, ссылки на bundle ведут на страницу 404, пакетов в репозиториях тоже нет, либо есть не все, либо «не подходит к гробу крышка»
— перечислены версии убунт и дебианов, которые поддерживаются. И даже приведены команды для подключения соответствующих репозиториев. Но опять та же история, то пакетов нет, или есть не все, то в команде что-то указано неправильно.
Когда, путем научного тыка, вдумчивого чтения существующих путей к репозиториям, лазания по аж двум официальным сайтам (bitmask.net и leap.se), на которых написаны совершенно разные вещи, было выяснено, что из коробки поддерживается только Debian Stretch x64 и Ubuntu 17.04, то проверять это «за ради проверки» расхотелось. Хотите — проверяйте сами.

В общем такая вот дискриминация, ложь, пиздежь и провокация, со стороны разработчиков Bitmask по отношению к пользователям других дистрибьютивов линукса, и даже к дебианщикам/убунтоводам, уж не говоря про обладателей устройств с процессорами x32.

Конечно, сейчас набегут всякие погромисты и прочие неравнодушные с криками «ну кот жи аткрыд, перепейшы1111», но дело ведь в том, что можно хотя бы везде на своих сайтах написать — «наша софтина работает только там-то, там-то и там-то, а остального мы не гарантируем» и все. А то в результате получается ситуация, когда пользователь читает, что на сайте написано, пробует у себя, оно не работает (хотя знают, что не работает, только разработчики), и так и сяк не работает, и пользователь приходит к выводу, что опенсурс (линукс, дебиан, убунта, нужное подчеркнуть) говно. И никакого равенства, братства и благорастворения воздухов.

Впрочем, сие ворчание распространяется только на горе-разработчиков Bitmask и к команде Riseup никак не относится. Хочешь VPN без геморроя, проси инвайт, или у админов, секурного VPN на всех не напасешься, тем более не напасешься на потенциальных политических противников.

Ладно, поговорили и хватит, пора расколдовать принцессу.

Еще немного бормотологии

Для того, чтобы решить задачу, мне все таки пришлось на время одолжить более мощный ПК, правда с 32-разрядной виндой и запретом ее сносить. Оказалось, что VMWare Workstation даже на хосте с 32-разрядной XP вполне смогла запустить в качестве гостевой ОС 64-разрядный Debian 8.10

Продолжение

OPENVPN: Запуск в фоновом режиме, настройка маршрутизации, фаервола и другие мелочи

Бредистория

Год назад, может раньше, по совету товарищей, я переполз с PPTP VPN на Openvpn. За это время узнал несколько хинтов, которые, периодически нужны либо по работе, либо кому-нибудь.
Эталонный конфиг, который буду модифицировать, лежит здесь

Проблема с установкой, требует модуль PAM

Windows: не актуально
Linux: да
Решение:
Собрать из исходников, предварительно переконфигурировав командой
./configure --disable-plugin-auth-pam

Автоматический ввод пароля

Windows: да
Linux: да, за исключением старых версий, которые приходилось пересобирать со специальным ключом. Если вдруг такое попалось, то обновить.
Решение:
В конфиг соединения надо добавить строку auth-user-pass /path/to/auth/file
где
/path/to/auth/ — путь к файлу авторизации
file — имя файла
Для Windows будет что-то типа C:\path\to\file.txt

Файл авторизации — простой текстовый файл в котором содержатся две строки: первая — логин, вторая — пароль:

содержимое файла file:
username
pa$$w05D

Запуск в фоновом режиме

Windows: не актуально
Linux: да
Решение:
В конфиг соединения надо добавить строку daemon

Выполнение пользовательских скриптов

Windows: не актуально, во всяком случае, мне не встречалось
Linux: да
Для чего надо: например, для того, чтобы при установке/разрыве соединения, настроить маршрутизацию или iptables (фаерволл)

Решение:
1. Надо разрешить Openvpn выполнять пользовательские скрипты, добавив в конфиг следующую строку:

script-security 2

2. Прописать путь к скрипту в одном или нескольких нужных параметров конфига, например:

up '/home/kvakushka/scripts/ovpn-routes up'
down '/home/kvakushka/scripts/ovpn-routes down'

Вообще, таких параметров довольно много, почти на все случаи жизни:
down <command> — выполнить команду когда интерфейс TUN/TAP выключится.
up-restart <command> — выполнить команду после каждого реконнекта
route-up <command> — выполнить команду после установки сетевых маршрутов.
up-delay <seconds> — подождать установленное количество секунд перед запуском команды указанной в up. Пример: up-delay 120
down-pre <command> — выполнить команду перед тем, как интерфейс TUN/TAP выключится.
up <command>— выполнить команду после запуска устройства TUN/TAP.
ipchange <command> — выполнить команду, если ip сервера изменился.
client-connect <command> — выполнить команду, после того, как клиент подключился.
client-disconnect <command> — выполнить команду, после того, как клиент отключился.
learn-address <command> — выполнить указанную команду, если IP удаленной стороны стал другим.

Надо уточнить, что скриптам up и down Openvpn передает параметры командной строки, несущие информацию о соединении:

[1..N]: Параметры, указанные пользователем в конфигурационном файле, т.е. в вышеприведенном примере, скрипту ovpn-routes при вызове после того, как поднимется тоннель, будет передано первым параметром «up«, а при разрыве соединения — «down«.
Очень полезный горшочек, позволяющий в одном скрипте обрабатывать несколько событий.
[2]: Имя сетевого устройства (тоннеля). Например, tun0
[3]: MTU сетевого интерфейса
[4]: MTU соединения
Можно использовать для сложной маршрутизации между несколькими каналами и поиска более выгодного маршрута.
[5]: IP-адрес клиента
[6]: IP-адрес клиента на стороне сервера
[7]: init, если скрипт был вызван во время запуска/останова Openvpn или restart, если скрипт был вызван при перезапуске (обрыве соединения, например).

Пример скрипта

#!/bin/bash

#заводим переменные с понятными именами
MAIN_STAT=$1 #up/down
DEV_NAME=$2
TUN_MTU=$3
LINK_MTU=$4
LOCAL_IP=$5
REMOTE_IP=$6
ADD_STAT=$7 #init/restart

#директория с iptables и ip
ACPATH="/usr/sbin/"

# [...]

#скрипт вызван при поднятии тоннеля
if [ "$MAIN_STAT" = "up" ]; then
     #установка маршрута по умолчанию для VPN
    "$ACPATH"ip route del default
    "$ACPATH"ip route add default via $REMOTE_IP dev $DEV_NAME src $LOCAL_IP
     #настройка IPTABLES
     #разрешение транзитного трафика
    "$ACPATH"iptables -P FORWARD ACCEPT
    exit
fi

#скрипт вызван при отключении тоннеля
if [ "$MAIN_STAT" = "down" ]; then 
    #запрет транзитного трафика 
    "$ACPATH"iptables -P FORWARD DROP
   #установка маршрута по умолчанию без VPN
    "$ACPATH"ip route del default
    "$ACPATH"ip route add default via 10.10.1.1 dev eth1 src 10.10.20.55
fi

В примере настраивается маршрут по умолчанию, для случая соединения через VPN и напрямую, а также отключается транзитный трафик, если соединение идет не через VPN.

Пример модифицированного конфига соединения Openvpn
Скрипт ovpn-routes

Источники

1. Основные команды и параметры OpenVPN Копия
2. Установка и настройка клиента OpenVPN в Ubuntu Копия

Конфигурационные файлы Openvpn для бесплатного VPN riseup.net Black

О самом сервисе и настройке VPN расскажу позднее, забегая вперед, скажу, сервис довольно качественный, вроде как дико секурный, потому что рассчитан на политических активистов в т.ч. и из совсем нецивилизованных жоп мира, типа ГОРФ и Ирана. Живет проект на донат, поэтому я призываю, если кто будет пользоваться, таки не пожлобиться и скинуть хотя бы 5-10 евро. Как и куда донатить см. здесь

Конфиги под катом

Конфиги на PasteBin

Канада
Голландия
США

Скачать с Mega.nz

Скрипт для автоматического обновления паролей бесплатного VPN vpnbook.com

Как-то выкладывал конфигурационные файлы для PPTP-VPN от бесплатного VPN-сервиса http://vpnbook.com.
Правда у сервиса есть небольшой недостаток, как и у многих других бесплатных VPN, периодически меняется пароль. Благо, что пароль появляется у них на странице в текстовом виде, без всяких каптч, картинок и яваскрипта, и вполне просто автоматизировать его обновление, чтобы вручную не менять его в конфигурационных файлах после изменения на сайте.

Определение основных переменных

VPNBOOKPAGE="http://www.vpnbook.com/#pptpvpn"
WORKDIR="/tmp/"
HTMLFILE="vpnhtml.txt"
PASSANCOR="Password:"
VPNBOOKPASS=""
FILEPASS=""
PEERSDIR="/etc/ppp/peers/"
PEERSFILES[0]="vpnbook-e214"
PEERSFILES[1]="vpnbook-e217"
PEERSFILES[2]="vpnbook-de233"
PEERSFILES[3]="vpnbook-us1"
PEERSFILES[4]="vpnbook-us2"
PEERSFILES[5]="vpnbook-ca1"

VPNBOOKPAGE — адрес, по которому доступен текущий пароль.
WORKDIR — рабочий каталог, куда будем сохранять полученную с сайта HTML-страницу с паролем
HTMLFILE — имя сохраняемого файла
PASSANCOR — Ключевое слово, по которому будем определять, где именно на странице пароль:

VPNBOOKPASS — тут будем хранить пароль, полученный с сайта
FILEPASS — тут будет пароль, сохраненный в данный момент в конфигурационном файле
PEERSDIR — директория, в которой хранятся конфигурационные файлы для соединения с VPN-серверами vpnbook
PEERSFILES[0]...PEERSFILES[5] — массив с именами конфигурационных файлов

Получение пароля с сайта

I. Сначала, с помощью wget, получим HTML-страницу, содержащую пароль.

echo "GET VPNBOOK PASSWORD v 0.2" #приветствие

rm $WORKDIR$HTMLFILE #удаляем текущий файл
echo "Get vpnbook page..."
wget -P $WORKDIR --default-page=$HTMLFILE --header="Content-type: text/plain" $VPNBOOKPAGE #сохраняем HTML-страницу

ВНИМАНИЕ! Существующий файл с сохраненной HTML-страницей надо обязательно удалить, иначе wget при сохранении страницы добавит к имени дополнительно .1 (.2 .3 и т.д.).

Параметры утилиты wget:
-P $WORKDIR — установка рабочего каталога, указанного в переменной $WORKDIR
--default-page=$HTMLFILE — установка имени файла, под которым в рабочем каталоге будет сохранена полученная с сайта HTML-страница. Имя указывается в переменной $HTMLFILE
--header="Content-type: text/plain" — передаем серверу заголовок, в котором указываем, в каком виде хотим получить страницу (text/plain). Лучше не упускать этот момент, одно время сервер почему-то отдавал без этого заголовка сжатую HTML-страницу, и анализировать ее потом было некузяво.

II. Проверяем, сохранилась ли страница:

if [ ! -f $WORKDIR$HTMLFILE ]; then
    echo "ERROR: Page not saved"
    exit 1
fi

III. Вытаскиваем пароль из сохраненного HTML-файла:

VPNBOOKPASS=`cat $WORKDIR$HTMLFILE|grep "$PASSANCOR"|head -n1|sed -e :a -e 's/<[^>]*>//g;/</N;//ba'|sed 's/.$//'|awk ' {print $2} '`

1. Выводим содержимое файла на stdout командой cat $WORKDIR$HTMLFILE
2. Передаем вывод команде grep, она фильтрует строчку с содержимым, указанным в переменной $PASSANCOR, т.е. строчку, содержащую слово "Password:" и сам пароль. На самом деле команда grep отфильтрует две строки, еще и с виндовыми концами строк:

3. Обрабатываем строчку дальше с помощью команды head -n1 Она получит из вывода команды grep только первую строчку (-n1)

4. Команда sed -e :a -e 's/<[^>]*>//g;/</N;//ba' с вот этим диким регулярным выражением, удалит HTML-теги. Регулярка не моя, я нашел на просторах интернетов.

5. Следующая команда sed 's/.$//' избавит строку от лишнего виндового символа конца строки.

6. Наконец, утилитой awk, которая обрабатывает строки, воспринимая содержимое, как набор полей разделенных разделителем (по умолчанию пробел), вытаскиваем из строки непосредственно сам пароль. awk ' {print $2} '

wra2ezEz

Записываем результат в переменную VPNBOOKPASS, обернув всю команду в обратные кавычки (``)
Далее устанавливается размер массива, хранящего имена файлов настройки (специально так сделал, чтобы если добавится еще один файл конфигурации, количество обрабатываемых файлов обновлялось автоматически): CTR="${#PEERSFILES[*]}"
Далее инициализируется счетчик цикла I="0"

В цикле из массива извлекаются имена файлов, к ним добавляется путь к директории их содержащей, и эти данные передаются функции passwork, которая получает пароль, сохраненный в файле конфигурации, и в случае необходимости его меняет на пароль, полученный с сайта.

until [ "$CTR" -eq "$I" ]; do
    passwork $PEERSDIR${PEERSFILES[I]}
    let "I+=1"
done

Замена пароля в файле конфигурации соединения VPN

Этим в скрипте занимается отдельная функция passwork(), которой в качестве параметра передается полный путь к файлу конфигурации соединения. Вот ее код:

passwork()
{
    echo -n "Checking $1..."
    if [ -e $1 ]; then #file exist
    	COUNT=`cat $1|grep "password" -c`
	if [ $COUNT -eq 1 ]; then # strochek s parolem 1
	    #vitaskivaem password i udalyaem kavichki
	    FILEPASS=`cat $1|grep "password"|awk ' {print $2} '|sed 's/\"//g'`
	    echo -n "password "$FILEPASS
	    
	    if [ "$FILEPASS" = "$VPNBOOKPASS" ]; then #proverka parolya
		echo " not replaced."
	    else
		#backup file
		cp $1 $1".bak"
		echo "...file backuped..."
		sed -i 's/'$FILEPASS'/'$VPNBOOKPASS'/g' $1 #replace password
		echo "...replaced!"
	    fi
	    
	else #>1 ili 0
	    echo  " Peer file format error"
	fi
    else
    
	echo  " $1 not found"
    fi
}

В зарезервированной переменной $1 находится параметр, переданный функции из основной программы, в данном случае путь к файлу конфигурации соединения.
Сначала проверяется, существует ли файл:

...
if [ -e $1 ]; then #file exist
...

Если он существует, продолжаем работу, если нет — выводим сообщение об ошибке и выходим из функции:

...
else
echo " $1 not found"
fi
...

Сам конфигурационный файл выглядит так:

debug
#nodetach
unit 1
remotename ca1.vpnbook.com
ipparam vpnbook-ca1
pty "pptp ca1.vpnbook.com --nolaunchpppd"
name vpnbook
user vpnbook
password "wra2ezEz"
require-mppe-128
refuse-eap
noauth
file /etc/ppp/options.pptp

Далее получаем количество строк, содержащих конфигурационный параметр password. Подсчет нужных строк можно выполнить командой grep с ключом -c

COUNT=`cat $1|grep "password" -c`

Строк с параметром password в конфигурационном файле должно быть строго 1, пароль заключается в кавычки.
Проверяем количество искомых строк:

...
if [ $COUNT -eq 1 ]; then # strochek s parolem 1
...

Если строка найдена, и она одна, то продолжаем работу, иначе выдаем сообщение об ошибке и выходим из функции:

...
else #>1 ili 0
echo " Peer file format error"
fi
...

Извлекаем содержащийся в конфигурационном файле пароль в переменную FILEPASS:

FILEPASS=`cat $1|grep "password"|awk ' {print $2} '|sed 's/\"//g'`

1. Читаем файл с помощью команды cat: cat $1
2. Отфильтровываем строку с паролем: grep "password"
3. Извлекаем пароль (в кавычках) с помощью awk: awk ' {print $2} '
4. С помощью sed удаляем кавычки: sed 's/\"//g'`

Далее сравниваем содержимое переменной FILEPASS, т.е. пароль из обрабатываемого файла конфигурации, с паролем, полученным с сайта vpnbook. Он в переменной VPNBOOKPASS.

...
if [ "$FILEPASS" = "$VPNBOOKPASS" ]; then #proverka parolya

Если пароли идентичны, то выдаем сообщение, что пароль не изменен. Иначе, делаем копию файла конфигурации (cp $1 $1".bak") и заменяем пароль с помощью sed непосредственно в обрабатываемом файле (ключ -i и указание пути к файлу в качестве последнего параметра команды):

sed -i 's/'$FILEPASS'/'$VPNBOOKPASS'/g' $1 #replace password

Попутно выводим сообщения о ходе процесса.

Готовый скрипт

1. На PasteBin
2. Скачать с Mega.NZ

Используемые источники

1. Команда head
2. Однострочные скрипты sed
3. Удаление кавычек с помощью sed
4. Краткое описание awk

[Скачать копии источников в формате PDF]
Заметка в формате PDF

Дожил до светлых дней!

Слава, блин, всем богам!
В новой версии Openvpn наконец по умолчанию и без пересборки работает опция получения пароля из текстового файла. Правда блядский Openvpn таки пришлось пересобирать с опцией ./configure --disable-plugin-auth-pam, тому ще нет у меня этого самого pam и нафиг не нужно.
Ну и новая версия стала как-то стабильно работать, прошлая почему-то регулярно сегфолтилась.

Конфиги pptp для vpnbook.com

Кое-кто просил pptp-конфиги для vpnbook.com
Получите, распишитесь.

На Pastebin:

Общий конфиг options.pptp
Куда класть, понятно из конфигов пиров (помещаются в директорию /etc/ppp/peers)
vpnbook-ca1
vpnbook-de233
vpnbook-euro214
vpnbook-euro217
vpnbook-us1
vpnbook-us2

Скачать одним архивом с mega.nz

На euro-214 и 217 открыты все порты, на остальных доступен только HTTP/HTTPS, за торренты (ну так написано) могут типа по голове настучать, в смысле отрубить, но хз, я в принудительном режиме качал 100 метров, не отрубили.
217 на мой взгляд довольно падучий, 214 более стабильный, но чет последнее время тоже периодически разрывает коннект.
Сам пользуюсь в основном канадским, ну нравится мне, что сервер предоставляет моя любимая контора ZOG ЦРУ ФСБ СБУ CDC.

Конфиги не комментированные, гуглите, если что непонятно, как-нибудь может посвящу этому заметку, но не сейчас.
Можно закомментить строчку debug, чтоб не срал лишнего в логи.
Пароль там действующий на момент публикации заметки, надо пердически менять, когда-нибудь затрону тему, расскажу, как автоматом менять, благо просто.

Определение момента, когда поднялся VPN тоннель.

Версия 2. Исправленная и дополненная.

Преамбула.

Продолжаю начатое тут.
Обычно тоннель поднимается командой pppd call providername где providername – файл настроек соединения в /etc/ppp/peers. Команда особого интерактива не дает, а хотелось бы, например, чтоб выводился «прогресс-бар», когда соединение устанавливается, а по прошествии максимального времени ожидания, если соединение так и не поднялось, выводилось сообщение о таймауте. Если соединение поднялось до истечения таймаута – выводилось сообщение об успехе.
Скрипту будет передаваться единственный параметр – имя необходимого файла настроек соединения из /etc/ppp/peers
Что должен делать скрипт.

1. Проверить собственные параметры, и если файл настроек не указан – выдать соответствующее сообщение и прекратить работу.
2. Проверить наличие переданного файла настроек
3. Проверить, не поднято ли уже это соединение, если поднято – выдать сообщение и прекратить работу
4. Проверить параметр настройки unit – номер будущего интерфейса ppp. Если его нет – найти первый свободный (его и использует pppd). Если параметр unit присутствует, то проверить, свободен ли он, если нет – найти первый свободный.
5. Запустить установку соединения.
6. В цикле проверять, установилось ли оно, или истек заданный таймаут
7. По завершению цикла оповестить пользователя об успехе или истечении таймаута.
Недочет предыдущей версии скрипта.

Главный недочет предыдущей версии скрипта — жестко заданная проверка наличия соединения командой ping, после получения сведений об установленном соединении из вывода команды ifconfig. Пинговался адрес полученного шлюза. Дело в том, что некоторые провайдеры не позволяют пинговать шлюз, или вообще отключают возможность использования протокола ICMP, поэтому необходимо дать пользователю возможность через параметры командной строки указать, нужно ли использовать дополнительную проверку с помощью ping и какой адрес в случае необходимости пинговать.
Заодно мною были добавлены дополнительные информационные сообщения, а также немного видоизменен основной рабочий цикл.
Read more…
Скрипт на pastebin
Скачать с mega.nz
Бонусом сделал еще одну версию

Куда прикрутил обратный отсчет времени с мельницей, скрестив этот скрипт с вот этим.
Скрипт на pastebin
Скачать с mega.nz

Это перепост заметки из моего блога на LJ.ROSSIA.ORG
Оригинал находится здесь: http://lj.rossia.org/users/hex_laden/329224.html
Прокомментировать заметку можно по ссылке выше.

Всем кавайный VPN!


Абсолютно бесплатный и безлимитный, проект университета Tsukuba, Япония.
Под Windows нужен клиент, который можно взять здесь. Там же и инструкция по установке. На буржуйском, но кто не знает вдруг, все по картинкам понятно. Софт опенсорсный, потому есть и под Линукс и под много чего еще.
Я на винду поставил чисто поиграться, так что своего мнения пока не имею, а если кто-то хочет что-то высказать, в комментарии, пожалуйста.
На первый взгляд вроде довольно быстро для халявного VPN, почта, FTP работают, в отличии от некоторых бесплатных PPTP-сервисов, которые только http/https пускают, а все остальное рэжут.

Это перепост заметки из моего блога на LJ.ROSSIA.ORG
Оригинал находится здесь: http://lj.rossia.org/users/hex_laden/320197.html
Прокомментировать заметку можно по ссылке выше.

Определение момента, когда поднялся VPN тоннель

Определение момента, когда поднялся VPN тоннель
Здесь была первая версия скрипта
Она была с недочетом
Описание исправленной здесь

Это перепост заметки из моего блога на LJ.ROSSIA.ORG
Оригинал находится здесь: http://lj.rossia.org/users/hex_laden/293021.html
Прокомментировать заметку можно по ссылке выше.

Информация о выделенном IP и шлюзе, еще вариант

Анон дельно подсказал еще один способ узнать выделенный IP и адрес шлюза VPN-тоннеля и настроить маршрутизацию. Создать скрипт /etc/ppp/ip-up (также есть варианты ip-pre-up и ip-down для соответствующих случаев), которому pppd в параметрах передает всю нужную информацию.
В некоторых дистрибьютивах исполняются не скрипты с указанными названиями, а скрипты из каталогов /etc/ppp/ip-up /etc/ppp/ip-pre-up /etc/ppp/ip-down. Мне сей способ не сильно удобен, т.к. скрипты запускаются при поднятии каждого тоннеля, соответственно, придется городить большой скрипт, определяющий какой именно тоннель поднялся, и какой маршрут прописать (и нет ли этого маршрута уже). Посему у себя я оставлю как было, но информация все-равно полезная, пусть лежит тут. Мало ли когда надо будет.

Это перепост заметки из моего блога на LJ.ROSSIA.ORG
Оригинал находится здесь: http://lj.rossia.org/users/hex_laden/291063.html
Прокомментировать заметку можно по ссылке выше.

Скрипт, для получения информации о выделенных ip и шлюзе и установки маршрутизации.

Преамбула.
Дело в том, что у меня на рабочем компьютере поднимаются сразу несколько VPN-тоннелей. Для работы, сразу с двумя офисами, здесь, в Италии, и до основного, два бесплатных VPN для разных Интернет-сервисов, один из которых должен предоставлять маршрут по умолчанию, местный тоннель (пофлудить на скрытом форуме). Для всего этого зоопарка заведены соответствующие таблицы маршрутизации в файле /etc/iproute2/rt_tables. Понятно, что после того, как тоннели поднялись, в соответствующие таблицы надо прописать соответствующие маршруты по умолчанию. DHCP в данном случае применим с огромным геморроем, маршруты надо прописывать вручную, но это тоже не менее геморройная задача, т.к. провайдеры иногда меняют шлюзы, я меняю провайдеров VPN, админы тоже могут изменить шлюз и/или выделенный IP. В общем, задолбало меня все руками перенастравивать и я решил написать скрипт, который это будет делать за меня. Заодно вспомнить bash, где знал, и узнать что-то новое, где не знал.
Будем исходить из того, что имеется уже поднятый VPN-тоннель и нам необходимо прописать в нужную таблицу нужный маршрут по-умолчанию.
Откуда взять нужные ip.
Из вывода команды ifconfig. В моей системе вывод ifconfig pppX, где X, номер соответствующего интерфейса ppp выглядит так:
ppp1: flags=4305 <UP,POINTOPOINT,RUNNING,NOARP,MULTICAST> mtu 1396
     inet x.x.x.x netmask 255.255.255.255 destination y.y.y.y
     ppp txqueuelen 3 (Point-to-Point Protocol)
     RX packets 2055 bytes 1502924 (1.4 MiB)
     RX errors 0 dropped 0 overruns 0 frame 0
     TX packets 1747 bytes 179542 (175.3 KiB)
     TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

Где x.x.x.x – IP, присвоенный машине провайдером VPN, а y.y.y.y – IP шлюза провайдера, через который и должен пролегать маршрут.
Команды для установки маршрутизации
Команда добавления маршрута в соответствующую таблицу выглядит примерно так:
ip route add default dev имя_тоннеля via адрес_шлюза src адрес_машины table таблица
Например:
ip route add default dev ppp1 via 10.1.15.1 src 10.1.22.12 table suomi_office
Если таблица не указана (параметр table отсутствует), то маршрут будет установлен, как маршрут по умолчанию.
Обязательными параметрами в данном случае является указание на соответствующий шлюз (dev), остальные – дополнительные.
Для удаления маршрута по умолчанию используется команда:
ip route del default table таблица
или
ip route del default для удаления основного маршрута по-умолчанию.
Что должен делать скрипт
Основное:
1. Проверить, действительно ли поднят указанный интерфейс
2. Есть ли в файле /etc/iproute2/rt_tables соответствующая таблица маршрутизации, если таблица не указана – установить основной маршрут по умолчанию
3. Получить нужные IP
4. Вывести на экран summary – полученные IP и параметры.
5. Установить маршрутизацию, сообщив об успехе, либо ошибке
Дополнительно:
1. Проверить корректность заданных параметров
2. Вывести справку по собственным параметрам при наличии запроса, либо при запуске без параметров.
3. Иметь возможность указать или не указать необязательные параметры для команды маршрутизации.
Read more…
Приложение. Используемая литература и скрипт целиком.
1. Краткое описание команды if. Копия
2. Краткое описание команды awk Копия
3. Скрипт. Копия на pastebin.

Это перепост заметки из моего блога на LJ.ROSSIA.ORG
Оригинал находится здесь: http://lj.rossia.org/users/hex_laden/290649.html
Прокомментировать заметку можно по ссылке выше.