Роутеры со вложенным VPN
Посмотри маршрутизаторы Mikrotik
Только чтобы заставить его работать с корбиной, нужны некоторые танцы в виде дополнительных костылей-скриптов.
На нем и ВПН тоннели поднимать можно и ВПН сервер поднять можно.
Только чтобы заставить его работать с корбиной, нужны некоторые танцы в виде дополнительных костылей-скриптов.
На нем и ВПН тоннели поднимать можно и ВПН сервер поднять можно.
Серьезные такие, технарские устройства. Внешний вид, видимо, чтобы отпугивать домохозяек. 
Ссылки:
http://www.nix.ru/autocatalog/wireless_mikrotik/MikroTik-RB951Ui-2HnD-Wireless-Router-802.11b-g-n-4UTP-10-100Mbps-1WAN-1xUSB-2.5dBi_209777.html
http://routerboard.com/RB951Ui-2HnD
Инструкция по конфигурированию Mikrotik RouterOS для работы в сети интернет-провайдера Корбина Телеком
Ссылки:
http://www.nix.ru/autocatalog/wireless_mikrotik/MikroTik-RB951Ui-2HnD-Wireless-Router-802.11b-g-n-4UTP-10-100Mbps-1WAN-1xUSB-2.5dBi_209777.html
http://routerboard.com/RB951Ui-2HnD
Инструкция по конфигурированию Mikrotik RouterOS для работы в сети интернет-провайдера Корбина Телеком
Вот у меня как раз 951й, только G версии, а не Ui - с гигабитными портами.
После того, как нашел этот документ из последней ссылки в 2 часа ночи, вернул обратно родителям ASUS 520GU, который более менее справлялся с 20 Мегабит корбины, а Микротик забрал себе. Не очень мне хотелось до 6 утра сидеть настраивать интернет.
3G модемы подхватывает сам, сам поднимает PPP-Out, там остается только пару кликов мышки в настройках фаерволла сделать.
После того, как нашел этот документ из последней ссылки в 2 часа ночи, вернул обратно родителям ASUS 520GU, который более менее справлялся с 20 Мегабит корбины, а Микротик забрал себе. Не очень мне хотелось до 6 утра сидеть настраивать интернет.
3G модемы подхватывает сам, сам поднимает PPP-Out, там остается только пару кликов мышки в настройках фаерволла сделать.
zyxel так могут, вроде бы с прошивкой 2.0
но скорее всего из командной строки придется настраивать
но скорее всего из командной строки придется настраивать
Устройства понравились. Позволяет делать все, что только можно захотеть сделать на роутере. Т.е. полноценная там своя роутерная ОС наподобие Cisco.
OpenVPN, правда, поддерживается в ограниченном варианте: нельзя LZO, нельзя UDP, нельзя certificate-only auth.
OpenVPN, правда, поддерживается в ограниченном варианте: нельзя LZO, нельзя UDP, нельзя certificate-only auth.
ну вообще на корбине нынче можно без l2tp. возможно это решит все твои проблемы.
такие сложные правила маршрутизации из коробки нигде не будут.
такие сложные правила маршрутизации из коробки нигде не будут.
Ну, я уже настроил все, что хотел
А откуда инфа, что на корбине можно безе l2tp? С радостью отказался бы от этой прослойки.
А откуда инфа, что на корбине можно безе l2tp? С радостью отказался бы от этой прослойки.
http://moskva.beeline.ru/customers/help/home/domashniy-inter... сам пользуюсь уже несколько месяцев. полёт нормальный.
пипец в корбине, новый костыль.
А он авторизацию к чему привязывает?
Если я на своем ноуте залогинюсь, будет ли он давать инет маме на айпаде?
А он авторизацию к чему привязывает?
Если я на своем ноуте залогинюсь, будет ли он давать инет маме на айпаде?
пипец в корбине, новый костыль.Теория такая, что они на местах обновили оборудование, и теперь квартирный кабель воткнут в какой-то управляемый свитч. Привязка идёт к порту на этом свитче через влан или ещё там как-то. Соответственно, если ты с любого девайса за роутером своим залогинился, дальше всё работает.
А он авторизацию к чему привязывает?
Если я на своем ноуте залогинюсь, будет ли он давать инет маме на айпаде?
Я бы не сказал, что это прям костыль. С софтверной точки зрения стек стал проще, на роутер нагрузка меньше. Но если ты параноишь, что кто-то в твой кабель врежется, то тебе не подойдёт.
буд-то l2tp защищает от врезки на кабль.
Подключился напрямую, без l2tp. Зашел через ноутбук (который в свою очередь через роутер), ввел логин/пароль, страница сказала ждать 10 минут. Через 10 минут появился доступ в интернет. Работает со всех устройств (которые за роутерным NAT'ом), повторно ничего вводить не нужно. Привязка, видимо, идет к MAC роутера.
Кстати, не прошло еще и одного дня, а меня уже настойчиво приглашают в ботнет:
10:16:17 system,error,critical login failure for user root from 209.119.55.249 via ssh
10:16:18 system,error,critical login failure for user ubuntu from 80.82.65.246 via ssh
10:16:21 system,error,critical login failure for user root from 209.119.55.249 via ssh
10:16:21 system,error,critical login failure for user debian from 80.82.65.246 via ssh
10:16:22 system,error,critical login failure for user minepeon from 80.82.65.246 via ssh
10:16:25 system,error,critical login failure for user root from 209.119.55.249 via ssh
10:16:25 system,error,critical login failure for user peon from 80.82.65.246 via ssh
10:16:25 system,error,critical login failure for user peon from 80.82.65.246 via ssh
с подключением! 
Перенести порт shh на другой отличный от 22.
Прописать, чтобы файрвол блочил если больше 3х неправильный попыток за 3 минуты.
Тут указан уже изменённый порт (222)
Прописать, чтобы файрвол блочил если больше 3х неправильный попыток за 3 минуты.
Тут указан уже изменённый порт (222)
iptables -A input_wan -p tcp --dport 222 -m state --state NEW -m recent --name ATTACKER_SSH --rsource --update --seconds 180 --hitcount 3 -j DROP
iptables -A input_wan -p tcp --dport 222 -m state --state NEW -m recent --name ATTACKER_SSH --rsource --set -j ACCEPT
по теме: asus rt-n66u и аналогичные начиная с прошлогодней прошивки такое умеют (OpenVPN клиент поверх l2tp).
Оставить комментарий
Garryss
Как называется фича в домашних роутерах, чтобы можно было коннектиться во вложенный VPN? Т.е. внешний способ связи — это L2TP от корбины, а внутренний — OpenVPN до моей VPSки. В идеале еще чтобы можно было настроить таблицу маршрутизации в таком стиле:- вот сюда ходить только во внутреннему OpenVPN, если он не работает — network unreachable
- вот сюда только по внешнему
- а вот сюда лучше по внутреннему, но если не доступен, то можно и по внешнему.
Последнее, полагаю, можно обычным route разные метрики разным интерфейсам прописать.Не откажусь и от рекомендаций конкретных моделей (сейчас у меня древний Asus WL-520GC).