[MEGKERÜLVE] VPN "tunnel split"

Microsoft Windows

Kapcsolódnom kell  egy igencsak levédett VPN -hez. Viszont egy helyi kapcsolatra is szükségem van. A VPN teljesen átveszi a hatalmat (ha bedugok egy USB/Ethernet adaptert azt is kinyomja).

Találtam egy ilyen megoldást:
https://documentation.meraki.com/MX/Client_VPN/Configuring_Split_Tunnel…

Nekem csak egy gép felé kellene kommunikálnom a (helyi) lanon, és nem tudom milyen tartományokhoz kellene külön route -kat felállítanom, ha kiveszem a gw bejegyzést a vpn felé.

Tudtok valami kevésbé destruktív megoldást?

A megoldást a VirtualBox jelentette. Nagyon tetszik, különösen hogy a RD csak a virtuális gépet mutatja + többen is hozzáférnek (látják mit művel a másik). Még van rajta mit "faragni".
Hátrány, hogy a windows 10 -et újra kellett aktiválni, bő 10 perc telefonon, de ez nem halálos.

( fdeyso | 2020. 11. 20., p – 12:05 )

ceges vpn amihez csatlakozol? ott amikor konfiguraltak ez lett beallitva kerdezd meg, hogy miert? hatha valami security rule

( Czo v | 2020. 11. 20., p – 12:29 )

Node, ha neked csak 1 gep fele kellene kommunikalnod, akkor miert nem veszel fel 1 db olyan routeot, aminel a target a gep a gw pedig az a gw, amit kitoroltel?

( uid_6201 v | 2020. 11. 20., p – 14:44 )

VirtualBox ... és egyik "számítógép" VPN-nel a cégben, a másik a helyi kapcsolaton. Ezzel a céges policy kevésbé sérül.

A VM -et több helyen is ajánlják erre a célra. A baj csak az, hogy ilyet még sosem csináltam :(

Ha jól látom a VirtualBox egy nyílt forráskódú majndem(?) free szoftver az Oracle -tól.

Nem ismerem a virtualizáció lehetőségeit.
Mondjuk feltelepítek egy szép friss Debian -t a gépre és felrakom a a windows 10 pro -t mint guest. Nem tudom hogy így helyes e.
A két rendszer mennyire látja, láthatja egymást? Az én problémám, hogy a VPN keretein túl elérjek egy, a helyi LAN -on csücsülő gépet, pl. samba szerver. A guest win10 továbbra sem fogja látni ezt a gépet és a szolgáltatást, vagyis mit nyertem?
Egyébként hogy tudok ilyenkor váltani a két rendszer között (hostz és guest)?

* Én egy indián vagyok. Minden indián hazudik.

Virtualizáció esetén ha azt meg tudnád oldani, hogy a host által felvett samba megosztást a guest fizikai diszkként lássa, akkor abba a guesten futó VPN kliens nem tudna beleszólni.
Virtualizáció nélkül a WiFis SD kártyák tudnak hasonlót, de ott mintha nem sima samba share lenne mögötte.

https://nerdtechy.com/best-wifi-sd-card
--
Légy derús, tégy mindent örömmek

"Egyébként hogy tudok ilyenkor váltani a két rendszer között (hostz és guest)?"

Simán. A guest-ek (egyidejűleg több is) tulajdonképpen egy ablak, amit ha akarod, fullscreen-esre csinálhatsz és bármikor vissza ablakba.
Na innentől láthatod, hogy nem bonyolultabb, mint webböngésző és programozó szoftver között váltani.

Egyébként ha már VirtualBox: csináltam olyan minimál Linux VM-eket, ahova Linux alól ssh -X ... átjelentkeztem és abban fut az összekonfigurált PIC32 programletöltő (grafikus alkalmazás) és a teljes fejlesztőkörnyezete.
Volt ugyanilyen összekonfigurált környezet, amikor Xilinx cpld-kkel volt dolgom, utóbbi tömörített fájlrendszeres VM-en, mert a xilinx webpack igen híg.

Azaz amivel éppen foglalkoztam, annak az összereszelt környezetét indítottam el, ezeket az image-ket félretettem.
Később ha terméktámogatás kellett, akkor az adott eladott termékhez pontosan ugyanazt a fejlesztői környezetet, azonos fordítóverziót, stb. tudtam elővenni, amivel évekkel azelőtt fejlesztettem.

Erre is igen hasznos a VirtualBox, tehát csak ajánlani tudom.
Ja és az USB-s programletöltőt USB vendor:product ID alapján alacsony szinten át tudod adni a VirtualBox-nak és a benne futó letöltőnek, stb.

Nem vág témába.
Tehát képes vagy VirtualBox -ban futtatni egy olyan fejlesztő környezetet, amit évekkel ezelőtt használtál?
Mi a helyzet a hardware függőségekkel? - pl. 486 -on felépített környezet, i5 gépen?
Bocs a hülye kérdésért, de szembesültem már majdnem hasonló képtelenséggel.

* Én egy indián vagyok. Minden indián hazudik.

Tudtok valami "gyors" és egyszerű leírást, howto -t a VirtualBox felépítéséhez és egy guest beüzemeléséhez?
Ki indulni Debian 10 -ből szeretnék és windows 10 lenne a guest.
Mi lesz a frissítésekkel?  Még az AnyConnect is frissülhet.

* Én egy indián vagyok. Minden indián hazudik.

Ubuntu-nak tartozéka (apt install ...), Debian esetén a VirtualBox repóból kell telepítened az alábbi szerint: https://wiki.debian.org/VirtualBox#Debian_10_.22Buster.22
Mielőtt felraknád, tedd fel ha nincs az adott kernel header fájl csomagját meg gcc, make ... a VirtualBox telepítő ugyanis a kernelverziódhoz akar fordítani kernelmodult. De magától megcsinálja.

Egy reboot nem árt utána, aztán elindítod a grafikus felületen és ... szerintem adja magától. Kell a telepítendő guest-hez egy CD-kép (iso), és mintha fizikai vasat telepítenél, csak alkalmazáson belül.
Amire figyelj:
   - BIOS-ban kapcsold be a hardver virtualizáció képességet a CPU-nál (VT-x).
   - RAM mennyiség: alaprendszerednek kell + amit a guest-nek beállítasz valahány GB-ot.
   - vendég rendszerbe érdemes felrakni a VirtualBox guest-support csomagját. Ez virtuális hardver drivereket csinál, amik hatékonyabban kommunikálnak a VirtualBox-szal, mint "hardverrel".
 

Ez a legegyszerűbb. És a $HOME-odban megtalálod a fájlt, amiben a VirtualBox a teljes emulált diszket tárolja VMDK állományban.
Én ezt szoktam biztonságosan eltenni és ha kell az átadott projekten sok év után valamit supportálnom, akkor a teljes környezet, a fejlesztéssel azonos verziók, stb. egyben van.
Mondjuk nálam a vendég rendszer egy szöveges Linux + fejlesztőkörnyezet (a hostrendszerből ssh -X ... és indítani tudok benne grafikus alkalmazást is), ezért relatív kicsi méretűek a projekt image-k.

Windows terén én nem vagyok járatos, de a Google kisegít minket: https://www.virtualbox.org/wiki/Migrate_Windows
Itt értelemszerűen a /dev/sda-t komplett akarja, mert a Windows10 több partíciót használ.

A migrálás előtt célszerű végigírni a Windows szabad helyét 0-val, hogy a nem használt helyet ne migrálja vmdk-ba. Ezáltal sokkal kisebb vmdk-d lesz.

A VDI állomány lehet aztán statikus?
Vagyis fix méretű, pillanatnyilag csak 120G SSD -m van kéznél, jó lenne ha 60G megállna.

A superuser.com -on találtam:

sudo VBoxManage convertfromraw /dev/sdx x-image.vdi -- format VDI

Meg is csinálta, lett egy 17G imagem. (Most ugrik a majom a vízbe)

* Én egy indián vagyok. Minden indián hazudik.

( sibike | 2020. 11. 20., p – 17:08 )

route ADD tavoli_gep_ip-je MASK 255.255.255.255  0.0.0.0 METRIC 1

Fejből írtam, úgyhogy még validálja valaki, aki napi szinten Windowst használ.

Ki a távoli gép?
Van egy a lokális hálózaton csücsülő gépem, aki rákapcsolódik egy terjedelmes távoli hálózatra VPN (elég nagy IP cím tartománnyal), viszont ezzel a lokális hálózaton csücsülő gép el van vágva a lokális hálózattól.

 

* Én egy indián vagyok. Minden indián hazudik.

Az eredeti route táblából semmit nem vesz el, csak hozzá tesz, viszont az új, vpn gateway metrikája 2 lesz, a régi marad 26 -al.
Próbáltam csak a metrikákat módosítani, visszavettem a vpn gateway metrikáját egészen 30 -ig, megemelem az eredetit 10 -re de nincs változás.

* Én egy indián vagyok. Minden indián hazudik.

( Zolee001 | 2020. 11. 23., h – 02:14 )

Nem olvastam végig de tunel split,vpn beállitásoknál (NIC) use default  gateway on remote network elöl kiveszed a pipát,ennyi

Zolee001

( st3v3 v | 2020. 11. 28., szo – 22:38 )

Szerkesztve: 2020. 11. 28., szo – 22:39

anyconnect mellé rakd fel ezt:

https://openconnect.github.io/openconnect-gui/

kapcsolatot ezzel kezdeményezed. mellette fut az anyconnect is.

eredmény: policy enforcer lefut, kirévényesíti amit akar, de az openconnect kliens pl engedi elérni a saját hálózaton levő nyomtatót... ami homeoffice alatt talán nem is baj, hogy nem a céges nyomtatóra mennek dolgok amihez senki sem fér hozzá :).

Kedvenc anyconnect járulékos önlábonlövés: lelőtte a wifi-t amin keresztül a kapcsolat kiépült :)