In NetworkManager: Edit Connections -> VPN -> (select the vpn configuration you would like to edit) -> Edit -> Routes -> Check the box that says "Use this connection only for resources on its network"

J'ai installé un OpenVpn sur mon serveur. J'ai également passé certains vhosts nginx (client mail, wiki, lecteur de flux rss...) en accès VPN uniquement.
Par exemple, cld.jeekajoo.eu (instance cozy cloud dans un LXC) pointe sur une IP privée dans le tunnel VPN. Je fais donc écouter le vhost correspondant sur cette IP.

$ dig A cld.jeekajoo.eu +short
10.8.0.1

J'ai juste besoin d'accèder à ce réseau et je n'ai pas besoin que tout mon traffic soit envoyé via ce VPN. Par défaut, NetworkManager active l'option redirect-gateway même si celle-ci n'est pas inscrite dans le fichier ovpn qu'on lui fait manger pour configurer la connexion VPN en question (et même si le serveur est correctement configuré). Il faut donc cocher la case indiquée dans la citation tout en haut.

Au niveau de la configuration nginx, j'inclue ces 4 fichiers suivant les vhosts / protocoles associés:

$ cat listen_ovpn_443
listen 10.8.0.1:443 ssl;

$ cat listen_ovpn_80
listen 10.8.0.1:80;

$ cat listen_public_443
listen 195.154.170.105:443 ssl;
listen [::]:443 ssl;

$ cat listen_public_80
listen 195.154.170.105:80;
listen [::]:80;

C'est indispensable de tout préciser pour tous les vhosts, même pour ceux dont l'accès est publique. Car sinon le SNI s'emmêle les pinceaux et on peut tomber sur le mauvais vhost. Ce qui compte c'est d'écouter spécifiquement sur la même IP que celle indiquée par l'entrée DNS du vhost cible. Enfin, notez qu'avec ma conf, l'accès aux sites via le VPN ne peut se faire qu'en IPv4. Mais c'est pas grave, c'est du local et c'est que pour moi.

network · route · vpn · configuration

February 12, 2016 at 14:44:23 GMT+1 * · permalien

·

http://serverfault.com/questions/408193/how-can-i-configure-openvpn-server-without-push-default-gateway

·

ss: Display Linux TCP / UDP Network and Socket Information

Résolution de l'année: arrêter d'utiliser netstat!

'ss' appartient au paquet iproute2 dont voici une grosse doc: https://jeekajoo.eu/links/?g3Er4g

iproute2 remplace net-tools (ifconfig, route, netstat, arp...) qui est déprécié depuis 2009: https://lists.debian.org/debian-devel/2009/03/msg00780.html

network · howto · command · socket · tcp · troubleshoot

January 14, 2016 at 15:03:30 GMT+1 * · permalien

·

http://www.cyberciti.biz/tips/linux-investigate-sockets-network-connections.html

·

CGN 1:4 chez Free: Une IPv4 partagée par 4 clients

La pénurie d'IPv4 commence, au point que Free va mettre 4 clients par IPv4.

via https://twitter.com/lafibreinfo/status/674178992212152320

ipv6 · network

December 10, 2015 at 11:00:55 GMT+1 * · permalien

·

https://lafibre.info/free-la-fibre/cgn-14-chez-free-une-ipv4-partagee-par-4-clients/

·

Docker Networking: Reborn · Container42

Explication de la nouvelle couche réseau apparue dans docker 1.9.

En complément si vous utilisez swarm, voici un article qui détaille 'Overlay Networks' qui est le driver réseau par défaut https://medium.com/on-docker/docker-overlay-networks-that-was-easy-8f24baebb698

container · network · docker

November 8, 2015 at 23:07:58 GMT+1 * · permalien

·

http://www.container42.com/2015/10/30/docker-networking-reborn/

·

Outgoing Port Tester

pour tester la sortie réseau (outbound):
"""
nc -v portquiz.net <whatever_port>
"""

merci http://sensini42.free.fr/shaarli/index.php

outbound · access · network · test

November 5, 2015 at 13:12:15 GMT+1 * · permalien

·

http://portquiz.net/

·

debian - Can't ifdown eth0 (main interface) - Unix & Linux Stack Exchange

"""
The program keeps records of whether network interfaces are up or down. Under exceptional circumstances these records can become inconsistent with the real states of the interfaces. For example, an interface that was brought up using ifup and later deconfigured using ifconfig will still be recorded as up. To fix this you can use the --force option to force ifup or ifdown to run configuration or deconfiguration commands despite what it considers the current state of the interface to be.
"""

ifconfig · network · linux

October 12, 2015 at 15:57:39 GMT+2 * · permalien

·

http://unix.stackexchange.com/questions/50602/cant-ifdown-eth0-main-interface/50605#50605

·

iproute2 cheat sheet

Une grosse doc pour iproute2.

La déclaration faite en 2009 sur la mailing-list debian-devel qui annonce la dépréciation de net-tools (ifconfig, route, netstat, arp...) au profit de iproute2 (ip, ss, nstat, tc..): https://lists.debian.org/debian-devel/2009/03/msg00780.html

Les fichiers de iproute2:
https://packages.debian.org/jessie/amd64/iproute2/filelist

network · linux · cheatsheet

October 10, 2015 at 13:28:13 GMT+2 * · permalien

·

http://baturin.org/docs/iproute2/

·

Quitter telnet … « Mon Coin du Net - Liens en vrac de SimonLefort

Ouais.. sinon y'a netcat (nc). Un ctrl+c suffit pour quitter.
"""
$ nc fralef.me 25
220 fralef.me ESMTP Postfix (Debian/GNU)
^C
"""
Egalement, je trouve netcat sympa pour tester un firewall.
Par exemple là j'écoute sur le port 50000, grâce à l'option -l
"""
$ nc -l -p 50000

vérification dans un autre terminal

$ netstat -an | grep 50000
tcp 0 0 0.0.0.0:50000 0.0.0.0:* LISTEN

autre méthode avec ss, sachant que netstat est déprécié (https://jeekajoo.eu/links/?g3Er4g)

$ ss -nlput | grep 50000
tcp LISTEN 0 1 :50000 :* users:(("nc",3350,3))
"""
netcat permet en plus d'envoyer des paquets UDP au lieu d'initier une connection TCP, avec l'option -u
"""
$ nc -u host port
"""
Voila voila :)

network · netcat · keyboard · shortcut

October 9, 2015 at 19:17:54 GMT+2 * · permalien

·

http://links.simonlefort.be/?Tw4rtw

·

Open Food Network

Plate-forme open-source pour une distribution de produits en circuits courts.

Code: https://github.com/openfoodfoundation/openfoodnetwork
ToS du site australien: https://www.openfoodnetwork.org.au/Terms-of-service.pdf
L'idée, comme le code est libre, c'est de monter une multitude de sites et de constituer un maillage. Enfin j'espère que c'est l'objectif.

via cette interview http://www.reporterre.net/Pourquoi-une-plateforme-en-ligne-open-source-pour-les-circuits-courts dont voici un extrait pour que vous compreniez le fonctionnement:
« par exemple, un producteur qui voudrait distribuer en direct ses produits, peut créer son "hub" (terme générique pour désigner une petite boutique en ligne), renseigner ses produits, envoyer le lien à son réseau pour que ses clients [...] commandent ses produits avant qu'il ait récolté. Il peut, du coup, savoir en avance tout ce qui a été commandé [...] et aller livrer tout cela dans un point de retrait. C'est un exemple. »

open · food · network · local · platform · agriculture

October 9, 2015 at 15:10:56 GMT+2 * · permalien

·

http://openfoodnetwork.org/

·

MLVPN - MultiLink Virtual Public Network by zehome

"""
MLVPN will do it's best to acheive the following tasks:

Bond your internet links to increase bandwidth (unlimited)
Secure your internet connection by actively monitoring your links and removing the faulty ones, without loosing your TCP connections.
Secure your internet connection to the aggregation server using strong cryptography.
Scriptable automation and monitoring.

"""
Un exemple pour comprendre rapidement? Mattez ça:
http://mlvpn.readthedocs.org/en/latest/linux_example.html#example-case
Beau projet, initié par un toulousain.

bonding · vpn · network · bandwidth

September 28, 2015 at 17:18:12 GMT+2 * · permalien

·

http://zehome.github.io/MLVPN/

·

Docker and IPtables - sysadmin stuff

Comme je l'explique dans cet article écrit vite-fait, si vous utilisez docker sur un serveur accessible du net qui possède déja son firewall basé sur iptables, je vous conseille fortement de désactiver les règles iptables automatiques de docker avec le switch --iptables=false.