Astra linux группа netdev

Настройка тоннеля GRE в Astra Linux

Данные пересылаются через туннели GRE без применения защитного преобразования, поэтому туннели GRE допустимо использовать только с протоколами передачи данных, поддерживающими защитное преобразование данных (например, протокол HTTPS).

Заголовок пакета GRE занимает 24 байта, соответственно MSS пакетов, пересылаемых через тоннели GRE уменьшается на 24 байта, что может вызвать проблемы при передаче через Интернет.

Исходные данные

В качестве стенда используются два сервера, каждый из которых снабжен двумя сетевыми интерфейсам. Один интерфейс используется для подключения в общей сети серверов, второй интерфейс — для подключения к локальной сети сервера. Конфигурация:

• cервер А:
  • интерфейс eth0 (интерфейс общей сети):
    • IP-адрес: 192.168.27.137;
    • IP-адрес: 192.168.166.237;
    • сеть: 192.168.166.0/24:
    • интерфейс eth0:
      • IP-адрес: 192.168.27.56;
      • IP-адрес: 192.168.17.174;
      • сеть: 192.168.17.0/24:

      Настройка тоннеля GRE

      Включение перенаправления сетевых пакетов

      Независимо от выбранного далее способа настройки тоннеля GRE для его работы нужно разрешить перенаправление сетевых пакетов. Для этого на сервере А и на сервере Б:

      В файле /etc/sysctl.conf раскомменировать строку:

      Сделанные изменения будут сохраняться после перезагрузки ОС.

      Настройка правил iptables

      Правила iptables по умолчанию после перезагрузки не сохраняются. Для настройки автоматического восстановление правил iptables после перезагрузки см: Сохранение и восстановление правил iptables.

      Если в правила iptables включено применение по умолчанию правила reject, то работу тоннеля GRE необходимо разрешить специальным правилом. Это можно сделать выполнив на обоих серверах команду:

      Для предотвращения проблем с передачей пакетов из-за уменьшенного на 20 байт MTU на всех серверах можно добавить правило iptables, включающее автоматический перерасчет MSS для соединений:

      Настройка тоннеля GRE c помощью интерфейса командной строки NetworkManager

      Для того, чтобы команды выполнялись без использования привилегий суперпользователя, текущий пользователь должен быть включен в группу netdev.

      Действия по настройке серверов симметричны, здесь и далее для наглядности различия в командах выделены цветом:

      nmcli con add type ip-tunnel ip-tunnel.mode gre con-name gre1 ifname gre1 \
      remote 192.168.27.56 local 192.168.27.137

      nmcli con add type ip-tunnel ip-tunnel.mode gre con-name gre1 ifname gre1 \
      remote 192.168.27.137 local 192.168.27.56

      Сделанные изменения будут сохраняться после перезагрузки ОС.

      Настройка тоннеля GRE c помощью графического плагина NetworkManager nm-connection-editor

      Для того, чтобы редактирование сетевых интерфейсов было доступно без использования привилегий суперпользователя, текущий пользователь должен быть включен в группу netdev.

      Графический плагин NetworkManager для редактирования сетевых соединений доступен для запуска из системного трея (нажать правой кнопкой мыши на иконку сетевых соединений, затем во всплывающем меню выбрать пункт «Изменить соединения»)
      или из командной строки командой:

      1. Нажать значок «+»;
      2. Выбрать тип соединения «ip-туннель»;
      3. Нажать кнопку «Создать»;
      4. В появившейся форме:
         1. Выбрать режим «GRE»;
         2. Заполнить остальные параметры (значения параметров приведены в предыдущем разделе);
         3. Перейти во вкладку «Параметры IPv4»;
         4. Нажать кнопку «Маршруты» и добавить необходимые маршруты;

         Сделанные изменения будут сохраняться после перезагрузки ОС.

         Настройка тоннеля GRE с помощью службы networking

         Для создания тоннеля GRE с помощью службы networking:

         1. Добавить в файл /etc/network/interfaces следующие строки:

         auto gre1
         iface gre1 inet static
         address 10.0.1.1
         netmask 255.255.255.252
         mtu 1400
         up ifconfig gre1 multicast
         pre-up iptunnel add gre1 mode gre remote 192.168.27.56 local 192.168.27.137 dev eth0
         post-up route add -net 192.168.17.0 netmask 255.255.255.0 gw 10.0.1.2
         pointopoint 10.0.1.2
         post-down iptunnel del gre1

         auto gre1
         iface gre1 inet static
         address 10.0.1.2
         netmask 255.255.255.252
         mtu 1400
         up ifconfig gre1 multicast
         pre-up iptunnel add gre1 mode gre remote 192.168.27.137 local 192.168.27.56 dev eth0
         post-up route add -net 192.168.166.0 netmask 255.255.255.0 gw 10.0.1.1
         pointopoint 10.0.1.1
         post-down iptunnel del gre1

         2. Перезапустить службу networking:

         Настройка тоннеля GRE c помощью сценария

         sudo ip tunnel add gre1 mode gre remote 192.168.27.56 local 192.168.27.137 dev eth0
         sudo ifconfig gre1 10.0.1.1 pointopoint 10.0.1.2
         sudo ifconfig gre1 mtu 1400
         sudo ifconfig gre1 up
         sudo route add -net 192.168.17.0 netmask 255.255.255.0 gw 10.0.1.2

         sudo ip tunnel add gre1 mode gre remote 192.168.27.137 local 192.168.27.56 dev eth0
         sudo /sbin/ifconfig gre1 10.0.1.2 pointopoint 10.0.1.1
         sudo /sbin/ifconfig gre1 mtu 1400
         sudo /sbin/ifconfig gre1 up
         sudo route add -net 192.168.166.0 netmask 255.255.255.0 gw 10.0.1.1

         Настройка тоннелей GRE в режиме точка-многоточка. Использование ключей GRE

         Исходные данные

         • cервер А:
           • IP-адрес: 192.168.0.101;
           • адрес GRE: 10.0.0.1;
           • IP-адрес: 192.168.0.102;
           • адрес GRE: 10.0.0.2;
           • IP-адрес: 192.168.0.103;
           • адрес GRE: 10.0.0.3;

           Предполагается, что серверы работают в сети, в которой запрещена рассылка multicast-сообщений (например, в сети Интернет).

           Создание тоннеля

           На всех серверах создается устройство GRE с именем mgre0 без указания адреса второго участника тоннеля и с указанием ключа GRE.
           Ключ GRE- 32-битное число, одинаковое для всех участников тоннеля. Ключ GRE может быть задан как число или как октет десятичных чисел (как обычно записывается IP-адрес):

           Источник

           Новый пользователь — Назойливые окна — Требуется аутентификация — Агент PolicyKit1 от KDE

           При каждом входе в систему постоянно вылазит два окна аутентификации для действия требующего повышенных привилегий — связанных как я понимаю с Bluetooth.

           Подскажите как сделать:
           — либо выключить отображения этих окон
           — либо дать разрешение на это действие под созданным пользователем.

           Первое окно:
           Требуется аутентификация — Агент PolicyKit1 от KDE
           Настройка сети требует привилегий
           Приложение пытается выполнить действие, которое требует дополнительных привилегий. Для этого требуется аутентификация.
           Действие: Configure Bluetooth Network
           Идентификатор: org.blueman.network.setup
           Поставщик: The Blueman Project
           Посмотреть вложение 1.png

           Второе окно:
           Требуется аутентификация — Агент PolicyKit1 от KDE
           Setting RfKill State requires privileges
           Приложение пытается выполнить действие, которое требует дополнительных привилегий. Для этого требуется аутентификация.
           Действие: Set RfKill State
           Идентификатор: org.blueman.rfkill.setstate
           Поставщик: The Blueman Pro
           Посмотреть вложение 2.png

           Последнее окно (тут понятно что не авторизовались, поэтому в ошибку вывалилось) :
           Failed to apply network settings
           You might not be abble to connect to the Bluetooth network via this machine
           Exception
           org.freedesktop.DBus.Error.NoReply: Did not receive a reply. Possible causes include^ the remote application did not send a reply, the message bus security policy blocked the reply, the reply timeout expired,
           Посмотреть вложение 3.png

           Источник

           Читайте также:  Kali linux system requirement