How to - VPN Gate (Win/macOS)

V případě potřeby přístupu na internet na veřejné síti, kdy si nemůžeme být jisti tím, zda naše pakety a data nejsou zachytávány, je vhodné používat pro přístup VPN tunel. Obecně problematika proč a kdy používat VPN je poměrně rozsáhlá a v dnešní, již skoro Orwellovské době, je jen na každém z nás, jak se k tomu postaví.

Jedna z mála veřejně dostupných free VPN služeb se jmenuje VPN Gate. Jedná se o experimentální projekt zaštítěný akademickým výzkumem Graduate School of University of Tsukuba z Japonska.
Popis projektu i se srozumitelnou grafikou kdy a proč využívat pro přístup k internetu VPN je zde:

http://www.vpngate.net/en/about_overview.aspx

Nejedená se o placenou službu, takže je zde samozřejmě otázka bezpečnosti dat na výstupních serverech. Nicméně při troše selského rozumu a vhodném výběru serverů se dá služba využívat. Samozřejmě je vhodné dále používat další formy šifrování komunikace.

Připojení pro Windows

Nejjedodušší je využít SoftEther VPN klienta s pluginem VPN Gate. Jedná se o jednoduchou instalaci i používání. Detajlní postup v odkazu níže.

http://www.vpngate.net/en/howto_softether.aspx#windows

Připojení pro macOS

Připojení z macOS je trochu složitější. Nicméně lze také provést. Z praktickho hlediska se mi nejvíce osvědčila a je asi nejjednodušší kombinace Tunnelblick a využití VPN Gate OpenVPN serverů.

Tunnelblick je dostupný zde - https://tunnelblick.net/downloads.html

Postup

Pro získání .ovpn konfiguračního souboru si na stránce VPN gate vylistujeme servery s podporou OpenVPN a vybereme si server, který nám vyhovuje. Osobně preferuji servery z Japonska a Jižni Korey.

Stáhneme konfigurační soubor.

Vložení staženého konfiguračního souboruje pak jednoduchý drap and drop do aplikace Tunnelblick.

Při doptání na instalaci vybereme zda má být pouze pro našeho uživatele, nebo všechny.

Pro instalaci konfigurace je potřeba potvrdit instalci a opravánění.

V konfiguraci nově přidaného profilu zaškrtneme Route all IPv4 traffic through the VPN (důležité!)

Poté se již můžeme připojit. Buď konfigurační stránkou nebo vylistovaným seznamem z lišty či pop-up oknem připojení.

V průběhu přopojovování uvidíme stavové informace. Pokud máme konfigurační soubor delší dobu, může se stát, že server bude vypnut. V tomto případě je potřeba stáhnout konfigurační soubor na jiný server.

Potvrzení připojení.

A hotovo. Prostup na intenet je již ve VPN tunelu. Lze snadno ověřit na whatsmyip.com a podobném.

How to - připojení disků pomocí MPIO

Postup pro připojení iSCSI síťových disků s využitím MPIO (Multi Path IO) ve Windows Server 2012 a novejších. Používá se pro zvýšení dostupnosti iSCSI disků a současně agragaci linek pro navýšení výkonu.

Predispozice

• iSCSI Target server nebo diskové pole
• Přiřazené IQN pro diskové LUNy
• Min. 2 dedikované síťové adaptéry pro iSCSI
• Aktivovaná služba iSCSI Initiator
• Přidaná feature MPIO

Postup

V nastavení MPIO, záložce Discover Multi-Paths  přidáme podporu pro iSCSI zařírení. Po přidání je nutný restart.

MPIO Properities

Po restartu otevřeme iSCSI Initiator Properties. V záložce Discovery přidáme Discovery portál. Vypleníme adresu Target serveru a přejdeme do Advanced nastavení.

Discover Target Portal

V Advanced Settings, záložce General nastavíme Local adapter na Microsoft iSCSI Initiator a vybereme IP adresu prvního z dvojie dedikovaných adaptérů.

Advanced Settings 1

Totéž provedeme i pro druhý z dvojice dedikovaných adaptérů.

Advanced Settings 2

Zpátky v iSCSI Initiator Properties v záložce Targets dáme Refresh pro načtení dostupných targetů, vybereme target a přejdeme do Properties.

Targets

V Properties přidáme session Add session.

Add session

Otevře se nám konfigurace Connect To Target. Vybereme Enable multi-path a přejdeme do Advanced.

Connect To Target

V Advanced Settings nastavíme Local adapter na Microsoft Initiator, Initiator IP na adresu prvního iSCSI adaptéru, Target portal IP na IP adresu Target serveru. Poté dáme OK a přidáme připojení. 

Advanced Settings Connet To Target

Opakujeme znova pro druhý iSCSI adaptér. Pokud má náš Target server více adres, provedeme připojení obou adaptérů na všechny adresy Target serveru. V tomto případe má Target server 2 adapterý se dvěmi adresami, stejně tak náš cílový server - tudiž celkem 4 připojení pro plnou redundanci.

Přidané mutipath session

Pokud máme více Targetů, zopakujeme postup pro připojení pro zbylé targety. V tomto případě vidíme připojené dva targety.

Připojené targety

V Disk Managmentu nyní již vidíme připojené targety.

Disk Managment

Disk přepneme do Online.

Přepnutí do Online

Disk je připojen do systému a plně dostupný.

Připojený Online disk

SC VMM - uvolnění IP adres z IP Poolu

Hodí se v situaci, kdy potřebujeme odstranit IP Pool, který již má přiřazeny IP adresy a pokus o smazání zkončí chybovou hláškou:

"VMM is unable to delete the static IP address pool (iSCSIIPPool) because it has allocated IP addresses. Please return all the allocated IP addresses to the pool by using the Revoke-SCIPAddress cmdlet, and then retry this operation. You can retrieve the allocated addresses by using the Get-SCIPAddress cmdlet with the -StaticIPAddressPool parameter.ID: 13671"

Uvolnění provedeme pomocí následujících 3 příkazů v PowerShellu (Subnet nahradíme požadovaným). Po provedení příkazu se nám zobrazí seznam uvolněných IP adress.:

$IPAddressPool = Get-SCStaticIPAddressPool -IPv4 -Subnet "192.168.1.0/24"
$IPAddress = Get-SCIPAddress -StaticIPAddressPool $IPAddressPool
ForEach ($ip in $IPAddress) {Revoke-SCIPAddress -AllocatedIPAddress $ip}

Ob1 - výstup PowerShellu

Poté je možno již bez problémů odebrat požadovaný IP Pool.

Dell iDRAC a Virtual Media v konzoli

Možnost připojení ke konzoli iDRAC v.6 funguje aktuálně:

• Windows s Java 1.7+ plně, včetně Virtual Media
• MacOS s Java 1.7+ částečně - nefunguje Virtual Media (z důvodu odebrání 32bit knihoven v MacOS Javě)

Možnost připojení ke konzoli iDRAC v.7+ funguje aktuálně:

• Windows s Java 1.7+ plně, včetně Virtual Media
• MacOS s Java 1.7+ plně, včetně Virtual Media

PowerShell - tipy na zajímavé příkazy

Jak vypnout základní systémové věci ve Windows:

Vypnout Firewall
# Disable FirewallSet-NetFirewallProfile -Profile * -Enabled False

nebo postaru: netsh advfirewall set allprofiles state off

Vypnout Windows Defender 
# Disable Windows Defender
Set-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows Defender" -Name "DisableAntiSpyware" -Type DWord -Value 1

Vypnutí UAC
# Lower UAC level
Set-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System" -Name "EnableLUA" -Type DWord -Value 1
Set-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System" -Name "ConsentPromptBehaviorAdmin" -Type DWord -Value 0
Set-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System" -Name "PromptOnSecureDesktop" -Type DWord -Value 0

Vypnutí telemetrie
# Disable Telemetry
Set-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows\DataCollection" -Name "AllowTelemetry" -Type DWord -Value 0

Vypnutí SmartScreen filteru
# Disable SmartScreen Filter
Set-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Explorer" -Name "SmartScreenEnabled" -Type String -Value "Off"
Set-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\AppHost" -Name "EnableWebContentEvaluation" -Type DWord -Value 0

Vypnutí Bingu ve Start menu
# Disable Bing Search in Start Menu
Set-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Search" -Name "BingSearchEnabled" -Type DWord -Value 0

Vypnutí zjišťování polohy
Set-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\DeviceAccess\Global\{BFA794E4-F964-4FDB-90F6-51056BFE4B44}" -Name "Value" -Type String -Value "Deny"

If (!(Test-Path "HKCU:\Software\Microsoft\Windows NT\CurrentVersion\Sensor\Permissions\{BFA794E4-F964-4FDB-90F6-51056BFE4B44}")) {
New-Item -Path "HKCU:\Software\Microsoft\Windows NT\CurrentVersion\Sensor\Permissions\{BFA794E4-F964-4FDB-90F6-51056BFE4B44}" -Force | Out-Null
}
Set-ItemProperty -Path "HKCU:\Software\Microsoft\Windows NT\CurrentVersion\Sensor\Permissions\{BFA794E4-F964-4FDB-90F6-51056BFE4B44}" -Name "SensorPermissionState" -Type DWord -Value 0

Vypnutí Contany

# Disable Cortana
If (!(Test-Path "HKCU:\Software\Microsoft\Personalization\Settings")) {
New-Item -Path "HKCU:\Software\Microsoft\Personalization\Settings" -Force | Out-Null
}
Set-ItemProperty -Path "HKCU:\Software\Microsoft\Personalization\Settings" -Name "AcceptedPrivacyPolicy" -Type DWord -Value 0
If (!(Test-Path "HKCU:\Software\Microsoft\InputPersonalization")) {
New-Item -Path "HKCU:\Software\Microsoft\InputPersonalization" -Force | Out-Null
}
Set-ItemProperty -Path "HKCU:\Software\Microsoft\InputPersonalization" -Name "RestrictImplicitTextCollection" -Type DWord -Value 1
Set-ItemProperty -Path "HKCU:\Software\Microsoft\InputPersonalization" -Name "RestrictImplicitInkCollection" -Type DWord -Value 1
If (!(Test-Path "HKCU:\Software\Microsoft\InputPersonalization\TrainedDataStore")) {
New-Item -Path "HKCU:\Software\Microsoft\InputPersonalization\TrainedDataStore" -Force | Out-Null
}
Set-ItemProperty -Path "HKCU:\Software\Microsoft\InputPersonalization\TrainedDataStore" -Name "HarvestContacts" -Type DWord -Value 0

PowerShell - přidání sítového adaptéru do standartního virtuálního switche pro Host

Přidat lze na switch vytvořený jak za pomocí Hyper-V, tak za pomoci NIC Teamingu. První příkaz vytvoří nový adaptér, druhý příkaz mu přiřadí VLAN (pokud jsou používané)

Add-VMNetworkAdapter -ManagmentOS -SwitchName switch1 -Name Sit1

-ManagmentOS - přidání pro Host server
-SwitchName switch1 - jméno virtuálního switche
-Name Sit1 - jméno nového virtuálního síťového adaptéru adaptéru

Set-VMNetworkAdapterVlan -ManagementOS -VMNetworkAdapterName Sit1 -Access -VlanId 21

-ManagmentOS - přidání pro Host server
-VMNetworkAdapterName Sit1 - jméno virtuálného síťového adaptéru, kterému se má přiřadit daná VLAN
-Access - access mode (musí být v souladu s nastavení fyzického switche)
-VlanId 21 - číslo VLAN

Více informací: TechNet 1 TechNet 2

PowerShell - přidání portu do firewallu

New-NetFirewallRule -DisplayName "Allow inbound port 123" -Direction Inbound -LocalPort 123 -Protocol TCP -Action Allow -Enabled:True

-DisplayName "Allow inbound port 123" - zobrazené jméno pravidla

-Direction Inbound - směr (dovnitř-ven)

-LocalPort 123 - číslo port

-Protocol TCP - protokol

-Action Allow - otevření portu

-Enabled:True - povolení pravidla

Více informací: https://technet.microsoft.com/en-us/library/jj554908(v=wps.630).aspx

PowerShell - připojení na vzdálený počítač

Enter-PSSesion -ComputerName Server01 -Credential domena/uzivatel

Enter-PSSesion - vytvoření připojení, pokud je samostatně, dojde k dotazu kam se má session připojit
-ComputerName Server01 - specifikace počítače, Server01 nahradit DNS jménem nebo IP adresou
-Credential domena/uzivatel - volitelně, v případě jednotného připojení v rámci domény automaticky se pokusí použít údaje aktuálně přihlášeného uživatele

Vice informací: TechNet