abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 19:22 | Pozvánky

Již příští týden - 26. a 27. října se v Praze v hotelu Olšanka odehraje OpenWRT Summit. Na webu konference naleznete program a možnost zakoupení lístků - ty stojí 55 dolarů. Čtvrtek bude přednáškový a v pátek se budou odehrávat převážně workshopy a meetingy.

Miška | Komentářů: 0
dnes 13:44 | Nová verze

Bylo vydáno Ubuntu 17.10 s kódovým názvem Artful Aardvark. Ke stažení jsou Ubuntu Desktop a Server, Ubuntu Cloud Images, Ubuntu Netboot, Kubuntu, Lubuntu a Lubuntu Alternate, Lubuntu Next, Ubuntu Budgie, Ubuntu Kylin, Ubuntu MATE, Ubuntu Studio a Xubuntu. Podrobnosti v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
dnes 13:00 | Komunita

MojeFedora.cz informuje, že Fedora 27 dostane podporu pro AAC. Podpora multimediálních formátů je ve výchozí instalaci Fedory tradičně limitovaná kvůli softwarovým patentům, ale desktopový tým Red Hatu se ji i tak snaží v poslední době co nejvíce rozšířit. Už nějaký čas obsahuje kodeky pro MP3, H.264, AC3 a nyní byl přidán také kodek pro další velmi rozšířený zvukový formát – AAC.

Ladislav Hagara | Komentářů: 0
včera 23:55 | Pozvánky

Spolek OpenAlt zve příznivce otevřených technologií a otevřeného přístupu na 145. brněnský sraz, který proběhne v pátek 20. října od 18:00 hodin v restauraci Time Out na adrese Novoměstská 2 v Řečkovicích. Jedná se o poslední sraz před konferencí OpenAlt 2017, jež proběhne o víkendu 4. a 5. listopadu 2017 na FIT VUT v Brně. Běží registrace účastníků.

Ladislav Hagara | Komentářů: 0
včera 21:44 | Nová verze

Byla vydána verze 5.2.0 multiplatformního virtualizačního nástroje Oracle VM VirtualBox. Jedná se o první stabilní verzi z nové větve 5.2. Z novinek lze zmínit například možnost exportování VM do Oracle Cloudu, bezobslužnou instalaci hostovaného systému nebo vylepšené GUI. Podrobnosti v seznamu změn. Aktualizována byla také dokumentace.

Ladislav Hagara | Komentářů: 1
včera 14:00 | Zajímavý projekt

Byl spuštěn Humble Down Under Bundle. Za vlastní cenu lze koupit multiplatformní hry The Warlock of Firetop Mountain, Screencheat, Hand of Fate a Satellite Reign. Při nadprůměrné platbě (aktuálně 3,63 $) také Hacknet, Hacknet Labyrinths, Crawl a Hurtworld. Při platbě 12 $ a více lze získat navíc Armello.

Ladislav Hagara | Komentářů: 0
včera 13:00 | Nová verze

Google Chrome 62 byl prohlášen za stabilní (YouTube). Nejnovější stabilní verze 62.0.3202.62 tohoto webového prohlížeče přináší řadu oprav a vylepšení. Vylepšeny byly také nástroje pro vývojáře (YouTube). Opraveno bylo 35 bezpečnostních chyb.

Ladislav Hagara | Komentářů: 4
včera 11:00 | Zajímavý článek

Článek (en) na Mozilla.cz je věnován vykreslování stránek ve Firefoxu. V průběhu roku 2018 by se ve Firefoxu měl objevit WebRender, jenž by měl vykreslování stránek urychlit díky využití GPU.

Ladislav Hagara | Komentářů: 5
včera 08:22 | Bezpečnostní upozornění

NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) informuje o zranitelnosti ROCA v procesu generování RSA klíčů, který se odehrává v softwarové knihovně implementované například v kryptografických čipových kartách, bezpečnostních tokenech a dalších hardwarových čipech vyrobených společností Infineon Technologies AG. Zranitelnost umožňuje praktický faktorizační útok, při kterém útočník dokáže vypočítat

… více »
Ladislav Hagara | Komentářů: 3
včera 01:23 | Zajímavý software

Příspěvek na blogu otevřené certifikační autority Let's Encrypt informuje o začlenění podpory protokolu ACME (Automatic Certificate Management Environment) přímo do webového serveru Apache. Klienty ACME lze nahradit novým modulem Apache mod_md. Na vývoj tohoto modulu bylo uvolněno 70 tisíc dolarů z programu Mozilla Open Source Support (MOSS). K rozchození HTTPS na Apache stačí nově přidat do konfiguračního souboru řádek s ManagedDomain. Minutový videonávod na YouTube [reddit].

Ladislav Hagara | Komentářů: 4
Jak se vás potenciálně dotkne trend odstraňování analogového audio konektoru typu 3,5mm jack z „chytrých telefonů“?
 (10%)
 (1%)
 (1%)
 (1%)
 (73%)
 (13%)
Celkem 98 hlasů
 Komentářů: 5, poslední dnes 07:28
    Rozcestník

    Dotaz: IPSec (strongswan) - konfigurace

    6.7.2006 10:54 svaca | skóre: 38
    IPSec (strongswan) - konfigurace
    Přečteno: 892×
    Ahoj, trapim se s IPSec.

    Zkousel jsem openswan - dokazu nainstalovat, ale kernel moduly (jadro 2.4 i 2.6) porad hazi segment fault, atd ...

    Tak jsem zkusil Strongswan a to vypada gut. Verze 2.7.2, nicmene mam porad nekde chybu vkonfiguraci ... v certifikatech.

    Tady je log:

    Jul 6 10:38:03 sv pluto[4839]: | *received 252 bytes from 217.168.215.187:500 on eth0
    Jul 6 10:38:03 sv pluto[4839]: | ICOOKIE: 0b 2d 8c 35 15 8e 89 7d
    Jul 6 10:38:03 sv pluto[4839]: | RCOOKIE: ff 63 8c 2e ca 8f 06 1a
    Jul 6 10:38:03 sv pluto[4839]: | peer: d9 a8 d7 bb
    Jul 6 10:38:03 sv pluto[4839]: | state hash entry 18
    Jul 6 10:38:03 sv pluto[4839]: | state object #1 found, in STATE_MAIN_I2
    Jul 6 10:38:03 sv pluto[4839]: | requested CA: '%any'
    Jul 6 10:38:03 sv pluto[4839]: | our certificate policy is ALWAYS_SEND
    Jul 6 10:38:03 sv pluto[4839]: "net-net" #1: we have a cert and are sending it
    Jul 6 10:38:03 sv pluto[4839]: "net-net" #1: unable to locate my private key for RSA Signature
    Jul 6 10:38:03 sv pluto[4839]: "net-net" #1: sending encrypted notification AUTHENTICATION_FAILED to 217.168.215.187:500
    Jul 6 10:38:03 sv pluto[4839]: | state transition function for STATE_MAIN_I2 failed: AUTHENTICATION_FAILED
    Jul 6 10:38:03 sv pluto[4839]: | next event EVENT_RETRANSMIT in 3 seconds for #2

    Pak mam jeste problem s tim, ze na tom jednom positaci, co je jadro se vytvori ipsec0 zarizeni, ale na tom co je jadro 2.6 se nevytvori zadne net zarizeni, ale obe strany spolu komunikuji, jak je videt ...

    Konfig vypada takto:

    # /etc/ipsec.conf - strongSwan IPsec configuration file

    version 2.0 # conforms to second version of ipsec.conf specification

    config setup
    plutodebug=control
    crlcheckinterval=180
    strictcrlpolicy=no

    conn net-net
    left=%defaultroute
    leftsubnet=192.168.1.0/24
    leftcert=Cert.pem
    right=85.193.29.43
    rightsubnet=192.168.0.0/24
    rightid="C=CZ, O=sv.centel.cz, CN=sv.centel.cz"
    auto=start

    Certifikaty mam na patricnych mistech, nevite, co delam spatne ??? Diky.

    Never give up ! Stay ATARI !

    Odpovědi

    6.7.2006 13:33 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    Hlavní problém bych hledal tady:
    Jul 6 10:38:03 sv pluto[4839]: "net-net" #1: unable to locate my private key for RSA Signature
    
    Prostě nemůže najít soubor s vaším tajným klíčem.
    6.7.2006 14:58 svaca | skóre: 38
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    Jsem rad, ze jste se ozval zrovna Vy ... :-) Jste specialista.

    JA vim, ze je tam chyba, ale ten klic je v /etc/ipsec.d/certs a odkazuje na nej i /etc/ipsec.secrets, proc ho nenachazi ???

    A koukal jsem, ze spis doporucujete ipsec-tools, jenze NIKDE jsem nenael poradnou dokumentaci, tak vubec nevim, co s tim ...

    Diky MOC.
    Never give up ! Stay ATARI !
    6.7.2006 16:10 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    Konfiguraci FreeS/WAN si moc nepamatuji, už jsou to tak dva roky, co jsem ji naposledy používal (ještě na jádrech 2.4), ale čistě technicky byste měl IKE démonovi říct, kde je
    • buď váš klíč, váš certifikát, certifikát protistrany
    • nebo váš klíč, váš certifikát, certifikát autority, kterou byl podepsán certifikát protistrany
    podle toho, kterou metodu autentizace používáte. Ale jestliže tvrdíte, že svůj klíč máte v ipsec.secrets, mělo by to fungovat. Jen mne napadá: určitě certifikát v Cert.pem odpovídá tomu klíči, který je v ipsec.secrets?
    6.7.2006 16:18 svaca | skóre: 38
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    Ano, ale vubec to nechapu - tohle nezvladnu ..... :-(((
    Je to tezky jak PRASE. Ach jo.

    Jednou to totiz hleda klic v /etc/ipsec.d/certs a jednou zase v /etc/ipsec.d/private i kdyz ZDANLIVE konfigurace stejna ...

    Je to NEJVETSI opruz s kterym jsem se setkal, delam to dny a NIKAM jsem nepostoupil:

    Je NEJAKA jina JEDNODUSSI cesta, jak pouzit IPSec ????

    ted mam toto v logu, ale VUBEC nic to pak nedela:

    Jul 6 16:07:26 server pluto[18622]: | found eth0 with address 217.168.215.187
    Jul 6 16:07:26 server pluto[18622]: | found eth1 with address 192.168.1.1
    Jul 6 16:07:26 server pluto[18622]: adding interface eth1/eth1 192.168.1.1:500
    Jul 6 16:07:26 server pluto[18622]: adding interface eth0/eth0 217.168.215.187:500
    Jul 6 16:07:26 server pluto[18622]: adding interface lo/lo 127.0.0.1:500
    Jul 6 16:07:26 server pluto[18622]: | found lo with address 0000:0000:0000:0000:0000:0000:0000:0001
    Jul 6 16:07:26 server pluto[18622]: adding interface lo/lo ::1:500
    Jul 6 16:07:26 server pluto[18622]: loading secrets from "/etc/ipsec.secrets"
    Jul 6 16:07:26 server pluto[18622]: loaded private key file '/etc/ipsec.d/private/cert.pem' (2270 bytes)

    Nechapu proc to MUSI byt tak komplikovany ... Kdybych to vypravel Windows uzivately s Keriem treba, tak se mi bude smat do obliceje.

    Never give up ! Stay ATARI !
    7.7.2006 00:00 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    Ono to vůbec složité není, navíc dokumentace k FreeS/WAN je velmi bohatá a přehledná. Jen už mi to trochu vypadlo z paměti a studovat to znovu se mi nechce (když vím, že už to potřebovat nebudu).
    7.7.2006 00:02 svaca | skóre: 38
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    A jak resite VPN ??? Nijak ?
    Never give up ! Stay ATARI !
    7.7.2006 02:02 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    Implementace základních protokolů je v jádrech 2.6 obsažena automaticky, takže stačí nástroje z balíčku ipsec-tools (v jednotlivých distribucích se asi jmenuje různě): démon racoon a příkaz setkey.
    7.7.2006 09:46 petr_p
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    Ano, slozite to neni, pokud presne vite, jake jsou limity druhe strany. Protoze kdyz se druhe strane neco nelibi, tak v zajmu bezpecnosti (a je to tak i primo v RFC) nerekne co. Jen cosi jako invalid payload type. A kdyz nemuzete podrobnejsi informaci vyrazit z admina druheho konce (v jeho logu to samozrejme je), tak je to na smycku.

    To pisu z vlastni zkusenosti. 2 dny jsem se snazil propojit racoon a pluto. Nakonec jsem to nejak dal, ale zjistil jsem, ze obcas pluto zacne odmitat klice, i kdyz by platit stale mely a pomuze jen restartovat pluto nebo pokorne snizit zivotnost klicu na ten jeho divny timeout.

    Prijde mi, ze jednotlive implementace ISAKMP maji problem se dohodnout. Misto toho, aby kazda strana poslala, co umi, a pak si vybrali nejvyssi spolecne zabezpeceni, tak to skonci tak, ze jedna strana neco zkusi, druha ji sproste vyhodi a je konec.
    7.7.2006 10:47 svaca | skóre: 38
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    Presne - payload type, to je muj probelm ... i s NE RSA klicem, ale pouze secret klicem ...

    ipsec-tools mohu zkusit, bohuzel, nikde neni ale VUBEC zadny navod ...

    Je to proste srot, cely ipsec. ....
    Never give up ! Stay ATARI !
    7.7.2006 10:52 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    Můžete začít v mém oblíbeném LARTC HowTo (kapitola 7) a pokračovat manuálovou stránkou k racoon a setkey. Osobně mám ipsec-tools raději než FreeS/WAN (a její pohrobky), protože konfigurace víc odpovídá tomu, jak IPsec skutečně funguje, a nevymýšlejí si svou vlastní terminologii.
    7.7.2006 11:56 svaca | skóre: 38
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    Vim, koukal jsem to vypada dobre, necmene tam pracuji s timto programem: spdadd

    Nevim co je to zac a kde ho vzit ... v ipsec-tools neni.
    Never give up ! Stay ATARI !
    7.7.2006 12:53 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    To není program, to je příkaz, který se zadává prostřednictvím setkey. Buď si ty příkazy napíšete přímo do souboru a spustíte 'setkey -f ten_soubor' nebo můžete spustit 'setkey -c' a příkazy mu posílat přímo na standardní vstup.
    7.7.2006 13:18 svaca | skóre: 38
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    Aha ! Vyzkousim. DEKUJI. :-)
    Never give up ! Stay ATARI !
    7.7.2006 19:28 svaca | skóre: 38
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    tak jsem asi UPLNE blbej ....

    Neskutecne me toci, ze si s tim neporadim - open VPN ziskava 10000 bodu ...

    Zkousel jsem ten ipsec-tools - vubec asi nechapu princip

    mam sit:

    WAN: 217.168.215.187 - LAN: 192.168.1.0

    a druha: WAN: 85.193.29.43 - LAN: 192.168.0.1

    kdyz tyto adresy nastavim pomoci setkeye,takse samozrejme IHNED odriznu z routeru ... :-))))

    CO TAM MAM DAT ZA ADRESY ???? DIKY MOC. Uz z toho fakt magorim.
    Never give up ! Stay ATARI !
    7.7.2006 21:20 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    Jak vypadá váš racoon.conf a jak vypadá to, co jste předal příkazu setkey?
    7.7.2006 23:40 svaca | skóre: 38
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    OK. racoon.conf:

    path pre_shared_key "/usr/local/etc/racoon.key";
    remote anonymous
    {
    exchange_mode aggressive,main;
    doi ipsec_doi;
    situation identity_only;
    my_identifier address;
    lifetime time 2 min; # sec,min,hour
    initial_contact on;
    proposal_check obey; # obey, strict or claim
    proposal {
    encryption_algorithm 3des;
    hash_algorithm sha1;
    authentication_method pre_shared_key;
    dh_group 2 ;
    }
    }
    sainfo anonymous
    {
    pfs_group 1;
    lifetime time 2 min;
    encryption_algorithm 3des ;
    authentication_algorithm hmac_sha1;
    compression_algorithm deflate ;
    }

    setkey:

    #!/sbin/setkey -f

    flush;
    spdflush;
    spdadd 217.168.215.187 85.193.29.43 any -P out ipsec
    esp/transport//require;
    spdadd 85.193.29.43 217.168.215.187 any -P in ipsec
    esp/transport//require;

    Never give up ! Stay ATARI !
    6.7.2006 19:56 Thor
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    Zdravim, nevim jestli to pomuze, ale na Debian 3.1, kernel 2.6 a freeswan a jede to v pohode okamzite. S konfiguraci freeswanu mohu pomoc. Vase reseni bohuzel namam odzkousene/nasazene.
    6.7.2006 23:57 svaca | skóre: 38
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    Uf, to by bodlo, ale nechci debian ....

    Porad se trapim ...
    Never give up ! Stay ATARI !
    7.7.2006 10:45 svaca | skóre: 38
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    Zkousim ten debian, ten mi aspon vygeneruje korektni certifikaty ...
    Never give up ! Stay ATARI !
    7.7.2006 15:17 STP
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    "net-net" #1: unable to locate my private key for RSA Signature ....mrkni na ulozeni toho private key, vypada to, ze jej nevidi.
    7.7.2006 16:57 svaca | skóre: 38
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    Vim, on tam je a byl, ale nejaky spatny format, nebot ty certifikaty z debianu funguji, ale proste se to nespoji, porad to hlasi neco okolo paypal ...

    Kaslu na to, zkusim ten ipseec-tools, tohle nema reseni ...
    Never give up ! Stay ATARI !

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.