abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 05:55 | Zajímavý projekt

Dle příspěvku na blogu zaměstnanců CZ.NIC byl spuštěn ostrý provoz služby Honeypot as a Service (HaaS). Zapojit se může kdokoli. Stačí se zaregistrovat a nainstalovat HaaS proxy, která začne příchozí komunikaci z portu 22 (běžně používaného pro SSH) přeposílat na server HaaS, kde honeypot Cowrie (GitHub) simuluje zařízení a zaznamenává provedené příkazy. Získat lze tak zajímavé informace o provedených útocích. K dispozici jsou globální statistiky.

Ladislav Hagara | Komentářů: 0
dnes 04:44 | Komunita

Před týdnem společnost Feral Interactive zabývající se vydáváním počítačových her pro operační systémy macOS a Linux oznámila, že pro macOS a Linux vydají hru Rise of the Tomb Raider. Včera společnost oznámila (YouTube), že pro macOS a Linux vydají také hru Total War Saga: Thrones of Britannia. Verze pro Windows by měla vyjít 19. dubna. Verze pro macOS a Linux krátce na to.

Ladislav Hagara | Komentářů: 0
včera 21:33 | Nová verze

Byla vydána nová major verze 7.10 svobodného systému pro řízení vztahů se zákazníky (CRM) s názvem SuiteCRM (Wikipedie). Jedná se o fork systému SugarCRM (Wikipedie). Zdrojové kódy SuiteCRM jsou k dispozici na GitHubu pod licencí AGPL.

Ladislav Hagara | Komentářů: 0
včera 16:44 | Nová verze

Byla vydána nová verze 0.30 display serveru Mir (Wikipedie) a nová verze 2.31 nástrojů snapd pro práci s balíčky ve formátu snap (Wikipedie). Z novinek Miru vývojáři zdůrazňují vylepšenou podporu Waylandu nebo možnost sestavení a spouštění Miru ve Fedoře. Nová verze snapd umí Mir spouštět jako snap.

Ladislav Hagara | Komentářů: 0
včera 14:00 | Komunita

Na Indiegogo běží kampaň na podporu Sway Hackathonu, tj. pracovního setkání klíčových vývojářů s i3 kompatibilního dlaždicového (tiling) správce oken pro Wayland Sway. Cílová částka 1 500 dolarů byla vybrána již za 9 hodin. Nový cíl 2 000 dolarů byl dosažen záhy. Vývojáři přemýšlejí nad dalšími cíli.

Ladislav Hagara | Komentářů: 1
včera 11:11 | Nasazení Linuxu

Před dvěma týdny se skupina fail0verflow (Blog, Twitter, GitHub) pochlubila, že se jim podařilo dostat Linux na herní konzoli Nintendo Switch. O víkendu bylo Twitteru zveřejněno další video. Povedlo se jim na Nintendo Switch rozchodit KDE Plasmu [reddit].

Ladislav Hagara | Komentářů: 3
včera 05:55 | Komunita

Byla vydána vývojová verze 3.2 softwaru Wine (Wikipedie), tj. softwaru, který vytváří aplikační rozhraní umožňující chod aplikací pro Microsoft Windows také pod GNU/Linuxem. Z novinek lze zdůraznit například podporu HID gamepadů. Aktuální stabilní verze Wine je 3.0, viz verzování. Nejistá je budoucnost testovací větve Wine Staging s řadou experimentálních vlastností. Současní vývojáři na ni již nemají čas. Alexandre Julliard, vedoucí projektu Wine, otevřel v diskusním listu wine-devel diskusi o její budoucnosti.

Ladislav Hagara | Komentářů: 2
18.2. 16:55 | Komunita

Do 22. března se lze přihlásit do dalšího kola programu Outreachy (Wikipedie), jehož cílem je přitáhnout do světa svobodného a otevřeného softwaru lidi ze skupin, jež jsou ve světě svobodného a otevřeného softwaru málo zastoupeny. Za 3 měsíce práce, od 14. května do 14. srpna 2018, v participujících organizacích lze vydělat 5 500 USD.

Ladislav Hagara | Komentářů: 53
17.2. 15:44 | Komunita

Nadace The Document Foundation (TDF) zastřešující vývoj svobodného kancelářského balíku LibreOffice dnes slaví 6 let od svého oficiálního vzniku. Nadace byla představena 28. září 2010. Formálně ale byla založena až 17. února 2012. Poslední lednový den byl vydán LibreOffice 6.0. Dle zveřejněných statistik byl za dva týdny stažen již cca milionkrát.

Ladislav Hagara | Komentářů: 1
17.2. 04:44 | Bezpečnostní upozornění

CSIRT.CZ upozorňuje, že byla vydána nová verze 1.2.3 svobodného routovacího démona Quagga (Wikipedie) přinášející několik bezpečnostních záplat. Při nejhorší variantě může dojít až k ovládnutí běžícího procesu, mezi dalšími možnostmi je únik informací z běžícího procesu nebo odepření služby DoS. Konkrétní zranitelnosti mají následující ID CVE-2018-5378, CVE-2018-5379, CVE-2018-5380 a CVE-2018-5381.

Ladislav Hagara | Komentářů: 0
Který webový vyhledávač používáte nejčastěji?
 (2%)
 (28%)
 (62%)
 (2%)
 (3%)
 (1%)
 (1%)
 (1%)
Celkem 385 hlasů
 Komentářů: 34, poslední 14.2. 18:44
    Rozcestník

    Dotaz: OpenVpn - dvě shodné konfigurace, rozdílné chování

    12.3.2011 22:58 JirkaH
    OpenVpn - dvě shodné konfigurace, rozdílné chování
    Přečteno: 481×
    zdravim,

    mám 2 linuxové stroje s CentOS, jeden fyzický 32bit, druhý na VMware 64 bit fyzický stroj je starší (3 roky) a vše funguje jak má druhý stroj na VMware jsem právě instaloval, nainstaloval openvpn a vygeneroval nové certfikáty a nakonfiguroval úplně stejně jako ten první stroj

    bohužel, pokud se připojuji k novému stroji, tak pingám pouze na ten daný stroj s VPN, na ostatní stroje ve vzdálené síti se nedostanu, NATY jsou nastaveny na příslušné porty, adresy jsou 10.0.0.211 a 10.0.0.212, v konfigu opravdu žádný rozdíl.

    Při instalaci nového stroje jsem použil jen to nejnutnější -> zvolen "základ" v konfigurační volbě, v při instalaci staršího serveru jsem použil volbu "server", není nutná nějaká služba pro chod Ethernet tunelu??? na novém stroji mi běží pouze služby sshd, syslog, openvpn, network, ntpd a nic víc, je něco potřeba.

    Na obou serverech používám tuto konfiguraci (porty jsou samozřejmě rozdílné)
    port 1194
    proto udp
    
    dev tap0
    client-to-client
    
    ca ca.crt
    cert openvpn-private.crt
    key openvpn-private.key
    
    dh dh1024.pem
    
    server-bridge 10.0.0.212 255.255.255.0 10.0.0.31 10.0.0.35
    
    script-security 3
    
    up /etc/openvpn/bridge-start
    down /etc/openvpn/bridge-stop
    
    push "dhcp-option DNS 10.0.0.227"
    push "dhcp-option DOMAIN domain.local"
    
    duplicate-cn
    status openvpn-status.log
    verb 5
    syslog openvpn
    
    a na clientech toto
    client
    dev tap
    proto udp
    port 1194
    
    remote my_ip_adress
    askpass
    pkcs12 hajsl.p12
    
    
    route-delay 10
    verb 5
    
    

    Řešení dotazu:


    Odpovědi

    13.3.2011 09:24 Franta Hanzlik
    Rozbalit Rozbalit vše Re: OpenVpn - dvě shodné konfigurace, rozdílné chování
    Zřejmě chcete použít "bridged VPN" konfiguraci - takže minimálně na straně serveru byste měl mít nakonfigurovaný (viz brctl atd) bridge, v kterém bude jeho LAN interface. A /etc/openvpn/bridge-start script by měl do tohoto bridge přidat odpovídající tapX zařízení. Zkuste ověřit.

    A pokud máte nastavený firewall - jeho pravidla by měla zohledňovat přístupy na vytvořený bridge. Obvyklé je povolit vše na LAN a tapX interface a požadovaná pravidla aplikovat na bridge interface.
    13.3.2011 09:38 JirkaH
    Rozbalit Rozbalit vše Re: OpenVpn - dvě shodné konfigurace, rozdílné chování
    skripty na obou strojích jsou následující:

    pro start služby
    #!/bin/sh
    
    /usr/sbin/brctl addbr br0
    /sbin/ifconfig tap0 up
    /usr/sbin/brctl addif br0 tap0
    
    /sbin/ifconfig eth0 0.0.0.0
    /usr/sbin/brctl addif br0 eth0
    /sbin/ifconfig br0 10.0.0.211 netmask 255.255.255.0 up 
    /sbin/ifconfig eth0 0.0.0.0
    
    /sbin/ip route del default
    /sbin/ip route add default via 10.0.0.254 dev br0
    a při zastavení služby pak
    #!/bin/sh
    
    /sbin/ifconfig br0 down
    
    /usr/sbin/brctl delif br0 eth0
    /usr/sbin/brctl delif br0 tap0
    
    /sbin/ifconfig tap0 down
    /usr/sbin/brctl delbr br0
    
    /sbin/ifconfig eth0 10.0.0.211 netmask 255.255.255.0
    
    /sbin/ip route del default
    /sbin/ip route add default via 10.0.0.254 dev eth0
    samozřejmě na novém stroji je místo 211 všeude 212, firewall na obou systémech je kompletně vypnul, selinux také, vše je řešeno natováním na firewallu Mikrotik
    13.3.2011 11:13 Franta Hanzlik
    Rozbalit Rozbalit vše Re: OpenVpn - dvě shodné konfigurace, rozdílné chování
    Mix "ip" a "ifconfig", a přiřazení IP 0.0.0.0 eth0 mne fascinují :) - to poslední snad ani nemá smysl. Blbost asi taky je dávat do scriptu natvrdo jméno TAP iface (tap0) - to je scriptu předáváno jako $1 parametr, a nemusí být nutně jen tap0.

    Co říkají výpisy "ip link show", "ip addr show", "ip route show" a "brctl show" (spuštěno na serveru při připojeném klientovi)?

    Myslím, že konfigurace statického br0 a statické zařazení eth0 do něj už při startu serveru by bylo daleko jednodušší a transparentnější. A startup script pak bude jen něco jako:
    #!/bin/sh
    /usr/sbin/brctl addif br0 "$1"
    
    A můžete použít lehce i iptables, to na VPN také nemusí být od věci, i když máte předřazen ten Mikrotik pro WAN.

    13.3.2011 13:05 JirkaH
    Rozbalit Rozbalit vše Re: OpenVpn - dvě shodné konfigurace, rozdílné chování
    takže jsem upravil takto při startu serveru spouštím tento skript
    #!/bin/bash
    
    /usr/sbin/brctl addbr br0
    /usr/sbin/brctl addif br0 eth0
    /sbin/ifconfig eth0 0.0.0.0
    /sbin/ifconfig br0 10.0.0.212 netmask 255.255.255.0 up
    /sbin/ip route del default
    /sbin/ip route add default via 10.0.0.254 dev br0
    a ve startu openvpn je
    #!/bin/bash
    
    /sbin/ifconfig "$1" up
    /usr/sbin/brctl addif br0 "$1"
    a na konci
    #!/bin/bash
    
    /usr/sbin/brctl delif br0 "$1"
    /sbin/ifconfig "$1" down
    výsledek je ale stejný, výpisy čtyřech příkazů, které uvádíte jsou následující
    [root@linux-bratr openvpn]# ip addr show
    1: lo: *LOOPBACK,UP,LOWER_UP* mtu 16436 qdisc noqueue
        link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
        inet 127.0.0.1/8 scope host lo
        inet6 ::1/128 scope host
           valid_lft forever preferred_lft forever
    2: eth0: *BROADCAST,MULTICAST,UP,LOWER_UP* mtu 1500 qdisc pfifo_fast qlen 1000
        link/ether 00:50:56:95:00:08 brd ff:ff:ff:ff:ff:ff
        inet6 fe80::250:56ff:fe95:8/64 scope link
           valid_lft forever preferred_lft forever
    3: sit0: *NOARP* mtu 1480 qdisc noop
        link/sit 0.0.0.0 brd 0.0.0.0
    4: br0: *BROADCAST,MULTICAST,UP,LOWER_UP* mtu 1500 qdisc noqueue
        link/ether 00:50:56:95:00:08 brd ff:ff:ff:ff:ff:ff
        inet 10.0.0.212/24 brd 10.0.0.255 scope global br0
        inet6 fe80::250:56ff:fe95:8/64 scope link
           valid_lft forever preferred_lft forever
    6: tap0: *BROADCAST,MULTICAST,UP,LOWER_UP* mtu 1500 qdisc pfifo_fast qlen 100
        link/ether 2a:38:1d:f3:99:50 brd ff:ff:ff:ff:ff:ff
        inet6 fe80::2838:1dff:fef3:9950/64 scope link
           valid_lft forever preferred_lft forever
    
    [root@linux-bratr openvpn]# ip link show
    1: lo: *LOOPBACK,UP,LOWER_UP* mtu 16436 qdisc noqueue
        link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    2: eth0: *BROADCAST,MULTICAST,UP,LOWER_UP* mtu 1500 qdisc pfifo_fast qlen 1000
        link/ether 00:50:56:95:00:08 brd ff:ff:ff:ff:ff:ff
    3: sit0: *NOARP* mtu 1480 qdisc noop
        link/sit 0.0.0.0 brd 0.0.0.0
    4: br0: *BROADCAST,MULTICAST,UP,LOWER_UP* mtu 1500 qdisc noqueue
        link/ether 00:50:56:95:00:08 brd ff:ff:ff:ff:ff:ff
    6: tap0: *BROADCAST,MULTICAST,UP,LOWER_UP* mtu 1500 qdisc pfifo_fast qlen 100
        link/ether 2a:38:1d:f3:99:50 brd ff:ff:ff:ff:ff:ff
    
    [root@linux-bratr openvpn]# ip route show
    10.0.0.0/24 dev br0  proto kernel  scope link  src 10.0.0.212
    default via 10.0.0.254 dev br0
    
    [root@linux-bratr openvpn]# brctl show
    bridge name     bridge id               STP enabled     interfaces
    br0             8000.005056950008       no              tap0
                                                            eth0
    
    ve výpisech ip addr show a ip link show jsem nahradil značku < a > značkou *
    15.3.2011 08:09 JirkaH
    Rozbalit Rozbalit vše Re: OpenVpn - dvě shodné konfigurace, rozdílné chování
    takže zdá se, že problém není v CentOS jako takovém, ale na virtuální platformě, kterou je vSphere 4 Essentials Plus ...

    zklonoval jsem fyzickou mašinu se všemi nastaveními vč. IP a chová se stejně špatně jako to nová virtuální mašina
    Řešení 1× (JirkaH (tazatel))
    16.3.2011 06:33 JirkaH
    Rozbalit Rozbalit vše Re: OpenVpn - dvě shodné konfigurace, rozdílné chování
    tak záhada vyřešena:

    v nastavení sitovky na vmware musí být zapnut "promiscuous mode", pak to funguje ovšem bez dalšího nastavení, které neznám, se brutálně zpomalí celá síť ve firmě, a to i když jsem tento linux dal na jinou fyzickou sitovku ...

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.