abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 02:48 | Nová verze

Po půl roce od vydání verze 9.0 (zprávička) byla vydána verze 10.0 zvukového serveru PulseAudio. Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 1
dnes 00:33 | Komunita Ladislav Hagara | Komentářů: 0
včera 17:30 | Zajímavý článek

Mozilla.cz informuje, že webový prohlížeč Firefox bude od verze 53 obsahovat integrovaný prohlížeč dat ve formátu JSON. Firefox kromě strukturovaného prohlížení nabídne také možnost filtrace a uložení na disk. Dle plánu by měl Firefox 53 vyjít 18. 4. 2017.

Ladislav Hagara | Komentářů: 1
včera 11:00 | Komunita

Členové a příznivci spolku OpenAlt se pravidelně schází v Praze a Brně. Fotky z pražských srazů za uplynulý rok si můžete prohlédnout na stránkách spolku. Příští sraz se koná už zítra 19. ledna – tentokrát je tématem ergonomie ovládání počítače – tzn. klávesnice, myši a další zařízení. Také budete mít příležitost si prohlédnout pražský hackerspace Brmlab.

xkucf03 | Komentářů: 0
17.1. 21:55 | Komunita

Nadace pro svobodný software (FSF) oznámila aktualizaci seznamu prioritních oblastí (changelog), na které by se měli vývojáři a příznivci svobodného softwaru zaměřit. Jsou to například svobodný operační systém pro chytré telefony, hlasová a video komunikace nebo softwarový inteligentní osobní asistent.

Ladislav Hagara | Komentářů: 15
17.1. 16:44 | Nová verze

Byla vydána verze 2.0.0 knihovny pro vykreslování grafů v programovacím jazyce Python Matplotlib (Wikipedie, GitHub). Přehled novinek a galerie grafů na stránkách projektu.

Ladislav Hagara | Komentářů: 0
17.1. 15:33 | Komunita

V australském Hobartu probíhá tento týden konference linux.conf.au 2017. Na programu je celá řada zajímavých přednášek. Sledovat je lze online.

Ladislav Hagara | Komentářů: 0
17.1. 10:20 | Zajímavý článek

Pavel Tišnovský se v dvoudílném článku na MojeFedora.cz věnuje bitmapovým (rastrovým) grafickým editorům ve Fedoře. V prvním dílu se věnuje editorům MyPaint, MtPaint, Pinta, XPaint, Krita a GIMP. V pokračování pak editorům GNU Paint (gpaint), GrafX2, KolourPaint, KIconEdit a Tux Paint.

Ladislav Hagara | Komentářů: 1
16.1. 17:11 | Komunita

Byl proveden bezpečnostní audit svobodného IMAP a POP3 serveru Dovecot (Wikipedie). Audit byl zaplacen z programu Mozilla Secure Open Source a provedla jej společnost Cure53. Společnost Cure53 byla velice spokojena s kvalitou zdrojových kódu. V závěrečné zprávě (pdf) jsou zmíněny pouze 3 drobné a v upstreamu již opravené bezpečnostní chyby.

Ladislav Hagara | Komentářů: 0
16.1. 15:30 | IT novinky

Nadace Raspberry Pi představila na svém blogu Raspberry Pi Compute Module 3 (CM3 a CM3L), tj. zmenšené Raspberry Pi vhodné nejenom pro průmyslové využití. Jedná se o nástupce Raspberry Pi Compute Module (CM1) představeného v dubnu 2014. Nový CM3 vychází z Raspberry Pi 3 a má tedy dvakrát více paměti a desetkrát větší výkon než CM1. Verze CM3L (Lite) je dodávána bez 4 GB eMMC flash paměti. Uživatel si může připojit svou vlastní. Představena byla

… více »
Ladislav Hagara | Komentářů: 2
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (10%)
 (3%)
 (74%)
 (3%)
 (10%)
Celkem 318 hlasů
 Komentářů: 24, poslední 17.1. 10:14
    Rozcestník
    Reklama

    Dotaz: PPP přes EAP-TLS

    25.8.2011 16:18 archen | skóre: 2
    PPP přes EAP-TLS
    Přečteno: 532×
    Situace: VPN server běžící na Microsoft Windows 2003, provozující PPTP VPN zabezpečenou klientskými certifikáty. Certifikát je neexportovatelný, pomocí JailBreak jsem ho vyexportoval a dostal do linuxu. ppp-2.4.5 jsem patchnul tak, aby obsahoval podporu EAP-TLS. Nyní jsem v situaci, kdy musím korektně nastavit PPP aby se nakonektilo na VPN server pomocí certifikátu za využití mechanismu EAP-TLS.

    Rozchodil jste toto někdy někdo, nebo můžete dát nějaký hint? Bohužel se mi to dle dokumentace v README nedaří a tutorial jsem také žádný nenašel.

    Díky za jakékoli podněty.

    arch
    EmperorWantsToControlOuterSpaceYodaWantsToExploreInnerSpaceThat'sTheFundamentalDiffBetweenGoodandBadSidesOfTheForce

    Řešení dotazu:


    Odpovědi

    25.8.2011 18:38 archen | skóre: 2
    Rozbalit Rozbalit vše Re: PPP přes EAP-TLS
    Tohle mi napsal tvůrce patche: This is what I use to connect to a PPTP EAP-TLS server on my linux client: ------------------------------------------------------------------------------------------

    ./pppd noauth nobsdcomp nodeflate require-mppe-128 \ name "CN-name-from-client-cert" \ remotename "CN-name-from-server-cert" \ cert ..../cert.pem \ key ..../key.pem \ ca ..../ca.pem \ password password \ logfile /tmp/pppd.log \ pty "pptp 192.168.200.65 --nolaunchpppd"

    where the password is only required if your private key requires one. You can then view the /tmp/pppd.log file for a detailed log. does that help? cheers, JJK PS yes I'm aware that the old italian tutorial is gone and that I need to write a tutorial of my own, it's just that I do not use this very often ;)

    ------------------------------------------------------------------------------------------

    Bohužel mě to s touto konfigurací nechodí, takže si s ním ještě dopisuji a uvidím, co z toho vyleze...

    EmperorWantsToControlOuterSpaceYodaWantsToExploreInnerSpaceThat'sTheFundamentalDiffBetweenGoodandBadSidesOfTheForce
    25.8.2011 19:03 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: PPP přes EAP-TLS
    chodi a funguje to (patch od rovnakeho autora). moja cast konfiguracie:
    require-eap
    ca /etc/pki/tls/certs/ca-ss-users.crt
    cert /etc/pki/tls/certs/ppp-server.crt
    key /etc/pki/tls/private/ppp-server.key
    password XXX
    26.8.2011 09:56 archen | skóre: 2
    Rozbalit Rozbalit vše Re: PPP přes EAP-TLS

    Hm, tak nevim, co mám špatně, tady je můj složený příkaz:

    /usr/local/sbin/pppd \
    noauth nobsdcomp nodeflate require-eap \
    name "$FQDN_HOSTNAME" remotename "$CN_Z_CA_CERTIFIKATU" \
    cert $PRIVATNI_CERTIFIKAT \
    key $VEREJNY_KLIC 
    ca $CA_CERTIFIKAT 
    password $HESLO \
    logfile /tmp/pppd.log pty \
    "pptp $VPN_SERVER  --nolaunchpppd"
    

    Výstupem je:

    /usr/local/sbin/pppd: The remote system (CERT-CA-LESYCR) is required to authenticate itself
    /usr/local/sbin/pppd: but I couldn't find any suitable secret (password) for it to use to do so.
    

    Nějak si s tím nevím rady, našel jsem tuhle diagnostiku, ale moc mi to nepomohlo.

    Mohl bys mi poslat celou svoji konfiguraci, zkusil bych z toho dedukovat, kde dělám chybu. Děkuji za pomoc.

    EmperorWantsToControlOuterSpaceYodaWantsToExploreInnerSpaceThat'sTheFundamentalDiffBetweenGoodandBadSidesOfTheForce
    26.8.2011 12:52 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: PPP přes EAP-TLS

    a sice moment... az tohto vypisu vlastne asi tusim o co sa pokusate... ja som vam dal funkcnu cast konfiguracie na strane VPN servera...a vy riesite podla vsetkeho VPN klienta (pptp+pppd on eap-tls). v tom pripade direktivu "require-eap" asi vyhodte... lebo tym vlastne nutite overit opacnu stranu spojenia co asi nieje ziaduce.

    z readme: If you're setting up a client, edit the configuration file and then run pppd with 'remotename' option to specify the server name. Add the 'need-peer-eap' option if you want to be sure the peer ask you to authenticate (and to use eap) and to disconnect if it doesn't.

    26.8.2011 14:26 archen | skóre: 2
    Rozbalit Rozbalit vše Re: PPP přes EAP-TLS

    Ano máte pravdu, pokouším se připojit z linuxového klienta na Microsoft VPN PPTP server.

    require-eap jsem vyhodil, do remotename, kde jsem používal CN z certifikátu, jsem podstrčil přímo hostname FQDN serveru VPN. ale stále to na mě plive:

    Connect: ppp0 <--> /dev/pts/8 EAP: peer reports authentication failure Connection terminated.

    EmperorWantsToControlOuterSpaceYodaWantsToExploreInnerSpaceThat'sTheFundamentalDiffBetweenGoodandBadSidesOfTheForce
    26.8.2011 21:24 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: PPP přes EAP-TLS
    to uz je lepsie... naozaj opacna strana pouziva EAP-TLS? nieje to nejake EAP-PEAP alebo EAP-TTLS? dajte si debugovat pppd.
    31.8.2011 17:29 archen | skóre: 2
    Rozbalit Rozbalit vše Re: PPP přes EAP-TLS

    Ok, díky. Zkusím. Jinak se jedná o klasický Windows Server 2003, kde je nahozená PPTP VPN, která používá klientské certifikáty. Jedná se o následující konfiguraci, kterou se mi podařilo vyčíst po připojení na Windows mašině.

    On the connection configuration card:
    On security folder there is selected "Precise configuration", then click on the Setting
    Cryptography of data: Require (disconnect if cryptography cannot be used)
    Use of protocol EAP: Smart Card or another certificate
    There is a button for "Properties" where is>
    - Use certificate in this computer
    - Verify server certificate
    - and in the root certificates list I selected the CA root certificate
    
    Windows client VPN attributes after connection made:
    Type of device: vpn
    Type of server: PPP
    Transports: TCP/IP
    Authentication: EAP
    Cypher: MPPE 128
    Compression: MPPC
    Multilink patterns of PPP: disabled
    

    EmperorWantsToControlOuterSpaceYodaWantsToExploreInnerSpaceThat'sTheFundamentalDiffBetweenGoodandBadSidesOfTheForce
    5.9.2011 15:30 archen | skóre: 2
    Rozbalit Rozbalit vše Re: PPP přes EAP-TLS
    Dobrý den,

    druhá strana je určitě EAP - Smart card, resp. to jsem vyčetl z konfigurace Windows klienta, který je funkční.

    V debug logu vidím pouze zhruba následující:
    
    Sep  5 14:28:29 helios pppd[6611]: using channel 10
    Sep  5 14:28:30 helios pppd[6611]: sent [LCP ConfReq id=0x1 < asyncmap 0x0> < magic 0xbe27e267> < pcomp> < accomp>]
    Sep  5 14:28:30 helios pppd[6611]: rcvd [LCP ConfReq id=0x0 < mru 1400> < auth eap> < magic 0x8c817fa> < pcomp> < accomp> < callback CBCP> < mrru 1614> < endpoint [local:97.2e.e8.e1.34.cb.47.43.b5.60.1c.c8.f8.0d.2a.89.00.00.00.00]> < 17 04 00 53>]
    Sep  5 14:28:30 helios pppd[6611]: sent [LCP ConfRej id=0x0 < callback CBCP> < mrru 1614> < 17 04 00 53>]
    Sep  5 14:28:30 helios pppd[6611]: rcvd [LCP ConfAck id=0x1 < asyncmap 0x0> < magic 0xbe27e267> < pcomp> < accomp>]
    Sep  5 14:28:30 helios pppd[6611]: rcvd [LCP ConfReq id=0x1 < mru 1400> < auth eap> < magic 0x8c817fa> < pcomp> < accomp> < endpoint [local:97.2e.e8.e1.34.cb.47.43.b5.60.1c.c8.f8.0d.2a.89.00.00.00.00]>]
    Sep  5 14:28:30 helios pppd[6611]: sent [LCP ConfAck id=0x1 < mru 1400> < auth eap> < magic 0x8c817fa> < pcomp> < accomp> < endpoint [local:97.2e.e8.e1.34.cb.47.43.b5.60.1c.c8.f8.0d.2a.89.00.00.00.00]>]
    Sep  5 14:28:30 helios pppd[6611]: sent [LCP EchoReq id=0x0 magic=0xbe27e267]
    Sep  5 14:28:30 helios pppd[6611]: rcvd [EAP Request id=0x54 Identity < No message>]
    Sep  5 14:28:30 helios pppd[6611]: sent [EAP Response id=0x54 Identity < Name "helios">]
    Sep  5 14:28:30 helios pppd[6611]: rcvd [LCP EchoRep id=0x0 magic=0x8c817fa]
    Sep  5 14:28:30 helios pppd[6611]: rcvd [EAP Failure id=0x54]
    Sep  5 14:28:30 helios pppd[6611]: sent [LCP TermReq id=0x2 "Failed to authenticate ourselves to peer"]
    Sep  5 14:28:30 helios pppd[6611]: rcvd [LCP TermReq id=0x3 08 c8 17 fa 00 3c cd 74 00 00 02 b3]
    Sep  5 14:28:30 helios pppd[6611]: sent [LCP TermAck id=0x3]
    Sep  5 14:28:30 helios pppd[6611]: rcvd [LCP TermAck id=0x2 "Failed to authenticate ourselves to peer"]
    Sep  5 14:28:30 helios pppd[6611]: Waiting for 1 child processes...
    Sep  5 14:28:30 helios pppd[6611]:   script pptp 80.188.1.3  --nolaunchpppd, pid 6612
    Sep  5 14:28:30 helios pppd[6611]: Script pptp 80.188.1.3  --nolaunchpppd finished (pid 6612), status = 0x0
    
    Takže jsem se zatím moc nehnul no. Jan Keijser, tvůrce patche, který do ppp zavádí podporu EAP-TLS i pro Smardcard mi napsal, že zkusí svořit nějaký návod, sám jsem si hrál s konfigurací, ale bez úspěchu...zatím :-)

    Díky za feedback všem.

    Ladislav Jech
    EmperorWantsToControlOuterSpaceYodaWantsToExploreInnerSpaceThat'sTheFundamentalDiffBetweenGoodandBadSidesOfTheForce
    Řešení 1× (archen (tazatel))
    7.9.2011 09:35 archen | skóre: 2
    Rozbalit Rozbalit vše PPP přes EAP-TLS funkční připojení
    Takže konečně se tunel vytvořil a to pomocí následujícího příkazu:
    
    root@helios:~# /usr/local/sbin/pppd debug noauth nobsdcomp nopcomp noaccomp nodeflate require-mppe-128 name "Subjekt z klient certifikátu" remotename "CN z certifikátu serveru" cert /root/cert/PRIV_CERT.pem key /root/cert/PRIV_KEY_ONLY_WITHOUT_PASSPHRASE.pem ca /root/cert/CACERT.pem logfile /tmp/pppd.log pty "pptp X.X.X.X  --nolaunchpppd"
    
    Vůbec zásadní bylo odstranit 'require-eap', jelikož to forcne pppd to server módu!

    Subjekt z klientského certifikátu vydoloval pomocí:

    openssl x509 -noout -in PRIV_CERT.pem -subject

    V případě remotename parametru, tak když tohle nesedí, tak debug vyhodí hlášku, že zadané peername nesedí s CN, které je vyčteno z certifikátu na serveru, takže se to odladí velmi jednoduše.

    Po těchto změnách se připojení zdařilo, nicméně se nelze dostat do na žádný server, pouze na bránu VPN a to pouze port 443, hláška v logu ukazuje

    Cannot determine ethernet address for proxy ARP
    local  IP address 192.168.101.25
    remote IP address 192.168.101.1
    Script /etc/ppp/ip-up started (pid 10603)
    Script /etc/ppp/ip-up finished (pid 10603), status = 0x0
    

    Takže v tuto chvíli je připojení aktivní, ale síť nekomunikuje. V dokumentaci pppd jsem nalezl nějaké návody, jak toto upravit pomocí proxyarp, ale řešení sestává v úpravě na straně serveru. To v mém případě nehrozí, jelikož se nejedná o linuxový, ale windows server, a také na něj nemám přístup, takže si pohraju ještě s tímhle.
    EmperorWantsToControlOuterSpaceYodaWantsToExploreInnerSpaceThat'sTheFundamentalDiffBetweenGoodandBadSidesOfTheForce
    Řešení 1× (archen (tazatel))
    7.9.2011 13:57 archen | skóre: 2
    Rozbalit Rozbalit vše Re: PPP přes EAP-TLS funkční připojení
    OK, takže problém s hláškou v pppd logu:

    Cannot determine ethernet address for proxy ARP

    řeší ruční správné nastavení routovací tabulky. V mém případě zřejmě jediné řešení, jelikož nemám přístup ke konfiguraci serveru, aby se dalo nastavit z jeho strany. Zkusím ještě prozkoumat, zda to lze automatizovat nějak jinak, než pomocí ručně psaného skriptu. Ale nevím teď. Každopádně ručně jsem to rozchodil. Děkuji za pomoc timeos a tvůrci patche EAP-TLS Jan Just Keijserovi.

    Ladislav

    EmperorWantsToControlOuterSpaceYodaWantsToExploreInnerSpaceThat'sTheFundamentalDiffBetweenGoodandBadSidesOfTheForce

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.