abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 15:33 | Nová verze

Byla vydána verze 17.08.0 KDE Aplikací (KDE Applications). Přehled novinek v kompletním seznamu změn a na stránce s dalšími informacemi. Aplikace kmag, kmousetool, kgoldrunner, kigo, konquest, kreversi, ksnakeduel, kspaceduel, ksudoku, kubrick, lskat a umbrello byly portovány na KDE Frameworks 5.

Ladislav Hagara | Komentářů: 0
včera 15:11 | Nová verze

Simon Long představil na blogu Raspberry Pi novou verzi 2017-08-16 linuxové distribuce Raspbian určené především pro jednodeskové miniaturní počítače Raspberry Pi. Společně s Raspbianem byl aktualizován také instalační nástroj NOOBS (New Out Of the Box Software). Nejnovější Raspbian je založen na Debianu 9 Stretch. Přehled novinek v poznámkách k vydání. Řešena je také bezpečnostní chyba Broadpwn (CVE-2017-9417).

Ladislav Hagara | Komentářů: 0
včera 12:33 | Nová verze

Byla vydána verze 3.2.0 programu pro skicování, malování a úpravu obrázků Krita. Přehled novinek v poznámkách k vydání a na YouTube.

Ladislav Hagara | Komentářů: 0
včera 11:44 | IT novinky

Minulý týden na šampionátu The International 2017 byl představen bot, který poráží profesionální hráče počítačové hry Dota 2. V nejnovějším příspěvku na blogu se organizace OpenAI o projektu více rozepsala a zveřejnila videozáznamy několika soubojů.

Ladislav Hagara | Komentářů: 4
16.8. 17:11 | Komunita

Byly zveřejněny videozáznamy přednášek z Fedora 26 Release Party konané 10. srpna v Praze.

Ladislav Hagara | Komentářů: 0
16.8. 15:33 | Komunita

Přesně před čtyřiadvaceti lety, 16. srpna 1993, oznámil Ian Murdock vydání "Debian Linux Release".

Ladislav Hagara | Komentářů: 5
16.8. 06:00 | Bezpečnostní upozornění

Ve virtualizačním softwaru Xen bylo nalezeno a opraveno 5 bezpečnostních chyb XSA-226 až XSA-230. Nejzávažnější z nich XSA-227 (CVE-2017-12137) umožňuje eskalaci privilegií a ovládnutí celého systému, tj. správce hostovaného systému se může stát správcem hostitelského systému.

Ladislav Hagara | Komentářů: 1
15.8. 22:00 | Zajímavý projekt

V roce 2013 proběhla na Kickstarteru úspěšná kampaň na podporu otevřeného Dobře temperovaného klavíru (Well-Tempered Clavier). Stejný tým s Kimiko Išizaka spustil před týdnem na Kickstarteru kampaň Libre Art of the Fugue na podporu svobodného Umění fugy.

Ladislav Hagara | Komentářů: 2
15.8. 13:55 | Pozvánky

Spolek OpenAlt zve příznivce otevřených technologií a otevřeného přístupu na 143. brněnský sraz, který proběhne v pátek 18. srpna od 18:00 hodin ve sportovním areálu a restauraci BeachPub Sokolák u Brněnské přehrady aneb v hantecu u Prýglu.

Ladislav Hagara | Komentářů: 0
15.8. 10:55 | Nová verze

Byla vydána (pdf) verze 3 průběžně aktualizované (rolling release) linuxové distribuce Solus (Wikipedie). Ke stažení je v edicích Budgie, GNOME a MATE. Z novinek lze zmínit například podporu snapů. Solus 3 obsahuje Firefox 55.0.1, LibreOffice 5.4.0.3, Rhythmbox 3.4.1 nebo Thunderbird 52.2.1. Edice Budgie a GNOME přichází s GNOME MPV 0.12. Edice MATE s VLC 2.2.6.

Ladislav Hagara | Komentářů: 5
Těžíte nějakou kryptoměnu?
 (4%)
 (2%)
 (17%)
 (77%)
Celkem 346 hlasů
 Komentářů: 21, poslední 13.8. 09:57
    Rozcestník

    Dotaz: PPP přes EAP-TLS

    25.8.2011 16:18 archen | skóre: 2
    PPP přes EAP-TLS
    Přečteno: 543×
    Situace: VPN server běžící na Microsoft Windows 2003, provozující PPTP VPN zabezpečenou klientskými certifikáty. Certifikát je neexportovatelný, pomocí JailBreak jsem ho vyexportoval a dostal do linuxu. ppp-2.4.5 jsem patchnul tak, aby obsahoval podporu EAP-TLS. Nyní jsem v situaci, kdy musím korektně nastavit PPP aby se nakonektilo na VPN server pomocí certifikátu za využití mechanismu EAP-TLS.

    Rozchodil jste toto někdy někdo, nebo můžete dát nějaký hint? Bohužel se mi to dle dokumentace v README nedaří a tutorial jsem také žádný nenašel.

    Díky za jakékoli podněty.

    arch
    EmperorWantsToControlOuterSpaceYodaWantsToExploreInnerSpaceThat'sTheFundamentalDiffBetweenGoodandBadSidesOfTheForce

    Řešení dotazu:


    Odpovědi

    25.8.2011 18:38 archen | skóre: 2
    Rozbalit Rozbalit vše Re: PPP přes EAP-TLS
    Tohle mi napsal tvůrce patche: This is what I use to connect to a PPTP EAP-TLS server on my linux client: ------------------------------------------------------------------------------------------

    ./pppd noauth nobsdcomp nodeflate require-mppe-128 \ name "CN-name-from-client-cert" \ remotename "CN-name-from-server-cert" \ cert ..../cert.pem \ key ..../key.pem \ ca ..../ca.pem \ password password \ logfile /tmp/pppd.log \ pty "pptp 192.168.200.65 --nolaunchpppd"

    where the password is only required if your private key requires one. You can then view the /tmp/pppd.log file for a detailed log. does that help? cheers, JJK PS yes I'm aware that the old italian tutorial is gone and that I need to write a tutorial of my own, it's just that I do not use this very often ;)

    ------------------------------------------------------------------------------------------

    Bohužel mě to s touto konfigurací nechodí, takže si s ním ještě dopisuji a uvidím, co z toho vyleze...

    EmperorWantsToControlOuterSpaceYodaWantsToExploreInnerSpaceThat'sTheFundamentalDiffBetweenGoodandBadSidesOfTheForce
    25.8.2011 19:03 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: PPP přes EAP-TLS
    chodi a funguje to (patch od rovnakeho autora). moja cast konfiguracie:
    require-eap
    ca /etc/pki/tls/certs/ca-ss-users.crt
    cert /etc/pki/tls/certs/ppp-server.crt
    key /etc/pki/tls/private/ppp-server.key
    password XXX
    26.8.2011 09:56 archen | skóre: 2
    Rozbalit Rozbalit vše Re: PPP přes EAP-TLS

    Hm, tak nevim, co mám špatně, tady je můj složený příkaz:

    /usr/local/sbin/pppd \
    noauth nobsdcomp nodeflate require-eap \
    name "$FQDN_HOSTNAME" remotename "$CN_Z_CA_CERTIFIKATU" \
    cert $PRIVATNI_CERTIFIKAT \
    key $VEREJNY_KLIC 
    ca $CA_CERTIFIKAT 
    password $HESLO \
    logfile /tmp/pppd.log pty \
    "pptp $VPN_SERVER  --nolaunchpppd"
    

    Výstupem je:

    /usr/local/sbin/pppd: The remote system (CERT-CA-LESYCR) is required to authenticate itself
    /usr/local/sbin/pppd: but I couldn't find any suitable secret (password) for it to use to do so.
    

    Nějak si s tím nevím rady, našel jsem tuhle diagnostiku, ale moc mi to nepomohlo.

    Mohl bys mi poslat celou svoji konfiguraci, zkusil bych z toho dedukovat, kde dělám chybu. Děkuji za pomoc.

    EmperorWantsToControlOuterSpaceYodaWantsToExploreInnerSpaceThat'sTheFundamentalDiffBetweenGoodandBadSidesOfTheForce
    26.8.2011 12:52 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: PPP přes EAP-TLS

    a sice moment... az tohto vypisu vlastne asi tusim o co sa pokusate... ja som vam dal funkcnu cast konfiguracie na strane VPN servera...a vy riesite podla vsetkeho VPN klienta (pptp+pppd on eap-tls). v tom pripade direktivu "require-eap" asi vyhodte... lebo tym vlastne nutite overit opacnu stranu spojenia co asi nieje ziaduce.

    z readme: If you're setting up a client, edit the configuration file and then run pppd with 'remotename' option to specify the server name. Add the 'need-peer-eap' option if you want to be sure the peer ask you to authenticate (and to use eap) and to disconnect if it doesn't.

    26.8.2011 14:26 archen | skóre: 2
    Rozbalit Rozbalit vše Re: PPP přes EAP-TLS

    Ano máte pravdu, pokouším se připojit z linuxového klienta na Microsoft VPN PPTP server.

    require-eap jsem vyhodil, do remotename, kde jsem používal CN z certifikátu, jsem podstrčil přímo hostname FQDN serveru VPN. ale stále to na mě plive:

    Connect: ppp0 <--> /dev/pts/8 EAP: peer reports authentication failure Connection terminated.

    EmperorWantsToControlOuterSpaceYodaWantsToExploreInnerSpaceThat'sTheFundamentalDiffBetweenGoodandBadSidesOfTheForce
    26.8.2011 21:24 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: PPP přes EAP-TLS
    to uz je lepsie... naozaj opacna strana pouziva EAP-TLS? nieje to nejake EAP-PEAP alebo EAP-TTLS? dajte si debugovat pppd.
    31.8.2011 17:29 archen | skóre: 2
    Rozbalit Rozbalit vše Re: PPP přes EAP-TLS

    Ok, díky. Zkusím. Jinak se jedná o klasický Windows Server 2003, kde je nahozená PPTP VPN, která používá klientské certifikáty. Jedná se o následující konfiguraci, kterou se mi podařilo vyčíst po připojení na Windows mašině.

    On the connection configuration card:
    On security folder there is selected "Precise configuration", then click on the Setting
    Cryptography of data: Require (disconnect if cryptography cannot be used)
    Use of protocol EAP: Smart Card or another certificate
    There is a button for "Properties" where is>
    - Use certificate in this computer
    - Verify server certificate
    - and in the root certificates list I selected the CA root certificate
    
    Windows client VPN attributes after connection made:
    Type of device: vpn
    Type of server: PPP
    Transports: TCP/IP
    Authentication: EAP
    Cypher: MPPE 128
    Compression: MPPC
    Multilink patterns of PPP: disabled
    

    EmperorWantsToControlOuterSpaceYodaWantsToExploreInnerSpaceThat'sTheFundamentalDiffBetweenGoodandBadSidesOfTheForce
    5.9.2011 15:30 archen | skóre: 2
    Rozbalit Rozbalit vše Re: PPP přes EAP-TLS
    Dobrý den,

    druhá strana je určitě EAP - Smart card, resp. to jsem vyčetl z konfigurace Windows klienta, který je funkční.

    V debug logu vidím pouze zhruba následující:
    
    Sep  5 14:28:29 helios pppd[6611]: using channel 10
    Sep  5 14:28:30 helios pppd[6611]: sent [LCP ConfReq id=0x1 < asyncmap 0x0> < magic 0xbe27e267> < pcomp> < accomp>]
    Sep  5 14:28:30 helios pppd[6611]: rcvd [LCP ConfReq id=0x0 < mru 1400> < auth eap> < magic 0x8c817fa> < pcomp> < accomp> < callback CBCP> < mrru 1614> < endpoint [local:97.2e.e8.e1.34.cb.47.43.b5.60.1c.c8.f8.0d.2a.89.00.00.00.00]> < 17 04 00 53>]
    Sep  5 14:28:30 helios pppd[6611]: sent [LCP ConfRej id=0x0 < callback CBCP> < mrru 1614> < 17 04 00 53>]
    Sep  5 14:28:30 helios pppd[6611]: rcvd [LCP ConfAck id=0x1 < asyncmap 0x0> < magic 0xbe27e267> < pcomp> < accomp>]
    Sep  5 14:28:30 helios pppd[6611]: rcvd [LCP ConfReq id=0x1 < mru 1400> < auth eap> < magic 0x8c817fa> < pcomp> < accomp> < endpoint [local:97.2e.e8.e1.34.cb.47.43.b5.60.1c.c8.f8.0d.2a.89.00.00.00.00]>]
    Sep  5 14:28:30 helios pppd[6611]: sent [LCP ConfAck id=0x1 < mru 1400> < auth eap> < magic 0x8c817fa> < pcomp> < accomp> < endpoint [local:97.2e.e8.e1.34.cb.47.43.b5.60.1c.c8.f8.0d.2a.89.00.00.00.00]>]
    Sep  5 14:28:30 helios pppd[6611]: sent [LCP EchoReq id=0x0 magic=0xbe27e267]
    Sep  5 14:28:30 helios pppd[6611]: rcvd [EAP Request id=0x54 Identity < No message>]
    Sep  5 14:28:30 helios pppd[6611]: sent [EAP Response id=0x54 Identity < Name "helios">]
    Sep  5 14:28:30 helios pppd[6611]: rcvd [LCP EchoRep id=0x0 magic=0x8c817fa]
    Sep  5 14:28:30 helios pppd[6611]: rcvd [EAP Failure id=0x54]
    Sep  5 14:28:30 helios pppd[6611]: sent [LCP TermReq id=0x2 "Failed to authenticate ourselves to peer"]
    Sep  5 14:28:30 helios pppd[6611]: rcvd [LCP TermReq id=0x3 08 c8 17 fa 00 3c cd 74 00 00 02 b3]
    Sep  5 14:28:30 helios pppd[6611]: sent [LCP TermAck id=0x3]
    Sep  5 14:28:30 helios pppd[6611]: rcvd [LCP TermAck id=0x2 "Failed to authenticate ourselves to peer"]
    Sep  5 14:28:30 helios pppd[6611]: Waiting for 1 child processes...
    Sep  5 14:28:30 helios pppd[6611]:   script pptp 80.188.1.3  --nolaunchpppd, pid 6612
    Sep  5 14:28:30 helios pppd[6611]: Script pptp 80.188.1.3  --nolaunchpppd finished (pid 6612), status = 0x0
    
    Takže jsem se zatím moc nehnul no. Jan Keijser, tvůrce patche, který do ppp zavádí podporu EAP-TLS i pro Smardcard mi napsal, že zkusí svořit nějaký návod, sám jsem si hrál s konfigurací, ale bez úspěchu...zatím :-)

    Díky za feedback všem.

    Ladislav Jech
    EmperorWantsToControlOuterSpaceYodaWantsToExploreInnerSpaceThat'sTheFundamentalDiffBetweenGoodandBadSidesOfTheForce
    Řešení 1× (archen (tazatel))
    7.9.2011 09:35 archen | skóre: 2
    Rozbalit Rozbalit vše PPP přes EAP-TLS funkční připojení
    Takže konečně se tunel vytvořil a to pomocí následujícího příkazu:
    
    root@helios:~# /usr/local/sbin/pppd debug noauth nobsdcomp nopcomp noaccomp nodeflate require-mppe-128 name "Subjekt z klient certifikátu" remotename "CN z certifikátu serveru" cert /root/cert/PRIV_CERT.pem key /root/cert/PRIV_KEY_ONLY_WITHOUT_PASSPHRASE.pem ca /root/cert/CACERT.pem logfile /tmp/pppd.log pty "pptp X.X.X.X  --nolaunchpppd"
    
    Vůbec zásadní bylo odstranit 'require-eap', jelikož to forcne pppd to server módu!

    Subjekt z klientského certifikátu vydoloval pomocí:

    openssl x509 -noout -in PRIV_CERT.pem -subject

    V případě remotename parametru, tak když tohle nesedí, tak debug vyhodí hlášku, že zadané peername nesedí s CN, které je vyčteno z certifikátu na serveru, takže se to odladí velmi jednoduše.

    Po těchto změnách se připojení zdařilo, nicméně se nelze dostat do na žádný server, pouze na bránu VPN a to pouze port 443, hláška v logu ukazuje

    Cannot determine ethernet address for proxy ARP
    local  IP address 192.168.101.25
    remote IP address 192.168.101.1
    Script /etc/ppp/ip-up started (pid 10603)
    Script /etc/ppp/ip-up finished (pid 10603), status = 0x0
    

    Takže v tuto chvíli je připojení aktivní, ale síť nekomunikuje. V dokumentaci pppd jsem nalezl nějaké návody, jak toto upravit pomocí proxyarp, ale řešení sestává v úpravě na straně serveru. To v mém případě nehrozí, jelikož se nejedná o linuxový, ale windows server, a také na něj nemám přístup, takže si pohraju ještě s tímhle.
    EmperorWantsToControlOuterSpaceYodaWantsToExploreInnerSpaceThat'sTheFundamentalDiffBetweenGoodandBadSidesOfTheForce
    Řešení 1× (archen (tazatel))
    7.9.2011 13:57 archen | skóre: 2
    Rozbalit Rozbalit vše Re: PPP přes EAP-TLS funkční připojení
    OK, takže problém s hláškou v pppd logu:

    Cannot determine ethernet address for proxy ARP

    řeší ruční správné nastavení routovací tabulky. V mém případě zřejmě jediné řešení, jelikož nemám přístup ke konfiguraci serveru, aby se dalo nastavit z jeho strany. Zkusím ještě prozkoumat, zda to lze automatizovat nějak jinak, než pomocí ručně psaného skriptu. Ale nevím teď. Každopádně ručně jsem to rozchodil. Děkuji za pomoc timeos a tvůrci patche EAP-TLS Jan Just Keijserovi.

    Ladislav

    EmperorWantsToControlOuterSpaceYodaWantsToExploreInnerSpaceThat'sTheFundamentalDiffBetweenGoodandBadSidesOfTheForce

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.