abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 00:11 | Nová verze

Eclipse Foundation oznámila vydání nové verze vývojového prostředí Eclipse. Eclipse 4.7 s kódovým označením Oxygen vychází rok po vydání verze 4.6 s kódovým označením Neon (zprávička) a přináší celou řadu novinek. Jejich představení také na YouTube.

Ladislav Hagara | Komentářů: 0
včera 23:33 | Zajímavý software

Před týdnem Lennart Poettering představil casync, tj. nástroj pro distribuci obrazů systémů. Dnes oficiálně představil mkosi, tj. nástroj pro generování těchto obrazů. Zdrojové kódy mkosi jsou k dispozici na GitHubu pod licencí LGPL-2.1.

Ladislav Hagara | Komentářů: 0
včera 16:00 | Bezpečnostní upozornění

Ve správci systému a služeb systemd, konkrétně v systemd-resolved, byla nalezena bezpečnostní chyba CVE-2017-9445. Útočník může vzdáleně shodit server nebo spustit libovolný příkaz.

Ladislav Hagara | Komentářů: 19
27.6. 11:33 | Pozvánky

Konference LinuxDays 2017 proběhne o víkendu 7. a 8. října v Praze v Dejvicích v prostorách FIT ČVUT. Konference OpenAlt 2017 proběhne o víkendu 4. a 5. listopadu na FIT VUT v Brně. Organizátoři konferencí vyhlásili CFP (LinuxDays, OpenAlt). Přihlaste svou přednášku nebo doporučte konference známým.

Ladislav Hagara | Komentářů: 1
27.6. 06:00 | Nová verze

Byla vydána verze 1.3.0 odlehčeného desktopového prostředí Lumina (Wikipedie, GitHub) postaveného nad toolkitem Qt. Z novinek lze zmínit nový motiv ikon nahrazující Oxygen (material-design-[light/dark]) nebo vlastní multimediální přehrávač (lumina-mediaplayer).

Ladislav Hagara | Komentářů: 2
26.6. 17:33 | Bezpečnostní upozornění

Před šesti týdny byly publikovány výsledky bezpečnostního auditu zdrojových kódů OpenVPN a nalezené bezpečnostní chyby byly opraveny ve verzi OpenVPN 2.4.2. Guido Vranken minulý týden oznámil, že v OpenVPN nalezl další čtyři bezpečnostní chyby (CVE-2017-7520, CVE-2017-7521, CVE-2017-7522 a CVE-2017-7508). Nejzávažnější z nich se týká způsobu, jakým aplikace zachází s SSL certifikáty. Vzdálený útočník může pomocí speciálně

… více »
Ladislav Hagara | Komentářů: 1
26.6. 06:55 | Zajímavý projekt

V Edici CZ.NIC vyšla kniha Průvodce labyrintem algoritmů. Kniha je ke stažení zcela zdarma (pdf) nebo lze objednat tištěnou verzi za 339 Kč (připojení přes IPv4) nebo 289 Kč (připojení přes IPv6).

Ladislav Hagara | Komentářů: 10
26.6. 06:33 | Zajímavý software

Byla vydána verze 2.2.0 svobodného správce hesel KeePassXC (Wikipedie). Jedná se o komunitní fork správce hesel KeePassX s řadou vylepšení.

Ladislav Hagara | Komentářů: 0
26.6. 06:11 | IT novinky

Vývojář Debianu Henrique de Moraes Holschuh upozorňuje v diskusním listu debian-devel na chybu v Hyper-Threadingu v procesorech Skylake a Kaby Lake od Intelu. Za určitých okolností může chyba způsobit nepředvídatelné chování systému. Doporučuje se aktualizace mikrokódu CPU nebo vypnutí Hyper-Threadingu v BIOSu nebo UEFI [reddit].

Ladislav Hagara | Komentářů: 0
24.6. 01:23 | Komunita

Phoronix spustil 2017 Linux Laptop Survey. Tento dotazník s otázkami zaměřenými na parametry ideálního notebooku s Linuxem lze vyplnit do 6. července.

Ladislav Hagara | Komentářů: 3
Chystáte se pořídit CPU AMD Ryzen?
 (7%)
 (31%)
 (1%)
 (9%)
 (44%)
 (9%)
Celkem 858 hlasů
 Komentářů: 65, poslední 1.6. 19:16
    Rozcestník

    Dotaz: PPP přes EAP-TLS

    25.8.2011 16:18 archen | skóre: 2
    PPP přes EAP-TLS
    Přečteno: 541×
    Situace: VPN server běžící na Microsoft Windows 2003, provozující PPTP VPN zabezpečenou klientskými certifikáty. Certifikát je neexportovatelný, pomocí JailBreak jsem ho vyexportoval a dostal do linuxu. ppp-2.4.5 jsem patchnul tak, aby obsahoval podporu EAP-TLS. Nyní jsem v situaci, kdy musím korektně nastavit PPP aby se nakonektilo na VPN server pomocí certifikátu za využití mechanismu EAP-TLS.

    Rozchodil jste toto někdy někdo, nebo můžete dát nějaký hint? Bohužel se mi to dle dokumentace v README nedaří a tutorial jsem také žádný nenašel.

    Díky za jakékoli podněty.

    arch
    EmperorWantsToControlOuterSpaceYodaWantsToExploreInnerSpaceThat'sTheFundamentalDiffBetweenGoodandBadSidesOfTheForce

    Řešení dotazu:


    Odpovědi

    25.8.2011 18:38 archen | skóre: 2
    Rozbalit Rozbalit vše Re: PPP přes EAP-TLS
    Tohle mi napsal tvůrce patche: This is what I use to connect to a PPTP EAP-TLS server on my linux client: ------------------------------------------------------------------------------------------

    ./pppd noauth nobsdcomp nodeflate require-mppe-128 \ name "CN-name-from-client-cert" \ remotename "CN-name-from-server-cert" \ cert ..../cert.pem \ key ..../key.pem \ ca ..../ca.pem \ password password \ logfile /tmp/pppd.log \ pty "pptp 192.168.200.65 --nolaunchpppd"

    where the password is only required if your private key requires one. You can then view the /tmp/pppd.log file for a detailed log. does that help? cheers, JJK PS yes I'm aware that the old italian tutorial is gone and that I need to write a tutorial of my own, it's just that I do not use this very often ;)

    ------------------------------------------------------------------------------------------

    Bohužel mě to s touto konfigurací nechodí, takže si s ním ještě dopisuji a uvidím, co z toho vyleze...

    EmperorWantsToControlOuterSpaceYodaWantsToExploreInnerSpaceThat'sTheFundamentalDiffBetweenGoodandBadSidesOfTheForce
    25.8.2011 19:03 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: PPP přes EAP-TLS
    chodi a funguje to (patch od rovnakeho autora). moja cast konfiguracie:
    require-eap
    ca /etc/pki/tls/certs/ca-ss-users.crt
    cert /etc/pki/tls/certs/ppp-server.crt
    key /etc/pki/tls/private/ppp-server.key
    password XXX
    26.8.2011 09:56 archen | skóre: 2
    Rozbalit Rozbalit vše Re: PPP přes EAP-TLS

    Hm, tak nevim, co mám špatně, tady je můj složený příkaz:

    /usr/local/sbin/pppd \
    noauth nobsdcomp nodeflate require-eap \
    name "$FQDN_HOSTNAME" remotename "$CN_Z_CA_CERTIFIKATU" \
    cert $PRIVATNI_CERTIFIKAT \
    key $VEREJNY_KLIC 
    ca $CA_CERTIFIKAT 
    password $HESLO \
    logfile /tmp/pppd.log pty \
    "pptp $VPN_SERVER  --nolaunchpppd"
    

    Výstupem je:

    /usr/local/sbin/pppd: The remote system (CERT-CA-LESYCR) is required to authenticate itself
    /usr/local/sbin/pppd: but I couldn't find any suitable secret (password) for it to use to do so.
    

    Nějak si s tím nevím rady, našel jsem tuhle diagnostiku, ale moc mi to nepomohlo.

    Mohl bys mi poslat celou svoji konfiguraci, zkusil bych z toho dedukovat, kde dělám chybu. Děkuji za pomoc.

    EmperorWantsToControlOuterSpaceYodaWantsToExploreInnerSpaceThat'sTheFundamentalDiffBetweenGoodandBadSidesOfTheForce
    26.8.2011 12:52 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: PPP přes EAP-TLS

    a sice moment... az tohto vypisu vlastne asi tusim o co sa pokusate... ja som vam dal funkcnu cast konfiguracie na strane VPN servera...a vy riesite podla vsetkeho VPN klienta (pptp+pppd on eap-tls). v tom pripade direktivu "require-eap" asi vyhodte... lebo tym vlastne nutite overit opacnu stranu spojenia co asi nieje ziaduce.

    z readme: If you're setting up a client, edit the configuration file and then run pppd with 'remotename' option to specify the server name. Add the 'need-peer-eap' option if you want to be sure the peer ask you to authenticate (and to use eap) and to disconnect if it doesn't.

    26.8.2011 14:26 archen | skóre: 2
    Rozbalit Rozbalit vše Re: PPP přes EAP-TLS

    Ano máte pravdu, pokouším se připojit z linuxového klienta na Microsoft VPN PPTP server.

    require-eap jsem vyhodil, do remotename, kde jsem používal CN z certifikátu, jsem podstrčil přímo hostname FQDN serveru VPN. ale stále to na mě plive:

    Connect: ppp0 <--> /dev/pts/8 EAP: peer reports authentication failure Connection terminated.

    EmperorWantsToControlOuterSpaceYodaWantsToExploreInnerSpaceThat'sTheFundamentalDiffBetweenGoodandBadSidesOfTheForce
    26.8.2011 21:24 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: PPP přes EAP-TLS
    to uz je lepsie... naozaj opacna strana pouziva EAP-TLS? nieje to nejake EAP-PEAP alebo EAP-TTLS? dajte si debugovat pppd.
    31.8.2011 17:29 archen | skóre: 2
    Rozbalit Rozbalit vše Re: PPP přes EAP-TLS

    Ok, díky. Zkusím. Jinak se jedná o klasický Windows Server 2003, kde je nahozená PPTP VPN, která používá klientské certifikáty. Jedná se o následující konfiguraci, kterou se mi podařilo vyčíst po připojení na Windows mašině.

    On the connection configuration card:
    On security folder there is selected "Precise configuration", then click on the Setting
    Cryptography of data: Require (disconnect if cryptography cannot be used)
    Use of protocol EAP: Smart Card or another certificate
    There is a button for "Properties" where is>
    - Use certificate in this computer
    - Verify server certificate
    - and in the root certificates list I selected the CA root certificate
    
    Windows client VPN attributes after connection made:
    Type of device: vpn
    Type of server: PPP
    Transports: TCP/IP
    Authentication: EAP
    Cypher: MPPE 128
    Compression: MPPC
    Multilink patterns of PPP: disabled
    

    EmperorWantsToControlOuterSpaceYodaWantsToExploreInnerSpaceThat'sTheFundamentalDiffBetweenGoodandBadSidesOfTheForce
    5.9.2011 15:30 archen | skóre: 2
    Rozbalit Rozbalit vše Re: PPP přes EAP-TLS
    Dobrý den,

    druhá strana je určitě EAP - Smart card, resp. to jsem vyčetl z konfigurace Windows klienta, který je funkční.

    V debug logu vidím pouze zhruba následující:
    
    Sep  5 14:28:29 helios pppd[6611]: using channel 10
    Sep  5 14:28:30 helios pppd[6611]: sent [LCP ConfReq id=0x1 < asyncmap 0x0> < magic 0xbe27e267> < pcomp> < accomp>]
    Sep  5 14:28:30 helios pppd[6611]: rcvd [LCP ConfReq id=0x0 < mru 1400> < auth eap> < magic 0x8c817fa> < pcomp> < accomp> < callback CBCP> < mrru 1614> < endpoint [local:97.2e.e8.e1.34.cb.47.43.b5.60.1c.c8.f8.0d.2a.89.00.00.00.00]> < 17 04 00 53>]
    Sep  5 14:28:30 helios pppd[6611]: sent [LCP ConfRej id=0x0 < callback CBCP> < mrru 1614> < 17 04 00 53>]
    Sep  5 14:28:30 helios pppd[6611]: rcvd [LCP ConfAck id=0x1 < asyncmap 0x0> < magic 0xbe27e267> < pcomp> < accomp>]
    Sep  5 14:28:30 helios pppd[6611]: rcvd [LCP ConfReq id=0x1 < mru 1400> < auth eap> < magic 0x8c817fa> < pcomp> < accomp> < endpoint [local:97.2e.e8.e1.34.cb.47.43.b5.60.1c.c8.f8.0d.2a.89.00.00.00.00]>]
    Sep  5 14:28:30 helios pppd[6611]: sent [LCP ConfAck id=0x1 < mru 1400> < auth eap> < magic 0x8c817fa> < pcomp> < accomp> < endpoint [local:97.2e.e8.e1.34.cb.47.43.b5.60.1c.c8.f8.0d.2a.89.00.00.00.00]>]
    Sep  5 14:28:30 helios pppd[6611]: sent [LCP EchoReq id=0x0 magic=0xbe27e267]
    Sep  5 14:28:30 helios pppd[6611]: rcvd [EAP Request id=0x54 Identity < No message>]
    Sep  5 14:28:30 helios pppd[6611]: sent [EAP Response id=0x54 Identity < Name "helios">]
    Sep  5 14:28:30 helios pppd[6611]: rcvd [LCP EchoRep id=0x0 magic=0x8c817fa]
    Sep  5 14:28:30 helios pppd[6611]: rcvd [EAP Failure id=0x54]
    Sep  5 14:28:30 helios pppd[6611]: sent [LCP TermReq id=0x2 "Failed to authenticate ourselves to peer"]
    Sep  5 14:28:30 helios pppd[6611]: rcvd [LCP TermReq id=0x3 08 c8 17 fa 00 3c cd 74 00 00 02 b3]
    Sep  5 14:28:30 helios pppd[6611]: sent [LCP TermAck id=0x3]
    Sep  5 14:28:30 helios pppd[6611]: rcvd [LCP TermAck id=0x2 "Failed to authenticate ourselves to peer"]
    Sep  5 14:28:30 helios pppd[6611]: Waiting for 1 child processes...
    Sep  5 14:28:30 helios pppd[6611]:   script pptp 80.188.1.3  --nolaunchpppd, pid 6612
    Sep  5 14:28:30 helios pppd[6611]: Script pptp 80.188.1.3  --nolaunchpppd finished (pid 6612), status = 0x0
    
    Takže jsem se zatím moc nehnul no. Jan Keijser, tvůrce patche, který do ppp zavádí podporu EAP-TLS i pro Smardcard mi napsal, že zkusí svořit nějaký návod, sám jsem si hrál s konfigurací, ale bez úspěchu...zatím :-)

    Díky za feedback všem.

    Ladislav Jech
    EmperorWantsToControlOuterSpaceYodaWantsToExploreInnerSpaceThat'sTheFundamentalDiffBetweenGoodandBadSidesOfTheForce
    Řešení 1× (archen (tazatel))
    7.9.2011 09:35 archen | skóre: 2
    Rozbalit Rozbalit vše PPP přes EAP-TLS funkční připojení
    Takže konečně se tunel vytvořil a to pomocí následujícího příkazu:
    
    root@helios:~# /usr/local/sbin/pppd debug noauth nobsdcomp nopcomp noaccomp nodeflate require-mppe-128 name "Subjekt z klient certifikátu" remotename "CN z certifikátu serveru" cert /root/cert/PRIV_CERT.pem key /root/cert/PRIV_KEY_ONLY_WITHOUT_PASSPHRASE.pem ca /root/cert/CACERT.pem logfile /tmp/pppd.log pty "pptp X.X.X.X  --nolaunchpppd"
    
    Vůbec zásadní bylo odstranit 'require-eap', jelikož to forcne pppd to server módu!

    Subjekt z klientského certifikátu vydoloval pomocí:

    openssl x509 -noout -in PRIV_CERT.pem -subject

    V případě remotename parametru, tak když tohle nesedí, tak debug vyhodí hlášku, že zadané peername nesedí s CN, které je vyčteno z certifikátu na serveru, takže se to odladí velmi jednoduše.

    Po těchto změnách se připojení zdařilo, nicméně se nelze dostat do na žádný server, pouze na bránu VPN a to pouze port 443, hláška v logu ukazuje

    Cannot determine ethernet address for proxy ARP
    local  IP address 192.168.101.25
    remote IP address 192.168.101.1
    Script /etc/ppp/ip-up started (pid 10603)
    Script /etc/ppp/ip-up finished (pid 10603), status = 0x0
    

    Takže v tuto chvíli je připojení aktivní, ale síť nekomunikuje. V dokumentaci pppd jsem nalezl nějaké návody, jak toto upravit pomocí proxyarp, ale řešení sestává v úpravě na straně serveru. To v mém případě nehrozí, jelikož se nejedná o linuxový, ale windows server, a také na něj nemám přístup, takže si pohraju ještě s tímhle.
    EmperorWantsToControlOuterSpaceYodaWantsToExploreInnerSpaceThat'sTheFundamentalDiffBetweenGoodandBadSidesOfTheForce
    Řešení 1× (archen (tazatel))
    7.9.2011 13:57 archen | skóre: 2
    Rozbalit Rozbalit vše Re: PPP přes EAP-TLS funkční připojení
    OK, takže problém s hláškou v pppd logu:

    Cannot determine ethernet address for proxy ARP

    řeší ruční správné nastavení routovací tabulky. V mém případě zřejmě jediné řešení, jelikož nemám přístup ke konfiguraci serveru, aby se dalo nastavit z jeho strany. Zkusím ještě prozkoumat, zda to lze automatizovat nějak jinak, než pomocí ručně psaného skriptu. Ale nevím teď. Každopádně ručně jsem to rozchodil. Děkuji za pomoc timeos a tvůrci patche EAP-TLS Jan Just Keijserovi.

    Ladislav

    EmperorWantsToControlOuterSpaceYodaWantsToExploreInnerSpaceThat'sTheFundamentalDiffBetweenGoodandBadSidesOfTheForce

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.