abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 23:33 | Nová verze

Byla vydána nová stabilní verze 1.15 (1.15.1147.36) webového prohlížeče Vivaldi (Wikipedie). Z novinek lze zdůraznit možnost nastavení vlastního pozadí okna, přístup k záložkám z hlavního menu, lepší ovládatelnost v režimu celé obrazovky nebo vyřešení problémů se zvukem v HTML5. Nejnovější Vivaldi je postaveno na Chromiu 65.0.3325.183.

Ladislav Hagara | Komentářů: 0
včera 17:22 | Nová verze

Node.js Foundation, oficiální projekt konsorcia Linux Foundation, oznámila vydání verze 10.0.0 otevřeného multiplatformního prostředí pro vývoj a běh síťových aplikací napsaných v JavaScriptu Node.js (Wikipedie). Verze 10 se v říjnu stane novou aktivní LTS verzí. Podpora je plánována do dubna 2021.

Ladislav Hagara | Komentářů: 0
včera 15:33 | Nová verze

Neal Cardwell ze společnosti Google oznámil zveřejnění verze 2.0 nástroje pro testování síťového stacku packetdrill. Jde o souhrnné vydání změn z interního vývoje od roku 2013.

Michal Kubeček | Komentářů: 0
včera 13:22 | Zajímavý software

Microsoft na svém blogu oznámil, že správce knihoven pro C++ Vcpkg (VC++ Packaging Tool) lze nově používat také na Linuxu a macOS. Aktuálně je pro Linux k dispozici více než 350 knihoven [reddit].

Ladislav Hagara | Komentářů: 1
včera 12:44 | Komunita

Byly zveřejněny exploity na Nintendo Switch a platformu Tegra X1: Fusée Gelée a ShofEL2. Jejich zneužití nelze zabránit softwarovou aktualizací. Na druhou stranu exploity umožní na Nintendo Switch snadno a rychle nainstalovat Linux, viz. ukázka na YouTube. Jenom je potřeba sáhnout na hardware.

Ladislav Hagara | Komentářů: 0
včera 00:55 | Nová verze

Byla vydána verze 2.12.0 QEMU (Wikipedie). Přispělo 204 vývojářů. Provedeno bylo více než 2 700 commitů. Přehled úprav a nových vlastností v seznamu změn. Řešeny jsou také bezpečnostní chyby Meltdown a Spectre.

Ladislav Hagara | Komentářů: 6
včera 00:33 | Komunita

Google zveřejnil seznam 1 264 studentů přijatých do letošního Google Summer of Code. Přehled projektů, studentů, 212 organizací a mentorů je k dispozici na stránkách GSoC.

Ladislav Hagara | Komentářů: 0
24.4. 23:55 | Nová verze

Oracle vydal verzi 1.0 univerzálního virtuálního stroje GraalVM, který umožňuje běh programů napsaných v jazycích založených na JVM, JavaScript, LLVM bitcode a experimentálně Ruby, R a Python.

razor | Komentářů: 1
24.4. 01:22 | Zajímavý článek

Julia Evans pomocí svých kreslených obrázků proniká do Linuxu a informačních technologií. Vedle ucelených zinů publikuje také jednotlivé kreslené obrázky (RSS).

Ladislav Hagara | Komentářů: 5
23.4. 13:22 | Zajímavý software

Jordi Sanfeliu vydal verzi 1.0.0 svého unixového jádra Fiwix (Wikipedie) určeného také pro výuku operačních systémů. Dle článku na OSNews na něm začal pracovat již před více než dvaceti lety. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT. Stáhnout a vyzkoušet lze živou disketu nebo CD s GNU/Fiwixem.

Ladislav Hagara | Komentářů: 5
Používáte na serverech port knocking?
 (3%)
 (7%)
 (46%)
 (27%)
 (18%)
Celkem 379 hlasů
 Komentářů: 29, poslední 5.4. 12:25
    Rozcestník

    Dotaz: IPsec VPN

    Zdeněk Zámečník avatar 17.9.2012 18:04 Zdeněk Zámečník | skóre: 26
    IPsec VPN
    Přečteno: 522×
    Potřeboval bych radu někoho zkušenějšího ohledně IPsec. Snažím se propojit vlastní síť s jednou vzdálenou, kde jako firewall slouží Checkpoint. Bohužel nejsem o moc chytřejší než druhá strana, která mi není schopna pomoci s nastavením.

    Abych vše uvedl na pravou mírou - mě běží na serveru Debian, mám zde nějakou veřejnou IP adresu x.x.x.x a privátní síť 192.168.12.0/24. Druhá strana má veřejnou IP adresu y.y.y.y a privátní síť 10.0.0.0/8.

    Dále mám k dispozici tyto údaje a zmíněný klíč:
    Authentication pre-shared key
    ISAKMP encryption 3DES
    ISAKMP hash SHA1
    ISAKMP SA lifetime 86400 seconds
    Diffie-Hellman group 2
    IPsec encryption 3DES
    IPsec hash SHA1
    IPSEC SA lifetime 3600 seconds
    Dokázal by mi někdo poradit, jak nastavit, aby mezi sebou tyto dvě privátní sítě mohly plně komunikovat? Chybí mi nějaké informace (jko např. privátní IP vzdálené GW)? Pokoušel jsem se nakonfigurovat racoon a setkey, ale nějak se nemohu dostat k cíli. Pravděpodobně mi uniká nějaká podstatná informace, řekl bych, že musím ještě nějak vytvořit virtuální interface/tunel přes který bude komunikace probíhat. Našel jsem velice pěkné howto (http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/ipsec.html), nicméně se týká FreeBSD a nedokáži jej aplikovat v Linuxu.

    Má současná konfigurace vypadá následovně:

    /etc/racoon/racoon.conf
    log debug;
    path pre_shared_key "/etc/racoon/psk.txt";
    path certificate "/etc/racoon/certs";
    
    remote y.y.y.y {
      exchange_mode main,aggressive;
      proposal {
        encryption_algorithm 3des;
        hash_algorithm sha1;
        authentication_method pre_shared_key;
        lifetime time 86400 seconds;
        dh_group 2;
      }
      generate_policy off;
    }
    
    sainfo anonymous {
      pfs_group 2;
      encryption_algorithm 3des;
      authentication_algorithm hmac_sha1;
      compression_algorithm deflate;
      lifetime time 3600 seconds;
    }
    
    /etc/ipsec-tools.conf
    flush;
    spdflush;
    spdadd 10.0.0.0/8 y.y.y.y any -P out ipsec esp/tunnel/y.y.y.y-x.x.x.x/require ;
    spdadd y.y.y.y 10.0.0.0/8 any -P in ipsec esp/tunnel/x.x.x.x-y.y.y.y/require ;

    Řešení dotazu:


    Odpovědi

    Řešení 1× (Zdeněk Zámečník (tazatel))
    17.9.2012 19:29 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: IPsec VPN

    Problém vidím tady:

    spdadd 10.0.0.0/8 y.y.y.y any -P out ipsec esp/tunnel/y.y.y.y-x.x.x.x/require ;
    spdadd y.y.y.y 10.0.0.0/8 any -P in ipsec esp/tunnel/x.x.x.x-y.y.y.y/require ;
    

    Tohle by znamenalo, že chcete definovat politiky pro komunikaci mezi y.y.y.y a 10.0.0.0/8, což podle vašeho popisu není pravda. Spíš by tam mělo být něco jako

    spdadd x.x.x.x y.y.y.y any -P out ipsec esp/transport//require;
    spdadd y.y.y.y x.x.x.x any -P in ipsec esp/transport//require;
    spdadd 192.168.12.0/24 10.0.0.0/8 any -P out ipsec esp/tunnel/x.x.x.x-y.y.y.y/require;
    spdadd 10.0.0.0/8 192.168.12.0/24 any -P in ipsec esp/tunnel/y.y.y.y-x.x.x.x/require;
    
    Zdeněk Zámečník avatar 17.9.2012 20:58 Zdeněk Zámečník | skóre: 26
    Rozbalit Rozbalit vše Re: IPsec VPN
    Díky za radu, vypadá to srozumitelně. Nejvíce mě mátlo to, že se v systému neobjevil žádný zvláštní interface ani záznam v routovací tabulce, ale už začínám chápat, že to funguje plně transparentně. Teď už se to celé tváří i funkčně, to si ale budu moci ověřit až zítra.
    Sep 17 20:53:47 router-alp racoon: INFO: initiate new phase 1 negotiation: x.x.x.x[500]<=>y.y.y.y[500]
    Sep 17 20:53:47 router-alp racoon: INFO: begin Identity Protection mode.
    Sep 17 20:53:47 router-alp racoon: INFO: ISAKMP-SA established x.x.x.x[500]-y.y.y.y[500] spi:c66aba607ee7b5df:b5f7804879b067b6
    Sep 17 20:53:48 router-alp racoon: INFO: initiate new phase 2 negotiation: x.x.x.x[500]<=>y.y.y.y[500]
    Sep 17 20:53:48 router-alp racoon: INFO: IPsec-SA established: ESP/Tunnel y.y.y.y[0]->x.x.x.x[0] spi=249667546(0xee19fda)
    Sep 17 20:53:48 router-alp racoon: INFO: IPsec-SA established: ESP/Tunnel x.x.x.x[500]->y.y.y.y[500] spi=105754079(0x64daddf)
    
    17.9.2012 21:19 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: IPsec VPN
    Nejvíce mě mátlo to, že se v systému neobjevil žádný zvláštní interface ani záznam v routovací tabulce, ale už začínám chápat, že to funguje plně transparentně.

    Takhle (virtuální interface a routing) fungovala starší implementace používaná na jádrech řady 2.4. Implementace v jádrech od řady 2.6 používá samostatný mechanismus security policies - to je to, co nastavujete těmi příkazy spdadd a co si můžete zobrazit pomocí "setkey -DP".

    Zdeněk Zámečník avatar 18.9.2012 14:33 Zdeněk Zámečník | skóre: 26
    Rozbalit Rozbalit vše Re: IPsec VPN
    Tak se stále nedaří. Při pokusu o traceroute do vzdálené sítě to projde defaultní GW do internetu a po pár skocích to skončí. Pokud to porovnám s vypnutým IPsec, tak paket dojde stejnou cestou mnohem dál.

    Spousta těchto záznamů také asi také nevěští nic dobrého:
    router-alp:~# setkey -DP
    (per-socket policy) 
    	Policy:[Invalid direciton]
    	created: Sep 18 14:27:39 2012  lastused:                     
    	lifetime: 0(s) validtime: 0(s)
    	spid=10564 seq=1 pid=12195
    	refcnt=1
    (per-socket policy) 
    	Policy:[Invalid direciton]
    	created: Sep 18 14:27:39 2012  lastused:                     
    	lifetime: 0(s) validtime: 0(s)
    	spid=10555 seq=2 pid=12195
    	refcnt=1
    (per-socket policy) 
    	Policy:[Invalid direciton]
    	created: Sep 18 14:27:39 2012  lastused:                     
    	lifetime: 0(s) validtime: 0(s)
    	spid=10548 seq=3 pid=12195
    	refcnt=1
    ...
    Poradí někdo?
    18.9.2012 14:57 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: IPsec VPN
    Když zkracujete výstup příkazu, tak smažte ty nezajímavé části a ponechte ty zajímavé, ne naopak. Nebo tam máte jen samé per-socket politiky?
    Řešení 1× (Zdeněk Zámečník (tazatel))
    Zdeněk Zámečník avatar 18.9.2012 15:13 Zdeněk Zámečník | skóre: 26
    Rozbalit Rozbalit vše Re: IPsec VPN
    Pardon, pro mne byly právě ty nezajímavé podezřelé. Před chvilkou jsem ale narazil na jádro problému a tím byl source NAT v iptables, který mi překládal vnitřní IP adresy na veřejnou i pro tento tunel.
    18.9.2012 19:29 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: IPsec VPN

    A každýmu jsem to tady na tý točně říkal: nedělej pravidla pro maškarádu příliš obecná, nedělej pravidla pro maškarádu příliš obecná, nebo se z toho zblázníš. Ale je to marný, je to marný… je to marný.

    :-)

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.