abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 23:55 | Pozvánky

Spolek OpenAlt zve příznivce otevřených technologií a otevřeného přístupu na 145. brněnský sraz, který proběhne v pátek 20. října od 18:00 hodin v restauraci Time Out na adrese Novoměstská 2 v Řečkovicích. Jedná se o poslední sraz před konferencí OpenAlt 2017, jež proběhne o víkendu 4. a 5. listopadu 2017 na FIT VUT v Brně. Běží registrace účastníků.

Ladislav Hagara | Komentářů: 0
včera 21:44 | Nová verze

Byla vydána verze 5.2.0 multiplatformního virtualizačního nástroje Oracle VM VirtualBox. Jedná se o první stabilní verzi z nové větve 5.2. Z novinek lze zmínit například možnost exportování VM do Oracle Cloudu, bezobslužnou instalaci hostovaného systému nebo vylepšené GUI. Podrobnosti v seznamu změn. Aktualizována byla také dokumentace.

Ladislav Hagara | Komentářů: 1
včera 14:00 | Zajímavý projekt

Byl spuštěn Humble Down Under Bundle. Za vlastní cenu lze koupit multiplatformní hry The Warlock of Firetop Mountain, Screencheat, Hand of Fate a Satellite Reign. Při nadprůměrné platbě (aktuálně 3,63 $) také Hacknet, Hacknet Labyrinths, Crawl a Hurtworld. Při platbě 12 $ a více lze získat navíc Armello.

Ladislav Hagara | Komentářů: 0
včera 13:00 | Nová verze

Google Chrome 62 byl prohlášen za stabilní (YouTube). Nejnovější stabilní verze 62.0.3202.62 tohoto webového prohlížeče přináší řadu oprav a vylepšení. Vylepšeny byly také nástroje pro vývojáře (YouTube). Opraveno bylo 35 bezpečnostních chyb.

Ladislav Hagara | Komentářů: 2
včera 11:00 | Zajímavý článek

Článek (en) na Mozilla.cz je věnován vykreslování stránek ve Firefoxu. V průběhu roku 2018 by se ve Firefoxu měl objevit WebRender, jenž by měl vykreslování stránek urychlit díky využití GPU.

Ladislav Hagara | Komentářů: 4
včera 08:22 | Bezpečnostní upozornění

NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) informuje o zranitelnosti ROCA v procesu generování RSA klíčů, který se odehrává v softwarové knihovně implementované například v kryptografických čipových kartách, bezpečnostních tokenech a dalších hardwarových čipech vyrobených společností Infineon Technologies AG. Zranitelnost umožňuje praktický faktorizační útok, při kterém útočník dokáže vypočítat

… více »
Ladislav Hagara | Komentářů: 3
včera 01:23 | Zajímavý software

Příspěvek na blogu otevřené certifikační autority Let's Encrypt informuje o začlenění podpory protokolu ACME (Automatic Certificate Management Environment) přímo do webového serveru Apache. Klienty ACME lze nahradit novým modulem Apache mod_md. Na vývoj tohoto modulu bylo uvolněno 70 tisíc dolarů z programu Mozilla Open Source Support (MOSS). K rozchození HTTPS na Apache stačí nově přidat do konfiguračního souboru řádek s ManagedDomain. Minutový videonávod na YouTube [reddit].

Ladislav Hagara | Komentářů: 2
17.10. 14:15 | Komunita

Daniel Stenberg, autor nástroje curl, na svém blogu oznámil, že obdržel letošní Polhemovu cenu, kterou uděluje Švédská inženýrská asociace za „technologickou inovaci nebo důvtipné řešení technického problému“.

marbu | Komentářů: 10
17.10. 13:40 | Pozvánky

Cílem Social Good Hackathonu, který se uskuteční 21. a 22. října v Brně, je vymyslet a zrealizovat projekty, které pomůžou zlepšit svět kolem nás. Je to unikátní příležitost, jak představit nejrůznější sociální projekty a zrealizovat je, propojit aktivní lidi, zástupce a zástupkyně nevládních organizací a lidi z prostředí IT a designu. Hackathon pořádá brněnská neziskovka Nesehnutí.

… více »
Barbora | Komentářů: 1
17.10. 00:44 | Pozvánky

V sobotu 21. října 2017 se na půdě Elektrotechnické fakulty ČVUT v Praze uskuteční RT-Summit – setkání vývojářů linuxového jádra a uživatelů jeho real-time verze označované jako preempt-rt.

… více »
Pavel Píša | Komentářů: 8
Jak se vás potenciálně dotkne trend odstraňování analogového audio konektoru typu 3,5mm jack z „chytrých telefonů“?
 (13%)
 (2%)
 (0%)
 (2%)
 (73%)
 (11%)
Celkem 63 hlasů
 Komentářů: 4, poslední včera 21:50
    Rozcestník

    Dotaz: tun, alebo tap

    29.1.2016 13:03 jany2 | skóre: 27 | blog: jany_blog
    tun, alebo tap
    Přečteno: 539×
    Zacinam sa zoznamovat s openvpn a chcem si nainstalovat ovpn (linux i686). Zatial by som to chcel testovat na desktope a ak to bude fungovat korektne, tak to chcem nasadit na server x86_64.
    Su 2 moznosti pre vyber rozhrania a to TUN (routing) a TAP (bridging). Ktoru je lepsie pouzit pre mna:
    Server bude postaveny na linuxe (ako som spominal) a na server sa budu pripajat klienti (10-15) nechcem aby komunikovali medzi sebou, len cisto zo serverom a jednou aplikaciou na jednom porte (nic viac).
    Co je lepsie TUN, alebo TAP. Nieco som pozeral tu z toho mi vychadza lepsie TAP, ale neviem az tak dobre po anglicky, ale z toho co som pochopil, tak asi TAP.
    upozornujem, ze v linuxe som vecny zaciatocnik ...

    Odpovědi

    29.1.2016 13:48 NN
    Rozbalit Rozbalit vše Re: tun, alebo tap
    No, ale prece zadny 'bridging' delat nebudes. Takze bych navrhoval preci jen TUN, ktery pro tebe bude i konfiguracne snazsi na pochopeni.
    29.1.2016 17:13 Andrej | skóre: 44 | blog: Republic of Mordor | Zürich
    Rozbalit Rozbalit vše Re: tun, alebo tap
    Co je lepsie TUN, alebo TAP.

    V podstatě ani jedno. Obojí je bída s nouzí ve srovnání se IPSec. Doporučuji vybodnout se na OpenVPN a podobné hračky a nastavit si IPSec. K tomu účelu používám strongswan. (Některé distribuce mají libreswan, openswan a kdovícoještě, ale cokoliv z toho by mělo hravě strčit OpenVPN do kapsy.)

    ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
    30.1.2016 01:59 mhepp | skóre: 22
    Rozbalit Rozbalit vše Re: tun, alebo tap
    Můžeš prosím rozvést více své tvrzení?

    Ptám se ze zájmu o věc, nechci se hádat. Díky...
    30.1.2016 20:55 Andrej | skóre: 44 | blog: Republic of Mordor | Zürich
    Rozbalit Rozbalit vše Re: tun, alebo tap

    Jakkoliv je OpenVPN uznávané a dokonce už i oficiálně standardizované řešení (co se protokolu týká), nikdy se nezbaví té ošklivé konfigurace s démonem v userspace. Takže každý paket, kterým se OpenVPN zabývá, musí přes ono virtuální rozhraní z kernelu do userspace, tam se šifruje a dešifruje (a otázka je, jak efektivně, protože program v userspace prostě nemá žádnou možnost rozhodovat, na kterém procesoru zrovna běží a jestli bude jeho manipulace s pakety výhodná z hlediska cache) a nakonec následuje další kopie z userspace zpátky do kernelu.

    Naproti tomu IPSec je prostě součástí síťového stacku přímo v kernelu. Tím pádem zdaleka nemusí tolikrát kopírovat data sem a tam a může pracovat mnohem efektivněji z hlediska cache. (Například může všechny vrstvy síťových protokolů, včetně IPSec, zpracovat tentýž procesor, který přijal původní interrupt od síťovky, čímž se zásadně ušetří čas i energie, nedochází k několika context-switchům kvůli (skoro) každému paketu a nepřepisují se úplně zbytečně cache.)

    OpenVPN je jakási složitá tlustá vrstva, která si napřed nad L3 sítí naváže klasickou L4 komunikaci a uvnitř toho komunikačního kanálu pak provozuje v podstatě něco jako virtuální L2 bridge (no, s trochou nadsázky, podle toho, jakou konfiguraci člověk zvolí). Až si jeden říká, what can possibly go wrong. :-D V kontrastu s tímhle se IPSec prostě od začátku do konce tváří jako úplně normální L3 vrstva, která „jenom“ mění způsob interpretace některých paketů z/do některých rozsahů adres. Nehraje si tedy na virtuální rozhraní. Dovede selektivně a transparentně (bez nutnosti vědět o nějakém speciálním zařízení a o jeho adresách) zabezpečit například komunikaci s různými „spřátelenými“ sítěmi. Není potřeba explicitně zakazovat nešifrovanou komunikaci pro případ, kdy náhodou OpenVPN neběží nebo virtuální rozhraní zkrátka z nějakého důvodu není k dispozici, a vůbec tak celkově ubude spousta podivných krajních případů.

    S kompatibilitou napříč různými systémy je na tom IPSec zhruba stejně jako OpenVPN.

    Myslím si, že pokud někdo navrhuje nějaké VPN řešení od píky, neměl byc se nechat zmást tím VPN v názvu OpenVPN a prostě by tam měl dát místo toho IPSec, pokud nemá nějaký zásadní technický důvod k použití OpenVPN. Takový důvod si ale u nově navrhované sítě, která nemusí zajišťovat kompatibilitu s nějakou existující konfigurací klientů, neumím představit.

    ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
    Migilenik avatar 30.1.2016 21:29 Migilenik | skóre: 58 | blog: Mig_Alley
    Rozbalit Rozbalit vše Re: tun, alebo tap
    Ne, že bych nesouhlasil, pouze podklad do diskuse. :)

    https://openvpn.net/archive/openvpn-users/2004-11/msg00548.html
    GIMP 2.8 Cage Transformation - what is it good for? http://www.youtube.com/watch?v=S4whULCb8t0
    29.1.2016 21:15 R
    Rozbalit Rozbalit vše Re: tun, alebo tap
    Plati jednoduche pravidlo: pokial nemas nejaky specialny dovod, tak pouzi TUN.
    Migilenik avatar 29.1.2016 22:03 Migilenik | skóre: 58 | blog: Mig_Alley
    Rozbalit Rozbalit vše Re: tun, alebo tap
    Kdyz pouzijes tap, muzes vsechna spojeni pevne svazat s jednim interfacem, s kterym budes moci posleze pracovat pri vytvareni pravidel ve firewallu. S tun budes neustale vytvaret nove docasne interfacy, coz ti bude komplikovat tvorbu bezpecnostnich pravidel.

    Nevyhoda tap je zase treba to, ze android ho minimalne s openvpn neumi.
    GIMP 2.8 Cage Transformation - what is it good for? http://www.youtube.com/watch?v=S4whULCb8t0
    30.1.2016 11:25 jany2 | skóre: 27 | blog: jany_blog
    Rozbalit Rozbalit vše Re: tun, alebo tap
    Tak teraz babo rad :)
    upozornujem, ze v linuxe som vecny zaciatocnik ...
    30.1.2016 13:25 jany2 | skóre: 27 | blog: jany_blog
    Rozbalit Rozbalit vše Re: tun, alebo tap
    Kedze vo VPN nie som az tak doma, stale neviem co pouzit tun/tap. Pre lepsie pochopenie dam sem obrazok o co mi konkretne ide.
    Na realnej IP adrese 192.168.1.2 je server. Na nom chcem postavit OVPN napr. so sietou 10.0.0.0. Takze po nainstalovani ovpn a zakladnej konfiguracii confu sa vytvori virtualna sietovka (tun/tap) a bude mat IP 10.0.0.1 (predpokladam, ze vsetky certifikaty a kluce su uz na spravnom mieste (ako na servery, tak u klientov)).

    Predpokladajme, ze klient/i sa pripojili uspesne a ziskali IP adresy 10.0.0.x. Ako je potrebne nakonfigurovat firewall, aby nemohli nic, len aby mali pristup na 10.0.0.1 a port 40000 (nic viac, nic menej). Teoreticky by mohlo stacit pravidlo, ktore vsetko zahadzuje a povoluje len port 40000.
    upozornujem, ze v linuxe som vecny zaciatocnik ...
    30.1.2016 21:28 NN
    Rozbalit Rozbalit vše Re: tun, alebo tap
    Pokracovani -> ZDE
    Max avatar 30.1.2016 21:38 Max | skóre: 65 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: tun, alebo tap
    TAP - běží na L2 (je to jako další síťovka v pc), trošku náročnější na datový tok, protuneluje všechno bez rozdílu

    TUN - běží na L3 vrstvě, méně náročnější na datový tok, nejde bridgovat, může se tunelovat jen něco. Má podporu v Androidu a iOS.

    Sesumírováno je to dobře třeba zde : Bridging vs. routing

    Pro propojení lokalit/poboček se nepoužívá OpenVPN, ale IPSEC tunely.
    Pro připojení klientů do hlavní lokality se používá buď OpenVPN, nebo L2TP over IPSEC.
    Konfigurace L2TP a IPSECu je o něco náročnější, jak konfigurace OpenVPN, ale není to problém.
    Dále ještě relativně nedávno nebyla dostupná implementace více L2TP klientů, co jsou za natem (jednou veřejnou IP). Myslím, že toto už do Strongswanu doputovalo, ale nejsem si tím jist. Tato skutečnost někoho trápit nemusí, někoho ano.

    My jsme třeba v práci přešli na OpenVPN v režimu TUN + máme funkční i L2TP (nativní podpora je v iOS, Android i Windows).
    Zdar Max
    Měl jsem sen ... :(

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.