abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 00:11 | Nová verze

    Byla vydána (𝕏) červnová aktualizace aneb nová verze 1.102 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a videi v poznámkách k vydání. Ve verzi 1.102 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.

    Ladislav Hagara | Komentářů: 0
    včera 21:00 | Bezpečnostní upozornění

    Byla vydána nová verze 2.4.64 svobodného multiplatformního webového serveru Apache (httpd). Řešeno je mimo jiné 8 bezpečnostních chyb.

    Ladislav Hagara | Komentářů: 0
    včera 15:22 | Nová verze

    Společnost xAI na síti 𝕏 představila Grok 4, tj. novou verzi svého AI LLM modelu Grok.

    Ladislav Hagara | Komentářů: 8
    včera 12:55 | Bezpečnostní upozornění

    Ministerstvo vnitra odhalilo závažný kyberincident v IT systému resortu. Systém, do kterého se dostal útočník bez oprávnění, byl odpojen a nedošlo k odcizení dat [𝕏].

    Ladislav Hagara | Komentářů: 12
    včera 11:55 | Humor

    Před rokem byla streamovací služba HBO Max přejmenována na Max. Dle managementu slovo HBO v názvu nebylo důležité. Včera byl Max přejmenován zpět na HBO Max. Kolik milionů dolarů to stálo? 😂

    Ladislav Hagara | Komentářů: 5
    včera 02:11 | Nová verze

    Byla vydána nová major verze 8.0.0 svobodného systému pro detekci a prevenci průniků a monitorování bezpečnosti počítačových sítí Suricata (Wikipedie). Přehled novinek v oficiálním oznámení a v aktualizované dokumentaci.

    Ladislav Hagara | Komentářů: 0
    včera 01:11 | Nová verze

    Mastodon (Wikipedie) - sociální síť, která není na prodej - byl vydán ve verzi 4.4. Přehled novinek s náhledy a videi v oznámení na blogu.

    Ladislav Hagara | Komentářů: 0
    včera 00:11 | IT novinky

    Instituce státní správy nebudou smět využívat produkty, aplikace, řešení, webové stránky a webové služby poskytované čínskou společností DeepSeek. Na doporučení Národního úřadu pro kybernetickou a informační bezpečnost rozhodla o jejich zákazu vláda Petra Fialy na jednání ve středu 9. července 2025.

    Ladislav Hagara | Komentářů: 4
    9.7. 06:00 | Zajímavý projekt

    Jack Dorsey představil (𝕏, Nostr) svůj nový projekt bitchat. Jedná se o bezpečnou decentralizovanou peer-to-peer aplikaci pro zasílání zpráv bez potřeby internetu, serverů a telefonních čísel. Využívá se Bluetooth Mesh Network. Detaily v technické dokumentaci. Zdrojové kódy jsou k dispozici pod licencí Unlicense.

    Ladislav Hagara | Komentářů: 6
    9.7. 04:22 | Nová verze

    Hudební přehrávač Amarok byl vydán v nové verzi 3.3 "Far Above the Clouds". Nově je postaven na Qt6/KF6 a využívá GStreamer místo Phononu.

    Ladislav Hagara | Komentářů: 0
    Jaký je váš oblíbený skriptovací jazyk?
     (59%)
     (27%)
     (7%)
     (2%)
     (1%)
     (1%)
     (3%)
    Celkem 381 hlasů
     Komentářů: 16, poslední 8.6. 21:05
    Rozcestník

    Dotaz: IPSec (strongswan) - konfigurace

    6.7.2006 10:54 svaca | skóre: 38
    IPSec (strongswan) - konfigurace
    Přečteno: 978×
    Ahoj, trapim se s IPSec.

    Zkousel jsem openswan - dokazu nainstalovat, ale kernel moduly (jadro 2.4 i 2.6) porad hazi segment fault, atd ...

    Tak jsem zkusil Strongswan a to vypada gut. Verze 2.7.2, nicmene mam porad nekde chybu vkonfiguraci ... v certifikatech.

    Tady je log:

    Jul 6 10:38:03 sv pluto[4839]: | *received 252 bytes from 217.168.215.187:500 on eth0
    Jul 6 10:38:03 sv pluto[4839]: | ICOOKIE: 0b 2d 8c 35 15 8e 89 7d
    Jul 6 10:38:03 sv pluto[4839]: | RCOOKIE: ff 63 8c 2e ca 8f 06 1a
    Jul 6 10:38:03 sv pluto[4839]: | peer: d9 a8 d7 bb
    Jul 6 10:38:03 sv pluto[4839]: | state hash entry 18
    Jul 6 10:38:03 sv pluto[4839]: | state object #1 found, in STATE_MAIN_I2
    Jul 6 10:38:03 sv pluto[4839]: | requested CA: '%any'
    Jul 6 10:38:03 sv pluto[4839]: | our certificate policy is ALWAYS_SEND
    Jul 6 10:38:03 sv pluto[4839]: "net-net" #1: we have a cert and are sending it
    Jul 6 10:38:03 sv pluto[4839]: "net-net" #1: unable to locate my private key for RSA Signature
    Jul 6 10:38:03 sv pluto[4839]: "net-net" #1: sending encrypted notification AUTHENTICATION_FAILED to 217.168.215.187:500
    Jul 6 10:38:03 sv pluto[4839]: | state transition function for STATE_MAIN_I2 failed: AUTHENTICATION_FAILED
    Jul 6 10:38:03 sv pluto[4839]: | next event EVENT_RETRANSMIT in 3 seconds for #2

    Pak mam jeste problem s tim, ze na tom jednom positaci, co je jadro se vytvori ipsec0 zarizeni, ale na tom co je jadro 2.6 se nevytvori zadne net zarizeni, ale obe strany spolu komunikuji, jak je videt ...

    Konfig vypada takto:

    # /etc/ipsec.conf - strongSwan IPsec configuration file

    version 2.0 # conforms to second version of ipsec.conf specification

    config setup
    plutodebug=control
    crlcheckinterval=180
    strictcrlpolicy=no

    conn net-net
    left=%defaultroute
    leftsubnet=192.168.1.0/24
    leftcert=Cert.pem
    right=85.193.29.43
    rightsubnet=192.168.0.0/24
    rightid="C=CZ, O=sv.centel.cz, CN=sv.centel.cz"
    auto=start

    Certifikaty mam na patricnych mistech, nevite, co delam spatne ??? Diky.

    Never give up ! Stay ATARI !

    Odpovědi

    6.7.2006 13:33 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    Hlavní problém bych hledal tady:
    Jul 6 10:38:03 sv pluto[4839]: "net-net" #1: unable to locate my private key for RSA Signature
    
    Prostě nemůže najít soubor s vaším tajným klíčem.
    6.7.2006 14:58 svaca | skóre: 38
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    Jsem rad, ze jste se ozval zrovna Vy ... :-) Jste specialista.

    JA vim, ze je tam chyba, ale ten klic je v /etc/ipsec.d/certs a odkazuje na nej i /etc/ipsec.secrets, proc ho nenachazi ???

    A koukal jsem, ze spis doporucujete ipsec-tools, jenze NIKDE jsem nenael poradnou dokumentaci, tak vubec nevim, co s tim ...

    Diky MOC.
    Never give up ! Stay ATARI !
    6.7.2006 16:10 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    Konfiguraci FreeS/WAN si moc nepamatuji, už jsou to tak dva roky, co jsem ji naposledy používal (ještě na jádrech 2.4), ale čistě technicky byste měl IKE démonovi říct, kde je
    • buď váš klíč, váš certifikát, certifikát protistrany
    • nebo váš klíč, váš certifikát, certifikát autority, kterou byl podepsán certifikát protistrany
    podle toho, kterou metodu autentizace používáte. Ale jestliže tvrdíte, že svůj klíč máte v ipsec.secrets, mělo by to fungovat. Jen mne napadá: určitě certifikát v Cert.pem odpovídá tomu klíči, který je v ipsec.secrets?
    6.7.2006 16:18 svaca | skóre: 38
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    Ano, ale vubec to nechapu - tohle nezvladnu ..... :-(((
    Je to tezky jak PRASE. Ach jo.

    Jednou to totiz hleda klic v /etc/ipsec.d/certs a jednou zase v /etc/ipsec.d/private i kdyz ZDANLIVE konfigurace stejna ...

    Je to NEJVETSI opruz s kterym jsem se setkal, delam to dny a NIKAM jsem nepostoupil:

    Je NEJAKA jina JEDNODUSSI cesta, jak pouzit IPSec ????

    ted mam toto v logu, ale VUBEC nic to pak nedela:

    Jul 6 16:07:26 server pluto[18622]: | found eth0 with address 217.168.215.187
    Jul 6 16:07:26 server pluto[18622]: | found eth1 with address 192.168.1.1
    Jul 6 16:07:26 server pluto[18622]: adding interface eth1/eth1 192.168.1.1:500
    Jul 6 16:07:26 server pluto[18622]: adding interface eth0/eth0 217.168.215.187:500
    Jul 6 16:07:26 server pluto[18622]: adding interface lo/lo 127.0.0.1:500
    Jul 6 16:07:26 server pluto[18622]: | found lo with address 0000:0000:0000:0000:0000:0000:0000:0001
    Jul 6 16:07:26 server pluto[18622]: adding interface lo/lo ::1:500
    Jul 6 16:07:26 server pluto[18622]: loading secrets from "/etc/ipsec.secrets"
    Jul 6 16:07:26 server pluto[18622]: loaded private key file '/etc/ipsec.d/private/cert.pem' (2270 bytes)

    Nechapu proc to MUSI byt tak komplikovany ... Kdybych to vypravel Windows uzivately s Keriem treba, tak se mi bude smat do obliceje.

    Never give up ! Stay ATARI !
    7.7.2006 00:00 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    Ono to vůbec složité není, navíc dokumentace k FreeS/WAN je velmi bohatá a přehledná. Jen už mi to trochu vypadlo z paměti a studovat to znovu se mi nechce (když vím, že už to potřebovat nebudu).
    7.7.2006 00:02 svaca | skóre: 38
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    A jak resite VPN ??? Nijak ?
    Never give up ! Stay ATARI !
    7.7.2006 02:02 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    Implementace základních protokolů je v jádrech 2.6 obsažena automaticky, takže stačí nástroje z balíčku ipsec-tools (v jednotlivých distribucích se asi jmenuje různě): démon racoon a příkaz setkey.
    7.7.2006 09:46 petr_p
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    Ano, slozite to neni, pokud presne vite, jake jsou limity druhe strany. Protoze kdyz se druhe strane neco nelibi, tak v zajmu bezpecnosti (a je to tak i primo v RFC) nerekne co. Jen cosi jako invalid payload type. A kdyz nemuzete podrobnejsi informaci vyrazit z admina druheho konce (v jeho logu to samozrejme je), tak je to na smycku.

    To pisu z vlastni zkusenosti. 2 dny jsem se snazil propojit racoon a pluto. Nakonec jsem to nejak dal, ale zjistil jsem, ze obcas pluto zacne odmitat klice, i kdyz by platit stale mely a pomuze jen restartovat pluto nebo pokorne snizit zivotnost klicu na ten jeho divny timeout.

    Prijde mi, ze jednotlive implementace ISAKMP maji problem se dohodnout. Misto toho, aby kazda strana poslala, co umi, a pak si vybrali nejvyssi spolecne zabezpeceni, tak to skonci tak, ze jedna strana neco zkusi, druha ji sproste vyhodi a je konec.
    7.7.2006 10:47 svaca | skóre: 38
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    Presne - payload type, to je muj probelm ... i s NE RSA klicem, ale pouze secret klicem ...

    ipsec-tools mohu zkusit, bohuzel, nikde neni ale VUBEC zadny navod ...

    Je to proste srot, cely ipsec. ....
    Never give up ! Stay ATARI !
    7.7.2006 10:52 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    Můžete začít v mém oblíbeném LARTC HowTo (kapitola 7) a pokračovat manuálovou stránkou k racoon a setkey. Osobně mám ipsec-tools raději než FreeS/WAN (a její pohrobky), protože konfigurace víc odpovídá tomu, jak IPsec skutečně funguje, a nevymýšlejí si svou vlastní terminologii.
    7.7.2006 11:56 svaca | skóre: 38
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    Vim, koukal jsem to vypada dobre, necmene tam pracuji s timto programem: spdadd

    Nevim co je to zac a kde ho vzit ... v ipsec-tools neni.
    Never give up ! Stay ATARI !
    7.7.2006 12:53 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    To není program, to je příkaz, který se zadává prostřednictvím setkey. Buď si ty příkazy napíšete přímo do souboru a spustíte 'setkey -f ten_soubor' nebo můžete spustit 'setkey -c' a příkazy mu posílat přímo na standardní vstup.
    7.7.2006 13:18 svaca | skóre: 38
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    Aha ! Vyzkousim. DEKUJI. :-)
    Never give up ! Stay ATARI !
    7.7.2006 19:28 svaca | skóre: 38
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    tak jsem asi UPLNE blbej ....

    Neskutecne me toci, ze si s tim neporadim - open VPN ziskava 10000 bodu ...

    Zkousel jsem ten ipsec-tools - vubec asi nechapu princip

    mam sit:

    WAN: 217.168.215.187 - LAN: 192.168.1.0

    a druha: WAN: 85.193.29.43 - LAN: 192.168.0.1

    kdyz tyto adresy nastavim pomoci setkeye,takse samozrejme IHNED odriznu z routeru ... :-))))

    CO TAM MAM DAT ZA ADRESY ???? DIKY MOC. Uz z toho fakt magorim.
    Never give up ! Stay ATARI !
    7.7.2006 21:20 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    Jak vypadá váš racoon.conf a jak vypadá to, co jste předal příkazu setkey?
    7.7.2006 23:40 svaca | skóre: 38
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    OK. racoon.conf:

    path pre_shared_key "/usr/local/etc/racoon.key";
    remote anonymous
    {
    exchange_mode aggressive,main;
    doi ipsec_doi;
    situation identity_only;
    my_identifier address;
    lifetime time 2 min; # sec,min,hour
    initial_contact on;
    proposal_check obey; # obey, strict or claim
    proposal {
    encryption_algorithm 3des;
    hash_algorithm sha1;
    authentication_method pre_shared_key;
    dh_group 2 ;
    }
    }
    sainfo anonymous
    {
    pfs_group 1;
    lifetime time 2 min;
    encryption_algorithm 3des ;
    authentication_algorithm hmac_sha1;
    compression_algorithm deflate ;
    }

    setkey:

    #!/sbin/setkey -f

    flush;
    spdflush;
    spdadd 217.168.215.187 85.193.29.43 any -P out ipsec
    esp/transport//require;
    spdadd 85.193.29.43 217.168.215.187 any -P in ipsec
    esp/transport//require;

    Never give up ! Stay ATARI !
    6.7.2006 19:56 Thor
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    Zdravim, nevim jestli to pomuze, ale na Debian 3.1, kernel 2.6 a freeswan a jede to v pohode okamzite. S konfiguraci freeswanu mohu pomoc. Vase reseni bohuzel namam odzkousene/nasazene.
    6.7.2006 23:57 svaca | skóre: 38
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    Uf, to by bodlo, ale nechci debian ....

    Porad se trapim ...
    Never give up ! Stay ATARI !
    7.7.2006 10:45 svaca | skóre: 38
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    Zkousim ten debian, ten mi aspon vygeneruje korektni certifikaty ...
    Never give up ! Stay ATARI !
    7.7.2006 15:17 STP
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    "net-net" #1: unable to locate my private key for RSA Signature ....mrkni na ulozeni toho private key, vypada to, ze jej nevidi.
    7.7.2006 16:57 svaca | skóre: 38
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    Vim, on tam je a byl, ale nejaky spatny format, nebot ty certifikaty z debianu funguji, ale proste se to nespoji, porad to hlasi neco okolo paypal ...

    Kaslu na to, zkusim ten ipseec-tools, tohle nema reseni ...
    Never give up ! Stay ATARI !

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.