abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 00:11 | Nová verze

    Open source modální textový editor Helix, inspirovaný editory Vim, Neovim či Kakoune, byl vydán ve verzi 25.07. Přehled novinek se záznamy terminálových sezení v asciinema v oznámení na webu. Detailně v CHANGELOGu na GitHubu.

    Ladislav Hagara | Komentářů: 0
    včera 20:44 | IT novinky

    Americký výrobce čipů Nvidia získal od vlády prezidenta Donalda Trumpa souhlas s prodejem svých pokročilých počítačových čipů používaných k vývoji umělé inteligence (AI) H20 do Číny. Prodej těchto čipů speciálně upravených pro čínský trh by tak mohl být brzy obnoven, uvedla firma na svém blogu. Americká vláda zakázala prodej v dubnu, v době eskalace obchodního sporu mezi oběma zeměmi. Tehdy to zdůvodnila obavami, že by čipy mohla využívat čínská armáda.

    Ladislav Hagara | Komentářů: 0
    včera 17:22 | Nová verze

    3D software Blender byl vydán ve verzi 4.5 s prodlouženou podporou. Podrobnosti v poznámkách k vydání. Videopředstavení na YouTube.

    Ladislav Hagara | Komentářů: 0
    14.7. 22:22 | Komunita

    Open source webový aplikační framework Django slaví 20. narozeniny.

    Ladislav Hagara | Komentářů: 0
    14.7. 16:11 | Komunita

    V Brestu dnes začala konference vývojářů a uživatelů linuxové distribuce Debian DebConf25. Na programu je řada zajímavých přednášek. Sledovat je lze online.

    Ladislav Hagara | Komentářů: 0
    14.7. 11:33 | IT novinky

    Před 30 lety, tj. 14. července 1995, se začala používat přípona .mp3 pro soubory s hudbou komprimovanou pomocí MPEG-2 Audio Layer 3.

    Ladislav Hagara | Komentářů: 26
    14.7. 10:55 | IT novinky

    Výroba 8bitových domácích počítačů Commodore 64 byla ukončena v dubnu 1994. Po více než 30 letech byl představen nový oficiální Commodore 64 Ultimate (YouTube). S deskou postavenou na FPGA. Ve 3 edicích v ceně od 299 dolarů a plánovaným dodáním v říjnu a listopadu letošního roku.

    Ladislav Hagara | Komentářů: 20
    13.7. 17:55 | Zajímavý projekt

    Společnost Hugging Face ve spolupráci se společností Pollen Robotics představila open source robota Reachy Mini (YouTube). Předobjednat lze lite verzi za 299 dolarů a wireless verzi s Raspberry Pi 5 za 449 dolarů.

    Ladislav Hagara | Komentářů: 17
    11.7. 16:44 | Komunita

    Dnes v 17:30 bude oficiálně vydána open source počítačová hra DOGWALK vytvořena v 3D softwaru Blender a herním enginu Godot. Release party proběhne na YouTube od 17:00.

    Ladislav Hagara | Komentářů: 3
    11.7. 14:55 | Humor

    McDonald's se spojil se společností Paradox a pracovníky nabírá také pomocí AI řešení s virtuální asistentkou Olivii běžící na webu McHire. Ian Carroll a Sam Curry se na toto AI řešení blíže podívali a opravdu je překvapilo, že se mohli přihlásit pomocí jména 123456 a hesla 123456 a získat přístup k údajům o 64 milionech uchazečů o práci.

    Ladislav Hagara | Komentářů: 16
    Jaký je váš oblíbený skriptovací jazyk?
     (59%)
     (26%)
     (7%)
     (3%)
     (1%)
     (1%)
     (4%)
    Celkem 398 hlasů
     Komentářů: 16, poslední 8.6. 21:05
    Rozcestník

    Dotaz: IPSec (strongswan) - konfigurace

    6.7.2006 10:54 svaca | skóre: 38
    IPSec (strongswan) - konfigurace
    Přečteno: 978×
    Ahoj, trapim se s IPSec.

    Zkousel jsem openswan - dokazu nainstalovat, ale kernel moduly (jadro 2.4 i 2.6) porad hazi segment fault, atd ...

    Tak jsem zkusil Strongswan a to vypada gut. Verze 2.7.2, nicmene mam porad nekde chybu vkonfiguraci ... v certifikatech.

    Tady je log:

    Jul 6 10:38:03 sv pluto[4839]: | *received 252 bytes from 217.168.215.187:500 on eth0
    Jul 6 10:38:03 sv pluto[4839]: | ICOOKIE: 0b 2d 8c 35 15 8e 89 7d
    Jul 6 10:38:03 sv pluto[4839]: | RCOOKIE: ff 63 8c 2e ca 8f 06 1a
    Jul 6 10:38:03 sv pluto[4839]: | peer: d9 a8 d7 bb
    Jul 6 10:38:03 sv pluto[4839]: | state hash entry 18
    Jul 6 10:38:03 sv pluto[4839]: | state object #1 found, in STATE_MAIN_I2
    Jul 6 10:38:03 sv pluto[4839]: | requested CA: '%any'
    Jul 6 10:38:03 sv pluto[4839]: | our certificate policy is ALWAYS_SEND
    Jul 6 10:38:03 sv pluto[4839]: "net-net" #1: we have a cert and are sending it
    Jul 6 10:38:03 sv pluto[4839]: "net-net" #1: unable to locate my private key for RSA Signature
    Jul 6 10:38:03 sv pluto[4839]: "net-net" #1: sending encrypted notification AUTHENTICATION_FAILED to 217.168.215.187:500
    Jul 6 10:38:03 sv pluto[4839]: | state transition function for STATE_MAIN_I2 failed: AUTHENTICATION_FAILED
    Jul 6 10:38:03 sv pluto[4839]: | next event EVENT_RETRANSMIT in 3 seconds for #2

    Pak mam jeste problem s tim, ze na tom jednom positaci, co je jadro se vytvori ipsec0 zarizeni, ale na tom co je jadro 2.6 se nevytvori zadne net zarizeni, ale obe strany spolu komunikuji, jak je videt ...

    Konfig vypada takto:

    # /etc/ipsec.conf - strongSwan IPsec configuration file

    version 2.0 # conforms to second version of ipsec.conf specification

    config setup
    plutodebug=control
    crlcheckinterval=180
    strictcrlpolicy=no

    conn net-net
    left=%defaultroute
    leftsubnet=192.168.1.0/24
    leftcert=Cert.pem
    right=85.193.29.43
    rightsubnet=192.168.0.0/24
    rightid="C=CZ, O=sv.centel.cz, CN=sv.centel.cz"
    auto=start

    Certifikaty mam na patricnych mistech, nevite, co delam spatne ??? Diky.

    Never give up ! Stay ATARI !

    Odpovědi

    6.7.2006 13:33 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    Hlavní problém bych hledal tady:
    Jul 6 10:38:03 sv pluto[4839]: "net-net" #1: unable to locate my private key for RSA Signature
    
    Prostě nemůže najít soubor s vaším tajným klíčem.
    6.7.2006 14:58 svaca | skóre: 38
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    Jsem rad, ze jste se ozval zrovna Vy ... :-) Jste specialista.

    JA vim, ze je tam chyba, ale ten klic je v /etc/ipsec.d/certs a odkazuje na nej i /etc/ipsec.secrets, proc ho nenachazi ???

    A koukal jsem, ze spis doporucujete ipsec-tools, jenze NIKDE jsem nenael poradnou dokumentaci, tak vubec nevim, co s tim ...

    Diky MOC.
    Never give up ! Stay ATARI !
    6.7.2006 16:10 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    Konfiguraci FreeS/WAN si moc nepamatuji, už jsou to tak dva roky, co jsem ji naposledy používal (ještě na jádrech 2.4), ale čistě technicky byste měl IKE démonovi říct, kde je
    • buď váš klíč, váš certifikát, certifikát protistrany
    • nebo váš klíč, váš certifikát, certifikát autority, kterou byl podepsán certifikát protistrany
    podle toho, kterou metodu autentizace používáte. Ale jestliže tvrdíte, že svůj klíč máte v ipsec.secrets, mělo by to fungovat. Jen mne napadá: určitě certifikát v Cert.pem odpovídá tomu klíči, který je v ipsec.secrets?
    6.7.2006 16:18 svaca | skóre: 38
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    Ano, ale vubec to nechapu - tohle nezvladnu ..... :-(((
    Je to tezky jak PRASE. Ach jo.

    Jednou to totiz hleda klic v /etc/ipsec.d/certs a jednou zase v /etc/ipsec.d/private i kdyz ZDANLIVE konfigurace stejna ...

    Je to NEJVETSI opruz s kterym jsem se setkal, delam to dny a NIKAM jsem nepostoupil:

    Je NEJAKA jina JEDNODUSSI cesta, jak pouzit IPSec ????

    ted mam toto v logu, ale VUBEC nic to pak nedela:

    Jul 6 16:07:26 server pluto[18622]: | found eth0 with address 217.168.215.187
    Jul 6 16:07:26 server pluto[18622]: | found eth1 with address 192.168.1.1
    Jul 6 16:07:26 server pluto[18622]: adding interface eth1/eth1 192.168.1.1:500
    Jul 6 16:07:26 server pluto[18622]: adding interface eth0/eth0 217.168.215.187:500
    Jul 6 16:07:26 server pluto[18622]: adding interface lo/lo 127.0.0.1:500
    Jul 6 16:07:26 server pluto[18622]: | found lo with address 0000:0000:0000:0000:0000:0000:0000:0001
    Jul 6 16:07:26 server pluto[18622]: adding interface lo/lo ::1:500
    Jul 6 16:07:26 server pluto[18622]: loading secrets from "/etc/ipsec.secrets"
    Jul 6 16:07:26 server pluto[18622]: loaded private key file '/etc/ipsec.d/private/cert.pem' (2270 bytes)

    Nechapu proc to MUSI byt tak komplikovany ... Kdybych to vypravel Windows uzivately s Keriem treba, tak se mi bude smat do obliceje.

    Never give up ! Stay ATARI !
    7.7.2006 00:00 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    Ono to vůbec složité není, navíc dokumentace k FreeS/WAN je velmi bohatá a přehledná. Jen už mi to trochu vypadlo z paměti a studovat to znovu se mi nechce (když vím, že už to potřebovat nebudu).
    7.7.2006 00:02 svaca | skóre: 38
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    A jak resite VPN ??? Nijak ?
    Never give up ! Stay ATARI !
    7.7.2006 02:02 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    Implementace základních protokolů je v jádrech 2.6 obsažena automaticky, takže stačí nástroje z balíčku ipsec-tools (v jednotlivých distribucích se asi jmenuje různě): démon racoon a příkaz setkey.
    7.7.2006 09:46 petr_p
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    Ano, slozite to neni, pokud presne vite, jake jsou limity druhe strany. Protoze kdyz se druhe strane neco nelibi, tak v zajmu bezpecnosti (a je to tak i primo v RFC) nerekne co. Jen cosi jako invalid payload type. A kdyz nemuzete podrobnejsi informaci vyrazit z admina druheho konce (v jeho logu to samozrejme je), tak je to na smycku.

    To pisu z vlastni zkusenosti. 2 dny jsem se snazil propojit racoon a pluto. Nakonec jsem to nejak dal, ale zjistil jsem, ze obcas pluto zacne odmitat klice, i kdyz by platit stale mely a pomuze jen restartovat pluto nebo pokorne snizit zivotnost klicu na ten jeho divny timeout.

    Prijde mi, ze jednotlive implementace ISAKMP maji problem se dohodnout. Misto toho, aby kazda strana poslala, co umi, a pak si vybrali nejvyssi spolecne zabezpeceni, tak to skonci tak, ze jedna strana neco zkusi, druha ji sproste vyhodi a je konec.
    7.7.2006 10:47 svaca | skóre: 38
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    Presne - payload type, to je muj probelm ... i s NE RSA klicem, ale pouze secret klicem ...

    ipsec-tools mohu zkusit, bohuzel, nikde neni ale VUBEC zadny navod ...

    Je to proste srot, cely ipsec. ....
    Never give up ! Stay ATARI !
    7.7.2006 10:52 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    Můžete začít v mém oblíbeném LARTC HowTo (kapitola 7) a pokračovat manuálovou stránkou k racoon a setkey. Osobně mám ipsec-tools raději než FreeS/WAN (a její pohrobky), protože konfigurace víc odpovídá tomu, jak IPsec skutečně funguje, a nevymýšlejí si svou vlastní terminologii.
    7.7.2006 11:56 svaca | skóre: 38
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    Vim, koukal jsem to vypada dobre, necmene tam pracuji s timto programem: spdadd

    Nevim co je to zac a kde ho vzit ... v ipsec-tools neni.
    Never give up ! Stay ATARI !
    7.7.2006 12:53 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    To není program, to je příkaz, který se zadává prostřednictvím setkey. Buď si ty příkazy napíšete přímo do souboru a spustíte 'setkey -f ten_soubor' nebo můžete spustit 'setkey -c' a příkazy mu posílat přímo na standardní vstup.
    7.7.2006 13:18 svaca | skóre: 38
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    Aha ! Vyzkousim. DEKUJI. :-)
    Never give up ! Stay ATARI !
    7.7.2006 19:28 svaca | skóre: 38
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    tak jsem asi UPLNE blbej ....

    Neskutecne me toci, ze si s tim neporadim - open VPN ziskava 10000 bodu ...

    Zkousel jsem ten ipsec-tools - vubec asi nechapu princip

    mam sit:

    WAN: 217.168.215.187 - LAN: 192.168.1.0

    a druha: WAN: 85.193.29.43 - LAN: 192.168.0.1

    kdyz tyto adresy nastavim pomoci setkeye,takse samozrejme IHNED odriznu z routeru ... :-))))

    CO TAM MAM DAT ZA ADRESY ???? DIKY MOC. Uz z toho fakt magorim.
    Never give up ! Stay ATARI !
    7.7.2006 21:20 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    Jak vypadá váš racoon.conf a jak vypadá to, co jste předal příkazu setkey?
    7.7.2006 23:40 svaca | skóre: 38
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    OK. racoon.conf:

    path pre_shared_key "/usr/local/etc/racoon.key";
    remote anonymous
    {
    exchange_mode aggressive,main;
    doi ipsec_doi;
    situation identity_only;
    my_identifier address;
    lifetime time 2 min; # sec,min,hour
    initial_contact on;
    proposal_check obey; # obey, strict or claim
    proposal {
    encryption_algorithm 3des;
    hash_algorithm sha1;
    authentication_method pre_shared_key;
    dh_group 2 ;
    }
    }
    sainfo anonymous
    {
    pfs_group 1;
    lifetime time 2 min;
    encryption_algorithm 3des ;
    authentication_algorithm hmac_sha1;
    compression_algorithm deflate ;
    }

    setkey:

    #!/sbin/setkey -f

    flush;
    spdflush;
    spdadd 217.168.215.187 85.193.29.43 any -P out ipsec
    esp/transport//require;
    spdadd 85.193.29.43 217.168.215.187 any -P in ipsec
    esp/transport//require;

    Never give up ! Stay ATARI !
    6.7.2006 19:56 Thor
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    Zdravim, nevim jestli to pomuze, ale na Debian 3.1, kernel 2.6 a freeswan a jede to v pohode okamzite. S konfiguraci freeswanu mohu pomoc. Vase reseni bohuzel namam odzkousene/nasazene.
    6.7.2006 23:57 svaca | skóre: 38
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    Uf, to by bodlo, ale nechci debian ....

    Porad se trapim ...
    Never give up ! Stay ATARI !
    7.7.2006 10:45 svaca | skóre: 38
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    Zkousim ten debian, ten mi aspon vygeneruje korektni certifikaty ...
    Never give up ! Stay ATARI !
    7.7.2006 15:17 STP
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    "net-net" #1: unable to locate my private key for RSA Signature ....mrkni na ulozeni toho private key, vypada to, ze jej nevidi.
    7.7.2006 16:57 svaca | skóre: 38
    Rozbalit Rozbalit vše Re: IPSec (strongswan) - konfigurace
    Vim, on tam je a byl, ale nejaky spatny format, nebot ty certifikaty z debianu funguji, ale proste se to nespoji, porad to hlasi neco okolo paypal ...

    Kaslu na to, zkusim ten ipseec-tools, tohle nema reseni ...
    Never give up ! Stay ATARI !

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.