Inzerujte na AbcPráce.cz od 950 Kč

napište » Zprávičky

dnes 12:55 | Upozornění

Je 31. března a tedy Světový den zálohování (World Backup Day). Co by se stalo, kdyby Vám právě teď odešel počítač, tablet nebo telefon, který používáte?

Ladislav Hagara | Komentářů: 0

DIA od 29.4. mění formát důvěryhodných seznamů TL

dnes 12:44 | Upozornění

Digitální a informační agentura (DIA) přistupuje ke změně formátu důvěryhodného seznamu České republiky z verze TLv5 na verzi TLv6, která nastane 29. dubna 2026 v 00:00 (CET). Ke změně formátu důvěryhodných seznamů členských států (tzv. Trusted Lists) dochází na základě změn příslušné unijní legislativy. Důvěryhodné seznamy se používají v rámci informačních systémů a aplikací zejména pro účely ověřování platnosti elektronických

… více »

Ladislav Hagara | Komentářů: 1

Rspamd 4.0.0

dnes 05:00 | Nová verze

Rspamd (Wikipedie), tj. open source systému pro filtrování nevyžádané pošty, byl vydán v nové major verzi 4.0.0. Přehled novinek v Changelogu.

Ladislav Hagara | Komentářů: 1

SolveSpace 3.2

včera 23:11 | Nová verze

SolveSpace (Wikipedie), tj. multiplatformní open source parametrický 2D/3D CAD, byl vydán v nové verzi 3.2. Přehled novinek v Changelogu na GitHubu. Vyzkoušet lze novou oficiální webovou verzi.

Ladislav Hagara | Komentářů: 5

Den IPv6 proběhne 4. června. Organizátoři vyhlásili Call for Abstracts

včera 18:22 | Pozvánky

Organizátoři Dne IPv6, tradiční akce věnované tématům spojeným s tímto protokolem, vyhlásili Call for Abstracts. Na webu konference mohou zájemci přihlašovat příspěvky o délce 20 nebo 40 minut či 10minutové lighting talky a to až do 30. dubna. Tvůrci programu uvítají návrhy přednášek z akademického i komerčního sektoru, které mohou být technického i netechnického zaměření. Den IPv6 se letos uskuteční 4. června a místem konání bude i

… více »

VSladek | Komentářů: 4

Euro-Office, evropský fork OnlyOffice

včera 15:00 | Zajímavý software

Euro-Office (Wikipedie) je evropský fork open source kancelářského balíku OnlyOffice. Za forkem stojí koalice firem IONOS, Nextcloud, Eurostack, XWiki, OpenProject, Soverin, Abilian a BTactic. Cílem je zajistit digitální suverenitu Evropy a snížit závislost na neevropských platformách. Projekt vznikl mimo jiné v reakci na nedávné uzavření cloudové služby OnlyOffice. OnlyOffice obviňuje Euro-Office z porušení licenčních podmínek. Na možné problémy upozorňuje i Collabora Online. Jednostranná změna licence není v pořádku.

Ladislav Hagara | Komentářů: 22

Videozáznamy přednášek z Installfestu 2026

včera 05:11 | Komunita

Byly zpracovány a na YouTube zveřejněny videozáznamy jednotlivých přednášek z letošního Installfestu.

Ladislav Hagara | Komentářů: 1

Arduino: Open Source Report 2025 a 7 nových produktů kompatibilních s UNO Q

včera 00:22 | Komunita

Během akce Arduino Days 2026 byl publikován Arduino Open Source Report 2025 (pdf) a oznámeno 7 nových produktů kompatibilních s deskou UNO Q (Arduino USB-C Power Supply, USB-C Cable, USB-C Hub, UNO Media Carrier, UNO Breakout Carrier, Bug Hopper, Modulino LED Matrix).

Ladislav Hagara | Komentářů: 2

Google Vyhledávání Live

29.3. 20:22 | IT novinky

Google v pátek spustil v Česku Vyhledávání Live. Tato novinka umožňuje lidem vést plynulou konverzaci s vyhledávačem v češtině. A to prostřednictvím hlasu, nebo prostřednictvím toho, na co ukážou svým fotoaparátem či kamerou v mobilu. Rozšíření této multimodální funkce je možné díky nasazení Gemini 3.1 Flash Live, nového hlasového a audio modelu, který je od základu vícejazyčný, takže umožňuje lidem po celém světě mluvit na vyhledávač přirozeně a v jazyce, který je jim nejbližší.

Ladislav Hagara | Komentářů: 1

Prohledávadlo JSON souborů Jsongrep

29.3. 12:55 | Zajímavý software

Jsongrep je open-source nástroj, který efektivně prohledává JSON dokumenty (editovat je neumí). Kompiluje regulérní jazyk dotazu do podoby deterministického konečného automatu (DFA), díky čemuž prochází strom JSON dokumentu pouze jednou a je v tom tedy rychlejší než jiné nástroje jako jsou například jq, JMESPath nebo jql. Jsongrep je napsaný v programovacím jazyce Rust, zdrojový kód je dostupný na GitHubu.

NUKE GAZA! 🎆 | Komentářů: 4

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 29, poslední dnes 11:17

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Logika routování + IPSEC, uvažuji správně ??

Štítky: DHCP, Internet, IPsec, komunikace, NAT, OpenVPN, sítě

Dotaz: Logika routování + IPSEC, uvažuji správně ??

29.11.2006 17:05 Marek | skóre: 21
Logika routování + IPSEC, uvažuji správně ??

Přečteno: 419×

Odpovědět | Admin

Mám od providera přidělenu pevnou IP adresu, bránu, masku (připojen jsem přes WiFi). Místo současného PC s XI-626 chci na straně klienta použít WiFi router/nat, konkrétně WRT-311. Původní záměr bylo využít Asus WL500gP, ale ten je málo citlivý a nedostanu se na použitelný odstup signál/šum. Jenže potřebuji služby IPSEC serveru a další možnosti, které Asus umožňuje.

Nesmím využít režim bridge, atd. protože provider mě dává jen jedinou IP adresu a nesmím využít privátní rozsah v rámci veřejné části sítě, proto využívám složitější konstrukce.

Takže nastavení:

internet - - - - - router/nat - - - - - - - router/IPSEC server - - - - - - - klienti
          veřejná IP/lokální IP (A)   lokální IP (A)/lokální IP (B)         lokální IP (B)
                        192.168.0.1      192.168.0.2/10.10.0.0/24         10.10.0.x

První router/nat bude pouze routovat provoz a schovávat vnitřní síť NATem (nastevní klasické, tedy adresa ethernetu z rozsahu 192.168.x.x, gateway a ostatní viz předané informace od providera. Druhý interní router s IPSEC bude mít adresu také z rozsahu 192.168.x.x, bude zároveň DHCP serverem pro klienty na vnitřní síti (10.10.0.0/24), bude poskytovat služby, které vyžaduji pro vnitřní síť. Předpokládám, že bude opět routovat provoz mezi 192.168.0.0/24 a 10.10.0.0/24. Důvod proč to řeším tak složitě je ten, že chci lokální router (192.168.0.2/10.10.0.0/24) použít také jao router pro IPSEC, tedy dotazy z vyhrazeného rozsahu směřovat do tunelu IPSEC.

Otázka zní:
- je uvedené řešení schůdné?
- jak řešit net to net pomocí IPSEC s průchodem přes NAT (stačí forwarding portu 500) ??
- napadá někoho viditelný problém v mém uvažování?

Nástroje: Začni sledovat (0) ?

Odpovědi

1.12.2006 10:37 Marek | skóre: 21
Rozbalit Rozbalit vše Re: Logika routování + IPSEC, uvažuji správně ??

Dotaz spíše k IPSEC a vlastně i k původnímu ...

Mezi veřejnou IP a lokální sítí mám dva routery, jeden routující provoz XXX.XXX.XXX.XXX - 192.168.10.0/24 a další routující provoz mezi 192.168.10.0/24 a lokálním IP rozsahem 10.10.0.0/24.

Původní záměr bylo NATOVAT provoz hned na prvním routeru a vlastně pomocí firewall mít možnost do 192.168.10.0/24 umístit další zařízení v roli DMZ, jenže mám problém, že NAT na vcelku zavřeném zařízení jako je WRT-311 neumožní průchod IPSEC, který v roli serveru pro NET to NET běží na druhém routeru, tedy tom 192.168.10.0/24 - 10.10.0.0/24.

A teď k samotnému dotazu, v podstatě to chápu tak, že můžu vytvořit router pouze jeden, tedy ten vstupní a nechat ho routovat mezi veřejnou částí a vnitřním rozsahem 10.10.0.0/24 včetně rozchozeného NATu pro schování vnitřního rozsahu. Jenže toto mě způsobí problém s průchodem IPSEC, který potřebuje krom portu udp/500, dále protokoly AH a ESP (protokoly 50 a 51 na 4. vrstvě), což mě firewall nepovolí a tedy asi komunikace neprojde.

Uvažuji potud správně??

Doposud jsem to bral tak že první router pouze bude routovat provoz a tím snad propouštět kompletní TCP/IP provoz, takže IPSEC na druhém routeru již bude schopen obloužit cokoliv, včetně nestandardních TCP/IP protokolů, které využívá IPSEC.

Poběží vlastně síť v tomto nastavení, když bude NAT až na druhém routeru?? Můj osobní názor, zatím nepodložený zkouškou je, že by to běžet mělo, ale netuším ...

A jestli je toto řešení schůdné jak vlastně nastavit IPSEC (OpenSWAN) ?? Nastavení na straně serveru na druhé straně tunelu (ta strana kterou tady teď neřeším) je následující:

config setup
        interfaces="%defaultroute "
        klipsdebug="none"
        plutodebug="crypt "
        plutoload=%search
        plutostart=%search
        uniqueids=yes
        nat_traversal=yes

conn %default
        keyingtries=0
        disablearrivalcheck=no

conn worktohome
        left=217.112.xxx.xxx #(IP jedna strana)
        leftnexthop=%defaultroute
        leftsubnet=10.0.0.0/255.255.255.0
        right=217.112.xxx.xxx #(IP druhá strana)
        rightsubnet=10.10.0.0/255.255.255.0
        rightnexthop=%defaultroute
        ikelifetime=1h
        keylife=8h
        dpddelay=30
        dpdtimeout=120
        dpdaction=restart
        pfs=yes
        authby=secret
        auto=start

Při konstalaci, kdybych měl veřejnou IP přímo na IPSEC serveru, taky by se dal vlastně použít tentýž konfig, ale jak to bude teď, když mezi tím chodím přes další routery s neveřejnou IP. Jde to vůbec ??

Nebo se spolehnout na služby OpenVPN, která je bezproblémová a projde vlastně kamakoliv si člověk zamane ?? Prostě jen UDP provoz na jediném portu.

Díky za každé nasměrování vhodným směrem ...

1.12.2006 12:51 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Logika routování + IPSEC, uvažuji správně ??

Pokud nechcete používat obezličky typu NAT Traversal, potřebujete, aby paket na druhou gateway přišel se stejnou zdrojovou a cílovou adresou, s jakou odešel z první.

Založit nové vlákno • Nahoru

Tiskni Sdílej: