Přihlášení | Registrace

napište » Zprávičky

26.12. 18:44 | Komunita

Od soboty do úterý probíhá v Hamburku konference 39C3 (Chaos Communication Congress) věnovaná také počítačové bezpečnosti nebo hardwaru. Program (jiná verze) slibuje řadu zajímavých přednášek. Streamy a záznamy budou k dispozici na media.ccc.de.

Ladislav Hagara | Komentářů: 0

Phoenix (Xserver)

26.12. 13:22 | Zajímavý software

Byl představen nový Xserver Phoenix, kompletně od nuly vyvíjený v programovacím jazyce Zig. Projekt Phoenix si klade za cíl být moderní alternativou k X.Org serveru.

🇨🇽 | Komentářů: 7

XLibre Xserver 25.1.0

26.12. 13:11 | Nová verze

XLibre Xserver byl 21. prosince vydán ve verzi 25.1.0, 'winter solstice release'. Od založení tohoto forku X.Org serveru se jedná o vůbec první novou minor verzi (inkrementovalo se to druhé číslo v číselném kódu verze).

🇨🇽 | Komentářů: 0

Wayback 0.3

26.12. 03:33 | Nová verze

Wayback byl vydán ve verzi 0.3. Wayback je "tak akorát Waylandu, aby fungoval Xwayland". Jedná se o kompatibilní vrstvu umožňující běh plnohodnotných X11 desktopových prostředí s využitím komponent z Waylandu. Cílem je nakonec nahradit klasický server X.Org, a tím snížit zátěž údržby aplikací X11.

Ladislav Hagara | Komentářů: 0

Ruby 4.0.0

25.12. 14:44 | Nová verze

Byla vydána verze 4.0.0 programovacího jazyka Ruby (Wikipedie). S Ruby Box a ZJIT. Ruby lze vyzkoušet na webové stránce TryRuby. U příležitosti 30. narozenin, první veřejná verze Ruby 0.95 byla oznámena 21. prosince 1995, proběhl redesign webových stránek.

Ladislav Hagara | Komentářů: 0

Krásné Vánoce

24.12. 02:11 | Komunita

Všem čtenářkám a čtenářům AbcLinuxu krásné Vánoce.

Ladislav Hagara | Komentářů: 30

Parrot OS 7.0

24.12. 02:00 | Nová verze

Byla vydána nová verze 7.0 linuxové distribuce Parrot OS (Wikipedie). S kódovým názvem Echo. Jedná se o linuxovou distribuci založenou na Debianu a zaměřenou na penetrační testování, digitální forenzní analýzu, reverzní inženýrství, hacking, anonymitu nebo kryptografii. Přehled novinek v příspěvku na blogu.

Ladislav Hagara | Komentářů: 0

postmarketOS 25.12

23.12. 18:33 | Nová verze

Vývojáři postmarketOS vydali verzi 25.12 tohoto před osmi lety představeného operačního systému pro chytré telefony vycházejícího z optimalizovaného a nakonfigurovaného Alpine Linuxu s vlastními balíčky. Přehled novinek v příspěvku na blogu. Na výběr jsou 4 uživatelská rozhraní: GNOME Shell on Mobile, KDE Plasma Mobile, Phosh a Sxmo.

Ladislav Hagara | Komentářů: 0

mpv 0.41.0

23.12. 13:55 | Nová verze

Byla vydána nová verze 0.41.0 multimediálního přehrávače mpv (Wikipedie) vycházejícího z přehrávačů MPlayer a mplayer2. Přehled novinek, změn a oprav na GitHubu. Požadován je FFmpeg 6.1 nebo novější a také libplacebo 6.338.2 nebo novější.

Ladislav Hagara | Komentářů: 0

Lua 5.5

23.12. 12:44 | Nová verze

Byla vydána nová verze 5.5 (novinky) skriptovacího jazyka Lua (Wikipedie). Po pěti a půl letech od vydání verze 5.4.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Kdo vám letos nadělí dárek?

Ježíšek (36%)

Santa Claus (1%)

Děda Mráz (18%)

La Befana (1%)

Odin (1%)

Laskakit (1%)

Někdo z rodiny (13%)

Já sám (12%)

Nikdo (16%)

Celkem 146 hlasů

Komentářů: 18, poslední 24.12. 15:29

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Nefungujici IPSEC

Štítky: Internet, IPsec, LAN, sítě

Dotaz: Nefungujici IPSEC

13.9.2007 12:21 chearius | skóre: 7 | blog: /dev/chearius | Heidelberg
Nefungujici IPSEC

Přečteno: 747×

Odpovědět | Admin

Dobry den,

snazim se propojit dve LAN site do VPN pomoci nativni implementace IPSEC v jadrech 2.6 - tedy pomoci setkey a racoon. Avsak nekde v konfiguraci nastala chyba, protoze pri pokusu o ping z jedne site do druhe se racoon ani nepokusi spojit.

Sit vypada takto: 172.16.2.xx/24 <--> brana 172.16.2.254 s verejnou IP [ip-1] <--> internet <--> brana 172.16.0.1 s verejnou IP [ip-2] <--> sit 172.16.0.xx/24

Setkey jsem nakonfiguroval na stroji s [ip-1] takto:

spdadd 172.16.0.0/24 172.16.2.0/24 any -P in ipsec
       esp/transport/[ip-2]-[ip-1]/require
       ah/transport/[ip-2]-[ip-1]/require;

spdadd 172.16.2.0/24 172.16.0.0/24 any -P out ipsec
       esp/transport/[ip-1]-[ip-2]/require
       ah/transport/[ip-1]-[ip-2]/require;

Na druhe brane je konfigurace obdobna, ale se zamenenim in za out a naopak.

A racoon je nakonfigurovan takto:

...

remote 217.11.242.73
{
        exchange_mode main;
        my_identifier address [ip-1];
        peers_identifier address [ip-2];
        generate_policy on;

        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method pre_shared_key;
                dh_group 5;
        }
}

...

Po spusteni racoon v debug-modu a po pokusu o ping z brany 1 na IP adresu 172.16.0.1 vsak dojde ke smerovani pozadavku nikoliv zasifrovane po VPN siti, ale do internetu. Vystum racoonu vypada takto:

2007-09-13 12:16:24: INFO: @(#)ipsec-tools 0.6.6 (http://ipsec-tools.sourceforge.net)
2007-09-13 12:16:24: INFO: @(#)This product linked OpenSSL 0.9.8e 23 Feb 2007 (http://www.openssl.org/)
2007-09-13 12:16:24: DEBUG: call pfkey_send_register for AH
2007-09-13 12:16:24: DEBUG: call pfkey_send_register for ESP
2007-09-13 12:16:24: DEBUG: call pfkey_send_register for IPCOMP
2007-09-13 12:16:24: DEBUG: reading config file /etc/racoon.conf
2007-09-13 12:16:24: DEBUG: compression algorithm can not be checked because sadb message doesn't support it.
2007-09-13 12:16:24: DEBUG: filename: /etc/racoon/belgicka-omnicon-vpn.conf
2007-09-13 12:16:24: DEBUG: reading config file /etc/racoon/belgicka-omnicon-vpn.conf
2007-09-13 12:16:24: INFO: 10.0.0.2[4500] used as isakmp port (fd=5)
2007-09-13 12:16:24: INFO: 10.0.0.2[4500] used for NAT-T
2007-09-13 12:16:24: INFO: 10.0.0.2[500] used as isakmp port (fd=7)
2007-09-13 12:16:24: INFO: 10.0.0.2[500] used for NAT-T
2007-09-13 12:16:24: DEBUG: get pfkey X_SPDDUMP message
2007-09-13 12:16:24: DEBUG: get pfkey X_SPDDUMP message
2007-09-13 12:16:24: DEBUG: sub:0x7fa2da70: 172.16.2.0/24[0] 172.16.0.0/24[0] proto=any dir=out
2007-09-13 12:16:24: DEBUG: db :0x4b1210: 172.16.0.0/24[0] 172.16.2.0/24[0] proto=any dir=in
2007-09-13 12:16:24: DEBUG: get pfkey X_SPDDUMP message
2007-09-13 12:16:24: DEBUG: sub:0x7fa2da70: 172.16.0.0/24[0] 172.16.2.0/24[0] proto=any dir=fwd
2007-09-13 12:16:24: DEBUG: db :0x4b1210: 172.16.0.0/24[0] 172.16.2.0/24[0] proto=any dir=in
2007-09-13 12:16:24: DEBUG: sub:0x7fa2da70: 172.16.0.0/24[0] 172.16.2.0/24[0] proto=any dir=fwd
2007-09-13 12:16:24: DEBUG: db :0x4b1a78: 172.16.2.0/24[0] 172.16.0.0/24[0] proto=any dir=out

Mohl by byt tedy problem v nastaveni smerovani nebo v konfiguraci setkey / racoonu. Za kazdou radu budu velmi rad a predem dekuji!

S pozdravem,

Marek Siller

Nástroje: Začni sledovat (0) ?

Odpovědi

13.9.2007 12:26 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Nefungujici IPSEC

1. U transport modu se adresy gatewayí nezadávají. Pokud ale chcete propojit sítě, potřebujete tunnel mode.

2. Nevidím v té vaší konfiguraci řešení autentizace a nejsem si jistý, jaký je default.

3. Jak vypadá sainfo sekce?

13.9.2007 12:49 chearius | skóre: 7 | blog: /dev/chearius | Heidelberg
Rozbalit Rozbalit vše Re: Nefungujici IPSEC

Dekuju za rychlou reakci!

Pri konfiguraci jsem si to neuvedomil - zkousel jsem nekolik ruznych nastaveni i s propojenim pouze samotnych gatewayi.
Autentizace je momentalne resena pres PSK - v souboru /etc/racoon/psk.txt (nakonfigurovano v racoon.conf) jsou uvedene shodna hesla.

sainfo sekce vypada takto:

sainfo address 172.16.2.0/24 any address 172.16.0.0/24 any
{
        pfs_group 5;
        lifetime time 1 hour;
        encryption_algorithm 3des, blowfish;
        authentication_algorithm hmac_sha1, hmac_md5;
        compression_algorithm deflate;
}

Divne je, ze se ty brany ani nepokusi spolu ten IPsec tunel vytvorit - jak jsem jiz psal, pingy jsou smerovany do internetu.

Diky, MS

13.9.2007 12:35 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Nefungujici IPSEC

Příklad, který by měl být funkční. setkey.conf:

flush;
spdflush;

spdadd MY_IP PEER_IP any -P out ipsec
        esp/transport//require;
spdadd PEER_IP MY_IP any -P in ipsec
        esp/transport//require;

spdadd MY_NET PEER_NET any -P out ipsec
        esp/tunnel/MY_IP-PEER_IP/require;
spdadd PEER_NET MY_NET any -P in ipsec
        esp/tunnel/PEER_IP-MY_IP/require;

racoon.conf:

path certificate "/etc/certs";

remote PEER_IP
{
        exchange_mode main;

        my_identifier asn1dn;
        certificate_type x509 "MY_NAME.cert" "MY_NAME.key";
        peers_certfile x509 "PEER_NAME.cert";

        proposal {
                encryption_algorithm aes;
                hash_algorithm sha1;
                authentication_method rsasig;
                dh_group 2;
        }
}

sainfo anonymous
{
        pfs_group 2;
        encryption_algorithm aes, 3des;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate;
}

Certifikáty vygenerujete např. takto:

#!/bin/bash

host=`hostname -s`
umask 077
mkdir -p /etc/certs
cd /etc/certs || exit 1
rm -f ${host}.*

openssl req -new -nodes -days 365 -newkey rsa:1024 \
  -config /mnt/demo/lnx03/crypto/mkcert.conf \
  -keyform PEM -keyout ${host}.key \
  -outform PEM -out ${host}.req

openssl x509 -req -days 365 -in ${host}.req \
  -signkey ${host}.key -out ${host}.cert

rm -f ${host}.req
chmod 400 ${host}.key ${host}.cert

(pak si vyměníte /etc/certs/*.cert)

13.9.2007 12:57 chearius | skóre: 7 | blog: /dev/chearius | Heidelberg
Rozbalit Rozbalit vše Re: Nefungujici IPSEC

Dekuji! Vyzkousim to s temi certifikaty a dam vedet.

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje