abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 03:55 | Nová verze

    Immich byl vydán v nové verzi 3.0.0. Jedná se o alternativu k výchozím aplikacím od Googlu a Applu pro správu fotografií a videí umožňující vlastní hosting serveru Immich. K vyzkoušení je demo. Immich je součástí balíčků open source aplikací FUTO. Zdrojové kódy jsou k dispozici na GitHubu pod licencí AGPL-3.0.

    Ladislav Hagara | Komentářů: 0
    dnes 02:55 | IT novinky

    Společnost Juno Computers prodávající počítače s předinstalovaným Linuxem má nově v nabídce linuxový tablet Juno Tab 4 - WiFi. Na výběr je Debian, Ubuntu a Kubuntu. Předobjednat jej lze za 949 liber (26 500 korun).

    Ladislav Hagara | Komentářů: 0
    dnes 01:22 | Nová verze

    Podman (Pod Manager), nástroj umožňující vytvářet a provozovat kontejnery, aniž by uživatel potřeboval práva roota, byl vydán v nové major verzi 6.0.0. Přehled novinek v poznámkách k vydání. Řešena je i vážná bezpečnostní chyba CVE-2026-57231.

    Ladislav Hagara | Komentářů: 0
    dnes 00:11 | IT novinky

    Společnost Sony oznámila, že od ledna 2028 přestane vydávat nové hry pro PlayStation na fyzických discích. Všechny budoucí tituly budou dostupné výhradně v digitální podobě na PlayStation Store.

    Ladislav Hagara | Komentářů: 0
    včera 16:55 | Nová verze

    Google Chrome 150 byl prohlášen za stabilní. Nejnovější stabilní verze 150.0.7871.46 přináší řadu novinek. Podrobný přehled v poznámkách k vydání. Opraveno bylo 433 bezpečnostních chyb. Vylepšeny byly také nástroje pro vývojáře.

    Ladislav Hagara | Komentářů: 0
    včera 13:00 | Nová verze

    Soudní dvůr Evropské unie potvrdil rekordní pokutu 4,125 miliardy eur (100 miliard Kč) americké technologické firmě Google ze skupiny Alphabet. Pokutu firmě v roce 2018 vyměřila Evropská komise (EK) za to, že Google podle ní zneužívá operačního systému Android k potlačení konkurence na trhu vyhledávacích služeb.

    Ladislav Hagara | Komentářů: 17
    včera 12:44 | IT novinky

    Administrativa amerického prezidenta Donalda Trumpa povolila firmě Anthropic obnovit plný přístup klientů k modelům umělé inteligence (AI) Fable 5 a Mythos 5. Ty byly nedostupné bezmála tři týdny kvůli bezpečnostním obavám vlády, třebaže americké ministerstvo obchodu minulý pátek povolilo omezený přístup k modelu Mythos 5 pro některé „důvěryhodné“ domácí organizace.

    Ladislav Hagara | Komentářů: 1
    včera 12:22 | Zajímavý článek

    Francúzska organizácia na ochranu spotrebiteľa, po viac než ôsmych rokoch skúmania, žaluje Epson za plánované zastarávanie tlačiarní. Súd sa začína dnes, 2. 7. 2026, vo francúzskom Nanterre.

    Vlado99 | Komentářů: 5
    včera 03:00 | Zajímavý software

    Erin Catto, autor open source 2D fyzikálního enginu Box2D (Wikipedie), představil nový 3D fyzikální engine Box3D. Engine je již používán ve hře The Legend of California.

    Ladislav Hagara | Komentářů: 0
    včera 01:00 | Nová verze

    Byla vydána nová verze 4.0.0 multiplatformního svobodného frameworku pro zpracování obrazu G'MIC (GREYC's Magic for Image Computing, Wikipedie). Přehled novinek i s náhledy nových filtrů na PIXLS.US.

    Ladislav Hagara | Komentářů: 1
    Které desktopové prostředí na Linuxu používáte?
     (11%)
     (8%)
     (2%)
     (17%)
     (31%)
     (4%)
     (6%)
     (3%)
     (15%)
     (26%)
    Celkem 2039 hlasů
     Komentářů: 30, poslední 3.4. 20:20
    Rozcestník


    Dotaz: Nefungujici IPSEC

    13.9.2007 12:21 chearius | skóre: 7 | blog: /dev/chearius | Heidelberg
    Nefungujici IPSEC
    Přečteno: 756×
    Dobry den,

    snazim se propojit dve LAN site do VPN pomoci nativni implementace IPSEC v jadrech 2.6 - tedy pomoci setkey a racoon. Avsak nekde v konfiguraci nastala chyba, protoze pri pokusu o ping z jedne site do druhe se racoon ani nepokusi spojit.

    Sit vypada takto: 172.16.2.xx/24 <--> brana 172.16.2.254 s verejnou IP [ip-1] <--> internet <--> brana 172.16.0.1 s verejnou IP [ip-2] <--> sit 172.16.0.xx/24

    Setkey jsem nakonfiguroval na stroji s [ip-1] takto:
    spdadd 172.16.0.0/24 172.16.2.0/24 any -P in ipsec
           esp/transport/[ip-2]-[ip-1]/require
           ah/transport/[ip-2]-[ip-1]/require;
    
    spdadd 172.16.2.0/24 172.16.0.0/24 any -P out ipsec
           esp/transport/[ip-1]-[ip-2]/require
           ah/transport/[ip-1]-[ip-2]/require;
    
    Na druhe brane je konfigurace obdobna, ale se zamenenim in za out a naopak.

    A racoon je nakonfigurovan takto:
    ...
    
    remote 217.11.242.73
    {
            exchange_mode main;
            my_identifier address [ip-1];
            peers_identifier address [ip-2];
            generate_policy on;
    
            proposal {
                    encryption_algorithm 3des;
                    hash_algorithm sha1;
                    authentication_method pre_shared_key;
                    dh_group 5;
            }
    }
    
    ...
    
    Po spusteni racoon v debug-modu a po pokusu o ping z brany 1 na IP adresu 172.16.0.1 vsak dojde ke smerovani pozadavku nikoliv zasifrovane po VPN siti, ale do internetu. Vystum racoonu vypada takto:
    2007-09-13 12:16:24: INFO: @(#)ipsec-tools 0.6.6 (http://ipsec-tools.sourceforge.net)
    2007-09-13 12:16:24: INFO: @(#)This product linked OpenSSL 0.9.8e 23 Feb 2007 (http://www.openssl.org/)
    2007-09-13 12:16:24: DEBUG: call pfkey_send_register for AH
    2007-09-13 12:16:24: DEBUG: call pfkey_send_register for ESP
    2007-09-13 12:16:24: DEBUG: call pfkey_send_register for IPCOMP
    2007-09-13 12:16:24: DEBUG: reading config file /etc/racoon.conf
    2007-09-13 12:16:24: DEBUG: compression algorithm can not be checked because sadb message doesn't support it.
    2007-09-13 12:16:24: DEBUG: filename: /etc/racoon/belgicka-omnicon-vpn.conf
    2007-09-13 12:16:24: DEBUG: reading config file /etc/racoon/belgicka-omnicon-vpn.conf
    2007-09-13 12:16:24: INFO: 10.0.0.2[4500] used as isakmp port (fd=5)
    2007-09-13 12:16:24: INFO: 10.0.0.2[4500] used for NAT-T
    2007-09-13 12:16:24: INFO: 10.0.0.2[500] used as isakmp port (fd=7)
    2007-09-13 12:16:24: INFO: 10.0.0.2[500] used for NAT-T
    2007-09-13 12:16:24: DEBUG: get pfkey X_SPDDUMP message
    2007-09-13 12:16:24: DEBUG: get pfkey X_SPDDUMP message
    2007-09-13 12:16:24: DEBUG: sub:0x7fa2da70: 172.16.2.0/24[0] 172.16.0.0/24[0] proto=any dir=out
    2007-09-13 12:16:24: DEBUG: db :0x4b1210: 172.16.0.0/24[0] 172.16.2.0/24[0] proto=any dir=in
    2007-09-13 12:16:24: DEBUG: get pfkey X_SPDDUMP message
    2007-09-13 12:16:24: DEBUG: sub:0x7fa2da70: 172.16.0.0/24[0] 172.16.2.0/24[0] proto=any dir=fwd
    2007-09-13 12:16:24: DEBUG: db :0x4b1210: 172.16.0.0/24[0] 172.16.2.0/24[0] proto=any dir=in
    2007-09-13 12:16:24: DEBUG: sub:0x7fa2da70: 172.16.0.0/24[0] 172.16.2.0/24[0] proto=any dir=fwd
    2007-09-13 12:16:24: DEBUG: db :0x4b1a78: 172.16.2.0/24[0] 172.16.0.0/24[0] proto=any dir=out
    
    Mohl by byt tedy problem v nastaveni smerovani nebo v konfiguraci setkey / racoonu. Za kazdou radu budu velmi rad a predem dekuji!

    S pozdravem,

    Marek Siller

    Odpovědi

    13.9.2007 12:26 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Nefungujici IPSEC

    1. U transport modu se adresy gatewayí nezadávají. Pokud ale chcete propojit sítě, potřebujete tunnel mode.

    2. Nevidím v té vaší konfiguraci řešení autentizace a nejsem si jistý, jaký je default.

    3. Jak vypadá sainfo sekce?

    13.9.2007 12:49 chearius | skóre: 7 | blog: /dev/chearius | Heidelberg
    Rozbalit Rozbalit vše Re: Nefungujici IPSEC
    Dekuju za rychlou reakci!
    1. Pri konfiguraci jsem si to neuvedomil - zkousel jsem nekolik ruznych nastaveni i s propojenim pouze samotnych gatewayi.
    2. Autentizace je momentalne resena pres PSK - v souboru /etc/racoon/psk.txt (nakonfigurovano v racoon.conf) jsou uvedene shodna hesla.
    3. sainfo sekce vypada takto:
      sainfo address 172.16.2.0/24 any address 172.16.0.0/24 any
      {
              pfs_group 5;
              lifetime time 1 hour;
              encryption_algorithm 3des, blowfish;
              authentication_algorithm hmac_sha1, hmac_md5;
              compression_algorithm deflate;
      }
      
    Divne je, ze se ty brany ani nepokusi spolu ten IPsec tunel vytvorit - jak jsem jiz psal, pingy jsou smerovany do internetu.

    Diky, MS
    13.9.2007 12:35 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Nefungujici IPSEC

    Příklad, který by měl být funkční. setkey.conf:

    flush;
    spdflush;
    
    spdadd MY_IP PEER_IP any -P out ipsec
            esp/transport//require;
    spdadd PEER_IP MY_IP any -P in ipsec
            esp/transport//require;
    
    spdadd MY_NET PEER_NET any -P out ipsec
            esp/tunnel/MY_IP-PEER_IP/require;
    spdadd PEER_NET MY_NET any -P in ipsec
            esp/tunnel/PEER_IP-MY_IP/require;
    
    racoon.conf:
    path certificate "/etc/certs";
    
    remote PEER_IP
    {
            exchange_mode main;
    
            my_identifier asn1dn;
            certificate_type x509 "MY_NAME.cert" "MY_NAME.key";
            peers_certfile x509 "PEER_NAME.cert";
    
            proposal {
                    encryption_algorithm aes;
                    hash_algorithm sha1;
                    authentication_method rsasig;
                    dh_group 2;
            }
    }
    
    sainfo anonymous
    {
            pfs_group 2;
            encryption_algorithm aes, 3des;
            authentication_algorithm hmac_sha1;
            compression_algorithm deflate;
    }
    

    Certifikáty vygenerujete např. takto:

    #!/bin/bash
    
    host=`hostname -s`
    umask 077
    mkdir -p /etc/certs
    cd /etc/certs || exit 1
    rm -f ${host}.*
    
    openssl req -new -nodes -days 365 -newkey rsa:1024 \
      -config /mnt/demo/lnx03/crypto/mkcert.conf \
      -keyform PEM -keyout ${host}.key \
      -outform PEM -out ${host}.req
    
    openssl x509 -req -days 365 -in ${host}.req \
      -signkey ${host}.key -out ${host}.cert
    
    rm -f ${host}.req
    chmod 400 ${host}.key ${host}.cert
    

    (pak si vyměníte /etc/certs/*.cert)

    13.9.2007 12:57 chearius | skóre: 7 | blog: /dev/chearius | Heidelberg
    Rozbalit Rozbalit vše Re: Nefungujici IPSEC
    Dekuji! Vyzkousim to s temi certifikaty a dam vedet.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.