abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Code Wiki
    dnes 12:11 | IT novinky

    Google představil platformu Code Wiki pro rychlejší porozumění existujícímu kódu. Code Wiki pomocí AI Gemini udržuje průběžně aktualizovanou strukturovanou wiki pro softwarové repozitáře. Zatím jenom pro veřejné. V plánu je rozšíření Gemini CLI také pro soukromé a interní repozitáře.

    Ladislav Hagara | Komentářů: 2
    Eskalace práv v přihlašovací obrazovce LightDM KDE (CVE-2025-62876)
    včera 14:22 | Bezpečnostní upozornění

    V přihlašovací obrazovce LightDM KDE (lightdm-kde-greeter) byla nalezena a již opravena eskalace práv (CVE-2025-62876). Detaily v příspěvku na blogu SUSE Security.

    Ladislav Hagara | Komentářů: 5
    Tails 7.2
    včera 13:22 | Nová verze

    Byla vydána nová verze 7.2 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Tor Browser byl povýšen na verzi 15.0.1. Další novinky v příslušném seznamu.

    Ladislav Hagara | Komentářů: 0
    ČNB nakoupila bitcoiny a další digitální aktiva za téměř 21 milion korun
    včera 10:33 | IT novinky

    Česká národní banka (ČNB) nakoupila digitální aktiva založená na blockchainu za milion dolarů (20,9 milionu korun). Na vytvořeném testovacím portfoliu, jehož součástí jsou bitcoin, stablecoiny navázané na dolar a tokenizované depozitum, chce získat praktickou zkušenost s držením digitálních aktiv. Portfolio nebude součástí devizových rezerv, uvedla dnes ČNB v tiskové zprávě.

    Ladislav Hagara | Komentářů: 40
    iPhone Pocket
    včera 03:22 | IT novinky

    Apple představil iPhone Pocket pro stylové přenášení iPhonu. iPhone Pocket vzešel ze spolupráce značky ISSEY MIYAKE a Applu a jeho tělo tvoří jednolitý 3D úplet, který uschová všechny modely iPhonu. iPhone Pocket s krátkým popruhem se prodává za 149,95 dolarů (USA) a s dlouhým popruhem za 229,95 dolarů (USA).

    Ladislav Hagara | Komentářů: 17
    Vivaldi 7.7
    včera 02:33 | Nová verze

    Byla vydána nová stabilní verze 7.7 webového prohlížeče Vivaldi (Wikipedie). Postavena je na Chromiu 142. Přehled novinek i s náhledy v příspěvku na blogu.

    Ladislav Hagara | Komentářů: 0
    Unreal Engine 5.7
    13.11. 22:11 | Nová verze

    Společnost Epic Games vydala verzi 5.7 svého proprietárního multiplatformního herního enginu Unreal Engine (Wikipedie). Podrobný přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 2
    Bezpečnostní chyby v produktech od Intelu – 11/2025. Mikrokód 20251111
    13.11. 16:22 | Bezpečnostní upozornění

    Intel vydal 30 upozornění na bezpečnostní chyby ve svých produktech. Současně vydal verzi 20251111 mikrokódů pro své procesory.

    Ladislav Hagara | Komentářů: 0
    Visual Studio Code a VSCodium 1.106
    13.11. 15:33 | Nová verze

    Byla vydána říjnová aktualizace aneb nová verze 1.106 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a videi v poznámkách k vydání. Ve verzi 1.106 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.

    Ladislav Hagara | Komentářů: 1
    Canonical prodloužil podporu Ubuntu LTS na 15 let
    13.11. 12:11 | Komunita

    Canonical pro své zákazníky, předplatitele Ubuntu Pro, prodloužil podporu Ubuntu LTS z 12 let na 15 let (Legacy add-on). Týká se verzí od 14.04 (Trusty Tahr).

    Ladislav Hagara | Komentářů: 2
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Jaké řešení používáte k vývoji / práci?
     (35%)
     (47%)
     (18%)
     (18%)
     (23%)
     (15%)
     (22%)
     (15%)
     (16%)
    Celkem 353 hlasů
     Komentářů: 16, poslední 12.11. 18:21
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Nefungujici IPSEC
    Štítky: Internet, IPsec, LAN, sítě

    Dotaz: Nefungujici IPSEC

    13.9.2007 12:21 chearius | skóre: 7 | blog: /dev/chearius | Heidelberg
    Nefungujici IPSEC
    Přečteno: 731×
    Dobry den,

    snazim se propojit dve LAN site do VPN pomoci nativni implementace IPSEC v jadrech 2.6 - tedy pomoci setkey a racoon. Avsak nekde v konfiguraci nastala chyba, protoze pri pokusu o ping z jedne site do druhe se racoon ani nepokusi spojit.

    Sit vypada takto: 172.16.2.xx/24 <--> brana 172.16.2.254 s verejnou IP [ip-1] <--> internet <--> brana 172.16.0.1 s verejnou IP [ip-2] <--> sit 172.16.0.xx/24

    Setkey jsem nakonfiguroval na stroji s [ip-1] takto: 
    spdadd 172.16.0.0/24 172.16.2.0/24 any -P in ipsec
       esp/transport/[ip-2]-[ip-1]/require
       ah/transport/[ip-2]-[ip-1]/require;

spdadd 172.16.2.0/24 172.16.0.0/24 any -P out ipsec
       esp/transport/[ip-1]-[ip-2]/require
       ah/transport/[ip-1]-[ip-2]/require;
    Na druhe brane je konfigurace obdobna, ale se zamenenim in za out a naopak.

    A racoon je nakonfigurovan takto: 
    ...

remote 217.11.242.73
{
        exchange_mode main;
        my_identifier address [ip-1];
        peers_identifier address [ip-2];
        generate_policy on;

        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method pre_shared_key;
                dh_group 5;
        }
}

...
    Po spusteni racoon v debug-modu a po pokusu o ping z brany 1 na IP adresu 172.16.0.1 vsak dojde ke smerovani pozadavku nikoliv zasifrovane po VPN siti, ale do internetu. Vystum racoonu vypada takto: 
    2007-09-13 12:16:24: INFO: @(#)ipsec-tools 0.6.6 (http://ipsec-tools.sourceforge.net)
2007-09-13 12:16:24: INFO: @(#)This product linked OpenSSL 0.9.8e 23 Feb 2007 (http://www.openssl.org/)
2007-09-13 12:16:24: DEBUG: call pfkey_send_register for AH
2007-09-13 12:16:24: DEBUG: call pfkey_send_register for ESP
2007-09-13 12:16:24: DEBUG: call pfkey_send_register for IPCOMP
2007-09-13 12:16:24: DEBUG: reading config file /etc/racoon.conf
2007-09-13 12:16:24: DEBUG: compression algorithm can not be checked because sadb message doesn't support it.
2007-09-13 12:16:24: DEBUG: filename: /etc/racoon/belgicka-omnicon-vpn.conf
2007-09-13 12:16:24: DEBUG: reading config file /etc/racoon/belgicka-omnicon-vpn.conf
2007-09-13 12:16:24: INFO: 10.0.0.2[4500] used as isakmp port (fd=5)
2007-09-13 12:16:24: INFO: 10.0.0.2[4500] used for NAT-T
2007-09-13 12:16:24: INFO: 10.0.0.2[500] used as isakmp port (fd=7)
2007-09-13 12:16:24: INFO: 10.0.0.2[500] used for NAT-T
2007-09-13 12:16:24: DEBUG: get pfkey X_SPDDUMP message
2007-09-13 12:16:24: DEBUG: get pfkey X_SPDDUMP message
2007-09-13 12:16:24: DEBUG: sub:0x7fa2da70: 172.16.2.0/24[0] 172.16.0.0/24[0] proto=any dir=out
2007-09-13 12:16:24: DEBUG: db :0x4b1210: 172.16.0.0/24[0] 172.16.2.0/24[0] proto=any dir=in
2007-09-13 12:16:24: DEBUG: get pfkey X_SPDDUMP message
2007-09-13 12:16:24: DEBUG: sub:0x7fa2da70: 172.16.0.0/24[0] 172.16.2.0/24[0] proto=any dir=fwd
2007-09-13 12:16:24: DEBUG: db :0x4b1210: 172.16.0.0/24[0] 172.16.2.0/24[0] proto=any dir=in
2007-09-13 12:16:24: DEBUG: sub:0x7fa2da70: 172.16.0.0/24[0] 172.16.2.0/24[0] proto=any dir=fwd
2007-09-13 12:16:24: DEBUG: db :0x4b1a78: 172.16.2.0/24[0] 172.16.0.0/24[0] proto=any dir=out
    Mohl by byt tedy problem v nastaveni smerovani nebo v konfiguraci setkey / racoonu. Za kazdou radu budu velmi rad a predem dekuji!

    S pozdravem,

    Marek Siller
    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    13.9.2007 12:26 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Nefungujici IPSEC

    1. U transport modu se adresy gatewayí nezadávají. Pokud ale chcete propojit sítě, potřebujete tunnel mode.

    2. Nevidím v té vaší konfiguraci řešení autentizace a nejsem si jistý, jaký je default.

    3. Jak vypadá sainfo sekce?

    13.9.2007 12:49 chearius | skóre: 7 | blog: /dev/chearius | Heidelberg
    Rozbalit Rozbalit vše Re: Nefungujici IPSEC
    Dekuju za rychlou reakci!
    1. Pri konfiguraci jsem si to neuvedomil - zkousel jsem nekolik ruznych nastaveni i s propojenim pouze samotnych gatewayi.
    2. Autentizace je momentalne resena pres PSK - v souboru /etc/racoon/psk.txt (nakonfigurovano v racoon.conf) jsou uvedene shodna hesla.
    3. sainfo sekce vypada takto: 
      sainfo address 172.16.2.0/24 any address 172.16.0.0/24 any
{
        pfs_group 5;
        lifetime time 1 hour;
        encryption_algorithm 3des, blowfish;
        authentication_algorithm hmac_sha1, hmac_md5;
        compression_algorithm deflate;
}
    Divne je, ze se ty brany ani nepokusi spolu ten IPsec tunel vytvorit - jak jsem jiz psal, pingy jsou smerovany do internetu.

    Diky, MS
    13.9.2007 12:35 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Nefungujici IPSEC

    Příklad, který by měl být funkční. setkey.conf:

    flush;
spdflush;

spdadd MY_IP PEER_IP any -P out ipsec
        esp/transport//require;
spdadd PEER_IP MY_IP any -P in ipsec
        esp/transport//require;

spdadd MY_NET PEER_NET any -P out ipsec
        esp/tunnel/MY_IP-PEER_IP/require;
spdadd PEER_NET MY_NET any -P in ipsec
        esp/tunnel/PEER_IP-MY_IP/require;
    racoon.conf: 
    path certificate "/etc/certs";

remote PEER_IP
{
        exchange_mode main;

        my_identifier asn1dn;
        certificate_type x509 "MY_NAME.cert" "MY_NAME.key";
        peers_certfile x509 "PEER_NAME.cert";

        proposal {
                encryption_algorithm aes;
                hash_algorithm sha1;
                authentication_method rsasig;
                dh_group 2;
        }
}

sainfo anonymous
{
        pfs_group 2;
        encryption_algorithm aes, 3des;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate;
}

    Certifikáty vygenerujete např. takto:

    #!/bin/bash

host=`hostname -s`
umask 077
mkdir -p /etc/certs
cd /etc/certs || exit 1
rm -f ${host}.*

openssl req -new -nodes -days 365 -newkey rsa:1024 \
  -config /mnt/demo/lnx03/crypto/mkcert.conf \
  -keyform PEM -keyout ${host}.key \
  -outform PEM -out ${host}.req

openssl x509 -req -days 365 -in ${host}.req \
  -signkey ${host}.key -out ${host}.cert

rm -f ${host}.req
chmod 400 ${host}.key ${host}.cert

    (pak si vyměníte /etc/certs/*.cert)

    13.9.2007 12:57 chearius | skóre: 7 | blog: /dev/chearius | Heidelberg
    Rozbalit Rozbalit vše Re: Nefungujici IPSEC
    Dekuji! Vyzkousim to s temi certifikaty a dam vedet.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.