Apple dnes představil 14palcový MacBook Pro, iPad Pro a Apple Vision Pro s novým čipem M5.
Debian pro mobilní zařízení Mobian (Wikipedie) byl vydán ve verzi 13 Trixie. Nová stabilní verze je k dispozici pro PINE64 PinePhone, PinePhone Pro a PineTab, Purism Librem 5, Google Pixel 3a a 3a XL, OnePlus 6 a 6T a Xiaomi Pocophone F1.
Operátor O2 představil tarif Datamanie 1200 GB . Nový tarif přináší 1200 GB dat s neomezenou 5G rychlostí, a také možnost neomezeného volání do všech sítí za 15 Kč na den. Při roční variantě předplatného zákazníci získají po provedení jednorázové platby celou porci dat najednou a mohou je bezstarostně čerpat kdykoli během roku. Do 13. listopadu jej O2 nabízí za zvýhodněných 2 988 Kč. Při průměrné spotřebě tak 100 GB dat vychází na 249 Kč měsíčně.
Byly publikovány informace o útoku na zařízení s Androidem pojmenovaném Pixnapping Attack (CVE-2025-48561). Aplikace může číst citlivá data zobrazovaná jinou aplikací. V demonstračním videu aplikace čte 2FA kódy z Google Authenticatoru.
Free Software Foundation (FSF) spustila projekt Librephone, jehož cílem je vytvoření svobodného operačního systému pro mobilní telefony. Bez binárních blobů.
Byla vydána verze 7 s kódovým název Gigi linuxové distribuce LMDE (Linux Mint Debian Edition). Podrobnosti v poznámkách k vydání. Linux Mint vychází z Ubuntu. LMDE je postaveno na Debianu.
Byl vydán Mozilla Firefox 144.0. Přehled novinek v poznámkách k vydání a poznámkách k vydání pro vývojáře. Vypíchnout lze lepší správu profilů. Řešeny jsou rovněž bezpečnostní chyby. Nový Firefox 144 bude brzy k dispozici také na Flathubu a Snapcraftu.
Discord potvrdil únik osobních údajů přibližně 70 000 uživatelů. Incident se týká uživatelů po celém světě, především těch, kteří v rámci ověřování svého věku nahráli do aplikace doklad totožnosti. Únik informací se netýkal systémů samotné platformy, ale došlo k němu přes kompromitovaný účet pracovníka zákaznické podpory u externího poskytovatele služeb.
Americká společnost OpenAI, která provozuje chatbota ChatGPT, kvůli výrobě vlastních procesorů pro umělou inteligenci (AI) spojí síly s firmou Broadcom. Firmy o tom informovaly (en) ve svém včerejším sdělení. OpenAI se snaží zajistit si výpočetní výkon potřebný k uspokojení rostoucí poptávky po svých službách. Akcie Broadcomu po zprávě výrazně zpevnily.
O víkendu 18. a 19. října lze na brněnském výstavišti navštívit s jednou vstupenkou dvě akce: Maker Faire Brno, "festival tvořivosti, vynálezů a bastlířské radosti", a GameDev Connect, "akci určenou pro všechny současné a hlavně budoucí herní vývojáře, kteří touží proniknout do jednoho z nejúžasnějších průmyslů na světě".
iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE iptables --append FORWARD --in-interface eth1 -j ACCEPT iptables -t nat -A POSTROUTING -o eth0 -m multiport -p udp --dports 500,4500 --to-destionation 77.75.76.3 iptables -t nat -A POSTROUTING -o eth0 -p gre -j MASQUERADEZkoušel jsem i pfSense a IPcop... výsledek stejný. Připojím se, dál nic neprojde. Pokud se s VPN klientem připojím přímo k WAN, je vše OK. Je mi divné, že ani pfSense (nb. postavený na FreeBSD) a spol. není s to fungovat, když je právě k takovýmto účelům stvořen a krabička-router za 800, či ICS ve Windows to zvládá bez problému. Na internetu se válí různé diskuze o tomto problému, ale nepodařilo se mi najít funkční řešení. Takže mi spíše jde o to, jestli jste to už někdo neřešil. Předem díky.
Když tvrdí, že má ciscoVPN, tak potřebuje esp, port 4500 pro traversal a 500 pro ipsec. To vlastně vidí v tom logu z wiresharku
V isakmp fázi IPsecu se používá buď AH nebo ESP, v tom sniffu, kde to maká, by mělo být vidět, jaké protokoly jedou. A mam pocit, že CiscoVPN je ořezanej v tom smyslu, že tam moc volit nejde
Jak koukam na specifikaci CiscoVPN, AH nepodporuje ... a nějaké parametry v konfiguráku v linuxu nevidim
P.S. co fragmentace a MTU, nemáte v tom háček? Kolik vám proleze linkou jednim paketem?
Viz onen odkaz na IPsec v linuxu ...
První fáze obvykle podporuje dva různé módy: hlavní (main) a agresivní (aggressive) mód. Oba módy sice ověřují identitu protějších stran komunikace a vytvářejí ISAKMP SA, ale agresivní mód užívá pouze polovinu zpráv, aby dosáhnul tohoto cíle. To má ale svoji stinnou stránku, protože argesivní mód nepodporuje zabezpečení procesu ověření identity a je proto náchylný na útok typu "muž uprostřed" (man-in-the-middle attack), pokud je užívaný ve spojení se sdílenými klíči. Na druhou stranu je to jediný účel agresivního módu. Z důvodu vnitřního fungování hlavního módu, tento mód nepodporuje použití různých sdílených klíčů pro neznámé protější strany komunikace. Agresivní mód nepodporuje zabezpečení procesu ověření identity a přenáší identitu klienta otevřeným způsobem. Protější strany komunikace se proto musejí před procesem ověřování identity znát, aby se mohly použít různé sdílené klíče pro různé účastníky komunikace.
Takže mi přijde jasné, že se v tom sniffu, kde nejede VPNclient, dostane wireshark dostane na vnitřek paketu, aby vypsal, co tam vidí = rozpoznal to, protože to není kryptováno. Na rozdíl od úspěšného navázání VPNclienta, kde jsou data kryptována a tudíž nelze vypsat, nevidí wireshark, jaké pakety vidí.
Hm, pro mne podstatné bylo to, že i zde v té citaci je vidět, že Aggressive mode se sestavuje v kratším počtu paketů. V tom sniffu při průchodu natem je vidět oněch paketů o dost víc. Dneska si zřejmě to nasimulovat nestihnu, abych dal do placu řešení.
Za prvné si ujasni jaký transport vlastně používáš, resp. chceš používat:
Případně pokoušíš-li se o GRE, které myslím ale se Cisco klientem nerozchodíš
Nastavení transportu je ve Windows klientu v založce transport, v Linuxu i Windows v profilu jako EnableNat a TunnelingMode.
Pokud si můžeš vybrat (podporuje-li to VPN server) zkus TCP, jako jediné je bezproblémové, pokud máš dva klienty.
echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 10.a.b.cNo a na druhem pc jsme jen nastavil branu 192.168.1.1 a ner jel a i pripojeni na vpn. Takze zkus to takto, proste se vykasli na porty atd. Jde ejn o test. Proste nech vse povoleny.
echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 10.0.2.15 iptables -t nat -A PREROUTING -d 10.0.2.15 -j DNAT --to 192.168.68.2
Hm, mam dojem, že pointou je to, že odchozí se nejdřív natuje a pak kryptuje a příchozí obráceně - a když to prohodíte, sice máte ipsec, ale data nee ... v tom že bude pointa.
IPsec - swan česky jako zdroj. Sám jsem nezkoušel.
Tiskni
Sdílej: