Přihlášení | Registrace

napište » Zprávičky

Raspberry Pi Official Magazine 155 a Hello World 27

včera 18:44 | Zajímavý článek

Nová čísla časopisů od nakladatelství Raspberry Pi zdarma ke čtení: Raspberry Pi Official Magazine 155 (pdf) a Hello World 27 (pdf).

Ladislav Hagara | Komentářů: 0

Hyprland 0.50.0

včera 16:11 | Nová verze

Hyprland, tj. kompozitor pro Wayland zaměřený na dláždění okny a zároveň grafické efekty, byl vydán ve verzi 0.50.0. Podrobný přehled novinek na GitHubu.

Ladislav Hagara | Komentářů: 0

Slackware Linux slaví 32 let

včera 15:55 | Komunita

Patrick Volkerding oznámil před dvaatřiceti lety vydání Slackware Linuxu 1.00. Slackware Linux byl tenkrát k dispozici na 3,5 palcových disketách. Základní systém byl na 13 disketách. Kdo chtěl grafiku, potřeboval dalších 11 disket. Slackware Linux 1.00 byl postaven na Linuxu .99pl11 Alpha, libc 4.4.1, g++ 2.4.5 a XFree86 1.3.

Ladislav Hagara | Komentářů: 3

MMR nabízí odměny za odhalení bezpečnostních děr ve svých IT systémech

16.7. 21:22 | IT novinky

Ministerstvo pro místní rozvoj (MMR) jako první orgán státní správy v Česku spustilo takzvaný „bug bounty“ program pro odhalování bezpečnostních rizik a zranitelných míst ve svých informačních systémech. Za nalezení kritické zranitelnosti nabízí veřejnosti odměnu 1000 eur, v případě vysoké závažnosti je to 500 eur. Program se inspiruje přístupy běžnými v komerčním sektoru nebo ve veřejné sféře v zahraničí.

Ladislav Hagara | Komentářů: 14

Česko představilo nový jednotný vizuální styl státu

16.7. 16:22 | IT novinky

Vláda dne 16. července 2025 schválila návrh nového jednotného vizuálního stylu státní správy. Vytvořilo jej na základě veřejné soutěže studio Najbrt. Náklady na přípravu návrhu a metodiky činily tři miliony korun. Modernizovaný dvouocasý lev vychází z malého státního znaku. Vizuální styl doprovází originální písmo Czechia Sans.

Ladislav Hagara | Komentářů: 24

Vyhledávač DuckDuckGo má dnes výpadky

16.7. 15:33 | Upozornění

Vyhledávač DuckDuckGo je podle webu DownDetector od 2:15 SELČ nedostupný. Opět fungovat začal na několik minut zhruba v 15:15. Další služby nesouvisející přímo s vyhledáváním, jako mapy a AI asistent jsou dostupné. Pro některé dotazy během výpadku stále funguje zobrazování například textu z Wikipedie.

bindiff | Komentářů: 8

Více než 600 Laravel aplikací je zranitelných vůči vzdálenému spuštění kódu

16.7. 13:33 | Bezpečnostní upozornění

Více než 600 aplikací postavených na PHP frameworku Laravel je zranitelných vůči vzdálenému spuštění libovolného kódu. Útočníci mohou zneužít veřejně uniklé konfigurační klíče APP_KEY (např. z GitHubu). Z více než 260 000 APP_KEY získaných z GitHubu bylo ověřeno, že přes 600 aplikací je zranitelných. Zhruba 63 % úniků pochází z .env souborů, které často obsahují i další citlivé údaje (např. přístupové údaje k databázím nebo cloudovým službám).

Ladislav Hagara | Komentářů: 5

Helix 25.07

16.7. 00:11 | Nová verze

Open source modální textový editor Helix, inspirovaný editory Vim, Neovim či Kakoune, byl vydán ve verzi 25.07. Přehled novinek se záznamy terminálových sezení v asciinema v oznámení na webu. Detailně v CHANGELOGu na GitHubu.

Ladislav Hagara | Komentářů: 0

Nvidia po souhlasu od Trumpovy vlády obnoví prodej čipů pro AI do Číny

15.7. 20:44 | IT novinky

Americký výrobce čipů Nvidia získal od vlády prezidenta Donalda Trumpa souhlas s prodejem svých pokročilých počítačových čipů používaných k vývoji umělé inteligence (AI) H20 do Číny. Prodej těchto čipů speciálně upravených pro čínský trh by tak mohl být brzy obnoven, uvedla firma na svém blogu. Americká vláda zakázala prodej v dubnu, v době eskalace obchodního sporu mezi oběma zeměmi. Tehdy to zdůvodnila obavami, že by čipy mohla využívat čínská armáda.

Ladislav Hagara | Komentářů: 11

Blender 4.5 LTS

15.7. 17:22 | Nová verze

3D software Blender byl vydán ve verzi 4.5 s prodlouženou podporou. Podrobnosti v poznámkách k vydání. Videopředstavení na YouTube.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Jaký je váš oblíbený skriptovací jazyk?

bash (59%)

python (27%)

perl (7%)

powershell (3%)

batch (0%)

vbscript (1%)

jiný, uvedu v diskusi (4%)

Celkem 409 hlasů

Komentářů: 16, poslední 8.6. 21:05

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / openvpn s redirect gw a nedostupnost po subnetu

Štítky: distribuce, Internet, konfigurace, OpenVPN, sudo, traffic, Ubuntu, VPN, window

Dotaz: openvpn s redirect gw a nedostupnost po subnetu

23.5.2019 23:28 MilanC | skóre: 16
openvpn s redirect gw a nedostupnost po subnetu

Přečteno: 422×

Odpovědět | Admin

Ahoj, už nějak moc nevím, tak se dovolím zeptat zde.

Snažím se nakonfigurovat openvpn tak, aby veškerý traffic z klientů byl po navázání tunelu přesměrován do něj. Je to na RPI s raspbianem proti ubuntu serveru. Toto mi nyní funguje, nicméně je zde taková nepříjemná věc... jakmile se tunel naváže přestává být klient/RPI dostupný po lokálním subnetu a nechápu proč. :( Příliš se v těch přidaných routách nevyznám, abych pravdu řekl. FW na RPI jsem zrušil. Jinak pokud jde o ten redirect vše funguje, na serveru je maškaráda a traffic správně jede přes tunel.

Zajímavé je to, že když nechám pinkat v rámci subnetu (z 10.XXX.100.129 -> 10.XXX.100.130), tak na RPI mi přichází icmp request přes eth0. Ale echo reply nikde, ani přes eth0, ani přes iface tunelu. (?)

Konfigurace serveru + klienta: https://justpaste.it/6of7w

Routovací tabulka s navázanou vpn

Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         172.20.1.1      128.0.0.0       UG        0 0          0 tap-star01
0.0.0.0         10.XXX.100.129    0.0.0.0         UG        0 0          0 eth0
10.9.100.128    0.0.0.0         255.255.255.252 U         0 0          0 eth0
92.XXX.224.211   10.XXX.100.129    255.255.255.255 UGH       0 0          0 eth0
128.0.0.0       172.20.1.1      128.0.0.0       UG        0 0          0 tap-star01
169.XXX.0.0     0.0.0.0         255.255.0.0     U         0 0          0 tap-star01
172.20.1.0      0.0.0.0         255.255.255.0   U         0 0          0 tap-star01

V této chvíli se z RPI pinknu na gw konektivity, tedy na 10.XXX.10.129 (opačně ale nelze).

Když jsem odmazal ručně první routu (0.0.0.0 172.20.1.1 128.0.0.0) stále z protistrany nepinkám. Až když jsem odmazal druhou (128.0.0.0 172.20.1.1 128.0.0.0), z protistrany jsem na RPI začal pinkat.

Používám unprivileged režim, takže na straně klienta mam konfigurované sudo na ip přes wrapper (podle návodu), toto je myslím ok.

Budu rád za jakoukoliv radu, nakopnutí, vysvětlení... Ta lokální nedostupnost je docela kritická.

Milan

Nástroje: Začni sledovat (1) ?

Odpovědi

24.5.2019 08:35 NN
Rozbalit Rozbalit vše Re: openvpn s redirect gw a nedostupnost po subnetu

Pravidla v routovaci tabulce se vzdy uplatnuji od konkretniho k vice obecnemu. V tomto pripade spada ICMP dotaz pod:

10.XXX.100.128    0.0.0.0    0 0      255.255.255.252 U 0 0  eth0

a odstraneni dvou nesouvisejicich pravidel by nemelo mit zadny vliv. Problem bych hledal jinde.

24.5.2019 10:06 MilanC | skóre: 16
Rozbalit Rozbalit vše Re: openvpn s redirect gw a nedostupnost po subnetu

Ahoj, já už to snad trochu pochopil. Dělá to tro def1, které ubere bit z masky v 0.0.0.0/0, čímž vznikne konkrétnější pravidlo 128... A používá se vždy konkrétnější pravidlo z tabulky. Ta finta s 0.0.0.0/1 je tam kuli tomu, aby se v tabulce nepřišlo o default route přepsáním. Můžu se zeptat, k čemu je pak ale ta routa na prvním řádku?

Ještě malý dodatek. Mam úplně stejnou konfiguraci klienta u sebe na stole (druhé RPI), proti stejnému serveru. Zde se mi to neprojevuje, tj. i přes navázanou VPN a redirect trafficu do tunelu je RPI v rámci subnetu dostupné na ICMP, SSH... (zde je to pouze přes switch).

To místo kde mám problém jde přes více síťových prvků, nevím přesně přes kolik, ale jde to vlanou a na nějakém switchi je to pak odtagované a jde do RPI. Jen jestli to nemůže nějak souviset s prostředím, raději jsem doplnil.

24.5.2019 10:19 MilanC | skóre: 16
Rozbalit Rozbalit vše Re: openvpn s redirect gw a nedostupnost po subnetu

Díky. Vliv to právě mělo, a to mě zaráží, protože je to stejný subnet (lokální doručení paketu), defautl gw by zde neměla hrát žádnou roli. Když RPI rebootnu a pinkám na něj ze subnetu, tak projde cca 15 paketů s odpovědí a pak už nic.Evidentně to koresponduje s nastartováním openvpn. Nějaký nápad? :(

24.5.2019 10:25 MilanC | skóre: 16
Rozbalit Rozbalit vše Re: openvpn s redirect gw a nedostupnost po subnetu

A nyní jsem si všiml jedné věci. Když je vpn navázaná a pinkám ze subnetu na RPI, tedy neodpovídá. Tak každou sekundu mi do syslogu naskočí následující... Nevím jestli to něčemu napoví. Trochu mě to štve, pač mi to plní syslog. :)

May 24 10:23:30 gw-b827ebc247ae kernel: [  560.779816] IPv4: martian source 10.XXX.100.130 from 178.255.XXX.4, on dev eth0
May 24 10:23:30 gw-b827ebc247ae kernel: [  560.779837] ll header: 00000000: b8 27 eb c2 47 ae 00 25 90 51 75 38 08 00 45 00  .'..G..%.Qu8..E.
May 24 10:23:30 gw-b827ebc247ae kernel: [  560.779847] ll header: 00000010: 00 54 ff ec 40 00 40 01 71 2d                    .T..@.@.q-

24.5.2019 11:25 NN
Rozbalit Rozbalit vše Re: openvpn s redirect gw a nedostupnost po subnetu

Mimojine:

92.XXX.224.211   10.XXX.100.129    255.255.255.255 UGH       0 0          0 eth0

Toto neni dobre, takto se neroutuje. Hodila by se konfigurace rozhrani a vypis firewallu.

25.5.2019 17:49 MilanC | skóre: 16
Rozbalit Rozbalit vše Re: openvpn s redirect gw a nedostupnost po subnetu

Ahoj, tak problém zjištěn mimo vpn, tj. na NATu, ze kterým je RPI umístěno. Opravdu je tam překlad nějak chybně zkonfigurován, takež pokud komunikuji přímo v rámci subnetu, přichází mi na RPI pakety s odlišnou source IP a jsou nejspíš zahozeny. Jelikož jinde problém nemám, tak předpokládám že to bude v pohodě, až to kolegové síťaři upraví/opraví. Díky.

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje