abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Proton Sheets v Proton Drive
    dnes 15:11 | IT novinky

    Společnost Proton AG stojící za Proton Mailem a dalšími službami přidala do svého portfolia online tabulky Proton Sheets v Proton Drive.

    Ladislav Hagara | Komentářů: 0
    EmacsConf 2025
    včera 15:55 | Komunita

    O víkendu (15:00 až 23:00) probíha EmacsConf 2025, tj. online konference vývojářů a uživatelů editoru GNU Emacs. Sledovat ji lze na stránkách konference. Záznamy budou k dispozici přímo z programu.

    Ladislav Hagara | Komentářů: 0
    Wikipedia jedná s technologickými giganty o zpoplatnění dat pro AI
    včera 15:44 | Komunita

    Provozovatel internetové encyklopedie Wikipedia jedná s velkými technologickými firmami o uzavření dohod podobných té, kterou má s Googlem. Snaží se tak zpeněžit rostoucí závislost firem zabývajících se umělou inteligencí (AI) na svém obsahu. Firmy využívají volně dostupná data z Wikipedie k trénování jazykových modelů, což zvyšuje náklady, které musí nezisková organizace provozující Wikipedii sama nést. Automatické programy

    … více »
    Ladislav Hagara | Komentářů: 19
    Unijní pokuta pro síť X je útok na americký lid, řekl ministr zahraničí
    včera 15:22 | IT novinky

    Evropská komise obvinila síť 𝕏 z porušení unijních pravidel, konkrétně nařízení Evropské unie o digitálních službách (DSA). Vyměřila jí za to pokutu 120 milionů eur (2,9 miliardy Kč). Pokuta je podle názoru amerického ministra zahraničí útokem zahraničních vlád na americký lid. K pokutě se vyjádřil i americký viceprezident: „EU by měla podporovat svobodu projevu, a ne útočit na americké společnosti kvůli nesmyslům“.

    Ladislav Hagara | Komentářů: 14
    Jolla Phone
    5.12. 17:11 | IT novinky

    Společnost Jolla spustila kampaň na podporu svého nového telefonu Jolla Phone se Sailfish OS. Dodání je plánováno na první polovinu příštího roku. Pokud bude alespoň 2 000 zájemců. Záloha na telefon je 99 €. Cena telefonu v rámci kampaně je 499 €.

    Ladislav Hagara | Komentářů: 30
    Netflix kupuje Warner Bros. včetně HBO Max a HBO
    5.12. 15:11 | IT novinky

    Netflix kupuje Warner Bros. včetně jejích filmových a televizních studií HBO Max a HBO. Za 72 miliard dolarů (asi 1,5 bilionu korun).

    Ladislav Hagara | Komentářů: 2
    AWS re:Invent 2025
    5.12. 14:11 | IT novinky

    V Las Vegas dnes končí pětidenní konference AWS re:Invent 2025. Společnost Amazon Web Services (AWS) na ní představila celou řadu novinek. Vypíchnout lze 192jádrový CPU Graviton5 nebo AI chip Trainium3.

    Ladislav Hagara | Komentářů: 0
    Proxmox Datacenter Manager 1.0
    5.12. 00:33 | Nová verze

    Firma Proxmox vydala novou serverovou distribuci Datacenter Manager ve verzi 1.0 (poznámky k vydání). Podobně jako Virtual Environment, Mail Gateway či Backup Server je založená na Debianu, k němuž přidává integraci ZFS, webové administrační rozhraní a další. Datacenter Manager je určený ke správě instalací právě ostatních distribucí Proxmox.

    |🇵🇸 | Komentářů: 12
    Apache HTTP Server (httpd) 2.4.66 řeší 5 bezpečnostních chyb
    4.12. 23:44 | Nová verze

    Byla vydána nová verze 2.4.66 svobodného multiplatformního webového serveru Apache (httpd). Řešeno je mimo jiné 5 bezpečnostních chyb.

    Ladislav Hagara | Komentářů: 0
    JavaScript slaví 30 let
    4.12. 14:00 | IT novinky

    Programovací jazyk JavaScript (Wikipedie) dnes slaví 30 let od svého oficiálního představení 4. prosince 1995.

    Ladislav Hagara | Komentářů: 1
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Jaké řešení používáte k vývoji / práci?
     (34%)
     (48%)
     (19%)
     (17%)
     (22%)
     (15%)
     (24%)
     (16%)
     (18%)
    Celkem 438 hlasů
     Komentářů: 18, poslední 2.12. 18:34
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Nová Gateway
    Štítky: ATD, CentOS, Debian, distribuce, Internet, IPsec, ISP, klient, OpenSSL, OpenVPN, pfSense, routing, server, Super, VPN, win

    Dotaz: Nová Gateway

    24.3.2020 10:57 zipi | skóre: 21
    Nová Gateway
    Přečteno: 744×
    Zdravím, jelikož je tu super COVID-19, je nejlepší doba i na odstávky :) Uvažuji o novější GW jelikož fakt je už zastaralá po těch x letech .. Dlouhou dobu jsem využíval CentOS, který je sice stabilní a taková konzerva, ale není ideální, pokud človek potřebuje i novější balíčky jako je OpenSSL různé moduly do WebServeru atd .. Přemýšlím jakou cestou se vydat.. Co bude dělat GW | ROUTING, DHCPD, ProxyPass, VPN-server, IPsec

    Jsou asi dvě možnosti pouze:

    • Vybrat jiný OS než CentOS třeba Debian..?
    • Jít cestou pfsense
    • nějaký jiný nápad .?

    Ještě řeším jaký VPN server použít

    • L2TP je zastaralá služba a je občas blokován ISP
    • OpenVPN není špatná, ale musí se instalovat klient
    • SSTP Server řešil někdo takovou VPN, ideální a nemusí se nic instalovat do Win pro uživatele
    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    Max avatar 24.3.2020 12:10 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Nová Gateway
    Pokud potřebuješ něco novějšího, tak Debian je rozumná volba.
    Pokud tvé potřeby pokryje pfsense/opensense, tak to pro tebe bude asi jednodušší na správu a údržbu. To si ale musíš říci sám.
    Každopádně s pfsense/opensense musíš mít veřejnou IP, nesmíš být za natem (BSD to u L2TP a checksummů nedává, to jen Linux). Pokud před tím serverem tedy máš ještě nějaký malý router, který ti to natuje a forwarduje porty, tak bych tam BSD like nedával (ale to jen kvůli L2TP, jinak to bude ok).

    Pokud jde o VPN řešení, osobně používám Debian+Strongswan+IKEv2 a spokojenost. Používám to produkčně v komerčním prostředí, kde mám BYOD klienty (nyní připojeno 136 klientů z celkových cca 550). Nemám ani problém s kolizními segmenty, umí si to pořešit (dle výpisu připojení je nyní 7 klientů připojeno z kolizní sítě 192.168.1.0/24 a vše ok - ke klientům routuju také 192.168.1.0/24).
    Pokud chceš IPSEC, tak na L2TP kašli a nasaď rovnou IKEv2. Pokud je to na tebe příliš těžká věc, tak jedině to OpenVPN.
    IKEv2 narozdíl od OpenVPN funguje všude (Android, iPhone, MAC OS, Windows , Windows Mobile, Windows ARM, Linux). Také není problém s always on.

    Ohledně IKEv2 nasazení ti teď neporadím, protože server je už lehce obsolete a teprve mám v plánu obměnu do aktuálního stavu, kde je dosti změn (různé druhy virtuálních iface pro ipsec apod.).
    Když to ale tak čtu, už bych to měl udělat a sesmolit step2step howto a nesyslit si to řešení jen pro sebe. Ten čas, čas...
    Zdar Max
    Měl jsem sen ... :(
    24.3.2020 13:16 zipi | skóre: 21
    Rozbalit Rozbalit vše Re: Nová Gateway
    Právě jsem udělal install "pfsense/opensense" a vubec se mi to nelibí ani z pohledu konfigurace prostě mi tam chybí ten terminal - takže cesta je už prostě jasná :) Nyní jen vybrat správné distro a rozchodit vše potřebné co bych tam chtěl mít .. Stou IKev2 jsem docela válčil v minulosti proto jsem zůstal i u L2TP, ale fakt to už nejde a je načase se posunout dál a udělat pár vylepení .. OpenVPN popravdě moc nemusím, to raději zatnu všechny zuby a pustím se do IKEv2 - byl by jsi ochoten nasdíte nějaké konfigy, když vše uchodím podělím se též .. Ten Debian bude zatím asi oříšek, ale to půjde zkouším jak centos 8 tak debian 10 ..
    29.3.2020 16:44 zipi | skóre: 21
    Rozbalit Rozbalit vše Re: Nová Gateway
    Maxi jak jste vyřešil ověřování o proti AD (samba4) nebo LDAPU ..? Radius mi ověří uživatele přes mschap, pokud použiju stejnou funkcí pro VPNku, tak se mi uživatel neověří .. Mám nakonfirován modul EAP-RADIUS pakety jsou odeslány do RADIUSU, ale tím to končí .. Mohu požádat o radu, už si moc nevím rady. 
    (0) ntlm_auth: Executing: /opt/samba4/bin/ntlm_auth --allow-mschapv2 --request-nt-key --username=%{mschap:User-Name} --domain=domain.corp --challenge=%{%{mschap:Challenge}:-00} --nt-response=%{%{mschap:NT-Response}:-00}:
(0) ntlm_auth: EXPAND --username=%{mschap:User-Name}
(0) ntlm_auth:    --> --username=administrator
(0) ntlm_auth: ERROR: No MS-CHAP-Challenge in the request
(0) ntlm_auth: EXPAND --challenge=%{%{mschap:Challenge}:-00}
(0) ntlm_auth:    --> --challenge=00
(0) ntlm_auth: ERROR: No MS-CHAP-Response or MS-CHAP2-Response was found in the request
(0) ntlm_auth: EXPAND --nt-response=%{%{mschap:NT-Response}:-00}
(0) ntlm_auth:    --> --nt-response=00
hex decode of 00 failed! (only got 1 bytes)
(0) ntlm_auth: ERROR: Program returned code (1) and output ''
    Max avatar 29.3.2020 19:58 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Nová Gateway
    Neověřuji proti AD. Mám řešené ověřování v rámci Strongswan db, což je dáno historicky. Chtěl bych to předělat na ověřování proti externímu Radius serveru (Freeradius) a nejlépe s šifrovaným heslem.

    Jinak tu db mám tedy řešenou takto : 
    # /etc/ipsec.conf

config setup
        strictcrlpolicy=no
        cachecrls=yes
        charondebug="ike 1, knl -1, cfg 1"
        nat_traversal=yes
        force_keepalive=yes
        keep_alive=60
        ...

conn %default
        ikelifetime=8h
        keylife=1h
        rekeymargin=3m
        keyingtries=3
        dpddelay=30
        dpdtimeout=120
        dpdaction=clear
        ike=aes256gcm16-aes256gcm12-aes128gcm16-aes128gcm12-aesxcbc-sha256-sha1-modp4096-modp2048-modp1024,aes256-aes128-sha256-sha1-modp4096-modp2048-modp1024!
        esp=aes128-sha1,aes128gcm12-aes128gcm16-aes256gcm12-aes256gcm16-modp4096-modp2048-modp1024,aes128-aes256-sha1-sha256-modp4096-modp2048-modp1024!
...
conn byod-ikev2
        keyexchange=ikev2
        mobike=yes
        ...
        right=%any
        rightid=%any
        rightauth=eap-mschapv2
        rightsendcert=never
        rightdns=192.168.1.1,192.168.1.2
        rightsourceip=192.168.155.0/24
        eap_identity=%any
        auto=add
    Uživatelé jsou pak takto (nutno dodržovat přesnou syntaxi včetně mezer apod.): 
    # /etc/ipsec.secrets

"uzivatel1@email.tld" : EAP "sileneheslo1"
"uzivatel2@email.tld" : EAP "sileneheslo2"
"uzivatel3@email.tld" : EAP "sileneheslo3"
"uzivatel3@email.tld2" : EAP "sileneheslo3"
...
    V dokumentaci je, že pokud bych chtěl použít externí radius server, tak musím změnit rightauth na "rightauth=eap-radius" a vyplnit spojení na raidus server.

    Být tebou, tak bych si přes "NTRadPing" (funguje parádně ve wine) ověřil, co ti tam chodí. Ale co vím, tak samba neumí radius, na to potřebuješ propojení s Freeradius serverm. Klasický MSAD má v sobě službu, která funguje jako radius server, ale Samba4 k tomu používá Freeradius, ne? A nejlépe podporavné (na straně různých klientů) ověřování je proti Radiusu (EAP), nic jiného na tom ipsecu asi nemá cenu rozjíždět. Nebo se pletu?
    Zdar Max
    Měl jsem sen ... :(
    30.3.2020 10:52 zipi | skóre: 21
    Rozbalit Rozbalit vše Re: Nová Gateway
    Konfiguraci IKEv2 mám za sebou a funguje velmi dobře - jen nyní potřebuji dotáhnout do finále FreeRadius jinak mi to běhat nebude ... Na straně Strongswan to mám již vyřešené, ale FreeRadius má problém mě ověřit přes ten EAP zato mschap funguje dobře :) .. Celý problém bude v konfiguraci EAP on se odkazuje na mschap a ten není schopen rozpoznat algoritmus a díky tomu se mi to neověří . .
    30.3.2020 12:53 zipi | skóre: 21
    Rozbalit Rozbalit vše Re: Nová Gateway
    Tak vyřešeno ..
    30.3.2020 14:28 bigBRAMBOR | skóre: 36
    Rozbalit Rozbalit vše Re: Nová Gateway
    radsi to sem nedavej, kdyby to chtel nekdo pouzit
    30.3.2020 23:41 zipi | skóre: 21
    Rozbalit Rozbalit vše Re: Nová Gateway
    Jelikož se nejedna o jeden konfig, ale o více změn - stačí se optat ..
    30.3.2020 01:24 xxl | skóre: 26
    Rozbalit Rozbalit vše Re: Nová Gateway
    dle výpisu připojení je nyní 7 klientů připojeno z kolizní sítě
    To tedy neumím. Jaký je na to příkaz? ipsec status ani statusall mi to nevypíše. Vidím jenom veřejnou IP, za kterou je klient schovaný.
    Max avatar 30.3.2020 01:50 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Nová Gateway
    Mně to statusall vypíše, né u všech, ale někde ano, viz : 
    root@vpn:~# ipsec statusall |grep ESTABLISHED
  byod-ikev2[1328640]: ESTABLISHED 14 minutes ago, 172.xx.0.20[vpn-ph.corp.devaine.cz]...89.xxx.200.205[192.168.0.32]
  byod-ikev2[1328637]: ESTABLISHED 15 minutes ago, 172.xx.0.20[vpn-ph.corp.devaine.cz]...84.xxx.52.210[192.168.2.109]
  byod-ikev2[1328636]: ESTABLISHED 15 minutes ago, 172.xx.0.20[vpn-ph.corp.devaine.cz]...31.18.xxx.25[192.168.178.39]
  byod-ikev2[1328635]: ESTABLISHED 15 minutes ago, 172.xx.0.20[vpn-ph.corp.devaine.cz]...78.80.xxx.109[192.168.1.5]
  byod-ikev2[1328632]: ESTABLISHED 16 minutes ago, 172.xx.0.20[vpn-ph.corp.devaine.cz]...xxx.41.1.247[xxx.79.xxx.55]
  byod-ikev2[1328631]: ESTABLISHED 17 minutes ago, 172.xx.0.20[vpn-ph.corp.devaine.cz]...xxx.80.230.181[10.0.0.5]
  byod-ikev2[1328629]: ESTABLISHED 17 minutes ago, 172.xx.0.20[vpn-ph.corp.devaine.cz]...xxx.41.67.148[xxx.86.xxx.68]
  byod-ikev2[1328626]: ESTABLISHED 17 minutes ago, 172.xx.0.20[vpn-ph.corp.devaine.cz]...xxx.41.0.39[xxx.100.xxx.103]
  byod-ikev2[1328625]: ESTABLISHED 17 minutes ago, 172.xx.0.20[vpn-ph.corp.devaine.cz]...xxx.40.xxx.158[xxx.111.122.62]
  byod-ikev2[1328678]: ESTABLISHED  6 minutes ago, 172.xx.0.20[vpn-ph.corp.devaine.cz]...78.xx.30.xxx[uzivatel@devaine.cz]
  byod-ikev2[1328624]: ESTABLISHED 19 minutes ago, 172.xx.0.20[vpn-ph.corp.devaine.cz]...xxx.195.172.8[192.168.0.158]
  byod-ikev2[1328623]: ESTABLISHED 19 minutes ago, 172.xx.0.20[vpn-ph.corp.devaine.cz]...85.xxx.xxx.49[192.168.1.82]
    Takže vidím, že třeba uživatel s veřejnou IP "85.xxx.xxx.49" má lokální IP "192.168.1.82".
    Zdar Max
    Měl jsem sen ... :(
    30.3.2020 02:08 xxl | skóre: 26
    Rozbalit Rozbalit vše Re: Nová Gateway
    Mám takový nejasný pocit, že jsem to tam dříve viděl. Ale teď ne. Debian Stretch a Buster. Před hranatou závorkou je IP adresa, v hranaté závorce jsou údaje z certifikátu.

    Tak změna... Ono je to tak, že já tam lokální ip adresu také vidím - ale jenom u spojení, která jsou eap-tls. U pubkey nevidím nic. Zajímavé.
    30.3.2020 07:43 xxl | skóre: 26
    Rozbalit Rozbalit vše Re: Nová Gateway
    Je to ještě nějak jinak. Nejspíš na to má vliv klient, který si tam píše, co chce. A Windowsy nejspíš chtějí lokální ip adresu. A i u linuxu to nedělají obě strany stejně. Na jedné straně mám DNS name (= X509v3 Subject Alternative Name) a na druhé mám countryName, ...., commonName. A pak se v tom vyznejte, pane doktore...
    Pavel 'TIGER' Růžička avatar 24.3.2020 18:35 Pavel 'TIGER' Růžička | skóre: 54
    Rozbalit Rozbalit vše Re: Nová Gateway
    Mne tu tedy běží ve virtuálu IPFire a jsem plně spokojen. Ale co se týče terminálové záležitosti, tak VyOS byl zajímavým projektem, bohužel se z něj stal komerční produkt.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.