Přihlášení | Registrace

napište » Zprávičky

Julia 1.12.0

dnes 01:22 | Nová verze

Byla vydána nová verze 1.12.0 dynamického programovacího jazyka Julia (Wikipedie) určeného zejména pro vědecké výpočty. Přehled novinek v příspěvku na blogu a v poznámkách k vydání. Aktualizována byla také dokumentace.

Ladislav Hagara | Komentářů: 0

Kritická zranitelnost CVE-2025-49844 v Redisu

včera 15:11 | Bezpečnostní upozornění

V Redisu byla nalezena a v upstreamu již opravena kritická zranitelnost CVE-2025-49844 s CVSS 10.0 (RCE, vzdálené spouštění kódu).

Ladislav Hagara | Komentářů: 4

Ministr Jurečka přijal rezignaci ředitele DIA Martina Mesršmída

včera 14:00 | IT novinky

Ministr a vicepremiér pro digitalizaci Marian Jurečka dnes oznámil, že přijme rezignaci ředitele Digitální a informační agentury Martina Mesršmída, a to k 23. říjnu 2025. Mesršmíd nabídl svou funkci během minulého víkendu, kdy se DIA potýkala s problémy eDokladů, které některým občanům znepříjemnily využití možnosti prokázat se digitální občankou u volebních komisí při volbách do Poslanecké sněmovny.

Ladislav Hagara | Komentářů: 15

OpenZL, open source framework pro kompresi dat s ohledem na jejich formát

včera 12:33 | Zajímavý software

Společnost Meta představila OpenZL. Jedná se o open source framework pro kompresi dat s ohledem na jejich formát. Zdrojové kódy jsou k dispozici na GitHubu.

Ladislav Hagara | Komentářů: 0

Google zpřístupňuje českým uživatelům Režim AI (AI Mode)

včera 03:33 | IT novinky

Google postupně zpřístupňuje českým uživatelům Režim AI (AI Mode), tj. nový režim vyhledávání založený na umělé inteligenci. Režim AI nabízí pokročilé uvažování, multimodalitu a možnost prozkoumat jakékoliv téma do hloubky pomocí dodatečných dotazů a užitečných odkazů na weby.

Ladislav Hagara | Komentářů: 0

Python 3.14.0

7.10. 18:11 | Nová verze

Programovací jazyk Python byl vydán v nové major verzi 3.14.0. Podrobný přehled novinek v aktualizované dokumentaci.

Ladislav Hagara | Komentářů: 2

Qualcomm kupuje Arduino. Nová deska Arduino UNO Q

7.10. 16:33 | IT novinky

Bylo oznámeno, že Qualcomm kupuje Arduino. Současně byla představena nová deska Arduino UNO Q se dvěma čipy: MPU Qualcomm Dragonwing QRB2210, na kterém může běžet Linux, a MCU STM32U585 a vývojové prostředí Arduino App Lab.

Ladislav Hagara | Komentářů: 4

Luanti 5.14.0

7.10. 15:55 | Nová verze

Multiplatformní open source voxelový herní engine Luanti byl vydán ve verzi 5.14.0. Podrobný přehled novinek v changelogu. Původně se jedná o Minecraftem inspirovaný Minetest v říjnu loňského roku přejmenovaný na Luanti.

Ladislav Hagara | Komentářů: 0

Qt 6.10

7.10. 13:22 | Nová verze

Byla vydána nová stabilní verze 6.10 (YouTube) multiplatformního frameworku a GUI toolkitu Qt. Podrobný přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0

Ubuntu 26.04 LTS bude Resolute Raccoon

6.10. 23:55 | Komunita

Ubuntu 26.04 LTS bude (𝕏) Resolute Raccoon (rezolutní mýval).

Ladislav Hagara | Komentářů: 5

Centrum | Napsat | Starší

navrhněte » Anketa

Jaké řešení používáte k vývoji / práci?

Github (38%)

Gitlab (46%)

Atlassian (15%)

Bitbucket (17%)

Gitea (21%)

Mercurial (15%)

jen git (17%)

jen svn (15%)

Jiné (uvedu v diskusi) (15%)

Celkem 199 hlasů

Komentářů: 13, poslední včera 07:41

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Nová Gateway

Štítky: ATD, CentOS, Debian, distribuce, Internet, IPsec, ISP, klient, OpenSSL, OpenVPN, pfSense, routing, server, Super, VPN, win

Dotaz: Nová Gateway

24.3.2020 10:57 zipi | skóre: 21
Nová Gateway

Přečteno: 716×

Odpovědět | Admin

Zdravím, jelikož je tu super COVID-19, je nejlepší doba i na odstávky :) Uvažuji o novější GW jelikož fakt je už zastaralá po těch x letech .. Dlouhou dobu jsem využíval CentOS, který je sice stabilní a taková konzerva, ale není ideální, pokud človek potřebuje i novější balíčky jako je OpenSSL různé moduly do WebServeru atd .. Přemýšlím jakou cestou se vydat.. Co bude dělat GW | ROUTING, DHCPD, ProxyPass, VPN-server, IPsec

Jsou asi dvě možnosti pouze:

Vybrat jiný OS než CentOS třeba Debian..?
Jít cestou pfsense
nějaký jiný nápad .?

Ještě řeším jaký VPN server použít

L2TP je zastaralá služba a je občas blokován ISP
OpenVPN není špatná, ale musí se instalovat klient
SSTP Server řešil někdo takovou VPN, ideální a nemusí se nic instalovat do Win pro uživatele

Nástroje: Začni sledovat (0) ?

Odpovědi

24.3.2020 12:10 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Nová Gateway

Pokud potřebuješ něco novějšího, tak Debian je rozumná volba.
Pokud tvé potřeby pokryje pfsense/opensense, tak to pro tebe bude asi jednodušší na správu a údržbu. To si ale musíš říci sám.
Každopádně s pfsense/opensense musíš mít veřejnou IP, nesmíš být za natem (BSD to u L2TP a checksummů nedává, to jen Linux). Pokud před tím serverem tedy máš ještě nějaký malý router, který ti to natuje a forwarduje porty, tak bych tam BSD like nedával (ale to jen kvůli L2TP, jinak to bude ok).

Pokud jde o VPN řešení, osobně používám Debian+Strongswan+IKEv2 a spokojenost. Používám to produkčně v komerčním prostředí, kde mám BYOD klienty (nyní připojeno 136 klientů z celkových cca 550). Nemám ani problém s kolizními segmenty, umí si to pořešit (dle výpisu připojení je nyní 7 klientů připojeno z kolizní sítě 192.168.1.0/24 a vše ok - ke klientům routuju také 192.168.1.0/24).
Pokud chceš IPSEC, tak na L2TP kašli a nasaď rovnou IKEv2. Pokud je to na tebe příliš těžká věc, tak jedině to OpenVPN.
IKEv2 narozdíl od OpenVPN funguje všude (Android, iPhone, MAC OS, Windows , Windows Mobile, Windows ARM, Linux). Také není problém s always on.

Ohledně IKEv2 nasazení ti teď neporadím, protože server je už lehce obsolete a teprve mám v plánu obměnu do aktuálního stavu, kde je dosti změn (různé druhy virtuálních iface pro ipsec apod.).
Když to ale tak čtu, už bych to měl udělat a sesmolit step2step howto a nesyslit si to řešení jen pro sebe. Ten čas, čas...
Zdar Max

Měl jsem sen ... :(

24.3.2020 13:16 zipi | skóre: 21
Rozbalit Rozbalit vše Re: Nová Gateway

Právě jsem udělal install "pfsense/opensense" a vubec se mi to nelibí ani z pohledu konfigurace prostě mi tam chybí ten terminal - takže cesta je už prostě jasná :) Nyní jen vybrat správné distro a rozchodit vše potřebné co bych tam chtěl mít .. Stou IKev2 jsem docela válčil v minulosti proto jsem zůstal i u L2TP, ale fakt to už nejde a je načase se posunout dál a udělat pár vylepení .. OpenVPN popravdě moc nemusím, to raději zatnu všechny zuby a pustím se do IKEv2 - byl by jsi ochoten nasdíte nějaké konfigy, když vše uchodím podělím se též .. Ten Debian bude zatím asi oříšek, ale to půjde zkouším jak centos 8 tak debian 10 ..

29.3.2020 16:44 zipi | skóre: 21
Rozbalit Rozbalit vše Re: Nová Gateway

Maxi jak jste vyřešil ověřování o proti AD (samba4) nebo LDAPU ..? Radius mi ověří uživatele přes mschap, pokud použiju stejnou funkcí pro VPNku, tak se mi uživatel neověří .. Mám nakonfirován modul EAP-RADIUS pakety jsou odeslány do RADIUSU, ale tím to končí .. Mohu požádat o radu, už si moc nevím rady.

(0) ntlm_auth: Executing: /opt/samba4/bin/ntlm_auth --allow-mschapv2 --request-nt-key --username=%{mschap:User-Name} --domain=domain.corp --challenge=%{%{mschap:Challenge}:-00} --nt-response=%{%{mschap:NT-Response}:-00}:
(0) ntlm_auth: EXPAND --username=%{mschap:User-Name}
(0) ntlm_auth:    --> --username=administrator
(0) ntlm_auth: ERROR: No MS-CHAP-Challenge in the request
(0) ntlm_auth: EXPAND --challenge=%{%{mschap:Challenge}:-00}
(0) ntlm_auth:    --> --challenge=00
(0) ntlm_auth: ERROR: No MS-CHAP-Response or MS-CHAP2-Response was found in the request
(0) ntlm_auth: EXPAND --nt-response=%{%{mschap:NT-Response}:-00}
(0) ntlm_auth:    --> --nt-response=00
hex decode of 00 failed! (only got 1 bytes)
(0) ntlm_auth: ERROR: Program returned code (1) and output ''

29.3.2020 19:58 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Nová Gateway

Neověřuji proti AD. Mám řešené ověřování v rámci Strongswan db, což je dáno historicky. Chtěl bych to předělat na ověřování proti externímu Radius serveru (Freeradius) a nejlépe s šifrovaným heslem.

Jinak tu db mám tedy řešenou takto :

# /etc/ipsec.conf

config setup
        strictcrlpolicy=no
        cachecrls=yes
        charondebug="ike 1, knl -1, cfg 1"
        nat_traversal=yes
        force_keepalive=yes
        keep_alive=60
        ...

conn %default
        ikelifetime=8h
        keylife=1h
        rekeymargin=3m
        keyingtries=3
        dpddelay=30
        dpdtimeout=120
        dpdaction=clear
        ike=aes256gcm16-aes256gcm12-aes128gcm16-aes128gcm12-aesxcbc-sha256-sha1-modp4096-modp2048-modp1024,aes256-aes128-sha256-sha1-modp4096-modp2048-modp1024!
        esp=aes128-sha1,aes128gcm12-aes128gcm16-aes256gcm12-aes256gcm16-modp4096-modp2048-modp1024,aes128-aes256-sha1-sha256-modp4096-modp2048-modp1024!
...
conn byod-ikev2
        keyexchange=ikev2
        mobike=yes
        ...
        right=%any
        rightid=%any
        rightauth=eap-mschapv2
        rightsendcert=never
        rightdns=192.168.1.1,192.168.1.2
        rightsourceip=192.168.155.0/24
        eap_identity=%any
        auto=add

Uživatelé jsou pak takto (nutno dodržovat přesnou syntaxi včetně mezer apod.):

# /etc/ipsec.secrets

"uzivatel1@email.tld" : EAP "sileneheslo1"
"uzivatel2@email.tld" : EAP "sileneheslo2"
"uzivatel3@email.tld" : EAP "sileneheslo3"
"uzivatel3@email.tld2" : EAP "sileneheslo3"
...

V dokumentaci je, že pokud bych chtěl použít externí radius server, tak musím změnit rightauth na "rightauth=eap-radius" a vyplnit spojení na raidus server.

Být tebou, tak bych si přes "NTRadPing" (funguje parádně ve wine) ověřil, co ti tam chodí. Ale co vím, tak samba neumí radius, na to potřebuješ propojení s Freeradius serverm. Klasický MSAD má v sobě službu, která funguje jako radius server, ale Samba4 k tomu používá Freeradius, ne? A nejlépe podporavné (na straně různých klientů) ověřování je proti Radiusu (EAP), nic jiného na tom ipsecu asi nemá cenu rozjíždět. Nebo se pletu?
Zdar Max

Měl jsem sen ... :(

30.3.2020 10:52 zipi | skóre: 21
Rozbalit Rozbalit vše Re: Nová Gateway

Konfiguraci IKEv2 mám za sebou a funguje velmi dobře - jen nyní potřebuji dotáhnout do finále FreeRadius jinak mi to běhat nebude ... Na straně Strongswan to mám již vyřešené, ale FreeRadius má problém mě ověřit přes ten EAP zato mschap funguje dobře :) .. Celý problém bude v konfiguraci EAP on se odkazuje na mschap a ten není schopen rozpoznat algoritmus a díky tomu se mi to neověří . .

30.3.2020 12:53 zipi | skóre: 21
Rozbalit Rozbalit vše Re: Nová Gateway

Tak vyřešeno ..

30.3.2020 14:28 bigBRAMBOR | skóre: 36
Rozbalit Rozbalit vše Re: Nová Gateway

radsi to sem nedavej, kdyby to chtel nekdo pouzit

30.3.2020 23:41 zipi | skóre: 21
Rozbalit Rozbalit vše Re: Nová Gateway

Jelikož se nejedna o jeden konfig, ale o více změn - stačí se optat ..

30.3.2020 01:24 xxl | skóre: 26
Rozbalit Rozbalit vše Re: Nová Gateway

dle výpisu připojení je nyní 7 klientů připojeno z kolizní sítě

To tedy neumím. Jaký je na to příkaz? ipsec status ani statusall mi to nevypíše. Vidím jenom veřejnou IP, za kterou je klient schovaný.

30.3.2020 01:50 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Nová Gateway

Mně to statusall vypíše, né u všech, ale někde ano, viz :

root@vpn:~# ipsec statusall |grep ESTABLISHED
  byod-ikev2[1328640]: ESTABLISHED 14 minutes ago, 172.xx.0.20[vpn-ph.corp.devaine.cz]...89.xxx.200.205[192.168.0.32]
  byod-ikev2[1328637]: ESTABLISHED 15 minutes ago, 172.xx.0.20[vpn-ph.corp.devaine.cz]...84.xxx.52.210[192.168.2.109]
  byod-ikev2[1328636]: ESTABLISHED 15 minutes ago, 172.xx.0.20[vpn-ph.corp.devaine.cz]...31.18.xxx.25[192.168.178.39]
  byod-ikev2[1328635]: ESTABLISHED 15 minutes ago, 172.xx.0.20[vpn-ph.corp.devaine.cz]...78.80.xxx.109[192.168.1.5]
  byod-ikev2[1328632]: ESTABLISHED 16 minutes ago, 172.xx.0.20[vpn-ph.corp.devaine.cz]...xxx.41.1.247[xxx.79.xxx.55]
  byod-ikev2[1328631]: ESTABLISHED 17 minutes ago, 172.xx.0.20[vpn-ph.corp.devaine.cz]...xxx.80.230.181[10.0.0.5]
  byod-ikev2[1328629]: ESTABLISHED 17 minutes ago, 172.xx.0.20[vpn-ph.corp.devaine.cz]...xxx.41.67.148[xxx.86.xxx.68]
  byod-ikev2[1328626]: ESTABLISHED 17 minutes ago, 172.xx.0.20[vpn-ph.corp.devaine.cz]...xxx.41.0.39[xxx.100.xxx.103]
  byod-ikev2[1328625]: ESTABLISHED 17 minutes ago, 172.xx.0.20[vpn-ph.corp.devaine.cz]...xxx.40.xxx.158[xxx.111.122.62]
  byod-ikev2[1328678]: ESTABLISHED  6 minutes ago, 172.xx.0.20[vpn-ph.corp.devaine.cz]...78.xx.30.xxx[uzivatel@devaine.cz]
  byod-ikev2[1328624]: ESTABLISHED 19 minutes ago, 172.xx.0.20[vpn-ph.corp.devaine.cz]...xxx.195.172.8[192.168.0.158]
  byod-ikev2[1328623]: ESTABLISHED 19 minutes ago, 172.xx.0.20[vpn-ph.corp.devaine.cz]...85.xxx.xxx.49[192.168.1.82]

Takže vidím, že třeba uživatel s veřejnou IP "85.xxx.xxx.49" má lokální IP "192.168.1.82".
Zdar Max

Měl jsem sen ... :(

30.3.2020 02:08 xxl | skóre: 26
Rozbalit Rozbalit vše Re: Nová Gateway

Mám takový nejasný pocit, že jsem to tam dříve viděl. Ale teď ne. Debian Stretch a Buster. Před hranatou závorkou je IP adresa, v hranaté závorce jsou údaje z certifikátu.

Tak změna... Ono je to tak, že já tam lokální ip adresu také vidím - ale jenom u spojení, která jsou eap-tls. U pubkey nevidím nic. Zajímavé.

30.3.2020 07:43 xxl | skóre: 26
Rozbalit Rozbalit vše Re: Nová Gateway

Je to ještě nějak jinak. Nejspíš na to má vliv klient, který si tam píše, co chce. A Windowsy nejspíš chtějí lokální ip adresu. A i u linuxu to nedělají obě strany stejně. Na jedné straně mám DNS name (= X509v3 Subject Alternative Name) a na druhé mám countryName, ...., commonName. A pak se v tom vyznejte, pane doktore...

24.3.2020 18:35 Pavel 'TIGER' Růžička | skóre: 54
Rozbalit Rozbalit vše Re: Nová Gateway

Mne tu tedy běží ve virtuálu IPFire a jsem plně spokojen. Ale co se týče terminálové záležitosti, tak VyOS byl zajímavým projektem, bohužel se z něj stal komerční produkt.

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje