abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Ubuntu bude zobrazovat hvězdičky při zadávání hesla sudo
    dnes 01:44 | Bezpečnostní upozornění

    Ubuntu 26.04 patrně bude ve výchozím nastavení zobrazovat hvězdičky při zadávání hesla příkazu sudo, změna vychází z nové verze sudo-rs. Ta sice zlepší použitelnost systému pro nové uživatele, na které mohlo 'tiché sudo' působit dojmem, že systém 'zamrzl' a nijak nereaguje na stisky kláves, na druhou stranu se jedná o možnou bezpečnostní slabinu, neboť zobrazování hvězdiček v terminálu odhaluje délku hesla. Původní chování příkazu sudo

    … více »
    NUKE GAZA! 🎆 | Komentářů: 3
    Systemd umožní ověřování věku uživatelů
    včera 21:33 | Komunita

    Projekt systemd schválil kontroverzní pull request, který do JSON záznamů uživatelů přidává nové pole 'birthDate', datum narození, tedy údaj vyžadovaný zákony o ověřování věku v Kalifornii, Coloradu a Brazílii. Jiný pull request, který tuto změnu napravoval, byl správcem projektu Lennartem Poetteringem zamítnut s následujícím zdůvodněním:

    … více »
    NUKE GAZA! 🎆 | Komentářů: 3
    Raspberry Pi Official Magazine 163
    včera 17:22 | Nová verze

    Nové číslo časopisu Raspberry Pi zdarma ke čtení: Raspberry Pi Official Magazine 163 (pdf).

    Ladislav Hagara | Komentářů: 0
    Algoritmus Slug pro vykreslování fontů je nyní volným dílem
    21.3. 15:22 | IT novinky

    Eric Lengyel dobrovolně uvolnil jako volné dílo svůj patentovaný algoritmus Slug. Algoritmus vykresluje text a vektorovou grafiku na GPU přímo z dat Bézierových křivek, aniž by využíval texturové mapy obsahující jakékoli předem vypočítané nebo uložené obrázky a počítá přesné pokrytí pro ostré a škálovatelné zobrazení písma, referenční ukázka implementace v HLSL shaderech je na GitHubu. Slug je volným dílem od 17. března letošního

    … více »
    NUKE GAZA! 🎆 | Komentářů: 3
    Sashiko, automatizovaný systém pro revizi kódu linuxového jádra
    21.3. 15:11 | Zajímavý projekt

    Sashiko (GitHub) je open source automatizovaný systém pro revizi kódu linuxového jádra. Monitoruje veřejné mailing listy a hodnotí navrhované změny pomocí umělé inteligence. Výpočetní zdroje a LLM tokeny poskytuje Google.

    Ladislav Hagara | Komentářů: 13
    Cambalache 1.0
    21.3. 04:44 | Zajímavý software

    Cambalache, tj. RAD (rapid application development) nástroj pro GTK 4 a GTK 3, dospěl po pěti letech vývoje do verze 1.0. Instalovat jej lze i z Flathubu.

    Ladislav Hagara | Komentářů: 0
    KiCad 10.0.0
    20.3. 14:55 | Nová verze

    KiCad (Wikipedie), sada svobodných softwarových nástrojů pro počítačový návrh elektronických zařízení (EDA), byl vydán v nové major verzi 10.0.0 (𝕏). Přehled novinek v příspěvku na blogu.

    Ladislav Hagara | Komentářů: 0
    Letošní Turingovou cenu (2025 ACM A.M. Turing Award) získali Charles H. Bennett a Gilles Brassard
    20.3. 13:22 | IT novinky

    Letošní Turingovou cenu (2025 ACM A.M. Turing Award, Nobelova cena informatiky) získali Charles H. Bennett a Gilles Brassard za základní přínosy do oboru kvantové informatiky, které převrátily pojetí bezpečné neprolomitelné komunikace a výpočetní techniky. Jejich protokol BB84 z roku 1984 umožnil fyzikálně zaručený bezpečný přenos šifrovacích klíčů, zatímco jejich práce o kvantové teleportaci položila teoretické základy pro budoucí kvantový internet. Jejich práce spojila fyziku s informatikou a ovlivnila celou generaci vědců.

    Ladislav Hagara | Komentářů: 18
    Novinky ve Firefoxu 149
    20.3. 04:44 | Zajímavý článek

    Firefox 149 dostupný od 24. března přinese bezplatnou vestavěnou VPN s 50 GB přenesených dat měsíčně (s CZ a SK se zatím nepočítá) a zobrazení dvou webových stránek vedle sebe v jednom panelu (split view). Firefox Labs 149 umožní přidat poznámky k panelům (tab notes, videoukázka).

    Ladislav Hagara | Komentářů: 2
    Vivaldi 7.9
    20.3. 00:33 | Nová verze

    Byla vydána nová stabilní verze 7.9 webového prohlížeče Vivaldi (Wikipedie). Postavena je na Chromiu 146. Přehled novinek i s náhledy v příspěvku na blogu.

    Ladislav Hagara | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Které desktopové prostředí na Linuxu používáte?
     (15%)
     (7%)
     (1%)
     (12%)
     (29%)
     (2%)
     (5%)
     (1%)
     (13%)
     (24%)
    Celkem 1134 hlasů
     Komentářů: 27, poslední 17.3. 19:26
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Linux jako VPN server pro Mikrotik klienty
    Štítky: ATD, data, Internet, IPsec, klient, Linux, mikrotik, omezení, OpenVPN, podmínka, podpora, server, TLS, UDP, VPN

    Dotaz: Linux jako VPN server pro Mikrotik klienty

    17.10.2020 10:29 Petr
    Linux jako VPN server pro Mikrotik klienty
    Přečteno: 890×
    Dobrý den.
    Prosím, na čem by jste postavili Linuxový VPN server, ke kterému by se připojovali Mikrotik klienti ? Původně jsem si myslel, že bych to postavil nad OpenVPN, ale tady jsem během chvíle narazil a to díky tomu, že v Mikrotiku je podpora pro OpenVPN velmi limitována - neumí UDP, TLS, autentifikace pouze přes jméno/heslo, atd... Detaily o omezení OpenVPN na Mikrotiku zdeTakže tudy asi cesta moc nevede. K tomuto serveru bude trvale připojeno cca 15-20 Mikrotik klientů 24x7x365. V tunelu se budou přenášet data do max. velikosti 1MB za minutu. Taky, pokud VPN tunel spadne, tak by se měl znovu umět sestavit - to ale počítám bude Mikrotik umět sám od sebe. Ještě jedna důležitá věc, všechny Mikrotiky jsou za NATem, tudíž cokoli s IPSEC by mohlo "teoreticky" dělat problémy. Zároveň ale potřebuju aby byla data na cestě šifrována.

    No a teď babo raď :-(

    Měl by někdo nějaký nápad, co by stálo za vyzkoušení ?
    Mikrotik jako klient je podmínka.

    Děkuji,
    Petr
    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    17.10.2020 10:41 Petr
    Rozbalit Rozbalit vše Re: Linux jako VPN server pro Mikrotik klienty
    Ještě doplním, že podpora UDP v OpenVPN na Mikrotiku již nějak začíná fungovat, ale možnosti jsou stále omezené a funkcionalita je možná pouze při přechodu na poslední Beta verzi RouterOS. Totéž platí pro WireGuard :-( ....V produkci ale nechci žádné beta verze používat.

    Petr
    17.10.2020 13:49 kolemjdouci
    Rozbalit Rozbalit vše Re: Linux jako VPN server pro Mikrotik klienty
    Zvazoval jste Wireguard?
    17.10.2020 14:47
    Rozbalit Rozbalit vše Re: Linux jako VPN server pro Mikrotik klienty
    On snad už Mikrotik umí Wireguard?
    17.10.2020 14:58 Petr
    Rozbalit Rozbalit vše Re: Linux jako VPN server pro Mikrotik klienty
    Ano. Nejaka podpora pro WireGuard v posledni “7-mickove” bete RouterOSu je.
    Takze zatim nepouzitelne.
    17.10.2020 14:49
    Rozbalit Rozbalit vše Re: Linux jako VPN server pro Mikrotik klienty
    Vyzkoušel bych strongSwan.
    17.10.2020 14:59 Petr
    Rozbalit Rozbalit vše Re: Linux jako VPN server pro Mikrotik klienty
    Prosim vice detailneji.
    17.10.2020 15:08
    Rozbalit Rozbalit vše Re: Linux jako VPN server pro Mikrotik klienty
    Betaverze nechceš ==> Wireguard a OpenVPN ne

    Zbývá IPsec. No a ten se na linuxu konfiguruje pomocí strongSwan.

    Ještě ti zbývá, dát místo linuxu taky Mikrotik, abys měl na obou stranách zařízení, které umí přesně to stejné, co protistrana.
    Jendа avatar 17.10.2020 21:34 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Linux jako VPN server pro Mikrotik klienty
    Pro uvedené přenosy je OpenVPN, byť v omezené Mikrotik implementaci přes TCP, úplně v pohodě. Problémy se začnou objevovat při 1 MB za sekundu. Počet klientů je taky v pohodě, a pokud by bylo potřeba přidat tolik, že by to openvpn server přestal zvládat (tam očekávám, že na problém narazíš tak při 100-200 klientech), tak spustíš druhý openvpn server na jiném portu a část klientů nastavíš na něj.
    TLS, autentifikace pouze přes jméno/heslo
    To je nějaký omyl, na RouterOS jsem normálně importoval certifikát CA, certifikát klienta a privátní klíč a funguje to. TLS, samozřejmě. Dokonce je použitá kryptografie překvapivě moderní a v pohodě. A to všechno je tam už minimálně dva roky.
    Taky, pokud VPN tunel spadne, tak by se měl znovu umět sestavit - to ale počítám bude Mikrotik umět sám od sebe.
    Ano, to OpenVPN v RouterOS normálně dělá. Pokud to bude často, budeš chtít změnit keepalive a podobné parametry, ale default je rozumný.

    //a nejlepší řešení s jakýmkoli Mikrotikem samozřejmě je flashnout tam OpenWRT ;-)
    19.10.2020 02:09 ET
    Rozbalit Rozbalit vše Re: Linux jako VPN server pro Mikrotik klienty
    Ola,

    mas nekde nasazeny OWRT na MKT?

    V lete jsem kupoval do jedne firmy MKT (moje prvni zkusenost) kvuli (SSTP) VPN a celkem fail - neumi locknout account pri vice neuspesnych pokusech (takze brute-force ready), v DNS nesel nastavit domain suffix, grrr...

    PS: dobrej waaat aneb anonym excel rulezzz, wtf... mas na to nejakyho bota/harvestera, nebo fakt procitas seznam.cz? :)

    Jendа avatar 19.10.2020 02:41 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Linux jako VPN server pro Mikrotik klienty
    mas nekde nasazeny OWRT na MKT?
    Mám, a to docela dost, asi 15 RBmAPL-2nD, 15 RB750Gr3 a pár nějakých hAP. Běží na tom meteostanice (bitbangované SWD přes GPIO) a radiolokátory (skládání obrazu z UDP paketů a nějaké základní odšumování), oboje napsané v Pythonu (na ten imageprocessing vlastní modul přes CFFI). Zatím umřel jeden ten RB750Gr3, nedávno jsme ho vyměnili a měl bych analyzovat co se mu stalo. Jakože každou hodinu jsem tam měnil 100B soubor, ale to by snad jako mělo vydržet.
    PS: dobrej waaat aneb anonym excel rulezzz, wtf... mas na to nejakyho bota/harvestera, nebo fakt procitas seznam.cz? :)
    Tohle bylo na #brmlab a na #mindspace, seznamzprávy nečtu. Ale občas koukám na homepage novinek a idnes.
    19.10.2020 21:27 ET
    Rozbalit Rozbalit vše Re: Linux jako VPN server pro Mikrotik klienty
    dix za info, priste zkusim OWRT ;)
    Jendа avatar 19.10.2020 02:49 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Linux jako VPN server pro Mikrotik klienty
    Jinak předtím měli na radarech místo Mikrotiků Raspberry a to teda byla odysea mrtvých SD karet a nevysvětlitelných problémů. Ale měli je read-write (byť na to moc nezapisovali, ale žurnál se předpokládám updatuje stejně), tak si za to možná můžou sami. Ale zase mít to kompletně read-only je opruz, protože třeba i konfiguraci si musíš tahat po každém bootu, .bash_history bych rád aby mi fungovalo a tak. Ty Mikrotiky nasazujeme něco přes rok (no prostě co to adminuju já), tak doufám, že to nezačne třeba po dvou letech nějak masivně umírat… Jinak teda ještě je blbý že to nemá FPU, ale jako upočítá se to (napsal jsem si vlastní logaritmus, ale pak jsem zjistil, že problém ve výkonu je jinde -- no vida, další problém, jak to je osekaný systém, tak tam není třeba perf), a nemá to obecně výkon třeba na realtime kompresi kamer a taky mi vadí osekané věci a bugy v busyboxu.
    19.10.2020 09:29 jiwopene | skóre: 31 | blog: Od každého trochu…
    Rozbalit Rozbalit vše Re: Linux jako VPN server pro Mikrotik klienty
    Pokud Raspberry s readonly kartou, vytvořil bych na ní 1 oddíl vfat, na kterém je zavaděč, jádro, initrd a systém ve SquashFS. Patche můžete řešit přimountováním dalšího SquashFS „přes“ stávající systém – viz Slax 8 a starší. Na kartě je pak jen adresář s očíslovanými obrazy. Další možností je mít na kartě tar/cpio/… archivy, které se z initrd načtou do tmpfs a drží se po celou dobu v RAM. Pokud máte i spolehlivý záložní zdroj, nemusíte mít kartu při používání ani vloženou, protože je vše v paměti a karta je potřeba jen při spuštění a údržbě.

    Nastavení initrd je na Raspberry trochu divné (fungovalo mi jen jendou), připadá mi jednodušší ho mít přibalené rovnou do jádra (menuconfig a dál se proklikáte). Pokud chcete i aktualizaci jádra, vytvořil bych si jádro s initrd, které stáhne ze serveru nastavení (bash skript podepsaný GPG), který kexecem spustí systém nebo vykoná jiné úkony.
    .sig virus 3.2_cz: Prosím, okopírujte tento text do vaší patičky.
    Jendа avatar 19.10.2020 20:13 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Linux jako VPN server pro Mikrotik klienty
    Pokud Raspberry s readonly kartou, vytvořil bych na ní 1 oddíl vfat, na kterém je zavaděč, jádro, initrd a systém ve SquashFS. Patche můžete řešit přimountováním dalšího SquashFS „přes“ stávající systém – viz Slax 8 a starší. Na kartě je pak jen adresář s očíslovanými obrazy.
    To by byl ještě větší opruz, nekonečně rostoucí řada patchů. Jako přemýšlel jsem o tom, že tam udělám tohle a ten squashfs bude ve skutečnosti brutálně redundantní (buď víc kopií, nebo Reed-Solomonovy kódy třeba pomocí programu par2) a při bootu se celý nahraje do paměti už opravený, ale nakonec jsem skončil u tohoto. Výhoda je, že změny provedené v RAM lze pak aplikovat. 
    libattr1-dev
https://github.com/kmxz/overlayfs-tools
main.c: +//#include <linux/stat.h>

cd /root/overlayfs-tools
rm /mnt/root-rw/upper/var/lib/haproxy/dev/log
rm overlay-tools-*.sh
mount -o remount,rw /mnt/root-ro
echo y | ./overlay diff -l /mnt/root-ro -u /mnt/root-rw/upper
echo y | ./overlay merge -l /mnt/root-ro -u /mnt/root-rw/upper
bash overlay-tools-*.sh

možná opravit /mnt/root-ro/etc/fstab
    Jendа avatar 19.10.2020 02:59 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Linux jako VPN server pro Mikrotik klienty
    Jinak ještě stojí za to kouknout na APU2, což je x86-64 s normálním mSATA SSD. Ty máme zatím dvě a normálně to funguje a samozřejmě systém pohodlnější (normální Debian). Ale zrovna jsou na místech kde je to v budce, kdyby to bylo v rozvaděči venku, tak už to třeba taky umře, kdo ví. Teď koukám, že něco z toho má minimální provozní teplotu 0°C a to možná v zimě bude v rozvaděči míň i když to běží, hmm…
    Max avatar 18.10.2020 00:00 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Linux jako VPN server pro Mikrotik klienty
    Buď si vystač s OpenVPN, nebo použij ipsec/ikev2. Jiná možnost není.
    Zdar Max
    Měl jsem sen ... :(
    18.10.2020 09:01 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: Linux jako VPN server pro Mikrotik klienty
    Já používám normálně Ipsec na propojení dvou mikrotiku přes internet a tam odkud se navazuje spojení nemá ten mikrotik veřejnou IPv4 (DSL modem od O2 v bridge).

    22.10.2020 09:04 Petr
    Rozbalit Rozbalit vše Re: Linux jako VPN server pro Mikrotik klienty
    Tak jsem to nakonec vyřešil přes OpenVPN over TCP.
    Konfigurák serveru viz. níže...

    Připomínky vítány, rady jak a kde co zlepšit/upravit taktéž ;-) 
    port 1194
proto tcp

dev tap

ca ca.crt
cert webcams.my-domain.com.crt
key webcams.my-domain.com.key
dh dh.pem

server 10.8.1.0 255.255.255.0

client-config-dir /etc/openvpn/ccd
ifconfig-pool-persist ipp.txt

push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 10.8.1.1"
push "dhcp-option DNS 10.10.10.1"

keepalive 10 120
auth-nocache
cipher AES-256-CBC

user nobody
group nogroup

persist-key
persist-tun

status /var/log/openvpn/openvpn-status.log
log         /var/log/openvpn/openvpn.log
log-append  /var/log/openvpn/openvpn.log

verb 3
    Děkuji všem, kteří přispěli.
    Dlouho jsem si s tím hrál a přemýšlel nad tím - OpenVPN s Mikrotik klienty je asi nejlepší a nejjednodušší řešit touto cestou.

    Petr
    22.10.2020 10:46 Petr
    Rozbalit Rozbalit vše Re: Linux jako VPN server pro Mikrotik klienty
    Ještě jsem se dnes divil, že nevidím klienty mezi sebou...
    Opraveno přidáním direktivy "client-to-client" do konfiguračního souboru serveru.

    Petr

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.