abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 02:22 | Komunita

    Přesně před 34 lety, 25. srpna 1991, oznámil Linus Benedict Torvalds v diskusní skupině comp.os.minix, že vyvíjí (svobodný) operační systém (jako koníček, nebude tak velký a profesionální jako GNU) pro klony 386 (486), že začal v dubnu a během několika měsíců by mohl mít něco použitelného.

    Ladislav Hagara | Komentářů: 1
    dnes 01:55 | Nová verze

    86Box, tj. emulátor retro počítačů založených na x86, byl vydán ve verzi 5.0. S integrovaným správcem VM. Na GitHubu jsou vedle zdrojových kódů ke stažení také připravené balíčky ve formátu AppImage.

    Ladislav Hagara | Komentářů: 0
    23.8. 17:44 | IT novinky

    Vláda Spojených států získala desetiprocentní podíl v americkém výrobci čipů Intel. Oznámili to podle agentur americký prezident Donald Trump a ministr obchodu Howard Lutnick. Společnost Intel uvedla, že výměnou za desetiprocentní podíl obdrží státní dotace v hodnotě 8,9 miliardy dolarů (zhruba 186 miliard Kč). Částka podle Intelu zahrnuje dříve přislíbené subvence 5,7 miliardy dolarů z programu CHIPS na podporu výroby čipů v USA,

    … více »
    Ladislav Hagara | Komentářů: 10
    23.8. 17:33 | Nová verze

    Organizace Apache Software Foundation (ASF) vydala verzi 27 integrovaného vývojového prostředí a vývojové platformy napsané v Javě NetBeans (Wikipedie). Přehled novinek na GitHubu. Instalovat lze také ze Snapcraftu a Flathubu.

    Ladislav Hagara | Komentářů: 0
    23.8. 04:22 | Nová verze

    Knihovna FFmpeg byla vydána ve verzi 8.0 „Huffman“. Přibyla mj. podpora hardwarově akcelerovaného kódování s využitím API Vulcan, viz seznam změn.

    Fluttershy, yay! | Komentářů: 0
    22.8. 17:44 | IT novinky

    Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal Zprávu o stavu kybernetické bezpečnosti ČR za rok 2024 (pdf). V loňském roce NÚKIB evidoval dosud nejvíce kybernetických bezpečnostních incidentů s celkovým počtem 268. Oproti roku 2023 se však jedná pouze o drobný nárůst a závažnost dopadů evidovaných incidentů klesá již třetím rokem v řadě. V minulém roce NÚKIB evidoval pouze jeden velmi významný incident a významných incidentů bylo zaznamenáno 18, což oproti roku 2023 představuje pokles o více než polovinu.

    Ladislav Hagara | Komentářů: 1
    22.8. 13:55 | Komunita

    Byl publikován aktuální přehled vývoje renderovacího jádra webového prohlížeče Servo (Wikipedie). Servo mimo jiné nově zvládne animované obrázky APNG a WebP.

    Ladislav Hagara | Komentářů: 0
    22.8. 13:11 | IT novinky

    Na chytré telefony a počítačové tablety v Rusku bude od začátku příštího měsíce povinné předinstalovávat státem podporovanou komunikační aplikaci MAX, která konkuruje aplikaci WhatsApp americké společnosti Meta Platforms. Oznámila to dnes ruská vláda. Ta by podle kritiků mohla aplikaci MAX používat ke sledování uživatelů. Ruská státní média obvinění ze špehování pomocí aplikace MAX popírají. Tvrdí, že MAX má méně oprávnění k přístupu k údajům o uživatelích než konkurenční aplikace WhatsApp a Telegram.

    Ladislav Hagara | Komentářů: 46
    22.8. 04:22 | IT novinky

    Společnost PINE64 stojící za telefony PinePhone nebo notebooky Pinebook publikovala na svém blogu srpnový souhrn novinek. Kvůli nedostatečnému zájmu byla ukončena výroba telefonů PinePhone Pro.

    Ladislav Hagara | Komentářů: 2
    21.8. 22:22 | Nová verze

    Po pěti měsících vývoje byla vydána nová verze 0.15.1 programovacího jazyka Zig (GitHub, Wikipedie). Verze 0.15.0 byla přeskočena. Přispělo 162 vývojářů. Přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    Pro otevření více webových stránek ve webovém prohlížečí používám
     (78%)
     (7%)
     (4%)
     (4%)
     (6%)
     (0%)
    Celkem 69 hlasů
     Komentářů: 6, poslední 21.8. 13:35
    Rozcestník

    Dotaz: ipsec site-to-site tunel pinga jen z jedne strany

    7.12.2017 21:48 y.
    ipsec site-to-site tunel pinga jen z jedne strany
    Přečteno: 606×
    Potreboval bych poradit jak tohle resit. Mam rozbehanout ipsec VPN (site-to-site). Na jednom konci je Ubiquiti Edge Max router (hostname ubnt) a na iface ma verejnou adresu. Neprekvapim, pokud konstatuji, ze uvnitr mam nat. Na druhem konci je Turris Omnia (hostname turris) a na outgoing iface ma soukromou adresu poskytovatele. Nicmene od poskytovatele mam prirazenou i verejnou adresu a router naprosto bez problemu reaguje i pres tu verejnou adresu. Jak je to technologicky reseno nevim, ale chova se to proste jako kdyby byly vsechny porty z verejne adresy smerovany na muj externi iface. Za tim iface take jedu NAT, cili je to externi-IP -> interni IP poskytovatele (10.x) -> interni sit moje (192.168.252.0.24). Jelikoz jsou ty routery napric kontinenty a jelikoz potrebuju obcas neco opravit na jedne ci druhe strane, chtel jsem obe site propojit pres IPSec. Ty interni site nekoliduji, to uz jsem si zmenil. Po dvou dnech prerusovaneho snazeni jsem v situaci, z ubnt pingnu vnitrni adresy site za turris, ale obracene to nejde. Jeste je to bohuzel zkomplikovane (aspon pro moje chapani situace) tim, ze zatimco na ubnt je to reseny pres policies (?) a tedy nevidim zadny interface, na turrisu mi strongswan pri startu vytvori ipsec0 interface. Ocividne nejaky traffic pres ten interface projde, ale jen jednim smere... Kdyz jsem totiz na turris a na pozadi zavolam ping 192.168.250.1 (na pozadi) a koukam na interfacy, vidim nasledujici:
    root@turris:~# tcpdump -i ipsec0  -n icmp or udp
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on ipsec0, link-type RAW (Raw IP), capture size 262144 bytes
    21:18:00.694485 IP 10.77.154.193 > 192.168.250.1: ICMP echo request, id 41260, seq 0, length 64
    21:18:01.695720 IP 10.77.154.193 > 192.168.250.1: ICMP echo request, id 41260, seq 1, length 64
    ^C
    2 packets captured
    2 packets received by filter
    0 packets dropped by kernel
    root@turris:~# tcpdump -i eth1  -n icmp or udp
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
    //provoz, ale nevidim nic co by se vztahovalo k memu pingu
    //i.e. nic jako UDP-encap: ESP(spi=0xc7fd7ae3,seq=0x70), length 132
    root@turris:~# tcpdump -i ipsec0  -n icmp or udp
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on ipsec0, link-type RAW (Raw IP), capture size 262144 bytes
    21:18:52.704185 IP 10.77.154.193 > 192.168.250.1: ICMP echo request, id 41260, seq 52, length 64
    21:18:53.705168 IP 10.77.154.193 > 192.168.250.1: ICMP echo request, id 41260, seq 53, length 64
    21:18:54.706153 IP 10.77.154.193 > 192.168.250.1: ICMP echo request, id 41260, seq 54, length 64
    ^C
    3 packets captured
    3 packets received by filter
    0 packets dropped by kernel
    
    Takze zatim to vypada, ze se po vstupu na ipsec0 packety nekam ztrati. Hadam tedy budto neco v iptables a nebo jeste nekde je neco spatne, ale nevim, na co koukat. Mate nekdo nejaky napad

    Na turris:
    root@turris:~# ipsec statusall
    no files found matching '/etc/strongswan.d/*.conf'
    Status of IKE charon daemon (strongSwan 5.3.5, Linux 4.4.91-e8cacce0ae0bf48eea19d58c2e860359-1, armv7l):
      uptime: 59 minutes, since Dec 07 20:40:42 2017
      worker threads: 6 of 16 idle, 6/0/4/0 working, job queue: 0/0/0/0, scheduled: 5
      loaded plugins: charon test-vectors ldap pkcs11 aes des blowfish rc2 sha1 sha2 md4 md5 random nonce x509 
      revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl gcrypt af-alg fips-prf 
      gmp agent xcbc cmac hmac ctr ccm gcm curl mysql sqlite attr kernel-libipsec kernel-netlink resolve socket-default
      connmark farp stroke smp updown eap-identity eap-md5 eap-mschapv2 eap-radius eap-tls xauth-generic xauth-eap 
      dhcp whitelist led duplicheck addrblock unity
    Listening IP addresses:
      10.77.154.193
      192.168.254.2
      192.168.252.1
      fda0:2209:2f01::1
      192.168.253.1
    Connections:
    peer-XXX.xxxree.net-tunnel-1:  XXX.xxxree.net,0.0.0.0/0,::/0...yyy.ddns.net,0.0.0.0/0,::/0  IKEv1
    peer-XXX.xxxree.net-tunnel-1:   local:  [XXX.xxxree.net] uses pre-shared key authentication
    peer-XXX.xxxree.net-tunnel-1:   remote: uses pre-shared key authentication
    peer-XXX.xxxree.net-tunnel-1:   child:  192.168.252.0/24 === 192.168.250.0/24 TUNNEL
    Routed Connections:
    peer-XXX.xxxree.net-tunnel-1{1}:  ROUTED, TUNNEL, reqid 1
    peer-XXX.xxxree.net-tunnel-1{1}:   192.168.252.0/24 === 192.168.250.0/24
    Security Associations (1 up, 0 connecting):
    peer-XXX.xxxree.net-tunnel-1[1]: ESTABLISHED 33 minutes ago, 10.77.154.193[XXX.xxxree.net]...y.y.y.y[y.y.y.y]
    peer-XXX.xxxree.net-tunnel-1[1]: IKEv1 SPIs: 3650f1ed90c3ebbe_i 74679c88fb4978f3_r*, pre-shared key reauthentication in 7 hours
    peer-XXX.xxxree.net-tunnel-1[1]: IKE proposal: AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048
    peer-XXX.xxxree.net-tunnel-1{2}:  INSTALLED, TUNNEL, reqid 1, ESP in UDP SPIs: e86905ed_i c7fd7ae3_o
    peer-XXX.xxxree.net-tunnel-1{2}:  AES_CBC_256/HMAC_SHA1_96, 9408 bytes_i (112 pkts, 293s ago), 9408 bytes_o (112 pkts, 293s ago), rekeying in 11 minutes
    peer-XXX.xxxree.net-tunnel-1{2}:   192.168.252.0/24 === 192.168.250.0/24
    

    Odpovědi

    7.12.2017 22:37 NN
    Rozbalit Rozbalit vše Re: ipsec site-to-site tunel pinga jen z jedne strany
    21:18:52.704185 IP 10.77.154.193 > 192.168.250.1: ICMP echo request, id 41260, seq 52, length 64
    21:18:53.705168 IP 10.77.154.193 > 192.168.250.1: ICMP echo request, id 41260, seq 53, length 64
    Nemelo by to nahodou do tulenu chodit ciste = nepremaskovane na 10.77.154.193? Nemas tam nahodou maskaradu na vsechno co jde ven?
    8.12.2017 03:15 y.
    Rozbalit Rozbalit vše Re: ipsec site-to-site tunel pinga jen z jedne strany
    To bylo ono!
    root@turris:~# ping 192.168.250.1
    PING 192.168.250.1 (192.168.250.1): 56 data bytes
    64 bytes from 192.168.250.1: seq=0 ttl=64 time=109.060 ms
    64 bytes from 192.168.250.1: seq=1 ttl=64 time=108.753 ms
    64 bytes from 192.168.250.1: seq=2 ttl=64 time=109.128 ms
    64 bytes from 192.168.250.1: seq=3 ttl=64 time=108.984 ms
    
    Super, diky moc za nakopnuti Este pro uplnost (snad to nekomu pripadne pomuze)
    root@turris:~# tcpdump -i ipsec0  -n icmp or udp
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on ipsec0, link-type RAW (Raw IP), capture size 262144 bytes
    03:09:03.749067 IP 192.168.252.1 > 192.168.250.1: ICMP echo request, id 35358, seq 24, length 64
    03:09:03.855987 IP 192.168.250.1 > 192.168.252.1: ICMP echo reply, id 35358, seq 24, length 64
    03:09:04.750038 IP 192.168.252.1 > 192.168.250.1: ICMP echo request, id 35358, seq 25, length 64
    03:09:04.858260 IP 192.168.250.1 > 192.168.252.1: ICMP echo reply, id 35358, seq 25, length 64
    
    a tohle je vypis z eth1 (moje egress iface)
    03:08:39.743681 IP 10.77.154.193.4500 > ext-ip-UBNT.4500: UDP-encap: ESP(spi=0xca7b4555,seq=0x5), length 132
    03:08:39.850349 IP ext-ip-UBNT.4500 > 10.77.154.193.4500: UDP-encap: ESP(spi=0xb97a7b4f,seq=0x5), length 132
    03:08:40.744794 IP 10.77.154.193.4500 > ext-ip-UBNT.4500: UDP-encap: ESP(spi=0xca7b4555,seq=0x6), length 132
    03:08:40.852074 IP ext-ip-UBNT.4500 > 10.77.154.193.4500: UDP-encap: ESP(spi=0xb97a7b4f,seq=0x6), length 132
    03:08:41.745913 IP 10.77.154.193.4500 > ext-ip-UBNT.4500: UDP-encap: ESP(spi=0xca7b4555,seq=0x7), length 132
    
    kde 10.77.154.193 je egress IP stroje turris (jak jsem rikal, nema verejnou adresu, ale asi nejakou verzi 1:1 NAT nebo neceho takove). Jeste jednou diky!
    8.12.2017 03:24 y.
    Rozbalit Rozbalit vše Re: ipsec site-to-site tunel pinga jen z jedne strany
    Příloha:
    Jeste prikladam obrazek nastaveni. Tu guest zonu a vpn_turris zonu jsem nepridal ja -- jedno je openVPN pristup pres Omnia wizarda a to druhy je guest network od jejich jineho wizarda. Zda se mi, ze vse funguje tak jak ma, ale ocenim pripadnou kontrolu -- kdyis jsem si s tim v zoufalosti hral a mozna jsem neco zkonil. Pokud je to ok, tak tu aspon zustane reference na to, jak to ma nastavene vypadat.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.