Přihlášení | Registrace

napište » Zprávičky

Jolla Phone

včera 17:11 | IT novinky

Společnost Jolla spustila kampaň na podporu svého nového telefonu Jolla Phone se Sailfish OS. Dodání je plánováno na první polovinu příštího roku. Pokud bude alespoň 2 000 zájemců. Záloha na telefon je 99 €. Cena telefonu v rámci kampaně je 499 €.

Ladislav Hagara | Komentářů: 10

Netflix kupuje Warner Bros. včetně HBO Max a HBO

včera 15:11 | IT novinky

Netflix kupuje Warner Bros. včetně jejích filmových a televizních studií HBO Max a HBO. Za 72 miliard dolarů (asi 1,5 bilionu korun).

Ladislav Hagara | Komentářů: 1

AWS re:Invent 2025

včera 14:11 | IT novinky

V Las Vegas dnes končí pětidenní konference AWS re:Invent 2025. Společnost Amazon Web Services (AWS) na ní představila celou řadu novinek. Vypíchnout lze 192jádrový CPU Graviton5 nebo AI chip Trainium3.

Ladislav Hagara | Komentářů: 0

Proxmox Datacenter Manager 1.0

včera 00:33 | Nová verze

Firma Proxmox vydala novou serverovou distribuci Datacenter Manager ve verzi 1.0 (poznámky k vydání). Podobně jako Virtual Environment, Mail Gateway či Backup Server je založená na Debianu, k němuž přidává integraci ZFS, webové administrační rozhraní a další. Datacenter Manager je určený ke správě instalací právě ostatních distribucí Proxmox.

|🇵🇸 | Komentářů: 6

Apache HTTP Server (httpd) 2.4.66 řeší 5 bezpečnostních chyb

4.12. 23:44 | Nová verze

Byla vydána nová verze 2.4.66 svobodného multiplatformního webového serveru Apache (httpd). Řešeno je mimo jiné 5 bezpečnostních chyb.

Ladislav Hagara | Komentářů: 0

JavaScript slaví 30 let

4.12. 14:00 | IT novinky

Programovací jazyk JavaScript (Wikipedie) dnes slaví 30 let od svého oficiálního představení 4. prosince 1995.

Ladislav Hagara | Komentářů: 0

Kritická zranitelnost v React Server Components

4.12. 04:22 | Bezpečnostní upozornění

Byly zveřejněny informace o kritické zranitelnosti CVE-2025-55182 s CVSS 10.0 v React Server Components. Zranitelnost je opravena v Reactu 19.0.1, 19.1.2 a 19.2.1.

Ladislav Hagara | Komentářů: 3

Linux 6.18 je jádrem s prodlouženou upstream podporou (LTS)

4.12. 02:44 | Komunita

Bylo rozhodnuto, že nejnovější Linux 6.18 je jádrem s prodlouženou upstream podporou (LTS). Ta je aktuálně plánována do prosince 2027. LTS jader je aktuálně šest: 5.10, 5.15, 6.1, 6.6, 6.12 a 6.18.

Ladislav Hagara | Komentářů: 0

Alpine Linux 3.23.0

4.12. 02:22 | Nová verze

Byla vydána nová stabilní verze 3.23.0, tj. první z nové řady 3.23, minimalistické linuxové distribuce zaměřené na bezpečnost Alpine Linux (Wikipedie) postavené na standardní knihovně jazyka C musl libc a BusyBoxu. Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 1

Django 6.0

3.12. 18:11 | Nová verze

Byla vydána verze 6.0 webového aplikačního frameworku napsaného v Pythonu Django (Wikipedie). Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Jaké řešení používáte k vývoji / práci?

Github (34%)

Gitlab (47%)

Atlassian (19%)

Bitbucket (18%)

Gitea (22%)

Mercurial (15%)

jen git (25%)

jen svn (16%)

Jiné (uvedu v diskusi) (18%)

Celkem 432 hlasů

Komentářů: 18, poslední 2.12. 18:34

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / ipsec site-to-site tunel pinga jen z jedne strany

Štítky: bez, cURL, daemon, databáze, DHCP, EDGE, firewally, For, Internet, IPsec, iptables, kernel, LDAP, Linux, Mate, MySQL, NAT, net, OpenSSL, opravit, output, ping, RAW, router, síť, sítě, SMP, SQLite, status, tcpdump, traffic, Turris, UDP, Unity, VPN

Dotaz: ipsec site-to-site tunel pinga jen z jedne strany

7.12.2017 21:48 y.
ipsec site-to-site tunel pinga jen z jedne strany

Přečteno: 633×

Odpovědět | Admin

Potreboval bych poradit jak tohle resit. Mam rozbehanout ipsec VPN (site-to-site). Na jednom konci je Ubiquiti Edge Max router (hostname ubnt) a na iface ma verejnou adresu. Neprekvapim, pokud konstatuji, ze uvnitr mam nat. Na druhem konci je Turris Omnia (hostname turris) a na outgoing iface ma soukromou adresu poskytovatele. Nicmene od poskytovatele mam prirazenou i verejnou adresu a router naprosto bez problemu reaguje i pres tu verejnou adresu. Jak je to technologicky reseno nevim, ale chova se to proste jako kdyby byly vsechny porty z verejne adresy smerovany na muj externi iface. Za tim iface take jedu NAT, cili je to externi-IP -> interni IP poskytovatele (10.x) -> interni sit moje (192.168.252.0.24). Jelikoz jsou ty routery napric kontinenty a jelikoz potrebuju obcas neco opravit na jedne ci druhe strane, chtel jsem obe site propojit pres IPSec. Ty interni site nekoliduji, to uz jsem si zmenil. Po dvou dnech prerusovaneho snazeni jsem v situaci, z ubnt pingnu vnitrni adresy site za turris, ale obracene to nejde. Jeste je to bohuzel zkomplikovane (aspon pro moje chapani situace) tim, ze zatimco na ubnt je to reseny pres policies (?) a tedy nevidim zadny interface, na turrisu mi strongswan pri startu vytvori ipsec0 interface. Ocividne nejaky traffic pres ten interface projde, ale jen jednim smere... Kdyz jsem totiz na turris a na pozadi zavolam ping 192.168.250.1 (na pozadi) a koukam na interfacy, vidim nasledujici:

root@turris:~# tcpdump -i ipsec0  -n icmp or udp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ipsec0, link-type RAW (Raw IP), capture size 262144 bytes
21:18:00.694485 IP 10.77.154.193 > 192.168.250.1: ICMP echo request, id 41260, seq 0, length 64
21:18:01.695720 IP 10.77.154.193 > 192.168.250.1: ICMP echo request, id 41260, seq 1, length 64
^C
2 packets captured
2 packets received by filter
0 packets dropped by kernel
root@turris:~# tcpdump -i eth1  -n icmp or udp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
//provoz, ale nevidim nic co by se vztahovalo k memu pingu
//i.e. nic jako UDP-encap: ESP(spi=0xc7fd7ae3,seq=0x70), length 132
root@turris:~# tcpdump -i ipsec0  -n icmp or udp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ipsec0, link-type RAW (Raw IP), capture size 262144 bytes
21:18:52.704185 IP 10.77.154.193 > 192.168.250.1: ICMP echo request, id 41260, seq 52, length 64
21:18:53.705168 IP 10.77.154.193 > 192.168.250.1: ICMP echo request, id 41260, seq 53, length 64
21:18:54.706153 IP 10.77.154.193 > 192.168.250.1: ICMP echo request, id 41260, seq 54, length 64
^C
3 packets captured
3 packets received by filter
0 packets dropped by kernel

Takze zatim to vypada, ze se po vstupu na ipsec0 packety nekam ztrati. Hadam tedy budto neco v iptables a nebo jeste nekde je neco spatne, ale nevim, na co koukat. Mate nekdo nejaky napad

Na turris:

root@turris:~# ipsec statusall
no files found matching '/etc/strongswan.d/*.conf'
Status of IKE charon daemon (strongSwan 5.3.5, Linux 4.4.91-e8cacce0ae0bf48eea19d58c2e860359-1, armv7l):
  uptime: 59 minutes, since Dec 07 20:40:42 2017
  worker threads: 6 of 16 idle, 6/0/4/0 working, job queue: 0/0/0/0, scheduled: 5
  loaded plugins: charon test-vectors ldap pkcs11 aes des blowfish rc2 sha1 sha2 md4 md5 random nonce x509 
  revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl gcrypt af-alg fips-prf 
  gmp agent xcbc cmac hmac ctr ccm gcm curl mysql sqlite attr kernel-libipsec kernel-netlink resolve socket-default
  connmark farp stroke smp updown eap-identity eap-md5 eap-mschapv2 eap-radius eap-tls xauth-generic xauth-eap 
  dhcp whitelist led duplicheck addrblock unity
Listening IP addresses:
  10.77.154.193
  192.168.254.2
  192.168.252.1
  fda0:2209:2f01::1
  192.168.253.1
Connections:
peer-XXX.xxxree.net-tunnel-1:  XXX.xxxree.net,0.0.0.0/0,::/0...yyy.ddns.net,0.0.0.0/0,::/0  IKEv1
peer-XXX.xxxree.net-tunnel-1:   local:  [XXX.xxxree.net] uses pre-shared key authentication
peer-XXX.xxxree.net-tunnel-1:   remote: uses pre-shared key authentication
peer-XXX.xxxree.net-tunnel-1:   child:  192.168.252.0/24 === 192.168.250.0/24 TUNNEL
Routed Connections:
peer-XXX.xxxree.net-tunnel-1{1}:  ROUTED, TUNNEL, reqid 1
peer-XXX.xxxree.net-tunnel-1{1}:   192.168.252.0/24 === 192.168.250.0/24
Security Associations (1 up, 0 connecting):
peer-XXX.xxxree.net-tunnel-1[1]: ESTABLISHED 33 minutes ago, 10.77.154.193[XXX.xxxree.net]...y.y.y.y[y.y.y.y]
peer-XXX.xxxree.net-tunnel-1[1]: IKEv1 SPIs: 3650f1ed90c3ebbe_i 74679c88fb4978f3_r*, pre-shared key reauthentication in 7 hours
peer-XXX.xxxree.net-tunnel-1[1]: IKE proposal: AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048
peer-XXX.xxxree.net-tunnel-1{2}:  INSTALLED, TUNNEL, reqid 1, ESP in UDP SPIs: e86905ed_i c7fd7ae3_o
peer-XXX.xxxree.net-tunnel-1{2}:  AES_CBC_256/HMAC_SHA1_96, 9408 bytes_i (112 pkts, 293s ago), 9408 bytes_o (112 pkts, 293s ago), rekeying in 11 minutes
peer-XXX.xxxree.net-tunnel-1{2}:   192.168.252.0/24 === 192.168.250.0/24

Nástroje: Začni sledovat (0) ?

Odpovědi

7.12.2017 22:37 NN
Rozbalit Rozbalit vše Re: ipsec site-to-site tunel pinga jen z jedne strany

21:18:52.704185 IP 10.77.154.193 > 192.168.250.1: ICMP echo request, id 41260, seq 52, length 64
21:18:53.705168 IP 10.77.154.193 > 192.168.250.1: ICMP echo request, id 41260, seq 53, length 64

Nemelo by to nahodou do tulenu chodit ciste = nepremaskovane na 10.77.154.193? Nemas tam nahodou maskaradu na vsechno co jde ven?

8.12.2017 03:15 y.
Rozbalit Rozbalit vše Re: ipsec site-to-site tunel pinga jen z jedne strany

To bylo ono!

root@turris:~# ping 192.168.250.1
PING 192.168.250.1 (192.168.250.1): 56 data bytes
64 bytes from 192.168.250.1: seq=0 ttl=64 time=109.060 ms
64 bytes from 192.168.250.1: seq=1 ttl=64 time=108.753 ms
64 bytes from 192.168.250.1: seq=2 ttl=64 time=109.128 ms
64 bytes from 192.168.250.1: seq=3 ttl=64 time=108.984 ms

Super, diky moc za nakopnuti Este pro uplnost (snad to nekomu pripadne pomuze)

root@turris:~# tcpdump -i ipsec0  -n icmp or udp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ipsec0, link-type RAW (Raw IP), capture size 262144 bytes
03:09:03.749067 IP 192.168.252.1 > 192.168.250.1: ICMP echo request, id 35358, seq 24, length 64
03:09:03.855987 IP 192.168.250.1 > 192.168.252.1: ICMP echo reply, id 35358, seq 24, length 64
03:09:04.750038 IP 192.168.252.1 > 192.168.250.1: ICMP echo request, id 35358, seq 25, length 64
03:09:04.858260 IP 192.168.250.1 > 192.168.252.1: ICMP echo reply, id 35358, seq 25, length 64

a tohle je vypis z eth1 (moje egress iface)

03:08:39.743681 IP 10.77.154.193.4500 > ext-ip-UBNT.4500: UDP-encap: ESP(spi=0xca7b4555,seq=0x5), length 132
03:08:39.850349 IP ext-ip-UBNT.4500 > 10.77.154.193.4500: UDP-encap: ESP(spi=0xb97a7b4f,seq=0x5), length 132
03:08:40.744794 IP 10.77.154.193.4500 > ext-ip-UBNT.4500: UDP-encap: ESP(spi=0xca7b4555,seq=0x6), length 132
03:08:40.852074 IP ext-ip-UBNT.4500 > 10.77.154.193.4500: UDP-encap: ESP(spi=0xb97a7b4f,seq=0x6), length 132
03:08:41.745913 IP 10.77.154.193.4500 > ext-ip-UBNT.4500: UDP-encap: ESP(spi=0xca7b4555,seq=0x7), length 132

kde 10.77.154.193 je egress IP stroje turris (jak jsem rikal, nema verejnou adresu, ale asi nejakou verzi 1:1 NAT nebo neceho takove). Jeste jednou diky!

8.12.2017 03:24 y.
Rozbalit Rozbalit vše Re: ipsec site-to-site tunel pinga jen z jedne strany

Příloha:

Screen Shot 2017-12-07 at 21.18.18.png (260820 bytů)

Jeste prikladam obrazek nastaveni. Tu guest zonu a vpn_turris zonu jsem nepridal ja -- jedno je openVPN pristup pres Omnia wizarda a to druhy je guest network od jejich jineho wizarda. Zda se mi, ze vse funguje tak jak ma, ale ocenim pripadnou kontrolu -- kdyis jsem si s tim v zoufalosti hral a mozna jsem neco zkonil. Pokud je to ok, tak tu aspon zustane reference na to, jak to ma nastavene vypadat.

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje