abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Pingora 0.2.0
    včera 18:22 | Nová verze

    Byla vydána verze 0.2.0 v Rustu napsaného frameworku Pingora pro vytváření rychlých, spolehlivých a programovatelných síťových systémů. Společnost Cloudflare jej letos v únoru uvolnila pod licencí Apache 2.0.

    Ladislav Hagara | Komentářů: 0
    xrdp 0.10.0
    10.5. 19:11 | Nová verze

    Open source RDP (Remote Desktop Protocol) server xrdp (Wikipedie) byl vydán ve verzi 0.10.0. Z novinek je vypíchnuta podpora GFX (Graphic Pipeline Extension). Nová větev řeší také několik bezpečnostních chyb.

    Ladislav Hagara | Komentářů: 10
    Rocky Linux 9.4
    10.5. 04:11 | Nová verze

    Rocky Linux byl vydán v nové stabilní verzi 9.4. Přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    Dellu byla odcizena databáze zákazníků
    9.5. 22:22 | Bezpečnostní upozornění

    Dellu byla odcizena databáze zákazníků (jméno, adresa, seznam zakoupených produktů) [Customer Care, Bleeping Computer].

    Ladislav Hagara | Komentářů: 20
    Kdy Zed na Linuxu?
    9.5. 21:11 | Zajímavý článek

    V lednu byl otevřen editor kódů Zed od autorů editoru Atom a Tree-sitter. Tenkrát běžel pouze na macOS. Byl napevno svázán s Metalem. Situace se ale postupně mění. V aktuálním příspěvku Kdy Zed na Linuxu? na blogu Zedu vývojáři popisují aktuální stav. Blíží se alfa verze.

    Ladislav Hagara | Komentářů: 41
    Maker Faire Prague
    9.5. 14:33 | Pozvánky

    O víkendu 11. a 12. května lze navštívit Maker Faire Prague, festival plný workshopů, interaktivních činností a především nadšených a zvídavých lidí.

    Ladislav Hagara | Komentářů: 0
    Fedora Asahi Remix 40
    8.5. 21:55 | Nová verze

    Byl vydán Fedora Asahi Remix 40, tj. linuxová distribuce pro Apple Silicon vycházející z Fedora Linuxu 40.

    Ladislav Hagara | Komentářů: 20
    Raspberry Pi Connect
    8.5. 20:22 | IT novinky

    Představena byla služba Raspberry Pi Connect usnadňující vzdálený grafický přístup k vašim Raspberry Pi z webového prohlížeče. Odkudkoli. Zdarma. Zatím v beta verzi. Detaily v dokumentaci.

    Ladislav Hagara | Komentářů: 7
    Trinity Desktop Environment (TDE) R14.1.2
    8.5. 12:55 | Nová verze

    Byla vydána verze R14.1.2 desktopového prostředí Trinity Desktop Environment (TDE, fork KDE 3.5). Přehled novinek v poznámkách k vydání, podrobnosti v seznamu změn.

    JZD | Komentářů: 0
    Google Store již také v Česku
    7.5. 18:55 | IT novinky

    Dnešním dnem lze již také v Česku nakupovat na Google Store (telefony a sluchátka Google Pixel).

    Ladislav Hagara | Komentářů: 10
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Podle hypotézy Mrtvý Internet mj. tvoří většinu online interakcí boti.
     (65%)
     (7%)
     (13%)
     (15%)
    Celkem 168 hlasů
     Komentářů: 11, poslední 10.5. 18:00
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Nová Gateway
    Štítky: ATD, CentOS, Debian, distribuce, Internet, IPsec, ISP, klient, OpenSSL, OpenVPN, pfSense, routing, server, Super, VPN, win

    Dotaz: Nová Gateway

    24.3.2020 10:57 zipi | skóre: 21
    Nová Gateway
    Přečteno: 649×
    Zdravím, jelikož je tu super COVID-19, je nejlepší doba i na odstávky :) Uvažuji o novější GW jelikož fakt je už zastaralá po těch x letech .. Dlouhou dobu jsem využíval CentOS, který je sice stabilní a taková konzerva, ale není ideální, pokud človek potřebuje i novější balíčky jako je OpenSSL různé moduly do WebServeru atd .. Přemýšlím jakou cestou se vydat.. Co bude dělat GW | ROUTING, DHCPD, ProxyPass, VPN-server, IPsec

    Jsou asi dvě možnosti pouze:

    • Vybrat jiný OS než CentOS třeba Debian..?
    • Jít cestou pfsense
    • nějaký jiný nápad .?

    Ještě řeším jaký VPN server použít

    • L2TP je zastaralá služba a je občas blokován ISP
    • OpenVPN není špatná, ale musí se instalovat klient
    • SSTP Server řešil někdo takovou VPN, ideální a nemusí se nic instalovat do Win pro uživatele
    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    Max avatar 24.3.2020 12:10 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Nová Gateway
    Pokud potřebuješ něco novějšího, tak Debian je rozumná volba.
    Pokud tvé potřeby pokryje pfsense/opensense, tak to pro tebe bude asi jednodušší na správu a údržbu. To si ale musíš říci sám.
    Každopádně s pfsense/opensense musíš mít veřejnou IP, nesmíš být za natem (BSD to u L2TP a checksummů nedává, to jen Linux). Pokud před tím serverem tedy máš ještě nějaký malý router, který ti to natuje a forwarduje porty, tak bych tam BSD like nedával (ale to jen kvůli L2TP, jinak to bude ok).

    Pokud jde o VPN řešení, osobně používám Debian+Strongswan+IKEv2 a spokojenost. Používám to produkčně v komerčním prostředí, kde mám BYOD klienty (nyní připojeno 136 klientů z celkových cca 550). Nemám ani problém s kolizními segmenty, umí si to pořešit (dle výpisu připojení je nyní 7 klientů připojeno z kolizní sítě 192.168.1.0/24 a vše ok - ke klientům routuju také 192.168.1.0/24).
    Pokud chceš IPSEC, tak na L2TP kašli a nasaď rovnou IKEv2. Pokud je to na tebe příliš těžká věc, tak jedině to OpenVPN.
    IKEv2 narozdíl od OpenVPN funguje všude (Android, iPhone, MAC OS, Windows , Windows Mobile, Windows ARM, Linux). Také není problém s always on.

    Ohledně IKEv2 nasazení ti teď neporadím, protože server je už lehce obsolete a teprve mám v plánu obměnu do aktuálního stavu, kde je dosti změn (různé druhy virtuálních iface pro ipsec apod.).
    Když to ale tak čtu, už bych to měl udělat a sesmolit step2step howto a nesyslit si to řešení jen pro sebe. Ten čas, čas...
    Zdar Max
    Měl jsem sen ... :(
    24.3.2020 13:16 zipi | skóre: 21
    Rozbalit Rozbalit vše Re: Nová Gateway
    Právě jsem udělal install "pfsense/opensense" a vubec se mi to nelibí ani z pohledu konfigurace prostě mi tam chybí ten terminal - takže cesta je už prostě jasná :) Nyní jen vybrat správné distro a rozchodit vše potřebné co bych tam chtěl mít .. Stou IKev2 jsem docela válčil v minulosti proto jsem zůstal i u L2TP, ale fakt to už nejde a je načase se posunout dál a udělat pár vylepení .. OpenVPN popravdě moc nemusím, to raději zatnu všechny zuby a pustím se do IKEv2 - byl by jsi ochoten nasdíte nějaké konfigy, když vše uchodím podělím se též .. Ten Debian bude zatím asi oříšek, ale to půjde zkouším jak centos 8 tak debian 10 ..
    29.3.2020 16:44 zipi | skóre: 21
    Rozbalit Rozbalit vše Re: Nová Gateway
    Maxi jak jste vyřešil ověřování o proti AD (samba4) nebo LDAPU ..? Radius mi ověří uživatele přes mschap, pokud použiju stejnou funkcí pro VPNku, tak se mi uživatel neověří .. Mám nakonfirován modul EAP-RADIUS pakety jsou odeslány do RADIUSU, ale tím to končí .. Mohu požádat o radu, už si moc nevím rady. 
    (0) ntlm_auth: Executing: /opt/samba4/bin/ntlm_auth --allow-mschapv2 --request-nt-key --username=%{mschap:User-Name} --domain=domain.corp --challenge=%{%{mschap:Challenge}:-00} --nt-response=%{%{mschap:NT-Response}:-00}:
(0) ntlm_auth: EXPAND --username=%{mschap:User-Name}
(0) ntlm_auth:    --> --username=administrator
(0) ntlm_auth: ERROR: No MS-CHAP-Challenge in the request
(0) ntlm_auth: EXPAND --challenge=%{%{mschap:Challenge}:-00}
(0) ntlm_auth:    --> --challenge=00
(0) ntlm_auth: ERROR: No MS-CHAP-Response or MS-CHAP2-Response was found in the request
(0) ntlm_auth: EXPAND --nt-response=%{%{mschap:NT-Response}:-00}
(0) ntlm_auth:    --> --nt-response=00
hex decode of 00 failed! (only got 1 bytes)
(0) ntlm_auth: ERROR: Program returned code (1) and output ''
    Max avatar 29.3.2020 19:58 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Nová Gateway
    Neověřuji proti AD. Mám řešené ověřování v rámci Strongswan db, což je dáno historicky. Chtěl bych to předělat na ověřování proti externímu Radius serveru (Freeradius) a nejlépe s šifrovaným heslem.

    Jinak tu db mám tedy řešenou takto : 
    # /etc/ipsec.conf

config setup
        strictcrlpolicy=no
        cachecrls=yes
        charondebug="ike 1, knl -1, cfg 1"
        nat_traversal=yes
        force_keepalive=yes
        keep_alive=60
        ...

conn %default
        ikelifetime=8h
        keylife=1h
        rekeymargin=3m
        keyingtries=3
        dpddelay=30
        dpdtimeout=120
        dpdaction=clear
        ike=aes256gcm16-aes256gcm12-aes128gcm16-aes128gcm12-aesxcbc-sha256-sha1-modp4096-modp2048-modp1024,aes256-aes128-sha256-sha1-modp4096-modp2048-modp1024!
        esp=aes128-sha1,aes128gcm12-aes128gcm16-aes256gcm12-aes256gcm16-modp4096-modp2048-modp1024,aes128-aes256-sha1-sha256-modp4096-modp2048-modp1024!
...
conn byod-ikev2
        keyexchange=ikev2
        mobike=yes
        ...
        right=%any
        rightid=%any
        rightauth=eap-mschapv2
        rightsendcert=never
        rightdns=192.168.1.1,192.168.1.2
        rightsourceip=192.168.155.0/24
        eap_identity=%any
        auto=add
    Uživatelé jsou pak takto (nutno dodržovat přesnou syntaxi včetně mezer apod.): 
    # /etc/ipsec.secrets

"uzivatel1@email.tld" : EAP "sileneheslo1"
"uzivatel2@email.tld" : EAP "sileneheslo2"
"uzivatel3@email.tld" : EAP "sileneheslo3"
"uzivatel3@email.tld2" : EAP "sileneheslo3"
...
    V dokumentaci je, že pokud bych chtěl použít externí radius server, tak musím změnit rightauth na "rightauth=eap-radius" a vyplnit spojení na raidus server.

    Být tebou, tak bych si přes "NTRadPing" (funguje parádně ve wine) ověřil, co ti tam chodí. Ale co vím, tak samba neumí radius, na to potřebuješ propojení s Freeradius serverm. Klasický MSAD má v sobě službu, která funguje jako radius server, ale Samba4 k tomu používá Freeradius, ne? A nejlépe podporavné (na straně různých klientů) ověřování je proti Radiusu (EAP), nic jiného na tom ipsecu asi nemá cenu rozjíždět. Nebo se pletu?
    Zdar Max
    Měl jsem sen ... :(
    30.3.2020 10:52 zipi | skóre: 21
    Rozbalit Rozbalit vše Re: Nová Gateway
    Konfiguraci IKEv2 mám za sebou a funguje velmi dobře - jen nyní potřebuji dotáhnout do finále FreeRadius jinak mi to běhat nebude ... Na straně Strongswan to mám již vyřešené, ale FreeRadius má problém mě ověřit přes ten EAP zato mschap funguje dobře :) .. Celý problém bude v konfiguraci EAP on se odkazuje na mschap a ten není schopen rozpoznat algoritmus a díky tomu se mi to neověří . .
    30.3.2020 12:53 zipi | skóre: 21
    Rozbalit Rozbalit vše Re: Nová Gateway
    Tak vyřešeno ..
    30.3.2020 14:28 bigBRAMBOR | skóre: 37
    Rozbalit Rozbalit vše Re: Nová Gateway
    radsi to sem nedavej, kdyby to chtel nekdo pouzit
    30.3.2020 23:41 zipi | skóre: 21
    Rozbalit Rozbalit vše Re: Nová Gateway
    Jelikož se nejedna o jeden konfig, ale o více změn - stačí se optat ..
    30.3.2020 01:24 xxl | skóre: 25
    Rozbalit Rozbalit vše Re: Nová Gateway
    dle výpisu připojení je nyní 7 klientů připojeno z kolizní sítě
    To tedy neumím. Jaký je na to příkaz? ipsec status ani statusall mi to nevypíše. Vidím jenom veřejnou IP, za kterou je klient schovaný.
    Max avatar 30.3.2020 01:50 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Nová Gateway
    Mně to statusall vypíše, né u všech, ale někde ano, viz : 
    root@vpn:~# ipsec statusall |grep ESTABLISHED
  byod-ikev2[1328640]: ESTABLISHED 14 minutes ago, 172.xx.0.20[vpn-ph.corp.devaine.cz]...89.xxx.200.205[192.168.0.32]
  byod-ikev2[1328637]: ESTABLISHED 15 minutes ago, 172.xx.0.20[vpn-ph.corp.devaine.cz]...84.xxx.52.210[192.168.2.109]
  byod-ikev2[1328636]: ESTABLISHED 15 minutes ago, 172.xx.0.20[vpn-ph.corp.devaine.cz]...31.18.xxx.25[192.168.178.39]
  byod-ikev2[1328635]: ESTABLISHED 15 minutes ago, 172.xx.0.20[vpn-ph.corp.devaine.cz]...78.80.xxx.109[192.168.1.5]
  byod-ikev2[1328632]: ESTABLISHED 16 minutes ago, 172.xx.0.20[vpn-ph.corp.devaine.cz]...xxx.41.1.247[xxx.79.xxx.55]
  byod-ikev2[1328631]: ESTABLISHED 17 minutes ago, 172.xx.0.20[vpn-ph.corp.devaine.cz]...xxx.80.230.181[10.0.0.5]
  byod-ikev2[1328629]: ESTABLISHED 17 minutes ago, 172.xx.0.20[vpn-ph.corp.devaine.cz]...xxx.41.67.148[xxx.86.xxx.68]
  byod-ikev2[1328626]: ESTABLISHED 17 minutes ago, 172.xx.0.20[vpn-ph.corp.devaine.cz]...xxx.41.0.39[xxx.100.xxx.103]
  byod-ikev2[1328625]: ESTABLISHED 17 minutes ago, 172.xx.0.20[vpn-ph.corp.devaine.cz]...xxx.40.xxx.158[xxx.111.122.62]
  byod-ikev2[1328678]: ESTABLISHED  6 minutes ago, 172.xx.0.20[vpn-ph.corp.devaine.cz]...78.xx.30.xxx[uzivatel@devaine.cz]
  byod-ikev2[1328624]: ESTABLISHED 19 minutes ago, 172.xx.0.20[vpn-ph.corp.devaine.cz]...xxx.195.172.8[192.168.0.158]
  byod-ikev2[1328623]: ESTABLISHED 19 minutes ago, 172.xx.0.20[vpn-ph.corp.devaine.cz]...85.xxx.xxx.49[192.168.1.82]
    Takže vidím, že třeba uživatel s veřejnou IP "85.xxx.xxx.49" má lokální IP "192.168.1.82".
    Zdar Max
    Měl jsem sen ... :(
    30.3.2020 02:08 xxl | skóre: 25
    Rozbalit Rozbalit vše Re: Nová Gateway
    Mám takový nejasný pocit, že jsem to tam dříve viděl. Ale teď ne. Debian Stretch a Buster. Před hranatou závorkou je IP adresa, v hranaté závorce jsou údaje z certifikátu.

    Tak změna... Ono je to tak, že já tam lokální ip adresu také vidím - ale jenom u spojení, která jsou eap-tls. U pubkey nevidím nic. Zajímavé.
    30.3.2020 07:43 xxl | skóre: 25
    Rozbalit Rozbalit vše Re: Nová Gateway
    Je to ještě nějak jinak. Nejspíš na to má vliv klient, který si tam píše, co chce. A Windowsy nejspíš chtějí lokální ip adresu. A i u linuxu to nedělají obě strany stejně. Na jedné straně mám DNS name (= X509v3 Subject Alternative Name) a na druhé mám countryName, ...., commonName. A pak se v tom vyznejte, pane doktore...
    Pavel 'TIGER' Růžička avatar 24.3.2020 18:35 Pavel 'TIGER' Růžička | skóre: 53
    Rozbalit Rozbalit vše Re: Nová Gateway
    Mne tu tedy běží ve virtuálu IPFire a jsem plně spokojen. Ale co se týče terminálové záležitosti, tak VyOS byl zajímavým projektem, bohužel se z něj stal komerční produkt.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.