abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Národní identitní autorita, tedy NIA ID, MeG a eOP jsou nedostupné
    dnes 17:00 | Upozornění

    Národní identitní autorita, tedy NIA ID, MeG a eOP jsou nedostupné. Na nápravě se pracuje [𝕏].

    Ladislav Hagara | Komentářů: 1
    Nvidia je první firmou, jejíž tržní hodnota dosáhla 5 bilionů dolarů
    dnes 16:44 | IT novinky

    Americký výrobce čipů Nvidia se stal první firmou na světě, jejíž tržní hodnota dosáhla pěti bilionů USD (104,5 bilionu Kč). Nvidia stojí v čele světového trhu s čipy pro umělou inteligenci (AI) a výrazně těží z prudkého růstu zájmu o tuto technologii. Nvidia již byla první firmou, která překonala hranici čtyř bilionů USD, a to letos v červenci.

    Ladislav Hagara | Komentářů: 3
    Red Hat bude podporovat a distribuovat toolkit NVIDIA CUDA
    dnes 14:11 | Komunita

    Po Canonicalu a SUSE oznámil také Red Hat, že bude podporovat a distribuovat toolkit NVIDIA CUDA (Wikipedie).

    Ladislav Hagara | Komentářů: 0
    TrueNAS 25.10 Goldeye
    dnes 13:55 | Nová verze

    TrueNAS (Wikipedie), tj. open source storage platforma postavená na Linuxu, byl vydán ve verzi 25.10 Goldeye. Přináší NVMe over Fabric (NVMe-oF) nebo OpenZFS 2.3.4.

    Ladislav Hagara | Komentářů: 0
    OpenIndiana 2025.10
    dnes 13:33 | Nová verze

    Byla vydána OpenIndiana 2025.10. Unixový operační systém OpenIndiana (Wikipedie) vychází z OpenSolarisu (Wikipedie).

    Ladislav Hagara | Komentářů: 0
    89 % zranitelností IT infrastruktury v českých školách je kritických
    dnes 13:22 | Zajímavý článek

    České základní a střední školy čelí alarmujícímu stavu kybernetické bezpečnosti. Až 89 % identifikovaných zranitelností v IT infrastruktuře vzdělávacích institucí dosahuje kritické úrovně, což znamená, že útočníci mohou vzdáleně převzít kontrolu nad klíčovými systémy. Školy navíc často provozují zastaralé technologie, i roky nechávají zařízení bez potřebných aktualizací softwaru a používají k nim pouze výchozí, všeobecně známá

    … více »
    Ladislav Hagara | Komentářů: 7
    Josef Průša obdržel medaili Za zásluhy
    dnes 05:11 | Komunita

    Během tradiční ceremonie k oslavě Dne vzniku samostatného československého státu (28. října) byl vyznamenán medailí Za zásluhy (o stát v oblasti hospodářské) vývojář 3D tiskáren Josef Průša. Letos byly uděleny pouze dvě medaile Za zásluhy o stát v oblasti hospodářské, druhou dostal informatik a manažer Ondřej Felix, který se zabývá digitalizací státní správy.

    🇹🇬 | Komentářů: 33
    Tor Browser 15.0
    dnes 04:44 | Nová verze

    Tor Browser, tj. fork webového prohlížeče Mozilla Firefox s integrovaným klientem sítě Tor přednastavený tak, aby přes tuto síť bezpečně komunikoval, byl vydán ve verzi 15.0. Postaven je na Firefoxu ESR 140.

    Ladislav Hagara | Komentářů: 2
    Fedora Linux 43
    včera 16:44 | Nová verze

    Bylo oznámeno (cs) vydání Fedora Linuxu 43. Ve finální verzi vychází šest oficiálních edic: Fedora Workstation a Fedora KDE Plasma Desktop pro desktopové, Fedora Server pro serverové, Fedora IoT pro internet věcí, Fedora Cloud pro cloudové nasazení a Fedora CoreOS pro ty, kteří preferují neměnné systémy. Vedle nich jsou k dispozici také další atomické desktopy, spiny a laby. Podrobný přehled novinek v samostatných článcích na stránkách Fedora Magazinu: Fedora Workstation, Fedora KDE Plasma Desktop, Fedora Silverblue a Fedora Atomic Desktops.

    Ladislav Hagara | Komentářů: 0
    Grokipedia
    včera 15:22 | IT novinky

    Elon Musk oznámil (𝕏) spuštění internetové encyklopedie Grokipedia (Wikipedia). Zatím ve verzi 0.1. Verze 1.0 prý bude 10x lepší, ale i ve verzi 0.1 je podle Elona Muska již lepší než Wikipedia.

    Ladislav Hagara | Komentářů: 20
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Jaké řešení používáte k vývoji / práci?
     (36%)
     (48%)
     (20%)
     (19%)
     (23%)
     (17%)
     (21%)
     (17%)
     (17%)
    Celkem 281 hlasů
     Komentářů: 14, poslední 14.10. 09:04
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Nová Gateway
    Štítky: ATD, CentOS, Debian, distribuce, Internet, IPsec, ISP, klient, OpenSSL, OpenVPN, pfSense, routing, server, Super, VPN, win

    Dotaz: Nová Gateway

    24.3.2020 10:57 zipi | skóre: 21
    Nová Gateway
    Přečteno: 722×
    Zdravím, jelikož je tu super COVID-19, je nejlepší doba i na odstávky :) Uvažuji o novější GW jelikož fakt je už zastaralá po těch x letech .. Dlouhou dobu jsem využíval CentOS, který je sice stabilní a taková konzerva, ale není ideální, pokud človek potřebuje i novější balíčky jako je OpenSSL různé moduly do WebServeru atd .. Přemýšlím jakou cestou se vydat.. Co bude dělat GW | ROUTING, DHCPD, ProxyPass, VPN-server, IPsec

    Jsou asi dvě možnosti pouze:

    • Vybrat jiný OS než CentOS třeba Debian..?
    • Jít cestou pfsense
    • nějaký jiný nápad .?

    Ještě řeším jaký VPN server použít

    • L2TP je zastaralá služba a je občas blokován ISP
    • OpenVPN není špatná, ale musí se instalovat klient
    • SSTP Server řešil někdo takovou VPN, ideální a nemusí se nic instalovat do Win pro uživatele
    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    Max avatar 24.3.2020 12:10 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Nová Gateway
    Pokud potřebuješ něco novějšího, tak Debian je rozumná volba.
    Pokud tvé potřeby pokryje pfsense/opensense, tak to pro tebe bude asi jednodušší na správu a údržbu. To si ale musíš říci sám.
    Každopádně s pfsense/opensense musíš mít veřejnou IP, nesmíš být za natem (BSD to u L2TP a checksummů nedává, to jen Linux). Pokud před tím serverem tedy máš ještě nějaký malý router, který ti to natuje a forwarduje porty, tak bych tam BSD like nedával (ale to jen kvůli L2TP, jinak to bude ok).

    Pokud jde o VPN řešení, osobně používám Debian+Strongswan+IKEv2 a spokojenost. Používám to produkčně v komerčním prostředí, kde mám BYOD klienty (nyní připojeno 136 klientů z celkových cca 550). Nemám ani problém s kolizními segmenty, umí si to pořešit (dle výpisu připojení je nyní 7 klientů připojeno z kolizní sítě 192.168.1.0/24 a vše ok - ke klientům routuju také 192.168.1.0/24).
    Pokud chceš IPSEC, tak na L2TP kašli a nasaď rovnou IKEv2. Pokud je to na tebe příliš těžká věc, tak jedině to OpenVPN.
    IKEv2 narozdíl od OpenVPN funguje všude (Android, iPhone, MAC OS, Windows , Windows Mobile, Windows ARM, Linux). Také není problém s always on.

    Ohledně IKEv2 nasazení ti teď neporadím, protože server je už lehce obsolete a teprve mám v plánu obměnu do aktuálního stavu, kde je dosti změn (různé druhy virtuálních iface pro ipsec apod.).
    Když to ale tak čtu, už bych to měl udělat a sesmolit step2step howto a nesyslit si to řešení jen pro sebe. Ten čas, čas...
    Zdar Max
    Měl jsem sen ... :(
    24.3.2020 13:16 zipi | skóre: 21
    Rozbalit Rozbalit vše Re: Nová Gateway
    Právě jsem udělal install "pfsense/opensense" a vubec se mi to nelibí ani z pohledu konfigurace prostě mi tam chybí ten terminal - takže cesta je už prostě jasná :) Nyní jen vybrat správné distro a rozchodit vše potřebné co bych tam chtěl mít .. Stou IKev2 jsem docela válčil v minulosti proto jsem zůstal i u L2TP, ale fakt to už nejde a je načase se posunout dál a udělat pár vylepení .. OpenVPN popravdě moc nemusím, to raději zatnu všechny zuby a pustím se do IKEv2 - byl by jsi ochoten nasdíte nějaké konfigy, když vše uchodím podělím se též .. Ten Debian bude zatím asi oříšek, ale to půjde zkouším jak centos 8 tak debian 10 ..
    29.3.2020 16:44 zipi | skóre: 21
    Rozbalit Rozbalit vše Re: Nová Gateway
    Maxi jak jste vyřešil ověřování o proti AD (samba4) nebo LDAPU ..? Radius mi ověří uživatele přes mschap, pokud použiju stejnou funkcí pro VPNku, tak se mi uživatel neověří .. Mám nakonfirován modul EAP-RADIUS pakety jsou odeslány do RADIUSU, ale tím to končí .. Mohu požádat o radu, už si moc nevím rady. 
    (0) ntlm_auth: Executing: /opt/samba4/bin/ntlm_auth --allow-mschapv2 --request-nt-key --username=%{mschap:User-Name} --domain=domain.corp --challenge=%{%{mschap:Challenge}:-00} --nt-response=%{%{mschap:NT-Response}:-00}:
(0) ntlm_auth: EXPAND --username=%{mschap:User-Name}
(0) ntlm_auth:    --> --username=administrator
(0) ntlm_auth: ERROR: No MS-CHAP-Challenge in the request
(0) ntlm_auth: EXPAND --challenge=%{%{mschap:Challenge}:-00}
(0) ntlm_auth:    --> --challenge=00
(0) ntlm_auth: ERROR: No MS-CHAP-Response or MS-CHAP2-Response was found in the request
(0) ntlm_auth: EXPAND --nt-response=%{%{mschap:NT-Response}:-00}
(0) ntlm_auth:    --> --nt-response=00
hex decode of 00 failed! (only got 1 bytes)
(0) ntlm_auth: ERROR: Program returned code (1) and output ''
    Max avatar 29.3.2020 19:58 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Nová Gateway
    Neověřuji proti AD. Mám řešené ověřování v rámci Strongswan db, což je dáno historicky. Chtěl bych to předělat na ověřování proti externímu Radius serveru (Freeradius) a nejlépe s šifrovaným heslem.

    Jinak tu db mám tedy řešenou takto : 
    # /etc/ipsec.conf

config setup
        strictcrlpolicy=no
        cachecrls=yes
        charondebug="ike 1, knl -1, cfg 1"
        nat_traversal=yes
        force_keepalive=yes
        keep_alive=60
        ...

conn %default
        ikelifetime=8h
        keylife=1h
        rekeymargin=3m
        keyingtries=3
        dpddelay=30
        dpdtimeout=120
        dpdaction=clear
        ike=aes256gcm16-aes256gcm12-aes128gcm16-aes128gcm12-aesxcbc-sha256-sha1-modp4096-modp2048-modp1024,aes256-aes128-sha256-sha1-modp4096-modp2048-modp1024!
        esp=aes128-sha1,aes128gcm12-aes128gcm16-aes256gcm12-aes256gcm16-modp4096-modp2048-modp1024,aes128-aes256-sha1-sha256-modp4096-modp2048-modp1024!
...
conn byod-ikev2
        keyexchange=ikev2
        mobike=yes
        ...
        right=%any
        rightid=%any
        rightauth=eap-mschapv2
        rightsendcert=never
        rightdns=192.168.1.1,192.168.1.2
        rightsourceip=192.168.155.0/24
        eap_identity=%any
        auto=add
    Uživatelé jsou pak takto (nutno dodržovat přesnou syntaxi včetně mezer apod.): 
    # /etc/ipsec.secrets

"uzivatel1@email.tld" : EAP "sileneheslo1"
"uzivatel2@email.tld" : EAP "sileneheslo2"
"uzivatel3@email.tld" : EAP "sileneheslo3"
"uzivatel3@email.tld2" : EAP "sileneheslo3"
...
    V dokumentaci je, že pokud bych chtěl použít externí radius server, tak musím změnit rightauth na "rightauth=eap-radius" a vyplnit spojení na raidus server.

    Být tebou, tak bych si přes "NTRadPing" (funguje parádně ve wine) ověřil, co ti tam chodí. Ale co vím, tak samba neumí radius, na to potřebuješ propojení s Freeradius serverm. Klasický MSAD má v sobě službu, která funguje jako radius server, ale Samba4 k tomu používá Freeradius, ne? A nejlépe podporavné (na straně různých klientů) ověřování je proti Radiusu (EAP), nic jiného na tom ipsecu asi nemá cenu rozjíždět. Nebo se pletu?
    Zdar Max
    Měl jsem sen ... :(
    30.3.2020 10:52 zipi | skóre: 21
    Rozbalit Rozbalit vše Re: Nová Gateway
    Konfiguraci IKEv2 mám za sebou a funguje velmi dobře - jen nyní potřebuji dotáhnout do finále FreeRadius jinak mi to běhat nebude ... Na straně Strongswan to mám již vyřešené, ale FreeRadius má problém mě ověřit přes ten EAP zato mschap funguje dobře :) .. Celý problém bude v konfiguraci EAP on se odkazuje na mschap a ten není schopen rozpoznat algoritmus a díky tomu se mi to neověří . .
    30.3.2020 12:53 zipi | skóre: 21
    Rozbalit Rozbalit vše Re: Nová Gateway
    Tak vyřešeno ..
    30.3.2020 14:28 bigBRAMBOR | skóre: 36
    Rozbalit Rozbalit vše Re: Nová Gateway
    radsi to sem nedavej, kdyby to chtel nekdo pouzit
    30.3.2020 23:41 zipi | skóre: 21
    Rozbalit Rozbalit vše Re: Nová Gateway
    Jelikož se nejedna o jeden konfig, ale o více změn - stačí se optat ..
    30.3.2020 01:24 xxl | skóre: 26
    Rozbalit Rozbalit vše Re: Nová Gateway
    dle výpisu připojení je nyní 7 klientů připojeno z kolizní sítě
    To tedy neumím. Jaký je na to příkaz? ipsec status ani statusall mi to nevypíše. Vidím jenom veřejnou IP, za kterou je klient schovaný.
    Max avatar 30.3.2020 01:50 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Nová Gateway
    Mně to statusall vypíše, né u všech, ale někde ano, viz : 
    root@vpn:~# ipsec statusall |grep ESTABLISHED
  byod-ikev2[1328640]: ESTABLISHED 14 minutes ago, 172.xx.0.20[vpn-ph.corp.devaine.cz]...89.xxx.200.205[192.168.0.32]
  byod-ikev2[1328637]: ESTABLISHED 15 minutes ago, 172.xx.0.20[vpn-ph.corp.devaine.cz]...84.xxx.52.210[192.168.2.109]
  byod-ikev2[1328636]: ESTABLISHED 15 minutes ago, 172.xx.0.20[vpn-ph.corp.devaine.cz]...31.18.xxx.25[192.168.178.39]
  byod-ikev2[1328635]: ESTABLISHED 15 minutes ago, 172.xx.0.20[vpn-ph.corp.devaine.cz]...78.80.xxx.109[192.168.1.5]
  byod-ikev2[1328632]: ESTABLISHED 16 minutes ago, 172.xx.0.20[vpn-ph.corp.devaine.cz]...xxx.41.1.247[xxx.79.xxx.55]
  byod-ikev2[1328631]: ESTABLISHED 17 minutes ago, 172.xx.0.20[vpn-ph.corp.devaine.cz]...xxx.80.230.181[10.0.0.5]
  byod-ikev2[1328629]: ESTABLISHED 17 minutes ago, 172.xx.0.20[vpn-ph.corp.devaine.cz]...xxx.41.67.148[xxx.86.xxx.68]
  byod-ikev2[1328626]: ESTABLISHED 17 minutes ago, 172.xx.0.20[vpn-ph.corp.devaine.cz]...xxx.41.0.39[xxx.100.xxx.103]
  byod-ikev2[1328625]: ESTABLISHED 17 minutes ago, 172.xx.0.20[vpn-ph.corp.devaine.cz]...xxx.40.xxx.158[xxx.111.122.62]
  byod-ikev2[1328678]: ESTABLISHED  6 minutes ago, 172.xx.0.20[vpn-ph.corp.devaine.cz]...78.xx.30.xxx[uzivatel@devaine.cz]
  byod-ikev2[1328624]: ESTABLISHED 19 minutes ago, 172.xx.0.20[vpn-ph.corp.devaine.cz]...xxx.195.172.8[192.168.0.158]
  byod-ikev2[1328623]: ESTABLISHED 19 minutes ago, 172.xx.0.20[vpn-ph.corp.devaine.cz]...85.xxx.xxx.49[192.168.1.82]
    Takže vidím, že třeba uživatel s veřejnou IP "85.xxx.xxx.49" má lokální IP "192.168.1.82".
    Zdar Max
    Měl jsem sen ... :(
    30.3.2020 02:08 xxl | skóre: 26
    Rozbalit Rozbalit vše Re: Nová Gateway
    Mám takový nejasný pocit, že jsem to tam dříve viděl. Ale teď ne. Debian Stretch a Buster. Před hranatou závorkou je IP adresa, v hranaté závorce jsou údaje z certifikátu.

    Tak změna... Ono je to tak, že já tam lokální ip adresu také vidím - ale jenom u spojení, která jsou eap-tls. U pubkey nevidím nic. Zajímavé.
    30.3.2020 07:43 xxl | skóre: 26
    Rozbalit Rozbalit vše Re: Nová Gateway
    Je to ještě nějak jinak. Nejspíš na to má vliv klient, který si tam píše, co chce. A Windowsy nejspíš chtějí lokální ip adresu. A i u linuxu to nedělají obě strany stejně. Na jedné straně mám DNS name (= X509v3 Subject Alternative Name) a na druhé mám countryName, ...., commonName. A pak se v tom vyznejte, pane doktore...
    Pavel 'TIGER' Růžička avatar 24.3.2020 18:35 Pavel 'TIGER' Růžička | skóre: 54
    Rozbalit Rozbalit vše Re: Nová Gateway
    Mne tu tedy běží ve virtuálu IPFire a jsem plně spokojen. Ale co se týče terminálové záležitosti, tak VyOS byl zajímavým projektem, bohužel se z něj stal komerční produkt.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.