Přihlášení | Registrace

napište » Zprávičky

dnes 03:00 | Nová verze

Byla vydána nová verze 25.12.30 svobodného multiplatformního video editoru Shotcut (Wikipedie) postaveného nad multimediálním frameworkem MLT. Shotcut je vedle zdrojových kódů k dispozici také ve formátech AppImage, Flatpak a Snap.

Ladislav Hagara | Komentářů: 0

To nej roku 2025 ve službě Steam

včera 18:55 | IT novinky

Společnost Valve publikovala přehled To nej roku 2025 ve službě Steam aneb ohlédnutí za nejprodávanějšími, nejhranějšími a dalšími nej hrami roku 2025.

Ladislav Hagara | Komentářů: 0

Výsledky průzkumu mezi uživateli Blenderu

včera 16:11 | Komunita

Byly publikovány výsledky průzkumu mezi uživateli Blenderu uskutečněného v říjnu a listopadu 2025. Zúčastnilo se více než 5000 uživatelů.

Ladislav Hagara | Komentářů: 0

CVE-2025-14847 aneb MongoBleed

včera 03:33 | Bezpečnostní upozornění

V dokumentově orientované databázi MongoDB byla nalezena a v upstreamu již opravena kritická bezpečností chyba CVE-2025-14847 aneb MongoBleed.

Ladislav Hagara | Komentářů: 0

Nalezena kopie Unixu V4

29.12. 23:11 | IT novinky

Při úklidu na Utažské univerzitě se ve skladovacích prostorách náhodou podařilo nalézt magnetickou pásku s kopií Unixu V4. Páska byla zaslána do počítačového muzea, kde se z pásky úspěšně podařilo extrahovat data a Unix spustit. Je to patrně jediný známý dochovaný exemplář tohoto 52 let starého Unixu, prvního vůbec programovaného v jazyce C.

🇨🇽 | Komentářů: 1

FFmpeg nechal smazat repozitář porušující LGPL

29.12. 15:55 | Komunita

FFmpeg nechal kvůli porušení autorských práv odstranit z GitHubu jeden z repozitářů patřících čínské technologické firmě Rockchip. Důvodem bylo porušení LGPL ze strany Rockchipu. Rockchip byl FFmpegem na porušování LGPL upozorněn již téměř před dvěma roky.

🇨🇽 | Komentářů: 7

witr (why-is-this-running)

29.12. 15:44 | Zajímavý software

K dispozici je nový CLI nástroj witr sloužící k analýze běžících procesů. Název je zkratkou slov why-is-this-running, 'proč tohle běží'. Klade si za cíl v 'jediném, lidsky čitelném, výstupu vysvětlit odkud daný spuštěný proces pochází, jak byl spuštěn a jaký řetězec systémů je zodpovědný za to, že tento proces právě teď běží'. Witr je napsán v jazyce Go.

🇨🇽 | Komentářů: 1

Yazi 25.12.29

29.12. 15:33 | Zajímavý software

Yazi je správce souborů běžící v terminálu. Napsán je v programovacím jazyce Rust. Podporuje asynchronní I/O operace. Vydán byl v nové verzi 25.12.29. Instalovat jej lze také ze Snapcraftu.

Ladislav Hagara | Komentářů: 0

39C3 (Chaos Communication Congress)

26.12. 18:44 | Komunita

Od soboty do úterý probíhá v Hamburku konference 39C3 (Chaos Communication Congress) věnovaná také počítačové bezpečnosti nebo hardwaru. Program (jiná verze) slibuje řadu zajímavých přednášek. Streamy a záznamy budou k dispozici na media.ccc.de.

Ladislav Hagara | Komentářů: 0

Phoenix (Xserver)

26.12. 13:22 | Zajímavý software

Byl představen nový Xserver Phoenix, kompletně od nuly vyvíjený v programovacím jazyce Zig. Projekt Phoenix si klade za cíl být moderní alternativou k X.Org serveru.

🇨🇽 | Komentářů: 7

Centrum | Napsat | Starší

navrhněte » Anketa

Kdo vám letos nadělí dárek?

Ježíšek (31%)

Santa Claus (1%)

Děda Mráz (26%)

La Befana (1%)

Odin (1%)

Laskakit (1%)

Někdo z rodiny (11%)

Já sám (10%)

Nikdo (18%)

Celkem 205 hlasů

Komentářů: 21, poslední včera 18:58

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / ipsec ipv6 tunel nefunkční na nových kernelech.

Štítky: bez, Debian, distribuce, firewall, Google, chyba, Internet, IPsec, IPv4, IPv6, kernel, ping, problém, SMP, strongSwan, tech, x86_64

Dotaz: ipsec ipv6 tunel nefunkční na nových kernelech.

26.2.2022 19:49 xxl | skóre: 26
ipsec ipv6 tunel nefunkční na nových kernelech.

Přečteno: 812×

Odpovědět | Admin

Přílohy:

Snímek z 2022-02-26 19-05-59.png (810782 bytů)
Snímek z 2022-02-26 19-32-54.png (805007 bytů)

Narazil jsem na problém s nefunkčním ipsec tunelem na ipv6. Při upgradu kernelu přestal fungovat. Už je to nějakou dobu. Zatím jsem to neřešil, protože ten kernel byl unstable, říkal jsem si, že se to vyřeší samo a vrátil jsem se prostě ke starému kernelu. Ale teď jsem to zkoušel a zjistil jsem, že ačkoliv od té doby bylo těch nových kernelů několik, stále to nechodí.

Postupným zkoušením jsem dospěl až k Debianu unstable. Strongswan je teď 5.9.5-2.

Mám dva host-to-host tunely, jeden na ipv4 a druhý na ipv6. Oba jsou nakonfigurované úplně stejně. Na hostech není žádný firewall, na routeru mezi nimi také ne. Routování funguje. Ipv4 tunel funguje úplně bez problémů. Ipv6 tunel funguje až do kernelu "5.10.0-9-amd64 #1 SMP Debian 5.10.70-1 (2021-09-30) x86_64 GNU/Linux". S dalšími kernely nefunguje. Nejnovější je "5.16.0-3-amd64 #1 SMP PREEMPT Debian 5.16.11-1 (2022-02-25) x86_64 GNU/Linux".

Ipv6 tunel se normálně sestaví, ale poté už neprojde jediný paket. Pošlu ping z A na B a vidím ESP pakety z A až na B, ale už žádný z B na A.

ipsec.conf vypadá takhle:

conn %default
    type=transport
    keyexchange=ikev2
    ike=aes256-sha512-ecp521!
    esp=aes256gcm128!
    rekey=no
    fragmentation=yes
    forceencaps=yes
    keyingtries=%forever
    leftauth=psk
    rightauth=psk

conn test4
    left=10.0.11.2
    right=10.0.22.2
    auto=start

conn test6
    left=2001:db8:1111::2
    right=2001:db8:2222::2
    auto=start

Přikládám snímky obrazovky s ipsec statusall.

Google mi neporadil. Dělám něco špatně? Nebo je tam chyba a já jsem jediný, komu se přihodila?

Nástroje: Začni sledovat (0) ?

Odpovědi

26.2.2022 20:04 X
Rozbalit Rozbalit vše Re: ipsec ipv6 tunel nefunkční na nových kernelech.

Andreji, prisel tvuj cas! <-- (mame tady na IPv6/I{Sec specialistu..)

27.2.2022 12:37 X
Rozbalit Rozbalit vše Re: ipsec ipv6 tunel nefunkční na nových kernelech.

Asi nic nebude. No tak chtelo by to detaily. Napriklad vypisy sestaveni, log a zapnuty debug, tcpdump. Na obou stranach.

27.2.2022 15:06 xxl | skóre: 26
Rozbalit Rozbalit vše Re: ipsec ipv6 tunel nefunkční na nových kernelech.

Rébus vyřešen. Pokud to běží přímo na protokolu ESP, tak to funguje. Na novějších kernelech to nefunguje tehdy, když tomu vnutím ESP UDP encapsulation.

V ipsec.conf volba forceencaps=yes.

Nevím, jestli mám být nadšen, že jsem na to přišel.

27.2.2022 17:44 Radek
Rozbalit Rozbalit vše Re: ipsec ipv6 tunel nefunkční na nových kernelech.

To by stálo za to to reportnout, jestli to tak opravdu je :)

27.2.2022 17:57 xxl | skóre: 26
Rozbalit Rozbalit vše Re: ipsec ipv6 tunel nefunkční na nových kernelech.

Můžeš si to vyzkoušet.

28.2.2022 10:13 xxl | skóre: 26
Rozbalit Rozbalit vše Re: ipsec ipv6 tunel nefunkční na nových kernelech.

Po odhalení problému jsem znovu hledal na internetu a tady jsem objevil, že "However, the Linux kernel currently does not support UDP encapsulation for IPv6 (the upcoming 5.8 kernel will be the first one with support for it)".

Takže poté to zřejmě nějakou dobu fungovalo a nyní to opět nechodí.

20.3.2022 08:18 xxl | skóre: 26
Rozbalit Rozbalit vše Re: ipsec ipv6 tunel nefunkční na nových kernelech.

Tak to vypadá, že v nejnovějším kernelu 5.17, až vyjde, bude chyba konečně odstraněna. Vanilla kernel, přeložený z úplně posledního gitu, funguje.

Takže poslední kernel s fungující ipv6 ipsec encapsulation je (v Debianu) linux-image-5.10.0-9-amd64 == 5.10.70-1 a následující funkční bude (doufejme) 5.17, až vyjde.

Kombinace, 5.10.70-1 na jedné straně a 5.17-git na druhé straně, funguje taky.

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje