abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 15:22 | Nová verze

    Byla vydána nová verze 18 integrovaného vývojového prostředí (IDE) Qt Creator. S podporou Development Containers. Podrobný přehled novinek v changelogu.

    Ladislav Hagara | Komentářů: 0
    dnes 12:55 | Nová verze

    Cursor (Wikipedie) od společnosti Anysphere byl vydán ve verzi 2.0. Jedná se o multiplatformní proprietární editor kódů s podporou AI (vibe coding).

    Ladislav Hagara | Komentářů: 1
    dnes 02:55 | Nová verze

    Google Chrome 142 byl prohlášen za stabilní. Nejnovější stabilní verze 142.0.7444.59 přináší řadu novinek z hlediska uživatelů i vývojářů. Podrobný přehled v poznámkách k vydání. Opraveno bylo 20 bezpečnostních chyb. Za nejvážnější z nich bylo vyplaceno 50 000 dolarů. Vylepšeny byly také nástroje pro vývojáře.

    Ladislav Hagara | Komentářů: 0
    dnes 01:22 | IT novinky Ladislav Hagara | Komentářů: 0
    včera 17:00 | Upozornění

    Národní identitní autorita, tedy NIA ID, MeG a eOP jsou nedostupné. Na nápravě se pracuje [𝕏].

    Ladislav Hagara | Komentářů: 9
    včera 16:44 | IT novinky

    Americký výrobce čipů Nvidia se stal první firmou na světě, jejíž tržní hodnota dosáhla pěti bilionů USD (104,5 bilionu Kč). Nvidia stojí v čele světového trhu s čipy pro umělou inteligenci (AI) a výrazně těží z prudkého růstu zájmu o tuto technologii. Nvidia již byla první firmou, která překonala hranici čtyř bilionů USD, a to letos v červenci.

    Ladislav Hagara | Komentářů: 6
    včera 14:11 | Komunita

    Po Canonicalu a SUSE oznámil také Red Hat, že bude podporovat a distribuovat toolkit NVIDIA CUDA (Wikipedie).

    Ladislav Hagara | Komentářů: 2
    včera 13:55 | Nová verze

    TrueNAS (Wikipedie), tj. open source storage platforma postavená na Linuxu, byl vydán ve verzi 25.10 Goldeye. Přináší NVMe over Fabric (NVMe-oF) nebo OpenZFS 2.3.4.

    Ladislav Hagara | Komentářů: 0
    včera 13:33 | Nová verze

    Byla vydána OpenIndiana 2025.10. Unixový operační systém OpenIndiana (Wikipedie) vychází z OpenSolarisu (Wikipedie).

    Ladislav Hagara | Komentářů: 0
    včera 13:22 | Zajímavý článek

    České základní a střední školy čelí alarmujícímu stavu kybernetické bezpečnosti. Až 89 % identifikovaných zranitelností v IT infrastruktuře vzdělávacích institucí dosahuje kritické úrovně, což znamená, že útočníci mohou vzdáleně převzít kontrolu nad klíčovými systémy. Školy navíc často provozují zastaralé technologie, i roky nechávají zařízení bez potřebných aktualizací softwaru a používají k nim pouze výchozí, všeobecně známá

    … více »
    Ladislav Hagara | Komentářů: 16
    Jaké řešení používáte k vývoji / práci?
     (36%)
     (48%)
     (19%)
     (19%)
     (22%)
     (17%)
     (21%)
     (16%)
     (17%)
    Celkem 285 hlasů
     Komentářů: 14, poslední 14.10. 09:04
    Rozcestník

    Dotaz: IPsec - polofunkcny split-tunneling

    2.10.2023 16:13 GeorgeWH | skóre: 42
    IPsec - polofunkcny split-tunneling
    Přečteno: 434×
    Zdravim.

    Mam IPsec IKEv2 road warriors server na Mikrotiku s roznymi klientmi (Linux, FreeBSD, Apple, Windows, Mikrotik, Android). Cez modeconfig im posielam konkretne subnety, ktore chcem pretlacat cez VPN-ku, napr.:
    [admin@ipsec-gw] > ip ipsec mode-config print
    ...
     1  R name="client1" system-dns=no static-dns="" address=172.10.0.17 address-prefix-length=32 
          split-include=192.168.1.0/24,192.168.16.0/20,172.20.3.0/24 split-dns=""
    Problem je, ze jedine systemy, kde to funguje OOTB, su Mikrotik a Windows (nativna IPsec VPN). Ostatni klienti (Linux network-mananger so strongswan pluginom, strongswan [1] (stary config ipsec.conf, aj novy swanctl.conf), Apple, Android [2]...) pouziju vzdy len prvy definovany rozsah a ostatne ignoruju.

    [1] Tu sa mi podarilo dosiahnut pozadovany stav definovanim samostatnej conn, resp. children, pre kazdy subnet.

    [2] V Android-e (strongswan app) sa daju rucne zadat split-tunneling rozsahy, takze tu to ako tak funguje.

    Lokalne siete viem pretlacit cez jeden vacsi subnet, ale potrebujem pridat este dalsie uplne ine rozsahy.

    Na nete som nasiel viac takychto pripadov, ale ziadne riesenie.

    Vdaka.

    Odpovědi

    2.10.2023 19:49 X
    Rozbalit Rozbalit vše Re: IPsec - polofunkcny split-tunneling
    V dokimentaci se primo pise o tomto omezeni, ale zaroven uvadi ze:
    split-include (list of IP prefix; Default: ) List of subnets in CIDR format, which to tunnel. Subnets will be sent to the peer using CISCO UNITY extension, remote peer will create specific dynamic policies.
    Ten plugin existuje a je zminovany i v napovede, ale pouze pro IKEv1.
    3.10.2023 17:14 GeorgeWH | skóre: 42
    Rozbalit Rozbalit vše Re: IPsec - polofunkcny split-tunneling
    Ano viem, ale je to pre IKEv1, takze mi to je na nic :/
    3.10.2023 17:45 X
    Rozbalit Rozbalit vše Re: IPsec - polofunkcny split-tunneling
    Doporucoval bych prejit na ROS7 + Wireguard kde tento problem odpada..
    Max avatar 3.10.2023 19:59 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: IPsec - polofunkcny split-tunneling
    Používám jako server Strongswan a pro Windows a iOS mám konfigurační profil. Na Androidu se Strongswan klientem mi to funguje a tam tedy nic neřeším.
    Vzhledem k tomu, že mám specifický subnet, tak mi to moc nevadí a dál jsem to neřešil.
    Dle dokumentace, co jsem se obecně díval do Strongswanu, je nejlepší pro pushování rout L2TP over IPSEC, což je obsolete a na nic.
    Takže tak, prostě IKEv2 není vzhledem k routování funkční jako třeba OpenVPN.
    Buď to tedy řeš konfiguračními profily pro jednotlivé OS, nebo nedělej split a vše směruj do tunelu (=velký traffic na straně serveru a jeho konektivity), nebo použij jiné řešení.
    Každopádně to, že používáš "192.168.1.0/24", je docela problém.
    Zdar Max
    Měl jsem sen ... :(

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.