Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Témata - noob

Stran: [1]
1
Sítě / Wireguard a IP forwarding
« kdy: 05. 04. 2020, 16:53:40 »
Dobrý den vespolek.

Nemáte někdo představu, co si myslet o této chybě v debug logu wireguardu?

Kód: [Vybrat]
wireguard: wg0: Failed to give packet to userspace from peer 24 (82.113.xxx.xxx:63783)
Wireguard mám rozchozený na Debianu 10 a mezi peery funguje dobře. Ovšem nefunguje IP forwarding od klientů do internetu.

Konfigurační soubor WG vypadá takto:

Kód: [Vybrat]
[Interface]
Address = 10.0.99.1
PrivateKey = 4HJnsdXXXXXXPsd3BnwVs=
ListenPort = 51820

[Peer]
PublicKey = WjcVA/jDpfbhJyXXXXXXuhHW8rJivQtnk=
AllowedIPs = 10.0.99.2/24

Konfigurace iptables je IMHO správná - rozsah 10.0.88.0/24 používá strongswan a tam přístup internetu funguje bez chyb:

Kód: [Vybrat]
#iptables -L

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     icmp --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     udp  --  anywhere             anywhere             udp dpt:isakmp
ACCEPT     udp  --  anywhere             anywhere             udp dpt:ipsec-nat-t
ACCEPT     udp  --  anywhere             anywhere             udp dpt:51820
REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

#iptables -L -t nat

Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  10.0.0.0/16          anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Nějaký nápad?

2
Windows a jiné systémy / Windows 7 a 2048 bit IPSec klíč
« kdy: 22. 01. 2020, 13:15:30 »
Zdravím vespolek. Přeinstaloval jsem windows 7 a od té chvíle se nedokážu připojit na VPN. Server (Strongswan / IPSec / IKEv2) používá certifikát s 2048-bit klíčem. Windows podporuje maximálně 1024-bit.

Vím, že se to dá povolit někde v registrech, ale něco dělám špatně.

tohle nabízí Windows klient:

Kód: [Vybrat]
received proposals:
IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024,
IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024,
IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024,
IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024,
IKE:3DES_CBC/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024,
IKE:AES_CBC_256/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024

A tohle podporuje server:

Kód: [Vybrat]
send proposal:
...MODP_3072/MODP_4096/MODP_6144/MODP_8192/MODP_2048

Takto to vypadá v registrech klienta:
Kód: [Vybrat]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman]
"ServerMinKeyBitLength"=dword:00000800
"ClientMinKeyBitLength"=dword:00000800
"Enabled"=dword:ffffffff

Nevíte jak přinutit windows aby akceptovaly 2048-bit klíč pro VPN? Respektive jak povolit Diffie-Hellman Group 14.

3
Sítě / Nefunguje IPv6 v Debianu 9 pod KVM
« kdy: 19. 02. 2019, 20:16:21 »
Marně se snažím rozchodit ipv6 na debianu 9 pod KVM. Všechno vypadá normálně, ale nepingnu si na IP na lokálním rozhraní. A dokonce ani na ipv6 loopback, což mě zaráží nejvíc. Nemáte někdo představu co mám prověřit?

Kód: [Vybrat]
root@server:~# sysctl -a|grep disable_ipv6
net.ipv6.conf.all.disable_ipv6 = 0
sysctl: reading key "net.ipv6.conf.all.stable_secret"
sysctl: reading key "net.ipv6.conf.default.stable_secret"
net.ipv6.conf.default.disable_ipv6 = 0
sysctl: reading key "net.ipv6.conf.eth0.stable_secret"
net.ipv6.conf.eth0.disable_ipv6 = 0
sysctl: reading key "net.ipv6.conf.lo.stable_secret"
net.ipv6.conf.lo.disable_ipv6 = 0

Kód: [Vybrat]
$ ip -6 address

 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 state UNKNOWN qlen 1
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
    inet6 2a02:c205:2024:XXXX::1/64 scope global
       valid_lft forever preferred_lft forever
    inet6 fe80::250:56ff:fe3e:263b/64 scope link
       valid_lft forever preferred_lft forever

Kód: [Vybrat]
$ ip -6 route

2a02:c205:2024:XXXX::/64 dev eth0 proto kernel metric 256  pref medium
fe80::/64 dev eth0 proto kernel metric 256  pref medium
default via fe80::1 dev eth0 metric 1024  pref medium

Kód: [Vybrat]
root@server:~# ping6 ::1
PING ::1(::1) 56 data bytes

...nic se neděje a po ^C ...

Kód: [Vybrat]
--- ::1 ping statistics ---
6 packets transmitted, 0 received, 100% packet loss, time 5113ms

4
Hardware / Jak dimenzovat HW pro webserver?
« kdy: 24. 06. 2010, 16:35:10 »
Máte někdo představu jaký HW je potřeba pro webserver zobrazující kolem milionu stránek denně? Apache/php/mysql, poměrně rozsáhlé tabulky. Chtěl jsem to původně odvodit ze současného stavu, ale teď  běží na serveru ještě postfix, který generuje podstatné množství zátěže.

Stran: [1]