reklama

Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - noob

Stran: [1] 2
2
Sítě / Re:Wireguard a IP forwarding
« kdy: 05. 04. 2020, 19:11:02 »
Díky! To bylo přesně ono :)

3
Sítě / Wireguard a IP forwarding
« kdy: 05. 04. 2020, 16:53:40 »
Dobrý den vespolek.

Nemáte někdo představu, co si myslet o této chybě v debug logu wireguardu?

Kód: [Vybrat]
wireguard: wg0: Failed to give packet to userspace from peer 24 (82.113.xxx.xxx:63783)
Wireguard mám rozchozený na Debianu 10 a mezi peery funguje dobře. Ovšem nefunguje IP forwarding od klientů do internetu.

Konfigurační soubor WG vypadá takto:

Kód: [Vybrat]
[Interface]
Address = 10.0.99.1
PrivateKey = 4HJnsdXXXXXXPsd3BnwVs=
ListenPort = 51820

[Peer]
PublicKey = WjcVA/jDpfbhJyXXXXXXuhHW8rJivQtnk=
AllowedIPs = 10.0.99.2/24

Konfigurace iptables je IMHO správná - rozsah 10.0.88.0/24 používá strongswan a tam přístup internetu funguje bez chyb:

Kód: [Vybrat]
#iptables -L

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     icmp --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     udp  --  anywhere             anywhere             udp dpt:isakmp
ACCEPT     udp  --  anywhere             anywhere             udp dpt:ipsec-nat-t
ACCEPT     udp  --  anywhere             anywhere             udp dpt:51820
REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

#iptables -L -t nat

Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  10.0.0.0/16          anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Nějaký nápad?

4
Windows a jiné systémy / Re:Windows 7 a 2048 bit IPSec klíč
« kdy: 25. 01. 2020, 20:03:06 »
Kdyby to někdo hledal:

Kód: [Vybrat]
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters\NegotiateDH2048_AES256

0 (default) disable AES-256-CBC and MODP-2048
1 Enable AES-256-CBC and MODP-2048
2 Enforce the usage of AES-256-CBC and MODP-2048

Tady je kompletní popis: https://wiki.strongswan.org/projects/strongswan/wiki/WindowsClients

5
Windows a jiné systémy / Re:Windows 7 a 2048 bit IPSec klíč
« kdy: 22. 01. 2020, 14:17:07 »
Problém bude jinde. Windows mají všechny dostupné updaty k dnešnímu dni. A při pokusu o instalaci ... Aktualizace KB2843630 už je nainstalována.

6
Windows a jiné systémy / Windows 7 a 2048 bit IPSec klíč
« kdy: 22. 01. 2020, 13:15:30 »
Zdravím vespolek. Přeinstaloval jsem windows 7 a od té chvíle se nedokážu připojit na VPN. Server (Strongswan / IPSec / IKEv2) používá certifikát s 2048-bit klíčem. Windows podporuje maximálně 1024-bit.

Vím, že se to dá povolit někde v registrech, ale něco dělám špatně.

tohle nabízí Windows klient:

Kód: [Vybrat]
received proposals:
IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024,
IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024,
IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024,
IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024,
IKE:3DES_CBC/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024,
IKE:AES_CBC_256/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024

A tohle podporuje server:

Kód: [Vybrat]
send proposal:
...MODP_3072/MODP_4096/MODP_6144/MODP_8192/MODP_2048

Takto to vypadá v registrech klienta:
Kód: [Vybrat]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman]
"ServerMinKeyBitLength"=dword:00000800
"ClientMinKeyBitLength"=dword:00000800
"Enabled"=dword:ffffffff

Nevíte jak přinutit windows aby akceptovaly 2048-bit klíč pro VPN? Respektive jak povolit Diffie-Hellman Group 14.

7
Odchytávají málo konkurenční slovní spojení a inkasují za zobrazenou reklamu. Nic jiného bych za tím nehledal.

8
Sítě / Re:VPN pro road warriory
« kdy: 18. 12. 2019, 12:49:44 »
Strongswan (https://strongswan.org/) a IKEv2.

9
Odkladiště / Re:Jak se kompletne zbavit Google?
« kdy: 22. 07. 2019, 00:40:39 »
Nechci se poustet do detailu, ale pro pouceneho laika bych volil (2) s BB10 za nejake 3000CZK, v pripade komerce jeste s vyvedenim toku do IPsec brany a seriznuti bud proxinou nebo fw. Zavisi jak moc velky paranoik jste, ale tohle uz samo o sobe vyrazne zdrazi utok nebo smirovani.

BB10 je pořád slušně použitelná platforma, ale má minimálně dvě úskalí:
- pro vestavěný web browser neexistuje adblocker a žádnou použitelnou náhradu jsem nerozchodil
- pro android aplikace nelze nastavit žádná omezení (třeba přístup k GPS atd...), pro nativní aplikace samozřejmě ano, ale těch už je málo

IPSec bránu používám, ale aplikační firewall to nenahradí :(

P.S. největší šmírák je stejně mobilní operátor :)

10
Software / Re:AdBlock Plus a iDnes
« kdy: 27. 04. 2019, 13:46:53 »
Třeba Ghostery se dá takhle nastavit.

Osobně nemám problém s reklamou jako takovou, ale s tím, že zároveň slouží jako nástroj ke šmírování uživatelů. Vzhledem k tomu, že vlastní zobrazení reklamy se obvykle nedá oddělit od funkce šmírovací, nezbývá, než reklamu blokovat. Za rozumné řešení se dá považovat pay-wall, tj. poskytovat hodnotný obsah za peníze. Jenže z toho má většina mediálních domů strach, protože už si vychovali generaci návštěvníků, které zajímá kvantita a nemají zájem prokousávat se kvalitním, ale náročnějším obsahem.

11
Sítě / Re:ping na VDSL
« kdy: 28. 03. 2019, 13:07:02 »
VDSL od O2:

Kód: [Vybrat]
Pinging [8.8.8.8] with 64 bytes of data:
1.Reply from 8.8.8.8: Size: 64bytes Time:15ms TTL:55
2.Reply from 8.8.8.8: Size: 64bytes Time:14ms TTL:55
3.Reply from 8.8.8.8: Size: 64bytes Time:13ms TTL:55
4.Reply from 8.8.8.8: Size: 64bytes Time:14ms TTL:55
< Completed >
Ping statistics for [8.8.8.8]: Packets: Sent:4, Received:4, Lost:0 (0% loss)
Approximate round trip times in milli-seconds: Minimum: 13ms, Maximum: 15ms, Average: 14ms

12
Server / Re:Výběr stabilní VPS
« kdy: 27. 03. 2019, 09:45:33 »
Ano

13
Server / Re:Výběr stabilní VPS
« kdy: 27. 03. 2019, 00:05:15 »
Na jednu stranu pořád čekám, kdy se něco pokazí, protože za ty peníze dostávám podezřele moc muziky :) Na druhou stranu měl ten VPS sloužit jako mejlserver s jednou schránkou, takže za ty peníze by vůbec nevadilo, kdyby inzerované parametry neodpovídaly skutečnosti. Ale teď tam v pohodě běhá i nginx s fastgci, strongswan, headless chromium a podobné srandy a pořád je to svižné.

Když to srovnám s obdobnou konfigurací u Masteru, tak výkon je stejný, ale navíc mám třeba možnost snapshotů,  přístup přes VNC, nastavování PTR záznamu přes webové rozhraní a především tam jde rozběhnout plnohodnotný IPSEC a nemusím se otravovat s OpenVPN.  A to za cca šestinovou cenu. Ale jak říkám, pořád jsem ve střehu a komerční služby bych tam nestěhoval, protože běžné VPS pod 10$ vypadají nějak takto:

https://www.vpsbenchmarks.com/screener/vps_under_usd10

14
Server / Re:Výběr stabilní VPS
« kdy: 25. 03. 2019, 12:25:04 »
VPSCheap používám. Mají servery v Kalifornii, ping z ČR stabilně kolem 140ms (na seznam.cz mám 5ms). Běží to bohužel na OpenVZ a třeba IPSEC tam nejede. Jediná výhoda je v anonymitě (dá se zaplatit i bitcoinem), jinak to moc nedává smysl.

Doporučit můžu contabo.com. Servery v Německu, ping 17ms, rychlé, stabilní. (VPS S SSD, 4.99 EUR)

15
Server / Re:Gmail přijímá moje zprávy do spamu
« kdy: 14. 03. 2019, 14:28:20 »
Začal bych tím, že vytáhnu dotyčný e-mail ze Spamu na Gmailu a podívám se do hlavičky.

Jinak pokud jde o nový server, může být problém s nedostatečnou reputací. Po přestěhování vlastní domény z G-Suite na úplně nový server se mi stalo to samé. Stačilo aby pár lidí označilo, že moje e-maily nejsou spam a  problém zmizel ten samý den.

Stran: [1] 2

reklama