Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - Ignotus

Stran: 1 2 [3]
31
Sítě / Re: OpenVPN neprojde ping na lokalni sit
« kdy: 12. 10. 2011, 22:49:47 »
Skúsil by som ešte:

1. nainštalovať na klientovi aktuálnu verziu openvpn (2.0.9 sa mi zdá byť dosť stará a tak sa mi marí, že s ňou boli na win7 problémy)

2. zmeniť interface na klientovi aj serveri z tap na tun. Samozrejme ak z nejakého dôvodu nie je nutný tap interface - ale na bežnú tcp/udp/icmp komunikáciu stačí aj tun.

32
Sítě / Re: OpenVPN neprojde ping na lokalni sit
« kdy: 12. 10. 2011, 21:06:40 »
Dobrý den,

snažím se na domácím serveru rozjet OpenVPN. Mám server, se 2. síťovými kartami. Veřejnou a vnitřní. Klient se na server připojí, ale nepingne si lokální síť eth1. Divné je, že ani ping nedorazí na vnější síťovou kartu.

Kód: [Vybrat]
tcpdump -ni eth0 icmp
- mlčí


na externú IP nepríde ICMP paket, ale bude zabalený v UDP.

Konfigurace serveru: http://pastebin.com/y5eFCcbX
Log serveru: http://pastebin.com/TuZYt9dn
Konfigurace klienta (Win7): http://pastebin.com/APCBSBz2
Log klienta: http://pastebin.com/PVs5Jjbg

v konfiguráku servera je zakomentovaný riadok

push "route 192.168.20.0 255.255.255.0"

Predpokladám, že 192.168.20.0 je adresa vnútornej siete.

Klient vlastne nevie, že má takúto sieť k dispozícii cez vpn, ale všetky pakety posiela na default gateway. Na win7 sa to dá overiť príkazom

netstat -rn

Kód: [Vybrat]
Část fw:
#icmp(0) - echo replay - odpoved
$IPTABLES -A INPUT -i eth0 -p icmp --icmp-type 0 -j ACCEPT
$IPTABLES -A INPUT -i eth1 -p icmp --icmp-type 0 -j ACCEPT
$IPTABLES -A INPUT -i tap0 -p icmp --icmp-type 0 -j ACCEPT
#icmp(3) - destination unreable - nedorucitelny datagram
$IPTABLES -A INPUT -i eth0 -p icmp --icmp-type 3 -j ACCEPT

#icmp(8) - echo request - zadost
$IPTABLES -A INPUT -i eth0 -p icmp --icmp-type 8 -j ACCEPT
$IPTABLES -A INPUT -i eth1 -p icmp --icmp-type 8 -j ACCEPT
$IPTABLES -A INPUT -i tap0 -p icmp --icmp-type 8 -j ACCEPT

#icmp(11) - time execeed - cas doby doruceni skoncil
$IPTABLES -A INPUT -i eth0 -p icmp --icmp-type 11 -j ACCEPT

#OpenVPN
$IPTABLES -A INPUT -i tap0 -j ACCEPT

# OpenVPN
$IPTABLES -A INPUT -i eth0 -p udp --dport 1194 -j ACCEPT

#Povoleni NAT-maskarady v jadre
echo "1" > /proc/sys/net/ipv4/ip_forward
$IPTABLES -A FORWARD -i eth1 -o eth0 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to 46.149.120.6

Co dělám špatně? Předem všem děkuji za rady.

Je mi ľúto, s iptables bude musieť poradiť niekto iný.

33
Software / Re: Donutit program aby nic nevypisal
« kdy: 02. 09. 2011, 21:33:30 »
Stačí na koniec príkazového riadku pridať & (prinajmenšom to tak funguje na kombinácii FreeBSD a tcsh)

34
Windows a jiné systémy / Re: Problém s připojením k RDP
« kdy: 10. 06. 2011, 10:42:44 »
Neviem ako win7, ale xp štandardne povoľovali komunikáciu len z vlastnej siete - vo FW stačilo zadefinovať ďalšie zdrojové adresy.

35
Sítě / Re: DNS query denied
« kdy: 19. 02. 2011, 02:05:46 »
allow-query-cache, pripadne skontrolovat allow-query. Mali by tam byt vsetky stroje, ktore sa mozu pytat daneho servera.

36
Hardware / Re: HTC desire a import certifikačnej autority
« kdy: 28. 01. 2011, 10:02:50 »
Ahoj,

vyzera to tak, ze Android ma stale problem importovat Root CA, a vo vseobecnosti Root CA nejako rozumne spravovat. Oficialny thread: "Issue 11231: Provide support for managing CA and client certificates": http://code.google.com/p/android/issues/detail?id=11231

Linku som čítal, kvôli nej som zakladal diskusiu.

V kazdom pripade: mam Desize Z, A2.2 a vlastnu CA s vlastnymi certifikatmi pre weby a maily. Momentalne fungujem tak, ze z casu na cas sa ma mailova aplikacia (pouzivam default) spyta, ci naozaj trustujem mojmu certifikatu, pretoze ho nevie overit. Inak ale veselo pouzivam SSL/TLS aj na IMAP aj na SMTP.

Takže sa to dá obísť. Fajn.

imaps i smtps na serveru se self-signed certifikátem používám bez problémů i bez potvrzování důvěryhodnosti serveru v aplikaci k-9 mail. vestavěný email klient s tím měl nějaký problém - ale teď už fakt nevím, jestli to bylo ssl nebo něco jiného. každopádně k9 je na poštu mnohem lepší :-)

Z toho mi vyplýva, že s aplikáciami tretích strán nie je problém.

37
Hardware / Re: HTC desire a import certifikačnej autority
« kdy: 28. 01. 2011, 08:17:47 »
Telefon mam a otazku certifikatov som riesil tiez, nie je s nimi absolutne ziaden problem.
Certifikaty sa importuju do credential storage, co je len akesi tvoje zaheslovane ulozisko.

Urcite doporocujem.

Ďakujem za odpoveď.

Mrzí ma, zrejme som nesprávne sformuloval otázku. Nepotrebujem importovať klientske certifikáty, ale serverové. Čo som zbežne pozrel google, tak v credential storage sa ukladajú práve klientske.

Ak by bol niekto ochotný urobiť test, stačí otvoriť stránku https://www.cacert.org/ , či ju browser bez problémov zobrazí. Prípadne - ak môžem byť taký drzý, ale výrazne by mi to pomohlo - ma cez súkromné správy kontaktovať ohľadne prihlasovacích údajov na emailový server, či sa z neho podarí stiahnuť a poslať email.

V prípade kúpy budem telefón najbližšie 2 roky používať na emaily, ssh, jabber, a nemôžem si dovoliť ostať bez týchto služieb.

38
Hardware / HTC Desire a import certifikačnej autority
« kdy: 27. 01. 2011, 23:24:18 »
Ahojte,

plánujem kúpiť HTC desire (nie HD) a okrem iného potrebujem používať IMAP a SMTP cez SSL.
Na serveri používam certifikát podpísaný cacert.org a preto by som sa rád opýtal niekoho kto má s týmto telefónom skúsenosti, či je možné importovať root keys certifikačných autorít.

Ďakujem.

39
Software / Re: Najlepsi OS podla odbornikov
« kdy: 17. 01. 2011, 13:15:15 »
Najlepší je ten, ktorý vieš používať ;)

40
Server / Re: Stavba jednoduché firemní sítě
« kdy: 12. 01. 2011, 02:43:43 »
Zdar,
padají tady návrhy nahradit server NASkou.. supr..
 
Ale čím nahradit doménový řadič ? U malých firem to bývá jeden stroj s fileserverem..
Existuje nějaká náhrada AD řadiče pro správu uživatelů? ..něco distribuovaného?

Používam sambu a openldap backend ... ale je fakt že na domain policy môžem zabudnúť. Tuším na to existuje nejaký workaround, ale momentálne ju používam len na overovanie počítačov, užívateľov, a drobnosti ako je politika tvorby hesla (dĺžka), jeho expirácie a blokácie v prípade neúspešných pokusov o prihlásenie.

41
Software / Re: Občas mi nechodí maily
« kdy: 11. 01. 2011, 22:45:06 »
Existují správné reverzní záznamy pro ty IP adresy? Většina dnešních mail serverů je využívá jako minimální kontrolu důvěryhodnosti. Odkud ty maily odesíláš? Nemůžeš použít nějaký svůj mail server a zkontrolovat logy, jestli se v nich nepíše, proč mail neodešel?

Lenže to by mal problém odoslať email zo svojho servera, nie prijať z cudzieho.

Každopádne skontrolovať logy je výborný nápad, z toho sa človek môže dozvedieť veľa  ;)
Prípadne by si mohol vytvoriť dočasný alias a dať ho sem, tí z nás ktorí majú pod palcom nejaký emailový server by mohli vidieť čo sa deje.

Stran: 1 2 [3]