Příspěvky

841

Software / Re:problem s letsencrypt na androide

« kdy: 06. 07. 2018, 08:59:31 »

Pridal som tam vsetky certifikaty

Kód: [Vybrat]

SSLCertificateKeyFile    /etc/letsencrypt/live/web/privkey.pem
SSLCertificateFile       /etc/letsencrypt/live/web/cert.pem
SSLCertificateChainFile  /etc/letsencrypt/live/web/chain.pem
SSLCertificateChainFile  /etc/letsencrypt/live/web/fullchain.pema stejne to pise, ze certifikat pochadza z nedoverihodnej autority

842

Software / Re:problem s letsencrypt na androide

« kdy: 06. 07. 2018, 07:29:54 »

Jestli to chápu správně, tak jste upravoval PEM soubor, ve kterém není certifikát, ale privátní klíč. Webserver ale klientovi (prohlížeči) posílá certifikát(y), ne privátní klíče, takže mezilehlé certifikáty musíte přibalit k certifikátu (často soubor s příponou .crt).

V adresary

Kód: [Vybrat]

/etc/letsencrypt/live/web/mam symlinky na 4 subory

Kód: [Vybrat]

cert.pem
chain.pem
fullchain.pem
privkey.pemktore som vygeneroval prikazom

Kód: [Vybrat]

./letsencrypt-auto certonly --webroot -w /var/www/web -d moj-web.com -d www.moj-web.comVystup z generovania

Kód: [Vybrat]

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/web/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/web/privkey.pem
   Your cert will expire on 2018-08-31. To obtain a new or tweaked
   version of this certificate in the future, simply run
   letsencrypt-auto again. To non-interactively renew *all* of your
   certificates, run "letsencrypt-auto renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-leAko som uviedol vyssie v prispevku, pridal som do

Kód: [Vybrat]

/etc/apache2/sites-available/web.confdirektivu

Kód: [Vybrat]

SSLCertificateKeyFile /etc/letsencrypt/live/web/fullchain.pemAle vysledok sa nedostavil. myslel som si, ze mam tam chybu (key), cize som to upravil na

Kód: [Vybrat]

SSLCertificateFile /etc/letsencrypt/live/web/fullchain.pemale restart apache zlyhal (pre spatny config).

Když je tak tajné, jaký web to je, asi si budeš muset vystačit sám. Mohlo by pomoct https://www.ssllabs.com/ssltest/.

Web tu nechcem uvadzat, pretoze je to urceny len pre urcity okruh ludi a nechcem ho zverejnovat. Ten test som vcera spravil ... dostal som hodnotenie  B.
Priznam sa, ze neviem velmi dobre po anglicky, ale test mal vystupy vacsinou v zelenych, resp. oranzovych cislach. Jedine cervenym bolo v sekcii Configuration - Handshake Simulation

Kód: [Vybrat]

IE 8 / XP   No FS 1   No SNI 2 Server sent fatal alert: handshake_failure Ak je potrebne dodat nejake vysledky neni problem (web tu ale nechcem zverejnovat)

843

Software / Re:problem s letsencrypt na androide

« kdy: 05. 07. 2018, 23:18:28 »

do confu pre vhost

Kód: [Vybrat]

/etc/apache2/sites-available/web.confsom pribalil aj existujuci fullchain.pem

Kód: [Vybrat]

SSLCertificateKeyFile /etc/letsencrypt/live/web/fullchain.pemrestart apache

Kód: [Vybrat]

systemctl reload apache2a problem pretrvava aj nadalej

844

Software / Re:problem s letsencrypt na androide

« kdy: 05. 07. 2018, 12:28:17 »

S Androidem jsem měl přesně stejný problém a stačilo právě přibalit mezilehlý certifikát Let's Encrypt k certifikátu pro danou doménu, čímž již byla známá cesta až k (důvěryhodnému) kořeni.

Ako přibalit mezilehlý certifikát Let's Encrypt k certifikátu pro danou doménu

845

Software / Certifikáty Let's Encrypt nefungují na Androidu

« kdy: 05. 07. 2018, 08:22:04 »

Mam nejake weby s certifikatmi od letsencrypt. Vacsinou nemam problem nikde, ale ked chcem web prehliadat na android 6.0.1, tak stale hlasi

Kód: [Vybrat]

Vyskytli sa problemy s bezpecnostnym certifikatomKed kliknem na zobrazit certifikat, tak dostanem

Kód: [Vybrat]

Certifikat nepochadza z doverihodnej autorityMinimalne je to tak na android 6.0.1 miui stable 8.5.3.0, prehliadac 8.7.7

846

Distribuce / Re:aky pouzivate system na web

« kdy: 01. 07. 2018, 20:46:23 »

Zabudol som napisat na com to ide ...
Asrock s CPU j1900 a 8GB RAM + 120GB SSD a 3TB disk na data. V dome lacny hlupy gigabit switch a router RB 450.
Linka bohuzial VDSL 30/5 ale aspon verejna a staticka IPv4 (zadara) 

Nie som do networkingu, serveringu, cloudingu, nejaky fachman (mam to len ako zabavu) ale chcem sa opytat ako sa riesi pozicia serverov.
Mam tym na mysli DMZ. Ja to napr. nemam v DMZ. Mam to v LAN a na routery robim forwarding na konkretnu IP adresu v KVM ci LXC a snazim sa nastavit firewall cez iptables.

847

Distribuce / Distribuce pro web server

« kdy: 01. 07. 2018, 11:23:59 »

Jedna sa o domaci web server, nic velkeho minimalny pristup klientov, otvoreny aj z wan (cez free dynamic dns)
Dlho som fungoval na fyzyckom servery ubuntu 14.04 lamp s virtualhosty (4-5).
Pred nedavnom som presiel na proxmox a tam som pouzil kontajner (lxc) s debian 9 +apache/mariadb/php7 (na testovacie ucely som nasadil dokuwiki, nextcloud, phpfusion, wordpress) zatial OK.
Dalsi lxc je centos7: nginx/mariadb/php-fpm (zatial phpfusion) tiez celkom OK.

Chcel by som vediet co pouzivate vy, nemusi to byt len home server, moze byt aj mensia firma, prip. aj nejake podnikove riesenia. Viem ze podnikove riesenia bezia na clusteroch , HA atd ... ale ja si to doma asi nemozem dovolit a nie som zastancom ziadnych free ani platenych VPS, cloudov atd .... radsej si to vsetko testujem a skusam na kolene

848

Software / Re:Kancelářský balík (office) online

« kdy: 30. 06. 2018, 14:54:34 »

dokuwiki uz mam 
Teraz chcem otestovat collabora (na edit, odt a spol), ale chcel som vediet ci je aj nieco ine v com je mozne editovat office (samozrejme vo web browsery).
Lebo velmi sa mi nechce ist do dockerov ked mam LXC

849

Software / Re:Kancelářský balík (office) online

« kdy: 29. 06. 2018, 21:35:26 »

Takze mam sa na to vykaslat ??
Ja viem ze v gmaily mozem editovat office subory (min. doc/x) ale chcel som nieco skusit nieco na vlastnom servery/cloude

850

Software / Kancelářský balík (office) online

« kdy: 29. 06. 2018, 14:26:39 »

Hladal som nejaku web aplikaciu, ktora by obsahovala nejaky editor dokumentov (libre office, prip. ms office) a fungovala cez web prehliadac. Do oka mi padlo nextcloud + collabora, kde je mozne vytvarat/editovat libre office dokumenti (urcite to neni plnohodnotyn libre office, ale aspon zakladne funkcie tam funguju).
Momentalne pouzivam LXC kontajnery debian, centos ... a ked som o tom vyhladaval nejake info, tak collabora zatial funguje cez docker.
Do dockera sa mi velmi nechce ist, viem o tom malo a tie repozitare alebo img z githubu, ze vraj nie su overene a bohvie co obsahuju.
A na koniec, ze LXC ani docker nepodporuju. Idealne je nainstalovat v KVM plnohodnotnu VM a docker spustat tam.
Mate niekto skusenosti s collaborou, prip. je nieco podobne ako collabora ?
Ide mi cisto o testovacie ucely

851

Sítě / Re:Připojení k OpenVPN přes klienta

« kdy: 17. 06. 2018, 11:20:28 »

Vysledok sa dostavil a davam sem postup:
Samozrejme openvpn a openssl musi byt nainstalovane a nastaveny openvpn klient

Kód: [Vybrat]

opkg update
opkg install openvpn-opensslNerobil som to cez terminal, ale v luci

Kód: [Vybrat]

network -- interfaces -- add new interface

Kód: [Vybrat]

Name of the new interface - tun0
Protocol of the new interface - static address
Cover the following interface - Ethernet Adapter: "tun0"
submitHlavna konfiguracia pre interface tun0
v General setup

Kód: [Vybrat]

IPv4 adress 10.8.0.140
Netmask 255.255.255.0Na ostatnych kartach sa nemusi uz nic nastavovat

Kód: [Vybrat]

save and applyFirewall

Kód: [Vybrat]

network -- firewall -- add
Name tun0
input, output, forward som nastavil na accept
Masquerading -- yes
Covered networks -- tun0a v casti  Inter-Zone Forwarding

Kód: [Vybrat]

Allow forward to destination zones:  lan
Allow forward from source zones: lan
save applyPo tychto nastaveniach bezi vsetko tak ako som chcel.
Na openvpn servery sa nic nemusi nastavovat.
Dakujem vsetkym zucastnenim za podporu a cenne rady

852

Sítě / Re:Připojení k OpenVPN přes klienta

« kdy: 12. 06. 2018, 21:36:19 »

Ja som sa teraz z toho vsetkeho sam zamotal. Tak som sa rozhodol, ze to radsej nakreslim aj s popisom.
Cesta je nasledovna OpenVPN server -- mikrotik -- Internet -- OpenWRT -- Hlupy Stroj.

Mirotik v tom nehraje velku rolu (resp. na mikrotiku je vsetko nastavene).
Vobec ho nebolo potrebne kreslit, ale kedze je tam, tak som ho nakreslil.

Ja sa potrebujem dostat z hlupim strojom (s IP 192.168.80.100) na Openvpn server (10.8.0.1).
Pozor !!!!
Nepotrebujem sa dostat zo strojom 192.168.80.100 dalej. Cesta konci na 10.8.0.1 (cize ip_forward na openvpn servery nepotrebujem, je vypnuty).
To je vlastne vsetko. Neviem ci je to bezne, alebo nie. Ale mne sa skor zda, ze konfigurovat by sa mal openwrt router.
Hlupy stroj sa neda konfigurovat vobec a OpenVPN server je nakonfigurovany tak, ze s openvpn klientom na openwrt sa spoji, cize tam by som tiez nejake zmeny konfiguracie vylucil.
Jedine kde sa musia robit nejaky zmeny mi vychadza len openwrt (ci uz routy, maskarady, naty ..... to neviem a na to sa vlastne pytam)

853

Sítě / Re:Připojení k OpenVPN přes klienta

« kdy: 12. 06. 2018, 08:40:24 »

Pokud váš router s OpenWRT dostane IP od VPN serveru, tak vše funguje správně. Jediné, co potřebuje mít nastaveno, jsou routy do všech sítí, do kterých se chcete na druhé straně dostat, což může proběhnout automaticky nebo ručně, to je jedno. Ostatní (maškaráda, předávání dat z tunelu do LAN na druhé straně) je třeba řešit na VPN serveru. A zakopaný pes je na 99% právě v tom, že pakety sice doputují na VPN server, ale ten neví, co s nimi dále dělat.

Ospravedlnujem sa, nie som sietar, ale tato problematika ma zaujma a ak mam cas, tak vzdy s niecim experimentujem.
Ano presne tak ako pisete (mam to uz aj v prvom prispevku) OpenWRT adresuu uspesne od OpenVPN servera ziska.
Ja si to vysvetlujem takto:

Kód: [Vybrat]

Spojenie 10.8.0.1 --- 10.8.0.140 funguje
Spojenie 10.8.0.140 --- 192.168.80.100 funguje
Spojenie 192.168.80.100 --- 10.8.0.1 nefungujeCize jedno riesenie je spravit v OpenWRT NAT, ale nie medzi LAN a WAN, ale medzi LAN a TUN.
Alebo druhe riesenie je routovanie. Ja sa vsak mojim malym mozgom domnievam, ze pakety treba smerovat medzi sietami z roznymi IP adresami. V tomto pripade sa musi smerovat medzi 192.168.80.1 a 10.8.0.140.
Lebo ten hlupy stroj co ma IP 192.168.80.100 netusi, ze existuje nejaka IP 10.8.0.1 (ale vie, ze existuje 10.8.0.140 (ta IP by mala predstavovat vlastne GW z pohladu 192.168.80.100)).
Sorry ja som este nikdy neroutoval, v zdy co sa dalo, tak som bridgoval

Ostatní (maškaráda, předávání dat z tunelu do LAN na druhé straně) je třeba řešit na VPN serveru

To si nemyslím, na serveru ty pakety končí a tak NAT není potřebný. Ten je potřebný na klientovi. push/pull je určený spíše pro přidání routy do sítě za servem.
Mě by zajímal výpis z klienta

Kód: [Vybrat]

ip routea

Kód: [Vybrat]

iptables -t nat -LTy pravidla může být potřeba dát na začátek -I místo -O, aby to něco neblokovalo. Pak mě napadlo - jakou IP má WAN klienta? ten přeci routuje net. Jestli tam není nějaká kolize rozsahů s VPN. Na VPN je rozsah /24?

Vystup IP route

Kód: [Vybrat]

default via 192.168.1.1 dev eth0.2  src 192.168.1.154
10.8.0.0/24 dev tun0  src 10.8.0.140
192.168.1.0/24 dev eth0.2  src 192.168.1.154
192.168.1.1 dev eth0.2  src 192.168.1.154
192.168.80.0/24 dev br-lan  src 192.168.80.1
A nat tabulka, je to ale dost neprehladne. Je tam aj ta maskarada, vid. prispevky vyssie.

Kód: [Vybrat]

Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
prerouting_rule  all  --  anywhere             anywhere             /* !fw3: user chain for prerouting */
zone_lan_prerouting  all  --  anywhere             anywhere             /* !fw3 */
zone_wan_prerouting  all  --  anywhere             anywhere             /* !fw3 */

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
postrouting_rule  all  --  anywhere             anywhere             /* !fw3: user chain for postrouting */
zone_lan_postrouting  all  --  anywhere             anywhere             /* !fw3 */
zone_wan_postrouting  all  --  anywhere             anywhere             /* !fw3 */
MASQUERADE  all  --  192.168.80.0/24      anywhere           

Chain postrouting_lan_rule (1 references)
target     prot opt source               destination         

Chain postrouting_rule (1 references)
target     prot opt source               destination         

Chain postrouting_wan_rule (1 references)
target     prot opt source               destination         

Chain prerouting_lan_rule (1 references)
target     prot opt source               destination         

Chain prerouting_rule (1 references)
target     prot opt source               destination         

Chain prerouting_wan_rule (1 references)
target     prot opt source               destination         

Chain zone_lan_postrouting (1 references)
target     prot opt source               destination         
postrouting_lan_rule  all  --  anywhere             anywhere             /* !fw3: user chain for postrouting */

Chain zone_lan_prerouting (1 references)
target     prot opt source               destination         
prerouting_lan_rule  all  --  anywhere             anywhere             /* !fw3: user chain for prerouting */

Chain zone_wan_postrouting (1 references)
target     prot opt source               destination         
postrouting_wan_rule  all  --  anywhere             anywhere             /* !fw3: user chain for postrouting */
MASQUERADE  all  --  anywhere             anywhere             /* !fw3 */

Chain zone_wan_prerouting (1 references)
target     prot opt source               destination         
prerouting_wan_rule  all  --  anywhere             anywhere             /* !fw3: user chain for prerouting */
REDIRECT   tcp  --  anywhere             anywhere             tcp dpt:9999 /* !fw3: luci-remote */ redir ports 443


854

Sítě / Re:Připojení k OpenVPN přes klienta

« kdy: 11. 06. 2018, 20:53:20 »

Je to tak ako pises, (v prvom prispevku je topologia siete)

Kód: [Vybrat]

OpenVPN_server_Linux(10.8.0.1)------Internet------OpenVPN_client_LEDE/OpenWRT(10.8.1.140)-----LAN_192.168.80.0/24-----Stroj_bez_OpenVPN_192.168.80.100OpenVPN Server ma IP adresu 10.8.0.1.
OpenVPN_client_LEDE/OpenWRT uspesne ziskal od OpenVPN servera IP adresu 10.8.0.140 (cize odtial sa pingnem na 10.8.0.1)
LEDE/OpenWRT - LAN adresa siete 192.168.80.0/24.

Má stroj masku 192.168.80.255 a bránu "LANadresa klienta"?
Jak má klient routování (route -n)? Je na klientovi zapnutá maškaráda do VPN?

Teraz ti neviem povedat aku ma stroj masku (ale mal by mat 255.255.255.0 (CIDR /24).
Klienta myslis ten hlupy stroj s 192.168.80.100 ? Alebo myslis LEDE/OpenWRT ?

momentalne je openwrt nejaky rozbity, takze zajtra ho resetujem a nastavim na novo (nemam ani backup, zatial som ho nerobil, lebo vela zmien oproti defaultu tam neni).
Ale ako som spomenul vyssie tak som tam zatial supol tieto pravidla
toto do NATu

Kód: [Vybrat]

iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o tun0 -j MASQUERADEa tieto do filtra

Kód: [Vybrat]

iptables -A FORWARD  -i br-lan -o tun0 -j ACCEPT
iptables -A FORWARD  -o br-lan -i tun0 -j ACCEPTale aj tak to nechodilo

855

Sítě / Re:Připojení k OpenVPN přes klienta

« kdy: 10. 06. 2018, 21:37:26 »

zrejme to az take trivialne nebude ako sa zdalo byt. Ocakaval som, ze bude potrebna routa v lede medzi tun0 (openvpn) a br-lan(ethernet).
Asi tomu az tak velmi nerozumiem.
Z prveho prispevku je jasne, ze medzi ovpn serverom a ovpn klientom spojenie funguje (pingam 10.8.0.1 a 10.8.0.140).
Medzi ovpn klientom v leda a lan klientom, spojenie taktiez funguje (pingam 10.8.0.140 a 192.168.80.100).
Teoreticky by sa malo nasmerovat  192.168.80.0/24 na 10.8.0.1.
Bohuzial si neviem sam poradit. Teoria je pekna vec, ale ja to potrebujem spravit aj prakticky