Témata

1

Sítě / Přesměrování UDP přes iptables

« kdy: 05. 04. 2024, 08:28:14 »

Zdravím vespolek.

Používám démon uredir pro přesměrování UDP portu na serveru na jiný stroj v internetu (a jiný port).

Kód: [Vybrat]

uredir -n -s  [port] [cílová ip] [cílový port] Funguje to svěle, pokud není démon pod velkou zátěží, pak má tendenci spadnout. Můžu vytvořit watchdog, ale na serveru jsou k dispozici i iptables, což by bylo elegantnější řešení.

Zkoušet jsem hledat jak na to, nicméně tuhle trivialitu prostě neumím dotáhnout do konce.

2

Server / Převod domény z Webnode

« kdy: 23. 03. 2023, 09:56:42 »

Zdravím vespolek.
Máte nějakou zkušenost z transferem domény zakoupené přes Webnode? Na jakýkoliv požadavek přes jejich webový formulář přijde odpověď:

-----------------------------------
Vážený uživateli,

děkujeme za Vaši zprávu. Právě ji zpracováváme a budeme na ni reagovat co nejdříve. Aktuálně se potýkáme s nestandardním množstvím požadavků, na dotazy však obvykle odpovídáme do 72 hodin podle aktuálního množství zpráv v oddělení naší zákaznické podpory. V případě, že Vaši zprávu obdržíme během víkendu, je možné další zdržení. 
 
Pokud je váš dotaz urgentní, například se blíží expirace Vaší domény nebo Prémiových služeb, kontaktujte nás prosím pomocí soukromé zprávy na Facebooku. Připojte k ní i ID komunikace, které najdete v předmětu této zprávy. Vaši žádost tak vyřešíme mnohem rychleji.
 
Některé typy požadavků (například změna přihlašovacích údajů, nastavení domény nebo informace o předplacených službách) vyžadují Vaši autorizaci. Proto nás prosím kontaktujte z e-mailové adresy, kterou jste použili při registraci do služby Webnode. Využít k tomu můžete formulář "Napište nám", který najdete v pravém menu našeho webu.
 
Toto je automaticky generovaná zpráva, neodpovídejte na ni prosím. Děkujeme za spolupráci a přejeme příjemnou tvorbu webu.

Tým Webnode
-----------------------------------

Po dvou dnech jsem zkoušel i tu zprávu na FB, ale bez reakce. Předpokládám, že bez jejich součinnosti tu doménu nikam nepřesunu? Jako registrátor je uveden Media4Web s.r.o

3

Sítě / Wireguard a IP forwarding

« kdy: 05. 04. 2020, 16:53:40 »

Dobrý den vespolek.

Nemáte někdo představu, co si myslet o této chybě v debug logu wireguardu?

Kód: [Vybrat]

wireguard: wg0: Failed to give packet to userspace from peer 24 (82.113.xxx.xxx:63783)
Wireguard mám rozchozený na Debianu 10 a mezi peery funguje dobře. Ovšem nefunguje IP forwarding od klientů do internetu.

Konfigurační soubor WG vypadá takto:

Kód: [Vybrat]

[Interface]
Address = 10.0.99.1
PrivateKey = 4HJnsdXXXXXXPsd3BnwVs=
ListenPort = 51820

[Peer]
PublicKey = WjcVA/jDpfbhJyXXXXXXuhHW8rJivQtnk=
AllowedIPs = 10.0.99.2/24

Konfigurace iptables je IMHO správná - rozsah 10.0.88.0/24 používá strongswan a tam přístup internetu funguje bez chyb:

Kód: [Vybrat]

#iptables -L

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     icmp --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     udp  --  anywhere             anywhere             udp dpt:isakmp
ACCEPT     udp  --  anywhere             anywhere             udp dpt:ipsec-nat-t
ACCEPT     udp  --  anywhere             anywhere             udp dpt:51820
REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

#iptables -L -t nat

Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  10.0.0.0/16          anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Nějaký nápad?

4

Windows a jiné systémy / Windows 7 a 2048 bit IPSec klíč

« kdy: 22. 01. 2020, 13:15:30 »

Zdravím vespolek. Přeinstaloval jsem windows 7 a od té chvíle se nedokážu připojit na VPN. Server (Strongswan / IPSec / IKEv2) používá certifikát s 2048-bit klíčem. Windows podporuje maximálně 1024-bit.

Vím, že se to dá povolit někde v registrech, ale něco dělám špatně.

tohle nabízí Windows klient:

Kód: [Vybrat]

received proposals:
IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024,
IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024,
IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024,
IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024,
IKE:3DES_CBC/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024,
IKE:AES_CBC_256/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024

A tohle podporuje server:

Kód: [Vybrat]

send proposal:
...MODP_3072/MODP_4096/MODP_6144/MODP_8192/MODP_2048

Takto to vypadá v registrech klienta:

Kód: [Vybrat]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman]
"ServerMinKeyBitLength"=dword:00000800
"ClientMinKeyBitLength"=dword:00000800
"Enabled"=dword:ffffffff

Nevíte jak přinutit windows aby akceptovaly 2048-bit klíč pro VPN? Respektive jak povolit Diffie-Hellman Group 14.

5

Sítě / Nefunguje IPv6 v Debianu 9 pod KVM

« kdy: 19. 02. 2019, 20:16:21 »

Marně se snažím rozchodit ipv6 na debianu 9 pod KVM. Všechno vypadá normálně, ale nepingnu si na IP na lokálním rozhraní. A dokonce ani na ipv6 loopback, což mě zaráží nejvíc. Nemáte někdo představu co mám prověřit?

Kód: [Vybrat]

root@server:~# sysctl -a|grep disable_ipv6
net.ipv6.conf.all.disable_ipv6 = 0
sysctl: reading key "net.ipv6.conf.all.stable_secret"
sysctl: reading key "net.ipv6.conf.default.stable_secret"
net.ipv6.conf.default.disable_ipv6 = 0
sysctl: reading key "net.ipv6.conf.eth0.stable_secret"
net.ipv6.conf.eth0.disable_ipv6 = 0
sysctl: reading key "net.ipv6.conf.lo.stable_secret"
net.ipv6.conf.lo.disable_ipv6 = 0


Kód: [Vybrat]

$ ip -6 address

 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 state UNKNOWN qlen 1
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
    inet6 2a02:c205:2024:XXXX::1/64 scope global
       valid_lft forever preferred_lft forever
    inet6 fe80::250:56ff:fe3e:263b/64 scope link
       valid_lft forever preferred_lft forever


Kód: [Vybrat]

$ ip -6 route

2a02:c205:2024:XXXX::/64 dev eth0 proto kernel metric 256  pref medium
fe80::/64 dev eth0 proto kernel metric 256  pref medium
default via fe80::1 dev eth0 metric 1024  pref medium


Kód: [Vybrat]

root@server:~# ping6 ::1
PING ::1(::1) 56 data bytes

...nic se neděje a po ^C ...

Kód: [Vybrat]

--- ::1 ping statistics ---
6 packets transmitted, 0 received, 100% packet loss, time 5113ms


6

Hardware / Jak dimenzovat HW pro webserver?

« kdy: 24. 06. 2010, 16:35:10 »

Máte někdo představu jaký HW je potřeba pro webserver zobrazující kolem milionu stránek denně? Apache/php/mysql, poměrně rozsáhlé tabulky. Chtěl jsem to původně odvodit ze současného stavu, ale teď  běží na serveru ještě postfix, který generuje podstatné množství zátěže.