Příspěvky

16

Server / Re:Provoz po HTTPS v produkci

« kdy: 15. 12. 2022, 08:12:05 »

Že se pro vytvoření self-signed certifikátu nepoužije žádná CA jste někde četl nebo si to jen myslíte? Kdo tedy vytvořil kořenový (a tudíž i self-signed) certifikát ISRG Root X1, který používá Let's Encrypt?

Certifikační autorita je entita, která vystavuje certifikáty. Když si generuji vlastní certifikáty, tak jsem sám sobě certifikační autoritou a je úplně jedno, jestli pro koncová zařízení generuji self-signed certifikáty a nebo mám nějaký kořenový certifikátm, kterým pak teprve podepisuji CSR od koncových zařízení.

Nebo co podle vás znamená "vlastní CA"?

17

Server / Re:Provoz po HTTPS v produkci

« kdy: 14. 12. 2022, 21:04:44 »

Kde vidíš že ti Filip Jirsák navrhuje vlastní CA?

Radí mi, že mám pro spojení mezi proxy a tiskárnou použít self-signed.

Další možnost je neřešit tenhle „split-horizon“ (zařízení dovnitř, LE agent směrem ven) a zkusit jejich DNS challenge -- stačí k tomu tiskarna.example.com přidat TXT/CNAME (nikdy jsem to ale osobně nedělal).

Přesně to jsem si chtěl ujasnit, jestli mám správnou myšlenku.

18

Server / Re:Provoz po HTTPS v produkci

« kdy: 14. 12. 2022, 18:48:41 »

Reverzní proxy nechá třeba u LE nebo ZeroSSL vystavit certifikát třeba na tiskarna.example.com, bude terminovat HTTPS provoz pro tuhle adresu a bude ho přeposílat na skutečnou tiskárnu protokolem HTTP nebo HTTPS se selfsigned certifikátem.

Po třetí opakuji, že vlastní CA nechci.

19

Server / Re:Provoz po HTTPS v produkci

« kdy: 14. 12. 2022, 17:31:01 »

zpravidla nenechávám si vydávat cert koncovým zařízením (nechci, aby za to mělo odpovědnost). Takže vydání přes DNS na extra zařízení, uložení do šifrované db (např. hasicorp vault, ale stačí klidně i gpg šifrování) a distribuce na daná zařízení. Pokud jde o routery, tak využívám buď jejich http api, mngm rozhraní nebo seriový port a cert jim tam nakopíruji, zpravidla se vždy nějaká cesta najde. Držím se ale pravidla, že pouze zařízení, které jsou určena pro veřejnou komunikaci mají veřejný certifikát, ostatní interní.

Co vás vede k tomu, že koncová zařízení by neměla řešit certifikáty pro sebe? Podle mě by privátní klíč pokud možno neměl opustit koncové zařízení.

Proč by zařízení přístupná pouze z interní sítě nemohla mít LE certifikát?

Ta reverzní proxy samozřejmě může vystavovat certifikáty od LE nebo jiného poskytovatele používajícího ACME standard. Třeba Caddy server takhle funguje a zprovoznění znamená stažení binárky a napsání asi 1 řádku konfigurace.

Nerozumím. Co bude reverzní proxy vystavovat a komu?

20

Server / Re:Provoz po HTTPS v produkci

« kdy: 14. 12. 2022, 13:29:22 »

To je jedna možnost. Druhá možnost je před ta zařízení dát reverzní proxy, která vyřeší certifikáty, a se zařízením bude komunikovat buď přes HTTP, nebo přes HTTPS se selfsigned certifikátem s dlouhou platností.

Vlastní CA se chci vyhnout.

21

Server / Re:Provoz po HTTPS v produkci

« kdy: 14. 12. 2022, 13:26:07 »

Aj ked neviem co s tymto maju tlaciarne&spol.

Ještě jsem nepotkal tiskárnu, do které by šel doinstalovat (bez hackování) ACME klient. Vy nějakou takovou znáte? U routerů to stejné, pokud to je obyčejný TP-Link se stock firmwarem a ne třeba MikroTik a nebo něco s OpenWRT.

22

Server / Re:Provoz po HTTPS v produkci

« kdy: 14. 12. 2022, 12:11:06 »

Jak řešit certifikáty pro HTTPS na zařízeních, na kterých nemůže běžet ACME klient (tiskárny, routery...)? Vlastní CA mít nechci.

Je správná cesta generování certifikátů a DNS-challenge na Raspberry Pi a distribuce certifikátů na koncové za´rizení pomocí jejich API (pokud mají)?

23

Server / Re:Virtualizace desítek systémů

« kdy: 28. 11. 2022, 19:39:26 »

LXC?

24

O serveru Root.cz / Re:Problémy s přihlášení na forum přes MojeID

« kdy: 26. 10. 2022, 13:42:08 »

Děkuji za zprávu.

25

O serveru Root.cz / Problémy s přihlášení na forum přes MojeID

« kdy: 24. 10. 2022, 15:33:40 »

Dobrý den,

řeším problémy s přihlášením na forum přes MojeID.

Na foru sice není přímo v nabídce login pomocí MojeID (proč?), ale přes Open-ID by to také mělo fungovat. Postupuji tak, že pole jméno a heslo nechávám prázdné a do pole Open-ID zadávám svůj login ve formátu <muj_login>.mojeid.cz. Potom jsem přesměrován na endpoint MojeID a po potvrzení zpět na URL: https://forum.root.cz/index.php?action=register Zde se objevuje text:

Zaregistrujte se, prosím, na adrese https://www.root.cz/registrace/?refUrl=https%3A%2F%2Fforum.root.cz%2Findex.php%3Faction%3Dlogin.

Pokud již máte vytvořený účet na libovolném serveru společnosti Internet Info, nemusíte se již znovu registrovat, stačí rovnou použít existující účet pro přihlášení do diskuzních fór.

Přihlášený ale nejsem.

Kde je problém?

26

Hardware / Re:Zmenšení baterie v ThinkPadu T490

« kdy: 18. 05. 2022, 15:27:06 »

Pokud baterie vazi 237g (viz tazatelem uvedeny odkaz), tak tam stejne neni prostor na usetreni vahy. Polovicni pocet clanku (pokud jsou paralelne, tak vyhodit jednu vetev), elektronika a plast stejny, to usetri max 100g, spis mene.

Obecně není ubírání, přidávání nebo výměna článků moc dobrý nápad. Notebookové akumulátory mívají elektroniku, která počítá nabíjení a vybíjení a když se hrábne do článků, tak bude zmatená.

27

Sítě / Re:WireGuard - nefunguje připojení více peerů

« kdy: 19. 02. 2022, 18:17:51 »

@mikesznovu

Každé zařízení zkouším z jiné sítě.

Klíče jsem kontroloval několikrát. Pokud by byly špatně nastavené, tak by peer nefungoval nikdy. Jenomže on funguje, ale v jednu dobu vždy jen jeden jediný.

28

Sítě / Re:WireGuard - nefunguje připojení více peerů

« kdy: 16. 02. 2022, 09:45:12 »

@GPU

Jak jsem psal v úvodním příspěvku, PC a telefon nefungují souběžně.

Vždy funguje pouze ten peer, jehož konfigurace byla na MikroTiku naposledy editována (stačí disable a enable).

Pokud dám disable+enable na MK u peera telefonu, tak telefon ve VPN funguje. Připojím se na webconfig MK přes adresu jeho wg1 rozhraní (10.0.20.1), připojím se například na NAS ze sítě 10.0.0.0/24... Ale PC nekomunikuje.

Když pak zákážu a zase povolím peera PC, tak funguje PC. Připojím se přes Winbox na MikroTik přes adresu jeho wg1 rozhraní, dostanu se na NAS ze subnetu 10.0.0.0/24, ale odříznu si zase telefon.

@Ivan Březina

Veřejnou adresu mám přímo na MK a WireGuard mám nastavený jediný.

29

Sítě / Re:WireGuard - nefunguje připojení více peerů

« kdy: 15. 02. 2022, 21:04:46 »

@David

Dobrý připomínka. Asi to bylo kvůli tomu, aby telefon mohl komunikovat se zařízeními ze sítě 10.0.0.0/24. Každopádně, dal jsem to pryč z AllowedIPs, ale nepomohlo to.

@sosy

Změnil jsem prefixy na telefonu a na PC na /32, ale je to pořád stejné.

30

Sítě / WireGuard - nefunguje připojení více peerů

« kdy: 15. 02. 2022, 19:52:35 »

Ahoj,

řeším problém s WireGuardem s připojením více než dvou peerů.

Na MikroTiku s veřejnou IP jsem nastavil WireGuard VPN. Dále jsem WireGuard nastavil na telefonu s Adroidem a vše fungovalo jak má. Poté jsem nastavil WireGuard na počítači s Windows a zde začaly problémy. Buď funguje WG pouze s telefonem a nebo pouze s počítačem (podle toho, který peer byl na MikroTiku naposledy editován).

Konfigurace adres na MikroTiku:

Kód: [Vybrat]

/ip address
add address=10.0.0.1/24 comment="LAN" interface=bridge1 network=10.0.0.0
add address=10.0.20.1/24 comment="WireGuard" interface=wg1 network=10.0.20.0

Konfigurace WireGuardu na MikroTiku:

Kód: [Vybrat]

add listen-port=51234 mtu=1420 name=vpn1
/interface wireguard peers
add allowed-address=10.0.20.2/32,10.0.0.2/32 comment="Android-TEL" interface=wg1 public-key="ANDROID-PUB-KEY"
add allowed-address=10.0.20.3/32,10.0.0.3/32 comment="Windows-PC" interface=wg1 public-key="WINDOWS-PUB-KEY"

Konfigurace na telefonu:

Kód: [Vybrat]

[Interface]
PrivateKey = ANDROID-PRIVATE-KEY
Address = 10.0.20.2/24
DNS = 8.8.8.8

[Peer]
PublicKey = MIKROTIK-PUBLIC-KEY
AllowedIPs = 10.0.20.0/24, 10.0.0.0/24
Endpoint = vpn.example.com:51234

Konfigurace na PC:

Kód: [Vybrat]

[Interface]
PrivateKey = WINDOWS-PRIVATE-KEY
Address = 10.0.20.3/24
DNS = 8.8.8.8

[Peer]
PublicKey = MIKROTIK-PUBLIC-KEY
AllowedIPs = 10.0.20.0/24, 10.0.0.0/24
Endpoint = vpn.example.com:51234

V čem může být problém?

Díky za pomoc.