Подскажите OpenSource сервер видео-конференций
Форум — General
Гуглил, но не сравнивал, может кто разворачивал какие-то, поделитесь впечатлениями
Гуглил, но не сравнивал, может кто разворачивал какие-то, поделитесь впечатлениями
Есть обычный makefile https://github.com/opnsense/ports/blob/master/security/strongswan/Makefile
Как там прописать чтобы исходник брался с гита, а не из архива?
Доку читал, много букв и ничего не понятно :)
У нас есть strongswan сервер где настроены две фазы аутентификации.
leftauth=pubkey rightauth2=eap-tls
Соответсвенно со стороны клиента есть два сертификата (сертификат машины и сертификат пользователя)
Можем ли мы такую схему повторить на FreeRADIUS? Тоесть задача настроить strongswan так, чтобы все проверки (обеих фаз) со стороны сервера выполнял freeradius.
Извините если непонятно изъясняюсь. Задайте уточняющие вопросы :)
Задача найти веб-морду чтобы мышкой добавлять\удалять\редактировать клиентов которые могут подключится к свану.
StrongMan наверное не подходит, потому что он через vici тунель создает.
У свана есть https://wiki.strongswan.org/projects/strongswan/wiki/SQLite
Было бы хорошо найти готовый гуй или хотьбы какую-то API обертку
Вообще скуда дока по sql. Ну есть schema БД, ну более менее понятно про табличку identities. Но там их дохера этих табличек. Где дока по ним, описание, связи… Что за скоцтво со стороны разрабов даже ссылка на Test data битая и нету примеры заполненной БД.
https://wiki.strongswan.org/projects/strongswan/wiki/SQL
Шо делать? Может freeradius прикрутить?
Берем чип 7850 который по usb https://github.com/torvalds/linux/blob/master/drivers/net/usb/lan78xx.c
Не заводиться 1000мбит, интерфейс определяется но больше ничего. В сотке всё работает.
Кстати пробовали на винде, так там и 1000 нормально работает
Есть кто пробовал собрать из исходников свежую версию?
VPP есть в репозах, но нам нужны некоторые специфические модули типа vpp-route, vpp-nat
При сборке сыпятся много разных ошибок, некоторые из них скорее из-за кривости кода и/или make файлов в самом vpp. Вообщем если есть люди имеющий опыт сборки, готовы заплатить за сборку и настройку на нашем тестовом стенде.
Подскажите возможно ли организовать соединение с использованием двух сертификатов со стороны клиента (сертификат устройства и сертификат пользователя) ? Вроде подходит EAP-TLS, но совсем не понятно как со стороны клиента указать два сертификата в конфиге StrongSwan?
Проблема в установке DNS который отдает сервер. На клиентской стороне логи ipsec:
10[IKE] installing DNS server 8.8.8.8 via resolvconf
10[IKE] resolvconf: The specified interface lo is managed by systemd-networkd. Operation refused.
10[IKE] resolvconf: Please configure DNS settings for systemd-networkd managed interfaces directly in their .network files.
10[IKE] removing DNS server 8.8.8.8 via resolvconf
10[IKE] resolvconf: Failed to revert interface configuration: Link lo is loopback device.
10[IKE] adding DNS server failed
10[CFG] handling INTERNAL_IP4_DNS attribute failed
10[IKE] installing new virtual IP 10.0.0.1
Как вообще правильно это должно быть? Со стороны сервера у меня прописан rightdns=8.8.8.8 Я хочу чтобы этот днс применился у клиентской. До установке тунеля у меня конечно все управляется через systemd-networkd (прилетает IP от провайдера, ДНС) а вот после установке тунеля мне нужен ДНС который отдают в strongswan
Есть физический сервер с одним реальным IP адресом: 95.217.80.24 На нем живут виртуалки на бридже, NAT настраивал по мануалам, всё сводится к двум правилам:
iptables -A PREROUTING -t nat -d 95.217.80.24/32 -i eno1 -p tcp -m tcp –dport 22066 -j DNAT –to-destination 192.168.0.66:22
и
-A POSTROUTING -t nat -s 192.168.0.0/24 -o eno1 -j MASQUERADE
В результате чего я благополучно могу подключится на 95.217.80.24:22066 и попаду на 192.168.0.66:22
Всё работает, кроме… Если я аналогично создам еще одну виртуалку на этом же бридже (например её IP 192.168.0.77) то с этой виртуалке подключится на 95.217.80.24:22066 я уже не смогу - ошибка connected refused.
Я могу конечно подключатся по локальному адресу 192.168.0.66:22, но хочется именно по внешнему. Как решить эту проблему?
Рассматривая современные системы мониторинга/сбора статистики вижу, что все используют свои агенты для сбора/пересылки метрик. В то же время есть SNMP который как бы стандартизирует формат этих данных.
Мы разрабатываем что-то вроде IP-шифратора (по факту это сервер с двумя портами типа WAN\LAN) и вот думаем что поставить на него для мониторинга\управления.
Со одной стороны SNMP для управления нужен Но в то же время большинство систем мониторинга из коробки предлагают свои агенты, которые хоть и умеют забирать данные с SNMP и пересылать серверу - но это как доп.плагин\модуль. Изначально они про SNMP ничего не знают.
А как SNMP используется у вас? Не будет ли проблем, если например приезжает к вам устройство у которого для мониторинга вместо SNMP используется «свой-агент»?
Вообще слышал, что SNMP довольно устаревшая вещь. Правда ли?
Надо такое https://ru.bmstu.wiki/EAP-TTLS_(Tunneled_Transport_Layer_Security)
Замутить на strongswan. Плагин eap-ttls есть судя по таблице https://wiki.strongswan.org/projects/strongswan/wiki/PluginList
Доку и/или исходники этого плагина не нашел.
Может кто сталкивался?
Гуглил, пробовал но ничего не помогло.
Итак есть xfce 4.14
# mount
mount
proc on /proc type proc (rw,nosuid,nodev,noexec,relatime)
none on /run type tmpfs (rw,nosuid,nodev,relatime,mode=755)
udev on /dev type devtmpfs (rw,nosuid,relatime,size=10240k,nr_inodes=478997,mode=755)
devpts on /dev/pts type devpts (rw,relatime,gid=5,mode=620,ptmxmode=000)
tmpfs on /dev/shm type tmpfs (rw,nosuid,nodev)
sysfs on /sys type sysfs (rw,nosuid,nodev,noexec,relatime)
/dev/mapper/vg0-root on / type jfs (rw,relatime)
securityfs on /sys/kernel/security type securityfs (rw,nosuid,nodev,noexec,relatime)
debugfs on /sys/kernel/debug type debugfs (rw,nosuid,nodev,noexec,relatime)
configfs on /sys/kernel/config type configfs (rw,nosuid,nodev,noexec,relatime)
fusectl on /sys/fs/fuse/connections type fusectl (rw,nosuid,nodev,noexec,relatime)
pstore on /sys/fs/pstore type pstore (rw,nosuid,nodev,noexec,relatime)
efivarfs on /sys/firmware/efi/efivars type efivarfs (rw,nosuid,nodev,noexec,relatime)
cgroup_root on /sys/fs/cgroup type tmpfs (rw,nosuid,nodev,noexec,relatime,size=10240k,mode=755)
openrc on /sys/fs/cgroup/openrc type cgroup (rw,nosuid,nodev,noexec,relatime,release_agent=/lib/rc/sh/cgroup-release-agent.sh,name=openrc)
none on /sys/fs/cgroup/unified type cgroup2 (rw,nosuid,nodev,noexec,relatime,nsdelegate)
memory on /sys/fs/cgroup/memory type cgroup (rw,nosuid,nodev,noexec,relatime,memory)
mqueue on /dev/mqueue type mqueue (rw,nosuid,nodev,noexec,relatime)
/dev/sda2 on /root/mnt/media type vfat (rw,relatime,uid=1000,fmask=0022,dmask=0022,codepage=437,iocharset=ascii,shortname=mixed,errors=remount-ro)
/dev/sda1 on /root/mnt/media type iso9660 (ro,relatime,nojoliet,check=s,map=n,blocksize=2048,uid=1000)
/dev/mapper/vg0-home on /home type jfs (rw,relatime)
ramfs on /var/log type ramfs (rw,nodev,noatime,x-gdu.hide)
tmpfs on /tmp type tmpfs (rw,nosuid,noatime,size=524288k,x-gvfs-hide)
tmpfs on /home/adelieuser type tmpfs (rw,nosuid,nodev,nodiratime,relatime,size=524288k)
Уже побовал: - x-gdu.hide (есть в моем fstab, не помогает) - x-gvfs-hide (есть в моем fstab, не помогает) - UDISKS_PRESENTATION_HIDE
# cat /etc/udev/rules.d/10-udev-my.rules
ACTION=="add" KERNEL=="sd[a-z][0-9]" RUN+="/bin/mkdir -p /root/mnt/media"
ACTION=="add" KERNEL=="sd[a-z][0-9]" RUN+="/bin/mount -o uid=1000 /dev/%k /root/mnt/media"
ACTION=="remove" KERNEL=="sd[a-z][0-9]" RUN+="/bin/rmdir /root/mnt/media"
KERNEL=="tmp", ENV{UDISKS_PRESENTATION_HIDE}="1"
KERNEL=="log", ENV{UDISKS_PRESENTATION_HIDE}="1"
Какие еще идеи?
Ядро собрано:
CONFIG_XFRM=y
CONFIG_XFRM_USER=m
CONFIG_NET_KEY=m
CONFIG_INET_AH=m
CONFIG_INET_ESP=m
CONFIG_XFRM_IPCOMP=m
CONFIG_INET_IPCOMP=m
CONFIG_INET_XFRM_TUNNEL=m
CONFIG_INET_XFRM_MODE_TRANSPORT=m
CONFIG_INET_XFRM_MODE_TUNNEL=m
CONFIG_INET_XFRM_MODE_BEET=m
CONFIG_INET6_AH=m
CONFIG_INET6_ESP=m
CONFIG_INET6_IPCOMP=m
CONFIG_INET6_XFRM_TUNNEL=m
CONFIG_INET6_XFRM_MODE_TRANSPORT=m
CONFIG_INET6_XFRM_MODE_TUNNEL=m
CONFIG_INET6_XFRM_MODE_BEET=m
CONFIG_IP_NF_MATCH_AH=m
CONFIG_IP6_NF_MATCH_AH=m
CONFIG_NETFILTER_XT_MATCH_ESP=m
CONFIG_NETFILTER_XT_MATCH_POLICY=m
CONFIG_CRYPTO=y
CRYPTO_AUTHENC=y
CRYPTO_HMAC=y
CRYPTO_MD5=y
CRYPTO_CBC=y
CRYPTO_SHA1=y
CRYPTO_DES=y
==============
Starting strongSwan 5.5.3 IPsec [starter]...
modprobe: module ah4 not found in modules.dep
modprobe: module esp4 not found in modules.dep
modprobe: module xfrm_user not found in modules.dep
Пробовал и как модуль (m) и статично в ядро (y) - нефига не помогает. Про /boot/config.gz итп не советуйте, файла нет, как конфиг посмотреть хз (линух собираю через Yocto Project). Но конфиг ядра точно подхватывает - без него не собирается.
Куда копать дальше? *.ko по этим модулям искал - их нет, очевидно не компилятся они. Почему? Как заставить скомпилится ядро, чтобы не ругался strongSwan?
Приветствую
ОС - Последняя Убунта 18.х
Пытаюсь по этой доке https://dev.rutoken.ru/pages/viewpage.action?pageId=3440696
сделать вход по токенам. В качестве токена (для тестов) беру SoftHSM ( https://www.opendnssec.org/softhsm/ ) но это, думаю, не важно.
Вообщем после всех манипуляций при логине тупо не запрашивается токен с пинкодом. Как спрашивало пользователь и пароль так и спрашивает.
sudo pkcs11-tool --module /usr/lib/softhsm/libsofthsm2.so -L
Available slots:
Slot 0 (0x69cdce26): SoftHSM slot ID 0x69cdce26
token label : Token-1
token manufacturer : SoftHSM project
token model : SoftHSM v2
token flags : login required, rng, token initialized, PIN initialized, other flags=0x20
hardware version : 2.2
firmware version : 2.2
serial num : 6271f73169cdce26
pin min/max : 4/255
Slot 1 (0x1): SoftHSM slot ID 0x1
token state: uninitialized
sudo pkcs11-tool --module /usr/lib/softhsm/libsofthsm2.so -l -t
Using slot 0 with a present token (0x69cdce26)
Logging in to "Token-1".
WARNING: user PIN count low
Please enter User PIN:
C_SeedRandom() and C_GenerateRandom():
seems to be OK
Digests:
all 4 digest functions seem to work
MD5: OK
SHA-1: OK
Signatures: not implemented
Verify (currently only for RSA)
testing key 0 () -- non-RSA, skipping
Unwrap: not implemented
Decryption (currently only for RSA)
testing key 0 () -- non-RSA, skipping
No errors
cat /usr/share/pam-configs/p11
Name: Pam_p11
Default: yes
Priority: 800
Auth-Type: Primary
Auth: sufficient pam_p11_opensc.so /usr/lib/softhsm/libsofthsm2.so
Тоесть токен инцициализировал, в системе он виден. На токен залит приватный ключ. В ~/.eid/authorized_certificates сохранен сертификат с открытым ключем.
Делаю sudo pam-auth-update, отмечаю Pam_p11. Перезагружаюсь - без изменений.
Подскажите что еще проверить, куда копать?
Всем привет
Подскажите, какие есть инструменты для реализации следующей задачи.
Необходимо запретить запуск любых исполняемых файлов, которые не подписаны ЭЦП (x509 сертификат).
О системе: Linux Debian, под руктом не сидим, у пользователя права ограничены. Но в теории допускаем, что в систему может попасть вредоносный исполняемых файл. Поэтому хотим запретить все, разрешить только то, что подписано нашей ЭЦП. Тоесть будем подписывать все исполняемые системные файлы нашей ЭЦП.
Какие есть идеи?
Объясните на пальцах плз
config setup
charondebug="ike 1, knl 1, cfg 0"
uniqueids=no
conn ikev2-vpn
auto=add
compress=no
type=tunnel
keyexchange=ikev2
fragmentation=yes
forceencaps=yes
ike=aes256-sha1-modp1024,3des-sha1-modp1024!
esp=aes256-sha1,3des-sha1!
# ike=aes128-sha-modp1024,aes192-sha-modp1024,aes256-sha-modp1024!
# esp=aes128-sha-modp1024,aes192-sha-modp1024,aes256-sha-modp1024
dpdaction=clear
dpddelay=300s
rekey=no
left=%any
leftid=192.168.1.1
leftcert=/etc/ipsec.d/certs/vpn-server-cert.pem
leftsendcert=always
leftsubnet=192.168.1.0/24
right=%any
rightid=%any
rightauth=eap-ikev2
rightsourceip=192.168.1.10-192.168.1.100
rightdns=8.8.8.8,8.8.4.4
rightsendcert=never
eap_identity=%identity
Корневой CA которым подписан vpn-server-cert.pem - добавлен в систему и подключение успешно устанавливается. Но не понятно на счет rightauth=eap-ikev2 Задача собственно иметь сертификаты с двух сторон, чтобы был сертификат и у сервера и у клиента который подключается (это не сертификаты пользователя, а сертификат машины).
Салют камрады!
Задача организовать IPSEC и сделать авторизацию пользователей по сертификатам. Гугл подсказал, что есть xAuth модуль который поддерживает авторизацию пользователей. Но вот можно ли использовать именно стандартные сертификаты x509 не совсем понятно.
Ткните в какой-то мануал, или документацию где расжевано.
Заранее спасибки!
Салют камрады! Что-то неладное с натом...
Есть серв с одним IP, на нем виртуалки. К виртуалкам нужен доступ из вне, делаю проброс портов по мануалу
cat /proc/sys/net/ipv4/ip_forward
1
iptables -n -v -L -t nat --line-number
Chain PREROUTING (policy ACCEPT 9 packets, 836 bytes)
num pkts bytes target prot opt in out source destination
1 1 52 DNAT tcp -- enp2s0 * 0.0.0.0/0 148.25.46.100 tcp dpt:2203 to:192.168.0.3:22
2 0 0 DNAT tcp -- enp2s0 * 0.0.0.0/0 148.25.46.100 tcp dpt:2203 to:192.168.0.3:22
3 2 104 DNAT tcp -- enp2s0 * 0.0.0.0/0 148.25.46.100 tcp dpt:13389 to:192.168.0.2:3389
4 0 0 DNAT tcp -- enp2s0 * 0.0.0.0/0 148.25.46.100 tcp dpt:5269 to:192.168.0.3:5269
5 0 0 DNAT tcp -- enp2s0 * 0.0.0.0/0 148.25.46.100 tcp dpt:5222 to:192.168.0.3:5222
6 0 0 DNAT tcp -- enp2s0 * 0.0.0.0/0 148.25.46.100 tcp dpt:5223 to:192.168.0.3:5223
7 1 60 DNAT tcp -- enp2s0 * 0.0.0.0/0 148.25.46.100 tcp dpt:80 to:192.168.0.4:80
8 0 0 DNAT tcp -- enp2s0 * 0.0.0.0/0 148.25.46.100 tcp dpt:2204 to:192.168.0.4:22
9 0 0 DNAT tcp -- enp2s0 * 0.0.0.0/0 148.25.46.100 tcp dpt:8083 to:192.168.0.4:8083
10 0 0 DNAT tcp -- enp2s0 * 0.0.0.0/0 148.25.46.100 tcp dpt:8080 to:192.168.0.2:8080
11 0 0 DNAT tcp -- enp2s0 * 0.0.0.0/0 148.25.46.100 tcp dpt:8090 to:192.168.0.2:8090
12 0 0 DNAT tcp -- enp2s0 * 0.0.0.0/0 148.25.46.100 tcp dpt:80 to:192.168.0.4:80
13 0 0 DNAT tcp -- enp2s0 * 0.0.0.0/0 148.25.46.100 tcp dpt:2204 to:192.168.0.4:22
14 0 0 DNAT tcp -- enp2s0 * 0.0.0.0/0 148.25.46.100 tcp dpt:2203 to:192.168.0.3:22
15 0 0 DNAT tcp -- enp2s0 * 0.0.0.0/0 148.25.46.100 tcp dpt:1701 to:192.168.0.2:1701
16 0 0 DNAT tcp -- enp2s0 * 0.0.0.0/0 148.25.46.100 tcp dpt:4500 to:192.168.0.2:4500
17 0 0 DNAT tcp -- enp2s0 * 0.0.0.0/0 148.25.46.100 tcp dpt:500 to:192.168.0.2:500
18 0 0 DNAT tcp -- enp2s0 * 0.0.0.0/0 148.25.46.100 tcp dpt:1723 to:192.168.0.2:1723
19 0 0 DNAT tcp -- enp2s0 * 0.0.0.0/0 148.25.46.100 tcp dpt:47 to:192.168.0.2:47
Chain INPUT (policy ACCEPT 6 packets, 328 bytes)
num pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 4 packets, 240 bytes)
num pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 5 packets, 292 bytes)
num pkts bytes target prot opt in out source destination
1 0 0 MASQUERADE all -- * enp2s0 192.168.0.0/24 0.0.0.0/0
Видно, что PREROUTING срабатывает, и трафик перенаправляет. А вот маскарад не срабатывает, и обратно пакеты не идут
Делал по мануалу https://pve.proxmox.com/wiki/Network_Model
cat /etc/network/interaces
source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback
iface lo inet6 loopback
auto enp2s0
iface enp2s0 inet static
address 148.25.46.100
netmask 255.255.255.224
gateway 148.251.46.97
iface enp2s0 inet6 static
address 2a01:4f8:202:172::2
netmask 64
gateway fe80::1
auto vmbr0
iface vmbr0 inet static
address 192.168.0.1
netmask 255.255.255.0
bridge_ports none
bridge_stp off
bridge_fd 0
post-up echo 1 > /proc/sys/net/ipv4/ip_forward
post-up iptables -t nat -A POSTROUTING -s '192.168.0.0/24' -o eth0 -j MASQUERADE
post-down iptables -t nat -D POSTROUTING -s '192.168.0.0/24' -o eth0 -j MASQUERADE
Камрады подскажите пжлс
Задача запустить на сервере графическую тулзу со своего компа. Благополучно справился с этим настроив X11 Forwarding.
Подключаюсь к серверу ssh -X -v user@ip -p port
Задача поработать с тулзой, и закрыть ее так, чтобы она не закрылась, а продолжила работать на сервере.
Потом с другого компьютера мне нужно восстановить эту сессию X11 Forwarding. Чтобы я мог продолжить работать с программой, по аналогии со screen -r
Щыро благодарю за любую помощь)
Задача зашифровать хард своим алгоритмом. Не спрашивате зачем своим)
Подскажмте в какую сторону копать для расширения поддерживаемых алгоритмов шифрования.
| следующие → |