LINUX.ORG.RU

Сообщения alexni

 

IPIP or GRE Ubuntu - Mikrotik

Всем привет.

Подскажите, кто сталкивался. Поднял тоннель между убунту и микротик. на убунту:

auto to_ki
iface to_ki inet static
        address 10.1.50.1
        netmask 255.255.255.252
        mtu 1400 #пробовал разные, или вообще не указывать
        pre-up iptunnel add to_ki mode ipip local x.x.x.x remote y.y.y.y ttl 225
        pointopoint 10.1.50.2
        up ip route add z.z.z.z/29 dev to_ki
        post-down iptunnel del to_ki
        

на микроте все прото. keepalive отключил (как в нете вычитал), хотя и с включенным работает)

Все бы ничего, тоннель поднимается, все отлично. НО! Download - 200Mbit, Upload - 5-6Mbit.

Игрался с MTU - бесполезно. Нашел на просторах статью, что якобы софт в убунту глючный - это и проблема. Обновлял до 18.04, 20.04 - безрезультатно. Поставил Debian10 - без результата.

В чем еще может быть проблема?

p.s. между двумя микротами даже по gre скорость до 300 в обе стороны. Ikev не включен.

 , ,

alexni ()

ошибка отправки почты Zimbra

Всем привет. имеется zimbra 8.8.12 на ubuntu 16.04. после обновления системы и перезагрузки все письма входящие исходящие висят в active queue и ни туда ни сюда. Со входящей почтой +- получилось их растыкать юзерам отключив antivirus, antispam. а вот исходящая никак. (на гугл и тд) в логах

Dec 30 13:26:33 mail postfix/smtp[6427]: fatal: specify a password table via the `smtp_sasl_password_maps' configuration parameter Dec 30 13:26:34 mail postfix/master[4298]: warning: process /opt/zimbra/common/libexec/smtp pid 6427 exit status 1 Dec 30 13:26:34 mail postfix/master[4298]: warning: /opt/zimbra/common/libexec/smtp: bad command startup -- throttling

но у меня нет релея, нет «исходящей» авторизации… zimbraMTAMyNetworks is set to 127.0.0.0/8 [::1]/128 X.X.X.X/32 пробовал уже установить ZimbraMTARelayHost и убрать его, мож попустит, но нет…

Что произошло - ума не приложу. Файрвол открыл полностью (мож там заскок) - не помогает… В логах нет даже попытки отправки письма гуглу. в этот момент получаю такую ошибку (см выше) и все.

 

alexni ()

Переадресация трафика на другой IP

Здравствуйте.

Скажите, можно как-то организовать форвард трафика на другой сервак, к примеру

-A FORWARD -s 10.0.0.0/24 -d 125.124.123.122 -j SNAT\DNAT –to-source/destination 95.125.125.5

пример бредовый, но смысл думаю понятен. суть в том, что мне нужно когда юзер тычется на определенные IP направить его в другое место

 

alexni ()

DHCP сервер и релей на одном хосте

День добрый.

Задача собственно проста. Нсть хосты, на них есть адреса 10.0.1.0/24, 10.0.1.0/24 и тд и есть внешние.

Нужно чтоб внешние обслуживал один из них, а внутренние каждые свой, т.к. внешние могут меняться между хостами и перескручивать каждый раз неудобно.

Кто-то сталкивался с таким? isc-dhcp-server и isc-dhcp-relay стартуют оба и активны, настроены на разные интерфесы, но не раздают ни тот ни тот.

 

alexni ()

траффик между тремя подсетями

Здравствуйте. Есть необходимость обьединить 3 подсети. Имеется: подсети 10.0.0.0/24, 10.0.1.0/24, 10.0.2.0/24, шлюзы соответственно 10.0.0.1, 10.0.1.1, 10.0.2.1.

10.0.0.0\24, 10.0.2.0/24 подкключены чз strongswan к 10.0.1.0/24 есть еще клиенты VPN (99% iOS, android) подключены к 10.0.1.0/24

Сложность в том, что клиенты android не имеют доступ только к шлюзам, но не имеют доступа к хостам подсетей.

10.0.1.1 ipsec.conf:

conn offnet
	ikelifetime=60m
	keylife=20m
	rekeymargin=3m
	keyingtries=1
	authby=secret
	keyexchange=ikev2
	mobike=no
	left=1.2.4.7
	leftsubnet=10.0.1.0/24
	leftid=1.2.4.7
	leftfirewall=yes
	right=3.4.3.4
	rightsubnet=10.0.0.0/24
	rightid=3.4.3.4
    rightfirewall=yes
	auto=add

conn offnet1
	ikelifetime=60m
	keylife=20m
	rekeymargin=3m
	keyingtries=1
	authby=secret
  
	keyexchange=ikev2
	mobike=no
	left=1.2.4.7
	leftsubnet=10.0.1.0/24
	leftid=1.2.4.7
	leftfirewall=yes
	right=%any
	rightsubnet=10.0.2.0/24
	rightid=%any
    rightfirewall=yes
	auto=add



conn ikev2-vpn
    auto=add
    compress=no
    type=tunnel
    keyexchange=ikev2
    fragmentation=yes
    forceencaps=yes
    ike=aes256-sha1-modp1024,aes256-sha1-modp4096,3des-sha1-modp1024!
    esp=aes256-sha1,3des-sha1!
    dpdaction=clear
    dpddelay=30s
    rekey=yes
    left=1.2.4.7
    leftid=1.2.4.7
    leftcert=/etc/ipsec.d/certs/host.pem
    leftsendcert=always
    leftsubnet=0.0.0.0/0
    leftfirewall=yes
    right=%any
    rightid=%any
    rightsubnet=10.0.1.80/28
    rightauth=eap-mschapv2
    rightdns=8.8.8.8,8.8.4.4
    rightsourceip=10.0.1.80/28
    rightsendcert=never
    eap_identity=%identity

10.0.1.1 ip ro:

default via 1.2.4.1 dev ens19
10.0.0.0/24 via 1.2.4.7 dev ens19
10.0.1.0/24 dev ens18  proto kernel  scope link  src 10.0.1.78
10.0.1.80/28 via 10.0.1.78 dev ens18
10.0.2.0/24 via 1.2.4.7 dev ens19
1.2.4.0/24 dev ens19  proto kernel  scope link  src 1.2.4.7

10.0.0.1, 10.0.2.1:

conn offs
    ikelifetime=60m
	keylife=20m
	rekeymargin=3m
	keyingtries=1
	authby=secret
	keyexchange=ikev2
	mobike=no
	left=%any
	leftsubnet=10.0.2.0/24
	leftid=%any
	leftfirewall=yes
	right=1.2.4.7
	rightsubnet=10.0.1.0/24 #10.0.2.0/24 соответственно
	rightid=1.2.4.7
    rightfirewall=yes
	auto=start
10.0.2.1, 10.0.0.1 ip ro:
default via 192.168.8.1 dev enp1s0 proto static
10.0.2.0/24 dev enp2s0 proto kernel scope link src 10.0.2.1 #10.0.0.0/24 соответственно
192.168.8.0/24 dev enp1s0 proto kernel scope link src 192.168.8.110

пробовал к примеру на 10.0.0.1 (аналогично на 10.0.2.1):

ip route add 10.0.2.0/24 via $внешнийIP

ip route add 10.0.2.0/24 dev ens19 #«внешний» адаптер

ip route add 10.0.2.0/24 via 10.0.0.1

таблицы iptables пустые. 10.0.1.77 ip ro (отдельный хост):

default via 10.0.1.1 dev eth0
10.0.0.0/24 via 10.0.1.78 dev eth0
10.0.1.0/24 dev eth0 proto kernel scope link src 10.0.1.77
10.0.1.80/28 via 10.0.1.78 dev eth0
10.0.2.0/24 via 10.0.1.78 dev eth0
169.254.0.0/16 dev eth0 scope link metric 1002
видит хосты в обеих подсетях.

проблема - клиенты VPN (android iOS 10.0.1.80/28) видят только хосты 10.0.1.0/24 и шлюзы 10.0.2.1, 10.0.0.1 соответственно между сетями 10.0.0.0\24 и 10.0.2.0\24 трафик вообще не идет.

ооочень хочется (необходимо) получить 10.0.2.0\24 <--> 10.0.0.0\24 и тд. вобщем поток траффика между всеми хостами

мож кто чего посоветует?

 ,

alexni ()

клиент не получает доступ к локальной сети strongswan

Здравсвтуйте.

Не могу понять проблему. Если клиент получает IP адрес с той же сети, к которой подключается - нет маршрута к хостам сети, если адрес из другой сети все гут.

ipsec.conf:

conn ikev2-vpn
    auto=add
    compress=no
    type=tunnel
    keyexchange=ikev2
    fragmentation=yes
    forceencaps=yes
    ike=aes256-sha1-modp1024,aes256-sha1-modp4096,3des-sha1-modp1024!
    esp=aes256-sha1,3des-sha1!
    dpdaction=clear
    dpddelay=300s
    rekey=no
    left=%any%
    leftid=x.x.x.x
    leftcert=/etc/ipsec.d/certs/host.pem
    leftsendcert=always
    leftsubnet=10.0.1.0/24 
    leftfirewall=yes
    right=%any
    rightid=%any
    rightauth=eap-mschapv2
    rightdns=8.8.8.8,8.8.4.4
    rightsourceip=10.0.1.64/28 #(если тут 10.0.2.64/28 к примеру или что угодно другое, все работает)
    rightsendcert=never
    eap_identity=%identity

iptables пустая.

ip ro:

default via x.x.x.1 dev ens19 proto dhcp src x.x.x.x metric 100
10.0.1.0/24 via 10.0.1.1 dev ens18
10.0.1.1 dev ens18 proto dhcp scope link src 10.0.1.78 metric 100
x.x.x.0/24 dev ens19 proto kernel scope link src x.x.x.x
x.x.x.1 dev ens19 proto dhcp scope link src x.x.x.x metric 100

ipsec status:

Security Associations (1 up, 0 connecting):
   ikev2-vpn[1]: ESTABLISHED 9 minutes ago, x.x.x.x[x.x.x.x]...y.y.y.y[y.y.y.y]
   ikev2-vpn{2}:  INSTALLED, TUNNEL, reqid 2, ESP in UDP SPIs: c20c72c2_i ab617b88_o
   ikev2-vpn{2}:   10.0.1.0/24 === 10.0.1.65/32

 ,

alexni ()

маршруты к хосту

Здравствуйте. Имею проблему

default via 2.18.2.1 dev vmbr0 onlink 
10.0.1.0/24 dev vmbr1 proto kernel scope link src 10.0.1.1 
10.0.2.0/24 dev vmbr2 proto kernel scope link src 10.0.2.0 
10.0.3.0/24 dev vmbr3 proto kernel scope link src 10.0.3.0 
10.0.4.0/24 dev vmbr4 proto kernel scope link src 10.0.4.0 
10.0.5.0/24 dev vmbr5 proto kernel scope link src 10.0.5.0 
2.18.2.0/24 via 2.18.2.1 dev vmbr0

с такой таблицей маршрутов с адресов 10.0.x.x нет доступа ни к хосту 2.18.2.19 ни к компам из подсети 2.18.2.0/24.

Вся подсеть 2.18.2.0/24 привязана к хосту с IP 2.18.237.5

поправил адреса.

 

alexni ()

Две сети strongswan

Здравствуйте. Подскажите, что пошло не так? две сети связаны по vpn. но траффик идет только в одну сторону. С сети 1 в сети 2 пингуются узлы и к ним есть доступ. наоборот - нет.

сеть 1: iptables-save:

:INPUT ACCEPT [508:50910]
:FORWARD ACCEPT [458550:237778852]
:OUTPUT ACCEPT [78240:11679945]
:f2b-sshd - [0:0]
...
-A INPUT -p udp -m udp --dport 1701 -m policy --dir in --pol none -j DROP
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m multiport --dports 500,4500 -j ACCEPT
-A INPUT -p udp -m udp --dport 445 -j ACCEPT
-A FORWARD -s 10.1.0.0/24 -d 10.0.0.0/24 -i enp10s1 -m policy --dir in --pol ipsec --reqid 19 --proto esp -j ACCEPT
-A FORWARD -s 10.0.0.0/24 -d 10.1.0.0/24 -o enp10s1 -m policy --dir out --pol ipsec --reqid 19 --proto esp -j ACCEPT
-A FORWARD -s 10.1.0.0/24 -d 10.0.0.0/24 -i enp10s1 -m policy --dir in --pol ipsec --reqid 9 --proto esp -j ACCEPT
-A FORWARD -s 10.0.0.0/24 -d 10.1.0.0/24 -o enp10s1 -m policy --dir out --pol ipsec --reqid 9 --proto esp -j ACCEPT
-A FORWARD -m conntrack --ctstate INVALID -j DROP

-A FORWARD -m limit --limit 2/min -j LOG --log-prefix "iptables: "
-A FORWARD -s 10.0.0.0/24 -d 10.0.0.0/24 -j ACCEPT
-A FORWARD -s 10.0.0.0/24 -d 192.168.88.0/24 -j ACCEPT
-A FORWARD -s 192.168.88.0/24 -d 10.0.0.0/24 -j ACCEPT
-A FORWARD -s 10.1.0.0/24 -d 10.0.0.0/24 -i enp10s1 -j ACCEPT
COMMIT

ip route (enp10s1 - внешний, enp14s0 - локальная сеть):

default via 6.2.3.9 dev enp10s1 onlink
10.0.0.0/24 dev enp14s0 proto kernel scope link src 10.0.0.1
10.1.0.0/24 via 6.2.3.10 dev enp10s1
6.2.3.8/30 dev enp10s1 proto kernel scope link src 6.2.3.10
192.168.88.0/24 via 10.0.0.10 dev enp14s0

ipsec status:

        offs[20]: ESTABLISHED 48 minutes ago, 6.2.3.10[6.2.3.10]...2.1.2.1[2.1.2.1]
        offs[20]: IKEv2 SPIs: xxxxxxx_i xxxxxxxx_r*, pre-shared key reauthentication in 7 minutes
        offs[20]: IKE proposal: AES_CBC_128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256
        offs{73}:  INSTALLED, TUNNEL, reqid 19, ESP SPIs: cf361ed5_i ce823a96_o
        offs{73}:  AES_CBC_128/HMAC_SHA2_256_128, 10646 bytes_i (149 pkts, 0s ago), 9035 bytes_o (158 pkts, 0s ago), rekeying in 12 minutes
        offs{73}:   10.0.0.0/24 === 10.1.0.0/24

Сеть 2: iptables-save:

# Generated by iptables-save v1.6.1 on Thu Aug 29 10:25:52 2019
*nat
:PREROUTING ACCEPT [2294:131588]
:INPUT ACCEPT [1671:100935]
:OUTPUT ACCEPT [24:2124]
:POSTROUTING ACCEPT [23:2008]
-A POSTROUTING -s 10.1.0.0/24 ! -d 10.1.0.0/24 -j MASQUERADE
-A POSTROUTING -s 10.1.0.0/24 ! -d 10.0.0.0/24 -j MASQUERADE
COMMIT
# Completed on Thu Aug 29 10:25:52 2019
# Generated by iptables-save v1.6.1 on Thu Aug 29 10:25:52 2019
*mangle
:PREROUTING ACCEPT [2948941:1992002246]
:INPUT ACCEPT [903119:143837306]
:FORWARD ACCEPT [2034616:1847703202]
:OUTPUT ACCEPT [2275415:1991608559]
:POSTROUTING ACCEPT [4310028:3839311356]
COMMIT
# Completed on Thu Aug 29 10:25:52 2019
# Generated by iptables-save v1.6.1 on Thu Aug 29 10:25:52 2019
*filter
:INPUT ACCEPT [288340:41817735]
:FORWARD ACCEPT [115102:18769946]
:OUTPUT ACCEPT [365171:280763846]
-A FORWARD -s 10.0.0.0/24 -d 10.1.0.0/24 -i ens19 -m policy --dir in --pol ipsec --reqid 28 --proto esp -j ACCEPT
-A FORWARD -s 10.1.0.0/24 -d 10.0.0.0/24 -o ens19 -m policy --dir out --pol ipsec --reqid 28 --proto esp -j ACCEPT
-A FORWARD -s 10.0.0.0/24 -d 10.1.0.0/24 -i ens19 -m policy --dir in --pol ipsec --reqid 3 --proto esp -j ACCEPT
-A FORWARD -s 10.1.0.0/24 -d 10.0.0.0/24 -o ens19 -m policy --dir out --pol ipsec --reqid 3 --proto esp -j ACCEPT
COMMIT
# Completed on Thu Aug 29 10:25:52 2019

ip route:

default via 2.1.2.1 dev ens19 proto dhcp src 2.1.2.1x metric 100
10.0.0.0/24 via 2.1.2.1x dev ens19
10.1.0.0/24 dev ens18 proto kernel scope link src 10.1.0.5
2.1.2.0/24 dev ens19 proto kernel scope link src 2.1.2.1x
2.1.2.1 dev ens19 proto dhcp scope link src 2.1.2.1 metric 100

ipsec status:

 offnet[31]: ESTABLISHED 41 seconds ago, 2.1.2.1[2.1.2.1]...6.2.3.10[6.2.3.10]
      offnet[31]: IKEv2 SPIs: xxxxxxx_i* xxxxxxxxxxx_r, pre-shared key reauthentication in 52 minutes
      offnet[31]: IKE proposal: AES_CBC_128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256
      offnet{90}:  INSTALLED, TUNNEL, reqid 32, ESP SPIs: c8ab2758_i c697e929_o
      offnet{90}:  AES_CBC_128/HMAC_SHA2_256_128, 203032 bytes_i (2352 pkts, 0s ago), 784258 bytes_o (1938 pkts, 0s ago), rekeying in 14 minutes
      offnet{90}:   10.1.0.0/24 === 10.0.0.0/24

Где мой бок?...

 ,

alexni ()

Внешняя учетная запись в zimbra

День добрый. Сталкивался кто, при добавлении внешней учетной записи IMAP в аккаунт вылазит «invalid request: Folder location conflict»

При чем это происходит только в учетных записях для одного домена (yyy.com), для остальных доменов (xxx.com) все отлично работает.

 

alexni ()

сервер как роутер и vpn шлюз в одном

Здравствуйте.

Мож кто подскажет как решить проблему. Есть сервер, который работает в качестве маршрутизатора. на нем dhcp раздает адреса в локальную сеть из 10.0.0.0/24, и добавлено iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -j MASQUERADE.

Все гут.

Поцепил на него strongswan, приконнектил к сети 10.1.0.0/24. Теперь 10.0.0.0/24 --> 10.1.0.0/24 не идет пока не уберу маскарад, это впринципе и понятно. но при убраном маскараде клиенты в локальной сети сидят без интернета.

Как быть?

 ,

alexni ()

strongswan multicast не идет в одну сторону

здравствуйте. иемю такую проблему на сервере

oroot@pve:~# omping -c 10000 -i 0.001 -F -q 10.10.0.17 10.10.0.21
10.10.0.21 : waiting for response msg
10.10.0.21 : joined (S,G) = (*, 232.43.211.234), pinging
10.10.0.21 : waiting for response msg
10.10.0.21 : server told us to stop

10.10.0.21 :   unicast, xmt/rcv/%loss = 9003/9003/0%, min/avg/max/std-dev = 0.150/0.262/5.712/0.189
10.10.0.21 : multicast, xmt/rcv/%loss = 9003/9003/0%, min/avg/max/std-dev = 0.169/0.287/5.724/0.191

на клиенте

omping -c 10000 -i 0.001 -F -q 10.10.0.17 10.10.0.21
10.10.0.17 : waiting for response msg
10.10.0.17 : joined (S,G) = (*, 232.43.211.234), pinging
10.10.0.17 : given amount of query messages was sent

10.10.0.17 :   unicast, xmt/rcv/%loss = 10000/9999/0%, min/avg/max/std-dev = 0.145/0.272/5.801/0.163
10.10.0.17 : multicast, xmt/rcv/%loss = 10000/0/100%, min/avg/max/std-dev = 0.000/0.000/0.000/0.000
это при конфиге сервер
conn host-host
	ikelifetime=60m
	keylife=20m
	rekeymargin=3m
	keyingtries=1
	authby=secret
	keyexchange=ikev2
	mobike=no
	left=5.5.5.5
	leftid=5.5.5.5
    leftsubnet=10.10.0.0/16,224.0.0.0/4
	leftfirewall=yes
	right=6.6.6.6
	rightid=6.6.6.6
    rightsubnet=%dynamic,10.10.0.0/16,10.10.255.255
    rightsourceip=10.10.0.20/30
    mark=%unique
	auto=add

клиент

conn host-host
	ikelifetime=60m
	keylife=20m
	rekeymargin=3m
	keyingtries=1
	authby=secret
	keyexchange=ikev2
	mobike=no
	left=6.6.6.6
	leftid=6.6.6.6
    leftsubnet=10.10.0.0/16,10.10.0.0/16
    leftsourceip=%config
	leftfirewall=yes
	right=5.5.5.5
	rightid=5.5.5.5
    rightsubnet=0.0.0.0/0
	auto=add

strongswan собирал вручную с --enable-forecast. мож я чет пропустил?

 ,

alexni ()

proxmox cluster

Сталкивался кто, не получается сделать кластер с 2х нод в разных сетях.

нода1 - 1.2.3.4 нода2 - 8.7.6.5

на первой pvecm create clust - создается кластер. на второй pvecm add 1.2.3.4 - спрашивает пароль, а потом

Dec 17 14:57:55 m11617 pmxcfs[7483]: [quorum] crit: quorum_initialize failed: 2
Dec 17 14:57:55 m11617 pmxcfs[7483]: [confdb] crit: cmap_initialize failed: 2
Dec 17 14:57:55 m11617 pmxcfs[7483]: [dcdb] crit: cpg_initialize failed: 2
Dec 17 14:57:55 m11617 pmxcfs[7483]: [status] crit: cpg_initialize failed: 2
Dec 17 14:58:00 m11617 systemd[1]: Starting Proxmox VE replication runner...
Dec 17 14:58:00 m11617 pvesr[8863]: error with cfs lock 'file-replication_cfg': no quorum!
Dec 17 14:58:00 m11617 systemd[1]: pvesr.service: Main process exited, code=exited, status=2/INVALIDARGUMENT
Dec 17 14:58:00 m11617 systemd[1]: Failed to start Proxmox VE replication runner.
Dec 17 14:58:00 m11617 systemd[1]: pvesr.service: Unit entered failed state.
Dec 17 14:58:00 m11617 systemd[1]: pvesr.service: Failed with result 'exit-code'.
Dec 17 14:58:01 m11617 pmxcfs[7483]: [quorum] crit: quorum_initialize failed: 2
Dec 17 14:58:01 m11617 pmxcfs[7483]: [confdb] crit: cmap_initialize failed: 2
Dec 17 14:58:01 m11617 pmxcfs[7483]: [dcdb] crit: cpg_initialize failed: 2
Dec 17 14:58:01 m11617 pmxcfs[7483]: [status] crit: cpg_initialize failed: 2
Dec 17 14:58:01 m11617 cron[3211]: (*system*vzdump) CAN'T OPEN SYMLINK (/etc/cron.d/vzdump)
Dec 17 14:58:07 m11617 pmxcfs[7483]: [quorum] crit: quorum_initialize failed: 2
Dec 17 14:58:07 m11617 pmxcfs[7483]: [confdb] crit: cmap_initialize failed: 2
Dec 17 14:58:07 m11617 pmxcfs[7483]: [dcdb] crit: cpg_initialize failed: 2
Dec 17 14:58:07 m11617 pmxcfs[7483]: [status] crit: cpg_initialize failed: 2
Dec 17 14:58:13 m11617 pmxcfs[7483]: [quorum] crit: quorum_initialize failed: 2
Dec 17 14:58:13 m11617 pmxcfs[7483]: [confdb] crit: cmap_initialize failed: 2
Dec 17 14:58:13 m11617 pmxcfs[7483]: [dcdb] crit: cpg_initialize failed: 2
Dec 17 14:58:13 m11617 pmxcfs[7483]: [status] crit: cpg_initialize failed: 2

вот такая ругня... при чем в кластер нода как-бы добавляется и показывается, но доступа к ней нет.

proxmox 5.3-5

 ,

alexni ()

DHCP для двух нод proxmox

Здравствуйте.

Собрал кластер у proxmox'a. на одном сервере работает VM в качастве DHCP+BOOTP. как заставить ее раздавать IP для другого сервера?

serv1: a.b.c.d

serv2: x.y.z.f

имеется ввиду что сервера в разных сетях...

 ,

alexni ()

Strongswan сервер и клиент

здравствуйте.

есть задача. имеется железка с 2мя интерфейсами и установленным strongswan, которая работает как l2tp\ipsec (для обезьян с android) и ikev2 сервер. народ к ней норм подключается получает доступ к сети офиса.

Теперь стала задача сделать эту железячку еще и клиентом, который будет подключаться к другой сети.

если подкидываю в ipsec.conf

conn ne
  keyexchange=ikev2
  dpdaction=clear
  dpddelay=300s
  eap_identity="neoff"
  leftauth=eap-mschapv2
  left=%defaultroute
  leftsourceip=%config
  right=1.1.1.1
  rightauth=pubkey
  rightsubnet=1.1.1.0/29
  rightid=%any
  type=tunnel
  auto=add 

и делаю ipsec up ne то отпадает сервер.

как тут быть?

 

alexni ()

адреса из разных подсетей isc dhcp

Здравствуйте.

Можно ли осуществить и как, если можно? У меня есть 2 интерфейса vmbr0, vmbr1

/etc/dhcp/dhcpd.conf:

subnet a.a.0.0 netmask 255.255.240.0 {
range a.a.0.5-a.a.0.10;
....

host 1 {
hardware  ethernet aa:aa:aa:aa:aa;
fixed address a.a.32.5;
.....
}

host 2 {
hardware ethernet bb:bb:bb:bb:bb:bb;
fixed-address a.a.41.150;
...
}
}
subnet 10.0.0.0 netmask 255.255.255.0 {
range 10.0.0.10-10.0.0.30;
...
lhost1 {
hardware ethernet cc:cc:cc:cc:cc:cc;
fixed-address 10.0.0.35;
...
}
lhost2 {
hardware ethernet ee:ee:ee:ee:ee:ee;
fixed-address 10.0.0.36;
...
}
}

но в первой подсети надо выдавать еще адреса b.b.b.b isc-dhcp не выдает адреса при конфиге:

subnet a.a.0.0 netmask 255.255.240.0 {
...
host {
hardware ethernet ....;
fixed-address b.b.b.b;
option routers b.b.b.1;
option broadcast-address b.b.b.255;
...
}
}

а при конфиге

subnet 0.0.0.0 netmask 255.0.0.0 {
...
}
вообще не стартует.

Как можно так придумать?

 

alexni ()

Завернуть весть трафик через VPN

Здравствуйте. Не могу понять в чем дело. «Наружный» трафик не идет через VPN. VPN поднят на LibreSwan, IKEv2 сертификаты ipsec.conf

conn ikev2-off
  left=%defaultroute
  leftcert=1.1.1.1
  leftid=1.1.1.1
  leftsendcert=always
  leftsubnet=0.0.0.0/0
  leftrsasigkey=%cert
  right=%any
  rightid=%fromcert
  rightaddresspool=10.0.0.200-10.0.0.229
  rightca=%same
  rightrsasigkey=%cert
  narrowing=yes
  type=transport
  cisco-unity=yes
  dpddelay=30
  dpdtimeout=120
  dpdaction=clear
  auto=add
  ikev2=insist
  rekey=no
  fragmentation=yes
  ike=3des-sha1,3des-sha2,aes-sha1,aes-sha1;modp1024,aes-sha2,aes-sha2;modp1024
  phase2alg=3des-sha1,3des-sha2,aes-sha1,aes-sha2
  modecfgdns1=8.8.8.8
  modecfgdns2=8.8.4.4
  encapsulation=yes
Трафик внутри сети 10.0.0.0/24 идет через VPN. Весьостальной - напрямую. Как это можно исправить? При добавлении

type=passthrough type=transport

не хочет подключаться вовсе.

Если использую L2TP

conn l2tp-psk
  auto=add
  leftprotoport=17/1701
  rightprotoport=17/%any
  type=transport
  phase2=esp
  also=shared
/xl2tpd.conf
[global]
port = 1701
listen-addr = 1.1.1.1

[lns default]
ip range = 10.0.0.120-10.0.0.140
local ip = 10.0.0.1
require chap = yes
refuse pap = yes
require authentication = yes
name = l2tpd
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes

Все работает так как надо

 

alexni ()

Не видно сетевой принтер

Здравствуйте. Возникла проблема: в локальной сети стоит сервер , работает заместь роутера. В сети есть подключенный сетевой принтер. Клиенты Windows его не находят автоматически. При указании его IP все печатает. При включении через любой маршрутизатор Windows его находит.

В чем может быть проблема?

 

alexni ()

Авторизация в inetd

Здравствуйте.

Подскажите, где почитать или как осуществить доступ по паролю для отдельного порта? CVS немного не то... Пытаюсь сделать

25555 stream tcp nowait root /usr/sbin/qm qm vncproxy 1001
чтоб спрашивало пароль, а не авторизацию по логину\паролю системы

Спасибо

 ,

alexni ()

Proxmox5 vnc password

Всем привет. Народ, подскажите, как быть, испоьзуя inetd:

25021 stream tcp nowait root /usr/sbin/qm qm vncproxy 105 mypass
на telnet выдает «too many arguments». (что впринципе не дивно, так как в синтаксисе только «qm vncproxy <vmid>» без mypass — «RFB 003.080» и ждемс... vncviewer говорит "..not an RFB Server?", remmina просит сертификаты.

Вариант с:

args: -vnc 0.0.0.0:555,password 
просит пароль, но не «change vnc password mypass» ни «set_password mypass» в консоли ничего не дают. Это впринципе «плохой» вариант, т.к. прийдется после рестарта ноды каждой машине опять задавать пароли, а без пароля вообще не вариант.

Мож у кого есть идеи?

 ,

alexni ()

Удаление с iptables

Здравствуйте.

Подскажите, как удалить с iptables «на ходу». Добавление отлично работает:

iptables -t nat -A PREROUTING -p tcp ...

а вот удалить:

iptables -D PREROUTING -p tcp ...
никак не получается. (заместь троеточия одинаковая строка)

 

alexni ()

RSS подписка на новые темы