Сообщения sysmerge_

ipsec ikev2 - подключается без корневого

Добрый день, лор. Установил и настроил ikev2 впн, Debian 11, strongSwan U5.9.1/K5.10.0-21-amd64, сертификаты сгенерировал самоподписанные так, адрес сервер впн - 100.100.100.1 ( там публичный ip, это для примера )

 pki --gen --type rsa --size 4096 --outform pem > ca-key.pem
 pki --self --ca --lifetime 3650 --in ~/pki/private/ca-key.pem \
    --type rsa --dn "CN=VPN root CA" --outform pem > ca-cert.pem
 pki --gen --type rsa --size 4096 --outform pem > server-key.pem
 pki --pub --in server-key.pem --type rsa | pki --issue --lifetime 1825 --cacert ~/pki/cacerts/ca-cert.pem         --cakey ca-key.pem --dn "CN=100.100.100.1" --san @100.100.100.1 --san 100.100.100.1 --flag serverAuth --flag ikeIntermediate --outform pem     > server-cert.pem

Конфиг выглядит так

config setup
	charondebug="ike 1, knl 1, cfg 1"
	uniqueids=no

conn ikev2-vpn
	auto=add
	compress=no
	type=tunnel
	keyexchange=ikev2
	fragmentation=yes
	forceencaps=yes

conn ikev2-vpn
	dpdaction=clear
	dpddelay=300s
	rekey=no
	left=%any
	leftid=100.100.100.1
	leftcert=server-cert.pem
	leftsendcert=always
	leftsubnet=0.0.0.0/0
	right=%any
	rightid=%any
	rightauth=eap-mschapv2
	rightsourceip=10.10.10.0/24
	rightdns=8.8.8.8,8.8.4.4
	rightsendcert=never
	eap_identity=%identity
	ike=aes256-sha256-modp2048,aes128-sha256-modp2048,aes256-sha1-modp2048,aes128-sha1-modp2048!
	esp=aes256-sha256-modp2048,aes128-sha256-modp2048,aes256-sha1-modp2048,aes128-sha1-modp2048!

Юзеры положены в ipsec.secrets. Тут-то и начинается интересное, я ожидаю, что при попытке подключения macOs ventura пошлет меня, не сумев проверить самоподписанный сертификат, а во факту успешно подключается, мне не пришлось добавлять корневой к себе на машину. Вопрос - почему так, может я что-то не так настроил? На что обратить внимание в логах?

Jun 11 05:36:00  charon: 09[IKE] EAP method EAP_MSCHAPV2 succeeded, MSK established
Jun 11 05:36:00  ipsec[9332]: 09[IKE] EAP method EAP_MSCHAPV2 succeeded, MSK established
Jun 11 05:36:00  charon: 09[ENC] generating IKE_AUTH response 4 [ EAP/SUCC ]
Jun 11 05:36:00  charon: 09[NET] sending packet: from 100.100.100.1[4500] to 212.124.28.17[16992] (80 bytes)
Jun 11 05:36:00  charon: 12[NET] received packet: from 212.124.28.17[16992] to 100.100.100.1[4500] (112 bytes)
Jun 11 05:36:00  charon: 12[ENC] parsed IKE_AUTH request 5 [ AUTH ]
Jun 11 05:36:00  charon: 12[IKE] authentication of '192.168.0.104' with EAP successful
Jun 11 05:36:00  charon: 12[IKE] authentication of '100.100.100.1' (myself) with EAP
Jun 11 05:36:00  charon: 12[IKE] IKE_SA ikev2-vpn[17] established between 100.100.100.1[100.100.100.1]...212.124.28.17[192.168.0.104]
Jun 11 05:36:00  charon: 12[IKE] peer requested virtual IP %any
Jun 11 05:36:00  charon: 12[CFG] reassigning offline lease to 'vpnusernnn'
Jun 11 05:36:00  charon: 12[IKE] assigning virtual IP 10.10.10.1 to peer 'vpnusernnn'
Jun 11 05:36:00  charon: 12[IKE] peer requested virtual IP %any6
Jun 11 05:36:00  charon: 12[IKE] no virtual IP found for %any6 requested by 'vpnusernnn'
Jun 11 05:36:00  charon: 12[CFG] selected proposal: ESP:AES_CBC_256/HMAC_SHA2_256_128/NO_EXT_SEQ
Jun 11 05:36:00  charon: 12[IKE] CHILD_SA ikev2-vpn{2} established with SPIs c315596a_i 05a05f74_o and TS 0.0.0.0/0 === 10.10.10.1/32
Jun 11 05:36:00  charon: 12[ENC] generating IKE_AUTH response 5 [ AUTH CPRP(ADDR DNS DNS) SA TSi TSr N(MOBIKE_SUP) N(ADD_6_ADDR) ]
Jun 11 05:36:00  charon: 12[NET] sending packet: from 100.100.100.1[4500] to 212.124.28.17[16992] (272 bytes)

debian, ikev2, ipsec

sysmerge_
(11.06.23 13:03:29 MSK)

2 комментария

анализ лога

Доброй ночи. Подскажите, пожалуйста, в какую сторону копать для решения такой задачи - есть лог запросов, который постоянно пишется, довольно активный. Мне нужно из потока запроса находить определенные по простому критерию - клиент выполняет определенную последовательность запросов. На примере:

client1 - /
client2 - /
client3 - /
client3 - /url/
client4 - /
client5 - /
client6 - /
client5 - /url/

Из этого набора меня интересуют client3 и client5. Отмечу, что как показано на client5 эти запросы не обязательно последовательны. Но ловить нужно именно последовательность - главная, а потом другая страница.

Вопрос, собственно, чем это удобнее будет регализовать? На bash не выйдет? Потому что мне пока только python вместе с tail -f в голову приходит Важное уточнение - это не пост анализ лога, а в реальном времени.

bash, python, логи

sysmerge_
(15.02.22 02:11:06 MSK)

6 комментариев

Убить tcp соединение в macos

Добрый день. Подскажите, пожалуйста, каким способом можно убить tcp соединение в macos? dsniff не собирается, у него последний релиз 10 лет назад и постоянно какие-то зависимости не удовлетворены. Казалось бы, такая простая задача, а я уже час сижу не пойму. Даже в windows это сделать довольно легко.

Может кто-то все таки собирал dsniff/tcpkill ?

macos, tcp

sysmerge_
(26.01.22 15:55:20 MSK)

5 комментариев

Выбор панели управления

Добрый вечер, лор. Такой вопрос, а какие нынче хостеры используют панели управления? Интересуют опенсорс решения. Как-то пользовался я вестой, но судя по всему проект сдох, форки его тоже особо оптимизмом не заряжают. CWP еще нравится, активно использую. Но хочется еще альтернатив работоспособных

панель управления

sysmerge_
(24.01.21 19:38:11 MSK)

7 комментариев

OpenBSD 6.6 has been released!

https://www.openbsd.org/66.html

Всех причастных грац. Постер к этой версии как никогда хорош.

openbsd

sysmerge_
(17.10.19 17:55:57 MSK)

42 комментария

mcabber логирование статусов

Здравствуйте. Есть в настройках mcabber'а параметр `logging_ignore_status` и выставлен он у меня на 0. При этом статусы (и автостатусы) не логгируются, тольк входы и выходы. За логгирование отвечает это часть конфига:

set logging_dir = ~/.mcabber/histo/
set log_muc_conf = 1
set logging_ignore_status = 0

В самой конференции статусы «Никнейм [o>a] Автостатус (неактивен)» и тд отображаются. хОтелось бы видеть их и в логе. Выставленные вручную в лог не пишутся тоже.

Подскажите, пожалуйста, куда копать? В багтрекере мкаббера миллион лет тишины. Или может посоветуете клиент поживее, где логгирование можно настроить удобнее, обязательно со статусами.

jabber, mcabber

sysmerge_
(07.05.19 18:20:03 MSK)

1 комментарий

openbsd - нож в спину откуда не ждали

Добрый вечерок, лор. Проснулся я, значит, с отличной идеей выпилить из своего OpenBSD current весь gtk софт. Благо его и так было не много. Но внезапно оказалось, что qt приложения имеют в зависимостях......GTK+3

Там примерно такая схема qt4 хочет gstreamer-plugins-base, а он хочет gvfs, который тянет gcr, который, внезапно, тянет gtk+3 Так же и с qt5

Как с этим жить?

gtk, openbsd, qt

sysmerge_
(17.02.19 15:12:08 MSK)

66 комментариев (стр. 2)

RSS подписка на новые темы