LINUX.ORG.RU

10
Всего сообщений: 126

Как узнать зависимые пакеты для сборки из исходников

Всем доброго дня. OS-Debian 9 Решил собрать openssl из исходников Скачал пакет и распаковал. Зашел в директорий src и запустил команду dpkg-checkbuilddeps После чего получил ошибку «Не удалось прочитать debian/control: No such file or directory» Подскажите как будет правильней

 , , , ,

alexbalkan ()

Настройка postfix для конкретного виртуального домена

Postfix обслуживает несколько виртуальных доменов.

Один из этих доменов получает рассылку из мыльных листов, которые не поддерживают TLS encryption. И поэтому рассылка доставляется только в том случае, когда в /etc/postfix/main.cf настроено Opportunistic TLS, а именно:

smtpd_tls_security_level = may

Но глобально (для остальных виртуальных доменов, обслуживаемых этим почтовым сервером) необходимо всё-таки выставить Mandatory TLS encryption, то есть:

smtpd_tls_security_level = encrypt

Вопрос: каким образом сделать исключение для конкретного домена, чтобы он смог получать рассылку? И при этом сохранить Mandatory TLS encryption для остальных доменов.

 ,

Deleted ()

Не работает DOT через stubby в Ubuntu 18.04

Что сделал:

1. Установил

2. В resolv.conf сменил nameserver на:

127.0.01 и ::1

3. service stubby enable, service stubby start

4. service stubby status показывает что он работает

Но никакого DOT и в помине нет на любых сервисах проверки

Что делать ?

 ,

suffix ()

TLS 1.3 + 0-RTT (early_data)

1. Эта директива появилась в nginx версии 1.15.3 (ошибки исправлены в версии 1.15.8)

Судя по описании существенно уменьшае время повторных ssl «рукопожатий».

2. Сервисы проверки уже научились определять включена ли эта опция:

https://www.htbridge.com/ssl/?id=kqokkuK1

«Server's TLSv1.3 Early Data (RFC 8446, page 17) is properly implemented»

3. Но вот примечание меня смущает:

«Proper implementation of the Early Data allows a client to use zero round trip (0-RTT) and mitigates some vectors of the Replay Attack.»

На сайте nginx советуют:

" Запросы, отправленные внутри early data, могут быть подвержены атакам повторного воспроизведения (replay). Для защиты от подобных атак на уровне приложения необходимо использовать переменную $ssl_early_data.

proxy_set_header Early-Data $ssl_early_data; "

Не понял - этот хедер куда добавить надо в случае вебсервера на свзке nginx и apache ? В nginx ? В apache ?

И вообще насколько страшна эта уязвимость ?

Отказываться просто так от фишки уменьшающий время подключения к сайту не хочется же.

 

suffix ()

Openfire tls странность

Для сервер-клиент соединения:

1.

openssl s_client -connect ххх.ххх.ххх.ххх:5222 -starttls xmpp </dev/null

Результат ОК

2.

openssl s_client -connect domain.ru:5222 -starttls xmpp </dev/null

Результат ОК

Но для сервер-сервер соединения:

1.

openssl s_client -connect domain.ru:5269 -starttls xmpp-server </dev/null

Результат ОК

2.

openssl s_client -connect xxx.xxx.xxx.xxx:5269 -starttls xmpp-server </dev/null

Результат - нет tls

(xxx.xxx.xxx.xxx соответствует domain.ru разумеется)

Это нормально?

 , ,

suffix ()

Bitbucket перестал работать из-за TLS

Несколько недель они грозили отключить старые версии TLS, ну откуда я знал что это значит. А сейчас вот какое попадалово:

hg push
...
прервано: ошибка: _ssl.c:510: error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number

Что делать? Как использовать новую версию? Обновлять SSLьные либы? Обновлять просто сам Mercurial? Что делать? Алярма!

 , ,

I-Love-Microsoft ()

Apache mod_ssl. Получить параметры из «Client Hello»

Пользователь приходит по https на апач, нужно получить параметры передаваемые в пакете «Client Hello».

Получить версию протокола получилось, код добавила в месте где уже понятно что пакет клиент_хэллоу получен (https://github.com/apache/httpd/blob/7d4c0f0eceab1dbd3fd1237e9f0b3fe9c8914861...)

    char ssl_protocol_version_code_str[16];
    sprintf(ssl_protocol_version_code_str, "%d", SSL_version(ssl));

    //Добавляем переменную в php $_SERVER
    apr_table_set(env, "EXTENTED_SSL_PROTOCOL_VERSION_CODE", ssl_protocol_version_code_str);
А вот получить список предлагаемых клиентом наборов шифрования, расширений, id сессии и пр не удается. Все семейство функций для работы с ClientHello (SSL_client_hello_get0_ciphers(), SSL_client_hello_get0_session_id и пр) возвращают нулевое значение.
В месте в котором вызываются функции пакет уже принят, я проверила тем что получила список поддерживаемых сервером методов шифрования из тех что предложил клиент с помощью SSL_get_client_ciphers().

Как заставить работать семейство функций SSL_client_hello?

 , , ,

nyka ()

Ошибка TLS в браузерах на WebKit

Значит, собрал я в своей генте webkit-gtk, поставил Midori, в домашней сетке всё пашет как надо. А в рабочей трафик ходит через HTTP-прокси (задаю в /etc/environment), и Midori вместо любой страницы выдаёт что-то там про unexpected TLS packet. То же самое в surf (тоже на WebKit), который я поставил для проверки. Приложил бы более вразумительное описание ошибки, но оба браузера при этом ничего не выводят в консоль.

Софт, не требующий шифрования, работает: emerge, pyradio, например. Менеджер пакетов в R не работает, ему нужен HTTPS. Так вот, это я что-то не дособирал или просто кривые руки?

 , ,

al_exquemelin ()

TLS, имя хоста при проверке сертификата

Всем привет. Такая ситуация: есть сервер, на нем xmail, нужно прикрутить TLS к SMTP.

Что делаю:
1. Иду на sslforfree.com и генерю файлы сертификатов и ключей для MX-поддомена.
2. Подбрасываю файлы в каталог xmail.
3. Включаю TLS в server.tab
4. Перезапускаю xmail.
5. Запускаю онлайн-чекер SMTP/TLS и вижу ошибку вида Cert Hostname DOES NOT VERIFY (mx.domain.com != Debian-70-wheezy-64-minimal)

Собственно вопрос: откуда лезет этот проклятый «Debian-70-wheezy-64-minimal», если в /etc/hostname прописан domain.com?

Если делаю «openssl s_client -showcerts -connect 127.0.0.1:465», то среди прочего вижу такое:

Server certificate
subject=/O=XMail mail server/OU=Debian-70-wheezy-64-minimal./CN=Debian-70-wheezy-64-minimal/emailAddress=root@static.x-x-x-x.clients.your-server.de
issuer=/O=XMail mail server/OU=Debian-70-wheezy-64-minimal./CN=Debian-70-wheezy-64-minimal/emailAddress=root@static.x-x-x-x.clients.your-server.de

Значит ли это, что «Debian-70-wheezy-64-minimal» прописан в сертификат? Если да, то откуда sslforfree.com его вытянул?

 ,

quwy ()

Postfix and g suite как релей.

Приветствую форумчани.
Столкнулся с проблемой отправки почты с postfix в качестве релея выступает smtp-relay.gmail.com.
Получаю ошибку:
550-5.7.1 Invalid credentials for relay [xxx.xx.xx.125]. The IP address you've 550-5.7.1 registered in your G Suite SMTP Relay service doesn't match domain of 550-5.7.1 the account this email is being sent from. If you are trying to relay 550-5.7.1 mail from a domain that isn't registered under your G Suite account 550-5.7.1 or has empty envelope-from, you must configure your mail server 550-5.7.1 either to use SMTP AUTH to identify the sending domain or to present 550-5.7.1 one of your domain names in the HELO or EHLO command

Домен mysite.com
TLS включён, HELO прописано в 3 местах
main.cf
smtpd_banner = $myhostname ESMTP
smtp_always_send_ehlo = yes
smtp_helo_name = mysite.com

master.cf
smtp unix - - y - - smtp
-o smtp_helo_name=mysite.com
Но при этом всё равно выдаёт в HELO IP xxx.xx.xx.125
postconf -n

alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
broken_sasl_auth_clients = yes
compatibility_level = 2
dovecot_destination_recipient_limit = 1
inet_interfaces = all
inet_protocols = ipv4
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
maximal_backoff_time = 8000s
maximal_queue_lifetime = 7d
minimal_backoff_time = 1000s
mydestination =
mydomain = mysite.com
myhostname = mysite.com
mynetworks = 127.0.0.0/8
myorigin = $mydomain
readme_directory = no
recipient_delimiter = +
relayhost = smtp-relay.gmail.com:587
smtp_always_send_ehlo = yes
smtp_helo_name = mysite.com
smtp_helo_timeout = 60s
smtp_tls_note_starttls_offer = yes
smtp_tls_security_level = encrypt
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtp_tls_wrappermode = yes
smtp_use_tls = yes
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
smtpd_hard_error_limit = 12
smtpd_recipient_limit = 16
smtpd_recipient_restrictions = permit_mynetworks permit_sasl_authenticated reject_non_fqdn_recipient reject_unauth_destination reject_unknown_recipient_domain reject_unauth_pipelining permit
smtpd_relay_restrictions = reject_unauth_pipelining permit_mynetworks permit_sasl_authenticated reject_non_fqdn_recipient reject_unauth_destination reject_unknown_recipient_domain permit
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sasl_exceptions_networks = $mynetworks
smtpd_sasl_local_domain = srv-web-1
smtpd_sasl_path = private/auth
smtpd_sasl_security_options = noanonymous
smtpd_sasl_type = dovecot
smtpd_sender_restrictions = permit_sasl_authenticated permit_mynetworks warn_if_reject reject_non_fqdn_sender reject_unknown_sender_domain reject_unauth_pipelining permit
smtpd_soft_error_limit = 3
smtpd_tls_auth_only = yes
smtpd_tls_cert_file = /etc/postfix/ssl/mysite.com.cert
smtpd_tls_key_file = /etc/postfix/ssl/mysite.com.key
smtpd_tls_loglevel = 1
smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3
smtpd_tls_received_header = yes
smtpd_tls_security_level = may
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_tls_session_cache_timeout = 3600s
smtpd_use_tls = yes
tls_random_source = dev:/dev/urandom
unknown_local_recipient_reject_code = 450
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual-alias-maps.cf mysql:/etc/postfix/mysql-virtual-email2email.cf
virtual_gid_maps = static:2222
virtual_mailbox_base = /var/vmail
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual-mailbox-domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf
virtual_minimum_uid = 2222
virtual_transport = smtp:smtp-relay.gmail.com:587
virtual_uid_maps = static:2222

Прошу помощи разобраться в этой проблеме. Спасибо.

 , , , ,

SimbioS ()

А почему бы не запилить на ЛОРчике аутентификацию по клиентским HTTPS сертификатам, вместо пароля?

Было бы криптографичненько и оригинально. А вместо пароля желающие самозабаниться будут выкладывать приватный ключ

 , , , ,

Harald ()

OpenVPN и XCA расширения для серверного сертификата

Добрый день! Использую Ubuntu XCA в качестве центра сертификации и в том числе хотелось бы корректно настроить туннель OpenVPN.

Столкнулся с проблемой защиты соединения.

Если включить в OpenVPN на клиенте remote-cert-tls server

То подключение не удается, по причине не достаточных расширений. Делал его через XCA, указав одно расширение «TLS Web Server Authentification»

Что еще ему нужно добавить для полноценной работы? Интересуют требования, ну и какие указать при создании через XCA.

Лог:

Certificate does not have key usage extension
VERIFY KU ERROR
OpenSSL: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
TLS_ERROR: BIO read tls_read_plaintext error
TLS Error: TLS handshake failed

доп. скрин. https://dev.rutoken.ru/download/attachments/4227143/6.png?version=1&modif...

 ,

KennySP ()

Протокол TLS 1.3 формально заапрувлен, теперь у нас ещё более безопасные интернеты

 , ,

Harald ()

MPV, The TLS connection was non-properly terminated.

При воспроизведении некоторых видео с ютуба через mpv плеер, происходит такая ошибка:

[ffmpeg] tls: The TLS connection was non-properly terminated. Failed to recognize file format.

Можно ли это каким-либо образом решить?

 , ,

us3r ()

А какой перформанс у TLS рукопожатия?

Сгенерил RSA пару на 2048 битов через keytool. Взял SSLEngine и запустил клиент-сервер на 10-ой джаве на обычном ноутбуке с последним i5. По итогу на рукопожатие уходит 200 мс - это нормально? У сервера первая SSLEngine#getDelegatedTask() таска отрабатывает где-то за 80-100 мс. У клиента примерно также. Но там еще есть вторая таска, по итогу 200 мс на рукопожатие... Мне кажется что-то тут не так?

Посмотрел на джава опции есть какой-то -XX:+UseAESIntrinsics, оно есть в OpenJDK или это только оракловский хотспот?

 , , ,

foror ()

OpenVpn: Нужный tls-cipher отсутствует. Это абзац?

Здравствуйте!

Удалённый админ прислал сертификаты и конфиг подключениея к его OpenVpn-серверу. В конфиге написано:

tls-cipher TLS-RSA-WITH-AES-256-CBC-SHA

А у меня доступны вот такие шифры:
# openvpn --show-tls
Available TLS Ciphers,
listed in order of preference:

TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384
TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384
TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA384
TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA384
TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA
TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA
TLS-DHE-RSA-WITH-AES-256-GCM-SHA384
TLS-DHE-RSA-WITH-AES-256-CBC-SHA256
TLS-DHE-RSA-WITH-AES-256-CBC-SHA
TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA
TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256
TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA256
TLS-ECDHE-ECDSA-WITH-AES-128-CBC-SHA256
TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA
TLS-ECDHE-ECDSA-WITH-AES-128-CBC-SHA
TLS-DHE-RSA-WITH-AES-128-GCM-SHA256
TLS-DHE-RSA-WITH-AES-128-CBC-SHA256
TLS-DHE-RSA-WITH-AES-128-CBC-SHA
TLS-DHE-RSA-WITH-CAMELLIA-128-CBC-SHA

То есть, у меня все с диффман-хаффманом, а у него - без.

Это значит, что я не смогу подключиться к данному серверу?

Ошибка при коннекте следующая:
OpenVPN 2.4.0 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Jul 18 2017
library versions: OpenSSL 1.0.2l  25 May 2017, LZO 2.08
WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
TCP/UDP: Preserving recently used remote address: [AF_INET]123.52.87.197:31194
Socket Buffers: R=[87380->87380] S=[16384->16384]
Attempting to establish TCP connection with [AF_INET]123.52.87.197:31194 [nonblock]
TCP connection established with [AF_INET]123.52.87.197:31194
TCP_CLIENT link local: (not bound)
TCP_CLIENT link remote: [AF_INET]123.52.87.197:31194
TLS: Initial packet from [AF_INET]123.52.87.197:31194, sid=16e1f634 e0862fb3
VERIFY OK: depth=1, C=RU, ST=NW, L=Saint-Petersburg, O=Farwater, CN=FarwaterCA
Validating certificate key usage
++ Certificate has key usage  00a8, expects 00a0
++ Certificate has key usage  00a8, expects 0088
VERIFY KU ERROR
OpenSSL: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
TLS_ERROR: BIO read tls_read_plaintext error
TLS Error: TLS object -> incoming plaintext read error
TLS Error: TLS handshake failed
Fatal TLS error (check_tls_errors_co), restarting
SIGUSR1[soft,tls-error] received, process restarting
Restart pause, 5 second(s)

 ,

Xintrea ()

А существует ли в линуксе thread-local куча?

Если да то подскажите где искать.

PS: Я никогда раньше не пользовал TLS в юзерспейсе поэтому просьба сильно не пинать :-)

 , , ,

cvv ()

Как отключить TLS на OpenVPN-сервере?

Требуется мне сделать маленькую домашнюю сетку между VDS-виртуалкой в интернете, на которой запущен OpenVPN сервер и роутером с прошивкой DD-WRT v3.0-r28598 std (роутер должен подключаться как клиент).


Далее я использую термины:

- Виртуалка - удаленная виртуалка с запущенным OpenVPN сервером
- linux-машина - тестовая машина с OpenVPN клиентом
- тестовое соединение - соединение между тестовой linux-машиной и виртуалкой
- роутер - роутер Tp-Link TL-WR1043ND, на котором нужно заставить работать OpenVPN клиент


Для начала я отладил конфиги сервера и клиента на тестовом соединении. Все с поддержкой TLS, по взрослому. В качестве клиента использовал тестовую linux машину с Debian. Клиент подключается, сетка создается, все хорошо. Но мне нужно подключать не linux-машину, а роутер с DD-WRT.

В интерфейсе роутера я включаю OpenVPN клиента, задаю параметры, ключи, все делаю аналогично отлаженному на linux-машине конфигу. И соединения не происходит. Ошибки такие (лог клиента):

20171106 14:44:26 I OpenVPN 2.3.8 mips-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Dec 24 2015
20171106 14:44:26 I library versions: OpenSSL 1.0.2e 3 Dec 2015 LZO 2.09
20171106 14:44:26 W WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
20171106 14:44:26 W NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
20171106 14:44:26 W WARNING: file '/tmp/openvpncl/client.key' is group or others accessible
20171106 14:44:26 W WARNING: file '/tmp/openvpncl/ta.key' is group or others accessible
20171106 14:44:26 I Control Channel Authentication: using '/tmp/openvpncl/ta.key' as a OpenVPN static key file
20171106 14:44:26 I Attempting to establish TCP connection with [AF_INET]193.124.188.214:1194 [nonblock]
20171106 14:44:27 I TCP connection established with [AF_INET]193.124.188.214:1194
20171106 14:44:27 I TCPv4_CLIENT link local: [undef]
20171106 14:44:27 I TCPv4_CLIENT link remote: [AF_INET]193.124.188.214:1194
20171106 14:44:28 N VERIFY ERROR: depth=1 error=self signed certificate in certificate chain: CN=Webhamster.ru-CA
20171106 14:44:28 N TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:lib(20):func(144):reason(134)
20171106 14:44:28 N TLS Error: TLS object -> incoming plaintext read error
20171106 14:44:28 NOTE: --mute triggered...
20171106 14:44:28 1 variation(s) on previous 3 message(s) suppressed by --mute
20171106 14:44:28 N Fatal TLS error (check_tls_errors_co) restarting
20171106 14:44:28 I SIGUSR1[soft tls-error] received process restarting


По опыту отлаки конфигов на тестовом linux, я уже знаю, что такие ошибки могут быть по факту из-за одного-единственного параметра tls-cipher. Выяснилось, что даже если метод шифрования поддерживается и на клиенте, и на сервере (проверяется через команду openvpn --show-tls), то не факт, что соединение будет устанавливаться.

Так как в интерфейсе DD-WRT ограниченное число методов TLS шифрования, я только эти методы проверял на тестовом соединении. (Как мне в голову пришло это проверять? Я трое суток пытался запустить тестовое соединение с установленным методом TLS-RSA-WITH-AES-256-CBC-SHA256. Крутил все настройки кроме него. Ничего не помогало. Как только выставил TLS-RSA-WITH-AES-128-CBC-SHA, волшебным образом все заработало).

Чтобы собрать какую-то картину, я протестировал на тестовом соединении разные методы, и составил следующую таблицу:

TLS-DHE-RSA-WITH-AES-256-GCM-SHA384 - не работает
TLS-DHE-RSA-WITH-AES-256-CBC-SHA256 - не работает
TLS-DHE-RSA-WITH-AES-128-CBC-SHA - работает!
TLS-RSA-WITH-AES-256-GCM-SHA384 - не работает
TLS-RSA-WITH-AES-256-CBC-SHA256 - не работает
TLS-RSA-WITH-AES-128-CBC-SHA - работает!
TLS-RSA-WITH-RC4-128-MD5 - работает!


Вот такая несовместимость между OpenVPN 2.3.4/OpenSSL 1.0.1t на сервере и OpenVPN 2.3.4/OpenSSL 1.0.1t на linux-клиенте (да, версии vpn и ssl абсолютно одинаковые).

Зная это, расчитывать что клиент openvpn на DD-WRT будет без проблем работать с сервером, не приходится. Так и произошло. Никакие попытки подключиться путем конфигурирования в интерфейсе не завершились успехом. Кстати на роутере имеем следующие версии: OpenVPN 2.3.8/OpenSSL 1.0.2e.

Тогда я написал для роутера скрипт, в который поместил все настройки из тестового соединения, которые гарантированно работают на linux:

https://pastebin.com/WJbqc51V

После запуска этого скрипта роутер намертво вешается, поэтому посмотреть лог клиента не могу (он в роутере не сохраняется). А на сервере видно буквально следующее:

Nov  6 15:39:49 webhamster ovpn-server[25980]: TCP connection established with [AF_INET]31.23.46.17:48391
Nov  6 15:39:50 webhamster ovpn-server[25980]: 31.23.46.17:48391 Connection reset, restarting [0]
Nov  6 15:39:53 webhamster ovpn-server[25980]: TCP connection established with [AF_INET]31.23.46.17:48392
Nov  6 15:39:56 webhamster ovpn-server[25980]: 31.23.46.17:48392 [gw0] Peer Connection Initiated with [AF_INET]31.23.46.17:48392
Nov  6 15:39:56 webhamster ovpn-server[25980]: gw0/31.23.46.17:48392 MULTI_sva: pool returned IPv4=192.168.2.51, IPv6=(Not enabled)
Nov  6 15:39:58 webhamster ovpn-server[25980]: gw0/31.23.46.17:48392 send_push_reply(): safe_cap=940
Nov  6 15:45:10 webhamster ovpn-server[25980]: gw0/31.23.46.17:48392 [gw0] Inactivity timeout (--ping-restart), restarting


Похоже, что соединение даже устанавливается. Но толку от него нету, потому что роутер висит.

* * *

В общем, после всех этих плясок я хочу попробовать установить соединение без TLS, сконфигурировав клиента просто через админку DD-WRT. Для этого в конфиге сервера убираю опции:

tls-auth /etc/openvpn/ta.key 0
tls-server
tls-cipher TLS-RSA-WITH-RC4-128-MD5


Но как только я эти опции убираю, сервер не стартует с такой ошибкой:

Nov  6 16:01:11 webhamster ovpn-server[5447]: Options error: --mode server requires --tls-server
Nov  6 16:01:11 webhamster ovpn-server[5447]: Use --help for more information.
Nov  6 16:01:11 webhamster systemd[1]: openvpn@server.service: control process exited, code=exited status=1
Nov  6 16:01:11 webhamster systemd[1]: Failed to start OpenVPN connection to server.
Nov  6 16:01:11 webhamster systemd[1]: Unit openvpn@server.service entered failed state.


Это значит, что запуск OpenVPN в режиме сервера (в конфиге присутсвует опция «mode server») невозможен без обязательного прописывания опции «tls-server»?

То есть, нынче OpenVPN невозможно запустить без TLS? Или есть какой-то метод все-таки запустить OpenVPN без поддержки TLS?

 , ,

Xintrea ()

postfix Домен не зашифровал это сообщение

Это дубль темы, только с решением. такого решения не нашлось в гугле.

ПРи отправке писем из моего домена в gmail, последний пишет что канал не был зашифрован. Хотя TLS у меня включен. Что я упустил? В maillog ничего не нашел, чтобы мне помогло.

[root@mail log]# postconf -n | grep tls 
lmtp_tls_mandatory_protocols = !SSLv2 !SSLv3 
lmtp_tls_protocols = !SSLv2 !SSLv3 
smtp_tls_CAfile = $smtpd_tls_CAfile 
smtp_tls_loglevel = 2 
smtp_tls_mandatory_ciphers = high 
smtp_tls_mandatory_protocols = !SSLv2 !SSLv3 
smtp_tls_note_starttls_offer = yes 
smtp_tls_protocols = !SSLv2 !SSLv3 
smtp_tls_security_level = may 
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache 
smtp_use_tls = yes 
smtpd_tls_CAfile = /etc/pki/tls/certs/iRedMail.crt 
smtpd_tls_cert_file = /etc/pki/tls/certs/iRedMail.crt 
smtpd_tls_dh1024_param_file = /etc/pki/tls/dh2048_param.pem 
smtpd_tls_dh512_param_file = /etc/pki/tls/dh512_param.pem 
smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA 
smtpd_tls_key_file = /etc/pki/tls/private/iRedMail.key 
smtpd_tls_loglevel = 2 
smtpd_tls_mandatory_protocols = !SSLv2 !SSLv3 
smtpd_tls_protocols = !SSLv2 !SSLv3 
smtpd_tls_security_level = may 
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache 
smtpd_use_tls = yes 
tls_high_cipherlist = ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK 
tls_random_source = dev:/dev/urandom 

Верное решение проблемы предложил пользователь constin Большое ему спасибо!

должно работать, но загуглил, что бывают проблемы из-за инспекции трафика на роутере.

Именно из-за включенной инспекции smtp на асе не шифровался канал.

 , , ,

Demm21 ()

SMTP сервер для старого оборудования (noSSL/TLS)

Доброго дня.

Имеется некоторое количество старого железа (IP камеры, сканнер) которое может при тех или иных обстоятельствах слать сообщения на почту электронную. Железо не поддерживает SSL/TLS, от этого использовать публичные SMTP не выйдет. Имеется сервер на Ubuntu 14.04. Необходимо поднять свой SMTP для пересыла наружу (устройство >>> сервер >>> smtp.gmail.com >>> личная почта).

Какие варианты существуют? По возможности со ссылками на маны/конфиги.

 , , ,

paulv ()