Сообщения Apophis

Openwrt. Кто-то взломал по 802.11?

Всем привет. Непонятная проблема. Wi-fi везде стоит по паролю, но в логах есть вот это:

Wed Nov 13 11:12:09 2024 daemon.info hostapd: phy1-ap0: STA mac IEEE 802.11: authenticated
Wed Nov 13 11:12:09 2024 daemon.info hostapd: phy1-ap0: STA ma IEEE 802.11: associated (aid 2)
Wed Nov 13 11:12:09 2024 daemon.notice hostapd: phy1-ap0: AP-STA-CONNECTED mac auth_alg=open
Wed Nov 13 11:12:09 2024 daemon.info hostapd: phy1-ap0: STA mac RADIUS: starting accounting session 06F984626A8DEAC6
Wed Nov 13 11:12:09 2024 daemon.info hostapd: phy1-ap0: STA mac WPA: pairwise key handshake completed (RSN)
Wed Nov 13 11:12:09 2024 daemon.notice hostapd: phy1-ap0: EAPOL-4WAY-HS-COMPLETED mac
Wed Nov 13 11:12:09 2024 daemon.info dnsmasq-dhcp[1]: DHCPREQUEST(br-lan) 192.168.1.127 mac

По времени 11:12 никого дома не было. Wi-fi устройства отключены. по MAC адресу подключившегося и близко нет среди «родных». Прихожу домой, нет доступа к роутеру. логи писались на флешку, последнее видел только это. В смысле не было доступа к роутеру от слова совсем, не пинговался и не было доступа по ssh.

802.11, openwrt

Apophis
(15.11.24 14:17:38 MSK)

12 комментариев

Провайдер Ionos за 2 доллара?

Всем привет. поднял тут xray vless на машинке за 2 доллара. но почему всё так отвратительно работает? По показаниям fast.com download 400 Kbps, upload 300 Mbps. На виртуалке попутно запускал htop. xray больше 45% не грузил систему когда fast.com показывал эти пресловутые 300 мбит аплоада.

vpn, vps

Apophis
(11.11.24 18:20:57 MSK)

26 комментариев

Openwrt 23.05.5 теряются логи

Здравствуйте, как сделать чтоб в openwrt не терялись логи после перезагрузки или зависания? Luci оболочка есть. там по умолчанию пишутся в /tmp. надо поставить в сторадж /ovarvlay?

openwrt

Apophis
(07.11.24 15:16:09 MSK)

4 комментария

Arch Linux и старая видеокарта Geforce 8600m GT

Всем привет поставил тут Арч на старой ноут с графикой enlightenment. но вот беда, в любых плеерах 1080 видео тормозит.

01:00.0 VGA compatible controller: NVIDIA Corporation G84M [GeForce 8600M GT] (rev a1)
        Subsystem: Samsung Electronics Co Ltd Device c519
        Kernel driver in use: nouveau
        Kernel modules: nouveau

Что придумать можно?

arch, noveau

Apophis
(03.10.24 21:36:02 MSK)

15 комментариев

Проблемы с установкой Arch Grub

Всем привет. почти всё установил. а вот с Grub проблемы какие то. Вбиваю строчку grub-install –target=x86_64 –bootloader-id=grubi –recheck /dev/sda выдаёт grub-install: error: /usr/lib/grub/x84_64/modinfo.sh doesn’t exist. Please specify –target or –directory.

arch, grub

Apophis
(03.10.24 14:59:07 MSK)

3 комментария

Подключил VPN на немецкий VPS хостер, почему Google думает что я по прежнему в России?

Утечек нету. IP выдаёт в Германии. Xray-vless с маскировкой. Хостер Hostkey. Регистрировался не через российские представительство, а через друга в европе? он оплатил в евро в офис Нидерланды. Ютуб так же не показывает немецкую рекламу на чистом браузере. и многие видео запрещены в России SME.

vpn

Apophis
(27.09.24 00:40:16 MSK)

12 комментариев

Прошу помочь. В России видео Youtube запрещено авторскими правами SME

Итак, есть VPS сервер в Германии, сделал VPN xray-vless с маскировкой. Ютуб всё равно говорит что видео запрещено авторскими правами SME которое доступно в Германии. на других видео на чистом браузере даже не крутит немецкую рекламу в обычных роликах. и не предлагает подписки. Всякие My ip сервисы выдают немецкий IP VPS машины. Страну в youtube менял на Германию это тоже не помогло. Не знаю надо ли какой то маскадинг в правилах маршрутов делать? Что бы VPS сервер выступал шлюзом Кому интересно вот ссылка: https://www.youtube.com/watch?v=y21nU0J5AqY

vpn, youtube

Apophis
(25.09.24 12:04:46 MSK)

15 комментариев

Китайская материнка NAS Topton с 4 LAN портами.

Всем привет. стоит в качестве NAS сервера под управлением Rocky Linux RHEL. В ней 4 LAN порта. в 1 порт воткнут провод с роутера. а вот на остальных LAN порта нет интернета. как на них расшарить интернет простым способом мостом? без маскадинга?

lan, nas

Apophis
(26.08.24 13:37:42 MSK)

5 комментариев

VLESS c XTLS-Reality. Медленно Youtube работает, видео грузится по 32-64 кб.

Здравствуйте. имею VPS в Германии. поднял VPN VLESS c XTLS-Reality. так вот в статистике загрузки видео Ютуба 32-64 кб. По всяким спидтестам 350/300 мбит. пинг до маскировочного сайта 6-8 мс.

Подключаюсь пока на клиенте Windows в локальной сети. не роутером.

Клиенты пробовал разные Hiddify и Nekoray.

Конфиг обычный.

{
  "log": {
    "loglevel": "info"
  },
  "inbounds": [
    {
      "listen": "vps ip",
      "port": 443,
      "protocol": "vless",
      "tag": "reality-in",
      "settings": {
        "clients": [
          {
            "id": "",
            "email": "user1",
            "flow": "xtls-rprx-vision"
          }
        ],
        "decryption": "none"
      },
      "streamSettings": {
        "network": "tcp",
        "security": "reality",
        "realitySettings": {
          "show": false,
          "dest": "site:443",
          "xver": 0,
          "serverNames": [
            "site"
          ],
          "privateKey": "",
          "minClientVer": "",
          "maxClientVer": "",
          "maxTimeDiff": 0,
          "shortIds": [""]
        }
      },
      "sniffing": {
        "enabled": true,
        "destOverride": [
          "http",
          "tls",
          "quic"
        ]
      }
    }
  ],
  "outbounds": [
    {
      "protocol": "freedom",
      "tag": "direct"
    },
    {
      "protocol": "blackhole",
      "tag": "block"
    }
  ],
  "routing": {
    "rules": [
      {
        "type": "field",
        "protocol": "bittorrent",
        "outboundTag": "block"
      }
    ],
    "domainStrategy": "IPIfNonMatch"
  }
}

В журнале бывает это вылазит:

+0300 2024-08-14 16:23:01 ERROR [2169487779 245ms] inbound/mixed[mixed-in]: process connection from 127.0.0.1:52230: download: write tcp 127.0.0.1:12334->127.0.0.1:52230: wsasend: An established connection was aborted by the software in your host machine.

vpn, vps, youtube

Apophis
(14.08.24 16:45:09 MSK)

7 комментариев

РКН против зарубежных VPS?

Здравствуйте. какие сейчас есть зарубежные VPS, по которому нормально работал бы VPN? Есть сервис Ionos. то там походу всё глухо. домен заблокирован. но я решил через друга в Европе сделать там VPS. через SSH на сервер пускает. но какие бы то VPN не пробовал. все тормозятся до 10 мегабит. хотя по Iperf скорость нормальная в районе 400 мбит. Пробовал Strongswan ipsec в принципе хорошо. Но так же тормозно до 10 мегабит, ютуб работает. Пробовал Openvpn так же тормоза 10 мбит. Ютуб работает. Попробовал так же всеми хвалёный Vless с маскировкой. самый тормозной из всех перечисленных VPN. Ютуб ни в какую не загружался. Выручайте плиз.

vpn, vps, роскомнадзор

Apophis
(10.08.24 15:47:42 MSK)

13 комментариев

Слишком медленный vpn на vps?

Доброго времени суток. Помогите разобраться. Сделал тут vpn strongswan на vps Ionos. Машина 2 ядра, 2 гига озу, 80 гигов пзу. Очень и очень медленно. Домашний интернет 500 мегабит. Вот все конфиги: ipsec.conf

        uniqueids=never
        charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2,  mgr 2"

conn %default
        keyexchange=ikev2
        ike=aes128gcm16-sha2_256-prfsha256-ecp256, aes256gcm16-aes256gcm12-aes128gcm16-aes128gcm12-sha256-sha1-modp2048-modp4096-modp1024,aes256-aes128-sha256-sha1-modp2048-modp4096-modp1024,3des-sha1-modp1024!
        esp=aes128gcm16-sha2_256-ecp256, aes128gcm12-aes128gcm16-aes256gcm12-aes256gcm16-modp2048-modp4096-modp1024,aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1-modp2048,aes128-sha1-modp1024,3des-sha1-modp1024,aes128-aes256-sha1-sha256,aes128-sha1,3des-sha1!
        fragmentation=yes
        rekey=no
        compress=yes
        dpdaction=clear
        left=%any
        leftauth=pubkey
        leftsourceip=server ip
        leftid=server ip
        leftcert=debian.pem
        leftsendcert=always
        leftsubnet=0.0.0.0/0
        right=%any
        rightauth=pubkey
        rightsourceip=10.10.10.0/24
        rightdns=8.8.8.8,8.8.4.4

conn ikev2-pubkey
        auto=add

iptables:

# Generated by iptables-save v1.8.9 (nf_tables) on Sat Aug  3 17:30:47 2024
*mangle
:PREROUTING ACCEPT [180162:1541973121]
:INPUT ACCEPT [180162:1541973121]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [112825:4643018]
:POSTROUTING ACCEPT [112825:4643018]
-A FORWARD -s 10.10.10.0/24 -o eth0 -p tcp -m policy --dir in --pol ipsec -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1361:1536 -j TCPMSS --set-mss 1360
COMMIT
# Completed on Sat Aug  3 17:30:47 2024
# Generated by iptables-save v1.8.9 (nf_tables) on Sat Aug  3 17:30:47 2024
*filter
:INPUT ACCEPT [8:684]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [112825:4643018]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p udp -m udp --dport 500 -j ACCEPT
-A INPUT -p udp -m udp --dport 4500 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5201 -j ACCEPT
-A FORWARD -s 10.10.10.0/24 -m policy --dir in --pol ipsec --proto esp -j ACCEPT
-A FORWARD -d 10.10.10.0/24 -m policy --dir out --pol ipsec --proto esp -j ACCEPT
-A FORWARD -j DROP
COMMIT
# Completed on Sat Aug  3 17:30:47 2024
# Generated by iptables-save v1.8.9 (nf_tables) on Sat Aug  3 17:30:47 2024
*nat
:PREROUTING ACCEPT [21:1460]
:INPUT ACCEPT [21:1460]
:OUTPUT ACCEPT [5:1103]
:POSTROUTING ACCEPT [5:1103]
-A POSTROUTING -s 10.10.10.0/24 -o enp0s6 -m policy --dir out --pol ipsec -j ACCEPT
-A POSTROUTING -s 10.10.10.0/24 -o enp0s6 -j MASQUERADE
-A POSTROUTING -s 10.10.10.0/24 -o ens6 -m policy --dir out --pol ipsec -j ACCEPT
-A POSTROUTING -s 10.10.10.0/24 -o ens6 -j MASQUERADE
COMMIT
# Completed on Sat Aug  3 17:30:47 2024```
Подключаюсь на стационарном компе Windows 11. Но даже скорости и близко к 100 мегабитам не дотягивают. 
вот ещё iperf3 тестил.```
```iperf3 -s
-----------------------------------------------------------
Server listening on 5201 (test #1)
-----------------------------------------------------------
Accepted connection from , port 59313
[  5] local port 5201 connected to port 59314
[ ID] Interval           Transfer     Bitrate
[  5]   0.00-1.00   sec   669 KBytes  5.48 Mbits/sec
[  5]   1.00-2.00   sec  41.4 MBytes   347 Mbits/sec
[  5]   2.00-3.00   sec  41.3 MBytes   346 Mbits/sec
[  5]   3.00-4.00   sec  43.4 MBytes   364 Mbits/sec
[  5]   4.00-5.00   sec  45.4 MBytes   381 Mbits/sec
[  5]   5.00-6.00   sec  47.9 MBytes   402 Mbits/sec
[  5]   6.00-7.00   sec  50.6 MBytes   425 Mbits/sec
[  5]   7.00-8.00   sec  49.8 MBytes   418 Mbits/sec
[  5]   8.00-9.00   sec  52.1 MBytes   437 Mbits/sec
[  5]   9.00-10.00  sec  53.0 MBytes   444 Mbits/sec
[  5]  10.00-11.00  sec  53.8 MBytes   451 Mbits/sec
[  5]  11.00-12.00  sec  53.0 MBytes   444 Mbits/sec
[  5]  12.00-13.00  sec  53.5 MBytes   448 Mbits/sec
[  5]  13.00-14.00  sec  53.3 MBytes   447 Mbits/sec
[  5]  14.00-15.00  sec  54.3 MBytes   455 Mbits/sec
[  5]  15.00-16.00  sec  54.6 MBytes   458 Mbits/sec
[  5]  16.00-17.00  sec  53.6 MBytes   449 Mbits/sec
[  5]  17.00-18.00  sec  51.3 MBytes   430 Mbits/sec
[  5]  18.00-19.00  sec  52.9 MBytes   444 Mbits/sec
[  5]  19.00-20.00  sec  52.2 MBytes   438 Mbits/sec
[  5]  20.00-21.00  sec  53.4 MBytes   448 Mbits/sec
[  5]  21.00-22.00  sec  54.4 MBytes   456 Mbits/sec
[  5]  22.00-23.00  sec  53.4 MBytes   448 Mbits/sec
[  5]  23.00-24.00  sec  53.8 MBytes   451 Mbits/sec
[  5]  24.00-25.00  sec  52.8 MBytes   443 Mbits/sec
[  5]  25.00-26.00  sec  54.6 MBytes   458 Mbits/sec
[  5]  26.00-27.00  sec  49.0 MBytes   411 Mbits/sec
[  5]  27.00-28.00  sec  40.4 MBytes   339 Mbits/sec
[  5]  28.00-29.00  sec  43.6 MBytes   365 Mbits/sec
[  5]  29.00-30.00  sec  46.3 MBytes   388 Mbits/sec
[  5]  30.00-30.06  sec  2.64 MBytes   370 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate
[  5]   0.00-30.06  sec  1.43 GBytes   408 Mbits/sec                  receiver
-----------------------------------------------------------```
Вот проверил скорость с подключённым vpn на сервисе fast.com:
```4.3
 
Mbps
Latency 
Unloaded
56 ms
 
Loaded
80 ms
 Upload
Speed
110 Mbps```

Вот по яндексу померил тоже.
Входящее соединение
5.94 Мбит/с=742.67 КБайт/с
Исходящее соединение
17.61 Мбит/с=2.20 МБайт/с

strongswan, vpn, vps, windows

Apophis
(03.08.24 20:36:36 MSK)

9 комментариев

Strongswan vpn на vps

Всем привет. Поднял vpn strongswan на vps сервере. работает и подключается. но весь траффик крутится через vpn. как сделать что бы траффик шёл через vpn только конкретные ip сайтов?

# Generated by iptables-save v1.8.9 (nf_tables)
*mangle
:PREROUTING ACCEPT [477:48109]
:INPUT ACCEPT [474:47989]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [462:72048]
:POSTROUTING ACCEPT [467:72313]
-A FORWARD -s 10.10.10.0/24 -o eth0 -p tcp -m policy --dir in --pol ipsec -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1361:1536 -j TCPMSS --set-mss 1360
-A FORWARD -s 10.10.10.0/24 -o eth0 -p tcp -m policy --dir in --pol ipsec -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1361:1536 -j TCPMSS --set-mss 1360
COMMIT
# Completed on Sat Jun 15 12:09:41 2024
# Generated by iptables-save v1.8.9 (nf_tables) on Sat Jun 15 12:09:41 2024
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [462:72048]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p udp -m udp --dport 500 -j ACCEPT
-A INPUT -p udp -m udp --dport 4500 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -s 10.10.10.0/24 -m policy --dir in --pol ipsec --proto esp -j ACCEPT
-A FORWARD -d 10.10.10.0/24 -m policy --dir out --pol ipsec --proto esp -j ACCEPT
-A FORWARD -j DROP
COMMIT
# Completed on Sat Jun 15 12:09:41 2024
# Generated by iptables-save v1.8.9 (nf_tables) on Sat Jun 15 12:09:41 2024
*nat
:PREROUTING ACCEPT [47:3076]
:INPUT ACCEPT [15:884]
:OUTPUT ACCEPT [48:3451]
:POSTROUTING ACCEPT [48:3451]
-A POSTROUTING -s 10.10.10.0/24 -o ens6 -m policy --dir out --pol ipsec -j ACCEPT
-A POSTROUTING -s 10.10.10.0/24 -o ens6 -j MASQUERADE
COMMIT
# Completed on Sat Jun 15 12:09:41 2024```
root@localhost:~#

strongswan, vpn, vps

Apophis
(02.08.24 22:01:25 MSK)

4 комментария

Как настроить домашний роутер, что бы с телефона где бы ты ни был, входить в домашнюю сеть и юзать домашний интернет?

ВПН не хочу, именно статическим маршрутом? В домашнем интернете адрес белый.

Перемещено hobbit из general

роутер

Apophis
(02.08.24 12:08:13 MSK)

39 комментариев

Strongswan на vps и Windows 11

Привет. Прошу помощь к подключению, всё настроил ключи сгенерил в том числе и под винды, но не хочет. /etc/strongswan/ipsec.conf

config setup
        uniqueids=never
        charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2,  mgr 2"

conn %default
        keyexchange=ikev2
        ike=aes128gcm16-sha2_256-prfsha256-ecp256!
        esp=aes128gcm16-sha2_256-ecp256!
        fragmentation=yes
        rekey=no
        compress=yes
        dpdaction=clear
        left=%any
        leftauth=pubkey
        leftsourceip=server_vps
        leftid=server_vps
        leftcert=server-cert.pem
        leftsendcert=always
        leftsubnet=0.0.0.0/0
        right=%any
        rightauth=pubkey
        rightsourceip=10.10.10.0/24
        rightdns=8.8.8.8,8.8.4.4

conn ikev2-pubkey
        auto=add

Лог:

[root@localhost strongswan]# swanctl --log
plugin 'sqlite': failed to load - sqlite_plugin_create not found and no plugin file available
08[NET] received packet: from home_ip[500] to server_vps[500] (1104 bytes)
08[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(FRAG_SUP) N(NATD_S_IP) N(NATD_D_IP) V V V V ]
08[IKE] received MS NT5 ISAKMPOAKLEY v9 vendor ID
08[IKE] received MS-Negotiation Discovery Capable vendor ID
08[IKE] received Vid-Initial-Contact vendor ID
08[ENC] received unknown vendor ID: 01:52:8b:bb:c0:06:96:12:18:49:ab:9a:1c:5b:2a:51:00:00:00:02
08[IKE] home_ip is initiating an IKE_SA
08[CFG] received proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:3DES_CBC/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024, IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC_128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC_128/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024, IKE:AES_CBC_192/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC_192/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC_192/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024, IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC_256/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024, IKE:AES_GCM_16_128/PRF_HMAC_SHA1/MODP_1024, IKE:AES_GCM_16_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_GCM_16_128/PRF_HMAC_SHA2_384/MODP_1024, IKE:AES_GCM_16_256/PRF_HMAC_SHA1/MODP_1024, IKE:AES_GCM_16_256/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_GCM_16_256/PRF_HMAC_SHA2_384/MODP_1024
08[CFG] configured proposals: IKE:AES_GCM_16_128/PRF_HMAC_SHA2_256/ECP_256
08[IKE] remote host is behind NAT
08[IKE] received proposals unacceptable
08[ENC] generating IKE_SA_INIT response 0 [ N(NO_PROP) ]
08[NET] sending packet: from server_vps[500] to home_ip[500] (36 bytes)
11[NET] received packet: from home_ip[500] to server_vps[500] (408 bytes)
11[ENC] parsed ID_PROT request 0 [ SA V V V V V V V V ]
11[IKE] no IKE config found for server_vps...home_ip, sending NO_PROPOSAL_CHOSEN
11[ENC] generating INFORMATIONAL_V1 request 1880878183 [ N(NO_PROP) ]
11[NET] sending packet: from server_vps[500] to home_ip[500] (40 bytes)
12[NET] received packet: from home_ip[500] to server_vps[500] (408 bytes)
12[ENC] parsed ID_PROT request 0 [ SA V V V V V V V V ]
12[IKE] no IKE config found for server_vps...home_ip, sending NO_PROPOSAL_CHOSEN
12[ENC] generating INFORMATIONAL_V1 request 2664976946 [ N(NO_PROP) ]
12[NET] sending packet: from server_vps[500] to home_ip[500] (40 bytes)
09[NET] received packet: from home_ip[500] to server_vps[500] (408 bytes)
09[ENC] parsed ID_PROT request 0 [ SA V V V V V V V V ]
09[IKE] no IKE config found for server_vps...home_ip, sending NO_PROPOSAL_CHOSEN
09[ENC] generating INFORMATIONAL_V1 request 1675694728 [ N(NO_PROP) ]
09[NET] sending packet: from server_vps[500] to home_ip[500] (40 bytes)
03[NET] received packet: from home_ip[500] to server_vps[500] (408 bytes)
03[ENC] parsed ID_PROT request 0 [ SA V V V V V V V V ]
03[IKE] no IKE config found for server_vps...home_ip, sending NO_PROPOSAL_CHOSEN
03[ENC] generating INFORMATIONAL_V1 request 1502460016 [ N(NO_PROP) ]
03[NET] sending packet: from server_vps[500] to home_ip[500] (40 bytes)

strongswan

Apophis
(05.06.24 13:23:52 MSK)

6 комментариев

Alpine Linux браузер?

Всем привет. поставил тут Alpile linux с графикой на Vbox. пытался установить браузер chromium. все установилось. но не запускается. через меню Applications-Internet-Chromium тишина. Еще не удалось победить установку virtualbox guest additions Куда копать?

alpine

Apophis
(14.10.21 12:27:56 MSK)

25 комментариев

Не могу создать сертификат, прошу помощи.

Всем привет, создал основные сертификаты, надо экспортировать в pkcs12. Но ошибку выдаёт.

openssl pkcs12 -export -inkey private/me.pem -in cacerts/ca.pem -name «Client’s VPN Certificate» -certfile cacerts/ca.pem -caname «strongSwan Root CA» -out me.p12

No certificate matches private key

куда тут копать?

debian, pkcs12

Apophis
(20.02.20 14:23:22 MSK)

4 комментария

Как подключиться клиентом к Strongswan?

Конфиг на сервере такой:

веб интерфейса нет, подключение клиентом из консоли.

include /var/lib/strongswan/ipsec.conf.inc

config setup
        uniqueids=never
        charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2,  mgr 2"

conn %default
        keyexchange=ikev2
        ike=aes128gcm16-sha2_256-prfsha256-ecp256!
        esp=aes128gcm16-sha2_256-ecp256!
        fragmentation=yes
        rekey=no
        compress=yes
        dpdaction=clear
        left=%any
        leftauth=pubkey
        leftsourceip=Server IP
        leftid=Server IP
        leftcert=debian.pem
        leftsendcert=always
        leftsubnet=0.0.0.0/0
        right=%any
        rightauth=pubkey
        rightsourceip=10.10.10.0/24
        rightdns=8.8.8.8,8.8.4.4

conn ikev2-pubkey
        auto=add

debian, strongswan

Apophis
(05.02.20 18:03:20 MSK)

Подключается к AWS Lighsail только по ssh.

Всем привет. поднял сервер могу подключиться только по ssh. К примеру поставил прогу выдающая формат IP:port. не коннектит из домашнего интернета. В фаерволле инстансы порт добавлял. Пробовал запускать tracerout до домашнего провайдера на пол пути стопорится.

aws, debian, lightsail

Apophis
(07.09.19 17:04:52 MSK)

Strongswan. establishing IKE_SA failed, peer not responding

Всем привет. Поднял VPN на Lightsail То клиент подключается и обрывает связь.

Security Associations (0 up, 1 connecting):
       nat-t[1]: CONNECTING, server ip vpn[%any]...server ip vpn[%any]
       nat-t[1]: IKEv2 SPIs: ebcfe5da3eaa9544_i* 0000000000000000_r
       nat-t[1]: Tasks active: IKE_VENDOR IKE_INIT IKE_NATD IKE_CERT_PRE IKE_AUTH IKE_CERT_POST IKE_CONFIG CHILD_CREATE IKE_AUTH_LIFETIME IKE_MOBIKE

Connections:
       nat-t:  %any...server ip  IKEv2
       nat-t:   local:  [192.168.1.1] uses pre-shared key authentication
       nat-t:   remote: [server ip] uses pre-shared key authentication
       nat-t:   child:  dynamic === 10.10.10.0/24 TUNNEL

В логе клиента через некоторое время ошибка. Пакеты вроде гуляют.

Aug 21 16:15:44 syslog: 06[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Aug 21 16:15:44 syslog: 06[NET] sending packet: from home inet[500] to server ip[500] (758 bytes)
Aug 21 16:15:48 syslog: 08[IKE] retransmit 1 of request with message ID 0
Aug 21 16:15:48 syslog: 08[NET] sending packet: from home inet[500] to server ip[500] (758 bytes)
Aug 21 16:15:55 syslog: 09[IKE] retransmit 2 of request with message ID 0
Aug 21 16:15:55 syslog: 09[NET] sending packet: from home inet[500] to server ip[500] (758 bytes)
Aug 21 16:16:08 syslog: 10[IKE] retransmit 3 of request with message ID 0
Aug 21 16:16:08 syslog: 10[NET] sending packet: from home inet[500] to server ip[500] (758 bytes)
Aug 21 16:16:31 syslog: 12[IKE] retransmit 4 of request with message ID 0
Aug 21 16:16:31 syslog: 12[NET] sending packet: from home inet[500] to server ip[500] (758 bytes)
Aug 21 16:17:13 syslog: 13[IKE] retransmit 5 of request with message ID 0
Aug 21 16:17:13 syslog: 13[NET] sending packet: from home inet[500] to server ip[500] (758 bytes)
Aug 21 16:18:29 syslog: 14[IKE] giving up after 5 retransmits
Aug 21 16:18:29 syslog: 14[IKE] establishing IKE_SA failed, peer not responding

debian, ipsec, strongswan

Apophis
(21.08.19 16:22:12 MSK)

5 комментариев

Strongswan. Не могу подключиться.

Всем привет,

Поднял тут vpn-Strongswan на Debian. Но с клиента (роутер) не могу подключиться. Конфиги сервера:

iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p udp -m udp --dport 500 -j ACCEPT
-A INPUT -p udp -m udp --dport 4500 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -s 10.10.10.0/24 -m policy --dir in --pol ipsec --proto esp -j ACCEPT
-A FORWARD -d 10.10.10.0/24 -m policy --dir out --pol ipsec --proto esp -j ACCEPT
-A FORWARD -j DROPх.

ipsec statusall
Status of IKE charon daemon (strongSwan 5.5.1, Linux 4.9.0-8-amd64, x86_64):
  uptime: 78 minutes, since Aug 16 15:37:57 2019

ipsec.conf

include /var/lib/strongswan/ipsec.conf.inc

config setup
        uniqueids=never
        charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2,  mgr 2"

conn %default
        keyexchange=ikev2
        ike=aes128gcm16-sha2_256-prfsha256-ecp256!
        esp=aes128gcm16-sha2_256-ecp256!
        fragmentation=yes
        rekey=no
        compress=yes
        dpdaction=clear
        left=%any
        leftauth=pubkey
        leftsourceip=YOUR_LIGHTSAIL_IP
        leftid=YOUR_LIGHTSAIL_IP
        leftcert=debian.pem
        leftsendcert=always
        leftsubnet=0.0.0.0/0
        right=%any
        rightauth=pubkey
        rightsourceip=10.10.10.0/24
        rightdns=8.8.8.8,8.8.4.4

conn ikev2-pubkey
        auto=add

Конфиги клиента:

config setup

        uniqueids=never
        charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2,  mgr 2"

conn %default
        keyexchange=ikev2
        ike=aes128gcm16-sha2_256-prfsha256-ecp256!
        esp=aes128gcm16-sha2_256-ecp256!
        fragmentation=yes
        rekey=no
        compress=yes
        dpdaction=clear
        right=%any
        rightauth=pubkey
        rightsourceip=%any
        rightid=%any
        rightcert=me.pem
        rightsendcert=always
        left=%any
        leftauth=pubkey
        rightdns=8.8.8.8,8.8.4.4

conn ikev2-pubkey
        auto=add

ipsec statusall
Status of IKE charon daemon (strongSwan 5.6.0, Linux 3.4.113, mips):
  uptime: 57 minutes, since Aug 16 19:06:16 2019

Лог клиента:

ug 16 19:06:16 syslog: 00[DMN] Starting IKE charon daemon (strongSwan 5.6.0, Linux 3.4.113, mips)
Aug 16 19:06:16 syslog: 00[KNL] known interfaces and IP addresses:
Aug 16 19:06:16 syslog: 00[KNL]   lo
Aug 16 19:06:16 syslog: 00[KNL]     127.0.0.1
Aug 16 19:06:16 syslog: 00[KNL]   eth3
Aug 16 19:06:16 syslog: 00[KNL]     inet ip
Aug 16 19:06:16 syslog: 00[KNL]   eth2
Aug 16 19:06:16 syslog: 00[KNL]   ra0
Aug 16 19:06:16 syslog: 00[KNL]   rai0
Aug 16 19:06:16 syslog: 00[KNL]   br0
Aug 16 19:06:16 syslog: 00[KNL]     192.168.1.1
Aug 16 19:06:16 syslog: 00[CFG] loading ca certificates from '/etc/storage/strongswan/ipsec.d/cacerts'
Aug 16 19:06:16 syslog: 00[CFG] loading aa certificates from '/etc/storage/strongswan/ipsec.d/aacerts'
Aug 16 19:06:16 syslog: 00[LIB] opening directory '/etc/storage/strongswan/ipsec.d/aacerts' failed: No such file or directory
Aug 16 19:06:16 syslog: 00[CFG]   reading directory failed
Aug 16 19:06:16 syslog: 00[CFG] loading ocsp signer certificates from '/etc/storage/strongswan/ipsec.d/ocspcerts'
Aug 16 19:06:16 syslog: 00[LIB] opening directory '/etc/storage/strongswan/ipsec.d/ocspcerts' failed: No such file or directory
Aug 16 19:06:16 syslog: 00[CFG]   reading directory failed
Aug 16 19:06:16 syslog: 00[CFG] loading attribute certificates from '/etc/storage/strongswan/ipsec.d/acerts'
Aug 16 19:06:16 syslog: 00[LIB] opening directory '/etc/storage/strongswan/ipsec.d/acerts' failed: No such file or directory
Aug 16 19:06:16 syslog: 00[CFG]   reading directory failed
Aug 16 19:06:16 syslog: 00[CFG] loading crls from '/etc/storage/strongswan/ipsec.d/crls'
Aug 16 19:06:16 syslog: 00[LIB] opening directory '/etc/storage/strongswan/ipsec.d/crls' failed: No such file or directory
Aug 16 19:06:16 syslog: 00[CFG]   reading directory failed
Aug 16 19:06:16 syslog: 00[CFG] loading secrets from '/etc/storage/strongswan/ipsec.secrets'
Aug 16 19:06:16 syslog: 00[LIB]   opening '/etc/storage/strongswan/ipsec.d/private/me.pem' failed: No such file or directory
Aug 16 19:06:16 syslog: 00[LIB] building CRED_PRIVATE_KEY - RSA failed, tried 5 builders
Aug 16 19:06:16 syslog: 00[CFG]   loading private key from '/etc/storage/strongswan/ipsec.d/private/me.pem' failed
Aug 16 19:06:16 syslog: 00[CFG] no threshold configured for systime-fix, disabled
Aug 16 19:06:16 syslog: 00[LIB] loaded plugins: charon nonce x509 pubkey pkcs1 pkcs8 pem openssl curve25519 attr kernel-netlink resolve socket-default farp stroke updown eap-identity eap-mschapv2 eap-dynamic eap-tls xauth-generic xauth-eap xauth-noauth dhcp
Aug 16 19:06:16 syslog: 00[JOB] spawning 16 worker threads
Aug 16 19:06:16 syslog: 03[NET] waiting for data on sockets
Aug 16 19:06:16 ipsec_starter[2095]: charon (2096) started after 80 ms
Aug 16 19:06:16 syslog: 05[CFG] received stroke: add connection 'ikev2-pubkey'
Aug 16 19:06:16 syslog: 05[CFG] conn ikev2-pubkey
Aug 16 19:06:16 syslog: 05[CFG]   left=%any
Aug 16 19:06:16 syslog: 05[CFG]   leftauth=pubkey
Aug 16 19:06:16 syslog: 05[CFG]   right=%any
Aug 16 19:06:16 syslog: 05[CFG]   rightsourceip=%any
Aug 16 19:06:16 syslog: 05[CFG]   rightdns=8.8.8.8,8.8.4.4
Aug 16 19:06:16 syslog: 05[CFG]   rightauth=pubkey
Aug 16 19:06:16 syslog: 05[CFG]   rightid=%any
Aug 16 19:06:16 syslog: 05[CFG]   rightcert=me.pem
Aug 16 19:06:16 syslog: 05[CFG]   ike=aes128gcm16-sha2_256-prfsha256-ecp256!
Aug 16 19:06:16 syslog: 05[CFG]   esp=aes128gcm16-sha2_256-ecp256!
Aug 16 19:06:16 syslog: 05[CFG]   dpddelay=30
Aug 16 19:06:16 syslog: 05[CFG]   dpdtimeout=150
Aug 16 19:06:16 syslog: 05[CFG]   dpdaction=1
Aug 16 19:06:16 syslog: 05[CFG]   sha256_96=no
Aug 16 19:06:16 syslog: 05[CFG]   mediation=no
Aug 16 19:06:16 syslog: 05[CFG]   keyexchange=ikev2
Aug 16 19:06:16 syslog: 05[CFG]   loaded certificate "CN=inet ip" from 'me.pem'
Aug 16 19:06:16 syslog: 05[CFG]   id '%any' not confirmed by certificate, defaulting to 'CN=inet ip'
Aug 16 19:06:16 syslog: 05[CFG] added configuration 'ikev2-pubkey'
Aug 16 19:06:21 syslog: 07[CFG] proposing traffic selectors for us:
Aug 16 19:06:21 syslog: 07[CFG]  dynamic
Aug 16 19:06:21 syslog: 07[CFG] proposing traffic selectors for other:
Aug 16 19:06:21 syslog: 07[CFG]  dynamic
Aug 16 19:08:06 syslog: 11[CFG] proposing traffic selectors for us:
Aug 16 19:08:06 syslog: 11[CFG]  dynamic
Aug 16 19:08:06 syslog: 11[CFG] proposing traffic selectors for other:
Aug 16 19:08:06 syslog: 11[CFG]  dynamic
Aug 16 20:03:36 syslog: 06[CFG] proposing traffic selectors for us:
Aug 16 20:03:36 syslog: 06[CFG]  dynamic
Aug 16 20:03:36 syslog: 06[CFG] proposing traffic selectors for other:
Aug 16 20:03:36 syslog: 06[CFG]  dynamic

debian, strongswan

Apophis
(16.08.19 20:09:02 MSK)

3 комментария

следующие →

RSS подписка на новые темы