LINUX.ORG.RU

Сообщения quntm

 

Почмеу яблофон не хочет коннектиться по ikev2 к strongswan?

Добротного дня.

Имеется android, win7 и iphone на ios9.

Android и win7 успешно соединяются с сервером на strongswan по IKEv2, но яблофон не хочет. Делн НЕ в CA. Кто-нибудь сталкивался?

# ipsec.conf - strongSwan IPsec configuration file

config setup
charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2, mgr 2"

conn %default
keyexchange=ikev2
ike=aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024! # Win7 is aes256, sha-1, modp1024; iOS is aes256, sha-256, modp1024; OS X is 3DES, sha-1, modp1024
esp=aes256-sha256,aes256-sha1,3des-sha1! # Win 7 is aes256-sha1, iOS is aes256-sha256, OS X is 3des-shal1
dpdaction=clear
dpddelay=300s
rekey=no
left=%any
leftid="my.left.id"
leftsubnet=0.0.0.0/0
leftcert=fullchain.pem
right=%any
rightdns=172.16.0.1
rightsourceip=10.168.30.0/24

conn IPSec-IKEv2
keyexchange=ikev2
auto=add

conn IPSec-IKEv2-EAP
also="IPSec-IKEv2"
rightauth=eap-radius
rightsendcert=never
eap_identity=%any 

логи:

Jun 1 08:19:34 11[NET] <24> received packet: from 49.195.16.33[32585] to 185.98.61.44[500] (476 bytes)
Jun 1 08:19:34 11[ENC] <24> parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ]
Jun 1 08:19:34 11[IKE] <24> 49.195.16.33 is initiating an IKE_SA
Jun 1 08:19:34 11[IKE] <24> remote host is behind NAT
Jun 1 08:19:34 11[IKE] <24> sending cert request for "C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3"
Jun 1 08:19:34 11[ENC] <24> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(MULT_AUTH) ]
Jun 1 08:19:34 11[NET] <24> sending packet: from 185.98.61.44[500] to 49.195.16.33[32585] (337 bytes)
Jun 1 08:19:34 13[NET] <24> received packet: from 49.195.16.33[4500] to 185.98.61.44[4500] (508 bytes)
Jun 1 08:19:34 13[ENC] <24> parsed IKE_AUTH request 1 [ IDi N(INIT_CONTACT) N(MOBIKE_SUP) IDr CPRQ(ADDR DHCP DNS MASK ADDR6 DHCP6 DNS6) N(ESP_TFC_PAD_N) N(NON_FIRST_FRAG) SA TSi TSr ]
Jun 1 08:19:34 13[CFG] <24> looking for peer configs matching 185.98.61.44[my.left.id]...49.195.16.33[100.99.124.203]
Jun 1 08:19:34 13[CFG] <IPSec-IKEv2|24> selected peer config 'IPSec-IKEv2'
Jun 1 08:19:34 13[IKE] <IPSec-IKEv2|24> peer requested EAP, config inacceptable
Jun 1 08:19:34 13[CFG] <IPSec-IKEv2|24> switching to peer config 'IPSec-IKEv2-EAP'
Jun 1 08:19:34 13[IKE] <IPSec-IKEv2-EAP|24> initiating EAP_IDENTITY method (id 0x00)
Jun 1 08:19:34 13[IKE] <IPSec-IKEv2-EAP|24> received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Jun 1 08:19:34 13[IKE] <IPSec-IKEv2-EAP|24> peer supports MOBIKE
Jun 1 08:19:34 13[IKE] <IPSec-IKEv2-EAP|24> authentication of '*****' (myself) with RSA signature successful
Jun 1 08:19:34 13[ENC] <IPSec-IKEv2-EAP|24> generating IKE_AUTH response 1 [ IDr AUTH EAP/REQ/ID ]
Jun 1 08:19:34 13[NET] <IPSec-IKEv2-EAP|24> sending packet: from 185.98.61.44[4500] to 49.195.16.33[4500] (364 bytes)
Jun  1 08:19:42 03[NET] ignoring IKE_SA setup from 49.195.16.33, peer too aggressive 

 ,

quntm
()

Как зареврайтить DST IP в транзитном пакете?

Добрый день!

Чем можно зареврайтить DST IP в транзитном UDP пакете, чтобы потом обработать локальным приложением и выплюнуть обратно подставляя этот ip в SRC ?

 

quntm
()

SNAT для локального приложения

Добрый день!

Нужно подменять source у пакетов генерируемых локальным приложением. Все таблицы ACCEPT, nat сейчас такой:

Chain PREROUTING (policy ACCEPT 13230 packets, 869K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 2206 packets, 130K bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 SNAT       all  --  *      eth0    0.0.0.0/0            0.0.0.0/0           to:192.168.110.159 

Chain OUTPUT (policy ACCEPT 2572 packets, 152K bytes)
 pkts bytes target     prot opt in     out     source               destination 
 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast qlen 1000
    link/ether 0a:c3:4a:44:3e:bb brd ff:ff:ff:ff:ff:ff
    inet 192.168.216.246/30 brd 192.168.106.247 scope global eth0
    inet 192.168.110.159/32 scope global eth0
    inet6 fe80::8c3:4aff:fe44:3ebb/64 scope link 
       valid_lft forever preferred_lft forever

Пакетики не тикают. nat не отрабатывает.

13:17:00.762657 IP 192.168.197.16.41887 > 192.168.216.246.sip: S 1420687104:1420687104(0) win 29200 <mss 1460,sackOK,timestamp 153693613 0,nop,wscale 7>
13:17:00.762837 IP 192.168.216.246.sip > 192.168.197.16.41887: S 586147860:586147860(0) ack 1420687105 win 5792 <mss 1460,sackOK,timestamp 3728277676 153693613,nop,wscale 7>
13:17:00.762881 IP 192.168.197.16.41887 > 192.168.216.246.sip: R 1420687105:1420687105(0) win 0

 ,

quntm
()

Проблема с haproxy

Все привет.

haproxy не хочет работать с опцией source. На другом сервере, аналогичная настройка и всё работает.

haproxy.cfg:

frontend FR 
	mode tcp
	bind *:5046 transparent
	default_backend BA

backend BA	
	mode tcp
	source 0.0.0.0 usesrc clientip
	server BA0 192.168.16.95:5060

И наблюдаю лишь tcpdump на сервере 192.168.16.95 пустой.

Ловлю стрэйсом haproxy:

socket(PF_INET, SOCK_STREAM, IPPROTO_TCP) = 8
fcntl64(8, F_SETFL, O_RDONLY|O_NONBLOCK) = 0
setsockopt(8, SOL_TCP, TCP_NODELAY, [1], 4) = 0
setsockopt(8, SOL_IP, 0x13 /* IP_??? */, [1], 4) = -1 ENOPROTOOPT (Protocol not available)
setsockopt(8, SOL_IP, 0xf /* IP_??? */, [1], 4) = 0
setsockopt(8, SOL_SOCKET, SO_REUSEADDR, [1], 4) = 0
bind(8, {sa_family=AF_INET, sin_port=htons(0), sin_addr=inet_addr("192.168.1.1")}, 16) = 0
connect(8, {sa_family=AF_INET, sin_port=htons(5060), sin_addr=inet_addr("192.168.16.95")}, 16) = -1 EINVAL (Invalid argument)
close(8)                                = 0
shutdown(7, 1 /* send */)               = 0
close(7)

Смущяет меня:

connect(8, {sa_family=AF_INET, sin_port=htons(5060), sin_addr=inet_addr("192.168.16.95")}, 16) = -1 EINVAL (Invalid argument)

Что бы это могло значить?

2.6.18-308.8.2.el5

Похоже дело в TPROXY, Minimum Requirements Linux Kernel 2.6.37

 ,

quntm
()

UFS

Привет в всем.

Мигранул с бсды на линупс. 120ТБ данных на UFS разделе. Собрал ядро с CONFIG_UFS_FS_WRITE=y. Много пишу, редко читаю. Подскажите, к чему готовиться? Как быстро похерю данные?

Миграция с UFS затруднительна из-за большого количества данных.

а ещё, как насчёт kFreeBSD у debian ? Там есть нормальная поддержка UFS?

 ,

quntm
()

На сколько страшен soft mount в nfs?

Добрый день!

В общем сабж, сейчас монтирую nfs c опцией hard,intr, но связь с сервером не стабильная и хочу попробовать перемонтировать с soft.

Ежедневно сливаются бэкапы, попутно архивируясь. На сколько это страшно для бэкапов? Бывали у кого-нибудь случаи потери данных?

 , ,

quntm
()

Проблема с ipv6

Добрый день!

Есть 2 одинаково настроенных узла и подключенных в один свич.

на одном ipv6 работает, а на другом нет. шлюз не отвечает на neighbor solicitation.

хост с рабочим ipv6:

root@str4:~# ping6 2a00:1111:0:123::1 -I vmbr0v123
PING 2a00:1111:0:123::1(2a00:1111:0:123::1) from 2a00:****:be4 vmbr0v123: 56 data bytes
64 bytes from 2a00:1111:0:123::1: icmp_seq=1 ttl=64 time=3.14 ms
64 bytes from 2a00:1111:0:123::1: icmp_seq=2 ttl=64 time=1.20 ms
^C
--- 2a00:1111:0:123::1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 1.208/2.176/3.145/0.969 ms
root@str4:~# ip -6 r | grep  vmbr0v123
2a00:1111:0:123::/64 dev vmbr0v123  proto kernel  metric 256  expires 1374427sec mtu 1500 advmss 1440 hoplimit 0
fe80::/64 dev vmbr0v123  proto kernel  metric 256  mtu 1500 advmss 1440 hoplimit 0
root@str4:~# ip -6 nei | grep  vmbr0v123
2a00:1111:0:123::1 dev vmbr0v123 lladdr a8:0c:0d:25:63:f4 router REACHABLE

хост с не рабочим ipv6:

root@str2:~# ping6 2a00:1111:0:123::1 -I vmbr0v123
PING 2a00:1111:0:123::1(2a00:1111:0:123::1) from 2a00:****:1f84 vmbr0v123: 56 data bytes
From 2a00:****:1f84 icmp_seq=2 Destination unreachable: Address unreachable
From 2a00:****:1f84 icmp_seq=3 Destination unreachable: Address unreachable
From 2a00:****:1f84 icmp_seq=4 Destination unreachable: Address unreachable
^C
--- 2a00:1111:0:123::1 ping statistics ---
4 packets transmitted, 0 received, +3 errors, 100% packet loss, time 2999ms

root@str2:ip -6 r | grep  vmbr0v123
2a00:1111:0:123::/64 dev vmbr0v123  metric 1024  mtu 1500 advmss 1440 hoplimit 0
fe80::/64 dev vmbr0v123  proto kernel  metric 256  mtu 1500 advmss 1440 hoplimit 0
root@str2:~# ip -6 nei | grep br0v3099
fe80::aa0c:dff:fe25:63f4 dev vmbr0v123 lladdr a8:0c:0d:25:63:f4 router REACHABLE
2a00:1111:0:123::1 dev vmbr0v123  FAILED

с включеным ipv6 forwarding та же история. ipv4 в этом направлении нормально работает. между хостом и роутером 1 свич.

 ,

quntm
()

Разный трафик по разным аплинкам

Добрый день! Не могу сообразить как отправлять разные типы трафика по разным аплинкам.

Например весь udp слать в одного провайдера, а остальное в другое.

# iptables -A OUTPUT -p udp -j MARK --set-mark 100
# ip route sh
default via 192.168.110.129 dev eth1
192.168.210.0/24 dev eth0  proto kernel  scope link  src 192.168.210.6 
192.168.110.128/26 dev eth1  proto kernel  scope link  src 192.168.110.135
# ip ru ls
0:	from all lookup local 
32763:	from all fwmark 0x64 lookup gw-d 
32764:	from 192.168.110.135 lookup gw-a 
32765:	from 192.168.210.6 lookup gw-d
# ip ro sh table gw-d
default via 192.168.210.1 dev eth0

# ip ro sh table gw-a
default via 192.168.110.129 dev eth1
# ip a sh dev eth0
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether ******* brd ff:ff:ff:ff:ff:ff
    inet 192.168.210.6/24 brd 192.168.210.255 scope global eth0
       valid_lft forever preferred_lft forever
# ip a sh dev eth1
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether ********* brd ff:ff:ff:ff:ff:ff
    inet 192.168.110.135/26 brd 192.168.110.191 scope global eth1
       valid_lft forever preferred_lft forever

Не смотря на то, что трафик маркируется меткой 100, он всё равно отправляется по дефолту на 192.168.110.129

 ,

quntm
()

Как сложить вывод в for ?

Добрый день! Есть скриптик:

for stream in `echo -e $1 | tr "," "\n"`
	do
		echo "stat $stream | netcat $ip_ats 23 -q 1 | grep $reg | wc -l
		
done

аргумент один, потоки задаются через запятую, скрипт по каждому потоку собирает информацию неткатом и выводит количество найденных совпадений.

root@serv:~/scripts/# ./test.sh 12,34
20
28

Вопрос! Как сложить это количество и получить обшее? без использования лишних файлов

 

quntm
()

Как сделать expect по пустой строке приглашения?

Есть скриптик, коннектится к железяки по телнету, дело в том, что строка приглашения и ввод логина и пароля отсутствует, просто после коннекта можно набирать комманды. Как это дело заэкспектить? .* - не получается

#!/bin/bash

conntect(){
        /usr/bin/expect -c "
        spawn telnet $ip $port
        expect -re \".*\"
        send \"stat\r\"
        "
}


вывод:

root@server:~/scripts# ./script.sh
Trying 192.168.0.1...
Connected to 192.168.0.1.
Escape character is '^]'.

 , ,

quntm
()

Проблема с curl

Простой скриптик, не работает, но на соседнем freebsd сервере работает без проблем. почему-то не передаётся переменная в curl из цикла

GNU bash, version 4.2.37(1)-release (i486-pc-linux-gnu)ion curl 7.26.0 (i486-pc-linux-gnu) Linux 114 3.12-kali1-686-pae #1 SMP Debian 3.12.6-2kali1 (2014-01-06) i686 GNU/Linux

root@114:~/scripts# ./dlink_found.sh 192.168.0.1
curl: (3) [globbing] error: bad range specification after pos 10
#!/bin/sh  

for ip in `nmap -p 8080 -n --open $1 -Pn | grep "report" | awk {'print $5'}`
	do
		curl "http://$ip:8080/login.htm"		
done

 ,

quntm
()

Вопрос по expect

доброго дня!

Есть скриптик для автоматизации телнет подключения

#!/usr/bin/expect -f

set timeout 20
set ip [lindex $argv 0]
set port 23
set user root
set password pass
set DATE [exec date +%Y_%m_%d_%H:%M]

spawn telnet $ip $port
log_file -noappend /var/log/clients/$DATE-$ip
expect "'^]'."
sleep .1;
send "$user\r"
expect "ord:"
send "$password\r";
expect -re ">|#"
interact {
        \177 {send "\010"}
        "\033\[3~" {send "\177"}
        }

на определённом оборудованни не видно вводимый текст.  вводиться то он вводится, но визуально его не видно. 

тоесть когда печатаеш, не видно того что печатается, но текст вводится и комманду выполнить можно

на многом другом оборудовании вводимый текст виден. как профиксить? Может это зависит от строки приглашения?

она такая:

Client#1>

 

quntm
()

apt-get пытается обновляться из несуществующих репов

доброго дня товарищи! Такая ситуация? apt-get update пытается найти какието непонятные репозитории которых нет в спике sources.list

cat /etc/apt/sources.list

deb http://ftp.debian.org/debian sid main non-free contrib 

deb http://ftp.debian.org/debian testing main non-free contrib 

deb http://ftp.debian.org/debian unstable main non-free contrib 

deb http://ftp.debian.org/debian experimental main non-free contrib

apt-get update

Игн http://ppa.launchpad.net sid Release.gpg
Получено:1 http://ftp.debian.org sid Release.gpg [1 571 B]
Игн http://ppa.launchpad.net sid Release                                       
Получено:2 http://ftp.debian.org testing Release.gpg [1 571 B]                 
Ош  http://ppa.launchpad.net sid/main Sources                                  
  
Получено:3 http://ftp.debian.org unstable Release.gpg [1 571 B]                
Получено:4 http://ftp.debian.org experimental Release.gpg [1 571 B]            
Ош  http://ppa.launchpad.net sid/main Sources                                  
  
Получено:5 http://ftp.debian.org sid Release [203 kB]                          
Ош  http://ppa.launchpad.net sid/main Sources                            
  
Ош  http://ppa.launchpad.net sid/main Sources                            
  
Ош  http://ppa.launchpad.net sid/main Sources
  404  Not Found
Получено:6 http://ftp.debian.org testing Release [147 kB]           
Получено:7 http://ftp.debian.org unstable Release [203 kB]          
Получено:8 http://ftp.debian.org experimental Release [161 kB]      
Получено:9 http://ftp.debian.org sid/main i386 Packages [6 537 kB]  
Получено:10 http://ftp.debian.org sid/non-free i386 Packages [83,4 kB]         
Получено:11 http://ftp.debian.org sid/contrib i386 Packages [48,7 kB]          
Получено:12 http://ftp.debian.org sid/contrib Translation-en [39,8 kB]         
Получено:13 http://ftp.debian.org sid/main Translation-ru [437 kB] 
Получено:14 http://ftp.debian.org sid/main Translation-en [4 326 kB]           
Получено:15 http://ftp.debian.org sid/non-free Translation-en [74,9 kB]        
Получено:16 http://ftp.debian.org testing/main i386 Packages [6 258 kB]   
Получено:17 http://ftp.debian.org testing/non-free i386 Packages [80,4 kB]     
Получено:18 http://ftp.debian.org testing/contrib i386 Packages [47,1 kB]      
Получено:19 http://ftp.debian.org testing/contrib Translation-en [38,6 kB]     
Получено:20 http://ftp.debian.org testing/main Translation-en [4 154 kB]       
Получено:21 http://ftp.debian.org testing/non-free Translation-en [72,0 kB]    
Получено:22 http://ftp.debian.org unstable/main i386 Packages [6 537 kB]  
Получено:23 http://ftp.debian.org unstable/non-free i386 Packages [83,4 kB]    
Получено:24 http://ftp.debian.org unstable/contrib i386 Packages [48,7 kB]     
Получено:25 http://ftp.debian.org unstable/contrib Translation-en [39,8 kB]    
Получено:26 http://ftp.debian.org unstable/main Translation-ru [437 kB]
Получено:27 http://ftp.debian.org unstable/main Translation-en [4 326 kB]      
Получено:28 http://ftp.debian.org unstable/non-free Translation-en [74,9 kB]   
Получено:29 http://ftp.debian.org experimental/main i386 Packages [469 kB]
Получено:30 http://ftp.debian.org experimental/non-free i386 Packages [8 120 B]
Получено:31 http://ftp.debian.org experimental/contrib i386 Packages [4 907 B] 
Получено:32 http://ftp.debian.org experimental/contrib Translation-en [3 742 B]
Получено:33 http://ftp.debian.org experimental/main Translation-en [271 kB]    
Получено:34 http://ftp.debian.org experimental/non-free Translation-en [7 684 B]
Получено 35,2 MБ за 47с (745 kБ/c)                                             
W: Не удалось получить http://ppa.launchpad.net/george-edison55/george-edison/ubuntu/dists/sid/main/source/Sources  404  Not Found

E: Некоторые индексные файлы не скачались. Они были проигнорированы или вместо них были использованы старые версии.

Откуда взялось http://ppa.launchpad.net и как его оттуда удалить?)) Спасибо за помощь

quntm
()

RSS подписка на новые темы