Нужно организовать туннель между сетями.

Пытаюсь подключиться со своего шлюза на линуксе XX.XX.XX.XX

Перерыл горы примеров, Признаюсь, уже сам запутался.

Извиняюсь, если где недопонимаю.

Дали следующие параметры для подключения.

crypto isakmp policy 20

encr 3des

authentication pre-share

group 2

lifetime 28800

password XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

crypto ipsec transform-set ESP_3DES_SHA1 esp-3des esp-sha-hmac

mode tunnel

#-------------------------------------------------------------

Как я понял, это циска

#-------------------------------------------------------------

ipsec.conf:

config setup

conn vpn-connect

keyexchange=ikev1

type=tunnel

authby=secret

ike=3des-sha1-modp1024!

esp=3des-sha1!

left=XX.XX.XX.XX

leftid=XX.XX.XX.XX

right=YY.YY.YY.YY

keylife=8h

auto=start

#-------------------------------------------------------------

# ipcec up vpn-connect

initiating Main Mode IKE_SA vpn-connect[2] to YY.YY.YY.YY

generating ID_PROT request 0 [ SA V V V V V ]

sending packet: from XX.XX.XX.XX[500] to YY.YY.YY.YY[500] (176 bytes) received packet: from YY.YY.YY.YY[500] to XX.XX.XX.XX[500] (100 bytes) parsed ID_PROT response 0 [ SA V ]

received NAT-T (RFC 3947) vendor ID

generating ID_PROT request 0 [ KE No NAT-D NAT-D ]

sending packet: from XX.XX.XX.XX[500] to YY.YY.YY.YY[500] (244 bytes) received packet: from YY.YY.YY.YY[500] to XX.XX.XX.XX[500] (304 bytes) parsed ID_PROT response 0 [ KE No V V V V NAT-D NAT-D ]

received Cisco Unity vendor ID

received DPD vendor ID

received unknown vendor ID: 53:59:33:6f:6f:2f:c1:1b:83:b4:73:33:4a:21:6e:71 received XAuth vendor ID

generating ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ]

sending packet: from XX.XX.XX.XX[500] to YY.YY.YY.YY[500] (100 bytes) received packet: from YY.YY.YY.YY[500] to XX.XX.XX.XX[500] (68 bytes) parsed ID_PROT response 0 [ ID HASH ]

IKE_SA vpn-connect[2] established between XX.XX.XX.XX[XX.XX.XX.XX]...YY.YY.YY.YY[YY.YY.YY.YY] scheduling reauthentication in 10174s

maximum IKE_SA lifetime 10714s

generating QUICK_MODE request 1234054808 [ HASH SA No ID ID ]

sending packet: from XX.XX.XX.XX[500] to YY.YY.YY.YY[500] (172 bytes) received packet: from YY.YY.YY.YY[500] to XX.XX.XX.XX[500] (84 bytes) parsed INFORMATIONAL_V1 request 2531360416 [ HASH N(NO_PROP) ]

received NO_PROPOSAL_CHOSEN error notify

establishing connection 'vpn-connect' failed

#-------------------------------------------------------------

Помогите натроить. Готов даже отблагодарить.

OpenSuse 11.3. Решил поставить последнюю версию mc, скаченную с официального сайта. Потребовалось обновить glib и что-то еще - каюсь, не все запомнил. mc заработал нормально, а копирование файлов по F5 не происходит. Причем кнопка работает, всплывает окошко что копировать и куда копировать, но по нажатию OK ничего не происходит. Ну еще симптомчик: ранее в mc я мог по ENTER провалиться в архив, а сейчас тоже ничего не происходит. Именно эту версию mc (4.8.10) я одновременно ставил на др.станции, в т.ч и на OpenSuse 11.4 - все заработало. На той станции, где не заработало, я попытался откатить mc до стандартной из репозитария OpenSuse. И все равно таже проблема. Сервер за границей... Куда копать?

Работаю в основном с OpenSuse различных версий. Обслуживаю удаленно. Одна из основных проблем - выключение питания на объекте. Чтобы запустить систему, необходимо залогиниться под рутом и запустить команду проверки дисков. Как правило, ошибок нет, но гемороя... Или самому ехать за десятки километров, или заставлять клиентов побуквенно вводить логин и команды. Еще порой им приходится нести монитор к серверу, из экономии не везде даже монитор постоянно подключен.

Возможно ли какое-то решение? Например, автоматическая проверка в таких случаях?

Стоит задача. Перевести рабочие станции на тонкие клиенты. Их подключение будет осуществляться к терминальному серверу WinSrv2008.

Шлюз инета - на OpenSuse. Требуется разграничить доступ в инет для клиентов терминала. Через Iptables естественно не пройдет. Разграничение может быть как по портам, так и по различным dst ip.

Что я нашел в инете: возможно разграничение по 80 порту с авторизацией на squid (например, через AD). По остальным портам никак...

Может я плохо и искал и есть какие-то идеи? Спасибо

Есть офис. Он является сервером VPN для других офисов. В один момент у прова что-то слетело. Соединение по VPN происходило, но обмен обрывался, т.е. гре не гуляли. И еще коннект по 443 порту из этого офиса к другим серверам тоже после начала обмена обрывался. Звонил провам, они сказали, что действительно где-то на линии сгорела какая-то железка, из-за этого проблема с прохождением этих пакетов. Но остальные функции инета работали без проблем. К следующему дню они все поправили. Вот не пойму, что у них именно эти пакеты по отдельным железкам ходят что-ли?

Извините за безграмотность, если что. Из-за нее вот глупые мысли лезут, типа этот офис пытаются расшифровать какими-то железками, выдергивая эти пакеты и пропуская как-то отдельно ))

А если серьезно, как можно объяснить, что сгорела железка у прова и при этом такие симптомы?

Поставил последнюю версию OpenSuse 11.3. Через виндового клиента (Putty) захожу без проблем. Пытаюсь:

ssh root@xx.xx.xx.xx

а он даже пароль не запрашивает. Хотя раньше во всех версиях я начинал с этого, с помощью scp закидывал публичный ключ (в первый раз пароль запрашивался), в known_hosts запись появлялась автоматом, потом все работало без проблем. А сейчас пришлось ключ закидывать по-другому, в known_hosts вручную внес запись, все равно не коннектится. В конфиге PubkeyAuthentication yes, останльное дефолтовое.

На экране:

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!

Someone could be eavesdropping on you right now (man-in-the-middle attack)!

It is also possible that the RSA host key has just been changed.

The fingerprint for the RSA key sent by the remote host is

ab:1f:3c:dc:e4:2c:27:19:89:6c:c5:de:d1:f0:d4:75.

Please contact your system administrator.

Add correct host key in /root/.ssh/known_hosts to get rid of this message.

Offending key in /root/.ssh/known_hosts:2

RSA host key for [xx.xx.xx.xx]:22 has changed and you have requested strict checking.

Host key verification failed.

Куда смотреть? Спасибо

Вопрос наверняка простой для знающих.

Postfix+Mysql. В virtual_aliases вношу соответствующую запись для пересылки.

Например: INSERT INTO virtual_aliases (domain_id, source, destination)    VALUES (1, 'box2', 'ext@mail.ru');

Из внутренней сети (например, с ящика box1@domen.ru на ящик box2@domen.ru) посылаю письмо и оно уходит на внешний ext@mail.ru.

Но если я посылаю письмо с другого внешнего ящика (например с box@rambler.ru на box2@domen.ru), то оно не доходит на ext@mail.ru.

Причина то приблизительно ясна, но какой параметр поправить - не помню. И хорощо бы, чтобы все грамотно было в плане защиты.

Spamassassin настроен так:

Спам с пометкой в заголовке отправляется клиенту. Клиентский почтовик сам фильтрует по признаку.

Необходимо, чтобы дополнительно к этому приходящий к любому клиенту сыпался в один отдельный ящик.

Возможно ли это?

По необходимости рассматриваю возможность перехода одного из серваков с сусе на федору.

С какими трудностями или неудобствами столкнусь в первое время?

Сервак с обычными функциями шлюз, почтовик, апача, сквид, впн. Предпочитаю иптейбл. Юзаю обычно с консоли, т.е. особенности графики не интересуют.

Настраиваю прозрачный прокси.

Допустим, заворачиваю всех

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

Какую альтернативную команду подать, чтобы допустим -s XX.XX.XX.XX шел мимо прокси?

Просто в сети почти все идут на прокси, причем группой их в соурсе не выделить. Нужно пустить мимо ограниченное количество хостов.

Ввожу URL:

https://www.domain.ru

Попадаю, куда надо

По ссылке

http://www.domain.ru

или

www.domain.ru выдается мессага Bad request!

Помогите настроить апачу, чтобы при вводе адреса автоматически поднимался SSL коннект.

Вопщем-то вопрос в теме. Развернут pastfix, dovecot с SASL, аунтификация MySQL. Работает доступ по pop, imap. Хотелось бы дать возможность через ssl пустить к почтовику юзеров через браузер. Куда искать? Спасибо.

Linux (комп мой). Свежий Apache. Свежий phpBB. Развернул форум phpbb. Прописал виртуальный хост. ------------------------ <VirtualHost 10.0.0.1> ServerName www.domain.com DocumentRoot /usr/share/phpbb ErrorLog /usr/share/phpbb/log/error.log TransferLog /usr/share/phpbb/log/access.log </VirtualHost> ----------------------- Доступ по сетке с соседней машины. Форум работает. Затем убрал этот виртуальный хост, организую другой - главную страницу. Из главной страницы хочу попасть на форум. Для этого в конфиге: Alais /phpbb /usr/share/phpbb Иду по ссылке www.domain.com/phpbb в IE открывается окошко "Начинается просмотр страницы через безопасное соединение" (хотя в первом случае этого не было). Нажимаю ОК, - "невозможно соединиться с сервером". А Опера выдает "Безопасное подключение: критическая ошибка (552)". В логах httpd: error.log - Invalid method in request \x16\x03 access_log.log - [28/Feb/2009:16:53:53 +0300] "\x16\x03" 501 950 "-" "-" в access.log [28/Feb/2009:16:53:17 +0300] "GET /phpbb/index.php HTTP/1.1" 302 330

Помогите запустить форум. Думаю, что это связано с SSL. Не пойму, почему в первом случае свободно захожу, во втором - не могу.

Сервер VPN (на Исе)- на другом конце в удаленной сетке, посмотреть его настройки не могу.

Могу подключится к нему с винды из со своей сетки. А с линукса своей сетки подключаюсь, а вот как настроить маршрутизацию не могу сообразить. Какой-то странный туннель он мне образует.

моя сетка 10.0.0.0/24

Удаленная сетка 172.16.0.0/24

Ранне при подключении к другим серверам я, например, получал локальный адрес 172.16.0.2 удаленный 172.16.0.1 Соответственно пробрасывал пакеты на тот конец тунеля 172.16.0.1 и проблем нет.

А при подключении к исе мой локальный адрес тунеля становится 172.16.0.2, а удаленный - 10.64.64.64. IP 10.64.64.64 не пингуется, т.е. на него ничего не пробросить. Пытаюсь сделать: route add -net 172.16.0.0 netmask 255.255.255.0 gw 172.16.0.2 Пробую пинговать что-нить на удаленной сетке, пакеты видны на моем шлюзе на ppp0. Но ответа нет. Пробовал еще много какие маршруты прописать, ничего не получается.

Устанавливал точно такие же маршруты, какие организует ХР, тоже не пошло. Подскажите, может кто сталкивался.

>>>