November 2019

S M T W T F S
      12
34 5 678 9
10111213141516
17181920212223
24252627282930

Navigation

Page Summary

Style Credit

Expand Cut Tags

No cut tags

Загадочные сетевые грабли

dil: (Default)
Tuesday, October 10th, 2017 09:24 pm

Сегодня настраивал маршрутизатор (pfsense) для подсоединения офисной сетки через нового интернет-провайдера. Казалось бы, задачка элементарная, что там может быть сложного..
Но я, как обычно, наступил на загадочные грабли:

1) Настроил DHCP-сервер, для проверки подключил свой ноутбук, посмотрел ifconfig’ом, вроде адрес нормальный выдался, но в интернеты ходить почему-то не получается.

Traceroute вообще никуда не доходит, даже до pfsense’а.
Запустил ip route show, и офигел: default route почему-то не в этот pfsense, а в какой-то совершенно другой IP, которого в этой сетке вообще нету..
А ip address show показал, что на eth0 кроме адреса, выданного pfsense’ом, есть ещё один, из той сетки, где этот непонятный default gateway..

Попробовал повыключать-повключать eth0, ничего не поменялось. Ну, то есть, когда выключал, все адреса и маршруты пропадали, а когда обратно включал – появлялись те же два адреса, и default route в тот же несуществующий gateway.

Посмотрел в /etc/network/interfaces – там ничего нету. Запустил гномовский конфигуратор NetworkManager‘а – там всё настроено чисто по DHCP, никаких дополнительных адресов нету.

Решил поискать, где оно ещё может быть – запустил в /etc grep того загадочного IP, и.. он нашёлся в /etc/NetworkManager/system-connections/Wired connection 1 :
[ipv4]
method=auto
address1=10.12.1.38/24,10.12.1.1

Но в гномовском сетевом конфигураторе ничего подобного почему-то не видно.. А если уж Network Manager взял из этого конфига статический адрес и gateway, так какого ж хрена он на тот же интерфейс прицепил ещё и DHCP’шный адрес??

Короче, удалил нафиг этот address1, всё заработало..

Read the rest of this entry » )

Оригинал этой записи в личном блоге.

Tags:

Прямо пойдёшь – и там грабли…

dil: (Default)
Friday, September 2nd, 2016 11:36 pm

Как неоднократно замечал dmarck, мне давно надо было переквалифицироваться из сисадмина в тестера. Ибо я наступаю на такие грабли, которых остальные почти никогда не замечают.

Недавно настраивал очередной IPsec-туннель. Казалось бы, чего тут может быть сложного..
Но когда я попробовал попингать c местной машинки клиентскую — не получилось. Запустил на этом pfSense tcpdump, он показал, что гейты друг с другом общаются, первая фаза вроде как нормально отрабатывает, значит пароль точно правильный, потом проходит несколько пакетов второй фазы, а потом всё резко замолкает..

Посмотрел в логи — и вправду, первая фаза успешно проходит, потом во второй фазе посылается предложение SA, а с той стороны в ответ приходит DELETE for IKE_SA. Чем-то, значит, ихней циске эта SA настолько не нравится, что она её не просто игнорирует, а вообще предлагает всё закрыть. Сравнили IPsec’овые конфиги, вроде всё одинаковое. Но не работает. Долго думал, что может быть не так, ничего не придумал.

Read the rest of this entry » )

Оригинал этой записи в личном блоге.

Tags:

Опять загадочные грабли

dil: (Default)
Wednesday, August 24th, 2016 08:20 pm

Сегодня пытался запустить очередной IPsec’овый туннель. Не работает. Связался с клиентом, проверили настройки, вроде всё с обеих сторон одинаково, должно работать, ан нет. Запустил на роутере tcpdump, и офигел.. Phase1 успешно проходит, а на пакеты от Phase2 с той стороны вместо ответа приходят ICMP destination port unreachable, хотя порт тот же самый UDP 500, что и в Phase1. Как такое может быть??

Эти грабли я пока обойти не смог, ибо у меня нету доступа к ихнему серверу, поэтому я не могу посмотреть, что там может быть не в порядке, а тот сотрудник, с которым я общался, похоже, в сетевых технологиях почти не разбирается.

Upd: мне выдали доступ по ssh к клиентскому серверу, я там полдня колупался с настройками этого openswan’а, пытаясь понять, как сделать, чтобы тамошний публичный IP использовался не только в качестве идентификатора, но и в качестве локального адреса с той стороны туннеля. А ведь на амазоновских машинках используются только приватные адреса, а приделываемые к ним публичные NATятся внешними амазоновскими роутерами.

В конце концов мне удалось подкрутить настройки, и VPN заработал. Но объяснить, что конкретно там было не так, я не могу, слишком долго я там эти настройки подкручивал и перезапускал ipsec..

Оригинал этой записи в личном блоге.

Tags:

Checkpoint VPN и линукс

dil: (Default)
Thursday, August 1st, 2013 09:22 pm

После нескольких лет экспериментов мне таки удалось их соединить. Вообще-то Checkpoint использует IPSec, но, как водится, с некоторыми расширениями, делающими его несовместимыми с другими реализациями.

Родной клиент под линукс у Checkpoint’а когда-то был, но последняя версия была под RedHat 5 (не путать с RHEL5!). RH5 — это примерно 1997-98 год. С тех пор Checkpoint на линукс забил, а желающим рекомендует использовать SSL Network Extender, работающий через Java-плагин в браузере. Точнее, в моём случае не работающий, поскольку гейт по HTTPS вообще не отвечает.

Но добрые люди из компании Shrew Soft написали универсальный клиент, который умеет разговаривать на многих диалектах IPSec, включая CheckPoint’овский. Готового пакета под линукс у них самих нет, но из исходников собралось влёт. В некоторых дистрибутивах, типа убунты, говорят, есть уже готовое.

Остались сущие мелочи: настроить. В родной инструкции сказано, что клиенту нужен сертификат, который предлагается экспортировать из сервера. Но у меня нет доступа к серверу. Виндовый клиент этот сертификат скачивает при первом соединении с сервером и сохраняет у себя (способ небезопасный, но уж какой есть). Вот только сохраняет он его таким хитровывернутым способом…

Итак,
1) в Program Files\CheckPoint\SecuRemote\database\ находим файлик userc.C, в котором лежит конфигурация клиента. Файлик, к счастью, текстовый. Находим в нём параметр :cert, представляющий собой длинную строку из шестнадцатиричных цифр. И сохраняем эту строку в другой файлик, скажем, cert.hex
2) Конвертируем в бинарный вид: xxd -p -r cert.hex > cert.bin
3) Переставляем байты в обратном порядке… cat cert.bin | perl -0777e 'print scalar reverse <>' > cert.der
4) Полученный файл представляет собой серверный сертификат в формате DER. Конвертируем в PEM: openssl x509 -inform DER -in cert.der -outform PEM -out cert.pem

Это Страшное Колдунство найдено тут.

Так, с сертификатом разобрались. Переходим к настройке параметров соединения..

Read the rest of this entry » )

Оригинал этой записи в личном блоге.
Любые материалы из этого блога запрещается использовать на сайте livejournal.ru в любой форме и любом объёме.

Tags:

Какая гадость этот ваш IPSec

dil: (Default)
Sunday, October 3rd, 2010 10:59 pm

В очередной раз поискав линуксовый клиент к Checkpoint VPN-серверу, нашел Shrew Soft VPN. Поставился из штатного пакета, всего каких-то три часа подбора правильных параметров, и вуаля – оно подцепилось к серверу.

Получило IP-адрес, создало соответствующие записи Security Policy, setkey их показывает, вроде всё нормально, а только ни один хост из внутренней сети не доступен. Туда пакеты уходят, в ответ полная тишина. И что дальше делать, совершенно непонятно.

А из windows с родным клиентом всё работает.

Оригинал этой записи. Комментировать можно тут или там.

Любые материалы из этого блога запрещается использовать на сайте livejournal.ru в любой форме и любом объёме

Tags:

Задачка для сисадминов

dil: (Default)
Monday, December 1st, 2008 01:08 pm
В конторе используется CheckPoint VPN-1. С клиентской стороны - SecureClient в OfficeMode. Под Windows. Хочется полноценный VPN из-под линукса.
Read more... )
Tags:

Только не бросайте меня в терновый куст

dil: (Default)
Friday, October 14th, 2005 04:43 pm
а лучше скажите, существует ли в природе продукт, который живет под линуксом/фрёй и умеет общаться с Lucent'овским VPN-сервером по его разновидности IPSec, причем из-за NAT'а и с использованием pre-shared keys?

Родной люсентовский IPSec клиент есть только под винду, и эта сволочь после коннекта отрубает всю локальную сеть, а оставляет только шифрованное соединение.

Upd: гуглить пробовал, не помогает :(

Upd2: сменить сервер на нормальный не предлагать, это данность :(
Tags: