Hálózatok általános

Beállítottam egy VPN szervert MikroTik router-en, IPSEC/IKEv2 tanúsítványos azonosítással. Windows 10-ből tudok is hozzá kapcsolódni minden gond nélkül. Ubuntu 20.04-ből strongswan klienssel nem megy.

Kapcsolódáskor a phase 1 sikerül, a phase 2 már nem.

MikroTik oldalon el látszódik:

10:45:51 ipsec,info new ike2 SA (R): 1.2.3.4[500]-1.2.3.5[38686] spi:204f64a24c6547c9:138380a9aa8a7f1e
10:45:51 ipsec,info,account peer authorized: 1.2.3.4[4500]-1.2.3.5[52733] spi:204f64a24c6547c9:138380a9aa8a7f1e
10:45:51 ipsec,info killing ike2 SA: 1.2.3.4[4500]-1.2.3.5[52733] spi:204f64a24c6547c9:138380a9aa8a7f1e

Linux oldalon syslogban ez látszódik:

Dec 22 10:45:51 laci-ryzen charon-nm: 11[IKE] authentication of 'vpn.my.server.hu' with RSA signature successful
Dec 22 10:45:51 laci-ryzen charon-nm: 11[IKE] IKE_SA laci@my.server.hu[9] established between 192.168.14.2[C=HU, ST=Heves, L=Eger, O=my.server.hu, CN=laci@vpn.my.server.hu]...1.2.3.5[vpn.my.server.hu]
Dec 22 10:45:51 laci-ryzen charon-nm: 11[IKE] scheduling rekeying in 35986s
Dec 22 10:45:51 laci-ryzen charon-nm: 11[IKE] maximum IKE_SA lifetime 36586s
Dec 22 10:45:51 laci-ryzen charon-nm: 11[IKE] received TS_UNACCEPTABLE notify, no CHILD_SA built
Dec 22 10:45:51 laci-ryzen NetworkManager[1175]: <warn>  [1608630351.9743] vpn-connection[0x5581fb598160,e430f863-b8b7-4f23-8b49-0fd2a8036d13,"laci@my.server.hu",0]: VPN plugin: failed: connect-failed (1)
Dec 22 10:45:51 laci-ryzen charon-nm: 11[IKE] failed to establish CHILD_SA, keeping IKE_SA
Dec 22 10:45:51 laci-ryzen NetworkManager[1175]: <warn>  [1608630351.9744] vpn-connection[0x5581fb598160,e430f863-b8b7-4f23-8b49-0fd2a8036d13,"laci@my.server.hu",0]: VPN plugin: failed: connect-failed (1)
Dec 22 10:45:51 laci-ryzen charon-nm: 12[IKE] deleting IKE_SA laci@my.server.hu[9] between 192.168.14.2[C=HU, ST=Heves, L=Eger, O=my.server.hu, CN=laci@vpn.my.server.hu]...1.2.3.5[vpn.my.server.hu]

Dec 22 10:45:51 laci-ryzen NetworkManager[1175]: <info>  [1608630351.9744] vpn-connection[0x5581fb598160,e430f863-b8b7-4f23-8b49-0fd2a8036d13,"laci@my.server.hu",0]: VPN plugin: state changed: stopping (5)
Dec 22 10:45:51 laci-ryzen charon-nm: 12[IKE] sending DELETE for IKE_SA laci@my.server.hu[9]
Dec 22 10:45:51 laci-ryzen NetworkManager[1175]: <info>  [1608630351.9744] vpn-connection[0x5581fb598160,e430f863-b8b7-4f23-8b49-0fd2a8036d13,"laci@my.server.hu",0]: VPN plugin: state changed: stopped (6)
Dec 22 10:45:51 laci-ryzen charon-nm: 12[ENC] generating INFORMATIONAL request 2 [ D ]
Dec 22 10:45:51 laci-ryzen charon-nm: 12[NET] sending packet: from 192.168.14.2[52733] to 1.2.3.5[4500] (80 bytes)
Dec 22 10:45:51 laci-ryzen dunst[2914]: WARNING: No icon found in path: 'gnome-lockscreen'
Dec 22 10:45:51 laci-ryzen /usr/lib/gdm3/gdm-x-session[2427]: "No such interface “org.freedesktop.DBus.Properties” on object at path /org/freedesktop/NetworkManager/ActiveConnection/13"
Dec 22 10:45:51 laci-ryzen /usr/lib/gdm3/gdm-x-session[2427]: "No such interface “org.freedesktop.DBus.Properties” on object at path /org/freedesktop/NetworkManager/ActiveConnection/13"
Dec 22 10:45:51 laci-ryzen charon-nm: 13[NET] received packet: from 1.2.3.5[4500] to 192.168.14.2[52733] (128 bytes)
Dec 22 10:45:51 laci-ryzen charon-nm: 13[ENC] parsed INFORMATIONAL response 2 [ ]
Dec 22 10:45:51 laci-ryzen charon-nm: 13[IKE] IKE_SA deleted

Először azt gondoltam hogy azért nem fogadja el, mert az IKE_SA maximum lifetime-nak 36586 másodpercet írt, de a szerver oldalon a /ip ipsec proposal alatt lifetime=8h van beállítva. Ezt átírtam 11h -ra hogy beleférjen, de így se működik.

Van bárkinek bármi ötlete, hogy mi lehet a baj? A naplók ebből a szempontból nem túl informatívak. Ez a TS_UNACCEPTABLE csak annyit jelent, hogy a szerver szerint valami nem elfogadható. De hogy mi???

#Update: úgy tűnik ez a router nem képes arra, amit elvárunk tőle, szóval egyelőre felfüggesztve a téma.

# Köszönöm a hozzászólásokat. Sokat oszlott a "köd". (ha esetleg megoldom mégis valahogy, akkor lehet lesz belőle blogbejegyzés)

Sziasztok!

Felvetődött a környezetemben egy elég egyedi probléma.

Dual WAN egyedi portátirányítással Edge routeren.

Sehogy sem tudom megoldani. Nagyon sok, (fórumban is ismertetett) leírást kipróbáltam, de a sok feltétel közül legalább egy nem teljesül.

Tehát keresnék egy gurut/mágust/mestert erre az eszközre. Egyelőre PM-ben.

Kösz srácok.

Sziasztok!

Abban kéne segítség, hogy meg lehet-e oldani egyáltalán következő problémát és ha igen, hogyan:

Van egy dual WAN hálózat egy LAN-al, amiben van egy web szerver amire fájlokat másolnak kívülről. Az igény az lenne, hogy mindkét WAN irányból működjön, a csókosok használják a gyorsabb netet, a többiek meg a lassabbat de elérhető legyen egyszerre kívülről mindkét irányból:

WAN1 -> dst-nat -> websrv (gateway WAN1)            
WAN2 -> dst-nat -> ??? websrv (gateway WAN1)

Ahol elakadtam, hogy a WAN2-ről jövő csomagok, hogyan menjenek vissza a WAN2-felé ha szerveren a gateway a WAN1? Gondoltam befelé is rakok rá masqrade szabályt a WAN2-ről, de nem tudom, hogy kell, illetve működik-e egyáltalán a dst-nat előtt, ha meg mangle-val jelölöm a csomagot, az visszafelé már nem lesz rajta ha jól gondolom. Nehezítő körülmény, hogy az egyik net "normál", a másik meg pppoe betárcsázós, de mindkettő fix ip-s.

Ezt hogyan lehetne megoldani?

Szigetszentmiklós környékén teljes halálnak tűnik a TCOM...

Sziasztok

Mar nem fog az agyam :),szoval segitseget kerek toletek.

Kerdes: mire googlizzak, mik a kulcsszavak

Problema:
Elasticsearch-hez kellene csatlakoznia egy java programnak (ez tolti fel az es-t adatokkal). Csakhat valami okbol nem beszel SSL/TLS-t ez a franya program.
Marpedig az elasticsearch-rol nem fogom leszedni a konfigot. 
A fejleszto a java apphoz majd elmeletileg megoldja ezt a problemat idovel, de ezt nem szeretnem kivarni.

A kerdes van-e olyan megoldas hogy a java program sima unencrypted http-n keresztul beszeljen valami proxyhoz, ami onnantol az elastic fele https-n tovabbitja majd a kereseket/adatokat?

Tisztelt Egybegyűltek!

Azért jöttünk ma így össze, hogy tanúi lehessünk, miképp lehet kínlódni egy összeállított rendszer működésének kibogozásával. A hiba sunyi, lappangó és nehezen diagnosztizálható.

ssh megy, de időnként meg - meg fagy, és timeout lesz a vége. Az scp nem akar egy byte-ot sem átküldeni.

A megoldás: engedélyezd a switch-en a jumbo-t, mert mindkét oldalon be van írva a nagy MTU, de közte a limitált kapcsoló eszközön nem megy át.

Remélem hasznos volt Neked is! ;)

Üdv,

vfero

Kb. 2 hete van a Digi optika bekötve. Szerencsére nem raktak nat mögé, de az ip címem már többször is változott. A UPC(voda)-nél szinte fix volt. Talán ha újraindítottam a routert akkor kaptam új címet, de ebben sem vagyok biztos. Szóval mire kell számítani ? Minden nap változik vagy csak most futottam ebbe bele.
Ha mindennap változik akkor tudtok valami normális dynamic dns -t javasolni. A freedns-t nem tudom beüzemelni a letsencrypt cert-el. Valahol elakad valami mert ha az egyik domainem 'A' rekordját átállítom a szolgáltatónál akkor azzal működik.  Ezzel meg az a baj, hogy a szolgáltatónál elég macerás állítgatni és nem is hajtódik végre egyből.   

Sziasztok!

Site-to-site vpn-t próbálok összehozni Turnkey Openvpn-nel. Elvileg egyszerű. Telepítettem az egyik telephelyünkön (A) szerverként, a másikon (B) pedig kliensként.

A szerveren készítettem egy kliens konfigot, amit átvittem a kliensre, betettem a /etc/openvpn könyvtárba átnevezve .conf kiterjesztésűre. Tűzfalon beengedtem A-ban a B felől érkező csomagokat, és forwardoltam az openvpn szerverhez.

Ha a B-ből, az openvpn kliensről pingelek egy számítógépet az A helyi hálózatában, akkor kapok választ tőle. Ha a B-ből egy másik számítógépről próbálom ugyanazt a számítógépet megpingelni A-ban, nem kapok választ. Az alapértelmezett átjárókon beállítottam statikus route-ot, hogy a kliensek másik hálózatba irányuló csomagjait az openvpn szerver/kliens kapja meg.

Első kérdés: az helyes, hogy amikor az openvpn kliensről pingelek A-ban egy gépet, a csomag a tun0 ip-jéről megy ki a tcpdump -eni any icmp alapján, amikor egy kliensről próbálok pingelni B-ből, az openvpn kliensen az látszik, hogy a kliens ip-jével küldi tovább a csomagot, nem a tun0-éval.

Utóbbi csomag viszont már nem jelenik meg A-ban az openvpn szerveren... A második kérdés az, hogy vajon miért nem? Mi a különbség a két eset között?

Sziasztok!

Több böngészővel is használhatatlan a https://digi.hu/ajanlat/internet/lan oldal.

Nálatok esetleg megy?

(A város nevek kezdőbetűit végigzongorázva mindösszesen 3-4 teleülésnevet ajánl fel. Még azt sem, ahol vagyok digi hálózaton...)

Előre is köszi a válaszokat.

Sziasztok!

Lerajzoltam a jelenlegi topológiát. 

Ami most van és működik. Adott a Router 1, ami L2TP szerverként működik a WAN1-en. 2 WAN lába van és az lenne a cél, hogy úgy tudjon átállni egyik ISP-ről a másikra, hogy lehetőleg kliens oldalon ne kelljen találgatni, hogy melyik megy éppen.

Két módon tudnám ezt elképzelni. Az egyik, hogy használom a Mikrotik beépített DynDNS szolgáltatását (xxxx.sn.mynetname.net) vagy a Router 2-re költöztetem a VPN szervert (ez hosting-ban van kb. zero downtime-al) és az ISP2-re is építek fel egy IPSec tunnelt.

A Router1-en pedig vagylagosan megy a WAN1 vagy a WAN2. Fix ip mindkettőre van.

Ti hogy oldanátok meg ?

Köszönöm előre is az ötleteket!