Hálózatok általános

Sziasztok,

Az AZ és AzureRM PowerShell modul-gyűjtemények telepitésénél (PowerShell Gallery) a kérések úgy 90%-ban HTTP 502 response-t kapunk az érintett Azure-ben futó nuget feed-től: https://psg-prod-eastus.azureedge.net/packages/

Globálisan többezer fejlesztőnk is érintett lehet, de sehol máshol nem tudtam reprodukálni.

Ezt te is le tudod tesztelni egy szimpla "install-module azurerm --verbose"-el (vagy user context-be: "install-module azurerm -verbose -Scope currentuser"), ha nem szolgál ki a feed, akkor hibára fog futni.

A Microsoft (Premier Support) összeteszi a kezét és erre hivatkozik.

Idézek:

"At this point there is nothing we can do to prevent the reported situation.
We’re very sorry about this situation!"

Van arra lehetőség Squid-el, hogy a kérést kizárólag cache-ben szolgálja ki, tehát ne is forduljon konkrét esetben az Azure-felé?

Köszönöm,
Tassadar

Hali, adott egy Zyxel USG60W-s tűzfal.

Ami a feladat lenne, hogy boot után, mikor minden szépen lefutott, futtasson le egy .zysh scriptet ami bizonyos dolgokat be/ki kapcsolgat zyxel cli parancsokkal.

A zysh-val nincs is gondom, azzal van probléma, hogy nem igazán láttam ilyen lehetőséget benne. Van ugyan egy schedule-run nevű cucc, ami egy "kezdetleges" crontab, de ez sajnos csak weekly, daily, monthly, oneshot opciókat ismer. Valamint ez ugye nem igazán tud a boot után lefutni.

Esetleg valaki aki jártas Zyxelek belső lelki világában tudna valami ötletet mondani? (Amire gondoltam még, hogy a boot-config végére nem zysh scriptként, de a zyshban szereplő parancsokat beírom, de ezt nem mertem még kipróbálni :) )

Köszi előre is a tippeket.

Van két LAN. Az egyik egy cégnél a másik nálam itthon. A kettő között L2TP kapcsolat MikroTik router-ekkel. (A cég router-je a kliens.)

A cég hálózata 192.168.5.254/24 a sajátom 192.168.14.1/24

A saját hálózatomon belül ha egy windows 10-es gépről megpróbálom elérni a távoli cég hálózatán levő valamelyik gépet, akkor az sikerül:

[code]

C:\Users\nagyl>tracert sanyi-pc.visznet

Tracing route to sanyi-pc.visznet [192.168.5.198]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  router.lacinet [192.168.14.1]
  2    43 ms    40 ms    40 ms  s2s-viszfuvar.lacinet [192.168.14.99]
  3    40 ms    43 ms    49 ms  sanyi-pc.visznet [192.168.5.198]

Trace complete.

[/code]

Ha Linuxos gépről próbálom, az is megy:

[code]

╰─$ traceroute sanyi-pc.visznet
traceroute to sanyi-pc.visznet (192.168.5.198), 30 hops max, 60 byte packets
 1  router.lacinet (192.168.14.1)  0.412 ms  0.366 ms *
 2  s2s-viszfuvar.lacinet (192.168.14.99)  43.401 ms  43.393 ms  43.460 ms
 3  sanyi-pc.visznet (192.168.5.198)  42.645 ms  45.024 ms  44.467 ms

[/code]

Ha viszont megpróbálom elérni a távoli router-t a távoli LAN-on levő címével, akkor windows-ból sikerül:

[code]

C:\Users\nagyl>tracert router.visznet

Tracing route to router.visznet [192.168.5.254]
over a maximum of 30 hops:

  1    <1 ms     1 ms    <1 ms  router.lacinet [192.168.14.1]
  2    41 ms    44 ms    44 ms  viszfuvar.visznet [192.168.5.254]

Trace complete.

[/code]

Ellenben Linux alól nem:

[code]

─$ traceroute router.visznet
traceroute to router.visznet (192.168.5.254), 30 hops max, 60 byte packets
 1  router.lacinet (192.168.14.1)  0.298 ms  0.248 ms  0.280 ms
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  *^C

[/code]

Azt szeretném elérni, hogy a linuxos gépről be tudjak ssh-zni a céges router-re. Jelenleg a céges hálózaton levő bármelyik gépre be tudok menni, kivéve a céges routert. Ez nagyon idegesítő. A  linuxos gépen routing table ilyen pofonegyszerű:

╰─$ route                                                                                                              130 ↵
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         router.lacinet  0.0.0.0         UG    100    0        0 enp0s31f6
link-local      0.0.0.0         255.255.0.0     U     1000   0        0 enp0s31f6
172.17.0.0      0.0.0.0         255.255.0.0     U     0      0        0 docker0
172.19.0.0      0.0.0.0         255.255.0.0     U     0      0        0 docker_gwbridge
192.168.14.0    0.0.0.0         255.255.255.0   U     100    0        0 enp0s31f6

╰─$ host router.lacinet                                                                                                130 ↵
router.lacinet has address 192.168.14.1

Szóval a default gateway a 192.168.14.1 pont az a router, amelyik az L2TP szerver. A docker hálózatait kivéve egy teljesen alap, default konfig. Windows alatt szinte pontosan ugyan ilyen default config van:

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0     192.168.14.1   192.168.14.108     50
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    331
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    331
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    331
     192.168.14.0    255.255.255.0         On-link    192.168.14.108    306
     192.168.14.0    255.255.255.0     192.168.14.1   192.168.14.108     51
   192.168.14.108  255.255.255.255         On-link    192.168.14.108    306
   192.168.14.255  255.255.255.255         On-link    192.168.14.108    306
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    331
        224.0.0.0        240.0.0.0         On-link    192.168.14.108    306
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    331
  255.255.255.255  255.255.255.255         On-link    192.168.14.108    306
===========================================================================
Persistent Routes:
  Network Address          Netmask  Gateway Address  Metric
     192.168.14.0    255.255.255.0     192.168.14.1       1
===========================================================================

A végére ezt a persistent route-ot akár ki is törölhetem, akkor is működik minden.

MikroTik oldalon nincsen semmi specifikus beállítás a csomagok szűrésére a linuxos gép IP címe alapján.

Mi okozhatja ezt?

Sziasztok!

Engedjétek meg, hogy megosszam a mai tapasztalataimat SSL, TLS ügyileg.

Megállt. Webes része megy, Chrome megy, http naplóban látszik minden ok. API fgv-ek nem jönnek be a szerverre. Nyomát se látom, hogy valaki küldene valamit (apache access + error). Utolsó sikeres log-ok 2 napja, hajnali 4 órakor. Szinte minden szerveren. WTF? Kínomban csináltam egy .NET-es klienst, mert nem hittem el hogy a túloldalon valami hiba van. És volt...

Kiderült, hogy TLS1.1-gyel nem lehet csatlakozni. TLS1.2-re átállva (.NET: ServicePointManager.SecurityProtocol = (SecurityProtocolType)3072;) minden megy. Ígérték valamikor, hogy a TLS 1.1 deprecated meg meg is fog állni, de gondoltam, majd új szervereknél CentOS7 (vagy 8) így megy fel. De meglévő szervernél? Ki nyúlt bele? És éppen 4h-kor? Mi van 4 órakor? certbot renew > /dev/null van. Log szerint nem renew-olt semmit. De mégis...

certbot telepít egy ssl.conf-ot, amely a "saját" ssl.conf után "fut le" és abban (meglévő szerverre!) betelepítettek egy beállításhalmazt, ami megölte a TLS1.1-et.

0. Igen, én voltam a figyelmetlen devops, aki pont koronavírs idején hagyta figyelmen kívül a dolgokat.

1. Jogos-e hogy valaki belenyúl egy meglévő konfigba? (nem EULA érdekel, azt biztos elfogadtam; és igen, a világnak haladnia kell, meg biztonság kell)

2. Hol látom CentoS szinten, hogy az SSL eldobálja a kapcsolatot? Apache szintig nem is jut el... security.log?

3. "Állítólag" nem érdemes a certbot-os ssl.conf-ot piszkálni, mert a renew csak akkor ad ki cert-et, ha nincs engedélyezve a TLS1.0 és 1.1

99. Elnézést, kijött belülem a düh.

Sziasztok,

Ahol lakok csak mobil net van (és az sem dübörög) de cirka 3 éve használom a telenor 4G-t, viszont mostanában főleg délutántól eléggé leterhelt ahogy egyre többen költöznek ide. Most viszont már napközben sem volt igazi sokszor. Szóval vettem egy tmobilos netet is. Térerő csak a domb tetején van, nem ott ahol a ház:)
 

A kérdés, hogy miként tudnám mind a kettőt párhuzamosan használni?

Most így néz ki a hálózat:

telenor USB modem <-> ppp0 <-> orage pi zero (armbian 3 éve telepítettem) <-> usb0 <-> régebbi mobil tmobile 4g
                                                                          |
                                                                 eth0 (ipforward)
                                                                          |
                                                             2db powerline adapter
                                                                          |
                                                                     switch/AP
                                                                          |
                                                                      localnet
 

A kérdés, hogy mivel lehet megcsinálni ezt? Próbáltam a bondingot, de nem igazán akart menni. :) Jó lenne valami egyszerű megoldás kevés dombra rohangálással, hogy kivegyem az SD-t az orange pi-ból vissza állítani a hálózatot.

Jelenleg az megy, helyből ppp0-n megy a net, hogy ha lelövöm a ppp0 interfacet ifconfig ppp0 down-al akkor az USB0-n megy a net.

Sziasztok,

Mától home officeban vagyok, VPN-el kapcsolódom a munkahelyemhez.
Szeretném a privát internet forgalmamat a VPN kihagyásával elérni, hogy ezzel se terheljem le a munkahelyi szervereket.

Van erre valamilyen egyszerű mód?
(Pl.: 2 böngésző, és egyik a VPN-en keresztül, másik pedig direkt otthoni interneten keresztül menjen ki?)

Köszi

Sziasztok!

Hogyan lehet rábeszélni az openVPN klienst hogy csak a célhálózat (192.168.76.x) felé kommunikáljon, az összes többit engedje a normál internet kapcsolaton keresztül?

Nálatok is?

Sziasztok,

Ha xy alkalmazás hálózati forgalmát szeretném megmérni adott időegységen belül, akkor azt hogyan tehetem meg?
Mivel sok más egyéb alkalmazás fut mellette, ezért be kellene zárnom ezt az egyet egy zacskóba, és azt mérni onnan, hogy "mennyi megy ki, mennyi jön be".
Windows 10 alatt tudtok erre valami hiteles módszert, szoftver, akármit?

Köszönöm!

Az SSH -R-rel létrehozott tunnel szépen működik több helyről, azt gondoltam, hogy kiismertem a lelkivilágát: bárhonnan nyittatok egy ilyet (-R 1xxxx:localhost:22 tunnel@xxxxxx.hu), akkor ezen a csatornán visszatalálok a gépre, a cél gépen egy "ssh user@localhost -p 1xxxx" szépen visszamegy a csatornán és ott a 22-es porton lévő szolgáltatást megszólítja.

Ezt szerettem volna átmenetileg kiadni "kívülre", ehhez a CentOS7 firewalld-ben szépen létrehoztam a --masquerade és --add-port-worward dolgokat. Egyszerű próbák mennek, 88-as külső portot tudom végződtetni a 80-as belső porton, 22-es helyi porttal ugyanez, a gépre 88-as porton tudok SSH-zni. Már alapvető parancsokkal dolgozom: telnet gep 88, azon is látom hogy SSH kapcsolat akarnak kiépülni.

A problémám az hogy a kettő együtt nem megy: ha --add-port-forward-ba a 88-at hagyom, de a cél port-ot módosítom 1xxxx-re, akkor a 88-as porton beeső kapcsolatnak a tunnel-en kellene végződnie. Jelen esetben kívülről a 88-as porton SSH-zva a tunnelező gépre kellene tudnom belépni. De ez connection refused-zal nem megy. Van valami "korlátja" az SSH tunnelnek, hogy ahhoz nem lehet kapcsolódni a port-forward segítségével?