Любые обсуждения по этой теме. Само-пиар или резюме публиковать на другие наши проекты, например host.camp или vm.center. Тут только клиентские запросы на помощь.
  • Дата создания
    17 марта 2019
  • Топиков
    908
  • Ограничение на постинг
    0.000
  • Категория:
    Администрирование и настройка

В чем проблема с подключением к ipsec+ikev2 через сертификаты?

Смотрю wireshark'ом на клиенте и tcpdump'ом на сервере.

Проходит так:
клиент запрашивает у сервера ikev_init
сервер отвечает
клиент отправляет свой сертификат и поддерживаемые шифры
сервер их получает и отправляет ответ
клиент не получает этот ответ! (в некоторых сетях тот же самый клиент получает его и тогда подключение к VPN проходит успешно)

Сервер отправляет пакет, но на клиент он не доходит:

mysite = домен моего сервера
clientdomain — мой клиент
17:27:23.187306 IP (tos 0x0, ttl 64, id 48370, offset 0, flags [DF], proto UDP (17), length 365) mysite.isakmp > clientdomain.432: isakmp 2.0 msgid 00000000: parent_sa ikev2_init[R]: (sa: len=44 (p: #2 protoid=isakmp transform=4 len=44 (t: #1 type=encr id=aes (type=keylen value=0100)) (t: #2 type=integ id=hmac-sha ) (t: #3 type=prf id=hmac-sha ) (t: #4 type=dh id=modp1024 ))) (v2ke: len=128 group=modp1024) (nonce: len=32 data=(c4a4d5aed36e40823c9a...bf291b136ca24898abf4000b0000000800004014)) (n: prot_id=#0 type=16388(nat_detection_source_ip)) (n: prot_id=#0 type=16389(nat_detection_destination_ip)) (v2cr: len=21) (n: prot_id=#0 type=16404(status))

На клиенте wireshark'ом этого пакета нет, остальные есть:

В чем может быть проблема?
Такое в некоторых сетях(2ком, некоторые от мгтс). В некоторых сетях от мгтс данный волшебный пакетик доходит и тогда к VPN подключается успешно.

Как фиксить эту проблему ( залил проект на хостинг )?

На сервере версия версия PHP: 7.0, использую Laravel 5.3
Залил проект на хостинг и в логах вижу:
[Sat Sep 17 10:59:52 2016] [error] [client 94.158.50.47] File does not exist: /var/www/vhosts/mysite/httpdocs/img, referer: mysite/ [Fri Sep 23 16:01:09 2016] [crit] [client 94.158.59.192] (13)Permission denied: /var/www/vhosts/mysite/.htaccess pcfg_openfile: unable to check htaccess file, ensure it is readable [Fri Sep 23 16:01:32 2016] [error] [client 94.158.59.192] File does not exist: /var/www/vhosts/mysite/httpdocs/img, referer: mysite/ [Fri Sep 23 16:41:02 2016] [error] [client 94.158.58.231] File does not exist: /var/www/vhosts/mysite/httpdocs/img, referer: mysite/ [Fri Sep 23 17:15:29 2016] [error] [client 94.158.51.70] File does not exist: /var/www/vhosts/mysite/httpdocs/img, referer: mysite/ [Fri Sep 23 17:41:57 2016] [error] [client 94.158.58.231] Directory index forbidden by Options directive: /var/www/vhosts/mysite/httpdocs/test/ [Fri Sep 23 18:40:18 2016] [error] [client 94.158.51.208] PHP Parse error: syntax error, unexpected 'class' (T_CLASS), expecting identifier (T_STRING) or variable (T_VARIABLE) or '{' or '$' in /var/www/vhosts/mysite/httpdocs/mysite.mysite/public/index.php on line 49
Гугл говорит использовать версию php = 5.5, через phpinfo() он выдает версию 7.0? уже все силы израсходовал, как фиксить дальше?

Как настроить squid?

Пытаюсь настроить прозрачный прокси. Почитал гайды, вроде настроил, но не работает, интерфейсы пингуются. Прошу помочь в настройке. Прикладываю настройки squid, лог работы, настройки интерфейсов.
squid.conf
#Разрешаем доступ из своей сети acl localnet src 10.86.0.0/24 acl localnet src 192.168.0.0/24 #Набор правил для доступа acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT # HTTP доступ http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost manager http_access deny manager http_access allow localhost http_access deny all # Порт и IP-адрес сервера http_port 3128 intercept http_port 192.168.2.1:3128 transparent # Допустимый обьем памяти ОЗУ cache_mem 1024 MB # Максимальный и минимальный размер кэшируемого файла maximum_object_size_in_memory 512 KB maximum_object_size 4 MB # Директория кэша и размер cache_dir ufs /var/spool/squid 2048 16 256 # Делаем прокси анонимным via off forwarded for delete
interfaces
# This file describes the network interfaces available on your system # and how to activate them. For more information, see interfaces(5). source /etc/network/interfaces.d/* # The loopback network interface auto lo iface lo inet loopback # WAN Interface auto enp3s2 iface enp3s2 inet static address 10.86.0.18 netmask 255.255.255.0 gateway 192.168.0.1 # LAN Interface auto enp1s0 iface enp1s0 inet static address 192.168.2.1 netmask 255.255.255.0 post -up /etc/nat
Читать дальше

Как направить браузер на Сайт если Сайт и Сервер имеют тот же домен — domain.com?

Добрый день, уважаемые гуру!

Наш Сайт и Сервер имеют один и тот же домен: domain.com
Предыдущий админ настроил файл /ect/hosts таким образом, чтобы при входе через браузер на domain.com пользователь попадал на сайт, а не на сервер.
Было так: 000.000.000.000www.domain.com
(Т.е.: IP и домен. Именно IP-адрес САЙТА)

А также в DNS была запись типа А с этим же IP.
А также был настроен proxy

Произошел переезд сайта на другой IP.
Я прописал этот новый IP в DNS записи и в hosts
Proxy не трогал

Но! когда вбиваю в браузер domain.com — браузер перебрасывает на хостинг где лежит сайт, т.е. на mirohost.net

Помогите, какие могут быть варианты?
Proxy
DNS
hosts

где еще рыть?

Заранее благодарен

Почему не работает saned?

На сервере
Ubuntu 16.04
К серверу подключил сканер в usb порт. На сервере поставил apt-get install sane sane-utils
/etc/default/saned
# Defaults for the saned initscript, from sane-utils # Set to yes to start saned RUN=yes # Set to the user saned should run as RUN_AS_USER=saned

/etc/sane.d/saned.conf:
# saned.conf # Configuration for the saned daemon ## Daemon options # Port range for the data connection. Choose a range inside [1024 — 65535]. # Avoid specifying too large a range, for performance reasons. # # ONLY use this if your saned server is sitting behind a firewall. If your # firewall is a Linux machine, we strongly recommend using the # Netfilter nf_conntrack_sane connection tracking module instead. # # data_portrange = 10000 — 10100 ## Access list # A list of host names, IP addresses or IP subnets (CIDR notation) that # are permitted to use local SANE devices. IPv6 addresses must be enclosed # in brackets, and should always be specified in their compressed form. # # The hostname matching is not case-sensitive. 192.168.1.0/24 #scan-client.somedomain.firm #192.168.0.1 #192.168.0.1/29 #[2001:db8:185e::42:12] #[2001:db8:185e::42:12]/64 # NOTE: /etc/inetd.conf (or /etc/xinetd.conf) and # /etc/services must also be properly configured to start # the saned daemon as documented in saned(8), services(4) # and inetd.conf(4) (or xinetd.conf(5)).
Читать дальше

Сервер не позволяет осуществить кроссдоменый запрос, как исправить?

Здравствуйте, в чем может быть проблема при отправке запроса с одного домена на другой?
На сервере я прописываю заголовок
header(«Access-Control-Allow-Origin: *»);

На стороне клиента прописываю AJAX запрос
$(document).ready(function(){ var id=1; $('#login').click(function(){ var id=localStorage.userName; alert(id); $.ajax({ url:'http://путь до файла php на домене', type:'POST', data: {'id':id}, crossDomain: true, success: function(res) { alert(res); } }) }) })

В итоге сервер один раз может вернуть ответ и то в самом начале, дальше уже возвращает 503 ошибку и
XMLHttpRequest cannot load web-candy.ru/new/adm/ajax-app/login.php. No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'http://localhost:8000' is therefore not allowed access. The response had HTTP status code 503.

Он почему то перестает видеть заголовок, как это исправить? Помогите)

Mikrotik отваливается vpn интерфейс. Почему?

Настроен у меня опенвпн на 2-х микротиках (RB2011UiAS-2HnD) один выступает в качестве сервера второй соответственно в качестве клиента.
Так ток на микротике который серверопен впна отваливается интерефейс в роутах и в правиле ната.
Выглядит это вот так:

В строке getway вместо ovpn-opvncall устанавливается значение spf1.
Происходит это когда тчо либо меняешь в настройках микротика (но не всегда) либо пропадает инет либо сам по себе бывает…
Приходится руками заходить и выбирать ovpn-opvncall. Почему так происходит? Почему оно сбрасывает инетрерфейс в строке со шлюзом?

Почему средствами GPO не копируется файл?

Не получается скопировать файл с общей папки на ПК. Выдаёт ошибку — 0x80070005. Компьютеры от Win XP до 10, сервер на 2012 r2.
Политика распространяется на «Прошедшие проверку». GPO: Конфигурация компьютера — Настройки — Конфигурация Windows — Файлы — обновить.

В общей папки и на файлы следующие права:
Все — чтение
Компьютеры домена — чтение.
Сотрудники — чтение
Администратор — полные.
В папках назначения права дефолтные.

Передача имен параметров через переменные в PowerShell?

В PowerShell есть конструкции типа Set, например
Set-Content -Path 'C:\Logs\1.txt' -Value 'Текст для вывода'
Данная команда выведет значения в файл 'C:\Logs\1.txt'.
Есть команды которые умеют принимать имя параметра через массив с ключами
-prelace @{Ключ=Значение} -clear @{Ключ=Значение}
С ними все хорошо они жуют переменные и вместо значение и вместо ключа.
-prelace @{$Key=$Value} -clear @{$Key=$Value}
Например если сделать вот так
$Value= '-Value' $Value.GetType().FullName — так мы узнаем что это System.String[] Set-Content -Path 'C:\Logs\1.txt' $Value 'Текст для вывода' Получим ошибку, нет параметра для приема значения 'Текст для вывода'
Собственно вопрос, каким образом можно передать через переменную не только значение но и ключ/параметр (-Path, -Value) в команду/функцию. Поясню в чем загвоздка, одному значению может соответствовать два разных ключа один для вызова в функции второй для передачи через массив. В целом костыль через массив работает, но всегда хочется чего то большего.

Где auth.log syslog kern.log и т.д.?

Ubuntu Linux 14.04 чистая установка.
Логи auth.log, kern.log, syslog и т.д отсутствуют в /var/log
/etc/rsyslog.conf:
# /etc/rsyslog.conf Configuration file for rsyslog. # # For more information see # /usr/share/doc/rsyslog-doc/html/rsyslog_conf.html # # Default logging rules can be found in /etc/rsyslog.d/50-default.conf ################# #### MODULES #### ################# $ModLoad imuxsock # provides support for local system logging $ModLoad imklog # provides kernel logging support #$ModLoad immark # provides --MARK-- message capability # provides UDP syslog reception #$ModLoad imudp #$UDPServerRun 514 # provides TCP syslog reception #$ModLoad imtcp #$InputTCPServerRun 514 ########################### #### GLOBAL DIRECTIVES #### ########################### # # Use traditional timestamp format. # To enable high precision timestamps, comment out the following line. # $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat # Filter duplicated messages $RepeatedMsgReduction on # # Set the default permissions for all log files. # $FileOwner syslog $FileGroup adm $FileCreateMode 0640 $DirCreateMode 0755 $Umask 0022 $PrivDropToUser syslog $PrivDropToGroup syslog # # Where to place spool and state files # $WorkDirectory /var/spool/rsyslog # # Include all config files in /etc/rsyslog.d/ # $IncludeConfig /etc/rsyslog.d/*.conf
/etc/rsyslog.d/*:
# Default rules for rsyslog. # # For more information see rsyslog.conf(5) and /etc/rsyslog.conf # # First some standard log files. Log by facility. # auth,authpriv.* /var/log/auth.log *.*;auth,authpriv.none -/var/log/syslog #cron.* /var/log/cron.log #daemon.* -/var/log/daemon.log kern.* -/var/log/kern.log #lpr.* -/var/log/lpr.log mail.* -/var/log/mail.log #user.* -/var/log/user.log # # Logging for the mail system. Split it up so that # it is easy to write scripts to
Читать дальше