ips

Strongswanで確立された接続を確認する「新しい」方法は何ですか?
ips

Strongswanで確立された接続を確認する「新しい」方法は何ですか?

以前はipsec statusall。 今はswanctl表示されますが、swanctl --list-conns送信されたバイト、ネゴシエートされた暗号スイート、有効性の再検査/キーリセット統計など、ランタイム統計ではなく構成の詳細のみが表示されます。 それでは、「新しい」Strongswan設定に同様のコマンドがありますか? ...

Admin

私のIPsetカウンタが増加しないのはなぜですか?
ips

私のIPsetカウンタが増加しないのはなぜですか?

どこでもインバウンドHTTPとHTTPSを許可し、特定のIPセットでSSHを許可し、他の着信接続を許可しないファイアウォール(Dockerホストでiptablesを使用)を設定しようとしています。私は生のiptablesよりも設定が簡単で、セットの自動再構成も簡単にできるので、ipsetについて読んだものが好きです。しかし、なんだかうまくいかないようです。ポート443は開いている必要がありますが、HTTPS経由で接続できません。 SSH接続は機能します(ロックを試みませんでしたが)。この問題のデバッグ中に、ipsetのさまざまなコレクションにカウンタを追加し...

Admin

e2studioインストーラで「swt-pi3を読み込めません」というエラーが発生します。
ips

e2studioインストーラで「swt-pi3を読み込めません」というエラーが発生します。

最新のFedora 39システムに最新バージョンのRenesas Electronics e2studioをインストールしたいのですが、次のエラーが発生し続けます。 $ ./e2studio_installer-2024-01_1_linux_host.run Mar. 31, 2024 3:19:36 P.M. org.apache.aries.spifly.BaseActivator log INFO: Registered provider org.slf4j.simple.SimpleServiceProvider of service org.s...

Admin

IPSEC VPNをネットワークインターフェイスに接続する
ips

IPSEC VPNをネットワークインターフェイスに接続する

Ubuntu 22.04.4 LTSサーバーでStrongSwan IPSEC VPNを設定しました。 VPNが起動し、プライマリインターフェイス(eno1)に正常に接続されます。 qBittorrentを使用してVPNを介して急流トラフィックを転送するために、VPN接続に割り当てられているIPアドレスにバインドします。 (他のネットワークトラフィックはVPNを介して送信されません。)これは成功するため、VPNがダウンすると急流トラフィックが停止します。 問題は、再接続後にVPNが自分に別のIPアドレスを割り当てることができることです。したがって、急流トラフ...

Admin

Gre over over IPsec スループットパフォーマンス
ips

Gre over over IPsec スループットパフォーマンス

Strongswan IPSec + GREを使用してFRR DMVPNをテストしています。トンネルはうまく機能し、ポイント間の設定が簡単です。トンネルはうまく機能し、ポイント間の設定が簡単です。回路。 AES-GCMカプセル化を使用し、TCP-MSSとMTUを調整してみました。しかし、所望の結果は得られない。 CPU:第2世代Xeon拡張可能。仮想マシンあたりコア6個。 4GB RAM - Ubuntu 20.04 AES-GCMカプセル化を使用し、TCP-MSSとMTUを調整してみました。しかしIPsecなしで得られた400Mb/sの代りに30-50Mb...

Admin

「管理されていない」ネットワークインターフェイスの変更(以前に機能していた場合)
ips

「管理されていない」ネットワークインターフェイスの変更(以前に機能していた場合)

TL;博士; VPN 接続エラーをクリックすると、ネットワーク接続が失われた可能性があります。だから答えは簡単です。 いつものように、Network Managerアプレットを介してIPsecを使用して会社のネットワークに接続したいと思います。以前はうまく機能していましたが、今回は「接続」を押した後、ネットワークが完全に動作を停止しました。私のすべてのネットワークインターフェイスは「管理されていません」です。ノートパソコンを再起動してみましたが、役に立ちませんでした。 NixOを再インストールするソリューションだけを見ました(助けになるかどうかはわかりません...

Admin

800-171 セキュリティ ポリシーが有効な状態で samba-ad-dc をインストールすると共有ライブラリが見つかりません
ips

800-171 セキュリティ ポリシーが有効な状態で samba-ad-dc をインストールすると共有ライブラリが見つかりません

コンプライアンスを確保するために、FIPS 800-171セキュリティポリシーが有効になっているRocky Linux 8でSamba DCを実行してみました。 DVDイメージから新しい最小VMをインストールするために.tarをダウンロードして解凍し、Centos8Sのbootstrap.sh(ソース./configure make make install(デフォルト設定))を実行し、systemdサービスを設定して実行しようとしましたが、次のエラーが発生しました。 : Nov 30 14:26:03 171-dc-test systemd[1]: Sta...

Admin

IPSetでfooXリストの生成を無効にする方法
ips

IPSetでfooXリストの生成を無効にする方法

無差別攻撃からサーバーを保護するために、Debian 12にfailure2ban、ipset、shorewallをインストールしました。ルールを変更してShorewallを再起動すると、fooX****テーブルがipsetに作成されます。 Astra Linux(Debian 10ベース)でもこの問題が発生しました。 Ubuntu 20にもサーバーがあります。そこにはそんな問題はありません。 このように構成 失敗2クラス/jail.d/main.conf [ssh] enabled = true filter = sshd banaction = shor...

Admin

IPsecクライアントとしてのOPNsense
ips

IPsecクライアントとしてのOPNsense

あるサイトから別のサイトへの永続的なVPN接続を確立したいと思います。静的IPv4、IPv6、およびドメインを介してアクセスできるサイトにIPsecサーバーが正しく設定されています。 今やりたいことは、OPNsenseボックスインターフェイス(OPT1と仮定)の1つがこのIPsec VPNに永続的に接続されるように設定することで、内部接続されたコンピュータ/クライアントOPT1ネットワーク上のVPNに関連するものを構成する必要がないようにすることです。 。 可能ですか?それではどうですか? このタイプのVPNのガイドを見つけましたが、私のユースケースの正しい...

Admin

SAMBA smb.conf最適パラメータの確認
ips

SAMBA smb.conf最適パラメータの確認

今日の日付が与えられたら、以下を実行してください。Windows 10以上そしてつながるRHEL 8.8以上現在のLinuxシステムとはsamba-4.17.5-3.el8_8何ですか?ベストプラクティス/etc/samba/smb.confパラメーターの場合は、以下を保証する必要があります。最も安全で信頼性の高い接続契約に合格しますか? 以下は私が使用するものです。誰かを編集したり追加したりすることができますか?私は単純なローカルパスワードを使用しsecurity=userて生成し、passdb backend = tdbsam簡単なSamba設定をしてい...

Admin

パケットがVPNを通過しないシナリオ(net2netと同じネットワーク上)
ips

パケットがVPNを通過しないシナリオ(net2netと同じネットワーク上)

私は両側で同じネットワークを使用して実装ガイドに従いました(https://www.strongswan.org/testing/testresults/ikev2/net2net-same-nets/)以下は私の設定です。パケットがVPNを通過しないため、私のIPtablesまたはアップダウン設定に問題があるようです(または理解できません)。 注:印刷物を清掃してみました。 vpn-to-server { .... remote_addrs=16.16.16.65 ...

Admin

ipsetはwhite_list_net_port 128.0.0.0/1、udp:443-444エラーを追加します。
ips

ipsetはwhite_list_net_port 128.0.0.0/1、udp:443-444エラーを追加します。

ipset v7.1、プロトコルバージョン:7「ipset add white_list_net_port 128.0.0.0/1、udp:443-444」を実行すると、システムは「ipset v7.1:ハッシュがいっぱいになり、追加の要素を追加できません」報告します。white_list_net_port要素で埋められています。しかし、 'ipset add white_list_net_port 128.0.0.0/1,udp:443' と 'ipset add white_list_net_port 128.0.0.0/1,udp:444' を実行する...

Admin

IPsec VPNを介してpingするときに説明できない待機時間
ips

IPsec VPNを介してpingするときに説明できない待機時間

ホストを介してネットワークVPNにpingを送信すると、2回目のpingが毎秒1秒ずつ遅延し、同時にVPN外のセキュリティゲートウェイにpingを送信するのに平均13ミリ秒から20ミリ秒以下がかかる場合、その理由は何ですか?可能な最大値をいつ使用する必要がありますかping -s 1464? (大きなピンが発生しますicmp_seq=1 Frag needed and DF set (mtu = 1492)。) 64 bytes from 192.168.178.1: icmp_seq=2301 ttl=64 time=17.6 ms 64 bytes fr...

Admin

Nvidia JetsonデバイスでStrongswan IPSECを使用してカーネルがクラッシュする - バグ:アトミックに予約されている場合:スイッチ
ips

Nvidia JetsonデバイスでStrongswan IPSECを使用してカーネルがクラッシュする - バグ:アトミックに予約されている場合:スイッチ

Tegraカーネル5.12がインストールされているLinuxを実行するNvidia Jetson Orin Nanoがあります。 Strongswanを使用しようとしていますが、いくつかの要件があります。設定モジュール、それがまさに私がしたことです。 ただし、暗号化操作のための他のカーネルモジュールが欠落しているようで、Linuxカーネルについてはよくわからないため、ログは次のようになります。何が起こっているのか知っていますか? Aug 5 09:29:36 host charon: 14[CFG] selected proposal: ESP:AES_G...

Admin

Fail2ban ジョブ ipset の再試行またはタイムアウト
ips

Fail2ban ジョブ ipset の再試行またはタイムアウト

最近、Ubuntu 20.04ボックスでfail2ban次のエラーが発生しました。 2023-07-13 06:57:05,129 fail2ban.actions [3063]: NOTICE [nginx-http-auth] Ban 2600:1005:b02d:3b6a:c1e:4a7e:6a9f:ccc4 2023-07-13 06:57:05,151 fail2ban.utils [3063]: ERROR 7f106882c6c0 -- exec: ipset create f2b-nginx-http-a...

Admin