Sifrovany nat a nebo Squid OPENVPN
Dan Lukes
dan at obluda.cz
Sun Mar 12 19:21:36 CET 2006
Pentium napsal/wrote, On 03/12/06 17:54:
> Sun Mar 12 17:45:52 2006 us=460417 WARNING: --ping should normally be used
> with --ping-restart or --ping-exit
> Sun Mar 12 17:45:52 2006 us=460652 WARNING: you are using user/group/chroot
> without persist-key/persist-tun -- this may cause restarts to fail
> Sun Mar 12 17:45:52 2006 us=464357 WARNING: file '/etc/openvpn/secret.key'
> is group or others accessible
Nebylo by, nez se obratis se zadosti o pomoc na verejnost lepsi nejprve
"vycistit" konfiguraci ?
Ja nebudu tvrdit, ze problem souvisi s nekterym z vyse uvedenych
varovani - ale prekvapuje me, ze ty jsi si tak jisty, ze s tim
nesouvisi, ze nepovazujes za nutne to opravit ...
> Ping 10.0.0.1 v tuto chvily nefunguje
Nevidim tu nikde ani stav routovacich tabulek, ani tcpdump ani nic
jineho co by umoznovalo analyzovat problem.
Takze nevime, jestli odesilany ping vubec zaleza do tunelu, jestli
tunel v okamziku pingu odesila nejaky paket, nevime, z tcpdumpu na druhe
strane, jestli tam zmineny paket dosel, jestli se z nej uspesne vybalil
onen ping, jestli na nej system odpovedel (nebo treba ne kvuli nejakemu
firewallu) a jak postup9ovala odpoved zase systemy a sitemi zpet.
> Pouzivam PF a tam mam toto pravidlo
> #povoleni VPN
> pass in quick on $ext_if inet proto udp from any to any port 5050
Je obvykle daleko vhodnejsi resit jedinny problem misto dvou soucasne.
Nemyslim, ze tu nekdo z jedineho pravidla dokaze poznat, jestli firewall
dane pakety blokuje ci nikoliv (klidne je totiz buze blokovat pravidlo
jine).
Takze - bud' nam poskytnes kompletni konfiguraci. Nebo si musis byt sam
jisty, ze firewall nema na problem vliv. Takovehle "poloudaje" jsou
opravdu na kocku.
Ja ovsem doporucuji treti moznost - firewall po dobu pokusu zcela
otevrit. Pokdu to problem odstrani, je problem ve firewallu a je treba
ho hledat tam. Pokud to na problemu nic nemeneni, tak je aktualni
problem jinde.
Omlouvam se za ponekud ostrejsi odpoved, ale kdyz po nas nekdo chce
pomoc, mel by se mozna vic soustredit na to, aby byly poskytnuty
pouzitelne udaje - misto toho, aby se informace co nejvic orezany az na
samou hranici nepouzitelnosti. Chapu, ze je treba zabranit lidem v teto
konferenci, aby podnikli znicujici utoky na tebou spravovane site,
kdybys peclive neukryl udaj o skutecnych adresach, ale daleko radeji
bych videl, kdybyses na to vykaslal, protoze ti na ty stroje nikdo
utocit nebude a misto toho usetreny cas venoval na poskytnuti nejakych
informaci, ktere by umoznily problem skutecne resit a na vyreseni tech
problemu s konfiguraci, na ktere upozornuje software sam ...
Dan
--
Dan Lukes SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz,dan at kolej.mff.cuni.cz
More information about the Users-l
mailing list