Sifrovany nat a nebo Squid OPENVPN

Dan Lukes dan at obluda.cz
Sun Mar 12 19:21:36 CET 2006


Pentium napsal/wrote, On 03/12/06 17:54:
> Sun Mar 12 17:45:52 2006 us=460417 WARNING: --ping should normally be used
> with --ping-restart or --ping-exit
> Sun Mar 12 17:45:52 2006 us=460652 WARNING: you are using user/group/chroot
> without persist-key/persist-tun -- this may cause restarts to fail
> Sun Mar 12 17:45:52 2006 us=464357 WARNING: file '/etc/openvpn/secret.key'
> is group or others accessible

	Nebylo by, nez se obratis se zadosti o pomoc na verejnost lepsi nejprve 
"vycistit" konfiguraci ?

	Ja nebudu tvrdit, ze problem souvisi s nekterym z vyse uvedenych 
varovani - ale prekvapuje me, ze ty jsi si tak jisty, ze s tim 
nesouvisi, ze nepovazujes za nutne to opravit ...

> Ping 10.0.0.1 v tuto chvily nefunguje 

	Nevidim tu nikde ani stav routovacich tabulek, ani tcpdump ani nic 
jineho co by umoznovalo analyzovat problem.

	Takze nevime, jestli odesilany ping vubec zaleza do tunelu, jestli 
tunel v okamziku pingu odesila nejaky paket, nevime, z tcpdumpu na druhe 
strane, jestli tam zmineny paket dosel, jestli se z nej uspesne vybalil 
onen ping, jestli na nej system odpovedel (nebo treba ne kvuli nejakemu 
firewallu) a jak postup9ovala odpoved zase systemy a sitemi zpet.

> Pouzivam PF a tam mam toto pravidlo 
> #povoleni VPN
> pass in quick on $ext_if inet proto udp from any to any port 5050

	Je obvykle daleko vhodnejsi resit jedinny problem misto dvou soucasne. 
Nemyslim, ze tu nekdo z jedineho pravidla dokaze poznat, jestli firewall 
dane pakety blokuje ci nikoliv (klidne je totiz buze blokovat pravidlo 
jine).

	Takze - bud' nam poskytnes kompletni konfiguraci. Nebo si musis byt sam 
jisty, ze firewall nema na problem vliv. Takovehle "poloudaje" jsou 
opravdu na kocku.

	Ja ovsem doporucuji treti moznost - firewall po dobu pokusu zcela 
otevrit. Pokdu to problem odstrani, je problem ve firewallu a je treba 
ho hledat tam. Pokud to na problemu nic nemeneni, tak je aktualni 
problem jinde.

	Omlouvam se za ponekud ostrejsi odpoved, ale kdyz po nas nekdo chce 
pomoc, mel by se mozna vic soustredit na to, aby byly poskytnuty 
pouzitelne udaje - misto toho, aby se informace co nejvic orezany az na 
samou hranici nepouzitelnosti. Chapu, ze je treba zabranit lidem v teto 
konferenci, aby podnikli znicujici utoky na tebou spravovane site, 
kdybys peclive neukryl udaj o skutecnych adresach, ale daleko radeji 
bych videl, kdybyses na to vykaslal, protoze ti na ty stroje nikdo 
utocit nebude a misto toho usetreny cas venoval na poskytnuti nejakych 
informaci, ktere by umoznily problem skutecne resit a na vyreseni tech 
problemu s konfiguraci, na ktere upozornuje software sam ...

							Dan




-- 
Dan Lukes                                   SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz,dan at kolej.mff.cuni.cz



More information about the Users-l mailing list