Pull to refresh
13
Karma
0
Rating

Системное администрирование. Web-разработка.

  • Followers 1
  • Following

Оптика вдоль водопровода

Интересно, как они запорную арматуру обходить будут.

IPIP IPsec VPN туннель между Linux машиной и Mikrotik за NAT провайдера

Посмотрите в разделе ipsec Active Peers и InstalledSAs — там выводится информация о пирах, установленных туннелях и статистика по приему\передачи пакетов.
Запустите traceroute и проверьте, что пакеты уходят именно в туннель (статистика по приему\передачи пакетов должна синхронно меняться с отправкой traceroute/ping пакетов).
В настройках логирования добавьте вывод лога ipsec: System-Logging-Rules: ipsec, Action: memory.
Так же проверьте, что сам интерфейс IPIP активен. На стороне линукса тоже нужно выполнить проверки.

Вы можете использовать любой виртуальный L3 интерфейс который поддерживается вашими хостами. IPIP имеет малый оверхед, если нет необходимости гонять мультикаст, использовать динамический роутинг и т.д. то его более чем достаточно.

IPIP IPsec VPN туннель между Linux машиной и Mikrotik за NAT провайдера

Проверьте микротик. В настройках nat проверьте, что исключен трафик ipsec (в advanced-ipsec policy: out-none). В fierwall если есть общее блокирующее правило, то для трафика ipsec-подсети нужно добавить разрешающее правило (если делали nat на ipip интерфейсе, то не обязательно).

IPIP IPsec VPN туннель между Linux машиной и Mikrotik за NAT провайдера

После ISAKMP-SA established
Начинается вторая фаза: INFO: respond new phase 2 negotiation:
INFO: Update the generated policy:
INFO: Adjusting my encmode UDP-Tunnel->Tunnel
INFO: Adjusting peer's encmode UDP-Tunnel(3)->Tunnel(1)
Если все успешно, поднимаются esp туннели: INFO: IPsec-SA established: ESP/Tunnel
Если нет, то будут выведены ошибки по причине которых IPsec-SA не установился.

На микротике, в разделе IPsec, есть вкладка Installed SA's — тут отображаются установленные esp туннели. На вкладке Policies, у нашей политики, в колонке PH2 State, должно быть established.

IPIP IPsec VPN туннель между Linux машиной и Mikrotik за NAT провайдера

Да, на стороне линукса опечатка. Спасибо, исправил.

IPIP IPsec VPN туннель между Linux машиной и Mikrotik за NAT провайдера

Что именно неправильно с ip адресами?

IPIP IPsec VPN туннель между Linux машиной и Mikrotik за NAT провайдера

На RouterOS пока нет поддержки WireGuard. Есть статья, где описан вариант с использованием на mikrotik OpenWRT, но не на всех моделях такое возможно.

10 советов и приемов, которые помогут вам стать лучшим разработчиком на VueJS

Действительно странно. У меня в хроме vuejs.org нормально работает, ru.vuejs.org не работает. В мозиле оба не работают.

10 советов и приемов, которые помогут вам стать лучшим разработчиком на VueJS

А у меня одного русскоязычная версия сайта vuejs.org не работает? Только через забугорный прокси открывается.

Файл дескриптор в Linux с примерами

Прочитал с удовольствием. Спасибо!

Linux машина в домене Windows AD с помощью sssd и krb5

Думаю вам подходит параметр:
dyndns_iface (string) — instead of updating the DNS with the address used to connect to LDAP, which is the default, use all addresses configured on a particular interface.
Но проблема в том, что у вас на одном интерфейсе 2 IP?
Попробуйте поднять macvlan — должны получить два интерфейса с разными маками и станет возможным повесить каждый IP на свой интерфейс.

Linux машина в домене Windows AD с помощью sssd и krb5

Не очень понятно, если у вас два IP на одном интерфейсе, то значит вы настроили интерфейс в ручную, нет? Тогда и в DNS хост добавляется в ручную — авторегистрация хоста в dns это функция dhcp клиента.

Российские учёные разрабатывают ситалл (небьющееся стекло) для смартфонов LG

сапфир по морсу- 9

Шкала Мооса имелась в виду?..

Linux машина в домене Windows AD с помощью sssd и krb5

Да, это значение данного параметра по умолчанию. Если вам надо сразу поместить ваш хост в определенный OU, можно указать его. Например, указание '-b OU = Unix', для компьютера с именем SERVER, в домене example.com создаст учетную запись компьютера по следующему пути LDAP: CN = SERVER, OU = Unix, DC = EXAMPLE, DC = COM.
Эту опцию также можно определить, задав для переменной среды MSKTUTIL_LDAP_BASE требуемое вам значение.

Linux машина в домене Windows AD с помощью sssd и krb5

Судя по логу, если я не ошибаюсь, вы пытаетесь добавить машину в несуществующий OU — попробуйте указать только CN=Computers, это стандартный OU для компьютеров в Windows AD.

Linux машина в домене Windows AD с помощью sssd и krb5

Точно не могу сказать, не работал с CentOS. Судя по описанию krb5-workstation, основной функционал в нем реализован (kinit, klist, kdestroy, kpasswd), так что возможно будет работать — нужно пробовать.

Linux машина в домене Windows AD с помощью sssd и krb5

Согласен, добавил.

Linux машина в домене Windows AD с помощью sssd и krb5

(у вас в начале текста contoso.com потом contoso.domain)

Спасибо, исправил.

Linux машина в домене Windows AD с помощью sssd и krb5

Про CentOS не могу комментировать — не знаю, но в Ubuntu c 16.04 и выше корректно работает без указания sudo.
1

Information

Rating
Does not participate
Registered
Activity