Re: Ошибка в strongSwan

[Alexander Pytlev]

16.02.2017 1:38, Коротаев Руслан пишет:
>
>> connection 'home'  - это конфиг клиента, который хочет подключится к
>> серверу.
> Нет, это ошибка на сервере при запуске демона. Вот свежая информация на
> эту тему [1], якобы такое возникает в Jessie, но я пробовал в CentOS 7,
> там тоже самое. 
Если ты брал конфиги из примеров [*], то "conn home" есть только в
конфиге клиента.
Сервер - это moon в том примере.

Конфиги в студию, тогда можно что либо предметно обсуждать.

> Здесь нужна правильная настройка виртуальных IP-адресов. Он должен
> понять что right=%any, это смартфоны и планшеты (roadwarrior), их нужно
> резолвить и выдавать IP.
>
> [1]: https://wiki.strongswan.org/issues/1516
Ты внимательно прочитал то что написано по приведённой тобой ссылке ?
особенно ответ под #5 ?

[*]: 
https://www.strongswan.org/testing/testresults5dr/ikev2/rw-psk-fqdn/index.html

-- 

See You.
WBW

Re: Ошибка в strongSwan

[Коротаев Руслан]

В сообщении от [Чт 2017-02-16 00:43 +0300]
Alexander Pytlev  пишет:

> connection 'home'  - это конфиг клиента, который хочет подключится к
> серверу.

Нет, это ошибка на сервере при запуске демона. Вот свежая информация на
эту тему [1], якобы такое возникает в Jessie, но я пробовал в CentOS 7,
там тоже самое. 

Здесь нужна правильная настройка виртуальных IP-адресов. Он должен
понять что right=%any, это смартфоны и планшеты (roadwarrior), их нужно
резолвить и выдавать IP.

[1]: https://wiki.strongswan.org/issues/1516

-- 
Коротаев Руслан
https://blog.kr.pp.ru


smime.p7s
Description: S/MIME cryptographic signature

Re: Ошибка в strongSwan

[Alexander Pytlev]

15.02.2017 17:19, Коротаев Руслан пишет:
> Приветствую!
>
> Пытаюсь сделать IPsec на базе strongSwan, чтобы смартфоны и планшеты
> нативно поддерживались. Делаю простой вариант, без сертификатов [1], но
> постоянно вылезает такая ошибка:
>
> unable to resolve %any, initiate aborted
> tried to check-in and delete nonexisting IKE_SA
> establishing connection 'home' failed
connection 'home'  - это конфиг клиента, который хочет подключится к
серверу.

-- 

See You.
WBW

Re: [DONE] wml://{security/2017/dsa-3789.wml}

[Lev Lamberov]

15.02.2017 22:06, Vladimir Zhbanov пишет:
> On Wed, Feb 15, 2017 at 08:38:53PM +0500, Lev Lamberov wrote:
> +В libevent, библиотека для асинхронном уведомлении о событиях, было
>
> > библиотек_е_
> > для асинхронн_ого_ уведомлени_я_

Исправил. Спасибо!


signature.asc
Description: OpenPGP digital signature

Re: [DONE] wml://security/2017/dsa-378{6,7,8}.wml

[Lev Lamberov]

15.02.2017 22:04, Vladimir Zhbanov пишет:
> On Tue, Feb 14, 2017 at 11:40:18AM +0500, Lev Lamberov wrote:
> +В нестабильном выпуске (sid) эта проблема был
>
> > был_а_

Исправил. Спасибо!


signature.asc
Description: OpenPGP digital signature

Re: [DONE] wml://{security/2017/dsa-3789.wml}

[Vladimir Zhbanov]

On Wed, Feb 15, 2017 at 08:38:53PM +0500, Lev Lamberov wrote:
> -BEGIN PGP SIGNED MESSAGE-
> Hash: SHA512
> 
> - --- english/security/2017/dsa-3789.wml  2017-02-15 20:36:23.0 
> +0500
> +++ russian/security/2017/dsa-3789.wml2017-02-15 20:38:44.559607809 
> +0500
> @@ -1,16 +1,17 @@
> - -security update
> +#use wml::debian::translation-check translation="1.1" maintainer="Lev 
> Lamberov"
> +обновление безопасности
>  
> - -Several vulnerabilities were discovered in libevent, an asynchronous
> - -event notification library. They would lead to Denial Of Service via
> - -application crash, or remote code execution.
> +В libevent, библиотека для асинхронном уведомлении о событиях, было

библиотек_е_
для асинхронн_ого_ уведомлени_я_

> +обнаружено несколько уязвимостей. Они приводят к отказу в обслуживании из-за
> +аварийной остановки приложения, либо к удалённому выполнению кода.
>  
> - -For the stable distribution (jessie), these problems have been fixed in
> - -version 2.0.21-stable-2+deb8u1.
> +В стабильном выпуске (jessie) эти проблемы были исправлены в
> +версии 2.0.21-stable-2+deb8u1.
>  
> - -For the unstable distribution (sid), these problems have been fixed in
> - -version 2.0.21-stable-3.
> +В нестабильном выпуске (sid) эти проблемы были исправлены в
> +версии 2.0.21-stable-3.
>  
> - -We recommend that you upgrade your libevent packages.
> +Рекомендуется обновить пакеты libevent.
>  
>  
>  # do not modify the following line
> -BEGIN PGP SIGNATURE-
> 
> iQIzBAEBCgAdFiEE3mumcdV9mwCc9oZQXudu4gIW0qUFAlikdggACgkQXudu4gIW
> 0qV8hhAAiJH2lbMW5tHv04BOaPsMoGHEQOujQIgxvAZHNnK75Q3jOuoMzrr4TBv0
> WQJ0m+1wDAntkOrUov4e4d7nU7iEVXzEJPzO8MbgcKLTxdlN6uZDAyFazqd1WoCI
> zTt/K9aLaEHEcvjHoTsDb9GUgddhdSgFBLlSYaip9sbBoL1JWgf6ooIvuMbmvxiR
> yrvwLSurxrN9z2XuVT13Ar53ABpXOWmdKBMRN3skECFh4ewpbSVTd1/z+RneOK8f
> ZIIxkiRgGPwMhRnjMPG1pq/wjsOWaZyy7rSb0lXzkv70veUouiCGcwnrOcUq6GyC
> 86m+m/6g4C0TrR4jDaF5PS32IV9XsPUQ/SfvX7dSJtfmRWJxiq/IAmv5m1DCukBB
> uL90oy9HuoXKjsS5n4PCd1cXfKBPz0/WZ6B56ST72k/Bob/FUN3Kp48jex2f+lGU
> AItNwyvdNCmXwl+m5M7eCkiK4S/w0W8PhmTkJ/5jwt8OFUILE+p3L9uvmlUEviX2
> s3trRI71SZdoV4GYFIFrzsCa2VdF/FDvik8ThrU8RBaU27F1svWIsfwcBNyL0MJh
> lmtpjLUFYBjCg0JG51StfbmuFTnjvixOjvTpLSUxtEf9jfFsRWtqJJ09h7lQstvE
> axPEQljy36z3xfa/LGvr9gOemKBGMDvjazo4OcTl7ADc/UnoAqQ=
> =OkI+
> -END PGP SIGNATURE-
> 

-- 
  Vladimir

Re: [DONE] wml://security/2017/dsa-378{6,7,8}.wml

[Vladimir Zhbanov]

On Tue, Feb 14, 2017 at 11:40:18AM +0500, Lev Lamberov wrote:
> -BEGIN PGP SIGNED MESSAGE-
> Hash: SHA512
> 
> - --- english/security/2017/dsa-3786.wml  2017-02-14 10:52:38.0 
> +0500
> +++ russian/security/2017/dsa-3786.wml2017-02-14 11:35:57.424869942 
> +0500
> @@ -1,18 +1,18 @@
> - -security update
> +#use wml::debian::translation-check translation="1.1" maintainer="Lev 
> Lamberov"
> +обновление безопасности
>  
> - -Editor spell files passed to the vim (Vi IMproved) editor
> - -may result in an integer overflow in memory allocation
> - -and a resulting buffer overflow which potentially 
> - -could result in the execution of arbitrary code or denial of
> - -service.
> +Словари проверки правописания, передаваемые редактору
> +vim (Vi IMproved) могут приводить к переполнению целых чисел в механизме
> +выделения памяти и переполнению буфера, что потенциально может приводить
> +к выполнению произвольного кода или отказу в обслуживании.
>  
> - -For the stable distribution (jessie), this problem has been
> - -fixed in version 2:7.4.488-7+deb8u2.
> +В стабильном выпуске (jessie) эта проблема была
> +исправлена в версии 2:7.4.488-7+deb8u2.
>  
> - -For the unstable distribution (sid), this problem has been
> - -fixed in version 2:8.0.0197-2.
> +В нестабильном выпуске (sid) эта проблема был

был_а_

> +исправлена в версии 2:8.0.0197-2.
>  
> - -We recommend that you upgrade your vim packages.
> +Рекомендуется обновить пакеты vim.
>  
>  
>  # do not modify the following line
> - --- english/security/2017/dsa-3787.wml  2017-02-14 10:52:54.0 
> +0500
> +++ russian/security/2017/dsa-3787.wml2017-02-14 11:38:01.714469222 
> +0500
> @@ -1,13 +1,14 @@
> - -security update
> +#use wml::debian::translation-check translation="1.1" maintainer="Lev 
> Lamberov"
> +обновление безопасности
>  
> - -It was discovered that a programming error in the processing of HTTPS
> - -requests in the Apache Tomcat servlet and JSP engine may result in
> - -denial of service via an infinite loop.
> +Было обнаружено, что ошибка программирования в коде обработки
> +HTTPS-запросов в сервлете Apache Tomcat и движке JSP может приводить к
> +отказу в обслуживании из-за возникновения бесконечного цикла.
>  
> - -For the stable distribution (jessie), this problem has been fixed in
> - -version 7.0.56-3+deb8u8.
> +В стабильном выпуске (jessie) эта проблема была исправлена в
> +версии 7.0.56-3+deb8u8.
>  
> - -We recommend that you upgrade your tomcat7 packages.
> +Рекомендуется обновить пакеты tomcat7.
>  
>  
>  # do not modify the following line
> - --- english/security/2017/dsa-3788.wml  2017-02-14 10:53:25.0 
> +0500
> +++ russian/security/2017/dsa-3788.wml2017-02-14 11:40:04.075895941 
> +0500
> @@ -1,15 +1,16 @@
> - -security update
> +#use wml::debian::translation-check translation="1.1" maintainer="Lev 
> Lamberov"
> +обновление безопасности
>  
> - -It was discovered that a programming error in the processing of HTTPS
> - -requests in the Apache Tomcat servlet and JSP engine may result in
> - -denial of service via an infinite loop.
> +Было обнаружено, что ошибка программирования в коде обработки
> +HTTPS-запросов в сервлете Apache Tomcat и движке JSP может приводить к
> +отказу в обслуживании из-за возникновения бесконечного цикла.
>  
> - -For the stable distribution (jessie), this problem has been fixed in
> - -version 8.0.14-1+deb8u7.
> +В стабильном выпуске (jessie) эта проблема была исправлена в
> +версии 8.0.14-1+deb8u7.
>  
> - -For the unstable distribution (sid), this problem will be fixed 
> soon.
> +В нестабильном выпуске (sid) эта проблема будет исправлена позже.
>  
> - -We recommend that you upgrade your tomcat8 packages.
> +Рекомендуется обновить пакеты tomcat8.
>  
>  
>  # do not modify the following line
> -BEGIN PGP SIGNATURE-
> 
> iQIzBAEBCgAdFiEE3mumcdV9mwCc9oZQXudu4gIW0qUFAliipk0ACgkQXudu4gIW
> 0qX0ow//Yy6ik3jKKy3iQ9JzvGcxqskzHZHHLTnhSIbhiRj9vMtwyKWeExWoEGHk
> YiXwg89vABKI6D3Cd6WItBu97gzPI2IfhvWRaQ2xMoT3+j451NlZuCq/RzQUm3sA
> lhiQXlOTbat0+rlXeD2c60jDgiZ7PJSm9UfSHDVLc6w4UddmsG7/L5wTiNjXu1ej
> /k5vMcRlhpYd3kkxMbY31oIrabMg3BuHI3ZZVXVcHb0JIa94asxVbfBVaXFkT7pU
> RnNW60xm7JYkPSCOiujddavxkmFdH2pRGwoVpZk00YXayFXyZbG14Ae7plXfXa7i
> vl0N4FaaY+vuprAkp7x0rhDEnXx5TZsaB1A9BpX5xjTo9dbGuS2bChKe/vOgAvQQ
> n3c2yIqwmzY3KIcrxbak2TAj/J4rv3G/d5NGEqMhrTXWAFAn/Ve1AGXlMOdQCOOM
> v0jTez0pBatH4witx5uhDyw5bhTK4sVRN7f5djnSJmGIMVxC+HordBxv6NkM9Vtl
> VhEsXXsi0FoFSPOeEXZc+7HMA/CZZYMqh/7gN87jO3U5uSK4Z2p2pZRvwmYwk3mS
> QWgYxE2nCNkbM8JS+EDyPdbRRM1kVHf35bVT36upMAYiGnkDMxdKSiGAcK8Vto9w
> 6Fl95zwv5+9lJE//bTLeikdRBj63v5k85W/zslyP7TVnVX8wGVI=
> =1Pkv
> -END PGP SIGNATURE-
> 

-- 
  Vladimir

Re: Ошибка в strongSwan

[Artem Chuprina]

Коротаев Руслан -> Debian-russian List  @ Wed, 15 Feb 2017 19:19:54 +0500:

 > Приветствую!

 > Пытаюсь сделать IPsec на базе strongSwan, чтобы смартфоны и планшеты
 > нативно поддерживались. Делаю простой вариант, без сертификатов [1], но
 > постоянно вылезает такая ошибка:

 > unable to resolve %any, initiate aborted
 > tried to check-in and delete nonexisting IKE_SA
 > establishing connection 'home' failed

 > Вылезает при любых настройках, хоть с сертификатом, хоть без. Вот здесь
 > она описана [2], но ничего не помогает. Провайдер говорит что никаких
 > UDP фильтров или закрытых портов у него нет, всё должно работать.

 > Если кто-нибудь strongSwan настраивал, поделитесь правильным конфигом.

 > [1]: 
 > https://www.strongswan.org/testing/testresults5dr/ikev2/rw-psk-fqdn/index.html
 > [2]: https://wiki.strongswan.org/issues/440

Чисто по логике, unable to resolve обычно означает, что оно там хочет
адрес, имеет имя хоста, но не может его отрезолвить. По той же логике,
следом должно идти имя хоста. Судя по тому, что там %any, следует
предположить, что у кого-то что-то недоконфигурировано в части того,
куда ходить. И уже действительно без разницы, есть какие-то сертификаты
или нет, если их предъявить некому.

Re: Validation failed

[Lev Lamberov]

15.02.2017 20:40, Debian Webmaster пишет:
> *** Errors validating /srv/www.debian.org/www/mirror/submit.ru.html: ***
> Line 147, character 4:end tag for element "P" which is not open

Это исправил.


signature.asc
Description: OpenPGP digital signature

Validation failed

[Debian Webmaster]

*** Errors validating
/srv/www.debian.org/www/international/l10n/po/en_GB.ru.html: ***
Line 120, character 351:  "128513" is not a character number in the
document character set
Line 307, character 337:  "128513" is not a character number in the
document character set
Line 1309, character 241:  "128513" is not a character number in the
document character set
*** Errors validating /srv/www.debian.org/www/mirror/list-full.ru.html: ***
Line 102, character 117:  element "REC" undefined
Line 102, character 121:  end tag for "REC" omitted, but its declaration
does not permit this
Line 2577, character 22:  element "REC" undefined
Line 2577, character 26:  end tag for "REC" omitted, but its declaration
does not permit this
*** Errors validating /srv/www.debian.org/www/mirror/list.ru.html: ***
Line 1409, character 38:  element "REC" undefined
Line 1409, character 47:  end tag for "REC" omitted, but its declaration
does not permit this
*** Errors validating /srv/www.debian.org/www/mirror/submit.ru.html: ***
Line 147, character 4:  end tag for element "P" which is not open

--
 You received this mail for the language code ru.
 Please edit webwml/english/devel/website/validation.data if this is not 
accurate
 Please also update webwml/english/devel/website/ with the new coordinator(s) 
data

[DONE] wml://{security/2017/dsa-3789.wml}

[Lev Lamberov]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA512

- --- english/security/2017/dsa-3789.wml2017-02-15 20:36:23.0 
+0500
+++ russian/security/2017/dsa-3789.wml  2017-02-15 20:38:44.559607809 +0500
@@ -1,16 +1,17 @@
- -security update
+#use wml::debian::translation-check translation="1.1" maintainer="Lev Lamberov"
+обновление 
безопасности
 
- -Several vulnerabilities were discovered in libevent, an asynchronous
- -event notification library. They would lead to Denial Of Service via
- -application crash, or remote code execution.
+В libevent, библиотека для асинхронном 
уведомлении о событиях, было
+обнаружено несколько уязвимостей. Они 
приводят к отказу в обслуживании из-за
+аварийной остановки приложения, либо к 
удалённому выполнению кода.
 
- -For the stable distribution (jessie), these problems have been fixed in
- -version 2.0.21-stable-2+deb8u1.
+В стабильном выпуске (jessie) эти проблемы 
были исправлены в
+версии 2.0.21-stable-2+deb8u1.
 
- -For the unstable distribution (sid), these problems have been fixed in
- -version 2.0.21-stable-3.
+В нестабильном выпуске (sid) эти проблемы 
были исправлены в
+версии 2.0.21-stable-3.
 
- -We recommend that you upgrade your libevent packages.
+Рекомендуется обновить пакеты libevent.
 
 
 # do not modify the following line
-BEGIN PGP SIGNATURE-
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=OkI+
-END PGP SIGNATURE-

Ошибка в strongSwan

[Коротаев Руслан]

Приветствую!

Пытаюсь сделать IPsec на базе strongSwan, чтобы смартфоны и планшеты
нативно поддерживались. Делаю простой вариант, без сертификатов [1], но
постоянно вылезает такая ошибка:

unable to resolve %any, initiate aborted
tried to check-in and delete nonexisting IKE_SA
establishing connection 'home' failed

Вылезает при любых настройках, хоть с сертификатом, хоть без. Вот здесь
она описана [2], но ничего не помогает. Провайдер говорит что никаких
UDP фильтров или закрытых портов у него нет, всё должно работать.

Если кто-нибудь strongSwan настраивал, поделитесь правильным конфигом.

[1]: 
https://www.strongswan.org/testing/testresults5dr/ikev2/rw-psk-fqdn/index.html
[2]: https://wiki.strongswan.org/issues/440

-- 
Коротаев Руслан
https://blog.kr.pp.ru


smime.p7s
Description: S/MIME cryptographic signature