Re: [freebsd] L2TP/IPsec and Android

2018-11-02 Пенетрантность Nick Kostirya 
On Sat, 3 Nov 2018 06:12:34 +0200
Nick Kostirya  wrote:

> On Sat, 3 Nov 2018 01:46:56 +0700
> Eugene Grosbein  wrote:
> 
> > 03.11.2018 1:16, Nick Kostirya пишет:  
> > > Но есть неприятность. 
> > > Два клиента из одной и той-же локальной сети подключиться не могут.
> > 
> > Да, это известная проблема - удалённый сервер racoon может установить себе
> > только одну SA для внешнего (публичного) IP-адреса такой локальной сети.
> > Несколько нивелируется переносом туннеля непосредственно на сам NAT-роутер 
> > этой сети
> > и освобождением клиентов внутри сети от необходимости самим устанавливать 
> > туннели.  
> 
> Это особенность только racoon или протокола?

Прочитал у strongswan, что это IKEv1 и они рекомендуют использовать IKEv2.
___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Re: [freebsd] L2TP/IPsec and Android

2018-11-02 Пенетрантность Nick Kostirya 
On Sat, 3 Nov 2018 01:46:56 +0700
Eugene Grosbein  wrote:

> 03.11.2018 1:16, Nick Kostirya пишет:
> > Но есть неприятность. 
> > Два клиента из одной и той-же локальной сети подключиться не могут.  
> 
> Да, это известная проблема - удалённый сервер racoon может установить себе
> только одну SA для внешнего (публичного) IP-адреса такой локальной сети.
> Несколько нивелируется переносом туннеля непосредственно на сам NAT-роутер 
> этой сети
> и освобождением клиентов внутри сети от необходимости самим устанавливать 
> туннели.

Это особенность только racoon или протокола?
___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Re: [freebsd] L2TP/IPsec and Android

2018-11-02 Пенетрантность Eugene Grosbein 
03.11.2018 1:16, Nick Kostirya пишет:
> Причина оказалась в старом Андроиде.
> Новый телефон подключается. 
> 
> Но есть неприятность. 
> Два клиента из одной и той-же локальной сети подключиться не могут.

Да, это известная проблема - удалённый сервер racoon может установить себе
только одну SA для внешнего (публичного) IP-адреса такой локальной сети.
Несколько нивелируется переносом туннеля непосредственно на сам NAT-роутер этой 
сети
и освобождением клиентов внутри сети от необходимости самим устанавливать 
туннели.

___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Re: [freebsd] Нагруженный VPN сервер

2018-11-02 Пенетрантность Nick Kostirya 
On Thu, 4 Oct 2018 15:49:38 +0300
Alexander Andreyev  wrote:

> Есть такой нюанс, что GRE пролазит через NAT в одном экземпляре, т.е. 
> если кто-нибудь из той-же сети уже подключен, то второму не получается.

Второй не может подключиться к тому же, к чему подключен первый?
Или он не может подключиться вообще к любому другому ipsec vpn?
___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Re: [freebsd] L2TP/IPsec and Android

2018-11-02 Пенетрантность Nick Kostirya 
Причина оказалась в старом Андроиде.
Новый телефон подключается. 


Но есть неприятность. 
Два клиента из одной и той-же локальной сети подключиться не могут.


On Fri, 2 Nov 2018 15:59:34 +0200
Nick Kostirya  wrote:

> Привет. Это снова я.
> Есть L2TP (mpd5) поверх IPsec.
> Клиент на FreeBSD отлично соединяется.
> Клиент на Android устанавливает IPsec. А логах mpd5 только такое сообщение
> 
> L2TP: waiting for connection on 0.0.0.0 1701
> [L1] Incoming L2TP packet from ** 56164
> L2TP: Control connection 0x803054310 terminated: 0 ()
> L2TP: Control connection 0x803054310 destroyed
> 
___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

[freebsd] L2TP/IPsec and Android

2018-11-02 Пенетрантность Nick Kostirya 
Привет. Это снова я.
Есть L2TP (mpd5) поверх IPsec.
Клиент на FreeBSD отлично соединяется.
Клиент на Android устанавливает IPsec. А логах mpd5 только такое сообщение

L2TP: waiting for connection on 0.0.0.0 1701
[L1] Incoming L2TP packet from ** 56164
L2TP: Control connection 0x803054310 terminated: 0 ()
L2TP: Control connection 0x803054310 destroyed

И все. Хотя логирование включил по полной.

tcpdump -ni enc0
Показывает, что трафик идет.

Подскажите, пожалуйста, куда дальше смотреть?
Вот конфиг mpd5 с сервера


startup:

default:
load l2tp

l2tp:
create bundle template P
set ipcp yes vjcomp
set ipcp ranges 192.168.10.1 192.168.10.0/24

create link template L1 l2tp
set link action bundle P
#set link enable multilink
set link mtu 1400
set link keep-alive 10 75
#set iface enable tcpmssfix
set l2tp secret "*"
#set l2tp enable hidden
set link enable incoming

set link enable chap



А вот первый пакеты с tcpdump -ni enc0.

mpd5 клиент (когда все хорошо)

l2tp:[TLS](0/0)Ns=0,Nr=0 *MSGTYPE(SCCRQ) *HOST_NAME(thinkpad) 
*RANDOM_VECTOR(4847b247) ?VENDOR_NAME(???) *?BEARER_CAP(???) *RECV_WIN_SIZE(8) 
*PROTO_VER(1.0) *?FRAMING_CAP(???) *?ASSND_TUN_ID(???) *?CHALLENGE(???)

Андроид клиент

l2tp:[TLS](0/0)Ns=0,Nr=0 *MSGTYPE(SCCRQ) *PROTO_VER(1.0) *HOST_NAME(anonymous) 
*FRAMING_CAP(AS) *ASSND_TUN_ID(53166) *RECV_WIN_SIZE(1) 
*CHALLENGE(205fe47899d4592830efe267ea22311d7fe245a7c68d70ff0b36199a13a04c6f)
l

___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

[freebsd] p7zip и multivolume

2018-11-02 Пенетрантность Mikhail Golub 

Добрый день.

Обнаружил, что 7z (7-Zip [64] 16.02) не может делать просмотр 
многотомных архивов ZIP.


Берем файл со спула Exim (именно то, что является вложением-архивом).

# 7z l 1gIYYG-000Nhv-Hm-2
...
Listing archive: 1gIYYG-000Nhv-Hm-2
ERROR: 1gIYYG-000Nhv-Hm-2 : Can not open the file as archive
Errors: 1


Указываем 7z что тип архива ZIP (добавляя ключ -tzip) - то же самое.


Переименовываем файл добавляя расширение zip - все ок.

# 7z l 1gIYYG-000Nhv-Hm-2.zip
Listing archive: 1gIYYG-000Nhv-Hm-2.zip
Path = 1gIYYG-000Nhv-Hm-2.zip
Type = zip
ERROR = Missing volume : 1gIYYG-000Nhv-Hm-2.z01
Physical Size = 3400111
Total Physical Size = 3400111
Multivolume = +
Volume Index = 2
Volumes = 3

   Date  TimeAttr Size   Compressed  Name
--- -   

2018-10-30 17:04:10 A 14237768 13885685  agreement 
MD_Hitachi.pdf
--- -   


2018-10-30 17:04:10   14237768 13885685  1 files

Errors: 1

Хотя и "Errors: 1", но листинг файлов выдает.


Подскажите, может кто знает, чем можно получать листинг файлов из архива 
(и многотомного тоже) под FreeBSD?

atool не подходит. Это надстройка к консольным утилитам (rar, unzip и т.п.).
И вот почему не подходит.
unzip (базовый) вообще не может прочитать этот архив zip. И с 
добавленным расширением тоже.

# unzip -l 1gIYYG-000Nhv-Hm-2
unzip: Unrecognized archive format

unzip из порта видит файлы внутри:
Archive:  1gIYYG-000Nhv-Hm-2
warning [1gIYYG-000Nhv-Hm-2]:  zipfile claims to be last disk of a 
multi-part archive;

  attempting to process anyway, assuming all parts have been concatenated
  together in order.  Expect "errors" and warnings...true multi-part 
support

  doesn't exist yet (coming soon).
  Length  DateTimeName
-  -- -   
 14237768  10-30-2018 17:04   agreement MD_Hitachi.pdf
- ---
 14237768 1 file


Хотелось бы "комбайн" типа WinRAR, который без проблем получал бы 
листинг любого архива (кроме архива с зашифрованными именами файлов 
естественно) и не ругался что что-то ему не нравится (например ace, 
переименованный в zip).



___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd