Архив рубрики: Сетевые технологии

Исключения для двухфакторной аутентификации OpenVpn

В статье Двухфакторная аутентификация OpenVpn клиентов (OpenVpn + Google Authenticator) на CentOs 7/8 подробно описано как настроить двухфакторную аутентификацию для клиентов open-vpn.

Ниже описано как сделать исключения.

Допустим, что не требуется использовать двухфакторную аутентификацию для клиента с именем client1 и для любого клиента, который подключается с публичного ip 111.111.111.111


1. Для удобства создадим группу пользователей, для которых будет отключена двухфакторная аутентификация и добавим пользователя client1 в неё:

groupadd no2fa
usermod -g no2fa client1

2. Создадим файл, в котором опишем правила исключения:

nano /etc/security/no2fa.conf
# Содержимое файла:
# No 2fa:
+ : (no2fa) : ALL # Входящие в группу no2fa с любым IP
+ : ALL : 111.111.111.111 # Любые пользователи с IP 111.111.111.111
# All other hosts need two step verification
- : ALL : ALL

3. В файл /etc/pam.d/openvpn добавляем первой строкой:

auth [success=done default=ignore] pam_access.so accessfile=/etc/security/no2fa.conf

Перезапускаем openvpn-server и правила исключений будут работать.

Использованы материалы — https://serverfault.com/questions/799657/ssh-google-authenticator-ignore-whitelist-ips

0

Двухфакторная аутентификация OpenVpn клиентов (OpenVpn + Google Authenticator) на CentOs 7/8

1. Устанавливаем необходимые компоненты для работы и настройки OpenVpn:

yum install epel-release
yum -y --enablerepo=epel install openvpn easy-rsa nano
cd /etc/openvpn/
mkdir ccd
mkdir clients

Для более удобной работы с easy-rsa копируем все его файлы в /etc/openvpn/easy-rsa/

cp -a /usr/share/easy-rsa/3.0.3 /etc/openvpn/easy-rsa

Важно! Если у вас CentOs 8 то в репозитории нет easy-rsa, устанавливается так:

yum -y install unzip zip wget
cd ~
wget https://github.com/OpenVPN/easy-rsa/archive/master.zip
unzip master.zip
cp -a easy-rsa-master/easyrsa3/ /etc/openvpn/easy-rsa/

Читать далее

0

Cisco 5585 Multicontext — OID для оценки утилизации CPU

SNMP OID для 5585 работающей в мультиконтекстном режиме с версией ASA 9.1

Для получения утилизации CPU за 1 минуту отдельным контекстом (собирается с каждого контекста):

1.3.6.1.4.1.9.9.109.1.1.1.1.4

Для получения утилизации CPU всей ASA за 1 минуту (собирается с админского контекста):

1.3.6.1.4.1.9.9.109.1.1.1.1.4.3

За 5 секунд и 5 минут OIDы находятся рядом с этими, при необходимости выбирается snmp-walkом

0

IPSec на CentOs 7 с помощью LibreSwan

Ниже небольшой гайд по настройке IPSec в двух топологиях с помощью LibreSwan:

  • для сервера с публичным IP на интерфейсе;
  • для сервера c локальным IP и за маршрутизатором с NAT, используя NAT Traversal (NAT-T)


Подготовительный этап одинаков в обоих случаях:

  1. Устанавливаем libreswan:
    yum install libreswan
    
  2. Включаем IP forwarding, а IP redirects отключаем, перезагружаем параметры:
    # Открываем файл
    nano /etc/sysctl.conf
    
    # и добавляем параметры:
    net.ipv4.ip_forward = 1
    net.ipv4.conf.all.accept_redirects = 0
    net.ipv4.conf.all.send_redirects = 0
    
    # Применяем новые параметры
    sysctl -p
    
  3. Разрешаем IPSec траффик в firewalld:
    firewall-cmd --zone=public --add-service=ipsec
    
  4. Добавляем сервис в автозагрузку и запускаем
    systemctl enable ipsec
    systemctl start ipsec
    

Дальнейшая конфигурация отличается от топологии. Оба случая описаны ниже.
Читать далее

0

Проброс портов в Windows

Например, есть тачка с адресом 192.168.0.2 и базой на порту 1433. На эту машину можно попасть только с машины 192.168.0.1, что не всегда удобно.
Но можно сделать проброс, делается следующей командой на 192.168.0.1 в cmd с правами администратора:

netsh interface portproxy add v4tov4 listenport=1433 connectaddress=192.168.0.2 connectport=1433

Таким образом машина 192.168.0.1 будет слушать все запросы на порту 1433 и редиректить запросы в сторону 192.168.0.2 на порт 1433.

Проверить текущие пробросы можно зайдя в netsh, перейдя в раздел interface portproxy и выполнив команду dump или show all, или сразу выполнить команду:

netsh interface portproxy show all

1+

Как настроить свой собственный прокси сервер

Используем 3proxy на CentOS7, т.к. 3proxy позволяет держать одновременно HTTP и SOCKS5 proxy, что важно для работы некоторых мессенджеров.

Данная статья не предоставляет информации как обойти заблокированные по решению суда в РФ ресурсы, например тот же slack.com и прочее что хостится у Amazon — по поводу этих тысяч сайтов судебного решения не было.
Как воспользоваться данным инструментом — личное дело каждого.
От себя добавлю — не нарушайте законы.

1. В первую очередь нужно определиться, что для работы недоступных ресурсов нам нужен сервер не тут. Целесообразно купить себе VPS:

VPS (англ. Virtual Private Server) или VDS (англ. Virtual Dedicated Server) — услуга, в рамках которой пользователю предоставляется так называемый Виртуальный выделенный сервер. В плане управления операционной системой по большей части она соответствует физическому выделенному серверу. Википедия.

Выбирайте VPS на своё усмотрение.
Могу порекомендовать https://www.vpscheap.net/, сервер с 30Gb HDD и 768 RAM на данный момент обойдётся в 20$ в ГОД.
Читать далее

1+

Собираем и анализируем Netflow при помощи nfdump и nfsen на CentOS

Перед настройкой немного теории:

Netflow предоставляет возможность анализа сетевого трафика на уровне сеансов, делая запись о каждой транзакции TCP/IP. Информация не столь подробна, как предоставляемая tcpdump’ом, но представляет довольно подробную статистику.

Netflow имеет три основных компонента:

1. сенсор;
2. коллектор;
3. система обработки и представления данных.

Сенсор — демон, который слушает сеть и фиксирует данные сеанса.

Коллектор — демон, который слушает на UDP порту, указанному вами и осуществляет сбор информации от сенсора. Полученные данные он сбрасывает в файл для дальнейшей обработки. Различные коллекторы сохраняют данные в различных форматах.

Система обработки читает эти файлы и генерирует отчеты в форме, более удобной для человека. Эта система должна быть совместима с форматом данных, предоставляемых коллектором.

В нашем случае сенсор уже имеется в Ciso IOS, в качестве коллектора используем nfdump, а системой обработки будет nfsen.
OS используем Centos 6.9
Читать далее

1+

Не получается зайти в ROMMON Cisco

Столкнулся с проблемой — не мог попасть в ROMMON на Cisco 1841.
Cisco не реагирует на нажатие Ctrl+Break, не помогает и в Putty выбор Special Command -> Break
Вероятнее всего, проблема в том что используется адаптер USB-RS232, а не встроенный порт.

В итоге попасть в ROMMON можно так:

1. В настройках Serial подключения указать

Speed (или Baud) - 1200
Data bits - 8
Stop bits - 1 
Parity - No
Flow control - No

и подключиться

В Putty это выглядит так:

2. Перезагружаем по питанию роутер, и в течении 10-15 секунд часто нажимаем пробел. В консоль при этом может выводиться всякая белиберда или вообще ничего не будет.

3. Возвращаем настройки Serial обратно на дефолтные (в putty по дефолту они такие и есть):

Speed (или Baud) - 9600
Data bits - 8
Stop bits - 1 
Parity - No
Flow control - XONN/XOFF

и подключаемся

После этого откроется пустое окно консоли и роутер будет уже в ROMMON. После нажатия Enter вы увидите заветное

rommon 1 >

Использованы материалы http://sr-maks.livejournal.com/7661.html

2+

IPSEC тоннель между Cisco и Mikrotik рвётся, Workaround через Embded Event Manager (EEM)

В этой статье я пытался решить проблему включением RFC и перезапуском тоннеля раз в 5 часов. Этот метод оказался не самым эффективным.

В общем, более эффективным способом я признал перезапуск «повисшего» тоннеля через Ciso Embded Event Manager.

Читать далее

0

RANCID не подключается с ошибкой «no matching cipher found: client 3des-cbc server aes128-ctr,aes192-ctr,aes256-ctr»

После обновления IOS до версии 15.6 Rancid перестал подключатся.

Случилось это потому что, видимо, Cisco по дефолту более не поддерживает 3des при подключении по ssh, а Rancid по умолчанию использует его.

Для решения проблемы нужно в файле .cloginrc (где у вас указаны реквизиты для подключения) добавить:

 add cyphertype * aes128-ctr,aes128-cbc,3des-cbc 

Использованы материалы отсюда — https://layer77.net/2016/12/16/ssh-cipher-updates-in-cisco-asa-9-4312-breaking-rancid/

0