DST Root CA X3

удаленной стороне, выступающей в качестве клиента, не нравится цепочка

Certificate chain
0 s:/CN=mail.fcirkutsk.ru
i:/C=US/O=Let's Encrypt/CN=R3
1 s:/C=US/O=Let's Encrypt/CN=R3
i:/C=US/O=Internet Security Research Group/CN=ISRG Root X1
2 s:/C=US/O=Internet Security Research Group/CN=ISRG Root X1
i:/O=Digital Signature Trust Co./CN=DST Root CA X3

вернее наличие в ней DST Root CA X3

https://docs.certifytheweb.com/docs/kb/kb-202109-letsencrypt/

серт удалил и выпустил по новой (ессно все средствами certbot), но CA X3 в ней остался. Ручная правка проблему решила.
Но это костыль. Как быть?

nginx auth by cert

берем мануал
https://docs.nginx.com/nginx/admin-guide/security-controls/securing-http-traffic-upstream/
и строгаем песочницу

Collapse )

Collapse )

тестируем

[root@localhost conf.d]# curl --cacer /etc/nginx/ssl/ca.crt --key /etc/nginx/ssl/client.key --cert /etc/nginx/ssl/client.crt --resolve test:443:127.0.0.1 https://test
Mon Oct 4 10:37:00 UTC 2021

работает

[root@localhost conf.d]# curl --cacer /etc/nginx/ssl/ca.crt --key /etc/nginx/ssl/client.key --cert /etc/nginx/ssl/client.crt --resolve test:1443:127.0.0.1 https://test:1443
Mon Oct 4 10:37:00 UTC 2021

работает

[root@localhost conf.d]# curl --cacer /etc/nginx/ssl/ca.crt --resolve proxy:443:127.0.0.1 https://proxy/test2/
Mon Oct 4 10:37:00 UTC 2021

работает

[root@localhost conf.d]# curl --cacer /etc/nginx/ssl/ca.crt --resolve proxy:443:127.0.0.1 https://proxy/test/



400 Bad Request


No required SSL certificate was sent


nginx/1.20.1




не работает. Нема говорит нужного клиентского сертификата... Что я делаю не так?

PS. надо включать
proxy_ssl_server_name on;

HP StorageWorks D2700

парни, а к каким контроллерам можно подключать сей девайс? Родная документация ведет на ныне мертвый http://www.hp.com/go/D2000. В том месте где живет эта полка нет серверов с разъемами на raid контроллерах, в которые можно было бы воткнуть родной кабель. Покупать целиком hp серв не хочется, хочется только контроллер.
поумнеть

vmware player, beep!!!111

кривой вопрос. а как запретить вмварь-плееру издавать любые звуки, чтоб при таб-таб-таб в виртуальном линухе оно не пищало?

совет ссайта афтырей про добавление https://kb.vmware.com/s/article/1664
строки mks.noBeep = "TRUE"
в ~/.vmware/config не помогают - пищщит, сцуко.
поумнеть

dhcp

а у вас на практике бывали сети, где было не порядка 256, а порядка 64к компов в одной подсети которым надо раздать ip адреса?
я не про какой-нибудь хитрокластер для майнинга или калаби-яу, а про что-то типа "сеть предприятия" или "сеть холдинга с затейливыми впн между филиалами".

как мне видится, обычно подсеть делается приватной, на 64к адресов, с динамической раздачей адресов, по проводу (то есть, андроидоайфоны не учитываем), из этих 64к хорошо если этак 255 распределено.

так вот, вопрос. а какого фига при типичной настройке dhcp протухает буквально через пару дней, вместо того чтоб вот этим вот полтора инвалидам давать те же адреса?

powerline

Гайзы, а кто-нибудь юзает в быту девайсы типа TL-PA7017P для передачи эзера через электрическую сеть? Какие впечатления, рекомендации, подводные камни?
Гэльвин
  • nasse

(no subject)

Коллеги, нет ли среди вас знатоков qemu?

Имеется qemu 4.2.1 , ставлю в нее debian stretch armhf примерно вот по этой инструкции https://translatedcode.wordpress.com/2016/11/03/installing-debian-on-qemus-32-bit-arm-virt-board/ , ставится.
Получаю машинку, которая запускается командой

qemu-system-arm -M virt -m 1024 \
  -kernel vmlinuz-4.9.0-16-armmp-lpae \
  -initrd initrd.img-4.9.0-16-armmp-lpae \
  -drive if=none,file=t-stretch-arm.qcow2,format=qcow2,id=hd \
  -append 'root=/dev/vda2' \
  -device virtio-blk-device,drive=hd \
  -netdev user,id=mynet \
  -device virtio-net-device,netdev=mynet \
  -nographic

Все работает.

Пытаюсь воспроизвести все то же с virt-manager - инсталлятор не видит сетевки как устройства.
Пытаюсь скормить virt-manager образ с уже установленной системой - ядро грузтся, но скрипты из initrd не видят диска как девайса (в смысле, blkid нифига не находит, в /dev нет никакого disk, даже если загрузить дрова руками)

Способа перевести аргументы   qemu в xml, который юзает virt-manager, не нашла.

Знает ли кто-нибудь, как ставить в virt-manager 32-битные arm-машинки, или переводить командную строку qemu в конфиги для virt-manager?

(У меня, к сожалению, есть причины, по которым virt-manager предпочтительней)


mikrotik ipsec и анонс нескольких сетей

Гайзы, а микрот умеет анонсить несколько сетей за собой в случае ikev2? Те надо заменить вот такое в strongswan
на микрота
Collapse )

мне говорят что надо делать gre тунель, а уже его шифровать. Те использовать транспортный ipsec. При этом тунельный ipsec на микроте для одиночной сетки уже всё работает.

Ubuntu 20.04.2 LTS and eap-mschapv2

root@ubuntu:~# dpkg -l | grep -i strongSwan
ii libcharon-extauth-plugins 5.8.2-1ubuntu3.1 amd64 strongSwan charon library (extended authentication plugins)
ii libcharon-extra-plugins 5.8.2-1ubuntu3.1 amd64 strongSwan charon library (extra plugins)
pi libstrongswan 5.8.2-1ubuntu3.1 amd64 strongSwan utility and crypto library
ii strongswan 5.8.2-1ubuntu3.1 all IPsec VPN solution metapackage
ii strongswan-charon 5.8.2-1ubuntu3.1 amd64 strongSwan Internet Key Exchange daemon
ii strongswan-libcharon 5.8.2-1ubuntu3.1 amd64 strongSwan charon library
ii strongswan-pki 5.8.2-1ubuntu3.1 amd64 strongSwan IPsec client, pki command
ii strongswan-starter 5.8.2-1ubuntu3.1 amd64 strongSwan daemon starter and configuration file parser

root@ubuntu:~# grep yes /etc/strongswan.d/charon/eap-mschapv2.conf
load = yes

но
root@ubuntu:~# ipsec listplugins | grep ^eap
eap-identity:
eap-aka:
eap-md5:
eap-gtc:
eap-dynamic:
eap-radius:
eap-tls:
eap-ttls:
eap-peap:
eap-tnc:
root@ubuntu:~#

ессно перегружал, в том числе тачану целиком. Куда копать не пойму...
Photo

802.1q trunk(s) через WiFi

Гуглил, гуглил, недогуглил. Задача-то простая, может, я перебдеваю?

Есть свичи с кучей разных VLAN-ов, соединенные на данный момент гигабит-транками:

[Вот так оно сейчас]

Пришла разнарядка поместить все кроме одного на мобильные платформы. Поэтому рассматривается возможность замены медных транков на WiFi-соединение:

[То есть, хочется вот так]

Погуглив, я прочитал, говорят, что в транке будет пропорционально очень много броадкаст-пакетов и он "уложит" канал WiFi. В общем не рекомендуют так делать, но мне очень надо.

Возникает вопрос, как это все-таки можно сделать? Могу сразу брать 5GHz канал, он толще.

Мобильных платформ будет максимум до десятка, все нужно соединить через WiFi. Они могут временами включаться и отключаться, довольно живая конфигурация. Не офисы.

Спасибо пожалуйста.