удаленной стороне, выступающей в качестве клиента, не нравится цепочка

Certificate chain
0 s:/CN=mail.fcirkutsk.ru
i:/C=US/O=Let's Encrypt/CN=R3
1 s:/C=US/O=Let's Encrypt/CN=R3
i:/C=US/O=Internet Security Research Group/CN=ISRG Root X1
2 s:/C=US/O=Internet Security Research Group/CN=ISRG Root X1
i:/O=Digital Signature Trust Co./CN=DST Root CA X3

вернее наличие в ней DST Root CA X3

https://docs.certifytheweb.com/docs/kb/kb-202109-letsencrypt/

серт удалил и выпустил по новой (ессно все средствами certbot), но CA X3 в ней остался. Ручная правка проблему решила.
Но это костыль. Как быть?

берем мануал
https://docs.nginx.com/nginx/admin-guide/security-controls/securing-http-traffic-upstream/
и строгаем песочницу

( Collapse )

( Collapse )

тестируем

[root@localhost conf.d]# curl --cacer /etc/nginx/ssl/ca.crt --key /etc/nginx/ssl/client.key --cert /etc/nginx/ssl/client.crt --resolve test:443:127.0.0.1 https://test
Mon Oct 4 10:37:00 UTC 2021

работает

[root@localhost conf.d]# curl --cacer /etc/nginx/ssl/ca.crt --key /etc/nginx/ssl/client.key --cert /etc/nginx/ssl/client.crt --resolve test:1443:127.0.0.1 https://test:1443
Mon Oct 4 10:37:00 UTC 2021

работает

[root@localhost conf.d]# curl --cacer /etc/nginx/ssl/ca.crt --resolve proxy:443:127.0.0.1 https://proxy/test2/
Mon Oct 4 10:37:00 UTC 2021

работает

[root@localhost conf.d]# curl --cacer /etc/nginx/ssl/ca.crt --resolve proxy:443:127.0.0.1 https://proxy/test/

400 Bad Request

No required SSL certificate was sent

---

nginx/1.20.1



не работает. Нема говорит нужного клиентского сертификата... Что я делаю не так?

PS. надо включать
proxy_ssl_server_name on;

парни, а к каким контроллерам можно подключать сей девайс? Родная документация ведет на ныне мертвый http://www.hp.com/go/D2000. В том месте где живет эта полка нет серверов с разъемами на raid контроллерах, в которые можно было бы воткнуть родной кабель. Покупать целиком hp серв не хочется, хочется только контроллер.

кривой вопрос. а как запретить вмварь-плееру издавать любые звуки, чтоб при таб-таб-таб в виртуальном линухе оно не пищало?

совет ссайта афтырей про добавление https://kb.vmware.com/s/article/1664
строки mks.noBeep = "TRUE"
в ~/.vmware/config не помогают - пищщит, сцуко.

а у вас на практике бывали сети, где было не порядка 256, а порядка 64к компов в одной подсети которым надо раздать ip адреса?
я не про какой-нибудь хитрокластер для майнинга или калаби-яу, а про что-то типа "сеть предприятия" или "сеть холдинга с затейливыми впн между филиалами".

как мне видится, обычно подсеть делается приватной, на 64к адресов, с динамической раздачей адресов, по проводу (то есть, андроидоайфоны не учитываем), из этих 64к хорошо если этак 255 распределено.

так вот, вопрос. а какого фига при типичной настройке dhcp протухает буквально через пару дней, вместо того чтоб вот этим вот полтора инвалидам давать те же адреса?

Гайзы, а кто-нибудь юзает в быту девайсы типа TL-PA7017P для передачи эзера через электрическую сеть? Какие впечатления, рекомендации, подводные камни?

Гайзы, а микрот умеет анонсить несколько сетей за собой в случае ikev2? Те надо заменить вот такое в strongswan
на микрота
( Collapse )

мне говорят что надо делать gre тунель, а уже его шифровать. Те использовать транспортный ipsec. При этом тунельный ipsec на микроте для одиночной сетки уже всё работает.

root@ubuntu:~# dpkg -l | grep -i strongSwan
ii libcharon-extauth-plugins 5.8.2-1ubuntu3.1 amd64 strongSwan charon library (extended authentication plugins)
ii libcharon-extra-plugins 5.8.2-1ubuntu3.1 amd64 strongSwan charon library (extra plugins)
pi libstrongswan 5.8.2-1ubuntu3.1 amd64 strongSwan utility and crypto library
ii strongswan 5.8.2-1ubuntu3.1 all IPsec VPN solution metapackage
ii strongswan-charon 5.8.2-1ubuntu3.1 amd64 strongSwan Internet Key Exchange daemon
ii strongswan-libcharon 5.8.2-1ubuntu3.1 amd64 strongSwan charon library
ii strongswan-pki 5.8.2-1ubuntu3.1 amd64 strongSwan IPsec client, pki command
ii strongswan-starter 5.8.2-1ubuntu3.1 amd64 strongSwan daemon starter and configuration file parser

root@ubuntu:~# grep yes /etc/strongswan.d/charon/eap-mschapv2.conf
load = yes

но
root@ubuntu:~# ipsec listplugins | grep ^eap
eap-identity:
eap-aka:
eap-md5:
eap-gtc:
eap-dynamic:
eap-radius:
eap-tls:
eap-ttls:
eap-peap:
eap-tnc:
root@ubuntu:~#

ессно перегружал, в том числе тачану целиком. Куда копать не пойму...

Гуглил, гуглил, недогуглил. Задача-то простая, может, я перебдеваю?

Есть свичи с кучей разных VLAN-ов, соединенные на данный момент гигабит-транками:

[Вот так оно сейчас]

Пришла разнарядка поместить все кроме одного на мобильные платформы. Поэтому рассматривается возможность замены медных транков на WiFi-соединение:

[То есть, хочется вот так]

Погуглив, я прочитал, говорят, что в транке будет пропорционально очень много броадкаст-пакетов и он "уложит" канал WiFi. В общем не рекомендуют так делать, но мне очень надо.

Возникает вопрос, как это все-таки можно сделать? Могу сразу брать 5GHz канал, он толще.

Мобильных платформ будет максимум до десятка, все нужно соединить через WiFi. Они могут временами включаться и отключаться, довольно живая конфигурация. Не офисы.

Спасибо пожалуйста.