Debian Debian-France Debian-Facile Debian-fr.org Debian-fr.xyz Debian ? Communautés

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 Re : Réseau » debian stretch strongswan IPsec sor une erreur error writing to socket » 13-01-2021 13:20:15

Ok et tu sais dire BONJOUR

Non tu sais pas être poli ???

Par ce que être un  Raleur c'est une chose mais ne pas avoir de savoir être en est une autre !

Un peut d'humain te ferais du bien à toi non?

#2 Réseau » debian stretch strongswan IPsec sor une erreur error writing to socket » 13-01-2021 11:06:24

spawn63
Réponses : 2
Bonjour je cherche à créer un tunnel vpn site to site je vous présente ma config:

Fichier /etc/ipsec.conf du site A:

include /var/lib/strongswan/ipsec.conf.inc
        charondebug="all"
        uniqueids=yes
conn A-to-B
        type=tunnel
        auto=start
        keyexchange=ikev2
        authby=secret
        left=Ip public du site A
        leftsubnet=192.168.101.0/28  # sous réseau site A
        right=Ip public du site B
        rightsubnet=192.168.1.0/24  # sous réseau site B
        ike=aes256-sha1-modp1024!
        esp=aes256-sha1!
        aggressive=no
        keyingtries=%forever
        ikelifetime=28800s
        lifetime=3600s
        dpddelay=30s
        dpdtimeout=120s
        dpdaction=restart
 




fichier /etc/ipsec.conf site B:

        charondebug= "all"
        uniqueids=yes
conn B-to-A
        type=tunnel
        auto=start
        keyexchange=ikev2
        authby=secret
        left=IP public du site B
        leftsubnet=192.168.1.0/24
        right=IP public du site A
        rightsubnet=192.168.101.0/28
        ike=aes256-sha1-modp1024!
        esp=aes256-sha1!
        aggressive=no
        keyingtries=%forever
        ikelifetime=28800s
        lifetime=3600s
        dpddelay=30s
        dpdtimeout=120s
 




fichier /etc/ipsec.secrets du site A:

IP public site site A  IP public site site B :PSK "clé "
 




fichier /etc/ipsec.secrets du site B:

IP public site site B  IP public site site A :PSK "clé "





mon fichier /etc/strongswan.conf présent des deux cotés!

# strongswan.conf - strongSwan configuration file
#
# Refer to the strongswan.conf(5) manpage for details
#
# Configuration changes should be made in the included files

charon {
        load_modular = yes
        plugins {
                include strongswan.d/charon/*.conf
        }
}

include strongswan.d/*.conf
 





lorsque je fait un ipsec status sur les deux site le retour est celui ci avec bien sur les identifiant qui s'inverse lorsque je lance la commande sur l'autre machine du site B site:
Security Associations (0 up, 1 connecting):
A-to-B[1]: CONNECTING, IP site A[%any]...IP site B[%any]

en faisant un tail - f /var/log/syslog la sortie sur les deux site est celle-ci:

Jan 13 09:58:58 ip-192-168-101-12 dhclient[381]: XMT: Solicit on eth0, interval 113380ms.
Jan 13 09:59:17 ip-192-168-101-12 charon: 12[IKE] retransmit 4 of request with message ID 0
Jan 13 09:59:17 ip-192-168-101-12 charon: 12[NET] sending packet: from IP site A[500] to IP site B[500] (336 bytes)
Jan 13 09:59:17 ip-192-168-101-12 charon: 04[NET] error writing to socket: Invalid argument
Jan 13 09:59:59 ip-192-168-101-12 charon: 13[IKE] retransmit 5 of request with message ID 0
Jan 13 09:59:59 ip-192-168-101-12 charon: 13[NET] sending packet: from IP site A[500] to IP site B[500] (336 bytes)
Jan 13 09:59:59 ip-192-168-101-12 charon: 04[NET] error writing to socket: Invalid argument
 




Je ne comprend pas trop pourquoi le tunnel ne se créer pas les erreur me font penser à des  requêtes qui serait bloqué, savez vous comment faire pour solutionner cette erreur, et faire que mon tunnel soit fonctionnel?

Merci par avance pour vos intervention wink

#3 Re : Réseau » status isc-dhcp-server » 05-08-2020 15:55:01

Oui exactement dans /etc/default/isc-dhcp-server les interfaces des vlan son bien identifiées.

Par contre ce que je ne comprend pas c'est pourquoi dans le status du DHCP il me demande d'identifier enp0s8 alors que nous sommes bien d'accord enp0s8 ne couvre aucun réseau. enp0s3 elle couvre un réseau qui n'est pas gérer par DHCP, à la seul différence c'est que ce DHCP est installé sur un routeur (par-feu), avec deux interfaces enp0s3 et les interfaces des vlans.

Au début dans le status il me demandais d'identifier enp0s3 donc pour voir j'ai identifié, le réseau de enp0s3 et à ce moment là le message dans le status du dhcp est passé à identifier enp0s8.
Alors comment faire? et pourquoi ces messages suite à la commande service isc-dhcp-server status. Est ce que je laisse comme ça car pas de conséquences ou alors il faut configurer différemment?

#4 Réseau » status isc-dhcp-server » 05-08-2020 08:46:10

spawn63
Réponses : 3
Bonjour,

J'ai créer un lan qui fonctionne via dhcp pour  l'attribution d'IP, j'ai utilisé netplan pour la création des vlans:
Les adresses sont bien attribué par le serveur.

Cependant lorsque je fait un service isc-dhcp-server status en sortie j'ai :

in your dhcpd.conf file for the network segment to wich interface enp0s8 is attached



donc sur netplan j'ai l'interface enp0s8 qui a été diviser en interfaces virtuelle:

  enp0s8: {}

  vlans:
    vlan3:
        id: 3
        link: enp0s8
        addresses: [10.0.100.126/25]

    vlan4:
        id: 4
        link: enp0s8
        addresses: [10.0.100.158/27]

    vlan5:
        id: 5
        link: enp0s8
        addresses: [10.0.100.174/28]




Je ne comprend pas pourquoi je doit renseigner le réseau de l'interface enp0s3 dont les adresses ip ne sont pas attribuées par le DHCP sur dhcpd.conf, et apparemment aussi l'interface enp0s8
qui couvre le réseau 10.0.100.0/24 en 9 vlan ?

Pouvez-vous m'éclairer sur ce fait? Que dois je faire?

#6 Re : Scripts, programmes et robots » compréhesion d'un code anti spoofing » 11-07-2020 17:52:21

Salut raleur, merci à toi, cela voudrais dire que je devrais placer ce code sur le "serveur" qui sert mes vlans:

box par feu ===>switch===>par-feu===>"serveur"===>switch===> vlan
                              ||
                              ||
                          DMZ

Par ce que avec le peu que je sais à l'instant, j'avais l'intention de mettre cette protection sur le par feu de la box.

#7 Scripts, programmes et robots » compréhesion d'un code anti spoofing » 11-07-2020 16:28:43

spawn63
Réponses : 5
Bonjour j'ai récupéré un code à mettre dans Iptables afin de se protéger contre le spoofing. Mais voila c'est bien beau les récupérations cependant encore faut il que je comprenne vraiment l'action de ce code je vous le présente:

if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi
 


Ma compréhention et moindre (débutant), donc à mon niveau ce que je ne comprend pas c'est pourquoi faire un echo 1 > dans le fichier correspondant => /proc/sys/net/ipv4/conf/all/rp_filter

Donc après recherche j'ai trouvé en faites c'est l'activation (1) de rp_filter ce qui va permettre  la protection contre la contrefaçon des adresses interne. Reprenez moi si je me plante svp.

Quelqu'un pourrais m'en dire plus là dessus ?

#9 Re : Réseau » les rôles principaux, dans une configuration à deux par-feu » 06-07-2020 18:48:45

Salut  raleur,
Oui tu as raison, mais non tqt , il n'y à pas de pile ou face en faite j'ai cherchée une configuration sur deux par feu iptables  pour en voir un peut les différences et je n'ai rien trouvé.
Donc je suis venu ici.

Je sais que j'ai des variables vlan à créer plus divers choses à faire demain que je posterais ici, mais c'est les différences entre les deux par-feu qui me porte à réflexion.
Je vais travailler dessus et demain je posterais mon travail pour une plus grande compréhension.

#11 Réseau » les rôles principaux, dans une configuration à deux par-feu » 06-07-2020 17:40:32

spawn63
Réponses : 3
Bonjour,

Je me permet de venir ici demander quelle sont les règles à donner sur chaque où du moins quelle logique avoir:

j'ai un réseau avec 8 vlan dont 5 régit par de adresses attribuées par le DHCP je pensais sur ce réseau mettre deux par-feu un à l'entrée de la DMZ et l'autre plus bas à l'entrée des vlans.

La principal question est, que dois je respecter, pour moi dans la logique ce serait d'accepter en forwarding le DNS, NTP, le ping (sans acceptation INPUT OUTPUT)et bloquer certain port utilisé par certain programmes malveillant et sur le deuxième firewall ce serait accepter les requêtes sortante des postes client et que leurs réponses en INPUT .

Est ce que ma logique est bonne entre la configuration d'un par-feu 1 et un par-feu 2 ?

Je test depuis ce matin divers solution et je ne me sent pas vraiment à l'aise en sachant que je peux faire une bourde. j'ai cherché divers ressources au niveau de la configuration de deux par-feu iptables et je n'ai rien trouvé de bien bon, si quelqu'un à une ressource en ce sens je suis vraiment preneur!


Merci par avance pour vos remarques

#13 Re : Réseau » [resolu]erreur unknown option '$TTL' sur bind9 » 30-06-2020 18:01:06

ceci:

options {
        directory "/var/cache/bind";

        // If there is a firewall between you and nameservers you want
        // to talk to, you may need to fix the firewall to allow multiple
        // ports to talk.  See http://www.kb.cert.org/vuls/id/800113

        // If your ISP provided one or more IP addresses for stable
        // nameservers, you probably want to use them as forwarders.
        // Uncomment the following block, and insert the addresses replacing
        // the all-0's placeholder.

        // forwarders {
        //      0.0.0.0;
        // };

        //====================================================================$
        // If BIND logs error messages about the root key being expired,
        // you will need to update your keys.  See https://www.isc.org/bind-ke$
        //====================================================================$
        dnssec-validation auto;

        auth-nxdomain no;    # conform to RFC1035
        listen-on-v6 { any; };
};

 



J'ai vue plusieurs et différents paramètres sur "certain tuto", mais je n'ai rien mis dedans puisque je ne sais pas à quoi il sert exactement

#14 Re : Réseau » [resolu]erreur unknown option '$TTL' sur bind9 » 30-06-2020 17:28:46

Bonjour @raleur

Et oui tu as raison cette configuration est bien mauvaise, donc je me suis débrouillé afin de configurer bind correctement j'ai créé un dossier dans /etc/bind/zones dans lequel j'ai créé un fichier chris.lan.db voici

; Designe le debut de cette zone DNS
$ORIGIN chris.lan.
; Delai d'expiration par defaut pour chaque ressource de la zone
$TTL    86400
;
@       IN      SOA     ns1.chris.lan. srvr-interne.chris.lan. (
                2019041604      ; No serie
                6h              ; Cycle de mise a jour des serveurs secondaires
                1h              ; Delai de nouvelle tentative de synchronisati$
                1w              ; Delai d'expiration sur les serveurs slaves
                1d              ; Delai d'expiration minimum
                )

@                     IN      A               10.0.0.201


chris.lan.     IN      NS              ns1.chris.lan.
chris.lan.     IN      NS              ns2.chris.lan.


ns1                   IN      A               10.0.100.201
ns2                   IN      A               10.0.100.206


www               IN      CNAME           chris.lan.
ftp                   IN      CNAME           chris.lan.
 

:

dans le fichier /etc/bind/named.conf.local

zone    "chris.lan"    {
        type master;
        notify yes;
        also-notify { 10.0.100.206; };
        file "/etc/bind/zones/chris.lan.db";
};
 


Voila suite a mon poste ici, j'ai pas mal bossé dessus et maintenant ça fonctionne, par contre il y a un fichier qui se nomme named.conf.options dans lequel je n'ai ajouté aucun paramètre, quelqu'un pourrais me donner des explications simple au sujtet de ce fichier.

Merci d'être intervenue

#15 Re : Réseau » [resolu]erreur unknown option '$TTL' sur bind9 » 27-06-2020 19:59:56

Bon bien j'ai changer la config de zone, j'ai rajouter les lignes

notify yes;
also-notify{10.0.0.2};
file "/etc/bind/db.chris.lan";
 


par contre j'ai une nouvelle erreur qui à l'air simple mais j'ai essayé pas mal de chose et rien ne fonctionne:

/etc/bind/named.conf.local:17: missing ';' before '}'



Je suis encore dessus mais si quelqu'un à une idée c'est bien venu

#16 Re : Réseau » [resolu]erreur unknown option '$TTL' sur bind9 » 27-06-2020 17:52:08

raleur a écrit :

spawn63 a écrit :

named-checkconf /etc/bind/db.chris.lan
/etc/bind/db.chris.lan:3: unknown option '$TTL'


Il s'agit visiblement d'un fichier de zone, qui doit être vérifié avec named-checkzone et non named-checkconf qui sert à vérifier un fichier de configuration.

(pas lu le reste)



Merci, cela m'en dit un peu plus, je lis en ce moment et je vais faire des recherches en fonction des message d'erreur en sortie de named-chekzone

#17 Réseau » [resolu]erreur unknown option '$TTL' sur bind9 » 27-06-2020 14:19:35

spawn63
Réponses : 9
Bonjour tout le monde , je configure mon DNS sur le réseau et au contrôle avec la commande named-checkconf /etc/bind/named.conf
voici le retour hmm

root@srvr-int:/etc/bind# named-checkconf /etc/bind/db.chris.lan
/etc/bind/db.chris.lan:3: unknown option '$TTL'
/etc/bind/db.chris.lan:6: unknown option 'Serial'
/etc/bind/db.chris.lan:7: unknown option 'Refresh'
/etc/bind/db.chris.lan:8: unknown option 'Retry'
/etc/bind/db.chris.lan:9: unknown option 'Expire'
/etc/bind/db.chris.lan:10: unknown option 'Negative'
/etc/bind/db.chris.lan:18: unexpected token near end of file
 



j'ai un serveur web Debian où apache et php on été installés, je n'arrive pas à trouver ma faute dans ma configuration pour avoir se message d'erreur. si je fait un nslookup l'ip du serveur bien sur c'est failed.

je vous laisse ma config avant que j'aille faire une course:


#;
#; BIND data file for local loopback interface
$TTL    604800
#$ORIGIN chris.lan.
@       IN      SOA     srvr-int.chris.lan. admin.chris.lan. (
                     2011032801         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800  )      ; Negative Cache TTL

@       IN      NS      srvr-int.chris.lan.
@       IN      MX      mx
ns      IN      A       10.0.0.2
mx      IN      A       10.0.10.2
www     IN      A       10.0.10.2
 




et mon fichier named.conf qui est après controle sans erreur:

include "/etc/bind/named.conf.options";
include "/etc/bind/named.conf.local";
include "/etc/bind/named.conf.default-zones";


zone "chris.lan" {
        type master;
        file "/etc/bind/db.chris.lan";

};

 



j'ai aussi modifié le fichier hosts comme ceci:

127.0.0.1 localhost
#127.0.1.1 srvr-int
10.0.0.2  srvr-int.chris.lan srvr-int
# The following lines are desirable for IPv6 capable hosts
::1     ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

 



sortie de la commande  dig -t SOA chris.lan @10.0.0.2 :

; <<>> DiG 9.11.3-1ubuntu1.12-Ubuntu <<>> -t SOA chris.lan @10.0.0.2
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 51664
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: a7bc5d2a658384990f79a86a5ef74a54c2df1285d7370a0c (good)
;; QUESTION SECTION:
;chris.lan.     IN  SOA

;; Query time: 0 msec
;; SERVER: 10.0.0.2#53(10.0.0.2)
;; WHEN: Sat Jun 27 13:32:04 UTC 2020
;; MSG SIZE  rcvd: 66

 




A chaque fois que je viens ici c'est pour prendre un peut plus d'expèrience je vais trouver mon erreur mais voila j'aime bien vos reflexion, remarque etc....

Merci d'éclairer mes lanternes

#18 Re : Réseau » questions sur trafic inconnu sur interface réseau est ce dangereux ? » 09-06-2020 10:52:15

Salut, désolé pour cette réponse un peut tardive, tu peux installer directement sur ta machine whois

apt install whois




Ensuite à mon avis si tu as des connections en ukraine et russie non voulu je serais toi je testerais les antivirus:
http://doc.ubuntu-fr.org/rootkit

http://doc.ubuntu-fr.org/clamav

Mais bon le mieux c'est d'activer ces antivirus sur un système "neuf", par ce qu'autrement c'est comment dire, brasser du vent.

#21 Re : Matériel » Disque dur externe Système de fichier accessible en lecture seulement » 09-06-2020 10:20:27

Croutons a écrit :

Hello
Pour voir les log

cat /var/log/messages

ou

less /var/log/messages


ou si ton Bureau est Mate tu as un outils bien pratique dans les outils système ...visionneuse de journaux système
Utilise tu le câble d'origine avec ton disque?



Salut sans vouloir te reprendre, les commandes que tu cite, chez moi ne peuvent s'exécuter qu'en mode root et non en mode user wink

#22 Re : Matériel » Disque dur externe Système de fichier accessible en lecture seulement » 09-06-2020 06:14:45

j'ai un dual boot aussi avec Windows et il apparaît qu'après des mises a jour Win malheureusement les droits d'accès a certain disque dur externe saute et que Win prenne la main dessus, bien par précaution tu devrais modifier les droit sur windows 7 et les mettre en écriture et lecture et il me semble que ton problème sera solutionné.

#23 Réseau » DHCP qui ne se désactive pas sur virbr0 » 08-06-2020 19:40:41

spawn63
Réponses : 0
Bonjour à toutes, à tous,

Je vous fait un topo, je travail avec GNS3 (simulation réseau) j'ai par ce biais un pont qui est créé entre GNS3 et mon PC (carte réseau supplémentaire nommé par defaut virbr0:) se qui me permet de pouvoir créer des VMs  et de pouvoir aussi les connectées sur le net tout en configurant mes machines.
Je rencontre un problème c'est que j'ai un DHCP qui viens rentrer en conflit avec mes VM et bien sur avec un DHCP GNS3(figurant sur la topographie réseau en cours).

Je suis en connexion 4G peut importe le FAI je suis rentrer dans les configuration est j'ai désactivé le DHCP, configurer ma carte réseau en statique en sachant que je crée une Box virtuelle via Debian donc avec deux cartes réseau dont une qui se connecte à ce qui est appelé NAT sur GNS3.

Au bout de deux trois minutes je n'ai plus d'ip sur mes postes client et ceci malgré la réservation d'adresses configuré sur le DHCP figurant dans la topologie GNS3.
J'ai bien trouvé quelque chose ici:  https://translate.google.com/translate? … rev=search

Alors je viens vers la communauté Debian pour vous demander si mon cas parle à quelqu'un? Et surtout si la procédure exprimée sur ce lien peut être adapté sur Debian et comment faire pour ne pas faire une gaffe qui me ferais perdre du temps?

Merci par avance de m'avoir lu

#25 Re : Réseau » Wifi se coupe après un peu de temps » 08-06-2020 19:10:34

Bonjour,

est ce que tu as toujours le problème cité?

Je suis sur Debian depuis un moment, je n'ai jamais eu de problème de connexion que ce soit en wifi, filaire, ou même via carte réseau externe.

quel type de PC utilise tu?  sinon quel type de carte réseau est concernée?

Pied de page des forums

Propulsé par FluxBB