All perguntas(server)

temos uma instalação OpenVPN (geralmente) funcionando. A versão do servidor é "2.6.3-1+deb12u2" rodando dentro de uma Debian 12 Bookworm VM. Os clientes são OpenVPN community 2.6.10+ Windows 10 (número muito baixo de clientes Linux).

Funcionou por anos e, de fato, funciona agora para mim e para a maioria dos meus colegas. No entanto, recentemente, alguns colegas começaram a relatar problemas quando estão "em casa". Eles não parecem ter problemas com hotéis.

Os colegas se conectam com sucesso, mas não conseguem acessar unidades compartilhadas de um servidor Windows (bem, em casos raros isso funciona...), não conseguem carregar páginas https de dispositivos por meio do túnel VPN (http é possível!), não conseguem baixar ou enviar e-mails via TLS/SSL (IMAPs, SMTPs) e alguns softwares estão relatando erros de conexão com o servidor Microsoft SQL. openssl s_clientNão é possível consultar nenhum ponto de extremidade TLS/SSL.

Esse problema só acontece ao usar UDP (porta 1194). A solução alternativa via TCP 443 parece resolver o problema, mas não é uma solução real.

Não consigo encontrar erros relacionados nos logs do "verbo 4" :-( A única mensagem que vejo com bastante frequência é

MULTI: endereço de origem inválido do cliente [], pacote descartado

que deve ser ignorado até onde eu sei. Às vezes há um único

Ocorreu um retrocesso na janela de reprodução PID_ERR

o que pode ser um sinal de um aumento temporário da latência da rede, portanto não crítico e também não relacionado.

Os parâmetros MTU são relatados pelo cliente e nos logs do servidor como

Parâmetros MTU do canal de dados [ mss_fix:1400 max_frag:0 tun_mtu:1500 tun_max_mtu:1600 headroom:136 payload:1768 tailroom:562 ET:0 ]

padrões, afaict. E como eu disse antes, geralmente funciona. O Windows netsh interface ipv4 show interfacesmostra MTU de 1500 para todas as interfaces não locais, incluindo OpenVPN, estejam conectadas ou não.

Estou ficando sem ideias de onde procurar mais informações ou soluções. Alguma ideia?

Editar: dos comentários:

Tenho um colega, onde testei MTU por ping ( ping server -f -l size). O maior tamanho foi 1380, no entanto funcionou com 'mssfix 1430'. Como 1380 e 1430 estão relacionados?

Então tem outro colega. O tamanho de ping bem-sucedido para ele é 1472, o mesmo que para mim. No entanto, ele tem o problema de bloqueio de SSL. Eu consegui fazer funcionar com 'mssfix 1450'.

Infelizmente, definitivamente não posso tentar tun-mtu porque, ao que parece, ele tem que ser alterado em ambos os lados. Provavelmente não há certeza de que sempre funcionará se eu puder obter um valor funcional no momento.

E, na minha opinião, não faz muito sentido brincar com tun-mtu até que saibamos qual é o problema real. Alguma sugestão para isso?

Eu executo um servidor VPN experimental em um contêiner Docker .

Meu docker-compose.ymlarquivo:

version: '3'
services:
dockovpn:
    image: alekslitvinenk/openvpn
    cap_add:
        - NET_ADMIN
    ports:
        - 1194:1194/udp # Expose tcp if you defined HOST_TUN_PROTOCOL=tcp
    environment:
        HOST_ADDR: ${HOST_ADDR}
    volumes:
        - /var/lib/dockovpn:/opt/Dockovpn_data
    restart: always

onde HOST_ADDRestá meu endereço IP?

Eu executo o contêiner com

sudo docker-compose up -d

comando e consigo conectar-me à VPN a partir de dispositivos Windows, Android e iOS.

Não há client-to-clientopção em server.conf:

sudo docker exec -it dockovpn_dockovpn_1 bash
cd /opt/Dockovpn
cat config/server.conf

port 1194
proto %HOST_TUN_PROTOCOL%
dev tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/MyReq.crt
key /etc/openvpn/MyReq.key
dh /etc/openvpn/dh.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
duplicate-cn
keepalive 10 120
cipher AES-256-GCM
ncp-ciphers AES-256-GCM:AES-256-CBC
auth SHA512
persist-key
persist-tun
status openvpn-status.log
verb 4
tls-server
tls-version-min 1.2
tls-auth /etc/openvpn/ta.key 0
crl-verify /etc/openvpn/crl.pem

então, de acordo com a documentação do OpenVPN , os clientes não deveriam ver uns aos outros, mas eles realmente veem. Por exemplo, eu posso conectar via Remote Desktop a máquinas Windows remotas com endereços IP como 10.8.0.14, etc...

Como consertar isso?

EDITAR1

Foi encontrado o seguinte em scripts\start.sh :

# Allow traffic on the TUN interface.
iptables -A INPUT -i tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -j ACCEPT
iptables -A OUTPUT -o tun0 -j ACCEPT

Provavelmente seria melhor remover iptables -A FORWARD -i tun0 -j ACCEPTem vez de adicionar iptables -A FORWARD -i tun0 -o tun0 -j REJECT?

Tenho um servidor web Scala+AKKA que usa https, juntamente com um aplicativo web React+NextUI que usa ssl. O sistema operacional do servidor real executa nginx e redireciona as chamadas apropriadamente para o next ou para o servidor web Scala.

Gostaria de entender se devo gerar certificados SSL apenas para o nginx e usá-los para os outros aplicativos por trás dele ou se todos eles precisam de certificados separados?

Se alguém pudesse explicar o processo, seria incrível. SSL é muito novo para mim.

EDITAR:

Estou usando o cryptmódulo javascript, portanto DEVO iniciar o Next com https. Não tenho escolha nisso, pois o crypt não funcionará sem conexão ssl. Então, apenas configurar ssl com nginxe deixá-lo passar para next como http não é uma opção

Isso é um pouco difícil de descrever. Eu basicamente quero que o nginx responda com o autoindex em vez do arquivo index.html definido, se houver ?listing=trueno URI.

Já tentei ter isso dentro do meu location / {...}, para que ele não tenha nenhum índice para mostrar:

if ($arg_listing = "true") {
    index =404;
    add_header Content-Type application/json;
    return 200;
}

Mas isso fez com que o serviço nginx não iniciasse, porque aparentemente você não pode ter indexor autoindexdentro de um bloco if. Eu sei que o bloco if funciona pelo menos, porque o 200 é retornado se eu remover o index.

Não tenho muita experiência em usar nginx, então não tenho ideia do que fazer. Aqui está a /etc/nginx/sites-enabled/defaultconfiguração completa: https://pastebin.com/iRiMpCk9

Edição: Alterei o link do Pastebin, porque antes estava errado.

Estou tentando configurar um vhost para trabalhar com um proxy, mas somente se a solicitação não for para um arquivo estático -- nesse caso, eu gostaria que o Apache o servisse. Aqui está o que estou usando:

<VirtualHost *:80>
    ServerName app.local
    DocumentRoot "/app/static"

    # Serve static files
    <Directory "/app/static">
        Require all granted
        Options Indexes FollowSymLinks
        AllowOverride None
    </Directory>

    RewriteEngine On

    RewriteCond %{REQUEST_FILENAME} -f
    RewriteRule ^ - [L]

    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteRule ^/(.*) http://localhost:8000/$1 [P,L,QSA]

    ProxyPreserveHost On
    ProxyPass / http://localhost:8000/
    ProxyPassReverse / http://localhost:8000/
</VirtualHost>

No entanto, se eu tentar obter app.local/style.css, essa solicitação ainda será proxy (eu a vejo no log do servidor proxy), apesar do arquivo /app/static/style.cssexistir. Como posso fazer com que ele sirva esses arquivos?

Estou configurando um proxy reverso na frente de um serviço usando Podman no Fedora. O problema é quando eu defino o local para /tudo funciona bem, mas quando eu adiciono um subdiretório como /read/eu recebo erros diferentes.
Esta é a configuração do nginx:

user  nginx;
worker_processes  auto;

error_log  /var/log/nginx/error.log warn;
pid        /var/run/nginx.pid;


events {
    worker_connections  1024;
}

http {
    server {
        listen 80 default_server;
        listen [::]:80 default_server;
        error_log  /var/log/nginx/err.log notice;
        access_log  /var/log/nginx/acc.log;

location /read/ {
            proxy_pass http://127.0.0.1:8000/read/;
            proxy_set_header  X-Forwarded-Host 127.0.0.1:8080;
            proxy_set_header  X-Real-IP         $remote_addr;
            proxy_set_header  Host              $host;
            proxy_set_header  X-Forwarded-For   $proxy_add_x_forwarded_for;
            proxy_set_header  X-Forwarded-Proto $scheme;
        }
    }
}

e resposta ao tentar entrar em contato com o serviço:

curl --noproxy "127.0.0.1" -v http://127.0.0.1:8080/read/
*   Trying 127.0.0.1:8080...
* Connected to 127.0.0.1 (127.0.0.1) port 8080
> GET /read/ HTTP/1.1
> Host: 127.0.0.1:8080
> User-Agent: curl/8.6.0
> Accept: */*
>
< HTTP/1.1 303 See Other
< Server: nginx/1.27.3
< Date: Fri, 24 Jan 2025 21:57:28 GMT
< Content-Length: 0
< Connection: keep-alive
< Cache-Control: private
< Content-Security-Policy: base-uri 'none'; default-src 'self'; font-src 'self'; form-action 'self'; frame-ancestors 'none'; img-src 'self' data:; media-src 'self' data:; object-src 'none'; report-uri http://127.0.0.1:8080/logger/csp-report; script-src 'report-sample' 'nonce-89583bebc2e348ba85f0ef7463e3162c' 'unsafe-inline'; style-src 'report-sample' 'nonce-89583bebc2e348ba85f0ef7463e3162c' 'unsafe-inline'
< Location: http://127.0.0.1:8080/login?r=%2Fread%2F
< Permissions-Policy: interest-cohort=()
< Referrer-Policy: same-origin, strict-origin
< Set-Cookie: sxid=MTczNzc1NTg0OHwwajkzbFhpXzVtc2ZQVnh6bWNJdEllbWlrcm5pVl9Zb1pvZkl1TjN1U1MwZDVNN2ZOQ1F0WHRDT214dTNsY1RPRUl2RHg3UmRlSlB2SVFSWm1UdGQwcm9zSEF1bkFGdVB4dlJpU2p0M1dnPT18HfAf2yi5rBri3VK6LK5cOogYr1mqjogyBFa4Z8BM-2I=; Path=/; Expires=Thu, 01 Jan 1970 00:00:01 GMT; Max-Age=0; HttpOnly; SameSite=Lax
< Vary: Accept-Encoding
< X-Content-Type-Options: nosniff
< X-Frame-Options: DENY
< X-Robots-Tag: noindex, nofollow, noarchive
< X-Xss-Protection: 1; mode=block
<
* Connection #0 to host 127.0.0.1 left intact

Entrando em http://127.0.0.1:8080/read/ no navegador da web

Estou testando as permissões necessárias para criar uma consulta agendada no BigQuery.

A consulta agendada será criada programaticamente com uma conta de serviço ( [email protected]) que eu posso personificar. A consulta agendada será executada como outra conta de serviço ( [email protected]).

Eu concedi as seguintes funções:

• Administrador do BigQuery para [email protected]ativarproject1
• [email protected]Conta de serviço Usuário para[email protected]
• Editor de dados do BigQuery para [email protected]o conjunto de dados de destino ( test_dataset)
• Usuário do BigQuery Job para [email protected]ativarproject1
• BigQuery Resource Viewer para [email protected]uma organização (porque a consulta está usando a region-us.INFORMATION_SCHEMA.JOBS_BY_ORGANIZATIONvisualização)

Estou executando o seguinte enquanto conectado a project1(o conjunto de dados de destino está neste projeto). Também tentei fazer o mesmo com o Terraform, com a mesma mensagem de erro.

gcloud config set auth/impersonate_service_account [email protected]
bq mk \
  --transfer_config \
  --target_dataset=test_dataset \
  --display_name='test bq scheduled query' \
  --params='{"destination_table_template":"test_jobs", "write_disposition":"WRITE_APPEND", "query":"SELECT job_id FROM `region-us.INFORMATION_SCHEMA.JOBS_BY_ORGANIZATION` WHERE DATE_TRUNC(creation_time, DAY) = '2025-01-22'"}' \
  --data_source=scheduled_query \
  [email protected]

Recebo a seguinte saída:

Updated property [auth/impersonate_service_account].
WARNING: This command is using service account impersonation. All API
calls will be executed as [[email protected]].
BigQuery error in mk operation:
Requesting user [email protected] does not have
iam.serviceAccounts.actAs permission to act as service account
[email protected]

O erro é mentira, pois [email protected]tem a função Usuário de Conta de Serviço[email protected] ativada e essa função inclui iam.serviceAccounts.actAspermissão.

Tem algo que estou esquecendo aqui? O suporte do GCP está me deixando louco, não está sendo útil em nada.

(os nomes da conta de serviço, do conjunto de dados e do projeto foram alterados)

No meu Ubuntu 24.04 criei um arquivo Docker experimental que instala ejabberd:

FROM ubuntu:24.04

RUN apt update
RUN apt -y install apt-utils
RUN apt -y install locales
RUN apt -y install nano

# Set the locale
RUN locale-gen en_US.UTF-8
ENV LANG=en_US.UTF-8
ENV LANGUAGE=en_US:en
ENV LC_ALL=en_US.UTF-8

RUN apt -y install openssl

RUN apt -y install ejabberd

Construa e execute

sudo docker build -t u24jabber .
sudo docker run -it --rm --name jabber -p 5280:5280 -p 5222:5222 -p 5269:5269 u24jabber

então dentro do contêiner docker eu executo

ejabberdctl status

e obteve o seguinte erro:

Failed RPC connection to the node ejabberd@localhost: nodedown

Meu primeiro palpite foi que ejabberdnão é executado e eu tentei

ejabberdctl start

dentro do contêiner docker, mas não ajudou.

Também tentei adicionar

CMD ["ejabberdctl", "foreground"]

para o arquivo Docker, mas sem sucesso e telnet 172.17.0.2 5280não conectou.

Qual é o Dockerfile mínimo que é executado ejabberdem sua configuração padrão?

Problema: Estou executando o Wiki.js em um cluster zonal do GKE e estou encontrando um problema com minha configuração do Ingress. O controlador do Ingress retorna "Todos os serviços de backend estão em estado UNHEALTHY" e o grupo de endpoints de rede zonal mostra 0/1 endpoints operacionais. Isso acontece após editar as configurações no painel de administração do wikijs.

Ambiente:

• Cluster Zonal do GKE
• Versão do Wiki.js: 2.5

Situação atual:

• Todos os pods estão funcionando
• ainda é possível conectar-se ao wikijs através do IP do serviço
• Grupo de endpoint de rede zonal: 0/1 operacional

Configuração atual:

apiVersion: apps/v1
kind: Deployment
metadata:
  name: test-wikijs
  namespace: test
  labels:
    app: test-wikijs
spec:
  replicas: 1
  selector:
    matchLabels:
      app: test-wikijs
  template:
    metadata:
      labels:
        app: test-wikijs
    spec:
      initContainers:
      - name: init-permissions
        image: busybox
        command: ["sh", "-c", "chmod -R 777 /wiki/data && chown -R 1000:1000 /wiki/data"]
        volumeMounts:
        - name: wikijs-data
          mountPath: /wiki/data
      containers:
      - name: test-wikijs
        image: requarks/wiki:2.5
        ports:
        - containerPort: 3000
        env:
          - name: DB_TYPE
            valueFrom:
              configMapKeyRef:
                name: test-wikjs-config
                key: DB_TYPE
          - name: DB_HOST
            valueFrom:
              configMapKeyRef:
                name: test-wikjs-config
                key: DB_HOST
          - name: DB_PORT
            valueFrom:
              configMapKeyRef:
                name: test-wikjs-config
                key: DB_PORT
          - name: DB_NAME
            valueFrom:
              secretKeyRef:
                name: sql-secret
                key: POSTGRES_DB
          - name: DB_USER
            valueFrom:
              secretKeyRef:
                name: sql-secret
                key: POSTGRES_USER
          - name: DB_PASS
            valueFrom:
              secretKeyRef:
                name: sql-secret
                key: POSTGRES_PASSWORD
        volumeMounts:
        - name: wikijs-data
          mountPath: /wiki/data
      volumes:
      - name: wikijs-data
        persistentVolumeClaim:
          claimName: wikijs-data-pvc
---
# Service WikiJS
apiVersion: v1
kind: Service
metadata:
  name: test-wikijs         # Nom du service
  namespace: test
  labels:
    app: test-wikijs
spec:
  selector:
    app: test-wikijs         # Sélectionne les pods avec le label app=wikijs
  ports:
  - port: 80            # Port exposé par le service
    targetPort: 3000    # Port de l'application WikiJS
  type: LoadBalancer    # Type de service qui expose l'application à l'extérieur

Registros

PS C:\Users\nicol\Git\test> # Liste des ingress
>> kubectl get ingress -n test
>>
>> # Description détaillée de l'ingress
>> kubectl describe ingress wikijs-ingress-multi -n test
NAME                   CLASS    HOSTS   ADDRESS         PORTS   AGE
wikijs-ingress-multi   <none>   *       **.**.***.***   80      51m
Name:             wikijs-ingress-multi
Labels:           <none>
Namespace:        test
Address:          **.**.***.***
Ingress Class:    <none>
Default backend:  test-wikijs:80 (10.112.1.14:3000)
Rules:
  Host        Path  Backends
  ----        ----  --------
  *           *     test-wikijs:80 (10.112.1.14:3000)
Annotations:  ingress.gcp.kubernetes.io/pre-shared-cert:
                mcrt-5eff98e5-8917-4807-9148-79c10698f34a,mcrt-76d117a0-71b0-422f-8947-1e39df945093,mcrt-ac4dc442-6a28-4d0f-b8bf-767f1ee1511a
              ingress.kubernetes.io/backends: {"k8s1-16d8895a-test-test-wikijs-80-1cd44efb":"UNHEALTHY"}
              ingress.kubernetes.io/forwarding-rule: k8s2-fr-3t143vku-test-wikijs-ingress-multi-xlcxo7jh
              ingress.kubernetes.io/https-forwarding-rule: k8s2-fs-3t143vku-test-wikijs-ingress-multi-xlcxo7jh
              ingress.kubernetes.io/https-target-proxy: k8s2-ts-3t143vku-test-wikijs-ingress-multi-xlcxo7jh
              ingress.kubernetes.io/ssl-cert:
                mcrt-5eff98e5-8917-4807-9148-79c10698f34a,mcrt-76d117a0-71b0-422f-8947-1e39df945093,mcrt-ac4dc442-6a28-4d0f-b8bf-767f1ee1511a
              ingress.kubernetes.io/static-ip: k8s2-fr-3t143vku-test-wikijs-ingress-multi-xlcxo7jh
              ingress.kubernetes.io/target-proxy: k8s2-tp-3t143vku-test-wikijs-ingress-multi-xlcxo7jh
              ingress.kubernetes.io/url-map: k8s2-um-3t143vku-test-wikijs-ingress-multi-xlcxo7jh
              networking.gke.io/managed-certificates: shortwikitestbe,shortwikitesteu,shortwikitestcom
Events:
  Type    Reason     Age                  From                     Message
  ----    ------     ----                 ----                     -------
  Normal  Sync       50m                  loadbalancer-controller  UrlMap "k8s2-um-3t143vku-test-wikijs-ingress-multi-xlcxo7jh" created
  Normal  Sync       50m                  loadbalancer-controller  TargetProxy "k8s2-tp-3t143vku-test-wikijs-ingress-multi-xlcxo7jh" created
  Normal  Sync       49m                  loadbalancer-controller  ForwardingRule "k8s2-fr-3t143vku-test-wikijs-ingress-multi-xlcxo7jh" created
  Normal  IPChanged  49m                  loadbalancer-controller  IP is now **.**.***.***
  Normal  Sync       49m                  loadbalancer-controller  TargetProxy "k8s2-ts-3t143vku-test-wikijs-ingress-multi-xlcxo7jh" created
  Normal  Sync       49m                  loadbalancer-controller  ForwardingRule "k8s2-fs-3t143vku-test-wikijs-ingress-multi-xlcxo7jh" created
  Normal  Sync       6m7s (x11 over 51m)  loadbalancer-controller  Scheduled for sync

# État du service
>> kubectl get service test-wikijs -n test
>>
>> # Endpoints
>> kubectl get endpoints test-wikijs -n test
>>
>> # Description détaillée du service
>> kubectl describe service test-wikijs -n test
NAME               TYPE           CLUSTER-IP       EXTERNAL-IP    PORT(S)        AGE
test-wikijs   LoadBalancer   34.118.239.183   **.**.**.***   80:32537/TCP   28h
NAME               ENDPOINTS          AGE
test-wikijs   10.112.1.14:3000   28h
Name:                     test-wikijs
Namespace:                test
Labels:                   app=test-wikijs
Annotations:              cloud.google.com/neg: {"ingress":true}
                          cloud.google.com/neg-status:
                            {"network_endpoint_groups":{"80":"k8s1-16d8895a-test-test-wikijs-80-1cd44efb"},"zones":["europe-west1-b"]}
Selector:                 app=test-wikijs
Type:                     LoadBalancer
IP Family Policy:         SingleStack
IP Families:              IPv4
IP:                       34.118.239.183
IPs:                      34.118.239.183
LoadBalancer Ingress:     **.**.**.***
Port:                     <unset>  80/TCP
TargetPort:               3000/TCP
NodePort:                 <unset>  32537/TCP
Endpoints:                10.112.1.14:3000
Session Affinity:         None
External Traffic Policy:  Cluster
Events:
  Type    Reason                Age                 From                Message
  ----    ------                ----                ----                -------
  Normal  EnsuringLoadBalancer  57m (x3 over 112m)  service-controller  Ensuring load balancer
  Normal  EnsuredLoadBalancer   57m (x3 over 112m)  service-controller  Ensured load balancer
  Normal  Create                57m                 neg-controller      Created NEG "k8s1-16d8895a-test-test-wikijs-80-1cd44efb" for test/test-wikijs-k8s1-16d8895a-test-test-wikijs-80-1cd44efb-/80-3000-GCE_VM_IP_PORT-L7 in "europe-west1-b".
  Normal  Attach                57m (x2 over 83m)   neg-controller      Attach 1 network endpoint(s) (NEG "k8s1-16d8895a-test-test-wikijs-80-1cd44efb" in zone "europe-west1-b")

Questões:

1. O que pode estar causando o "estado NÃO ÍNTEGRA" no Ingress?
2. Por que os pontos de extremidade da rede estão mostrando 0/1 operacional?
3. Há alguma configuração específica do GKE que eu deva verificar?

Tenho um servidor com duas portas Ethernet, uma com endereço IP 192.168.x.y, a outra com um endereço IP diferente. O servidor está executando Debian Bookworm e nginx 1.22.1. Esta é a configuração do meu site nginx:

server {
        server_name <hostname>;

        listen 443 ssl;
        listen [::]:443 ssl;

        ssl_certificate <path to cert>
        ssl_certificate_key <path to key>

        location / {
                proxy_bind 192.168.x.y;
                proxy_pass http://192.168.x.y:<port>/;
                proxy_set_header X-Forwarded-For $remote_addr;
        }
}

proxy_bindestá definido como 192.168.x.y, no entanto, os logs do serviço em execução http://192.168.x.y:<port>/dizem que ele está recebendo as conexões do endereço IP da outra porta Ethernet. Isso é um problema porque esse serviço está configurado para confiar apenas X-Forwarded-Forem 192.168.x.y. Por que o nginx está ignorando proxy_bind?

Editar: Agora reproduzi isso onde o alvo do proxy é apenas um contêiner nginx não modificado. Isso registra claramente que o serviço nginx principal está usando o endereço IP errado:

<wrong ip> - - [23/Jan/2025:20:42:22 +0000] "GET /index.html HTTP/1.0" 200 615 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:134.0) Gecko/20100101 Firefox/134.0" "<my laptop's ip>"