Início / user-457324

Alexis's questions

Martin Hope
Alexis
Asked: 2021-11-15 07:06:39 +0800 CST
  • 1

História

Eu tenho uma interface virtual VPN wireguard wg0(pode ser qualquer outra coisa) e uma interface física eth0. Desejo rotear pacotes da VPN para minha LAN ou de uma interface para outra interface.

Quase todos os blogs, artigos, tutoriais aconselham usando MASQUERADEou Source NATapenas:iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Além disso, IP masqueradeé simplesmente um SNAT (Source NAT), não altera a porta de origem.

Pergunta

  • Estou errado em pensar que deveria usar um NAPT/PAT em vez disso?
  • Para completar, como posso adicionar uma regra NAPT/PAT com iptables e/ou nftables?

Pensamentos

Pode haver conflitos (porta de origem) entre os pacotes gerados pelo host e encaminhados de wg0(ou qualquer outra interface virtual/física). IMHO NAPT deve ser usado para evitar esses conflitos.

RFC 2663, Tradução de porta de endereço de rede (NAPT)

nat
Martin Hope
Alexis
Asked: 2019-05-11 01:34:12 +0800 CST
  • 2

Instalei um servidor Radius com uma configuração somente EAP-TLS. Eu tenho um client.p12arquivo que deve conter o certificado de raiz-CA e o cliente.

  1. adicionei a p12chave

  2. Configurei o SSID, mas nas mensagens de depuração do freeradius parece que o freeradius não pode verificar minha chave/certificado.

error 20 at 0 depth lookup: unable to get local issuer certificate
(25) eap_tls: ERROR: Program returned code (2) and output 'error /tmp/radiusd/radiusd.client.XXK1l6r6: verification failed'
tls: Certificate CN (testuser@****.com) fails external verification!
(25) eap_tls: >>> send TLS 1.2  [length 0002] 
(25) eap_tls: ERROR: TLS Alert write:fatal:internal error
tls: TLS_accept: Error in error
(25) eap_tls: ERROR: Failed in __FUNCTION__ (SSL_read): error:1417C086:SSL routines:tls_process_client_certificate:certificate verify failed
(25) eap_tls: ERROR: System call (I/O) error (-1)
(25) eap_tls: ERROR: TLS receive handshake failed during operation
(25) eap_tls: ERROR: [eaptls process] = fail
(25) eap: ERROR: Failed continuing EAP TLS (13) session.  EAP sub-module failed
(25) eap: Sending EAP Failure (code 4) ID 7 length 4
(25) eap: Failed in EAP select
(25)     [eap] = invalid
(25)   } # authenticate = invalid
(25) Failed to authenticate the user
(25) Using Post-Auth-Type Reject
(25) # Executing group from file /etc/freeradius/3.0/sites-enabled/***network
(25)   Post-Auth-Type REJECT {
(25) attr_filter.access_reject: EXPAND %{User-Name}
(25) attr_filter.access_reject:    --> testuser@@****..com
(25) attr_filter.access_reject: Matched entry DEFAULT at line 11
(25)     [attr_filter.access_reject] = updated
(25)   } # Post-Auth-Type REJECT = updated
(25) Delaying response for 1.000000 seconds
Waking up in 0.6 seconds.
Waking up in 0.3 seconds.
(25) Sending delayed response
(25) Sent Access-Reject Id 25 from 172.17.0.2:1812 to 172.17.0.1:33331 length 44
(25)   EAP-Message = 0x04070004
(25)   Message-Authenticator = 0x00000000000000000000000000000000
Waking up in 3.8 seconds.
(20) Cleaning up request packet ID 20 with timestamp +1661
(21) Cleaning up request packet ID 21 with timestamp +1661
(22) Cleaning up request packet ID 22 with timestamp +1661
(23) Cleaning up request packet ID 23 with timestamp +1661
(24) Cleaning up request packet ID 24 with timestamp +1661
(25) Cleaning up request packet ID 25 with timestamp +1661
Ready to process requests

Descrição : Como testar meu servidor freeradius com minha chave p12 na CLI sem ter que configurar tudo do windows?

openssl