我有一个站点到站点 VPN,其中远程端有一个子网,本地有两个子网:
conn site-to-site
leftsubnet = 10.10.0.0/16,10.11.0.0/16
rightsubnet = 10.50.0.0/16
一切正常,但我遇到了一个问题,将“错误”的本地 IP 插入 strongSwan 的路由表中:
$ ip route show table 220
10.50.0.0/16 via <REDACTED> dev eth-ext src 10.11.0.1
strongSwan 选择10.11.0.0/16子网的本地 IP 作为 IPsec 隧道的源 IP(即10.11.0.1),但我想使用第二个(10.10.0.1)。
我尝试设置leftsourceip为10.10.0.1,但这似乎没有效果。我可以使用另一个配置项来告诉 strongSwan 哪个本地 IP 用作其路由表的源 IP?
出于某种原因,ip -s link不显示与 相同的数字/proc/net/dev,特别是溢出计数。
对于给定的接口,ip 显示没有溢出数据包:
$ ip -s link show eth-ext1
7: eth-ext1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP mode DEFAULT group default qlen 1000
link/ether 00:08:a2:0d:00:74 brd ff:ff:ff:ff:ff:ff
RX: bytes packets errors dropped overrun mcast
1038103044434 1099087192 0 0 0 401298
TX: bytes packets errors dropped carrier collsns
543051882227 844808055 0 0 0 0
虽然proc我们看到非零溢出(这是我假设fifo所指的):
$ cat /proc/net/dev
Inter-| Receive | Transmit
face |bytes packets errs drop fifo frame compressed multicast|bytes packets errs drop fifo colls carrier compressed
[...]
eth-ext1: 1038106099296 1099090833 0 0 467554 0 0 401301 543052535442 844810749 0 0 0 0 0 0
我倾向于相信接口上实际上有溢出的数据包,所以看起来输出ip link不正确。有什么我想念的吗?
我们有一台运行 Ubuntu Precise Pangolin 的机器,它启动到initrd'sbusybox。据我了解,如果无法加载正确的内核,通常会发生这种情况。但在我们的例子中,一个简单exit的initrd提示符启动系统就好了,没有任何错误或警告。
这可能是什么原因造成的?相关grub.cfg条目如下所示:
menuentry 'Ubuntu, with Linux 3.2.0-80-generic' --class ubuntu --class gnu-linux --class gnu --class os {
recordfail
gfxmode $linux_gfx_mode
insmod gzio
insmod part_msdos
insmod ext2
set root='(hd5,msdos1)'
search --no-floppy --fs-uuid --set=root 0977ef08-2737-4d1d-9ec6-31f6719c3ad4
linux /boot/vmlinuz-3.2.0-80-generic root=UUID=0977ef08-2737-4d1d-9ec6-31f6719c3ad4 ro splash quiet $vt_handoff
initrd /boot/initrd.img-3.2.0-80-generic
}
今天我注意到mod_alias'sRedirect和RedirectMatch指令在处理重定向 URL 时表现出不同的行为。
像这样的声明:
Redirect 301 "/foo" "/bar%20baz"
将重定向到文字 URL bar%20baz,而
RedirectMatch "/foo" "bar%20baz"
将重定向到bar%2520baz,因为重定向 URL 的百分号被转义。
我的重定向 URL 已经转义。有什么办法可以告诉我RedirectMatch不要再逃避它们了吗?
我今天在我们的路由器上注意到以下内容:
user@router:~$ cat /proc/sys/net/ipv4/netfilter/ip_conntrack_count
28141
然而:
user@router:~$ sudo conntrack -L > /dev/null
conntrack v1.2.1 (conntrack-tools): 4652 flow entries have been shown.
user@router:~$ sudo conntrack -L expect > /dev/null
conntrack v1.2.1 (conntrack-tools): 1 expectations have been shown.
我的理解是ip_conntrack_count显示了 conntrack 表的条目数。我错过了什么?
我们的bind安装(版本 9.8.4)遇到了一个特殊问题。
在这种情况下,bind配置为小型网络的缓存名称服务器。对于大多数查询,一切正常。
但是,我们注意到查询一些配置了非常低的 TTL 的主机时,即使主机名存在,我们有时也会收到 NXDOMAIN 响应。
例如,以www.cdn77.comdig为例——这是在名称服务器本身上运行时的输出:
$ dig www.cdn77.com
; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> www.cdn77.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 34440
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 6, ADDITIONAL: 12
;; QUESTION SECTION:
;www.cdn77.com. IN A
;; ANSWER SECTION:
www.cdn77.com. 196 IN CNAME 1669655317.rsc.cdn77.org.
1669655317.rsc.cdn77.org. 0 IN A 185.59.220.12
;; AUTHORITY SECTION:
org. 170517 IN NS a2.org.afilias-nst.info.
org. 170517 IN NS c0.org.afilias-nst.info.
org. 170517 IN NS b0.org.afilias-nst.org.
org. 170517 IN NS d0.org.afilias-nst.org.
org. 170517 IN NS a0.org.afilias-nst.info.
org. 170517 IN NS b2.org.afilias-nst.org.
;; ADDITIONAL SECTION:
a0.org.afilias-nst.info. 170517 IN A 199.19.56.1
a0.org.afilias-nst.info. 170517 IN AAAA 2001:500:e::1
a2.org.afilias-nst.info. 170517 IN A 199.249.112.1
a2.org.afilias-nst.info. 170517 IN AAAA 2001:500:40::1
b0.org.afilias-nst.org. 170517 IN A 199.19.54.1
b0.org.afilias-nst.org. 170517 IN AAAA 2001:500:c::1
b2.org.afilias-nst.org. 170517 IN A 199.249.120.1
b2.org.afilias-nst.org. 170517 IN AAAA 2001:500:48::1
c0.org.afilias-nst.info. 170517 IN A 199.19.53.1
c0.org.afilias-nst.info. 170517 IN AAAA 2001:500:b::1
d0.org.afilias-nst.org. 170517 IN A 199.19.57.1
d0.org.afilias-nst.org. 170517 IN AAAA 2001:500:f::1
;; Query time: 42 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Wed Dec 2 14:27:03 2015
;; MSG SIZE rcvd: 487
以下是返回 NXDOMAIN 响应的示例:
$ dig www.cdn77.com
; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> www.cdn77.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 28771
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;www.cdn77.com. IN A
;; ANSWER SECTION:
www.cdn77.com. 327 IN CNAME 1669655317.rsc.cdn77.org.
;; AUTHORITY SECTION:
cdn77.org. 59 IN SOA ns1.cdn77.org. admin.cdn77.com. 1449062655 10800 180 604800 60
;; Query time: 34 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Wed Dec 2 14:24:52 2015
;; MSG SIZE rcvd: 115
我们使用 Google 的公共名称服务器作为转发器,它们似乎从未响应 NXDOMAIN:
$ dig www.cdn77.com @8.8.8.8
; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> www.cdn77.com @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 35091
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;www.cdn77.com. IN A
;; ANSWER SECTION:
www.cdn77.com. 851 IN CNAME 1669655317.rsc.cdn77.org.
1669655317.rsc.cdn77.org. 0 IN A 185.59.220.11
;; Query time: 40 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Wed Dec 2 14:29:16 2015
;; MSG SIZE rcvd: 85
顺便说一句,权威的答案是这样的:
$ dig 1669655317.rsc.cdn77.org @ns1.cdn77.org
; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> 1669655317.rsc.cdn77.org @ns1.cdn77.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 11529
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available
;; QUESTION SECTION:
;1669655317.rsc.cdn77.org. IN A
;; ANSWER SECTION:
1669655317.rsc.cdn77.org. 1 IN A 185.59.220.12
;; Query time: 20 msec
;; SERVER: 37.235.105.100#53(37.235.105.100)
;; WHEN: Wed Dec 2 14:32:57 2015
;; MSG SIZE rcvd: 58
有趣的是,即使记录的权威 TTL 为 1,Google 的公共名称服务器总是将其减为零(有关此行为的有趣信息,请参阅本文)。不过,我认为这与问题无关,因为我们的成功响应bind也显示 TTL 为零。
我提高bind了 的日志记录级别,但发现很难识别任何可能与问题有关的条目。即使querylog激活,所有可见的只是查询本身和resolver: debug 1: createfetch: 1669655317.rsc.cdn77.org A行。
任何有关如何更好地诊断(甚至解决)此问题的指针将不胜感激。
我在strongswan(v5.2.0)实例(站点 A)和RouterOS路由器(站点 B)之间建立并运行了一个站点到站点 IPsec 隧道。一切正常,为站点 A ( 10.10.0.0/16) 和 B ( 10.50.0.0/16) 设置的两个私有子网中的主机可以正常通信。
我不明白的是ip xfrm policy站点 A 的路由器的以下输出(公共 IP 被混淆)。这些策略是由创建的strongswan,我没有手动安装或修改它们:
ip xfrm policy
src 10.50.0.0/16 dst 10.10.0.0/16
dir fwd priority 2947 ptype main
tmpl src <PUBLIC_IP_B> dst <PUBLIC_IP_A>
proto esp reqid 1 mode tunnel
src 10.50.0.0/16 dst 10.10.0.0/16
dir in priority 2947 ptype main
tmpl src <PUBLIC_IP_B> dst <PUBLIC_IP_A>
proto esp reqid 1 mode tunnel
src 10.10.0.0/16 dst 10.50.0.0/16
dir out priority 2947 ptype main
tmpl src <PUBLIC_IP_A> dst <PUBLIC_IP_B>
proto esp reqid 1 mode tunnel
每个输入和输出都有一个策略,但只有一个用于转发(从站点 B 到站点 A)。但我仍然可以成功 ping,例如,10.50.4.11从10.10.0.89:
ping -R 10.50.4.11
PING 10.50.4.11 (10.50.4.11): 56 data bytes
64 bytes from 10.50.4.11: icmp_seq=0 ttl=62 time=10.872 ms
RR: 10.10.0.89
10.50.0.1
10.50.4.11
10.50.4.11
10.50.4.11
10.10.0.2
10.10.0.89
关于此路由跟踪的有趣部分是站点 A 的路由器 ( 10.10.0.2) 仅显示在从 ping 目标返回的路由上,而站点 B 的路由器 ( 10.50.0.1) 仅针对传出路由列出。
这似乎证实了站点 A 的路由器实际上不需要转发策略10.10.0.0/16来10.50.0.0/16通过 IPsec 隧道转发,但我不明白为什么。
感谢您的任何解释!
具体来说,我希望用户能够"Action": ["iam:*AccessKey*"]在 AWS 控制台中创建/删除自己的访问密钥 ( ),但无需在 IAM 仪表板中为他们提供完整的用户列表视图。
此处AWS 文档中列出的说明将"Action": "iam:ListUsers"所有用户添加到策略中,这是我想避免的。
我尝试使用
{
"Sid":"AllowUserToListHimselfInConsole",
"Action": "iam:ListUsers",
"Effect": "Allow",
"Resource": "arn:aws:iam::593145159899:user/${aws:username}"
}
允许用户只列出他自己的帐户,但它不起作用。
有没有办法做我的目标,或者完整的用户列表是能够在控制台中更改您自己的凭据的先决条件?
我正在尝试在运行的 Linux 路由器openswan(shorewall主机A,服务子网 10.10.0.0/16)和运行的 MikroTek RouterBoard RouterOS 6.3(主机B,服务 192.168.88.0/24)之间创建站点到站点 VPN。
IPSEC 隧道本身似乎已启动,主机A说:
# service ipsec status
IPsec running - pluto pid: 4292
pluto pid 4292
1 tunnels up
some eroutes exist
和:
#ipsec auto --status
<SNIP>
000 #2: "office-connect":500 STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 27422s; newest IPSEC; eroute owner; isakmp#1; idle; import:admin initiate
000 #2: "office-connect" esp.65bcd1d@<REDACTED> esp.c8d18ebd@<REDACTED> tun.0@<REDACTED> tun.0@<REDACTED> ref=0 refhim=4294901761
000 #1: "office-connect":500 STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 2348s; newest ISAKMP; lastdpd=72s(seq in:0 out:0); idle; import:admin initiate
在主机B上:
/ip ipsec remote-peers print
0 local-address=<REDACTED> remote-address=<REDACTED> state=established side=responder established=11m26s
和:
/ip ipsec policy print
Flags: T - template, X - disabled, D - dynamic, I - inactive
0 src-address=192.168.88.0/24 src-port=any dst-address=10.10.0.0/16 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes
sa-src-address=<REDACTED> sa-dst-address=<REDACTED> proposal=Office-Connect priority=0
我按照http://www.shorewall.net/IPSEC-2.6.html上的说明进行配置shorewall,并按照http://wiki.mikrotik.com/wiki/Manual:IP/IPsec设置 NAT 绕过规则。
但是,我实际上无法在A上通过隧道获取任何数据包:
# ping -c4 192.168.88.1
PING 192.168.88.1 (192.168.88.1) 56(84) bytes of data.
--- 192.168.88.1 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3016ms
在B上:
/ping count=4 10.10.0.1
HOST SIZE TTL TIME STATUS
10.10.0.1 timeout
10.10.0.1 timeout
10.10.0.1 timeout
10.10.0.1 timeout
sent=4 received=0 packet-loss=100%
我有点茫然如何进行,我在网络方面的经验不是太好。所以我会对任何提示有所帮助,甚至只是如何调试这个问题。如果需要,我很乐意提供额外的配置示例或日志输出。非常感谢!
重新启动 XCP 1.6.10 主机后,XenCenter 6.1 无法再连接到它。失败消息总是"Server failure: Unauthorized"。使用ssh完全相同的根凭据可以正常工作。
我似乎在盒子上找不到任何可以帮助我诊断此问题的日志,是否有openwsmand记录连接尝试的地方?
我使用 nginx 作为一个简单的 SSL 代理,并配置了 7 个虚拟主机(加上一个默认主机)。有趣的是,每当我重新启动服务器时,我都必须为我的私钥输入 PEM 密码短语20 (!) 次,这很快就会变旧。提示的数量随着定义的主机数量的增加而增加。
我过去曾使用 Apache 设置启用 SSL 的主机,无论有多少虚拟主机使用该密钥,我只需要一次为每个密钥输入密码短语。
有没有可能让 nginx 在这方面表现得更像 apache,并且只询问一次相同的密码短语?