1 Temat przez oneiro

  • oneiro
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2011-04-26
  • Posty: 483

Temat: fwknopd

Witam

Dla jednej reguły fwknopd działa poprawnie natomiast jak chcę dodać drogą regułę (stanzas) to wywala mi poniższy błąd:

Fri Jan 20 22:09:05 2023 daemon.info fwknopd[774]: Starting fwknopd main event loop.
Fri Jan 20 22:09:09 2023 daemon.info fwknopd[774]: (stanza #2) SPA Packet from IP: 123.123.123.123 received with access source match
Fri Jan 20 22:09:09 2023 daemon.warn fwknopd[774]: [188.146.66.3] (stanza #2) Error creating fko context: Args contain invalid data: FKO_ERROR_INVALID_DATA_HMAC_COMPAREFAIL
Fri Jan 20 22:09:16 2023 daemon.info fwknopd[774]: (stanza #2) SPA Packet from IP: 123.123.123.123 received with access source match
Fri Jan 20 22:09:16 2023 daemon.info fwknopd[774]: Added access rule to FWKNOP_INPUT for 123.123.123.123 -> 0.0.0.0/0 tcp/1234, expires at 1674249076

Ogólnie się domyślam, że chodzi o strukturę pliku /etc/fwknop/access.conf  ponieważ oba wywołania wg logu mają przypisaną "stanza #2" i brak reguły nr #1, jakby była ignorowana. 
Jeśli skomentuję dowolną segment/stanze to działa poprawnie jedna lub druga.  Ale nigdy dwie. 

Wobec tego jak powinna wyglądać struktura dla dwóch sekcji/stanzy pliku access.conf?

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,839

Odp: fwknopd

Wg konfiga jedna po drugiej, tak po prostu.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez oneiro

  • oneiro
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2011-04-26
  • Posty: 483

Odp: fwknopd

Mój plik access.conf wygląda tak jak go opisujesz, a nie działa. Aha pierwszy SOURCE daję 0.0.0.0 (próbowałem też 255.255.255.255) bo dwa ANY nie mogą być.

SOURCE                     0.0.0.0
REQUIRE_SOURCE_ADDRESS     Y
KEY_BASE64                  FX.....E=
HMAC_KEY_BASE64             6Z....w==


SOURCE                     ANY
REQUIRE_SOURCE_ADDRESS     Y
KEY_BASE64                 NH....Q=
HMAC_KEY_BASE64            S8...0Q==

4 Odpowiedź przez Graffy

  • Graffy
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-04-23
  • Posty: 310

Odp: fwknopd

@oneiro a co chcesz osiągnąć tą drugą regułą?
Masz kliku userów i każdy ma swój klucz?

APU2 @ OpenWrt 18.06-SNAPSHOT, r7852-7ac6044632

5 Odpowiedź przez oneiro (edytowany przez oneiro 2023-01-24 21:55:48)

  • oneiro
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2011-04-26
  • Posty: 483

Odp: fwknopd

Obie dla tego samego usera.
Pierwsza otwiera ssh, drugi przekierowuje pory/DNAT i go otwiera.

6 Odpowiedź przez Graffy (edytowany przez Graffy 2023-01-25 09:25:05)

  • Graffy
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-04-23
  • Posty: 310

Odp: fwknopd

Możesz to zrobić jedną regułą, zobacz mój config:
/etc/config/fwknopd

config global
        option uci_enabled '1'

config access
        option  SOURCE                  'ANY'
        option  OPEN_PORTS              'TCP/55555,TCP/66666'
        option  RESTRICT_PORTS          'TCP/21,TCP/22,TCP/23'
        option  REQUIRE_SOURCE_ADDRESS  'Y'
        option  KEY_BASE64              'XXX'
        option  HMAC_KEY_BASE64         'XXX'
        option  FW_ACCESS_TIMEOUT       '30'

config config
        option  PCAP_INTF                   'eth0'
        option  PCAP_FILTER                 'udp port 12345'
        option  ENABLE_NAT_DNS              'Y'
        option  ENABLE_DESTINATION_RULE     'Y'
        option  ENABLE_IPT_FORWARDING       'Y'

Teraz czy port ma być przekierowany czy tylko otwarty wybierasz klientem.
Poniżej zrzuty z konfiguracji Fwknop2 na androida z otwarciem portu i przekierowaniem.

https://i.ibb.co/MM2JGVW/fw1-resized.jpg
https://i.ibb.co/Wx1BZ7d/fw2-resized.jpg

APU2 @ OpenWrt 18.06-SNAPSHOT, r7852-7ac6044632

7 Odpowiedź przez oneiro

  • oneiro
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2011-04-26
  • Posty: 483

Odp: fwknopd

Dzięki, ale gdyby to było tylko otwieranie portu to pół biedy, ale podczas NAT ACCESS muszę podać jeszcze IP lokalnej maszyny i jeśli mam to robić za każdym razem to by mnie szlag trafił

8 Odpowiedź przez Graffy

  • Graffy
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-04-23
  • Posty: 310

Odp: fwknopd

Nie wiem jakiego klienta do pukania używasz, w Fwknop2 tworzysz profile.
Nie wpisujesz tego ręcznie za każdym razem smile

APU2 @ OpenWrt 18.06-SNAPSHOT, r7852-7ac6044632

9 Odpowiedź przez oneiro

  • oneiro
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2011-04-26
  • Posty: 483

Odp: fwknopd

Tak dokładnie tego:)   

I mam dwa profile. Mówisz, że wówczas zadziała? Dam znać później jak skonfiguruję.

10 Odpowiedź przez Graffy

  • Graffy
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-04-23
  • Posty: 310

Odp: fwknopd

Wiem, że działa bo używam.
Dodatkowo mam podpięte profile pod Juicessh, jednym kliknięciem w Fwknop2 zestawiasz połączenie.

APU2 @ OpenWrt 18.06-SNAPSHOT, r7852-7ac6044632

11 Odpowiedź przez oneiro (edytowany przez oneiro 2023-01-26 13:22:58)

  • oneiro
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2011-04-26
  • Posty: 483

Odp: fwknopd

O kurczę zadziałało, dzięki. Wydawało mi się, że jedna para kluczy to jeden port, a to działa trochę inaczej. Zastanawia mnie tylko, dlaczego po zamknięciu portu po domyślnych 120s apka które wykorzystuje otwarte połączenie utrzymuje połączenie (tj tam mi się wydaje, bo nie rozłącza się i mogę na niej działać)? Da się to jakoś wymusić?

12 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,839

Odp: fwknopd

Graffy napisał/a:

Wiem, że działa bo używam.
Dodatkowo mam podpięte profile pod Juicessh, jednym kliknięciem w Fwknop2 zestawiasz połączenie.

Czyli - masz super hiper zabezpieczony serwer a jak ktoś ci zwinie laptopa to jednym kliknięciem się dostanie do tego serwera?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

13 Odpowiedź przez Graffy (edytowany przez Graffy 2023-01-26 14:33:52)

  • Graffy
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-04-23
  • Posty: 310

Odp: fwknopd

Cezary napisał/a:
Graffy napisał/a:

Wiem, że działa bo używam.
Dodatkowo mam podpięte profile pod Juicessh, jednym kliknięciem w Fwknop2 zestawiasz połączenie.

Czyli - masz super hiper zabezpieczony serwer a jak ktoś ci zwinie laptopa to jednym kliknięciem się dostanie do tego serwera?

@Cezary, apka jest na telefonie z Androidem.
Ja wiem, że to takie wygodnictwo ale aplikacje banku też mam na tym telefonie...

APU2 @ OpenWrt 18.06-SNAPSHOT, r7852-7ac6044632

14 Odpowiedź przez Graffy (edytowany przez Graffy 2023-01-26 14:31:32)

  • Graffy
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-04-23
  • Posty: 310

Odp: fwknopd

oneiro napisał/a:

O kurczę zadziałało, dzięki. Wydawało mi się, że jedna para kluczy to jeden port, a to działa trochę inaczej. Zastanawia mnie tylko, dlaczego po zamknięciu portu po domyślnych 120s apka które wykorzystuje otwarte połączenie utrzymuje połączenie (tj tam mi się wydaje, bo nie rozłącza się i mogę na niej działać)? Da się to jakoś wymusić?

A to już taki feature firewalla, port zostaje zamknięty ale nawiązane połączenia są utrzymywane do rozłączenia przez klienta.

APU2 @ OpenWrt 18.06-SNAPSHOT, r7852-7ac6044632