Перейти к содержимому
Калькуляторы

metalsoft

Пользователи
  • Публикации

    41
  • Зарегистрирован

  • Посещение

О metalsoft

  • Звание
    Абитуриент

Посетители профиля

Блок посетителей профиля отключен и не будет отображаться другим пользователям

  1. openssl и GOST R 34.11-94

    Уррааа!!! Заработало!!!! (с) :) Фишка в том, что в openssl-1.1.* выпилена поддержка gost. Пришлось отдельно ставить отсюда: https://github.com/gost-engine/engine За подсказку про -nomacver отдельное спасибо!
  2. Здравствуйте, коллеги. Наверняка кому-то удалось реализовать поддержку GOST R 34.11-94 в openssl? Экспортировал сертификат в помощью купленной только что p12fromgostcsp, результат: root@zapret:/opt/gost-ssl-1.0.1c/bin# ./openssl asn1parse -in /root/p12.pfx -inform DER 0:d=0 hl=4 l=3231 cons: SEQUENCE 4:d=1 hl=2 l= 1 prim: INTEGER :03 7:d=1 hl=4 l=3153 cons: SEQUENCE 11:d=2 hl=2 l= 9 prim: OBJECT :pkcs7-data 22:d=2 hl=4 l=3138 cons: cont [ 0 ] 26:d=3 hl=4 l=3134 prim: OCTET STRING [HEX DUMP]: ... 3164:d=1 hl=2 l= 69 cons: SEQUENCE 3166:d=2 hl=2 l= 53 cons: SEQUENCE 3168:d=3 hl=2 l= 17 cons: SEQUENCE 3170:d=4 hl=2 l= 6 prim: OBJECT :GOST R 34.11-94 3178:d=4 hl=2 l= 7 prim: OBJECT :id-GostR3411-94-CryptoProParamSet 3187:d=3 hl=2 l= 32 prim: OCTET STRING [HEX DUMP]:E61B68... 3221:d=2 hl=2 l= 8 prim: OCTET STRING [HEX DUMP]:4AB66C... 3231:d=2 hl=2 l= 2 prim: INTEGER :0800 root@zapret:/opt/gost-ssl-1.0.1c/bin# ./openssl ciphers | tr ":" "\n" | grep GOST GOST2001-GOST89-GOST89 GOST94-GOST89-GOST89 root@zapret:/opt/gost-ssl-1.0.1c/bin# ./openssl pkcs12 -in /root/p12.pfx Enter Import Password: MAC verified OK Bag Attributes localKeyID: 38 D3 06 CA B9 AE 28 8B 8B... subject=/1.2.643.100.3=07805797... -----BEGIN CERTIFICATE----- ... -----END CERTIFICATE----- Bag Attributes localKeyID: 38 D3 06 CA B9 AE 28 8B 8B... friendlyName: csp_exported Error outputting keys and certificates 140382018086560:error:0609E09C:digital envelope routines:PKEY_SET_TYPE:unsupported algorithm:p_lib.c:239: 140382018086560:error:0606F076:digital envelope routines:EVP_PKCS82PKEY:unsupported private key algorithm:evp_pkey.c:84:TYPE=1.2.643.7.1.1.1.1 root@zapret:/opt/gost-ssl-1.0.1c/bin# Пробовал разные сборки openssl, собирал сам с openssl.org, но результатодин и тот же: unsupported private key algorithm:evp_pkey.c:84:TYPE=1.2.643.7.1.1.1.1
  3. Присоединюсь к вопросу: мучает такая же проблема. Такие же сообщения валятся не переставая: 411026: Jul 31 11:09:12.957 MSK: %MCAST-SP-6-ETRACK_STATS_LIMIT_EXCEEDED: Number of entries in IGMP snooping explicit-tracking statistics has exceeded the permanent threshold (102400) 411027: Jul 31 11:09:19.886 MSK: %MCAST-SP-6-ETRACK_STATS_LIMIT_EXCEEDED: Number of entries in IGMP snooping explicit-tracking statistics has exceeded the permanent threshold (102400) Однако, на самом девайсе: C6509#sh ip igmp snooping explicit-tracking | i Current Current number of entries: 1470 Configured DB size limit: 128000 C6509#sh ipv6 mld snooping explicit-tracking | i Current Current number of entries: 0 Configured DB size limit: 32000 C6509# Не могу понять...
  4. Здравствуйте. Сделаем. Спасибо!
  5. Доброго времени! Сегодня один из коммутаторов SNR-2980 начал периодически перезагружаться после нескольких минут работы. В логе - следующее: 674 %Jan 01 04:00:35 2006 <critical> DEFAULT[zIMI]:System warm restart... 600 %Jan 01 00:00:00 2006 <critical> DEFAULT[tUsrRoot]:switch is booting, software version:SNR-S2980G-24F_7.0.3.1(R0058.0002)... 599 %Jan 24 10:41:04 2018 <critical> DEFAULT[tWatchDog]:System will be rebooted, reason: reload by task exception 598 %Jan 24 10:40:29 2018 <critical> MODULE_WATCHDOG[tWatchDog]:WD log begin task: tIgmpsnoopingv3 status:SUSPEND+I Stack trace: 0x9f3038 ./nos(igmpsnp_proto_receive_v3_report+0xdc) [0x9f3038] 0x9eef04 ./nos(igmpsnp_pkt_handle_pkt+0x1f4) [0x9eef04] 0x9ef584 ./nos(igmpsnp_pkt_handle_skb+0x2e4) [0x9ef584] 0x9ee530 ./nos(igmpsnp_msg_handler+0x410) [0x9ee530] 0x9ee770 ./nos(igmp_snooping_main+0x188) [0x9ee770] 0x49e680 ./nos(task_wrapper+0x68) [0x49e680] 0x4002c634 /lib/libpthread.so.0 [0x4002c634] r0=0,r1=f0,r2=fffa,r3=3f320, r4=1,r5=512397fc,r6=fbff,r7=df, r8=4512,r9=5010be74,r10=225b388,fp=1c0afec, ip=1c0ae88,sp=1c0af68,lr=9ec82c,pc=9f3038, cpsr=20000010,ORIG_r0=512397fe, WD log end 597 %Jan 24 10:40:29 2018 <critical> MODULE_WATCHDOG[tWatchDog]:Data Access Exception: task 0x1c0c858, name "tIgmpsnoopingv3" signal Num 11, Instruction address 0x9f3038, Stack Pointer 0x1c0af68 Data Access Register 0x512397fe Все настройки снупинга - только ip igmp snooping ip igmp snooping vlan 1 ip igmp snooping vlan 4 В какую сторону копать?
  6. Здравствуйте. Запустив на своем рабочем месте tcpdump -i eth0 broadcast, обнаружил, что с нескольких клиентских компов до меня долетают пакеты ethertype IPv4 (0x0800), length 92: x.y.z.103.137 > x.y.z.255.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST Зашел на клиентский коммутатор, проверил. Там: create access_profile ip udp dst_port_mask 0xFFFF profile_id 3 ... config access_profile profile_id 3 add access_id 66 ip udp dst_port 137 port 18 deny ... Такие правила созданы для udp и tcp портов 135-138,445 на всех клиентских портах 1-24. Собрал простейший стенд: подключил к тестовому свитчу в один порт винду, в соседний - себя с тспдампом. Без данного правила access_id пакеты ловлю, как только включаю правило - пакеты пропадают. Т.е. на стенде правило работает. Прошивки на обоих коммутаторах одинаковые: 6.20.B21 Нагрузка на рабочем свитче в пределах 5-10%. Отключение access_id на интенсивность пропускаемых пакетов не влияет: в обоих случаях несколько пакетов в несколько секунд. Так же изредка проскакивают пакеты на 138й порт. 135-136 и 445 не замечались. На этом мысль останавливается (с) Почему рабочий свитч может пропускать пакеты?
  7. IMPB + PPPoE на DES-3526

    Да это понятно, просто хотелось малой кровью обойтись. Но, видимо, не получится.
  8. Здравствуйте. Странно ведут себя 3526 со схемой подключения клиента DHCP (серые адреса из локалки) + PPPoE (белые адреса). На клиентских портах включен IMPB с локальными адресами 10.х.х.х. Странность выглядит так: Клиентский роутер загружается, поднимает ethernet интерфейс, проходят все стадии DHCP, роутер получает свой адрес 10.х.х.х. Однако, после всего этого, мака роутера на порту не видно. После этого роутер, как и положено, отправляет PADI, но происходит таймаут при ожидании PADO. До сервера pppoe PADI не доходит, мака клиента на порту все еще нет. И так продолжается циклично. Интернет у клиента не работает. Но стоит только отправить с роутера какой-нибудь ip пакет через ethernet-интерфейс (хоть ping 10.x.x.y, хоть ntp, хоть igmp) - мак сразу появляется, и тут же поднимается pppoe. У windows-клиентов такого не замечается, видимо потому, что там постоянно в ethernet валятся всякие левые пакеты. А вот у труЪ роутеров интернета не бывает подолгу. При отключении IMPB проблемы не наблюдается. Настройки коммутатора сброшены на заводские, настроен только IMPB: # IPBIND config address_binding ip_mac ports 13 allow_zeroip enable enable address_binding trap_log create address_binding ip_mac ipaddress 10.x.x.197 mac_address E4-8D-8C-xx-yy-zz ports 13 mode acl config address_binding dhcp_snoop max_entry ports 1-26 limit 5 Boot PROM Version : Build 5.00.009 Firmware Version : Build 6.20.B21 Hardware Version : 3A1. Как лечить? P.S. Знаю, что dhcp+pppoe=ацтой, но в данном районе с этим пока ничего не поделать.
  9. 260GS не показывает VLAN ID

    Урраа!!! Заработало!!! (с) :) Спасибо, добрый человек!
  10. 260GS не показывает VLAN ID

    Для проверки достал из коробки новый такой же свитч. Конфиг дефолтный, никакие вланы не сконфигурированы - VLAN ID отображается :-\ "Не пойму, в чем тут логика?" (с)
  11. Доброго времени суток! Собсно, сабж при вот таком конфиге. Прошивка была 1.14, теперь 1.16 (последняя). Галочки и режимы пробовал по-всякому по-разному, результат неизменен: VLAN ID не отображается. При этом на аплинковом коммутаторе маки вижу в правильных вланах. Это баг или фича? У кого как?
  12. CPU Utilization OID на A26

    Большое спасибо! Не откроет ли кто сию тайну для A28F? В архиве http://data.nag.ru/Orion%20Networks/MIB/Orion_A10E_A28E_A28F_private.mib.zip вобще не встречается сочетание 'cpu'.
  13. Спасибо, добрый человек! :) Дело было в прошивке.
  14. Хм... А если отключить снупинг в мультикастовом влане, разве свитч не начнет валить весь трафик на все порты, где включен этот 4 влан? В любом случае, config igmp_snooping vlan iptv state disable ситауцию не исправило. Совершенно согласен, но приходится настривать то, что имеем :(
  15. Здравствуйте. Имеется такая схема сети: (ЯДРО) ------ (19)(DGS-3627, Selective-QinQ)(7) ------ (28)(Eltex, access vlans) На транзитном 3627 к клиентским вланам 101-124 добавляются транзитные вланы 3128-3145. Здесь "ходит" интернет и это работает. create vlan_translation ports 1 cvid 101 add svid 3128 create vlan_translation ports 1 cvid 102 add svid 3128 ... create vlan_translation ports 7 cvid 101 add svid 3134 create vlan_translation ports 7 cvid 102 add svid 3134 Так же от ядра до аксессных Элтексов "проброшены" vlan 3 (управление коммутаторами) и vlan 4 (мультикаст). create vlan_translation ports 1-27 cvid 3 replace svid 3 create vlan_translation ports 1-27 cvid 4 replace svid 4 Однако vlan 3 до Элтекса доходит (доступ на Элтекс в 3м влане есть), а vlan 4 - нет (iptv не кажет). Если DGS исключить и подключить кабель от ядра напрямую в 28й порт элтекса, то iptv работает, т.е. элтекс настроен правильно. show igmp_snooping group на 3627 показывает нужные группы на Port Member: 7. Такое ощущение, что igmp через DGS в 4м влане не работает. ISM vlan ведь не нужен на 3627? Или я не прав? Полный конфиг 3627