?

Log in

[icon] Клуб Сисадминов
View:Свежие записи.
View:Архив.
View:Друзья.
View:Личная информация.
You're looking at the latest 10 entries.
Missed some entries? Then simply jump back 10 entries


[dil]
Tags:
Security:
Subject:Нужен ли процессор для отдачи статических страниц с веб-сайта??
Time:10:02 pm
А вот почитайте..

Via klopp.
comments: 36 комментариев or Оставить комментарий Поделиться

Security:
Subject:[SOLVED] Вопрос про IPSec
Time:04:28 pm
Коллеги, у меня тоже вопрос про IPSec :-)

Вступают у меня в связь Микротик с одной стороны и StrongSwan на фре -- с другой. В одну сторону трафик ходит, в другую -- нет.

Выглядит так:

13:22:07.458405 IP 192.168.17.50 > 192.168.3.1: ESP(spi=0xc6994079,seq=0x22e), length 100
13:22:12.447203 IP 192.168.17.50 > 192.168.3.1: ESP(spi=0xc6994079,seq=0x22f), length 100
13:22:17.443918 IP 192.168.17.50 > 192.168.3.1: ESP(spi=0xc6994079,seq=0x230), length 100
13:22:22.442010 IP 192.168.17.50 > 192.168.3.1: ESP(spi=0xc6994079,seq=0x231), length 100

Это обёрнутые в IPSec пинги.

192.168.17.50 -- IP-шник микротика
192.168.3.1 -- IP-шник на стороне сервера

В теории предполагается туннелировать трафик между 192.168.1.0/28 (спрятана за микротиком) и 192.168.4.17/32 (спрятан за сервером).
Читать дальше...Свернуть )
Останавливаю StrongSwan -- пинги начинают ходить, нешифрованные, разумеется. Где я накосячил, и как починить, чтобы пинги ходили в IPsec в обе стороны?

UPD: Разобрался, в общем. Почему-то туннель не устанавливается, если в proposal выставить aes128-sha256-modp1536. Меняю sha256 на sha1, и туннель поднимается. Странно, потому что в IKE aes128-sha256-modp1536 работает, и фаза 1 проходит нормально.
comments: 7 комментариев or Оставить комментарий Поделиться


[dil]
Tags:
Security:
Subject:Как такое может быть??
Time:08:32 pm
Сегодня пытался запустить IPsec’овый туннель. Не работает. Связался с клиентом, проверили настройки, вроде всё с обеих сторон одинаково, должно работать, ан нет.
Запустил у себя на роутере tcpdump, и офигел.. Phase1 успешно проходит, а на пакеты от Phase2 с той стороны вместо ответа приходят ICMP destination port unreachable, хотя порт тот же самый UDP 500, что и в Phase1. Как такое может быть??
Читать дальше...Свернуть )
Кросспост из моего журнала.

Upd: мне выдали доступ по ssh к клиентскому серверу, я там полдня колупался с настройками, пытаясь понять, как сделать, чтобы тамошний публичный IP использовался не только в качестве идентификатора, но и в качестве локального адреса с той стороны туннеля. А ведь на амазоновских машинках используются только приватные адреса, а приделываемые к ним публичные NATятся внешними амазоновскими роутерами.

В конце концов я это как-то сконфигурировал, теперь VPN работает без всяких проблем. Но объяснить, что конкретно там было не так, я не могу, слишком долго я там разные настройки подкручивал и перезпускал ipsec..
comments: 21 комментарий or Оставить комментарий Поделиться

Security:
Subject:Пинг при повреждённом кабеле
Time:07:20 pm
Всем доброго вечера, и практически пятничный вопрос. Посредник в организации канала (крупная и известная в России организация) долго напирал на то, что кабель из нашего порта просто повреждён или не подключён в их коммутатор. Когда удалось запинговать одно из их сетевых устройств, нас попросили ещё раз убедиться, что кабель не повреждён, поскольку "они не видят наш mac-адрес".

С таким я сталкиваюсь впервые. Может ли пинговаться хоть что-то при повреждённом (напр., плохо обжатом) кабеле? Спасибо.
comments: 30 комментариев or Оставить комментарий Поделиться


[dadv]
Tags:, ,
Security:
Subject:host zero
Time:10:08 pm

Думал, в 2016 такого уже не бывает.

Юзер дистрибутива Linux Mint получает по DHCP от провайдера постоянный адрес X.X.185.0 из сети X.X.184.0/22. Пытается обратиться к серверу extra.linuxmint.com и не получает ответа даже на пинг (одинаково для обоих IP-адресов сервера), в то время как ответы на пинг адресу X.X.185.1 приходят успешно, как и успешно завершается трассировка ICMP-пакетами с адреса X.X.185.1, три последних хопа выглядят так:

19  [AS5580] ae00.edge01.chi01.us.as5580.net (78.152.45.134)  212.510 ms  212.603 ms  212.579 ms
20  [AS5580] 78.152.33.246 (78.152.33.246)  206.454 ms  206.359 ms  206.270 ms
21  [AS11878] static-68-235-39-11.cust.tzulo.com (68.235.39.11)  212.489 ms  212.249 ms  212.318 ms


Если трассировать с X.X.185.0, то последним ответившим хопом в трассе является 19-й. Те же результаты получаются, если адреса X.X.185.[01] для теста поставить на цискороутере провайдера. Та же проблема выявлена у адреса X.X.186.0, а вот у X.X.185.255 проблемы нет - ему ответы на пинг возвращаются.

nmap -O про 20-й хоп (первый не отвечающий) говорит, что там что-то похожее на IOS 12.4, но разве такие эффекты бывают на 12.4?
comments: 26 комментариев or Оставить комментарий Поделиться

Tags:,
Security:
Subject:Nagios и check_snmp не выводит Warning, Critical
Time:12:07 pm
Доброго дня, почтенные. Прошу помощи в решении вопроса с nagios и проверкой по snmp хоста.
Тут понадобилось мониторить LA и память сервака, решил пойти по пути наименьшего сопротивления - залезть в nagios, настроенный лет так 5 назад, да и влепить ему проверки через snmp.
Конфиги тутСвернуть )

Так вот, имеем рандомно включение или не включение статуса warning, critical ни разу не случился, хотя:
./check_snmp -o .1.3.6.1.4.1.2021.10.1.3.1 -H <ip> -C public -w 1 -c 2
SNMP CRITICAL - *3.21* | iso.3.6.1.4.1.2021.10.1.3.1=3.21;1;2;1;2;
В панели нагиоса:
CPU 1 Minute Average    WARNING     24-08-2016 11:58:00     0d 0h 13m 41s     3/3     Result: 3.43
CPU 5 Minute Average OK     24-08-2016 11:57:46     4d 18h 43m 47s     1/3     Result: 2.93
comments: 15 комментариев or Оставить комментарий Поделиться

Tags:,
Security:
Subject:udev symlinks. Как в usb-модеме отделить мух от котлет?
Time:09:27 am
Всем пятницы, котаны!
Есть usb-модем (huawei e369) который при подключении определяется как 3 usb-устройства: ttyUSB0,1,2 или ttyUSB1,2,3.
Задача _одновременно_ держать 3G интернет и отправлять смс. Делается это через ttyUSB0 в ppp и ttyUSB1 в smstools...
Проблема в том, что при перезагрузке сервака номера устройств меняются. Единственное что пришло в мозг - делать симлинки через udev, но как сделать 2 симлинка на 2 устройства:
К одному приделывается через
ATTRS{idVendor}=="12d1", ATTRS{idProduct}=="1505", RUN+="usb_modeswitch '%b/%k'",SYMLINK+="gsmmodem"
Как сделать к второму? Просмотрел все аттрибуты через udevadm info --query all --name=/dev/ttyUSB1 - единственное что отличается это DEVPATH, но при перезагрузке он тоже меняется... как быть?
Спасибо.
comments: 6 комментариев or Оставить комментарий Поделиться


[e7rd]
Tags:
Security:
Subject:бареос 13 - дополнительное хранилище
Time:12:03 pm
дня доброго и холодного пива, коллеги!

вопрос от нуба, которого сильно поджимают сроки. Вот есть работающий бареос 13 на убунте 14, бэкапы пишет в файл (в папку, в смысле). Мне очень нужно подцепить второе хранилище - удалённая смб-шара (с ней проблем нет). В идеале - место закончилось на первом - пишет на второй, но согласна уже и раскидать по серверам (один сюда пишет, другой - туда).

доку курила (ну как курила... Мне этот бареос свалился как снег на голову, и читала ман кусками по мере решения проблем). Гугл смотрела.

в bareos-dir.conf:

[JobDefs и Storage]JobDefs {
Name = "DefaultJob"
Type = Backup
Level = Incremental
Client = pro-fd
Schedule = "WeeklyCycle"
Storage = File
Messages = Standard
Pool = File
Priority = 10
Write Bootstrap = "/var/lib/bareos/%c.bsr"
}

Storage {
Name = File
Address = pro
Password = "ля-ля-ля"
Device = FileStorage
Media Type = File
}

Storage {
Name = NAS
Address = pro
Password = "ля-ля-ля"
Device = NAS
Media Type = File
}


сторадж в bareos-sd.conf:

[Device]Device {
Name = FileStorage
Media Type = File
#Archive Device = /var/lib/bareos/storage
Archive Device = /mnt/backup/bareos_storage
LabelMedia = yes;
Random Access = Yes;
AutomaticMount = yes;
RemovableMedia = no;
AlwaysOpen = no;
}

Device {
Name = NAS
Media Type = File
#Archive Device = /var/lib/bareos/storage
Archive Device = /mnt/nas
LabelMedia = yes;
Random Access = Yes;
AutomaticMount = yes;
RemovableMedia = no;
AlwaysOpen = no;
}


конфиг одного из серверов:

[Job]Job {
Name = "server_job"
Client = server-fd
FileSet = "server_files"
Schedule = "server_schedule"
Write Bootstrap = "/var/lib/bareos/%c.bsr"
Pool = Default
Full Backup Pool = server-full
Incremental Backup Pool = server-inc
Differential Backup Pool = server-diff
Storage = NAS
Type = Backup
Priority = 10
Messages = Standard
}


на самом деле там три задания, но они все примерно такого вида, просто бэкапируется разное.

ошибка из bconsole:
Job server_db_job.2016-08-16_19.18.26_09 is waiting. Cannot find any appendable volumes.
Please use the "label" command to create a new Volume for:
Storage: "NAS" (/mnt/nas)
Pool: Default
Media type: File

в status storage "Device is BLOCKED waiting to create a volume for"
в list volumes статусы у созданных Append

по label создаю том, он создаётся и... Ничего. Снова просит создать. Что я делаю не так или что мне ещё прокурить в документации?
comments: 28 комментариев or Оставить комментарий Поделиться

Security:
Subject:nvidia & pci passthrough
Time:05:37 pm
Если кто-то делал PCI passthrough для nvidia (1080, если важно), посмотрите пожалуйста, что я не так сделал?

https://devtalk.nvidia.com/default/topic/957757/cuda-setup-and-installation/gtx-1080-amp-kvm-pci-passthrough-to-guest/

TL;DR: iommu_intel=on, SR-IOV global engine=on, устройство в pci-stub, в госте видно, драйвера ставятся, но ругаются, что:

[ 36.583714] nvidia 0000:00:05.0: irq 45 for MSI/MSI-X
[ 36.614889] NVRM: RmInitAdapter failed! (0x23:0x56:451)
[ 36.614893] NVRM: rm_init_adapter failed for device bearing minor number 0
comments: 9 комментариев or Оставить комментарий Поделиться


[dadv]
Tags:,
Security:
Subject:Разделегирование .ru и .рф: полку прибыло
Time:07:41 pm

В продолжение темы.

Координационный центр национального домена сети интернет собирается разрешить дочерней компании «Сбербанка» разделегировать домены в зонах .ru и «.рф». Выключать домены ООО «Безопасная информационная зона» (ООО «Бизон») сможет без соответствующего решения суда, если через сайты осуществляется кража денег и паролей.

comments: 16 комментариев or Оставить комментарий Поделиться

[icon] Клуб Сисадминов
View:Свежие записи.
View:Архив.
View:Друзья.
View:Личная информация.
You're looking at the latest 10 entries.
Missed some entries? Then simply jump back 10 entries