Добрый день.

Есть такая схема.

                          +---------------+
client1(192.168.1.10)====>|VIP 192.168.1.1|
                          +---------------+
                                 ||
                                 ||
                                 ||
                                 ||
                                 || +----------+
                                 || |GW Primary|
                                 || +----------+
                                 || |if1 = wan |=>inet1.1.1.1
                                 || +----------+
                                 || |if2 = lan |=>lan192.168.1.2
                                 || +----------+
                                 \=>|if3 = tun |=>2.2.2.2
                                    +----------+

                                    +----------+
                                    | GW  Slave|
                                    +----------+
                                    |if1 = wan |=>inet3.3.3.3
                                    +----------+
                                    |if2 = lan |=>lan192.168.1.3
                                    +----------+
                                    |if3 = tun |=>4.4.4.4
                                    +----------+

client1 получает доступ в интернет через впн (if3) путем заворачивания трафика через таблицу маршрутизации на шлюзе.

ip rule add from 192.168.1.10 to 0.0.0.0/0 table tun
ip route add default via 2.2.2.2 table tun

Подскажите, как реализовать. Заранее спасибо.

Добрый вечер. А умеет ли DRBD синхронизировать только измененные блоки после того как одна из нод отпала, а затем вернулась в строй? Ведь каждый раз синькать 5тб неохота. Сталкивался кто нибудь с такой проблемой? Может есть какой то параметр, который бы позволил избежать полной синхронизации?

Заранее спасибо за ответы.

Добрый день!

Хочу использовать DRBD для репликации между двумя нодами Proxmox, но на тестах каждый раз ловлю Split-Brain.

И так последовательность моих действий:

1 нода - primary

2 нода - secondary

Роняю первую ноду, перевожу вторую ноду в режим primary, начинаю работу со второй нодой, спустя некоторое время подымаю первую ноду в режиме secondary и ловлю split-brain.

pve-node1
r0 role:Secondary
  disk:UpToDate
  pve-node2 connection:Connecting

pve-node2
r0 role:Primary
  disk:UpToDate
  pve-node1 connection:StandAlone

После чего «раму собрать» не получается.

Вру! Все работает после:

Solution:
Step 1: Start drbd manually on both nodes

Step 2: Define one node as secondary and discard data on this

drbdadm secondary all
drbdadm disconnect all
drbdadm -- --discard-my-data connect all
Step 3: Define anoher node as primary and connect

drbdadm primary all
drbdadm disconnect all
drbdadm connect all

Но как то все равно не камельфо синькать полностью раздел после каждого падения. А если раздел будет на 4TB? Ждать пол-суток пока все синькнется?

Вот конфиг:

global {
        usage-count no;
}
resource r0 {
        protocol C;
        startup {
                wfc-timeout 0;
                degr-wfc-timeout 60;
        }
        net {
                after-sb-0pri discard-zero-changes;
                after-sb-1pri discard-secondary;
                after-sb-2pri disconnect;
                max-epoch-size          8192;
                max-buffers             8192;
                sndbuf-size             0k;
        }
       on pve-node1 {
                device     /dev/drbd0;
                disk       /dev/mapper/pve--node--vg-drbd ;
                address    192.168.111.201:7788;
                meta-disk  internal;
        }
       on pve-node2 {
                device     /dev/drbd0;
                disk       /dev/mapper/pve--node--vg-drbd ;
                address    192.168.111.202:7788;
                meta-disk  internal;
        }
}

Может чего не правильно делаю?

Почитав данную статью https://habrahabr.ru/post/219295/, как то совсем засомневался в использовании DRBD, быть может есть альтернативы? Цеф я так понял не «свой в доску», может GlusterFS?

Добрый день! Заинтересовался данным вопросом, немного почитав, понял, что вариантов не много. Либо два сервера и отдельный корч под какую то nfs, либо репликация данных хранилища с помощью CEPH или DRBD. Так как отдельный корч заводить не охота склоняюсь к второму варианту. Но так как не имел опыта ни с CEPH ни DRBD, хотел узнать, быть может тут кто имел опыт с этими системами? Какую выбрать, какая стабильнее себя ведет, особенно при крахе одной из нод?

Добрый вечер! Давеча задавал тут вопрос про балансировку трафика между двумя шлюзами, которые имеют один виртуальный IP (vrrp/keepalived) и понял, что задача весьма не тривиальна и требует наличие костыля. Поразкинув пришел к двум вариантам:

1. Третий шлюз, который будет прослойкой между локальной сетью и двумя шлюзами (да-да, тот еще велосипед).

2. Прикинул вот такую схемку https://gyazo.com/c120a4f35ea8fd967144af8a1ffcb8ab

Суть в том, что бы на мастере балансировать трафик между WAN-интерфейсом, который смотрит в первого провайдера и vlan-интерфейсом, который смотрит во второй шлюз со вторым провайдером.

Вангую о проблемах с трафиком, который будет ходить через vlan.

Хотел бы увидеть советы, как эту схему завести и возможно ли это?

Добрый день. Есть два физических шлюза с одним виртуальным ip (vrrp/keepalived), которые благополучно бэкапят друг-друга, но хотелось бы добавить еще и балансировку, что бы трафик шел одновременно через два шлюза, а в случае падения одного из них, шел через «выжевшего».

Я так понимаю это может сделать round robin и keepalived, вроде как, даже поддерживает его, но все мануалы написаны про балансировку веб серверов. Реально ли это сделать силами keepalived, стоит ли копать дальше?

Добрый день! Есть сервер с proxmox'oм, на котором крутятся 4 виртуалки на дебиане, каждой из виртуалок выделено по 4гб ОЗУ, большинство времени виртуалки потребляют 300-500мб ОЗУ, но иногда бывают ситуации когда потребление может вырости до 2-3гб, но не на долго. Так вот когда такие ситуации происходят, ОЗУ выделяется, но обратно не высвобождается, т.е. на виртуалке потребление приходит в норму, а на хосте видится, что виртуалка по прежнему потребляет 2-3гб.

Пробовал автоматическое распределение памяти и фиксированный с балунингом, но не помогло.

Как можно решить этот вопрос без костылей, типа tmpfs на хосте и подключения его как своп во все виртуалки? Должен же быть, какой то функционал позволяющий сделать подобное?

Спасибо.

Добрый день. Не могу разобраться почему идет жор ОЗУ когда запущена ВМ Windows. Я конечно понимаю, что kvm не очень дружит с вендой, но не до такой же степени.

Это сводка по ноде, на которой запущена одна ВМ Windows 10. https://gyazo.com/6553534f4957dc10a8bfd22b48c779e2

А это сводка по самой ВМ Windows 10 https://gyazo.com/e3dba80a34027010161eed11981164d6

При этом даже если выключить ВМ с вендой, то из ОЗУ выгружается тех 4гб которая она как бы ест, а все что было занято сверх так и продолжает висеть пока не перезагрузишь сервер. И через htop не видать кому эта ОЗУ выделена...

Это как то можно побороть? Слыхал о каких то драйверах VirtIO для венды, но так и не понял, что это и с чем его есть...

Добрый вечер.

Появилась проблема, подключение openVPN перестал резольвить имена через внешние днс.

Что имеем:

сеть 192.168.1.0/24

шлюз 192.168.1.1 он же dhcp сервер.

впн сервер где то на другом полушарии, к которому доступа нет.

днс сервер х.х.х.х, который тоже черт знает где.

ноут с убунтой

lan - addr:192.168.1.30 gw:192.168.1.1 dns:x.x.x.x

tun0 - addr:z.z.z.22 peer:z.z.z.21

route -v

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         z.z.z.21        128.0.0.0       UG    0      0        0 tun0
default         192.168.1.1     0.0.0.0         UG    600    0        0 wlp3s0
z.z.z.1         z.z.z.21        255.255.255.255 UGH   0      0        0 tun0
z.z.z.21        *               255.255.255.255 UH    0      0        0 tun0
vpnserver.com   192.168.1.1     255.255.255.255 UGH   0      0        0 wlp3s0
128.0.0.0       z.z.z.21        128.0.0.0       UG    0      0        0 tun0
link-local      *               255.255.0.0     U     1000   0        0 wlp3s0
192.168.1.0     *               255.255.255.0   U     600    0        0 wlp3s0

без впн все работает, как только подключается впн имена перестаю резольвится.

Вот что говорит tcpdump на момент dns-запроса

19:26:22.682481 IP localhost.52082 > d138db1d.domain: 21447+ A? ex.ua. (23)
19:26:22.682748 IP 192.168.1.30.48780 > 8.8.8.8.domain: 18659+ A? ex.ua. (23)
19:26:22.726975 IP 8.8.8.8.domain > 192.168.1.30.48780: 18659 1/0/0 A 213.133.162.131 (39)

При этом трасса к 8.8.8.8 успешно прокладывается через tun0. Если поднять днс на шлюзе и выдавать его вместо x.x.x.x, то все работает.

как решается:

1.

/etc/init.d/openvpn start
echo 'nameserver 8.8.8.8' >> /etc/resolv.conf

2.

/etc/init.d/openvpn start
ip rule add to 8.8.8.8 lookup  11
ip route add default via 192.168.1.1 table 11

Не помогает(что странно):

/etc/init.d/openvpn start
ip rule add to 8.8.8.8 lookup  11
ip route add default via z.z.z.21 table 11

Как не прибегая к костылям вернуть работоспособность впн? Спасибо!

Добрый день! Есть сервер с proxmox'oм, на нем крутятся ВМки(Debian) с зашифрованными корнями с помощью luks.

Нужно, что бы эти ВМ включались без запроса пароля, считывая ключ из указанного места.

Добрый день. Появилась задача запрещать посещение некоторых https сайтов. Начал читать и наткнулся на данный ман: https://habrahabr.ru/post/272733/ Скачал версию 3.5.8, сконфигурил с ключами

./configure --build=x86_64-linux-gnu \
--prefix=/usr \
--includedir=${prefix}/include \
--mandir=${prefix}/share/man \
--infodir=${prefix}/share/info \
--sysconfdir=/etc \
--localstatedir=/var \
--libexecdir=${prefix}/lib/squid \
--srcdir=. \
--disable-maintainer-mode \
--disable-dependency-tracking \
--disable-silent-rules \
--datadir=/usr/share/squid \
--sysconfdir=/etc/squid \
--mandir=/usr/share/man \
--enable-inline \
--disable-arch-native \
--enable-async-io=8 \
--enable-storeio=ufs,aufs,diskd,rock \
--enable-removal-policies=lru,heap \
--enable-delay-pools \
--enable-cache-digests \
--enable-icap-client \
--enable-follow-x-forwarded-for \
--enable-auth-basic=DB,fake,getpwnam,LDAP,NCSA,NIS,PAM,POP3,RADIUS,SASL,SMB \
--enable-auth-digest=file,LDAP \
--enable-auth-negotiate=kerberos,wrapper \
--enable-auth-ntlm=fake,smb_lm \
--enable-external-acl-helpers=file_userip,kerberos_ldap_group,LDAP_group,session,SQL_session,unix_group,wbinfo_group \
--enable-url-rewrite-helpers=fake \
--enable-eui \
--enable-esi \
--enable-icmp \
--enable-zph-qos \
--enable-ecap \
--disable-translation \
--with-swapdir=/var/spool/squid \
--with-logdir=/var/log/squid \
--with-pidfile=/var/run/squid.pid \
--with-filedescriptors=65536 \
--with-large-files \
--with-default-user=proxy \
--enable-ssl \
--enable-ssl-crtd \
--with-openssl \
--enable-linux-netfilter \
'CFLAGS=-g -O2 -fPIE -fstack-protector-strong -Wformat -Werror=format-security -Wall' \
'LDFLAGS=-fPIE -pie -Wl,-z,relro -Wl,-z,now' \
'CPPFLAGS=-D_FORTIFY_SOURCE=2' \
'CXXFLAGS=-g -O2 -fPIE -fstack-protector-strong -Wformat -Werror=format-security'

collect2: error: ld returned 1 exit status
libtool: link: rm -f ".libs/squidS.o"
Makefile:6524: ошибка выполнения рецепта для цели «squid»
make[3]: *** [squid] Ошибка 1
make[3]: выход из каталога «/root/squid/squid-3.5.8/src»
Makefile:7290: ошибка выполнения рецепта для цели «all-recursive»
make[2]: *** [all-recursive] Ошибка 1
make[2]: выход из каталога «/root/squid/squid-3.5.8/src»
Makefile:6151: ошибка выполнения рецепта для цели «all»
make[1]: *** [all] Ошибка 2
make[1]: выход из каталога «/root/squid/squid-3.5.8/src»
Makefile:579: ошибка выполнения рецепта для цели «all-recursive»
make: *** [all-recursive] Ошибка 1

Как побороть эту ошибку? Все пакеты, которые были в мане я собрал и установил, но почему то не хочет собираться кальмар. ОС Debian 8 x64 Спасибо.

Добрый вечер. Появилась хотелка завиртуалить все it ресурсы на один сервер с помощью kvm/openvz/etc, но вот не могу найти инфу о том, как управлять виртуальной системой на стадии загрузки, например потребуется удалённо попасть в rescue mode. Есть ли какое то веб приложение позволяющее делать подобное?

Доброго времени. Есть две переменных, первая содержит весь алфавит, а вторая 26 заранее сгенерированных строк типа:

+er+
+8i+
+3c+
...

Как это можно сделать? Заранее спасибо

Добрый день. Есть два шлюза с разными провайдерами. Требуется сделать резервирование шлюзов с помощью ucarp, если отпадет один шлюз, нужно что бы все задачи на себя принял второй без смены ip(именно по этому ucarp).

И так схема:

GW1 Debian 8
eth0 - wan 1.1.1.1
eth1 - lan 10.10.0.2
GW2 Debian 8
eth0 - wan 2.2.2.2
eth1 - lan 10.10.0.3

Пытаюсь запускать на GW1 командой:

ucarp -i eth1 -s 10.10.0.2 -v 1 -p password -a 10.10.0.1 -u /usr/share/ucarp/vip-up -d /usr/share/ucarp/vip-down -z -B -P

В итоге интерфейс не появляется, а в логах следующее:

ucarp[5219]: [INFO] Local advertised ethernet address is [14:cc:20:02:b5:8d]
ucarp[5219]: [WARNING] Switching to state: BACKUP
ucarp[5219]: [WARNING] Spawning [/usr/share/ucarp/vip-down eth1 10.10.0.1]

Добрый вечер. Интересует следующий вопрос:

как передать значение переменной в форму ввода пароля после команд:

passwd user

cryptsetup luksAddKey /dev/sda3

Заранее спасибо!

Доброго времени. Вот появилась задача скопировать систему из hdd на 500gb на ssd 120gb. Диск закриптован luks'ом при установке, нужно каким то образом его скопировать на ssd'шку, осталось только узнать каким... Как я понимаю dd в этой ситуации не спасет?

Заранее спасибо.

Всем привет. Есть два компьютера на которых стоит ubuntu server на криптованых дисках (пароли одинаковые), стоит задача синхронизировать корень файловой системы как можно более быстрым способом, желательно инкрементным и по сети. Как можно реализовать? Можно ли это сделать с помощью rsync?

Всем привет. Собственно вопрос - «как?». Можно прям полностью выпилить монтирование этих устройств из системы, главное что бы они не монтировались, а то флешки монтируются по паролю а MTP/PTP в наглую лезет. Спасибо

Привет ЛОР. Есть задача пустить трафик на домен типа *.site.com, у которого в арсенале куча подсетей *.*.*.*/8 и динамические доменные имена 3 уровня, через другой интерфейс, соответственно по ip перенаправлять не очень охота, нужно именно по домену. Я так понимаю, что в iptables нужно создать пару правил ната для этого, но к сожалению моих знаний не хватает, что бы решить эту проблему.

И так дано:

• GW на Debian'e
• eth0(инет, он же системный шлюз по умолчанию)
• eth1(lan)
• tun0(ovpn туннель который является default gateway для хостов 192.168.1.2-127)
• tun1 (ovpn туннель который является default gateway для хостов 192.168.1.128-254)

Задача:

• Все хосты должны обращаться к домену *.site.com через eth0
• Ко всем остальным ресурсам должны ходить через свои туннели

  Заранее спасибо.

Есть гейтвей, на нем 1 один провайдер eth0(1.1.1.2), два туннеля ovpn tun0(10.10.10.2) и tun1 (20.20.20.2) и локальная сеть eth1(192.168.1.0/24). трафик с ip адрессов 192.168.1.2-192.168.1.200 заворачивается в tun0, путем создания таблицы table11

ip rule add from 192.168.1.2-200 table 11
ip route add default via 10.10.10.2 table 11