LINUX.ORG.RU

Сообщения alexni

 

LVM RAID5 постоянно что-то читает

всем привет. возник вопрос, сделал lvm raid5 и из него thinpool:

pvcreate /dev/sd[a-c]
vgcreate myvg /dev/sda /dev/sdb /dev/sdc
lvcreate -n mylv -L 500G --type raid5 -i 2 myvg
lvcreate -n my_meta_lv -L 15G --type raid5 -i 2 myvg
lvconvert --thinpool myvg/mylv --poolmetadata myvg/my_meta_lv

вроде как все хорошо. Перенес туда одну виртуалку (это все на proxmox) но nmon показывает что на всех 3х дисках идет постоянное чтение около 40Мб\с и запись около 14Мб\с (цифри то скачут, но не очень)

Как понять что его юзает? Выключаю виртуалку чтение\запись остаются. В самой же виртуалке не делается ничего, просто запущена чистая винда. В диспетчере задач показывает чт\зап 20-80кб\с, но загрузка диска 100%. отклик 50-6000мс.

тормозит жутко

DiskName Busy    Read    Write       Xfers   Size  Peak%  Peak=R+W    InFlight
dm-14     91%  33083.0  11994.9KB/s 11262.2  4.0KB  373%  210130.6KB/s 824
dm-16     32%  38975.1  12646.5KB/s 12889.9  4.0KB  165%  210107.6KB/s  04
dm-18     39%  32837.0  12964.3KB/s 11389.0  4.0KB  163%  210075.6KB/s 964
sda       79%  36868.2  11445.6KB/s  253.4 190.7KB  374%  210140.5KB/s  8
sdb       41%  30489.3  10502.0KB/s  216.4 189.4KB  169%  210052.6KB/s  0
sdc       49%  46243.7  13690.3KB/s  310.9 192.8KB  164%  210084.6KB/s  1

/dev/sda показывает самую большую загрузку. раньше он был под zfs. кстати, некоторые диски на которых был zfs тупят страшно на том же хосте. при переносе на другой - попускает

fuser -vam /dev/dm-18 не показывает ничего. iotop не показывает чтения/записи (таких)

 ,

alexni
()

RAID0 медленнее чем 1 диск

Всем привет. прошу совета, может чет делаю не так.

Имеется 3шт crucial MX500 1Tb. На них висят виртуальные мвшини на proxmox. Вопрос стал расширить диск 1й до 800Гб. Забивать «под завязь» ссд неохота. Решил скрутить в RAID0, везде пишут быстрее в 2 раза и тд.

Сначала переехал на hp dl360 g9. Собрал raid0, в системе накатил lvm thin. И тут… скорость rw 4k - 5Mb/с + непонятные простои. Кеш 4Гб.

После долгих мучений с отклбчением кеша, тяганием его то в read то в write пришел к выводу поставить hba карту.

По одному диску с lvm (как было раньше) rrandom rw 4k (~рядовое использование диска виндой) 37-42Мб/с.

Собираю я LVM striped

lvcreate -i 2….

И тут… те же random rw 4k - 7-9Мб/с и загрузка диска (обеих) 100%.

В ход пошли и сhunk size (8К-2М) и extent size и dataaligment - безрезультатно.

В чем может быть такой затык?

P.s. ZFS не предлагать. Он быстрый только в рамках кеша arc. Если проходит что-либо больше кеша (у меня еще 3 диска на zfs, arc=16G) - тупит аналогично.

 ,

alexni
()

rsync block device через netcat

Всем привет. народ, не могу троха понять, как подружить rsync с –copy-devices и nc.

rsync -I --copy-devices --no-whole-file "$(readlink -f "/dev/myvg/lv001")" | nc 1.2.3.4 1234

просто заершает комманду

nc -l -p 1234 | rsync -I --write-devices --inplace "$(readlink -f "/dev/rem_vg/dest_lv")"

а эта ждет

 , ,

alexni
()

Конвертировать raid 5 в raid 0 HPE p420i

Всем привет. кто пробовал, можно ли конвертировать raid5 в raid0 на ходу?

В raid5 c raid0 получилось легко

ssacli ctrl slot=0 ld=1 modify raid=5

а таким же вариантом только наоборот можно?

ssacli ctrl slot=0 ld=1 modify raid=0

теоретически, по размеру проблем нет, raid0 больше чем raid5. но пробовать стремно. машина рабочая. бэкап то есть, но неохота оламать.

 

alexni
()

вытянуть данные с lvm thin

Приветствую.

Столкнулся с проблемой, посыпался ssd с lvm thin на нем. ругалось в основном на transaction id, есть 0, а должен быть 48

вытянул оттуда с ddrescue все на новый диск, показало 56 read errors и 8192kb bad blocks. На новом диске ругня Check of pool myvg/mythinpool failed (status:1). Manual repair required!

запускать здесь lvconvert –repair стремно, может доламать. Все LVs видны в lvs -a, но не видны в lsblk.

Можно как-то их вытянуть по отдельности с dd например? Это виртуалки proxmox’a, когда-то я переносил так dd if=/dev/mapper/.. of=/dev/mapper/… но тут thin-pool активироваться не хочет, и соответственно ни в /dev/volumegroup ни в /dev/mapper их нет

xа я чет не могу понять как заставить lvs показать начальный и конечный блоки. да и в dd как засунуть… bs не то, seek тоже…

 

alexni
()

RAID 0 и пропадание питания

Всем привет.

Народ, не могу нигде найти каких-то четких ответов по сабжу. Я понимаю, их впринципе нет и быть не может. но все же.

Какова вероятность того что raid0 разлетится при пропадании питания? отвечаю сразу: контроллер без батарейки (мать asus b450m pro), диски crucial mx500.

работают по отдельности. пропаданий питания видели уже немало (за 6183 часа 34 power loss) - работают и дальше без проблем.

вопрос собственно в чем, при обчном использовании я теряю данные которые у 1 ssd в кеше (худо-бедно, но и фиг с ними). а когда они работают в raid0, то потеряется какой-то блок данных (равный кешу одного или всех дисков???).

но потеряться опять же он может только на одном из дисков, тк остальные свое уже пописали, а один не успел… выходит что при включении я получу «поломанный» кусок. насколько он важен - ну это рулетка, не знает никто, но из практики: потеря хз какого куска в кеше одного диска за все время вреда не принесла. если этот кусок будет потерян на raid’e - сам raid не сдохнет? (по типу я хз что со мной…)

так что хочу услышать больше из практики. прошу не засыпать постами типа «это фигня, так нельзя и тд» (это и сам знаю)

Перемещено hobbit из general

 ,

alexni
()

IPIP or GRE Ubuntu - Mikrotik

Всем привет.

Подскажите, кто сталкивался. Поднял тоннель между убунту и микротик. на убунту:

auto to_ki
iface to_ki inet static
        address 10.1.50.1
        netmask 255.255.255.252
        mtu 1400 #пробовал разные, или вообще не указывать
        pre-up iptunnel add to_ki mode ipip local x.x.x.x remote y.y.y.y ttl 225
        pointopoint 10.1.50.2
        up ip route add z.z.z.z/29 dev to_ki
        post-down iptunnel del to_ki
        

на микроте все прото. keepalive отключил (как в нете вычитал), хотя и с включенным работает)

Все бы ничего, тоннель поднимается, все отлично. НО! Download - 200Mbit, Upload - 5-6Mbit.

Игрался с MTU - бесполезно. Нашел на просторах статью, что якобы софт в убунту глючный - это и проблема. Обновлял до 18.04, 20.04 - безрезультатно. Поставил Debian10 - без результата.

В чем еще может быть проблема?

p.s. между двумя микротами даже по gre скорость до 300 в обе стороны. Ikev не включен.

 , ,

alexni
()

ошибка отправки почты Zimbra

Всем привет. имеется zimbra 8.8.12 на ubuntu 16.04. после обновления системы и перезагрузки все письма входящие исходящие висят в active queue и ни туда ни сюда. Со входящей почтой +- получилось их растыкать юзерам отключив antivirus, antispam. а вот исходящая никак. (на гугл и тд) в логах

Dec 30 13:26:33 mail postfix/smtp[6427]: fatal: specify a password table via the `smtp_sasl_password_maps' configuration parameter Dec 30 13:26:34 mail postfix/master[4298]: warning: process /opt/zimbra/common/libexec/smtp pid 6427 exit status 1 Dec 30 13:26:34 mail postfix/master[4298]: warning: /opt/zimbra/common/libexec/smtp: bad command startup -- throttling

но у меня нет релея, нет «исходящей» авторизации… zimbraMTAMyNetworks is set to 127.0.0.0/8 [::1]/128 X.X.X.X/32 пробовал уже установить ZimbraMTARelayHost и убрать его, мож попустит, но нет…

Что произошло - ума не приложу. Файрвол открыл полностью (мож там заскок) - не помогает… В логах нет даже попытки отправки письма гуглу. в этот момент получаю такую ошибку (см выше) и все.

 

alexni
()

Переадресация трафика на другой IP

Здравствуйте.

Скажите, можно как-то организовать форвард трафика на другой сервак, к примеру

-A FORWARD -s 10.0.0.0/24 -d 125.124.123.122 -j SNAT\DNAT –to-source/destination 95.125.125.5

пример бредовый, но смысл думаю понятен. суть в том, что мне нужно когда юзер тычется на определенные IP направить его в другое место

 

alexni
()

DHCP сервер и релей на одном хосте

День добрый.

Задача собственно проста. Нсть хосты, на них есть адреса 10.0.1.0/24, 10.0.1.0/24 и тд и есть внешние.

Нужно чтоб внешние обслуживал один из них, а внутренние каждые свой, т.к. внешние могут меняться между хостами и перескручивать каждый раз неудобно.

Кто-то сталкивался с таким? isc-dhcp-server и isc-dhcp-relay стартуют оба и активны, настроены на разные интерфесы, но не раздают ни тот ни тот.

 

alexni
()

траффик между тремя подсетями

Здравствуйте. Есть необходимость обьединить 3 подсети. Имеется: подсети 10.0.0.0/24, 10.0.1.0/24, 10.0.2.0/24, шлюзы соответственно 10.0.0.1, 10.0.1.1, 10.0.2.1.

10.0.0.0\24, 10.0.2.0/24 подкключены чз strongswan к 10.0.1.0/24 есть еще клиенты VPN (99% iOS, android) подключены к 10.0.1.0/24

Сложность в том, что клиенты android не имеют доступ только к шлюзам, но не имеют доступа к хостам подсетей.

10.0.1.1 ipsec.conf:

conn offnet
	ikelifetime=60m
	keylife=20m
	rekeymargin=3m
	keyingtries=1
	authby=secret
	keyexchange=ikev2
	mobike=no
	left=1.2.4.7
	leftsubnet=10.0.1.0/24
	leftid=1.2.4.7
	leftfirewall=yes
	right=3.4.3.4
	rightsubnet=10.0.0.0/24
	rightid=3.4.3.4
    rightfirewall=yes
	auto=add

conn offnet1
	ikelifetime=60m
	keylife=20m
	rekeymargin=3m
	keyingtries=1
	authby=secret
  
	keyexchange=ikev2
	mobike=no
	left=1.2.4.7
	leftsubnet=10.0.1.0/24
	leftid=1.2.4.7
	leftfirewall=yes
	right=%any
	rightsubnet=10.0.2.0/24
	rightid=%any
    rightfirewall=yes
	auto=add



conn ikev2-vpn
    auto=add
    compress=no
    type=tunnel
    keyexchange=ikev2
    fragmentation=yes
    forceencaps=yes
    ike=aes256-sha1-modp1024,aes256-sha1-modp4096,3des-sha1-modp1024!
    esp=aes256-sha1,3des-sha1!
    dpdaction=clear
    dpddelay=30s
    rekey=yes
    left=1.2.4.7
    leftid=1.2.4.7
    leftcert=/etc/ipsec.d/certs/host.pem
    leftsendcert=always
    leftsubnet=0.0.0.0/0
    leftfirewall=yes
    right=%any
    rightid=%any
    rightsubnet=10.0.1.80/28
    rightauth=eap-mschapv2
    rightdns=8.8.8.8,8.8.4.4
    rightsourceip=10.0.1.80/28
    rightsendcert=never
    eap_identity=%identity

10.0.1.1 ip ro:

default via 1.2.4.1 dev ens19
10.0.0.0/24 via 1.2.4.7 dev ens19
10.0.1.0/24 dev ens18  proto kernel  scope link  src 10.0.1.78
10.0.1.80/28 via 10.0.1.78 dev ens18
10.0.2.0/24 via 1.2.4.7 dev ens19
1.2.4.0/24 dev ens19  proto kernel  scope link  src 1.2.4.7

10.0.0.1, 10.0.2.1:

conn offs
    ikelifetime=60m
	keylife=20m
	rekeymargin=3m
	keyingtries=1
	authby=secret
	keyexchange=ikev2
	mobike=no
	left=%any
	leftsubnet=10.0.2.0/24
	leftid=%any
	leftfirewall=yes
	right=1.2.4.7
	rightsubnet=10.0.1.0/24 #10.0.2.0/24 соответственно
	rightid=1.2.4.7
    rightfirewall=yes
	auto=start
10.0.2.1, 10.0.0.1 ip ro:
default via 192.168.8.1 dev enp1s0 proto static
10.0.2.0/24 dev enp2s0 proto kernel scope link src 10.0.2.1 #10.0.0.0/24 соответственно
192.168.8.0/24 dev enp1s0 proto kernel scope link src 192.168.8.110

пробовал к примеру на 10.0.0.1 (аналогично на 10.0.2.1):

ip route add 10.0.2.0/24 via $внешнийIP

ip route add 10.0.2.0/24 dev ens19 #«внешний» адаптер

ip route add 10.0.2.0/24 via 10.0.0.1

таблицы iptables пустые. 10.0.1.77 ip ro (отдельный хост):

default via 10.0.1.1 dev eth0
10.0.0.0/24 via 10.0.1.78 dev eth0
10.0.1.0/24 dev eth0 proto kernel scope link src 10.0.1.77
10.0.1.80/28 via 10.0.1.78 dev eth0
10.0.2.0/24 via 10.0.1.78 dev eth0
169.254.0.0/16 dev eth0 scope link metric 1002
видит хосты в обеих подсетях.

проблема - клиенты VPN (android iOS 10.0.1.80/28) видят только хосты 10.0.1.0/24 и шлюзы 10.0.2.1, 10.0.0.1 соответственно между сетями 10.0.0.0\24 и 10.0.2.0\24 трафик вообще не идет.

ооочень хочется (необходимо) получить 10.0.2.0\24 <--> 10.0.0.0\24 и тд. вобщем поток траффика между всеми хостами

мож кто чего посоветует?

 

alexni
()

клиент не получает доступ к локальной сети strongswan

Здравсвтуйте.

Не могу понять проблему. Если клиент получает IP адрес с той же сети, к которой подключается - нет маршрута к хостам сети, если адрес из другой сети все гут.

ipsec.conf:

conn ikev2-vpn
    auto=add
    compress=no
    type=tunnel
    keyexchange=ikev2
    fragmentation=yes
    forceencaps=yes
    ike=aes256-sha1-modp1024,aes256-sha1-modp4096,3des-sha1-modp1024!
    esp=aes256-sha1,3des-sha1!
    dpdaction=clear
    dpddelay=300s
    rekey=no
    left=%any%
    leftid=x.x.x.x
    leftcert=/etc/ipsec.d/certs/host.pem
    leftsendcert=always
    leftsubnet=10.0.1.0/24 
    leftfirewall=yes
    right=%any
    rightid=%any
    rightauth=eap-mschapv2
    rightdns=8.8.8.8,8.8.4.4
    rightsourceip=10.0.1.64/28 #(если тут 10.0.2.64/28 к примеру или что угодно другое, все работает)
    rightsendcert=never
    eap_identity=%identity

iptables пустая.

ip ro:

default via x.x.x.1 dev ens19 proto dhcp src x.x.x.x metric 100
10.0.1.0/24 via 10.0.1.1 dev ens18
10.0.1.1 dev ens18 proto dhcp scope link src 10.0.1.78 metric 100
x.x.x.0/24 dev ens19 proto kernel scope link src x.x.x.x
x.x.x.1 dev ens19 proto dhcp scope link src x.x.x.x metric 100

ipsec status:

Security Associations (1 up, 0 connecting):
   ikev2-vpn[1]: ESTABLISHED 9 minutes ago, x.x.x.x[x.x.x.x]...y.y.y.y[y.y.y.y]
   ikev2-vpn{2}:  INSTALLED, TUNNEL, reqid 2, ESP in UDP SPIs: c20c72c2_i ab617b88_o
   ikev2-vpn{2}:   10.0.1.0/24 === 10.0.1.65/32

 ,

alexni
()

маршруты к хосту

Здравствуйте. Имею проблему

default via 2.18.2.1 dev vmbr0 onlink 
10.0.1.0/24 dev vmbr1 proto kernel scope link src 10.0.1.1 
10.0.2.0/24 dev vmbr2 proto kernel scope link src 10.0.2.0 
10.0.3.0/24 dev vmbr3 proto kernel scope link src 10.0.3.0 
10.0.4.0/24 dev vmbr4 proto kernel scope link src 10.0.4.0 
10.0.5.0/24 dev vmbr5 proto kernel scope link src 10.0.5.0 
2.18.2.0/24 via 2.18.2.1 dev vmbr0

с такой таблицей маршрутов с адресов 10.0.x.x нет доступа ни к хосту 2.18.2.19 ни к компам из подсети 2.18.2.0/24.

Вся подсеть 2.18.2.0/24 привязана к хосту с IP 2.18.237.5

поправил адреса.

 

alexni
()

Две сети strongswan

Здравствуйте. Подскажите, что пошло не так? две сети связаны по vpn. но траффик идет только в одну сторону. С сети 1 в сети 2 пингуются узлы и к ним есть доступ. наоборот - нет.

сеть 1: iptables-save:

:INPUT ACCEPT [508:50910]
:FORWARD ACCEPT [458550:237778852]
:OUTPUT ACCEPT [78240:11679945]
:f2b-sshd - [0:0]
...
-A INPUT -p udp -m udp --dport 1701 -m policy --dir in --pol none -j DROP
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m multiport --dports 500,4500 -j ACCEPT
-A INPUT -p udp -m udp --dport 445 -j ACCEPT
-A FORWARD -s 10.1.0.0/24 -d 10.0.0.0/24 -i enp10s1 -m policy --dir in --pol ipsec --reqid 19 --proto esp -j ACCEPT
-A FORWARD -s 10.0.0.0/24 -d 10.1.0.0/24 -o enp10s1 -m policy --dir out --pol ipsec --reqid 19 --proto esp -j ACCEPT
-A FORWARD -s 10.1.0.0/24 -d 10.0.0.0/24 -i enp10s1 -m policy --dir in --pol ipsec --reqid 9 --proto esp -j ACCEPT
-A FORWARD -s 10.0.0.0/24 -d 10.1.0.0/24 -o enp10s1 -m policy --dir out --pol ipsec --reqid 9 --proto esp -j ACCEPT
-A FORWARD -m conntrack --ctstate INVALID -j DROP

-A FORWARD -m limit --limit 2/min -j LOG --log-prefix "iptables: "
-A FORWARD -s 10.0.0.0/24 -d 10.0.0.0/24 -j ACCEPT
-A FORWARD -s 10.0.0.0/24 -d 192.168.88.0/24 -j ACCEPT
-A FORWARD -s 192.168.88.0/24 -d 10.0.0.0/24 -j ACCEPT
-A FORWARD -s 10.1.0.0/24 -d 10.0.0.0/24 -i enp10s1 -j ACCEPT
COMMIT

ip route (enp10s1 - внешний, enp14s0 - локальная сеть):

default via 6.2.3.9 dev enp10s1 onlink
10.0.0.0/24 dev enp14s0 proto kernel scope link src 10.0.0.1
10.1.0.0/24 via 6.2.3.10 dev enp10s1
6.2.3.8/30 dev enp10s1 proto kernel scope link src 6.2.3.10
192.168.88.0/24 via 10.0.0.10 dev enp14s0

ipsec status:

        offs[20]: ESTABLISHED 48 minutes ago, 6.2.3.10[6.2.3.10]...2.1.2.1[2.1.2.1]
        offs[20]: IKEv2 SPIs: xxxxxxx_i xxxxxxxx_r*, pre-shared key reauthentication in 7 minutes
        offs[20]: IKE proposal: AES_CBC_128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256
        offs{73}:  INSTALLED, TUNNEL, reqid 19, ESP SPIs: cf361ed5_i ce823a96_o
        offs{73}:  AES_CBC_128/HMAC_SHA2_256_128, 10646 bytes_i (149 pkts, 0s ago), 9035 bytes_o (158 pkts, 0s ago), rekeying in 12 minutes
        offs{73}:   10.0.0.0/24 === 10.1.0.0/24

Сеть 2: iptables-save:

# Generated by iptables-save v1.6.1 on Thu Aug 29 10:25:52 2019
*nat
:PREROUTING ACCEPT [2294:131588]
:INPUT ACCEPT [1671:100935]
:OUTPUT ACCEPT [24:2124]
:POSTROUTING ACCEPT [23:2008]
-A POSTROUTING -s 10.1.0.0/24 ! -d 10.1.0.0/24 -j MASQUERADE
-A POSTROUTING -s 10.1.0.0/24 ! -d 10.0.0.0/24 -j MASQUERADE
COMMIT
# Completed on Thu Aug 29 10:25:52 2019
# Generated by iptables-save v1.6.1 on Thu Aug 29 10:25:52 2019
*mangle
:PREROUTING ACCEPT [2948941:1992002246]
:INPUT ACCEPT [903119:143837306]
:FORWARD ACCEPT [2034616:1847703202]
:OUTPUT ACCEPT [2275415:1991608559]
:POSTROUTING ACCEPT [4310028:3839311356]
COMMIT
# Completed on Thu Aug 29 10:25:52 2019
# Generated by iptables-save v1.6.1 on Thu Aug 29 10:25:52 2019
*filter
:INPUT ACCEPT [288340:41817735]
:FORWARD ACCEPT [115102:18769946]
:OUTPUT ACCEPT [365171:280763846]
-A FORWARD -s 10.0.0.0/24 -d 10.1.0.0/24 -i ens19 -m policy --dir in --pol ipsec --reqid 28 --proto esp -j ACCEPT
-A FORWARD -s 10.1.0.0/24 -d 10.0.0.0/24 -o ens19 -m policy --dir out --pol ipsec --reqid 28 --proto esp -j ACCEPT
-A FORWARD -s 10.0.0.0/24 -d 10.1.0.0/24 -i ens19 -m policy --dir in --pol ipsec --reqid 3 --proto esp -j ACCEPT
-A FORWARD -s 10.1.0.0/24 -d 10.0.0.0/24 -o ens19 -m policy --dir out --pol ipsec --reqid 3 --proto esp -j ACCEPT
COMMIT
# Completed on Thu Aug 29 10:25:52 2019

ip route:

default via 2.1.2.1 dev ens19 proto dhcp src 2.1.2.1x metric 100
10.0.0.0/24 via 2.1.2.1x dev ens19
10.1.0.0/24 dev ens18 proto kernel scope link src 10.1.0.5
2.1.2.0/24 dev ens19 proto kernel scope link src 2.1.2.1x
2.1.2.1 dev ens19 proto dhcp scope link src 2.1.2.1 metric 100

ipsec status:

 offnet[31]: ESTABLISHED 41 seconds ago, 2.1.2.1[2.1.2.1]...6.2.3.10[6.2.3.10]
      offnet[31]: IKEv2 SPIs: xxxxxxx_i* xxxxxxxxxxx_r, pre-shared key reauthentication in 52 minutes
      offnet[31]: IKE proposal: AES_CBC_128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256
      offnet{90}:  INSTALLED, TUNNEL, reqid 32, ESP SPIs: c8ab2758_i c697e929_o
      offnet{90}:  AES_CBC_128/HMAC_SHA2_256_128, 203032 bytes_i (2352 pkts, 0s ago), 784258 bytes_o (1938 pkts, 0s ago), rekeying in 14 minutes
      offnet{90}:   10.1.0.0/24 === 10.0.0.0/24

Где мой бок?...

 ,

alexni
()

Внешняя учетная запись в zimbra

День добрый. Сталкивался кто, при добавлении внешней учетной записи IMAP в аккаунт вылазит «invalid request: Folder location conflict»

При чем это происходит только в учетных записях для одного домена (yyy.com), для остальных доменов (xxx.com) все отлично работает.

 

alexni
()

сервер как роутер и vpn шлюз в одном

Здравствуйте.

Мож кто подскажет как решить проблему. Есть сервер, который работает в качестве маршрутизатора. на нем dhcp раздает адреса в локальную сеть из 10.0.0.0/24, и добавлено iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -j MASQUERADE.

Все гут.

Поцепил на него strongswan, приконнектил к сети 10.1.0.0/24. Теперь 10.0.0.0/24 --> 10.1.0.0/24 не идет пока не уберу маскарад, это впринципе и понятно. но при убраном маскараде клиенты в локальной сети сидят без интернета.

Как быть?

 ,

alexni
()

strongswan multicast не идет в одну сторону

здравствуйте. иемю такую проблему на сервере

oroot@pve:~# omping -c 10000 -i 0.001 -F -q 10.10.0.17 10.10.0.21
10.10.0.21 : waiting for response msg
10.10.0.21 : joined (S,G) = (*, 232.43.211.234), pinging
10.10.0.21 : waiting for response msg
10.10.0.21 : server told us to stop

10.10.0.21 :   unicast, xmt/rcv/%loss = 9003/9003/0%, min/avg/max/std-dev = 0.150/0.262/5.712/0.189
10.10.0.21 : multicast, xmt/rcv/%loss = 9003/9003/0%, min/avg/max/std-dev = 0.169/0.287/5.724/0.191

на клиенте

omping -c 10000 -i 0.001 -F -q 10.10.0.17 10.10.0.21
10.10.0.17 : waiting for response msg
10.10.0.17 : joined (S,G) = (*, 232.43.211.234), pinging
10.10.0.17 : given amount of query messages was sent

10.10.0.17 :   unicast, xmt/rcv/%loss = 10000/9999/0%, min/avg/max/std-dev = 0.145/0.272/5.801/0.163
10.10.0.17 : multicast, xmt/rcv/%loss = 10000/0/100%, min/avg/max/std-dev = 0.000/0.000/0.000/0.000
это при конфиге сервер
conn host-host
	ikelifetime=60m
	keylife=20m
	rekeymargin=3m
	keyingtries=1
	authby=secret
	keyexchange=ikev2
	mobike=no
	left=5.5.5.5
	leftid=5.5.5.5
    leftsubnet=10.10.0.0/16,224.0.0.0/4
	leftfirewall=yes
	right=6.6.6.6
	rightid=6.6.6.6
    rightsubnet=%dynamic,10.10.0.0/16,10.10.255.255
    rightsourceip=10.10.0.20/30
    mark=%unique
	auto=add

клиент

conn host-host
	ikelifetime=60m
	keylife=20m
	rekeymargin=3m
	keyingtries=1
	authby=secret
	keyexchange=ikev2
	mobike=no
	left=6.6.6.6
	leftid=6.6.6.6
    leftsubnet=10.10.0.0/16,10.10.0.0/16
    leftsourceip=%config
	leftfirewall=yes
	right=5.5.5.5
	rightid=5.5.5.5
    rightsubnet=0.0.0.0/0
	auto=add

strongswan собирал вручную с --enable-forecast. мож я чет пропустил?

 ,

alexni
()

proxmox cluster

Сталкивался кто, не получается сделать кластер с 2х нод в разных сетях.

нода1 - 1.2.3.4 нода2 - 8.7.6.5

на первой pvecm create clust - создается кластер. на второй pvecm add 1.2.3.4 - спрашивает пароль, а потом

Dec 17 14:57:55 m11617 pmxcfs[7483]: [quorum] crit: quorum_initialize failed: 2
Dec 17 14:57:55 m11617 pmxcfs[7483]: [confdb] crit: cmap_initialize failed: 2
Dec 17 14:57:55 m11617 pmxcfs[7483]: [dcdb] crit: cpg_initialize failed: 2
Dec 17 14:57:55 m11617 pmxcfs[7483]: [status] crit: cpg_initialize failed: 2
Dec 17 14:58:00 m11617 systemd[1]: Starting Proxmox VE replication runner...
Dec 17 14:58:00 m11617 pvesr[8863]: error with cfs lock 'file-replication_cfg': no quorum!
Dec 17 14:58:00 m11617 systemd[1]: pvesr.service: Main process exited, code=exited, status=2/INVALIDARGUMENT
Dec 17 14:58:00 m11617 systemd[1]: Failed to start Proxmox VE replication runner.
Dec 17 14:58:00 m11617 systemd[1]: pvesr.service: Unit entered failed state.
Dec 17 14:58:00 m11617 systemd[1]: pvesr.service: Failed with result 'exit-code'.
Dec 17 14:58:01 m11617 pmxcfs[7483]: [quorum] crit: quorum_initialize failed: 2
Dec 17 14:58:01 m11617 pmxcfs[7483]: [confdb] crit: cmap_initialize failed: 2
Dec 17 14:58:01 m11617 pmxcfs[7483]: [dcdb] crit: cpg_initialize failed: 2
Dec 17 14:58:01 m11617 pmxcfs[7483]: [status] crit: cpg_initialize failed: 2
Dec 17 14:58:01 m11617 cron[3211]: (*system*vzdump) CAN'T OPEN SYMLINK (/etc/cron.d/vzdump)
Dec 17 14:58:07 m11617 pmxcfs[7483]: [quorum] crit: quorum_initialize failed: 2
Dec 17 14:58:07 m11617 pmxcfs[7483]: [confdb] crit: cmap_initialize failed: 2
Dec 17 14:58:07 m11617 pmxcfs[7483]: [dcdb] crit: cpg_initialize failed: 2
Dec 17 14:58:07 m11617 pmxcfs[7483]: [status] crit: cpg_initialize failed: 2
Dec 17 14:58:13 m11617 pmxcfs[7483]: [quorum] crit: quorum_initialize failed: 2
Dec 17 14:58:13 m11617 pmxcfs[7483]: [confdb] crit: cmap_initialize failed: 2
Dec 17 14:58:13 m11617 pmxcfs[7483]: [dcdb] crit: cpg_initialize failed: 2
Dec 17 14:58:13 m11617 pmxcfs[7483]: [status] crit: cpg_initialize failed: 2

вот такая ругня... при чем в кластер нода как-бы добавляется и показывается, но доступа к ней нет.

proxmox 5.3-5

 ,

alexni
()

DHCP для двух нод proxmox

Здравствуйте.

Собрал кластер у proxmox'a. на одном сервере работает VM в качастве DHCP+BOOTP. как заставить ее раздавать IP для другого сервера?

serv1: a.b.c.d

serv2: x.y.z.f

имеется ввиду что сервера в разных сетях...

 ,

alexni
()

Strongswan сервер и клиент

здравствуйте.

есть задача. имеется железка с 2мя интерфейсами и установленным strongswan, которая работает как l2tp\ipsec (для обезьян с android) и ikev2 сервер. народ к ней норм подключается получает доступ к сети офиса.

Теперь стала задача сделать эту железячку еще и клиентом, который будет подключаться к другой сети.

если подкидываю в ipsec.conf

conn ne
  keyexchange=ikev2
  dpdaction=clear
  dpddelay=300s
  eap_identity="neoff"
  leftauth=eap-mschapv2
  left=%defaultroute
  leftsourceip=%config
  right=1.1.1.1
  rightauth=pubkey
  rightsubnet=1.1.1.0/29
  rightid=%any
  type=tunnel
  auto=add 

и делаю ipsec up ne то отпадает сервер.

как тут быть?

 

alexni
()

RSS подписка на новые темы