Есть домашний NAS, к нему APC UPS по USB подключен (драйвер NUT - usbhid-ups) - и он отваливается иногда по нескольку раз в день, перезапустишь upsd - всё работает дальше какое-то время.
В dmesg пусто, то есть само устройство от хоста не отваливается. Настроен тупо:
[apc]
driver = usbhid-ups
port = auto
vendorid = 051d
NUT 2.7.2 из реп Jessie. C apcupsd, судя по всему, работает хорошо, но он мне по ряду причин не подходит.
Есть у меня некий сервер (CentOS 6.7, ядро 3.10), на нём на интерфейсе eth0 висит DNS-сервер NSD.
Есть ещё два интерфейса, eth2 и eth3, IP-адресами на которых управляет Keepalived. Сами же хартбиты VRRP между Keepalived ходят по eth0 уникастом.
Так вот, пока Keepalived не запущен, NSD работает хорошо - долблю его dnsperf-ом, около 200к запросов в сек обслуживает. Как только же запускаю keepalived и он поднимает несколько адресов на eth2 и eth3 (и, в принципе, никоим образом не должен влиять на eth0) - NSD сразу ломается: отвечает на 7-10 запросов и замирает на насколько секунд.. потом ещё отвечает на несколько и опять замирает.
На выходе примерно такая картина:
Queries sent: 1537
Queries completed: 37 (2.41%)
Queries lost: 1000 (65.06%)
Queries interrupted: 500 (32.53%)
Причём, если потушить Keepalived - ничего не лечится. Только ребут, только хардкор. После всё так же - до запуска Keepalived всё хорошо, потом - ахтунг. В tcpdump ничего интересного не видно - пачка запросов приходит, а ответов уходит только на несколько.
При этом я рулю сервером именно через этот eth0 по SSH - никаких проблем не наблюдается.
Что-то я уже всё перебрал - не могу понять причин такого поведения...
Перенёс с одного компа ОСь (Debian Jessie) целиком на другой, заодно ядро своё самосбороное прикрутил (пришлось по разным причинам) - перестал загружаться Gnome - просто чёрный экран с курсором в углу. Иксы, судя по их логам, стартуют Ок. Видео - встроенный интель.
В логах:
Nov 8 20:41:19 artek-htpc dbus[3223]: [system] Failed to activate service 'org.freedesktop.RealtimeKit1': timed out
Nov 8 20:41:19 artek-htpc dbus[3223]: [system] Activating via systemd: service name='org.freedesktop.RealtimeKit1' unit='rtkit-daemon.service'
Nov 8 20:41:19 artek-htpc systemd[1]: Starting RealtimeKit Scheduling Policy Service...
Nov 8 20:41:19 artek-htpc systemd[4019]: Failed at step NETWORK spawning /usr/lib/rtkit/rtkit-daemon: Invalid argument
Nov 8 20:41:19 artek-htpc systemd[1]: rtkit-daemon.service: main process exited, code=exited, status=225/NETWORK
Nov 8 20:41:19 artek-htpc systemd[1]: Failed to start RealtimeKit Scheduling Policy Service.
Nov 8 20:41:19 artek-htpc systemd[1]: Unit rtkit-daemon.service entered failed state.
Хочу немного оптимизировать правила.
Всё ок, кроме того что у меня не срабатывает match по set-у с типом hash:ip,port в цепочке FORWARD.
Так не работает:
# ipset create FORWARD hash:ip,port
# ipset add FORWARD 192.168.0.1,tcp:22
# iptables -A FORWARD -m set --match-set FORWARD dst -j ACCEPT
Так работает:
# iptables -A FORWARD -d 192.168.0.1 -p TCP --dport 22 -j ACCEPT
ЧЯДНТ? OpenWRT 14.07
Есть две очереди, для верности идентичные, различаются только номером, вида:
[999]
announce-frequency=0
announce-holdtime=no
announce-position=no
autofill=no
eventmemberstatus=no
eventwhencalled=no
joinempty=yes
leavewhenempty=no
maxlen=0
music=krpro-moh
periodic-announce-frequency=0
queue-callswaiting=silence/1
queue-thereare=silence/1
queue-youarenext=silence/1
reportholdtime=no
retry=1
ringinuse=yes
servicelevel=60
strategy=linear
timeout=20
weight=0
wrapuptime=0
member=Local/xxxxxxxxxxxx@from-queue/n,0
member=Local/yyyyyyyyyyyy@from-queue/n,0
Во второй очереди с этим проблем нет, номера в астериске видятся в той последовательности, в которой они в конфиге:
> queue show 999
999 has 0 calls (max unlimited) in 'linear' strategy (0s holdtime, 0s talktime), W:0, C:0, A:6, SL:0.0% within 60s
Members:
Local/xxxxxxxxxxxx@from-queue/n (ringinuse enabled) (Not in use) has taken no calls yet
Local/yyyyyyyyyyyy@from-queue/n (ringinuse enabled) (Not in use) has taken no calls yet
No Callers
В другой же очереди (отличается только номером), агенты загружаются в определённой (обратной конфигу) последовательности вне зависимости от их порядка в конфиге:
> queue show 90101
90101 has 0 calls (max unlimited) in 'linear' strategy (4s holdtime, 57s talktime), W:0, C:2, A:1, SL:100.0% within 60s
Members:
Local/yyyyyyyyyyyy@from-queue/n (ringinuse enabled) (Not in use) has taken no calls yet
Local/xxxxxxxxxxxx@from-queue/n (ringinuse enabled) (Not in use) has taken no calls yet
No Callers
Астериск 11.15
В nginx сабж работает сам собой, а с хапроски приходится трахаться.
Добрый дядя написал скрипт, который всё должен делать сам, но что-то не работает: https://github.com/pierky/haproxy-ocsp-stapling-updater
Дано: wildard sha256 сертификат от Comodo.
Делаю вручную:
# openssl ocsp -issuer cert.issuer -cert cert.pem -host ocsp.comodoca.com:80 -respout resp.der
WARNING: no nonce in response
Response Verify Failure
140025804342952:error:27069076:OCSP routines:OCSP_basic_verify:signer certificate not found:ocsp_vfy.c:85:
cert.pem: good
This Update: Jun 28 01:03:47 2015 GMT
Next Update: Jul 2 01:03:47 2015 GMT
Далее толкаю его в haproxy:
# echo "set ssl ocsp-response $(base64 -w 10000 resp.der)" | socat stdio /var/run/haproxy-http.sock
OCSP single response: Certificate ID does not match any certificate or issuer.
Если же этот OCSP ответ положить под именем cert.pem.ocsp, то haproxy его всосёт при старте и всё работает пока тот не истечёт.
Куды копать. камрады?
Есть много девайсов разной дохлости (ARM, Geode etc), которые подключаются к другому чуть менее дохлому девайсу по OpenVPN со статическим ключом. По туннелям ходит OSPF.
Из-за дохлости скорость OpenVPN желает лучшего. Плюс у некоторых девайсов есть хардварные акселераторы шифрования, который в ядре юзаются автоматом, а из юзерспейса нужно ибаццо (cryptodev etc).
Посоветуйте аналог.
Требования:
- Выделенный интерфейс на каждый туннель (IPSEC VTI?) для OSPF
- В ядре
- Нормальная работа клиентов из-за NAT-а.
StrongSwan вроде что-то такое умеет (IPSEC-over-NAT-T + VTI?), у кого есть опыт?
Есть два девайса с кваггой (роутер с OpenWRT и сервер с дебияном). Между ними прямая Ethernet связность, потерь пакетов нет, настроен OSPF.
В логи постоянно валится:
2015/05/26 07:02:28 OSPF: AdjChg: Nbr 192.168.22.3 on eth0.3:192.168.253.2: Full -> ExStart (SeqNumberMismatch)
2015/05/26 07:02:28 OSPF: nsm_change_state(192.168.22.3, Full -> ExStart): scheduling new router-LSA origination
2015/05/26 07:02:33 OSPF: Packet[DD]: Neighbor 192.168.22.3 Negotiation done (Slave).
2015/05/26 07:02:33 OSPF: AdjChg: Nbr 192.168.22.3 on eth0.3:192.168.253.2: Loading -> Full (LoadingDone)
2015/05/26 07:02:33 OSPF: nsm_change_state(192.168.22.3, Loading -> Full): scheduling new router-LSA origination
2015/05/26 07:13:08 OSPF: AdjChg: Nbr 192.168.22.3 on eth0.3:192.168.253.2: Full -> ExStart (SeqNumberMismatch)
2015/05/26 07:13:08 OSPF: nsm_change_state(192.168.22.3, Full -> ExStart): scheduling new router-LSA origination
2015/05/26 07:13:13 OSPF: Packet[DD]: Neighbor 192.168.22.3 Negotiation done (Slave).
2015/05/26 07:13:13 OSPF: AdjChg: Nbr 192.168.22.3 on eth0.3:192.168.253.2: Loading -> Full (LoadingDone)
2015/05/26 07:13:13 OSPF: nsm_change_state(192.168.22.3, Loading -> Full): scheduling new router-LSA origination
2015/05/26 08:05:59 OSPF: AdjChg: Nbr 192.168.22.3 on eth0.3:192.168.253.2: Full -> ExStart (SeqNumberMismatch)
2015/05/26 08:05:59 OSPF: nsm_change_state(192.168.22.3, Full -> ExStart): scheduling new router-LSA origination
2015/05/26 08:06:04 OSPF: Packet[DD]: Neighbor 192.168.22.3 Negotiation done (Slave).
2015/05/26 08:06:04 OSPF: AdjChg: Nbr 192.168.22.3 on eth0.3:192.168.253.2: Loading -> Full (LoadingDone)
2015/05/26 08:06:04 OSPF: nsm_change_state(192.168.22.3, Loading -> Full): scheduling new router-LSA origination
2015/05/26 08:40:59 OSPF: AdjChg: Nbr 192.168.22.3 on eth0.3:192.168.253.2: Full -> ExStart (SeqNumberMismatch)
2015/05/26 08:40:59 OSPF: nsm_change_state(192.168.22.3, Full -> ExStart): scheduling new router-LSA origination
2015/05/26 08:41:04 OSPF: Packet[DD]: Neighbor 192.168.22.3 Negotiation done (Slave).
2015/05/26 08:41:04 OSPF: AdjChg: Nbr 192.168.22.3 on eth0.3:192.168.253.2: Loading -> Full (LoadingDone)
2015/05/26 08:41:04 OSPF: nsm_change_state(192.168.22.3, Loading -> Full): scheduling new router-LSA origination
На дебияне штатная версия 0.99.22.4-1+wheezy1, на опенврт - 0.99.22.3-1
Конфиги простейшие:
interface eth0.3
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 xxx
ip ospf hello-interval 10
ip ospf dead-interval 20
ip ospf priority 100
ip ospf cost 1
ip ospf network broadcast
router ospf
log-adjacency-changes
ospf router-id 192.168.22.3
network 192.168.22.0/24 area 22
network 192.168.253.0/24 area 0
area 22 stub
area 0 authentication message-digest
Куда бежать? Причем помимо этого роутера ещё есть их штук 5 к этому серверу подрубленных (правда уже по OpenVPN TAP), многие с более древней кваггой 0.99.21-6, проблем с ними нет.
Почтарь Debian 7, Postfix, postfix-policyd-spf-python-1.3.1
Начали вылезать странные ошибки:
May 20 11:01:03 dm-proxy1 policyd-spf[12701]: spfcheck: pyspf result: "['Permerror', 'SPF Permanent Error: redirect domain has no SPF record: nicmail.ru', 'mailfrom']"
May 20 11:01:03 dm-proxy1 policyd-spf[12701]: Permerror; identity=mailfrom; client-ip=194.85.88.227; helo=relay01.nicmail.ru; envelope-from=aaa@aaa.ru; receiver=bbb@mydomain.ru
У домена aaa.ru стоит запись SPF:
v=spf1 redirect=nicmail.ru
И у nicmail.ru всё с TXT хорошо:
v=spf1 ip4:194.85.88.224/27 ip4:195.208.3.0/24 ip4:195.208.4.0/24 ip4:195.208.5.0/24 ip4:195.208.6.0/24 ip4:212.193.224.250 ip4:212.193.224.251 ip4:212.192.194.3 ?all
Внешние проверяльщики SPF тоже не находят у них проблем, значит лажает мой проверяльщик.
Аналогично он сегодня отбросил письмо с одного домена, у которого нет редиректов и при ручной проверке проблем с SPF не было обнаружено.
Куда бежать, кого звать? :) Менять проверялку SPF?
Есть Asterisk в виде Elastix, на нём пишутся в WAV звонки стандартными методами. Проблема в том, что при звонке на мобильные в записи при достаточно громком (но не очень) голосе вылезает шипение.
Поглядел в Audacity - амплитуда очень часто упирается в максимумы: https://novg.net/cloud/index.php/s/eMTCAWhGinC3r9W/download
Аппараты Yealink SIP, выход в город через H.323 транк, если это имеет значение.
Попробовал в функции MixMonitor выставить опцию W(-4) для понижения громкости - почти никак не повлияло.
Что ещё можно предпринять? Во время разговора проблема не возникает, звук нормальный более или менее. В записи - беда.
А, по сути, только Corosync.
У меня есть два сервера, которые подключены к свичам некоторыми портами, а другими - напрямую друг к другу.
Эти два соединения образуют кольца Corosync.
Ещё я хочу третий сервер снаружи всего этого дела прикрутить чтобы создавал кворум в кластере (да, я в курсе что можно и два, но так надёжнее).
Так вот, этот сервер может общаться с другими двумя только по кольцу через коммутаторы, второе кольцо (кроссовер между серверами) ему, ессесно, недоступно.
Так вот, когда я запускаю Corosync на третьем сервере (в его конфиге только 1 кольцо), то второе кольцо на других двух серверах падает, т.к. Corosync не может найти IP первого сервера в этом кольце (ибо его нет) и передать ему пакеты.
Внимание, вопрос - как можно обойти эту проблему? Чтобы сервера 1 и 2 общались друг с другом по двум кольцам, а с сервером 3 только по одному?
Есть очередь, в ней только мобильные номера. Нужно сделать чтобы каждый агент *звонил* N секунд, потом переходило на другого. В данный момент таймаут очереди включает в себя и время соединения с сотовым, которое сильно зависит от погоды на Марсе. В результате телефон звонит всегда разное время.
Asterisk отлично определяет когда телефон звонит:
[Feb 11 13:15:25] VERBOSE[20981][C-000248be] app_dial.c: -- Called OOH323/avaya/8963xxxxxxx
[Feb 11 13:15:32] VERBOSE[20981][C-000248be] app_dial.c: -- OOH323/avaya-78070 is ringing
Вопрос - можно ли заставить очередь считать timeout от момента Ringing, а не Called?
Дано - есть сервер на линупсе (виртуалка), там маршрутов помимо дефолтного на цыску и локальных нет. Динамики тоже нет.
В какой-то момент одна из удаленных сетей (анонсируемых цыске по оспф) перестаёт его видеть. На цыске маршрут есть, всё ОК.
Но сервер с дефолтом на нее показывает странный трейс:
# traceroute 10.21.1.27
traceroute to 10.21.1.27 (10.21.1.27), 30 hops max, 60 byte packets
1 <роутер провайдера> 3.508 ms 3.480 ms 3.462 ms
2 <еще роутер провайдера> 3.764 ms 3.769 ms 3.760 ms
...
Решение: ip route flush cache и всё начинает бегать как надо. Вопрос: какого хрена? такое случает очень редко, на моей памяти два-три раза. Откуда берётся кривая запись в кеше и почему он не синхронизирован с текущей таблицей маршрутов? Ведро 3.14.22
На других серверах такой проблемы не наблюдаю, хотя они все почти идентичны (ВМ леплены из одного шаблона и обновляются вместе обычно).
Мне нужно отформатированное cryptsetup-ом в LUKS блочное устройство подключать сразу с двух или более серверов.
Вопрос: оно какие-то изменения при cryptsetup luksOpen делает в метаданных? Насколько я понимаю - нет, только читает, но мало ли. Если оба хоста будут монтировать одновременно, то возможны конфликты.
Если что, то поверх будет кластерная ФС, поэтому там с блокировками проблем нет.
Есть сабж в форме Elastix, в нём очередь в которой сидит коллцентр.
Некоторые звонки (до 5%) почему-то отбрасываются когда оператор берёт трубку.
В логе:
...
[Nov 18 13:13:58] VERBOSE[2419][C-000004ef] netsock2.c: == Using SIP RTP TOS bits 184
[Nov 18 13:13:58] VERBOSE[2419][C-000004ef] netsock2.c: == Using SIP RTP CoS mark 5
[Nov 18 13:13:58] VERBOSE[2419][C-000004ef] app_dial.c: -- Called SIP/1715
[Nov 18 13:13:58] VERBOSE[2366][C-000004ef] app_queue.c: -- Local/1715@from-queue-000001c9;1 is ringing
[Nov 18 13:13:58] VERBOSE[2419][C-000004ef] app_dial.c: -- SIP/1715-000006c6 is ringing
[Nov 18 13:13:58] VERBOSE[2366][C-000004ef] app_queue.c: -- Local/1715@from-queue-000001c9;1 is ringing
[Nov 18 13:14:01] VERBOSE[2366][C-000004ef] res_musiconhold.c: -- Stopped music on hold on OOH323/avaya-664
[Nov 18 13:14:01] VERBOSE[2419][C-000004ef] app_macro.c: == Spawn extension (macro-dial-one, s, 37) exited non-zero on 'Local/1715@from-queue-000001c9;2' in macro 'dial-one'
[Nov 18 13:14:01] VERBOSE[2419][C-000004ef] app_macro.c: == Spawn extension (macro-exten-vm, s, 9) exited non-zero on 'Local/1715@from-queue-000001c9;2' in macro 'exten-vm'
...
Есть какие-то идеи?
Кто-нибудь юзал http://opendedup.org/
Я увидел что оно написано на яве и пришёл к выводу - говно.
Может какие-то аналоги есть? LessFS еще есть, но там предлагают создавать образы поверх обычной ФС, что не айс.
Столкнулся тут со странной темой - вывел из одного из основных почтовых доменов часть пользователь на другой, зарегестрированный пару недель назад.
В зоне всё настроено как обычно:
1. SPF прописан
2. DKIM прописан, письма подписываются нужным ключом
3. Даже DNSSEC настроен сверху до низу
4. Обратные зоны и т.п. всё от основного домена т.к. MX в нём
И в первую неделю работы полезли жалобы что почта не доходит до некоторых адресатов, которые, похоже, сидят на эксченджах и мдаймонах (внешние МТА эксченджи, всмысле).
И отбивают они письма с малоинформативными ошибками типа:
550 Administrative prohibition
554 Sorry, message looks like spam or phish to me
Первые какие-то итальяшки и добиться от них сложно что-то, но вроде добавили в белый список или вроде того, письма пошли.
Так вот вопрос: я не особо видел энтерпрайзных антиспам решений, но может быть такое, что они проверяют дату регистрации домена? Мол меньше месяца назад заведён - иди нафиг. Понятное дело, что с RFC это не имеет ничего общего, но мало ли.
Других отличий я найти не могу.
Есть Астериск 11 в виде Elastix, там есть очередь для коллцентра.
И есть приблуда, которая читает /var/log/asterisk/queue_log и строит из этого статистику.
Так вот почему-то в этот лог не попадают события о переводе звонка оператором колл-центра, хотя в описании лога такое событие есть:
TRANSFER(extension|context|holdtime|calltime)
Caller was transferred to a different extension. Context and extension
are recorded. The caller's hold time and the length of the call are both
recorded. PLEASE remember that transfers performed by SIP UA's by way
of a reinvite may not always be caught by Asterisk and trigger off this
event. The only way to be 100% sure that you will get this event when
a transfer is performed by a queue member is to use the built-in transfer
functionality of Asterisk.
1412083814|1412083813.14412|999|NONE|ENTERQUEUE||7777777777|1
1412083816|1412083813.14412|999|Igor|CONNECT|2|1412083814.14413|2
1412083840|1412083813.14412|999|Igor|COMPLETEAGENT|2|24|1
Есть у меня помимо множества дебианов пара серверов с центосью 5 (АТСки Elastix). И хотелось бы мне их ансиблой тоже управлять.
Написал простой конфиг (положить файл из шаблона и рестартануть сервис):
---
- hosts: all
remote_user: root
tasks:
- name: Update NTP config
template: src=/etc/ansible/files/ntp.conf dest=/etc/ntp.conf
notify:
- restart ntp
handlers:
- name: restart ntp
service: name=ntp state=restarted
TASK: [Update NTP config] *****************************************************
failed: [10.1.0.190] => {"failed": true, "parsed": false}
File "/root/.ansible/tmp/ansible-tmp-1411211504.49-115614792001418/file", line 342
except SystemExit as e:
^
SyntaxError: invalid syntax
В доках ансибля сказано что питон 2.4 поддерживается если поставить python-json, я его поставил.
ЧЯДНТ?
Собсно, сабж. Есть, к примеру, кластер из 2-3 балансировщиков нагрузки, которые проксируют TCP-коннекты на бэкенды. И хотелось бы при падении активного сервера и фейловере на другой хост чтобы коннекты не рвались.
Из того что я видел такое умеет Cisco ASA в режиме active/standby failover, оно у меня отлично работает, но возможностей по проксированию-балансировке у нее не особо, да и вообще оффтопик. А так красиво:
Stateful Failover Logical Update Statistics
Link : failover_link Redundant1 (up)
Stateful Obj xmit xerr rcv rerr
General 2612394775 1555 36579464 12204
sys cmd 3074311 0 3074311 0
up time 0 0 0 0
RPC services 0 0 0 0
TCP conn 557057795 46 4896286 2164
UDP conn 2050356561 1509 28570644 10040
ARP tbl 999269 0 10759 0
Xlate_Timeout 0 0 0 0
IPv6 ND tbl 0 0 0 0
VPN IKEv1 SA 74370 0 292 0
VPN IKEv1 P2 81888 0 593 0
VPN IKEv2 SA 0 0 0 0
VPN IKEv2 P2 0 0 0 0
VPN CTCP upd 0 0 0 0
VPN SDI upd 0 0 0 0
VPN DHCP upd 0 0 0 0
SIP Session 0 0 0 0
Route Session 715624 0 26555 0
User-Identity 34957 0 24 0
Logical Update Queue Information
Cur Max Total
Recv Q: 0 41 37291334
Xmit Q: 0 880 2695414890
Так вот гугль я гуглил, но законченного решения не нашел, какие-то статьи научные на эту тему, студенческие поделки и еще что-то.
Такого нет?
| ← предыдущие | следующие → |