Сообщения kresh1

Объединение локальнойсет или доп канал связи

Есть локальная сеть в двух территориально разделенных помещениях с выделенным каналом связи между ними (от провайдера). домен, диапазон адресов из сети 192.168.1.0/24, раздается по dhcp на оба помещения (корпуса). Есть 1 постоянный ip адрес то провайдера. Проблема. Иногда по тем или иным причинам падает канал связи и в оном из корпусов падает все,то, что раздается по dhcp. Задача продублировать (постоянный) канал связи между корпусами безболезненно для пользователей. Рассматривался вариант pfsense openvpn (peer to peer), но удалось настроить только если ip дреса разные, например в 1 корпусе 192.168.1.0/24, а во втором 192.168.2.0/24 т.е. в одном случае

 openvpn server
IPv4 Remote network(s) 192.168.1.0/24

в другом

 openvpn client
IPv4 Remote network(s) 192.168.2.0/24

При таком раскладе все работает, но нужно, чтобы на обоих машинах был 1 диапазон ip адресов 192.168.1.0/24 при такой же схеме пингуется wan интерфей соседней машины и все. доступа до ресурсов нет.

openvpn, pfsense

kresh1
(13.07.19 16:41:07 MSK)

4 комментария

calculate

Подскажите шаблон для изменения стартовой страницы, поисковой системы в веб браузере для клиентов Xfce Education? На офф.сайте есть версия для kde но в моем случае не завелось.(данный вид шаблона я считаю не поддерживается) Еще нужно автоматически на все клиенты в браузер например firefox установить сертификат? подскажите как это сделать. хотелось бы по шагам, спасибо!

calculate, template

kresh1
(26.03.19 16:06:18 MSK)

ubuntu18.4 netplan

есть

network:
    ethernets:
        ens18:
            addresses:
            - 192.168.0.13/24
            - 10.10.10.200/24
            dhcp4: false
            gateway4: 192.168.0.1
            nameservers:
                addresses:
                - 192.168.0.1
                search: []
    version: 2

вывод

ip addr | grep inet
    inet 192.168.0.13/24 brd 192.168.0.255 
    inet 10.10.10.200/24 brd 10.10.10.255

как мне повесить второй ip на ens18:1? (алиасом). как в debian 8

iface eth0:1 inet static

или как настроить сеть через

cat /etc/network/interfaces 
# ifupdown has been replaced by netplan(5) on this system.  See
# /etc/netplan for current configuration.
# To re-enable ifupdown on this system, you can run:
#    sudo apt install ifupdo

netplan, network, ubuntu, ubuntu server

kresh1
(28.02.19 10:52:26 MSK)

5 комментариев

нужен совет по samba cluster

есть

samba4 ad dc, файловый сервер samba

. это все географически расположено в одном месте. а вот в конторе 2 корпуса и если выключается свет в том корпусе где стоит железо, то все отпадывает и во втором.

samba ad dc

решается подключением второго samba ad dc, а вот с файловым сервером все сложнее. вопрос как обыграть его?? именно файловый сервер для виндовых машин.

cluster, samba

kresh1
(21.12.18 11:59:26 MSK)

1 комментарий

squid, iptables, openmeetings

есть

 debian gw0 squid eth0(lan) eth0:1(wan)


iptables -n -L -v --line-numbers
Chain INPUT (policy ACCEPT 554K packets, 32M bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1      11M 9552M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
2       61  3996 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
3       94  7770 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
4        9   592 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
5    94228 7249K ACCEPT     udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            udp dpt:53
6        2   112 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53
7     6017  311K ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80

Chain FORWARD (policy ACCEPT 194K packets, 12M bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1       15  1140 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT 12M packets, 9793M bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:143
2        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:995
3      210 12555 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53
4     192K   14M ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:53

В squid открыты порты

acl Safe_ports port 1025-65535

для работы openmeetings(находится в локальной сети) нужно открыть порты 5080,1935 в squid и на роутере -открыто. Если из локальной сети обратится по доменному имени на openmeetings.origin.ru:5080, то сайт открывается, но когда входишь в профель на сайте, он начинается грузится и грузится не загружается. Я думаю, что трафик от клиента в локальной сети заворачивается на squid port 3128-> уходит на сайn, но обратно вернуться не может доходит до шлюза. на gw при обращении клиента к сайту из локалки в инет

tcpdump port 5080
14:53:36.637310 IP > 192.168.0.10.41540: Flags [.], ack 1013755, win 1582, options [nop,nop,TS val 4892264 ecr 20201615], length 0
14:53:36.638708 IP 5080 > 192.168.0.10.41540: Flags [.], ack 1016651, win 1817, options [nop,nop,TS val 4892264 ecr 20201615], length 0
14:53:36.639405 IP 5080 > 192.168.0.10.41540: Flags [.], ack 1019547, win 1943, options [nop,nop,TS val 4892264 ecr 20201615], length 0
14:53:36.639412 .5080 > 192.168.0.10.41540: Flags [.], ack 1022443, win 1943, options [nop,nop,TS val 4892264 ecr 20201615], length 0
14:53:36.639415 IP 5080 > 192.168.0.10.41540: Flags [.], ack 1025339, win 1943, options [nop,nop,TS val 4892265 ecr 20201615], length 0
14:53:36.639417 IP .5080 > 192.168.0.10.41540: Flags [.], ack 1028235, win 1943, options [nop,nop,TS val 4892265 ecr 20201615], length 0
14:53:36.639419 .5080 > 192.168.0.10.41540: Flags [.], ack 1031131, win 1943, options [nop,nop,TS val 4892265 ecr 20201616], length 0
14:53:36.639421 IP .5080 > 192.168.0.10.41540: Flags [.], ack 1034027, win 1943, options [nop,nop,TS val 4892265 ecr 20201616], length 0
14:53:36.639423 IP .5080 > 192.168.0.10.41540: Flags [.], ack 1036923, win 1943, options [nop,nop,TS val 4892266 ecr 20201616], length 0
14:53:36.639608 IP .5080 > 192.168.0.10.41540: Flags [.], ack 1039819, win 1943, options [nop,nop,TS val 4892266 ecr 20201616], length 0
14:53:36.639899 IP .5080 > 192.168.0.10.41540: Flags [.], ack 1042715, win 1943, options [nop,nop,TS val 4892266 ecr 20201616], length 0
14:53:36.640145 IP .5080 > 192.168.0.10.41540: Flags [.], ack 1045611, win 1943, options [nop,nop,TS val 4892266 ecr 20201616], length 0
14:53:36.640411 IP .5080 > 192.168.0.10.41540: Flags [.], ack 1048507, win 1943, options [nop,nop,TS val 4892267 ecr 20201616], length 0
14:53:36.640524 IP .5080 > 192.168.0.10.41540: Flags [.], ack 1049530, win 1946, options [nop,nop,TS val 4892267 ecr 20201616], length 0

Пакеты весят «0» напишите, пожалуйста в чем косяк и как его решить?

iptables, openmeetings, squid3

kresh1
(04.12.18 14:59:44 MSK)

11 комментариев

ufw proftp

ufw default deny incoming
ufw default allow outgoing

есть samba подключена через профиль

cat  /etc/ufw/applications.d/samba
[Samba]
title=Samba 
description=Samba
ports=53|88|135/tcp|137/udp|138/udp|139/tcp|389|445/tcp|464|636/tcp|1024:5000/tcp|3268/tcp|3269/tcp|5353

работает так

ufw sudo ufw allow from 192.168.192.1 to any app samba

есть

proftp

cat /etc/ufw/applications.d/proftp1
[proftp1]
title=proftp1 
description=proftp1
ports=21/tcp|4000:7000

при выполнении команды

ufw sudo ufw allow from 192.168.192.1 to any app proftp1

выходит ошибка

ERROR: не найден профиль соответствующий "proftp1"

1.вопрос, что не так? при выполнении команды

ufw allow from 192.168.192.1 to any port 4000:7000/tcp

в разной вариации ошибка интервал портов должен быть численным.

2.второй вопрос как правильно указать данные? думаю, что дело в синтаксисе.

мне нужно указать, что к proftp может подключаться, только один ip адрес

proftpd, ufw

kresh1
(15.11.18 15:14:12 MSK)

2 комментария

ovirt4.2

есть

centos7 server,ovirt4.2.ovirt-engine

при добавлении нового хоста ошибка

Host ovirtcli0 installation failed. Command returned failure code 1 during SSH session 'root@10.168.0.125'.

лог

cat /var/log/ovirt-engine/host-deploy/ovirt-host-deploy-20181101132512-.log  | grep ERROR
 ERROR otopi.context context._executeMethod:152 Failed to execute stage 'Setup validation': Hardware does not support virtualization
 DEBUG otopi.context context.dumpEnvironment:869 ENV BASE/error=bool:'False'
 DEBUG otopi.context context.dumpEnvironment:869 ENV BASE/error=bool:'False'
DEBUG otopi.context context.dumpEnvironment:869 ENV BASE/error=bool:'True'
DEBUG otopi.context context.dumpEnvironment:869 ENV BASE/error=bool:'True'
 DEBUG otopi.plugins.otopi.dialog.machine dialog.__logString:204 DIALOG:RECEIVE    env-get -k BASE/error
 DEBUG otopi.plugins.otopi.dialog.machine dialog.__logString:204 DIALOG:SEND       ***D:VALUE BASE/error=bool:True

по ssh под rootом на host зайти могу пробовал host ввести в кластер из vb или на рабочем железе с поддержкой виртуализации, в чем может быть дело?

deploy, ovirt

kresh1
(01.11.18 13:50:29 MSK)

8 комментариев

Помогите советом nexcloud onlyoffice

Подскажите, можно ли за пилить nexcloud и onlyoffice на одной host машине с апачем? а то у меня не получается). если поставить nexcloud то не работает onlyoffice и наоборот. работает на разных хостах.

httpd, onlyoffice

kresh1
(15.06.18 10:48:48 MSK)

5 комментариев

openvpn debian

клиент цепляется к серверу и дальше никуда, нужно пробросить маршрут в 40 подсеть.

система

debian 9

network в интернет ens18, в сеть ens18:0

allow-hotplug ens18
iface ens18 inet static
        address 192.168.0.35
        netmask 255.255.255.0
        gateway 192.168.0.1
        # dns-* options are implemented by the resolvconf package, if installed
        dns-nameservers 192.168.0.1


iface ens18:0  inet static
        address 192.168.40.35
        netmask 255.255.255.0
auto ens18:0

последний конфиг

cat /etc/openvpn/server.conf
local 192.168.0.35
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key  # This file should be kept secret
dh dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.40.0 255.255.255.0"
client-config-dir ccd
client-to-client
keepalive 10 120
tls-auth ta.key 0 # This file is secret
cipher AES-256-CBC
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 9
explicit-exit-notify 1

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ens18:0 -j MASQUERADE

sysctl -p
net.ipv4.ip_forward = 1

cat /etc/openvpn/ccd/client1

на клиенте

client
dev tun
proto udp
remote XX.XX.XX.XX 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\config\\client1.crt"
key "C:\\Program Files\\OpenVPN\\config\\client1.key"
tls-auth "C:\\Program Files\\OpenVPN\\config\\ta.key" 1
auth-nocache
verb 9
cipher AES-256-CBC
mute 20
comp-lzo

Лог на клиенте

Notified TAP-Windows driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {E3CE95EA-2B8E-4A68-AD1B-89B9C5FE84C5} [DHCP-serv: 10.8.0.5, lease-time: 31536000]
Tue Mar 13 12:44:02 2018 Successful ARP Flush on interface [12] {E3CE95EA-2B8E-4A68-AD1B-89B9C5FE84C5}
Tue Mar 13 12:44:02 2018 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Tue Mar 13 12:44:02 2018 MANAGEMENT: >STATE:1520934242,ASSIGN_IP,,10.8.0.6,,,,
Tue Mar 13 12:44:07 2018 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Tue Mar 13 12:44:07 2018 MANAGEMENT: >STATE:1520934247,ADD_ROUTES,,,,,,
Tue Mar 13 12:44:07 2018 C:\Windows\system32\route.exe ADD 192.168.40.0 MASK 255.255.255.0 10.8.0.5
Tue Mar 13 12:44:07 2018 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=20 and dwForwardType=4
Tue Mar 13 12:44:07 2018 Route addition via IPAPI succeeded [adaptive]
Tue Mar 13 12:44:07 2018 C:\Windows\system32\route.exe ADD 10.8.0.0 MASK 255.255.255.0 10.8.0.5
Tue Mar 13 12:44:07 2018 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=20 and dwForwardType=4
Tue Mar 13 12:44:07 2018 Route addition via IPAPI succeeded [adaptive]
Tue Mar 13 12:44:07 2018 Initialization Sequence Completed

при добавлении в client1 маршрута на 40 подсеть и ip адреса 192.168.40.2-результата не дало/

debian, openvpn

kresh1
(13.03.18 13:01:53 MSK)

17 комментариев

centos7 xrdp sound

host vbs система

centos7 kde

установлен xrdp на хосте есть звук

Built-in Audio Analog Stereo

на клиенте звука нет. но звуковая карта в терминале определяется

Dummy Output

alsamixer v1.1.3

в миксере по дефолту стоит

PulseAudio

, как пропихнуть звук на клиент.клиент виндовый.

alsa, centos, pulseaudio, xrdp

kresh1
(24.11.17 09:48:05 MSK)

11 комментариев

iptables

debian 8 gw0 iptables

#!/bin/bash
iptables -F
iptables -F -t nat
iptables -F -t mangle
iptables -F -t raw

#iptables -P FORWARD DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
#iptables -A INPUT -p icmp --icmp-type fragmentation-needed -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport 22 -j ACCEPT
iptables -A INPUT -p udp -i eth0 --dport 53 -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport 53 -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT


iptables -A OUTPUT -p tcp -m tcp --dport 143 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 995 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT



iptables -A FORWARD -s 192.168.40.0/24 ! -d 192.168.40.0/24 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -m tcp -s 192.168.40.0/24 ! -d 192.168.40.0/24 --dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A POSTROUTING -s 192.168.40.0/24 -o eth0:1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.40.0/24 -o eth2 -j MASQUERADE


#inet_ertel - full inet
#inet_rt    - need mark and output (second route table)

помогите пробросить 1)порт из локальной машины с ip 192.168.40.80:123 в инет 2) порт из локальной машины с ip 192.168.40.80:123 в инет на хост 123.123.123.123 и братно

iptables, rules

kresh1
(03.11.17 14:48:50 MSK)

15 комментариев

как удалить под домен

есть домен domain.com случайно был создан под домен с таким же название получается

domain.com.domain.com

Из оснастки не удается удалить вторую часть. из консоли тоже. пример есть комп tv0, нормальная запись tv0.domain.com. эта запись дублируется в под домен и получается tv0.domain.com.domain.com

ad, domain controller, samba

kresh1
(04.05.17 12:34:47 MSK)

1 комментарий

Помогите настроить proxmox claster

есть два сервера proxmox, оба сервера имеют

Kernel VersionLinux 4.4.49-1-pve #1 SMP PVE 4.4.49-86

Создан кластер noda0,1.

noda1 отпадывает от кластера через пару минут

Apr 07 13:17:50 noda1 corosync[1289]: [TOTEM ] Retransmit List: 4dd
Apr 07 13:17:50 noda1 corosync[1289]: [TOTEM ] Retransmit List: 4dc
Apr 07 13:17:50 noda1 corosync[1289]: [TOTEM ] Retransmit List: 4dd
Apr 07 13:17:50 noda1 corosync[1289]: [TOTEM ] FAILED TO RECEIVE
Apr 07 13:17:51 noda1 pmxcfs[1230]: [dcdb] notice: members: 2/1230
Apr 07 13:17:51 noda1 pmxcfs[1230]: [status] notice: members: 2/1230
Apr 07 13:17:51 noda1 pmxcfs[1230]: [status] notice: node lost quorum
Apr 07 13:17:51 noda1 pmxcfs[1230]: [dcdb] crit: received write while not quorate - trigger resync
Apr 07 13:17:51 noda1 pmxcfs[1230]: [dcdb] crit: leaving CPG group
Apr 07 13:17:51 noda1 pve-ha-lrm[1348]: unable to write lrm status file - unable to open file '/etc/pve/nodes/noda1/lrm_status.tmp.1348' - ÐÑÐºÐ°Ð·Ð°Ð½Ð¾ Ð² Ð´Ð¾ÑÑÑÐ¿Ðµ
Apr 07 13:17:51 noda1 pmxcfs[1230]: [dcdb] notice: start cluster connection
Apr 07 13:17:51 noda1 pmxcfs[1230]: [dcdb] notice: members: 2/1230
Apr 07 13:17:51 noda1 pmxcfs[1230]: [dcdb] notice: all data is up to date
Apr 07 13:18:00 noda1 pvedaemon[1919]: stop VM 200: UPID:noda1:0000077F:00007911:58E76758:qmstop:200:root@pam:
Apr 07 13:18:00 noda1 pvedaemon[1329]: <root@pam> starting task UPID:noda1:0000077F:00007911:58E76758:qmstop:200:root@pam:
Apr 07 13:18:00 noda1 kernel: vmbr0: port 2(tap200i0) entered disabled state

на первой ноде

systemctl status corosync.service
[MAIN  ] Completed service synchronization, ready to provide service.
апр 07 13:26:18 noda0 corosync[1244]: [TOTEM ] A new membership (192.168.40.250:13004) was formed. Members
апр 07 13:26:18 noda0 corosync[1244]: [QUORUM] Members[1]: 1
апр 07 13:26:18 noda0 corosync[1244]: [MAIN  ] Completed service synchronization, ready to provide service.
апр 07 13:26:20 noda0 corosync[1244]: [TOTEM ] A new membership (192.168.40.250:13008) was formed. Members
апр 07 13:26:20 noda0 corosync[1244]: [QUORUM] Members[1]: 1
апр 07 13:26:20 noda0 corosync[1244]: [MAIN  ] Completed service synchronization, ready to provide service.
апр 07 13:26:21 noda0 corosync[1244]: [TOTEM ] A new membership (192.168.40.250:13012) was formed. Members
апр 07 13:26:21 noda0 corosync[1244]: [QUORUM] Members[1]: 1

на второй ноде

systemctl status corosync.serviceапр 07 13:17:50 noda1 corosync[1289]: [TOTEM ] Retransmit List: 4dd
апр 07 13:17:50 noda1 corosync[1289]: [TOTEM ] Retransmit List: 4dc
апр 07 13:17:50 noda1 corosync[1289]: [TOTEM ] Retransmit List: 4dd
апр 07 13:17:50 noda1 corosync[1289]: [TOTEM ] Retransmit List: 4dc
апр 07 13:17:50 noda1 corosync[1289]: [TOTEM ] Retransmit List: 4dd
апр 07 13:17:50 noda1 corosync[1289]: [TOTEM ] Retransmit List: 4dc
апр 07 13:17:50 noda1 corosync[1289]: [TOTEM ] Retransmit List: 4dd
апр 07 13:17:50 noda1 corosync[1289]: [TOTEM ] Retransmit List: 4dc
апр 07 13:17:50 noda1 corosync[1289]: [TOTEM ] Retransmit List: 4dd
апр 07 13:17:50 noda1 corosync[1289]: [TOTEM ] FAILED TO RECEIVE

на первой ноде

pvecm status
Quorum information
------------------
Date:             Fri Apr  7 13:28:37 2017
Quorum provider:  corosync_votequorum
Nodes:            1
Node ID:          0x00000001
Ring ID:          1/13388
Quorate:          No

Votequorum information
----------------------
Expected votes:   2
Highest expected: 2
Total votes:      1
Quorum:           2 Activity blocked
Flags:

Membership information
----------------------
    Nodeid      Votes Name
0x00000001          1 192.168.40.250 (local)

 pvecm nodes

Membership information
----------------------
    Nodeid      Votes Name
         1          1 noda0 (local)

на второй ноде

 pvecm nodes

Membership information
----------------------
    Nodeid      Votes Name
         2          1 noda1 (local)
root@noda1:/home/kresh#  pvecm status
Quorum information
------------------
Date:             Fri Apr  7 13:30:00 2017
Quorum provider:  corosync_votequorum
Nodes:            1
Node ID:          0x00000002
Ring ID:          2/11580
Quorate:          No

Votequorum information
----------------------
Expected votes:   2
Highest expected: 2
Total votes:      1
Quorum:           2 Activity blocked
Flags:

Membership information
----------------------
    Nodeid      Votes Name
0x00000002          1 192.168.40.240 (local)

 pvecm nodes

Membership information
----------------------
    Nodeid      Votes Name
         2          1 noda1 (local)

помогите настроить

proxmox

kresh1
(07.04.17 13:32:12 MSK)

7 комментариев

PVE Manager Versionpve-manager 4.4-13

Стоит proxmox

Kernel VersionLinux 4.4.49-1-pve #1 SMP PVE 4.4.49-86 PVE Manager Versionpve-manager/4.4-13/7ea56165

Ставил по оф.мануалу

https://pve.proxmox.com/wiki/Install_Proxmox_VE_on_Debian_Jessie

Все работает, при попытке загрузить образ iso с копма выдает ошибку

error 0 occurred while receiving the document

tail -f /var/log/syslog
interval/delta/delay/jitter/drift 2048s/-0.039s/0.027s/0.016s/-1ppm
Apr  3 12:00:20 noda1 pveproxy[3079]: problem with client ; ssl3_read_bytes: tlsv1 alert unknown ca
Apr  3 12:00:20 noda1 pvedaemon[1166]: <root@pam> successful auth for user 'root@pam'
Apr  3 12:02:09 noda1 pveproxy[3079]: problem with client ; ssl3_read_bytes: tlsv1 alert unknown ca
Apr  3 12:02:10 noda1 pveproxy[3079]: problem with client ; ssl3_read_bytes: tlsv1 alert unknown ca
Apr  3 12:02:11 noda1 pveproxy[3079]: problem with client ; ssl3_read_bytes: tlsv1 alert unknown ca

Загрузка же шаблонов работает нормально. кто подскажет что не так

proxmox

kresh1
(03.04.17 12:12:12 MSK)

10 комментариев

squid3 разграничение по двум провайдерам.

Добрый день! Есть

gw0(debian8.2 squid3)

Есть

dc0(debian8.2 samba4.2)

В dc0 АД есть две группы

FastInet
SlowInet

В squid3 настроена

/usr/lib/squid3/ext_kerberos_ldap_group_acl -a -g FastInet@Domain
/usr/lib/squid3/ext_kerberos_ldap_group_acl -a -g SlowInet@Domain

На gw0

Wan eth1(192.168.0.0/24 gateway192.168.0.1 ) конец от первого провайдера(ртелеком)
Wan eth2(192.168.0.1/24 gateway192.168.1.1) конец от второго  провайдера (дом.ру)
Lan eth0(192.168.2.1) локальная сеть

Как заставить

FastInet@Domain ходить в интернет через eth1 (ртелеком)

SlowInet@Domain ходить в интернет через eth2 (дом.ру)

group, samba, squid

kresh1
(04.03.17 09:28:12 MSK)

4 комментария

auth_param basic program

Есть dc0 (samba4.2 DOMAIN.COM) есть gw0 (squid3) Создан keytab Конфиг squid

auth_param negotiate program /usr/lib/squid3/negotiate_kerberos_auth  -s GSS_C_NO_NAME
auth_param negotiate children 100
auth_param negotiate keep_alive on

auth_param basic program /usr/lib/squid3/basic_ldap_auth -b "dc=domain,dc=com" -R -D proxy_auth@domain.com -W /etc/squid3/ntlm_pass.txt -f sAMAccountName=%s -h dc0.domain.com
auth_param basic children 100
auth_param basic realm Squid Basic Auth
auth_param basic credentialsttl 2 hours

##fill squid acl with external data (checks if user %LOGIN is in suggested group
external_acl_type fastgroup_krb children-max=100 children-startup=50 cache=10 grace=15 %LOGIN /usr/lib/squid3/ext_kerberos_ldap_group_acl -a -g FastInet@DOMAIN.COM
external_acl_type slowgroup_krb children-max=100 children-startup=50 cache=10 grace=15 %LOGIN /usr/lib/squid3/ext_kerberos_ldap_group_acl -a -g RegularInet@DOMAIN.COM


acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt

acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http

acl CONNECT method CONNECT

acl AD_users proxy_auth REQUIRED

## ACL for users with speed inet access
acl AD_FastInet external fastgroup_krb

##ACL for users with regular inet access
acl AD_RegularInet external slowgroup_krb
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow AD_FastInet
http_access allow AD_RegularInet

http_access deny AD_users
http_access deny all
http_port 192.168.1.254:3128

coredump_dir /var/spool/squid3
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .

/usr/lib/squid3/negotiate_kerberos_auto отрабатывает нормально. т.е. доменные пользователи ходят нормально.

лог

1488178287.970   4675 192.168.1.25 TCP_MISS/200 848 CONNECT clients2.google.com:443 administrator@DOMAIN.COM HIER_DIRECT/109.194.201.92 -

Что касается auth_param basic program При открытии браузера, выходит рамка с запросом логина и пароля. При вводе данных рамка повторяется при этом лог access.log

1488178437.572      0 192.168.1.25 TCP_DENIED/407 3778 CONNECT clients2.google.com:443 - HIER_NONE/- text/html
1488178437.575      0 192.168.1.25 TCP_DENIED/407 3881 CONNECT clients2.google.com:443 - HIER_NONE/- text/html

cache.log

kid1| ERROR: Negotiate Authentication validating user. Result: {result=BH, notes={message: received type 1 NTLM token; }}
2017/02/27 09:53:57 kid1| ERROR: Negotiate Authentication validating user. Result: {result=BH, notes={message: received type 1 NTLM token; }}

Как понимаю, что basic не работает Пару дней ковыряния в конфигах не дали результата. Знаю тема не новая, но прошу помощи.

dc, domain controller, squid

kresh1
(27.02.17 10:01:54 MSK)

15 комментариев

Iptables

Помогите разобраться с iptables. Нужно пустить одну машину в интернет не через прокси, а на прямую. сам скрипт.

# Generated by iptables-save v1.3.6 on Fri Jul 27 16:03:13 2007
*mangle
:PREROUTING ACCEPT [38202117:20265961694]
:INPUT ACCEPT [296590260:201106009696]
:FORWARD ACCEPT [2720039:1243794680]
:OUTPUT ACCEPT [33712485:33111151090]
:POSTROUTING ACCEPT [233354234:294909943362]
-A FORWARD -i eth1 -j MARK -d ! XX.XX.XX.XX/22 --set-mark 0x1
COMMIT
# Completed on Fri Jul 27 16:03:13 2007
# Generated by iptables-save v1.3.6 on Fri Jul 27 16:03:13 2007
*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -d XX.XX.XX.XX -o tap+ -j SNAT --to-source XX.XX.XX.XX
-A POSTROUTING -o ppp10 -j MASQUERADE
-A POSTROUTING -o eth1 -j SNAT --to-source XX.XX.XX.XX
-A POSTROUTING -o eth2 -j SNAT --to-source XX.XX.XX.XX
-A PREROUTING -p tcp -m tcp ! -d XX.XX.XX.XX/22 --dport 80 -j REDIRECT --to-p$
COMMIT
# Completed on Fri Jul 27 16:03:13 2007
# Generated by iptables-save v1.3.6 on Fri Jul 27 16:03:13 2007
*filter
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]
:forward_to_inet - [0:0]
:FORWARD DROP [0:0]
:allowed - [0:0]
:tcp_packets_inet - [0:0]
:icmp_packets - [0:0]
:bad_tcp_packets - [0:0]
:tcp_packets_vpn - [0:0]
:tcp_packets_lan - [0:0]
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s XX.XX.XX.XX/24 -i eth1 -j forward_to_inet
-A FORWARD -s XX.XX.XX.XX/22 -i eth0 -j forward_to_inet
-A allowed -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A allowed -p tcp -j DROP
-A bad_tcp_packets -p tcp -m tcp -m state --tcp-flags SYN,ACK SYN,ACK --state N$
-A bad_tcp_packets -p tcp -m tcp -m state ! --tcp-flags FIN,SYN,RST,ACK SYN --s$
-A forward_to_inet -s XX.XX.XX.XX/24 -p tcp -m tcp --dport 443 -j ACCEPT
-A forward_to_inet -s XX.XX.XX.XX/24 -p tcp -m tcp --dport 9091 -j ACCEPT
-A forward_to_inet -p tcp -m tcp --dport 80
-A forward_to_inet -p tcp -m tcp --dport 5190
-A forward_to_inet -p udp -m udp --dport 5190
-A forward_to_inet -p tcp -m tcp --dport 21
-A forward_to_inet -p tcp -m tcp -d XX.XX.XX.XX --dport 21 -j ACCEPT
-A forward_to_inet -p tcp -m tcp --dport 20
-A forward_to_inet -p tcp -m tcp --dport 25 -j ACCEPT
-A forward_to_inet -p tcp -m tcp --dport 110 -j ACCEPT
-A forward_to_inet -p tcp -m tcp --dport 1194 -j ACCEPT
-A forward_to_inet -p tcp -m tcp --dport 1935 -j ACCEPT
-A forward_to_inet -p tcp -m tcp --dport 5222
-A forward_to_inet -p udp -m udp --dport 5222
-A forward_to_inet -p tcp -m tcp --dport 5223
-A forward_to_inet -p udp -m udp --dport 5223
-A forward_to_inet -p tcp -m tcp --dport 53 -j ACCEPT
-A forward_to_inet -p udp -m udp --dport 53 -j ACCEPT
-A forward_to_inet -p tcp -m tcp --dport 143
-A forward_to_inet -p udp -m udp --dport 143
-A forward_to_inet -p tcp -m tcp --dport 995 -j ACCEPT
-A forward_to_inet -p udp -m udp --dport 995 -j ACCEPT
-A forward_to_inet -p tcp -m tcp --dport 8585 -j ACCEPT
-A forward_to_inet -p icmp -j ACCEPT
-A forward_to_inet -p tcp -m tcp --dport 10000
-A forward_to_inet -p udp -m udp --dport 1200 -j ACCEPT
-A forward_to_inet -p udp -j DROP
-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A tcp_packets_inet -p tcp -m tcp -i eth0 --dport 22 -j allowed
-A tcp_packets_inet -p tcp -j DROP
-A tcp_packets_lan -j ACCEPT
-A tcp_packets_vpn -j allowed
-A forward_to_inet -p tcp -j DROP
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -s XX.XX.XX.XX -i lo -j ACCEPT
-A INPUT -s XX.XX.XX.XX -i lo -j ACCEPT
-A INPUT -s XX.XX.XX.XX -i lo -j ACCEPT
-A INPUT -p tcp -m tcp -s XX.XX.XX.XX/22 -i eth0 -j tcp_packets_lan
-A INPUT -p tcp -m tcp -s XX.XX.XX.XX/24 -i eth1 -j tcp_packets_lan
-A INPUT -p tcp -m tcp -i eth2 -j tcp_packets_inet
-A INPUT -p udp -m udp -s XX.XX.XX.XX/22 -i eth0 -j ACCEPT
-A INPUT -p udp -m udp -s XX.XX.XX.XX/24 -i eth1 -j ACCEPT
-A INPUT -s XX.XX.XX.XX/255.255.255.0 -i tap+ -j ACCEPT
-A INPUT -s XX.XX.XX.XX/255.255.255.0 -i tap+ -j ACCEPT
-A INPUT -s XX.XX.XX.XX/24 -i eth0 -j tcp_packets_vpn
-A INPUT -s XX.XX.XX.XX -i tap10 -j tcp_packets_vpn
-A INPUT -p icmp -j icmp_packets
COMMIT
# Completed on Fri Jul 27 16:03:13 2007

iptables, squid

kresh1
(11.02.17 14:05:27 MSK)

1 комментарий

Помогите отредактировать файл

Есть старый debian, на нем proxy, сам сервер до конца не загружается, застопориться на запуске wachdog, это не суть, на машине не правильно настроен iptables, по этому нет доступа по ssh и до консоли не добраться. С помощью ubuntu desktop liv cd я не смог загрузиться, так как видео карта и монитор не потянули графику, подскажите с помощью чего я могу поправить файл iptables?

debian, iptables

kresh1
(10.02.17 16:45:48 MSK)

13 комментариев

squid 3

Есть proxy squid3 с прозрачной авторизацией

http_port 3128 transparent
REDIRECT --to-ports 3128

Все пользователи ходят через него. Вопрос есть ли возможность пропустить один компьютер на прямую в интернет не через прокси?

proxy, squid

kresh1
(10.02.17 09:19:07 MSK)

1 комментарий

debian 8.6 raid 1

Был массив raid1 soft на 4 tb.

Один из дисков выпал из рейда. После восстановления такая информация

 cat /proc/mdstat
Personalities : [raid1]
md1 : active raid1 sda3[0] sdb3[1]
      3906384896 blocks super 1.2 [2/2] [UU]
      bitmap: 2/30 pages [8KB], 65536KB chunk

md0 : active raid1 sda2[2] sdb2[1]
      499392 blocks super 1.2 [2/2] [UU]

Меня интересует значение данной строки

  bitmap: 2/30 pages [8KB], 65536KB chunk

debian, raid1

kresh1
(26.11.16 08:46:21 MSK)

1 комментарий

следующие →

RSS подписка на новые темы