LINUX.ORG.RU

Сообщения selivan

 

Где бы завести технобложег?

Форум — Talks

Решил, что всякие полезные мелочи надо всё-таки складывать в одно место, чтобы не забывалось, а может кому и полезно будет. Попробовал blogger: http://another-it-blog.blogspot.ru/ - возможности для оформления техно-постов огорчают, нельзя нормально оформить вставку кода, с выделением/прокруткой/подсветкой. Что сейчас модно использовать как блог-платформу?

З.Ы. Поднимать standalone не предлагать, лениво и бессмысленно.

selivan
()

Воронеж. Дежурный системный администратор.

Форум — Job

Банк «Западный».

Нужно знать:
- Linux
- iptables/ipset
- OpenVPN
- VLAN
- DHCP/TFTP/PXE
- Squid
- активное сетевое оборудование, в основном свитчи HP
- немного представлять, как работать с AD

Могу взять бойца с недостаточными знаниями, при условии что за месяц-два он всё освоит.

График 2 рабочих через 2 выходных, по 12 часов, с 14 до 15 перерыв на обед.

Зарплата белая, 37k. Если с обучением - то за испытательный срок будет 20-25к. Отпуск вроде по закону, но сам пока не проверял. ДМС, каких-то ещё бонусов нет. Теоретически возможны премии за реализованные проекты, практически губу раскатывать не стоит.

Работа достаточно неприятная, чёткого workflow нету, задачи валятся в рандомном порядке и реализуются на коленке, лишь бы побыстрей. Но график покрывает все минусы. Прекрасно подойдёт человеку, которому нужно много сводобного времени на реализацию каких-то своих проектов - закончить учёбу, сдать сертификацию, вылечить здоровье, запилить стартап - но при этом надо продолжать зарабатывать деньги.

Связь - selivan5[аt]yandex.ru

selivan
()

Используемая вами в production система управления конфигурациями

Голосования — Голосования

Выбираю систему для разворачивания у нас (если ещё удастся пробить её использование). Кроме определённых фич, хотелось бы получить знания/опыт работы с более популярным софтом, чтобы пригодилось в дальнейшем. Что используется у вас?

  1. не используется 561 (73%)

    ********************************************************************************************************************************************************************************************************************************************************************************************************************************

  2. puppet 98 (13%)

    *******************************************************

  3. другое 51 (7%)

    *****************************

  4. chef 48 (6%)

    ***************************

  5. ansible 20 (3%)

    ***********

  6. salt 15 (2%)

    ********

  7. cfengine 11 (1%)

    ******

  8. bcfg2 5 (1%)

    **

  9. juju 4 (1%)

    **

  10. cdist 2 (0%)

    *

Всего голосов: 815, всего проголосовавших: 765

 bcfg2, cdist, , ,

selivan
()

Выбор системы управления конфигурациями

Форум — Admin

Опрос или не подтвердят, или подтвердят через очень много времени. Сделаю тему здесь

Выбираю систему управления конфигурациями для разворачивания у нас (если ещё удастся пробить её использование). Кроме определённых фич, хотелось бы получить знания/опыт работы с более популярным софтом, чтобы пригодилось в дальнейшем. Что стоить осваивать?

Выбираю между cfengine, puppet, chef. Про первый ругаются, что сложный и плохо документированный. Вторые оба тяжёлые, и требуют учить руби, а мну лениво, си с питоном немного знаю и пока большего не требуется.

 , ,

selivan
()

Альтернатива mtr с логированием времени

Форум — Admin

У провайдера периодически возрастает джиттер. Нужно собрать статистику за несколько дней, вроде такого: с 5 до 6 часов такого-то дня 5% пакетов проходили с задержкой более 300 мсек.

Есть ли какие-нибудь варианты, кроме ручного запуска mtr через соответствующие интервалы времени? Тем более что точной статистики по распределению он не даёт, Best/Wrost/Avg/Loss% и всё.

Ставить ради одиночной задачи тяжёлую артиллерию вроде Zabbix и накручивать специальные айтемы/триггеры не хочется.

 ,

selivan
()

Фриланс для админа - поделитесь опытом

Форум — Talks

Стал последнее время задумываться об этом варианте.

Как оно происходит у программеров я примерно представляю, даже краем глаза видел вживую со стороны заказчика: дали какую-то чётко очерченную задачу/подзадачу - работай. Задача сделана - все счастливы: исполнитель с деньгами, заказчик с решением.

Как это организуется в случае с админскими задачами? У нас ведь поддержка по сути ценнее, чем само решение.

Можно ли на этом заработать деньги, сравнимые с тем, что платят на постоянном рабочем месте? В Воронеже это ~40 т.р. в месяц плюс/минус десятка в зависимости от места работы. Ну и вообще - куда за задачами стоит ходить, куда не стоит, поделитесь опытом.

Знаю *nix и сети, с виндой обращаться умею, но глубоко никогда не копал. По английски нормально пишу и читаю, если надо - за пару месяцев заговорю.

З.Ы. Почему стал задумываться - нужно больше свободного времени(или хотя бы более гибкий график) на починить здоровье и некоторые другие задачи.

 ,

selivan
()

AUFS: first branch should be rw

Форум — Admin

Сейчас я пилю собственную сборку тонкого клиента. Идея велосипеда в том, что корневая ФС в squashfs + несколько оверлеев загружаются по сети, распаковывается в tmpfs, всё это объединяется в одну точку монтирования с помощью AUFS. Таким образом, можно присобачивать к сборке дополнительные конфиги/мелкие программы, не делаяя 100500 тыщ версий.

С убунты перешёл на Debian, потому что для некоторых тонких клиентов мне нужен Xorg через fbdev и uvesafb в качестве framebuffer. А в убунте его завести не удалось - plymouth мешается, и он принципиально неотрубаем :(

Вот такой кусок кастомного initrd прекрасно работал для убунты:

        echo "Mounting rootfs image to temp directory"
        mkdir -p /tmp/AUFS/rootfs
        mount -t squashfs -o loop '/tmp/rootfs.squashfs' /tmp/AUFS/rootfs || return $?
        echo "Mounting real root with aufs"
        #! problem
        mount -t aufs -o br=/tmp/AUFS/rootfs=ro none "${rootmnt}"
        echo "Creating tmpfs for moved mountpoints"
        mount -t tmpfs none "${rootmnt}"/AUFS
        echo "Moving rootfs mountpoint to directory in real root"
        mkdir "${rootmnt}"/AUFS/rootfs
        mount --move /tmp/AUFS/rootfs "${rootmnt}"/AUFS/rootfs
        ...
        # дальше работа с оверлеями

В Debian оно дохнет на следующей после комментария строчке с матюком «aufs au_opts_verify:1482:busybox[251]: first brunch should be rw».

Версия ядра в Ubuntu - 3.2, в Debian - 3.10

Кто-нибудь имел дело с AUFS? Куда копать?

 , , strange-magic

selivan
()

Трекбол Logitech M570: авто-настройка Wheel Emulation

Форум — Desktop

ОС - (x)ubuntu 13.04 raring

Купил сабж. Достаточно удобно, правая рука болеть перестала. Покурив гугл, арч- и убунтувики, смог настроить его следующим образом:

num=$(xinput | grep  'Logitech Unifying Device' | sed 's/.*id=\([0-9]\+\).*/\1/g')
we="Evdev Wheel Emulation"
xinput set-prop $num "$we Button" 9
xinput set-prop $num "$we Axes" 6 7 4 5
xinput set-prop $num "$we" 1
xinput set-prop $num "$we Timeout" 0

Если зажать кнопку 9(верхняя маленькая), можно использовать его для прокрутки вверх-вниз и, чего мне так не хватало в обычных мышах - вправо-влево. Но скрипт надо запускать каждый раз при подключении мыши :( Создал в /use/share/X11/xorg.conf файл 60-m570-trackpoint.conf:

Section "InputClass"
        Identifier  "M570 Mouse"
        Driver "evdev"
        MatchProduct "Logitech Unifying Device"
        MatchIsPointer "on"
        MatchDevicePath "/dev/input/event*"
        Option "ButtonMapping" "1 2 3 4 5 6 7 8 9"
        Option "EmulateWheel" "true"
	Option "EmulateWheelTimeout" "0"
        Option "EmulateWheelButton" "9"
        Option "ZAxisMapping" "4 5"
        Option "XAxisMapping" "6 7"
EndSection

Не прокатывает, при переподключении параметры не подхватываются. Вывод xinput list-props 9(до работы скрипта): http://pastebin.com/2YawNBnP. Что я неправильно написал в конфиге? Или я его не туда положил? Но в убунте больше нигде нет xorg.conf.d

З.Ы. Вопросы на засыпку, в man evdev я этого не нашёл:

- можно настроить в качестве Wheel Button, при нажатии на которую мышь начинает скроллить, что-нибудь на клавиатуре, винкей например?

- можно ли настроить две кнопки: одна для включения только горизонтально скроллинга, другая - только вертикального?

selivan
()

Squid + win2008r2 kerberos authentification: suqid_kerb_auth не хочет видеть keytab

Форум — Admin

Пытаюсь настроить в squid авторизацию через Kerberos. Контроллер домена win2008r2, уровень домена win2008r2.

Ubuntu 12.04 Squid 3.1 AppArmor выключен

Получаю keytab на контроллере домена:

ktpass -princ HTTP/webproxy.domain.ru@DOMAIN.RU  -mapuser webproxy_auth@DOMAIN.RU -crypto ALL -pass "******" -ptype KRB5_NT_PRINCIPAL -out HTTP_webproxy.domain.ru.keytab

Копирую на сервер, меняю владельца на proxy:proxy и права на 640, проверяю:

kinit -V -k -t /etc/squid3/HTTP_webproxy.keytab HTTP/webproxy.domain.ru
...
Authenticated to Kerberos v5

/etc/krb5.conf:

[libdefaults]
        default_realm = DOMAIN.RU
        dns_lookup_kdc = yes
        dns_lookup_realm = yes
        default_keytab_name = HTTP_webproxy.domain.ru.keytab
        kdc_timesync = 1
        ticket_lifetime = 24h
        forwardable = true
        proxiable = true

        # for win2008
        default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
        default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
        permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5

[realms]
DOMAIN.RU = {
        kdc = dc2.domain.ru
        default_domain = domain.ru
        admin_server = dc2.domain.ru
}

[domain_realm]
        .domain.ru=DOMAIN.RU
        domain.ru=DOMAIN.RU

/etc/samba/smb.conf:

[global]

security = ads
workgroup = DOMAIN
realm = DOMAIN.RU

encrypt passwords = yes
netbios name = %h
server string = %h server (Samba, Ubuntu)
...
dns proxy = no
socket options = TCP_NODELAY


squid.conf:
# GSS_C_NO_NAME = any entry from keytab is allowed
auth_param negotiate program /usr/local/bin/negotiate_wrapper -d --ntlm /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp --domain=DOMAIN.RU --kerberos /usr/lib/squid3/squid_kerb_auth -d -i -s GSS_C_NO_NAME
# maximum number of authenticator processes to spawn
auth_param negotiate children 10
auth_param negotiate keep_alive off

http_access allow AUTH
http_access deny all

/etc/default/squid3(не было - создал):

KRB5_KTNAME=/etc/squid3/HTTP_webproxy.keytab

/etc/init/squid3.conf:

env KRB5_KTNAME="/etc/squid3/HTTP_webproxy.keytab"

/etc/init.d/squid3:

KRB5_KTNAME=/etc/squid3/HTTP_webproxy.keytab
export KRB5_KTNAME

В консоли, где я это проверяю:

export KRB5_KTNAME=/etc/squid3/HTTP_webproxy.keytab

Запускаю squid3 -d -N, в браузере(IE10 на Windows 2008r2) получаю постоянные окошки аутентификации, в cache.log:

squid_kerb_auth: ERROR: gss_accept_sec_context() failed: Unspecified GSS failure.  Minor code may provide more information.
authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH gss_accept_sec_context() failed: Unspecified GSS failure.  Minor code may provide more information.

Делаю su proxy -c 'kinit -V -k -t /etc/squid3/HTTP_webproxy.keytab HTTP/webproxy.domain.ru' - всё начинает работать.

Где я ещё, мать его итить, не указал ему откуда брать keytab? 15-ый час на работе сижу, и только что обнаружил, что оно keytab жрать не хочет, @#$%^&$#!.

selivan
()

Шейпинг: не удаётся завести tc-drr

Форум — Admin

Собственно для tc есть queue discipline DDD(Dificite Round Robin) .

Вкратце - умеет то же, что HTB, но вместо того, чтобы заполнять корзины токенами с определённой скоростью, потом их оттуда вынимать и т. д., просто присваивает каждой каждой очереди некоторый Dificit Counter, при отправке пакета - уменьшает его на размер пакета. Если DC меньше размера пакета, увеличивает размер DC на заданный для очереди quantum и переходит к следующей. Таким образом, можно делить исходящий траффик в некотором отношении, не зная заранее ширину канала(что требуется для HTB). Подробнее: http://www.unix.com/man-page/linux/8/tc-drr/

Setup: две машины, 172.16.1.1 и 172.16.1.2.

На первой - слушаем траффик:

nc -l 8111
nc -l 8112

На второй - проверяем скорость:

pv /dev/zero | nc 172.16.1.1 8111
pv /dev/zero | nc 172.16.1.1 8112

Пока скорость равная(pv - позволяет мерить скорость через pipeline). Добавляем на второй машине шейпер(сверху присобачен HTB для имитации ограничения скорости канала):

tc qdisc add dev eth0 root handle 1: htb
tc class add dev eth0 parent 1: classid 1:1 htb rate 100mbit ceil 100mbit
tc qdisc add dev eth0 parent 1:1 handle 2: drr
tc class add dev eth0 parent 2: classid 2:1 drr quantum 600
tc class add dev eth0 parent 2: classid 2:2 drr quantum 1400
tc filter add dev eth0 parent 1: protocol ip prio 1 u32 match ip dport 8111 0xffff classid 2:1
tc filter add dev eth0 parent 1: protocol ip prio 1 u32 match ip dport 8112 0xffff classid 2:2

Скорость остаётся равной :( Куда копать?

 ,

selivan
()

Шейпинг трафика трафика без явного указания скорости канала

Форум — Admin

Можно ли, при помощи tc и чёрной магии, организовать разделение исходящего канала между разными классами траффика, например, в отношении 30/70, не зная заранее ширину канала? HTB требует точных цифр. CBQ не осилил, но судя по описанию - та же фигня.

 , ,

selivan
()

Что использовать для совместного хранения паролей?

Форум — Admin

Есть несколько человек и куча серверов/сервисов. Какой менеджер паролей использовать, чтобы открывший базу паролей юзер не лочил её на изменение? Каждый раз рассылать «ну кто там базу на запись открыл, отдайте» неудобно

 

selivan
()

Быстро выучить CCNA

Форум — Admin

Решил я сдать CISCO CCNA, взял их официальный курс «CCENT-CCNA ICND1 100-101 Official Cert Guide - 2013» и начал читать... книжка конечно полезная, но очень уж муторная, много воды и излишне подробного разжёвывания. Никто не знает, нет ли у них чего-нибудь типа методичек, чтобы было коротко и по делу?

 ,

selivan
()

Интеграция Bacula с Zabbix

Форум — Admin

Не удовлетворившись тем, что нарыл в интернетах, запилил свой собственный велосипед: https://github.com/selivan/bacula_zabbix_integration

Умеет:

  • Отдельные метрики для каждой Job. Нужно, если на один хост приходится более одной Job.
  • Автообнаружение новых Jobs, ручная настройка не требуется. Нужно, потому что если требуется ручная настройка, рано или поздно кто-нибудь добавит Job и забудет прописать в Zabbix.

Написано на питоне. Программировать я не умею, смотрится ужасно. Критика/комментарии/предложения приветствуются

selivan
()

Сисадмин: разочарование в профессии

Форум — Talks

Навеяло мне тут грустных мыслей... Решил немного их причесать и положить сюда для обсуждения и всяческого холивара. Если кому-то это поможет избежать моих ошибок - буду рад.

Работа админом толкает человека к универсальности, развитию сразу по многим направлениям. Служба каталогов, файл-сервер, веб-сервер, сервер системы контроля версий, база данных + бекап/восстановление и репликация, сетевое оборудование, мониторинг, немного телефонии, железо, некромантия(старое железо) ... Если у программистов в рабочей книжке обычно пишут «инженер-программист», то админ может требовать себе запись «программист-разнорабочий». И это очень плохо. Пусть есть два человека. Первый имеет объём знаний по пяти разным областям, допустим, равный условной единице. Второй - три условных единицы в одной области, и по одной в двух других.Суммарный объём их знаний одинаков. Первый стоит x денег, а второй - 3x. Потом первый повысил свою квалификацию во всех пяти областях до 2. Второй - повысил квалификацию в своей основной области до 8, не прогрессируя в остальных. Объём полученных ими новых знаний одинаков. Первый теперь стоит 2x, второй - 8x. Второй будет делать сложные и интересные задачи по специализации, развиваясь и получая удовольствие от работы. Первый будет служить «во-всех-бочках-затычкой».

Интересные задачи делают узкие специалисты. Нормальные деньги получают узкие специалисты. Это, на самом деле, тесно связанные между собой вещи: не всякая высокооплачиваемая работа интересна, но всякая интересная работа - высокооплачиваема. Правило имеет исключения, вроде развиливающихся предприятий оборонки, но речь сейчас не о них. Да, разумеется, много где требуются люди с широкой специализацией. Но если где-то нужен сетевик и, по совместительству, DBA - значит там нужен не очень сильный сетевик и не слишком хороший DBA. На уровне «лишь бы работало». Потому что эта контора не может себе позволить большее, ну или не хочет - если это не основное направление её деятельности. Если бы там были серьёзные задачи - этих двоих набирали бы по отдельности.

Абсолютная специализация, конечно, тоже плохо. Во-первых, специалист по закручиванию семиугольной нижней гайки потеряет работу, когда такие гайки выпускать перестанут. Во-вторых, многие области IT сильно связаны между собой, поэтому результат работы сферического спеца в вакууме, не знакомого ни с одной из смежных областей, просто невозможно никуда приткнуть. Но именно знакомства, более или менее поверхностного, вполне достаточно. Дальнейшее углубление в смежные темы - потеря времени, которое можно было потратить на то, чем занимаешься. Просто надо осваивать свою область чуть шире, чем контекст конкретных узких задач, и всё будет хорошо. Не думаю, что нормальный DBA, всю жизнь работавший с MS SQL, после внезапного наступления вендокапца :) испытает особые трудности с переползанием на Oracle.

Когда на 4 курсе, не имея профильного образования, я пошёл работать за смешные копейки в тех. поддержку, занимаясь понемногу всем подряд - это была очень серьёзная ошибка. Если бы вместо этого я потратил пару месяцев на базовое обучение программированию, и пошёл junior-программистом, за те же смешные копейки, но с более узкой специализацией - сейчас я занимался бы гораздо более интересными и захватывающими вещами, причём за большие деньги.

selivan
()

Выбор GTD-планировщика/календаря

Форум — Desktop

Чего хочется:

- Оффлайн, потому что не хочется отдавать все свои планы/задачи кому-то ещё
- Подзадачи
- Синхронизация через файлы, ибо Dropbox+encfs
- Нормальный календарь, вроде того, что в Lightning: http://www.mozilla.org/projects/calendar/lightning/screenshot.html
- Уведомления(мигать/орать из трея)
- Синхронизация с Android-приложением

Пока нашёл только ThinkingRock, но он тяжёлый, не очень удобный, календарь ужасен и уведомлений нет

 ,

selivan
()

Увеличить громкость звука в видео(ogv)

Форум — Multimedia

Нужно увеличить громкость звука в ogv-видео(записано с помощью GtkRecordMyDesktop). Если конвертировать с помощью ffmpeg - громкость увеличивается, но качество видео очень сильно падает:

ffmpeg -i lecture3_2013.16.09.ogv -vol 1280 lecture3_2013.16.09-loud.ogv

Попытка выдрать звук, сконвертировать и присобачить обратно на выходе так же даёт плохое качество видео:

ffmpeg -i lecture3_2013.16.09.ogv -vn audio.ogg
ffmpeg -i audio.ogg -vol 1280 audio-loud.ogg
ffmpeg -i lecture3_2013.16.09.ogv -i audio-loud.ogg lecture3_2013.16.09-loud.ogv

Как увеличить громкость звука, не убивая качество видео?

РЕШЕНИЕ:

ffmpeg -i lecture3_2013.16.09.ogv -vn audio.ogg
ffmpeg -i audio.ogg -vol 2048 audio-loud.ogg
ffmpeg -i lecture3_2013.16.09.ogv -vcodec copy -an lecture3_2013.16.09-nosound.ogv
ffmpeg -i lecture3_2013.16.09-nosound.ogv -i audio-loud.ogg -vcodec copy lecture3_2013.16.09-loud.ogv

Если звук предварительно не выдрать, останется звуковая дорожка из видео. Размер по сравнению с оригиналом увеличился на 14%, мне в данном случае это не критично.

Решение подсказал devl547.

 

selivan
()

tc не видит пакеты, маркированные -j MARK --set-mark

Форум — Admin

Есть сервер, на eth1 адрес 13.0.0.254/24, на eth0 адрес 172.20.203.4/24. Он роутит траффик между этими сетями. Задача: органичить скорость между сетями до 1 Мбайт/сек, не ограничивая траффик между самим сервером и хостами этих сетей(то есть резать всё, что проходит через FORWARD)

iptables -t mangle -A POSTROUTING -s 13.0.0.0/24 -d 172.20.203.0/24 -j MARK --set-mark 0x0001
iptables -t mangle -A POSTROUTING -s 172.20.203.0/24 -d 13.0.0.0/24 -j MARK --set-mark 0x0002

# eth1
tc qdisc add dev eth1 root handle 1:0 htb default 2

tc class add dev eth1 parent 1:0 classid 1:1 htb rate 1000mbps ceil 1000mbps
tc class add dev eth1 parent 1:1 classid 1:2 htb rate 999mbps ceil 1000mbps
tc class add dev eth1 parent 1:1 classid 1:3 htb rate 1mbps

tc qdisc add dev eth1 parent 1:2 handle 2:0 sfq perturb 10
tc qdisc add dev eth1 parent 1:3 handle 3:0 sfq perturb 10

tc filter add dev eth1 parent 1:0 handle 1 fw flowid 1:3
tc filter add dev eth1 parent 1:0 handle 2 fw flowid 1:3

# eth0
tc qdisc add dev eth0 root handle 1:0 htb default 2

tc class add dev eth0 parent 1:0 classid 1:1 htb rate 1000mbps ceil 1000mbps
tc class add dev eth0 parent 1:1 classid 1:2 htb rate 999mbps ceil 1000mbps
tc class add dev eth0 parent 1:1 classid 1:3 htb rate 1mbps

tc qdisc add dev eth0 parent 1:2 handle 2:0 sfq perturb 10
tc qdisc add dev eth0 parent 1:3 handle 3:0 sfq perturb 10

tc filter add dev eth0 parent 1:0 handle 2 fw flowid 1:3
tc filter add dev eth0 parent 1:0 handle 1 fw flowid 1:3

Не режет. Если в начале поставить

tc qdisc add dev eth1 root handle 1:0 htb default 3
tc qdisc add dev eth0 root handle 1:0 htb default 3
, то режет, то есть проблема именно в настройках фильтров.
iptables -L -v -n -t mangle
показывает, что пакеты через правила MARK проходят. Попытки маркировать пакеты не в POSTROUTING, а в PREROUTING и в FORWARD не помогли.

Фильтры:

tc -s -d -r filter show dev eth0
filter parent 1: protocol [768] pref 49151 fw
filter parent 1: protocol [768] pref 49151 fw handle 0x1 classid 1:3
filter parent 1: protocol [768] pref 49152 fw
filter parent 1: protocol [768] pref 49152 fw handle 0x2 classid 1:3

tc -s -d -r filter show dev eth1
filter parent 1: protocol [768] pref 49151 fw
filter parent 1: protocol [768] pref 49151 fw handle 0x2 classid 1:3
filter parent 1: protocol [768] pref 49152 fw
filter parent 1: protocol [768] pref 49152 fw handle 0x1 classid 1:3

Куда копать?

 

selivan
()

OpenVPN bridge: удалённые клиенты не видят локальных

Форум — Admin

Конфигурация:

Debian 6.0 Squeeze

OpenVPN 2.2.1(from backports)

Задача - соединить удалённых клиентов с локальной сетью так, чтобы у них были одинаковые сеть/маска. Я использую OpenVPN TAP интерфейс, соединённый с помощью bridge с ethernet-интерфейсом в локальную сеть. Ethernet-интерфейс - bond0.200. Это 200 VLAN над bond-объединением 2-х обычных интерфейсов(bond-mode balance-alb)

И локальные, и удалённые клиенты могут пинговать и обмениваться данными с сервером, но не пингуют друг друга.

С помощью tshark видно, что пакеты, отправленные удалённым клиентом локальному, появляются в tap200 и br200, но не появляются в bond0.200. При этом MAC-адрес локального клиента есть у удалённого клиента в кеше arp, и наоборот О_о

Фаервол/антивирус вырублены.

MTU на eth2, tap200, bond200 совпадают: 1500.

Куда копать дальше?

/proc/sys/net/ipv4/ip_forward = 1

/etc/network/interfaces:

auto bond0.200
iface bond0.200 inet manual
      vlan_raw_device bond0
      up ifconfig bond0.200 0.0.0.0 promisc up

auto br200
iface br200 inet static
      bridge_ports bond0.200
      bridge_stp off
      bridge_fd 1
      address 172.20.200.2
      netmask 255.255.255.0
      post-up ifconfig br200 promisc

/etc/openvpn/server.conf:

mode server
tls-server
port *****
proto tcp-server
dev tap200

script-security 2

up /etc/openvpn/bridge-start
down /etc/openvpn/bridge-stop

ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
#crl-verify crl.pem

auth sha1
cipher AES-256-CBC

; !!!
; comp-lzo

tun-mtu 1500
mssfix 1450

client-config-dir /etc/openvpn/ccd
ccd-exclusive

client-to-client
keepalive 10 120

persist-key
persist-tun

status /var/log/openvpn/server-arm.status
log-append  /var/log/openvpn/server-arm.log

/etc/openvpn/ccd/client-arm23:

ifconfig-push 172.20.200.132 255.255.255.0

/etc/openvpn/bridge-start:

#!/bin/bash
#set -x
#################################
# Set up Ethernet bridge on Linux
# Requires: bridge-utils
#################################

br="br200"
tap="tap200"

openvpn --mktun --dev $tap
ifconfig $tap 0.0.0.0 promisc up

brctl addif $br $tap

exit 0

/etc/openvpn/bridge-stop:

#!/bin/bash
#set -x
####################################
# Tear Down Ethernet bridge on Linux
####################################

br="br200"
tap="tap200"

brctl delif $br $tap

openvpn --rmtun --dev $tap

exit 0

 ,

selivan
()

(Воронеж) [debian] [postgresql] [tomcat] [mikrotik] Системный администратор-проектировщик

Форум — Job

Обязанности: Участие в разработке‚ документировании‚ настройке и сопровождении распределенной системы радиомониторингаю

График: полный рабочий день

Требования:

  • Уверенное знание Linux-систем (Debian) - настройка‚ администрирование‚ сборка‚ бекпортирование пакетов
  • Знание Windows - настройка‚ администрирование
  • Знание стека протоколов TCP/IP
  • Принципы работы Multicast-соединений
  • Знание DNS‚ DHCP‚ VLAN‚ VPN (OpenVPN).
  • SQL - базовое знание
  • Английский язык - достаточный для чтения технической документации
  • Знакомство с СУБД PostgreSQL- плюс
  • Виртуализация – KVM (Proxmox) - плюс
  • Знакомство с системами централизованного мониторинга (Zabbix) - плюс
  • Знакомство с системами централизованного бекапа (Bacula) - плюс
  • Знание ОС Mikrotik RouterOS – плюс
  • Знание Mercurial – плюс

    З/п: от 35 000 руб

    selivan5@yandex.ru

    Просьба писать на почту, форум смотрю нерегулярно

 , , ,

selivan
()

RSS подписка на новые темы