В очередной раз пытаюсь настроить сабж. Сервер — свежеустановленный Debian. На сервере вроде бы есть /64 подсеть, по крайней мере на нём ping6 работает. Клиент соединяется, получает ожидаемый IPv6 адрес. Он может пинговать сервер, но вот пинговать что-нибудь за пределами сервера уже не получается. OpenVPN-у выделил /112 подсеть, чтобы он её раздавал клиентам.

#/etc/openvpn/server.conf
topology subnet
client-to-client
server-ipv6 2a00:d880:6:856::1:0/112
push "route-ipv6 2000::/3"

# server
$ ifconfig eth0
eth0      Link encap:Ethernet  HWaddr 00:16:3c:07:45:df  
          inet6 addr: 2a00:d880:6:856::dbc9/48 Scope:Global
          inet6 addr: fe80::216:3cff:fe07:45df/64 Scope:Link

$ ifconfig tun0
tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet6 addr: 2a00:d880:6:856::1:1/112 Scope:Global

$ route -6
route -6
Kernel IPv6 routing table
Destination                    Next Hop                   Flag Met Ref Use If
::1/128                        ::                         U    256 0     0 lo
2a00:d880:6:856::1:0/112       ::                         U    256 1     0 tun0
2a00:d880:6::/48               ::                         U    256 0     1 eth0
fe80::/64                      ::                         U    256 0     0 eth0
::/0                           2a00:d880:6::1             UG   1024 0     0 eth0
::/0                           ::                         !n   -1  1  3169 lo
::1/128                        ::                         Un   0   1   109 lo
2a00:d880:6::/128              ::                         Un   0   1     0 lo
2a00:d880:6:856::dbc9/128      ::                         Un   0   2    23 lo
2a00:d880:6:856::1:0/128       ::                         Un   0   1     0 lo
2a00:d880:6:856::1:1/128       ::                         Un   0   1     0 lo
fe80::/128                     ::                         Un   0   1     0 lo
fe80::216:3cff:fe07:45df/128   ::                         Un   0   1     0 lo
ff00::/8                       ::                         U    256 9     0 eth0
ff00::/8                       ::                         U    256 0     0 tun0
::/0                           ::                         !n   -1  1  3169 lo

пытался через tcpdump понять, что происходит, не очень понял, но вроде бы на tun0 приходит ICMP6 echo запрос и тут уже уходит ответ destination host unreachable, причём почему-то 3 раза.

Всем привет.

С сайта загружаю картинку размером до 200kb - все нормально. С этого же сайта (с этого же интерфейса) загружаю картинку размером более 200kb - 500-ая ошибка. Смотрю в лог nginx:

2017/02/07 02:23:07 [crit] 4667#0: *110 open() "/var/lib/nginx/tmp/client_body/0000000005" failed (13: Permission denied), client: 27.157.59.203, server: myteam.ru, request: "POST /admin/slides/image/image/1 HTTP/1.1", host: "myteam.ru", referrer: "http://myteam.ru/admin/slides/1/edit"

значения в php.ini:

memory_limit = 128M
max_execution_time = 60
max_input_time = 60
upload_max_filesize = 32M
post_max_size = 100M
max_execution_time 60
max_input_time 60

Подскажите, в чем проблема?

Перемещено leave из general

Ситуация такая: ноут, на ноуте рач линукс, в нём systemd, в systemd netctl, в котором через wifi-menu настроено подключение к вафле, которую раздаёт моя труба. Так же есть openvpn, чей клиентский конфиг лежит в /etc/openvpn/client/dell.conf. Так как сижу я в достаточно интересном месте, переодически у трубы отваливается 4g сетка, из за этого отваливается туннель. Самое интересное, остаются все маршруты, сервис видится как активный, но соединения нет. Нужно чтоб каждый раз когда такое происходит сервис автоматом перезапускался. И если можно, то без костылей вроде баш скриптов, которые пингуют что-то там, а если оно не пингуется, то запускается перезапуск. Наверняка openvpn это сам умеет. Или systemd. Или что-то ещё. Не хочу в чистой системе костыли городить.

Здравствуйте.

Сегодня от гугла пришло письмо «счастья» с сообщением о понижении сайта ввиду отсутствия SSL-сертификата.

Естественно хочется бесплатно - кто-что посоветует и чем пользуется сам? Вроде как «Let's Encrypt» рекламируют.

И второй вопрос, который тяготит меня: если стоит связка nginx + apache, то настраивать нужно оба сервера или только nginx, который находится на «передовой»?

Да что за фигня с этим TLS, он у меня в конфиге сервера и у клиента указывается только как расширение у сертификатов (TLS Web Server Authentication). Сертификаты и ключи у меня в *.conf файлах.

Никаких упоминаний о TLS настройках попросту нет, все равно сволочь сыпет в логи ошибки:

Nov 20 00:37:27 rpi ovpn-tcp[12251]: 37.21.122.9:53480 TLS Error: reading acknowledgement record from packet
Nov 20 00:37:27 rpi ovpn-tcp[12251]: 37.21.122.9:53480 Fatal TLS error (check_tls_errors_co), restarting
Nov 20 00:37:30 rpi ovpn-tcp[12251]: TCP connection established with [AF_INET]176.114.16.35:40356

и так по по кругу для двух клиентов Микротик пинг до клиентов идет без проблем.

При этом подключены другие Ubuntu и Raspbian и им подобные клиенты от которых таких ошибок нет.

port 1194
proto tcp
dev tun1

server 10.10.0.0 255.255.255.0
ifconfig-pool-persist /etc/openvpn/ovpn/ipp.txt
client-config-dir /etc/openvpn/ovpn/ccd
ccd-exclusive

keepalive 10 60
cipher AES-256-CBC   # AES

client-to-client

#max-clients 20
user vpn
group vpn

persist-key
persist-tun
ping-timer-rem
status /etc/openvpn/ovpn/status-tcp.log
status-version 2

verb 1
mute 20

script-security 2

## ca.crt
<ca>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</ca>

## server.crt
<cert>
SKIP, SKIP, SKIP
            X509v3 Extended Key Usage: 
                TLS Web Server Authentication
SKIP, SKIP, SKIP
</cert>

## server.key
<key>
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----
</key>

## dh*.pem
<dh>
-----BEGIN DH PARAMETERS-----
-----END DH PARAMETERS-----
</dh>

client
dev tun
port 1194
proto tcp-client
remote domain.ru 1194
keepalive 10 60
cipher AES-256-CBC   # AES

persist-key
verb 1
script-security 3 system

## ca.crt
<ca>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</ca>

## client.crt
<cert>
=== SKIP, SKIP, SKIP ===
            X509v3 Extended Key Usage: 
                TLS Web Client Authentication
=== SKIP, SKIP, SKIP ===
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</cert>

## client.key
<key>
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----
</key>

## dh*.pem
<dh>
-----BEGIN DH PARAMETERS-----
-----END DH PARAMETERS-----
</dh>

Сабж.

Ведь куда удобнее использовать wasd, или esdf (было бы даже удобнее) или аналогичное ijkl.

Кроме того, абсолютно наркоманское распределение направлений даже по тем же hjkl - h-влево, j-вниз, k-вверх, l-вправо. Влево и вправо - ок, к ним вопросов нет. А вот вверх и вниз следовало бы поменять местами, чтоб hj - движение в сторону начала документа, kl - в сторону конца документа.

В общем, почему так, и как это можно исправить, не переломав кривыми биндами всю работу vim'а?

Почему для обозначения домашней директории был выбран ~?

И почему были выбраны hjkl в качестве клавиш перемещения курсора в vim?

Ответ: http://i.stack.imgur.com/L3esv.jpg

Источник http://unix.stackexchange.com/questions/34196/design-question-why-was-chosen-...

Кстати HHKB2 стремится быть похожей на ту самую Ъ клавиатуру http://capsoff.wdfiles.com/local--files/happy-hacker/happy_hacker.jpg

Здравствуйте! Хорошее вознаграждение гарантирую! Нужно настроить такую сеть VPN как на картинке, картинки все одинаковые, просто разные вариации

http://dropmefiles.com/tLq9t http://dropmefiles.com/0tjme http://dropmefiles.com/IXcyu

Настроить DNS, настроить шифрование Грамотно настроить чтобы ничего не просачивалось

http://www.thewired.ru/2016/03/naskolko-bezopasen-... https://habrahabr.ru/post/216295/ https://habrahabr.ru/post/263557/

https://www.browserleaks.com/ http://2ip.ru/privacy/ https://panopticlick.eff.org/ http://witch.valdikss.org.ru/ https://whoer.net/ https://ipleak.net/

Все автоматизировать в виде sh скриптов

Вопрос, наверное, покажется маленьким для отдельного топика, но я не могу понять некоторый момент в сертификатах. Я выявил для себя наиболее слабые места в этом вопросе, и мне хотелось бы последовательно их разрешить.

В сертификатах указан «публичный ключ» и «алгоритм». Как я понимаю, закрытый ключ находится у сервера. Но тогда получается, что сервер использует всегда 1 пару ключей для общения с клиентами? Вряд ли. Я думаю, поверх этого зашифрованного соединения сверху еще накладывается что-то. Но как определить, что именно? Chrome или Firefox.

Посоветуйте хороший VPN? Пока что, нашел Total VPN, поддерживает вроде OpenVPN, L2TP, PPTP, SSTP. На бесплатном аккаунте вполне терпимо, скорость скачивания до 2Мбит/с (Кластер Амстердам). А что ещё надо? Связи с неадекватностью роскомнадзора, передумал перейти навсегда к VPN сервисам. Вы какой VPN юзаете?

SUBJ. Расскажите истории успеха. Особенно интересует, юзали ли вы Portage Module https://github.com/gentoo/puppet-portage

Интересует, так как планируется пополнение подконтрольных мне серверов на Gentoo (и перевод некоторых старых с Debian).

Уважаемые Мастера!

У меня всё работает. Мне лишь хочется понять, насколько это трушно.

Задача: банально, скажем, web-server за firewall. Юзаем iptables.

$INET_IP - внешний IP

10.2.2.1 - уютный IP сервера в локалке.

iptables -t nat -A PREROUTING -p TCP --dport 80 -d $INET_IP -j DNAT --to-destination 10.2.2.1

Плюс у меня по дефолту:

iptables -P FORWARD DROP

Понятно, что просто пробросив порт - пакетики ходить всё ещё не будут. Нужно разрешить FORWARD. Или юзать SNAT ?

Вопрос: как бы Вы поступили?

Я часто слышу, что постгрес лучше мускула во всём, кроме скорости. Но в последнее время и по скорости постгрес обгоняет. У кого есть опыт разработки под обе СУБД и кто может их сравнить?

По просьбам телезрителей выкладываю фото своей небольшой фермы, используемой для майнинга scrypt'овых криптовалют. На фото 3 рига, 4-й стоит на веранде.

Основа каждого рига - деревянный каркас из реек 20х20 с двухярусным расположением видеокарт, хотя по факту почти все видеокарты стоят на райзерах на верхнем этаже с максимальным зазором друг между другом.

Изначально риги задумывались как полностью автономные модули с подключением к сети по wifi - на левом риге используется nano wifi адаптер (Tp-link TL-WN725N), на правом (и всех остальных) - роутер Tp-link 740 в качестве клиента точки доступа. Однако связь по wifi оказалась не особо стабильная и добавляла проблем, поэтому сейчас все подключено к общему свичу, который подключен к проводной сети. По wifi через роутер подключен только первый риг на веранде, куда пока нет возможности протянуть провод.

Доступность ригов мониторится через Nagios с моментальным уведомлением на почту, плюс есть мониторинг доступности роутеров-клиентов, плюс мониторинг на пулах.

В качестве системы везде используется Debian 7, драйвер - fglrx. На всех ригах система установлена на флешку, где сделано 2 раздела. Первый постоянно в RO - там основная часть системы; второй - в RW, там домашний каталог пользователя и некоторые файлы / каталоги, которые хотят перезаписываться. Т.е., система гарантированно поднимется после жесткого выключения питания, плюс так снижается износ флешки от постоянной записи.

Для мониторинга на самом риге используется самописный скрипт, который следит за температурой видеокарт. Если она ниже заданного порога - уведомление в jabber и жесткий ребут машины. Если температура упала, но причина в недоступности интернета - машина начинает периодически менять уровень шума вентиляторов карт, чтобы привлечь внимание.

Из видеокарт сейчас используются 5850, 5870, 6870, 6970, десяток 7850 и пара 7950. Общий хэшрейт - 6,45 Mh/s. Майню большей частью лайткоины, иногда переключаюсь на Novacoin. От старых карт планирую избавиться для оптимизации энергопотребления.

Остальное железо - материнские платы Gigabyte GA990XA-UD3, Athlon 250, по 4 Гб оперативной памяти (может где-то затерялась планка на 2 Гб - не помню), Chieftec APS-1000C, pci-e райзеры с ebay, USB-флешки.

На первом риге из-за крайне высокого передаваемого через материнку тока обгорели контакты, по которым передается +12 В. Что интересно, отдельный 8-мипиновый разъем, от которого питается процессор, для запитки карт расширения никак не задействован.

http://rain.linuxoid.in/fileupload/photos/hardware/rig/p8085693.jpg

http://rain.linuxoid.in/fileupload/photos/hardware/rig/p8085695.jpg

В итоге, чтобы железо не простаивало - распаял эти 2 провода прямо на материнку

Летом железки приходится охлаждать вентиляторами, кондиционера пока нет.

Помимо майнинга риги бывают полезны для размораживания пиццы и сосисок, а также для сушки белья.

Так и живем :)

>>> Просмотр (2288x1712, 876 Kb)

Встал на путь становления веб программиста! Что изучать после html и css, javascript или php? Просто навыков программирования нет, даже в школе basic не изучал. Советовали следовать алгоритму html>css>javascript>jquery>php или же можно нарушить порядок, начав к примеру сразу с php.

Как только что выяснилось, товарищ wmark внезапно решил прекратить поддержку ruby в ебилдах nginx. Отсюда возникает вопрос, откуда теперь можно брать новые версии nginx с поддержкой пассажира?

Поверхностный гуглёж показывает только какие-то устаревшие версии, самому пилить ебилды — не особо удачный вариант, ибо из-за моей природной лени поддерживать их в актуальном состоянии и регулярно обновлять мне будет тяжело.

Есть варианты?

Всем привет,

Имеется связка nginx+php-fpm через socket

На серваке расположено около 5 сайтов.

Сегодня в логах фпма обнаружил след строку:

2013/11/21 04:38:54 [error] 11676#0: *25367 open() "/usr/share/nginx/html/invoker/EJBInvokerServlet" failed (2: No such file or directory), client: 87.249.115.122, server: адрес_реального_сайта_на_сервере.ru, request: "GET /invoker/EJBInvokerServlet HTTP/1.1", host: "localhost"

Подскажите, как может быть host: localhost меня уже ломанули?)

По совместительству, еще один вопрос: как изменить параметр path_prefix у уже работающего nginx'a? Возникает такая проблема, что при не стандартном запросе поиск файлов идет в дефолтной директории /usr/share/nginx/html (=она же директива path_prefix). Nginx ставил в виде готовой rpm-сборки и честно говоря, умею настраивать лишь основной конфиг, а вот с конфигурацией не могу разобраться. Заранее спасибо.

sup lor

Есть VPS-ка с зоопарком сайтов. Часть на разных php цмсках. Хотим перейти на разработку RoR, думаю можно ли запустить все проекты на одном VPS, чтобы не плодить сущности?

Пока в голове крутится такая идея nginx+passenger + nginx - прокси сервер на apache2. Все php крутятся на апаче. На 80 порт поступает запрос, nginx смотрит конфиг и определяет кто будет уже этот запрос обрабатывать.

Или вообще отказаться от апача и юзать только nginx - сможет он одновременно работать с php-fpm passenger и т.д.?

В верном направлении мыслю или не париться и заказать 2 vps ки?

Спасибо!

Хочется эту вкусняшку, подтестить зен, но ядро упорно пишет ёр хардвэа нот саппот. У меня процессор 6300 и мать на 970, шо емму ещё надо? Оно рабочее только на оптеронах и их чипсетах, что ли?

//В гугле я только отыскал пдф-брошюрку про сабж, ничего толкового.

Вот сообщение, которое он посылает при отлупе.

Reporting-MTA: dns; mx.fer.rosminzdrav.ru
X-Postfix-Queue-ID: 7D76B3FEC7
X-Postfix-Sender: rfc822; er@rosminzdrav.ru
Arrival-Date: Tue, 22 Oct 2013 13:47:14 +0400 (MSK)

Final-Recipient: rfc822; zapis@volmed.org.ru
Original-Recipient: rfc822;zapis@volmed.org.ru
Action: failed
Status: 5.7.1
Remote-MTA: dns; volmed.org.ru
Diagnostic-Code: smtp; 550 5.7.1 <zapis@volmed.org.ru>: Recipient address
    rejected: Please see
    http://www.openspf.net/Why?s=mfrom;id=er@rosminzdrav.ru;ip=46.61.224.19;r=ns1...