Всем привет.

Как завернуть большой список подсетей (~4500) в wireguard туннель, а остальное пустить мимо? Ubuntu 16.04 & 20.04.

Добавлять всё это в AllowedIPs в /etc/wireguard/wg0.conf на клиенте плохой вариант, т.к. конфиг будет выглядеть ужасно, да и работать это будет наверняка медленно.

По части iptables хотелось бы использовать ipset, т.к. это должно быть производительно, но есть ещё и ip route add часть.

Может у кого есть что готовое или хорошее понимание предмета, чтобы помочь реализовать? Делал по их докам и не только (например так https://prudnitskiy.pro/2019/07/24/wireguard/), но что ни добавляю вручную даже единичное, всё равно не взлетает или я что-то упускаю. С AllowedIPs = 0.0.0.0/0 всё нормально работает.

Всем привет!

Просил помощи по AWS - нашёл её. Всем спасибо! :)

Всем привет.

Есть нормально работающая ec2 instance (веб сервер) (kernel.x86_64 0:4.9.32-15.41.amzn1).

Я сделал snapshot, затем image & запустил инстанс из этого образа.

Пробовал несколько раз с одинаковым результатом: инстанс стартует, но доступа по ssh и http нет (ssh: connect to host 10.0.1.239 port 22: Connection refused) (curl: (7) Failed to connect to 10.0.1.239 port 80: Connection refused), но отвечает на пинги (64 bytes from 10.0.1.239: icmp_seq=1 ttl=255 time=0.422 ms). Перезагружаюсь и всё ок, включая ssh и http.

Несколько раз я видел, что экран висит на

netlink: 12 bytes leftover after parsing attributes

Key type id_legacy registered

Скрин https://www.screencast.com/t/HDAs6Pg1rcc

При этом состояние инстанса горит зелёным и отображается, как running.

Я подозреваю, что проблема в какой-то NFS шаре, но почему же она нормально маунтится на второй загрузке?

UPDATE: присоединил диск (volume) к другому инстансу и убрал строку про nfs шару из fstab и инстанс всё равно не загружается с 'netlink: 12 bytes leftover after parsing attributes' :(

Всем привет.

Вопрос про routing + iptables, видимо:

Есть несколько одинаковых веб серверов (amazon linux), на которых крутится сайт. У каждого сервера есть внутренний ip из подсети 10.0.1.0/24 и внешний ip. Раздаётся веб контент с них через балансировщик (ELB) и далее Internet Gateway (это всё Амазоновские приблуды).

Нужно, чтобы контент продолжал раздаваться через ELB балансировщик, а в остальной интернет сервера выходили через NAT Gateway, у которого есть внутренний и внешний ipшники (для того, чтобы их ipшник логался, как один и тот же на некоторых внешних сервисах, ну и для других вещей).

Сейчас этот NAT Gateway присутствует в той же подсети, что и машины и реализовано это с помощью, например, такого:

route add -host ifconfig.co gw 10.0.1.100 dev eth0

Но нужно пустить ВЕСЬ трафик через NAT Gateway, кроме того, что приходит через ELB балансер.

Вижу это так: 1) создать 2ю подсеть, скажем 10.0.200.0/24; 2) перевести NAT Gateway туда; 3) добавить машинам второй eth1 интерфейс с второй подсетью; 3) с помощью роутинга и iptables настроить то, что требуется.

Собственно прошу помощи с последним пунктом, т.к. в роутингом и сложными правилами iptables, пока что, не очень силён.

С уважением, Валерий

Всем привет.

Есть несколько ec2 web серверов в Amazon AWS, которые находятся за ELB, который выходит в инет через Internet Gateway. Также есть NAT Gateway (не instance), через который эти машины отправляют запросы только на, например, ifconfig.co. Делал так:

route add -host ifconfig.co gw 10.0.1.104

Нужно, чтобы машины продолжая отвечать на запросы приходящие от ELB, остальные запросы (на все ресурсы а не только определённые) отправляли через NAT Gateway, т.е. чтобы выходили в инет через NAT Gateway (и использовали его ip соответственно).

Для этого создал каждой машине второй сетевой интерфейс и теперь у них: eth0 - 10.0.1.0/24 eth2 - 10.0.200.0/24

eth2, соответственно, сейчас не используется.

Я так понимаю, что нужно перенести (пересоздать? т.к. не вижу возможности создать сетевой интерфейс и приаттачить его к NAT Gateway, т.к. его нет в списке инстансов для этого) NAT Gateway в подсеть eth2 - 10.0.200.0/24, создать там свой Internet Gateway(или как-то использовать первый из первой подсети?) и прописать маршруты, чтобы машина отвечала на запросы приходящие через eth0 подсеть через тот internet gateway, а для остальных запросов использовала бы eth2 и NAT Gateway.

Internet<->IG<->ELB<->eth0<->ec2-01
Internet<->IG<->NatGateway<->eth2<->ec2-01

Нашёл вот такую статью: https://forums.aws.amazon.com/thread.jspa?threadID=92019 но что-то немного не получается разобраться.

Подскажите, как именно нужно прописать эти маршруты и вообще правильно реализовать эту схему?

Вот так выглядят маршруты с одной из машин:

# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         ip-10-0-1-1.ec2 0.0.0.0         UG    0      0        0 eth0
default         ip-10-0-200-1.e 0.0.0.0         UG    10002  0        0 eth2
10.0.1.0        *               255.255.255.0   U     0      0        0 eth0
10.0.200.0      *               255.255.255.0   U     0      0        0 eth2
instance-data.e *               255.255.255.255 UH    0      0        0 eth0
188.113.88.193  ip-10-0-1-104.e 255.255.255.255 UGH   0      0        0 eth0

# ip route
default via 10.0.1.1 dev eth0
default via 10.0.200.1 dev eth2  metric 10002
10.0.1.0/24 dev eth0  proto kernel  scope link  src 10.0.1.163
10.0.200.0/24 dev eth2  proto kernel  scope link  src 10.0.200.213
169.254.169.254 dev eth0
188.113.88.193 via 10.0.1.104 dev eth0

Спасибо!

Всем привет.

Пытаюсь добавить Windows 2003 SP2 R2 или Windows 2008 R2, как запасной контроллер домена в AD работающий на CentOS7+samba4, потом сделать его основным и избавиться от samba4 совсем. Делал всё по их официальным докам:для Windows 2008

Несколько раз получалось одно и тоже: от винды приходилось избавляться и откатываться на backup samba4.

Самая основная причина, которая беспокоит: dns, который поднимаю на винде получается какой-то read only, т.е. записи редактировать невозможно и добавить тоже. Не помню точно ошибку, но что-то вроде 'A new record cannot be created. Refused'. При этом обгуглил уже всё и попробовал различные решения, права там всякие назначал, пользователь в группе и Enterprise Admins и Domain Admins и Schema Admins и т.д. и т.п., но не помогает :(

Репликация AD, которую запускаю вручную с samba4 машины проходит успешно.

При передаче ролей от samba4 на винду, гладко не переходят 2 роли: ForestDNSZones и DomainDNSZones, но я их потом переношу вручную редактируя AD в ADSI Edit (и пробовал ещё как-то, не помню точно).

Буду опять пытаться делать на следующей неделе, так что приведу более конкретные ошибки и т.д., но хотел спросить совета, т.к. может это какие-то известные грабли?

Всем привет.

Есть проблема низкой скорости загрузки по http/https через Mikrotik RB2011.

Никаких QoS не настроено. В офисе менее 50 человек. Канал не загружен. Speedtest.net выдаёт ожидаемые 100/100 мегабит, но при загрузке файлов через http/https скорость достаточно низкая и на различных сервисах.

Вот, например, ссылки на образ CentOS 7 minimal, которые использую для тестов:

Google Drive

Yandex Drive

Канал удаётся «прокачать» до 100/100 только торрентом.

Куда копать?

Всем привет! С линуксом имею дело очень недавно, поэтому сильно не пинать :) Плюс ко всем неприятностям: про сервер не знаю, практически ничего, т.к. он мне достался по наследству от предыдущего админа и инфу по нему он мне не передал :(

В общем, после перезагрузки виртуальный сервер (virtualbox headless) на какой-то Ubuntu вывалился в initramfs :(

uname -a
Linux (none) 4.4.0-64-generic #85 Ubuntu SMP....

скрин

mount выдаёт такое:

скрин

Что успел сделать:

т.к. предлагалось проверить раздел fsck вручную, то и попробовал его проверить:

fsck /dev/mapper/smb--share--vg-root

скрин

Не помогло. По-моему, всё, что fsck находил и исправлял было в папке /tmp

Что ещё попробовать, какую инфу предоставить?

Конечно нагуглил что-то типа вот этого поста , но боюсь так с наскока и без особого опыта копаться и не порушить данные.

С уважением, Валерий.

Всем привет. Разбираюсь с этим впервые, так что сильно не пинайте :)

Не могу разобраться что к чему с загрузкой с software raid1 (md1). Сервер достался от предыдущего админа и там была настроена загрузка только с одного из дисков (sda1), т.е. если бы он умер, то всё. Был настроен md0 raid для раздела с данными и всё. Поэтому я создал md1 raid1 для /boot с помощью

# mdadm -Cv --metadata=0.90 --level=1 --raid-devices=2 /dev/md1 /dev/sda1 missing

Предварительно размонтировав /boot, т.к. mdadm ругался, что он busy

# umount /boot

И потом добавил туда sdb1

# mdadm --manage /dev/md1 --add /dev/sdb1

И смонтировал md1 в /boot

# mount /dev/md1 /boot

Но есть вещи, которые меня беспокоят, и я не пойму загрузится ли вообще сервер после перезагрузки с такой конфигурацией и что ещё надо добавить/поменять?

# cat /proc/mdstat
Personalities : [raid1] [linear] [raid0] [raid6] [raid5] [raid4] [raid10]
md1 : active raid1 sdb1[1] sda1[0]
      1060160 blocks [2/2] [UU]

md0 : active raid1 sdb2[2] sda2[1]
      487192512 blocks super 1.2 [2/2] [UU]

unused devices: <none>

# lsblk
NAME                           MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
sda                              8:0    0 465.8G  0 disk
├─sda1                           8:1    0     1G  0 part
│ └─md1                          9:1    0     1G  0 raid1 /boot
└─sda2                           8:2    0 464.8G  0 part
  └─md0                          9:0    0 464.6G  0 raid1
    ├─vg_moscow-lv_root (dm-0) 253:0    0   450G  0 lvm   /
    └─vg_moscow-lv_swap (dm-1) 253:1    0     8G  0 lvm   [SWAP]
sdb                              8:16   0   3.7T  0 disk
├─sdb1                           8:17   0     1G  0 part
│ └─md1                          9:1    0     1G  0 raid1 /boot
└─sdb2                           8:18   0 464.8G  0 part
  └─md0                          9:0    0 464.6G  0 raid1
    ├─vg_moscow-lv_root (dm-0) 253:0    0   450G  0 lvm   /
    └─vg_moscow-lv_swap (dm-1) 253:1    0     8G  0 lvm   [SWAP]

#blkid | grep md
/dev/md0: UUID="JqLBXu-0DJJ-H9D1-Xb58-2Ukh-3iqU-JM4OLn" TYPE="LVM2_member"
/dev/md1: UUID="789955dc-a785-4e4d-b57d-8443ecc546dc" TYPE="ext3"

# mount | column -t
/dev/mapper/vg_moscow-lv_root  on  /                              type  ext4         (rw)
proc                           on  /proc                          type  proc         (rw)
sysfs                          on  /sys                           type  sysfs        (rw)
devpts                         on  /dev/pts                       type  devpts       (rw,gid=5,mode=620)
tmpfs                          on  /dev/shm                       type  tmpfs        (rw)
none                           on  /proc/sys/fs/binfmt_misc       type  binfmt_misc  (rw)
/dev/md1                       on  /boot                          type  ext3         (rw)

Вот тут странность с упоминанием ubuntu, т.к. сервер на CentOS 6. Что с этим делать?

mdadm --examine --scan >> /etc/mdadm.conf

ARRAY /dev/md/ubuntu:0 metadata=1.2 name=ubuntu:0 UUID=b696e922:34e2f717:fddf7751:57df981e
ARRAY /dev/md1 UUID=a7b07422:d65adaf6:a9f8978e:e41cd9f4
ARRAY /dev/md/0  metadata=1.2 UUID=b696e922:34e2f717:fddf7751:57df981e name=ubuntu:0

Также странно, что записи ARRAY'ев аж 3 и с какими-то странными путями. Ожидал увидеть:

ARRAY /dev/md1 UUID=a7b07422:d65adaf6:a9f8978e:e41cd9f4
ARRAY /dev/md0 metadata=1.2 UUID=b696e922:34e2f717:fddf7751:57df981e

Далее, сейчас в /etc/fstab:

UUID=413772a4-8d9d-4741-a4a7-f5810df117ea /                       ext4    defaults        1 1
UUID=789955dc-a785-4e4d-b57d-8443ecc546dc /boot                   ext4    defaults        1 2
/dev/mapper/vg_moscow-lv_swap swap                    swap    defaults        0 0
tmpfs                   /dev/shm                tmpfs   defaults        0 0
devpts                  /dev/pts                devpts  gid=5,mode=620  0 0
sysfs                   /sys                    sysfs   defaults        0 0
proc                    /proc                   proc    defaults        0 0

Нужно поменять тип /boot с ext4 на ext3?

UUID=413772a4-8d9d-4741-a4a7-f5810df117ea сменить на JqLBXu-0DJJ-H9D1-Xb58-2Ukh-3iqU-JM4OLn от md0?

И какой ему ставить тип файловой системы, если sudo blkid | grep md выдаёт TYPE=«LVM2_member» ?

Т.е. в итоге /etc/fstab должен быть таким?

UUID=JqLBXu-0DJJ-H9D1-Xb58-2Ukh-3iqU-JM4OLn /                       LVM2_member    defaults        1 1
UUID=789955dc-a785-4e4d-b57d-8443ecc546dc /boot                   ext3    defaults        1 2
/dev/mapper/vg_moscow-lv_swap swap                    swap    defaults        0 0
tmpfs                   /dev/shm                tmpfs   defaults        0 0
devpts                  /dev/pts                devpts  gid=5,mode=620  0 0
sysfs                   /sys                    sysfs   defaults        0 0
proc                    /proc                   proc    defaults        0 0

Далее, /boot/grub/grub.conf выглядит вот так:

default=0
timeout=5
splashimage=(hd0,0)/grub/splash.xpm.gz
hiddenmenu
title CentOS (2.6.32-696.1.1.el6.x86_64)
        root (hd0,0)
        kernel /vmlinuz-2.6.32-696.1.1.el6.x86_64 ro root=UUID=413772a4-8d9d-4741-a4a7-f5810df117ea rd_LVM_LV=vg_moscow/lv_swap rd_NO_$
        initrd /initramfs-2.6.32-696.1.1.el6.x86_64.img

# uname -r
2.6.32-696.1.1.el6.x86_64

Что-то ещё не учёл/поменять надо?

Спасибо!

Схема следующая:

Есть Mikrotik с двумы провайдерами. main/backup. На нём поднят vpn сервер, к которому можно подключиться одновременно по обоим ip.

Но пользователи подключаются по имени сервера vpn.company.com. Соответственно, когда main канал падает, то пользователи подключиться не могут, т.к. имя vpn.company.com ведёт только на основной ip.

Также на серверах компании крутится несколько сервисов/веб сайтов, в том же домене *.company.com, которые становятся недоступны, когда падает main канал.

Задача: сделать так, чтобы, чтобы все сервисы были доступны по *.company.com независимо от того на main или backup канале/ip работает Mikrotik.

Рассматриваю вариант использования route53 от Amazon: https://aws.amazon.com/ru/route53/ Кто-то имел опыт работы с ним и каковы впечатления?

Может есть способы попроще или сервисы более популярные, чем route53? Только, пожалуйста, никаких костылей не предлагать :)

Спасибо!

Всем привет! :)

Нужно поднять недорогой ESXi 6.5 сервер на desktop'ном железе. Но нужен raid1.

Для него рассматриваю вариант покупки raid контроллера ST-Lab A520. Он на нём вообще поднимется?

Планирую сделать raid1 из обычных двух 2Tb или 4Tb скорее всего Western Digital дисков SATA.

Было бы здорово, если бы этот контроллер потянул два raid1 массива по 2Tb или 4Tb каждый, т.е. всего 4 физических диска. Справится?

Понятно, что в поддерживаемых raid контроллерах на сайте VMWare его, по-моему, нет, но, может быть, есть вариант, типа того, как я сделал с сетевой картой net55-r8168-8.039.01-napi.x86_64 + ESXi-Customizer-PS-v2.5.ps1 ?

Если знаете о каком-то аналогичном, но лучшем контроллере за приблизительно эти же деньги и который будет лучше работать с ESXi 6.5, пишите.

Если есть какие-то нюансы по работе конкретных моделей 2Tb и 4Tb дисков с контроллером, то тоже пишите.

Спасибо!