Jump to content
Калькуляторы

skeletor

Активный участник
  • Content Count

    156
  • Joined

  • Last visited

1 Follower

About skeletor

  • Rank
    Студент
  • Birthday 11/05/1984

Контакты

  • Сайт
    http://skeletor.og.ua
  • ICQ
    206276695

Информация

  • Пол
    Мужчина
  1. Спасибо, похоже в правильную сторону натолкнули. Модуль не загружен. Гугление навело на практически мой случай https://unix.stackexchange.com/questions/461320/nf-conntrack-sip-does-not-work-sometimes-restarting-iptables-usually-fixes-it . Сейчас у меня всё работает, модули подгрузил: # lsmod | grep sip nf_nat_sip 20480 0 nf_conntrack_sip 32768 1 nf_nat_sip nf_nat 36864 3 nf_nat_ipv4,xt_nat,nf_nat_sip nf_conntrack 172032 11 xt_conntrack,nf_nat,xt_state,ipt_MASQUERADE,nf_nat_ipv4,xt_nat,nf_conntrack_sip,xt_helper,nf_conntrack_netlink,xt_CT,nf_nat_sip Добавил правила из статьи и по счётчикам видно, что пакеты не бегают (облом): # iptables -t raw -L -nv Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 CT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:5060 ctstate NEW,RELATED,ESTABLISHED state NEW,RELATED,ESTABLISHED helper match "sip" CT 0 0 CT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:5060 ctstate NEW,RELATED,ESTABLISHED state NEW,RELATED,ESTABLISHED helper match "sip" CT Видно, что helper=sip тоже не используется # conntrack -L | grep -E '5060|sip'|grep 10.0.1.11 udp 17 141 src=10.0.1.11 dst=10.0.2.181 sport=5060 dport=5060 src=10.0.2.181 dst=10.0.1.11 sport=5060 dport=5060 [ASSURED] mark=0 use=1 udp 17 178 src=10.0.1.11 dst=X.X.X.X sport=5060 dport=5060 src=X.X.X.X dst=X.X.X.X sport=5060 dport=5060 [ASSURED] mark=0 use=1 udp 17 132 src=10.0.102.13 dst=10.0.1.11 sport=5060 dport=5060 src=10.0.1.11 dst=10.0.102.13 sport=5060 dport=5060 [ASSURED] mark=0 use=1 udp 17 160 src=10.0.1.11 dst=10.0.2.187 sport=5060 dport=5060 src=10.0.2.187 dst=10.0.1.11 sport=5060 dport=5060 [ASSURED] mark=0 use=1 udp 17 133 src=10.0.1.11 dst=10.0.102.15 sport=5060 dport=5060 src=10.0.102.15 dst=10.0.1.11 sport=5060 dport=5060 [ASSURED] mark=0 use=1 udp 17 132 src=10.0.102.11 dst=10.0.1.11 sport=5060 dport=5060 src=10.0.1.11 dst=10.0.102.11 sport=5060 dport=5060 [ASSURED] mark=0 use=1 conntrack v1.4.5 (conntrack-tools): 1426 flow entries have been shown. Начал копать дальше и нашёл статьи https://klink0v.livejournal.com/484932.html https://ixnfo.com/moduli-nat-dlya-vpn-ftp-sip.html и действительно, net.netfilter.nf_conntrack_helper был выставлен в 0. Поставил в 1 и уже стало видно, что используется: udp 17 3582 src=10.0.1.11 dst=X.X.X.X sport=5061 dport=5060 [UNREPLIED] src=X.X.X.X. dst=X.X.X.X sport=5060 dport=5061 mark=0 helper=sip use=1 Надеюсь, что это кому-то тоже поможет. Правила в файерволе (-t raw), походу лишние, но ещё понаблюдаю.
  2. Всем привет. Есть сервер elastix'a и моменты пропадания электричества, все сервера бутаются и вот на шлюзе перестают натится пакеты от этого elastix'a. Вот как выглядит дамп на внешнем интерфейсе: 13:15:41.855377 IP 10.0.1.11.5060 > X.X.X.X.5060: SIP: REGISTER sip:X.X.X.X SIP/2.0 13:15:41.953371 IP 10.0.1.11.5060 > X.X.X.X.5060: SIP: REGISTER sip:X.X.X.X SIP/2.0 13:15:42.057326 IP 10.0.1.11.5060 > X.X.X.X.5060: SIP: REGISTER sip:X.X.X.X SIP/2.0 13:15:42.153244 IP 10.0.1.11.5060 > X.X.X.X.5060: SIP: REGISTER sip:X.X.X.X SIP/2.0 При этом все остальные UDP пакеты (например, резолвинг DNS) работает нормально, то есть NATится. Правила файервола: Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 9689 2834K SNAT all -- * ens34 10.0.0.0/8 0.0.0.0/0 to:X.X.X.X 119 6344 SNAT all -- * ens35 10.0.0.0/8 0.0.0.0/0 to:Y.Y.Y.Y 3743 1185K SNAT all -- * ens34 192.168.0.0/16 0.0.0.0/0 to:X.X.X.X 2 120 SNAT all -- * ens35 192.168.0.0/16 0.0.0.0/0 to:Y.Y.Y.Y Потом (иногда спустя день) оно само (ну то есть никто ничего не делает) разлипает и начинает NATится. Иногда не разлипает и приходится бутать то шлюз, то elastix. Иногда это приходится делать по несколько раз. После замены полностью шлюза на новый (как железо, так и ОС, только конфиги старые), проблема не ушла. Ну вот даже не знаю, куда можно копать и что ещё смотреть?
  3. Пока остановился на ERPro-8. Но беглый осмотр CLI показал уж очень большую схожесть с Juniper OS, но никак не Debian-like. Смотрел здесь https://dl.ubnt.com/guides/edgemax/EdgeOS_UG.pdf
  4. Я именно так бы и сделал. Но заказчики хотят "небольшую железну коробочку" VPN клиенты нужны или сервер? Зачем так много разных? Переключение делается с помощью IP SLA. Клиенты. Много, потому что сеть очень гетерогенная и не всё оборудование поддерживает тот или иной тип VPN. На плохих каналах IPSec/pptp вообще не поднимался, приходилось l2tp/openvpn ставить. Офисный-то да, но нужна безотказная железка которая выдержит любой офисный всплеск + будет запас по мощности (как минимум 50%)
  5. Должна держать трафик с камер наблюдений (около 10 штук) + передавать всё это через VPN + компы выпускать в инет (около 10 штук) + резервирование инет-канала (автопереключение) + файервол + возможно QoS по типу трафика. у него любой порт может быть WAN Видимо это то ли не очевидно, то ли я не нашёл, где это описано
  6. Там 1 WAN-порт. http://shop.nag.ru/catalog/00002.Marshrutizatory/11811.Ubiquiti Я так понял, там внутри операционка (на базе Debian'a) и любой из портов может быть как lan так и wan? Если конкретно, то я про модели Ubiquiti EdgeRouter PRO / Ubiquiti 8-Port EdgeRouter
  7. Всем привет. Посоветуйте нормальный роутер с такими требованиями: - 2 WAN порта (+автопереключение канало) - VPN (ipsec/pptp/pppoe), желательно openvpn Рассматривал варианты cisco-1811k9/1812k9, но в cisco нет openvpn + неясен механизм автопереключения. Из производителей хотелось бы cisco/hp/juniper/mikrotik. Заранее спасибо.
  8. Всем спасибо. Остановился на kibana+logstash+elastic (уже было на одном сервере, поэтому направил логи в него)
  9. Есть несколько web-серверов с php. Задача - собирать логи со всех серверов в один. Есть нюанс: встречаются мультистрочные логи, и, поэтому просто так слать по TCP/UDP - нельзя, так как можно напороться на не ту последовательность строк на приёмнике. Смотрел в сторону rsyslog, он умеет multistring, но нужно использовать endmsg.regex, а его нельзя просто так написать, так как логи - это просто ошибки php и там может быть, что угодно. Может кто-то знает нормальное решение для работы с multistring логами? Спасибо.
  10. проблема не в mrtg проблема в том как и что снимает скрипт Действительно, дело оказалось в нём. Спасибо.
  11. Всем привет. Использую mtrg для сбора трафика. В какой-то момент идёт переполнение счётчиков и графики показывают уже не то. Поскольку я использую свой скрипт для сбора статистики Target[localhost_net0]: `/usr/local/bin/mrtg-if-acct.sh net0` то советы из гугла про 64 битные счётчики в snmp не подходят. Были попытки отдебажить mrtg, пропатчить и пересобрать rateup с long long double успеха не принесли. Может кто-то сталкивался или знает как решить проблему? Заранее спасибо.
  12. Всем привет. Уже который день не могу решить проблему: unable to find certificate in default keystore for validation при попытке открыть ява-аплет (IPMI). Что делал: 1) добавлял сертификат через keytool 2) явно указывал в параметрах запуска IPMI -Djavax.net.ssl.trustStore=/usr/lib/jvm/java-8-oracle/jre/lib/security/cacerts -Djavax.net.ssl.trustStorePassword=changeit Гугление ответа не даёт.
  13. А я и не предлагаю россиянам ехать. Помимо них этот форум читают и другие русскоговорящие национальности :)
  14. В одной знакомой ИТ-компании требуется на работу системный инженер с головой на плечах. Обязательно, что бы был не ленивый и инициативный. ЗП от 1000$ (дальше всё зависит от ваших навыков) Место работы г.Киев. Кого заинтересовало - пишите в личку, дам контакты HR-ов для дальнейшей связи.