skeletor
-
Публикации
156 -
Зарегистрирован
-
Посещение
Сообщения, опубликованные пользователем skeletor
-
-
Опубликовано · Изменено пользователем skeletor · Жалоба на ответ
Всем привет.
Есть сервер elastix'a и моменты пропадания электричества, все сервера бутаются и вот на шлюзе перестают натится пакеты от этого elastix'a. Вот как выглядит дамп на внешнем интерфейсе:13:15:41.855377 IP 10.0.1.11.5060 > X.X.X.X.5060: SIP: REGISTER sip:X.X.X.X SIP/2.0 13:15:41.953371 IP 10.0.1.11.5060 > X.X.X.X.5060: SIP: REGISTER sip:X.X.X.X SIP/2.0 13:15:42.057326 IP 10.0.1.11.5060 > X.X.X.X.5060: SIP: REGISTER sip:X.X.X.X SIP/2.0 13:15:42.153244 IP 10.0.1.11.5060 > X.X.X.X.5060: SIP: REGISTER sip:X.X.X.X SIP/2.0
При этом все остальные UDP пакеты (например, резолвинг DNS) работает нормально, то есть NATится.
Правила файервола:Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 9689 2834K SNAT all -- * ens34 10.0.0.0/8 0.0.0.0/0 to:X.X.X.X 119 6344 SNAT all -- * ens35 10.0.0.0/8 0.0.0.0/0 to:Y.Y.Y.Y 3743 1185K SNAT all -- * ens34 192.168.0.0/16 0.0.0.0/0 to:X.X.X.X 2 120 SNAT all -- * ens35 192.168.0.0/16 0.0.0.0/0 to:Y.Y.Y.Y
Потом (иногда спустя день) оно само (ну то есть никто ничего не делает) разлипает и начинает NATится. Иногда не разлипает и приходится бутать то шлюз, то elastix. Иногда это приходится делать по несколько раз.
После замены полностью шлюза на новый (как железо, так и ОС, только конфиги старые), проблема не ушла.
Ну вот даже не знаю, куда можно копать и что ещё смотреть? -
Пока остановился на ERPro-8. Но беглый осмотр CLI показал уж очень большую схожесть с Juniper OS, но никак не Debian-like. Смотрел здесь https://dl.ubnt.com/guides/edgemax/EdgeOS_UG.pdf
-
Любой бу брендовый сервер с OS, которую вы знаете.
Я именно так бы и сделал. Но заказчики хотят "небольшую железну коробочку"
Всем привет.
Посоветуйте нормальный роутер с такими требованиями:
- 2 WAN порта (+автопереключение канало)
- VPN (ipsec/pptp/pppoe), желательно openvpn
Рассматривал варианты cisco-1811k9/1812k9, но в cisco нет openvpn + неясен механизм автопереключения. Из производителей хотелось бы cisco/hp/juniper/mikrotik.
Заранее спасибо.
VPN клиенты нужны или сервер? Зачем так много разных?
Переключение делается с помощью IP SLA.
Клиенты. Много, потому что сеть очень гетерогенная и не всё оборудование поддерживает тот или иной тип VPN. На плохих каналах IPSec/pptp вообще не поднимался, приходилось l2tp/openvpn ставить.
Да всё это дорого, а функционал - офисный. Zyxel новый, при этом дешевле
Офисный-то да, но нужна безотказная железка которая выдержит любой офисный всплеск + будет запас по мощности (как минимум 50%)
-
А сколько железка должна прокачивать и какие задачи выполнять?
Должна держать трафик с камер наблюдений (около 10 штук) + передавать всё это через VPN + компы выпускать в инет (около 10 штук) + резервирование инет-канала (автопереключение) + файервол + возможно QoS по типу трафика.
у него любой порт может быть WANТам 1 WAN-порт.
Видимо это то ли не очевидно, то ли я не нашёл, где это описано
-
Если выкинуть openvpn то под ваши требования подходит Zyxel Keenetic Lite III :)
Там 1 WAN-порт.
желательно openvpn
http://shop.nag.ru/catalog/00002.Marshrutizatory/11811.Ubiquiti
Я так понял, там внутри операционка (на базе Debian'a) и любой из портов может быть как lan так и wan? Если конкретно, то я про модели Ubiquiti EdgeRouter PRO / Ubiquiti 8-Port EdgeRouter
-
Всем привет.
Посоветуйте нормальный роутер с такими требованиями:
- 2 WAN порта (+автопереключение канало)
- VPN (ipsec/pptp/pppoe), желательно openvpn
Рассматривал варианты cisco-1811k9/1812k9, но в cisco нет openvpn + неясен механизм автопереключения. Из производителей хотелось бы cisco/hp/juniper/mikrotik.
Заранее спасибо.
-
Всем спасибо.
Остановился на kibana+logstash+elastic (уже было на одном сервере, поэтому направил логи в него)
-
Есть несколько web-серверов с php. Задача - собирать логи со всех серверов в один. Есть нюанс: встречаются мультистрочные логи, и, поэтому просто так слать по TCP/UDP - нельзя, так как можно напороться на не ту последовательность строк на приёмнике.
Смотрел в сторону rsyslog, он умеет multistring, но нужно использовать endmsg.regex, а его нельзя просто так написать, так как логи - это просто ошибки php и там может быть, что угодно.
Может кто-то знает нормальное решение для работы с multistring логами?
Спасибо.
-
Всем привет.
Использую mtrg для сбора трафика. В какой-то момент идёт переполнение счётчиков и графики показывают уже не то. Поскольку я использую свой скрипт для сбора статистики
Target[localhost_net0]: `/usr/local/bin/mrtg-if-acct.sh net0`
то советы из гугла про 64 битные счётчики в snmp не подходят. Были попытки отдебажить mrtg, пропатчить и пересобрать rateup с long long double успеха не принесли. Может кто-то сталкивался или знает как решить проблему?
Заранее спасибо.
проблема не в mrtg
проблема в том как и что снимает скрипт
Действительно, дело оказалось в нём. Спасибо.
-
Всем привет.
Использую mtrg для сбора трафика. В какой-то момент идёт переполнение счётчиков и графики показывают уже не то. Поскольку я использую свой скрипт для сбора статистики
Target[localhost_net0]: `/usr/local/bin/mrtg-if-acct.sh net0`
то советы из гугла про 64 битные счётчики в snmp не подходят. Были попытки отдебажить mrtg, пропатчить и пересобрать rateup с long long double успеха не принесли. Может кто-то сталкивался или знает как решить проблему?
Заранее спасибо.
-
Всем привет.
Уже который день не могу решить проблему:
unable to find certificate in default keystore for validation
при попытке открыть ява-аплет (IPMI).
Что делал:
1) добавлял сертификат через keytool
2) явно указывал в параметрах запуска IPMI
-Djavax.net.ssl.trustStore=/usr/lib/jvm/java-8-oracle/jre/lib/security/cacerts -Djavax.net.ssl.trustStorePassword=changeit
Гугление ответа не даёт.
-
А я и не предлагаю россиянам ехать. Помимо них этот форум читают и другие русскоговорящие национальности :)
-
Незнание украинского языка будет являться минусом?
Не будет.
-
В одной знакомой ИТ-компании требуется на работу системный инженер с головой на плечах. Обязательно, что бы был не ленивый и инициативный. ЗП от 1000$ (дальше всё зависит от ваших навыков)
Место работы г.Киев.
Кого заинтересовало - пишите в личку, дам контакты HR-ов для дальнейшей связи.
-
Всё просто:
ifconfig em0 up
ngctl msg em0: setpromisc 1
ngctl msg em0: setautosrc 0
либо
ifconfig ngeth0 link 00:11:22:33:44:55 - меняй мак на тот который в сетевухе
К сожалению не помогло - пакеты всё равно не ловятся через tcpdump. Мне нельзя менять на тот же МАС, что у em0, так как в этом случае мне проще повесить алиас, нежели возится с netgraph.
-
не получается через netgraph заставить работать сетевой интерфейс. Он создаётся, но трафик по нему ходит только в пределах сервера. А из-вне недостучаться. tcpdump вообще молчит.
Когда-то на freebsd 7-8 создавал через netgraph интерфейсы вот так:
kldload /boot/kernel/ng_ether.ko ngctl mkpeer em0: bridge lower link0 ngctl connect em0: em0:lower upper link1 ngctl name em0:lower em0Bridge ngctl mkpeer em0:lower eiface link3 ether ifconfig ngeth0 link 00:11:22:33:44:55 ifconfig ngeth0 192.168.5.44/24 sysctl net.inet.ip.forwarding=1
и после этого сеть на ngeth0 работала. На FreeBSD 10.2 не работает. Вроде бы ничего не упустил. Возможно что-то изменилось или я что-то делаю не так?
tcpdump вообще не показывает никаких пакетов отправленных на ngeth0. В arp запись с новым МАСом появляется. Непосредственно в самой FreeBSD сеть ngeth0 работает.
# kldstat Id Refs Address Size Name 1 29 0xffffffff80200000 179ddb0 kernel 2 1 0xffffffff81a11000 3832 ng_socket.ko 3 11 0xffffffff81a15000 b9db netgraph.ko 4 1 0xffffffff81a21000 34c0 ng_bridge.ko 5 1 0xffffffff81a25000 3c48 ng_eiface.ko 6 1 0xffffffff81a29000 7430 ng_netflow.ko 7 1 0xffffffff81a31000 93b5 if_bridge.ko 8 1 0xffffffff81a3b000 53fa bridgestp.ko 9 1 0xffffffff81a41000 40fa ng_ether.ko # ngctl list There are 6 total nodes: Name: ngeth0 Type: eiface ID: 00000012 Num hooks: 1 Name: ngeth1 Type: eiface ID: 00000014 Num hooks: 1 Name: ngeth2 Type: eiface ID: 00000016 Num hooks: 1 Name: ngctl1184 Type: socket ID: 00000019 Num hooks: 0 Name: em0 Type: ether ID: 0000000c Num hooks: 2 Name: em0Bridge Type: bridge ID: 0000000e Num hooks: 5 # netstat -rn -I ngeth0 Name Mtu Network Address Ipkts Ierrs Idrop Opkts Oerrs Coll ngeth 1500 <Link#3> 00:11:22:33:44:55 426 0 0 74 0 0 ngeth - 192.168.5.0/2 192.168.5.44 81 - - 60 - - # netstat -rn -I em0Bridge Name Mtu Network Address Ipkts Ierrs Idrop Opkts Oerrs Coll
-
Опубликовано · Изменено пользователем skeletor · Жалоба на ответ
Всем привет.
Не могу найти информацию о том, из чего конкретно состоит значение MTU (то есть то, что непосредственно указывается в соответствующей команде по изменению MTU) на свичах HP Procurve. Для Cisco/Juniper нашёл такое описание:
Оборудование Cisco рассматривает mtu в соответствии c классическим определением от IEEE — по умолчанию на интерфейсах установлено 1500 байт, заголовок L2 фрейма при этом не учитывается.
Оборудование от Juniper Networks считает mtu вместе с L2 заголовком (как media mtu) — по умолчанию задано 1518 байт, где 18 байт — размер L2 заголовка с 802.1q тегом.
Есть подозрение, что так же как и у Cisco - только L3, без L2.
ПС. Тестировать пока не на чём (( .
-
Всем привет.
Имею связку FreeBSD 10.1, squid 3.4 с аутентификаций доменных юзеров и доступом согласно групп из домена (через ext_winbind_acl). Если имя юзера с пробелом, то в winbind уже передаётся только вторая часть, и понятно, что её не существует и получаем Access Denied.
Но если взять squid 3.3 (который через месяц станет deprecated) с теми же настройками, то всё работает корректно.
Понимаю, что похоже на баг, и пойду писать баг-репорт, но может кто-то уже сталкивался и есть готовый патч для 3.4.
Чувствую, что скоро дойду до того, что буду diff'ать файлы версий 3.4, 3.3 и искать разности.
-
Можно в принципи и OpenASP использовать, но как она в продакшине? Кто-то использовал?
Или может кто-то аналоги использовал?
-
Есть сервер (Dell PowerEdge R420, CPU(2x Xeon E5-2430 2200 MHz (64 cores), RAM(64Gb))) с Solaris 11.1.9.5.1
На сервере запущено 6 не глобальных зон, нагрузка не критическая, нормальная рабочая
С недавних пор начали с ним творится проблемы:
1) не убиваются по time ауту соединения в состоянии close_wait (ни в зонах, ни в global)
2) smf-сервисы не переходят в состояние disabled после выполнение svcadm (пробовались разные манипуляции с svcadm disable/mark/restart), как итог висит всегда online, хотя сам демон/процесс уже убит. Такое случается редко. Помогает только ребут зоны.
Ума не приложу, куда смотреть и как понять проблему.
-
-
50-100 Мбит\с суммарно.
-
Посоветуйте WiFi точку, которая может держать нормальную нагрузку (человек 15-20). Сейчас стоят Unifi от Ubiquiti. Но эти точки время от времени начинают лагать, если давать нагрузку. Настройки меняли вдоль и в поперёк. Точек - 9 шт. и лагают одинаково все (на какой больше нагрузка - та и лагает)
-
Идея хорошая, нужно будет при случае потестить.
Перестают NATится пакеты
в Программное обеспечение, биллинг и *unix системы
Опубликовано · Изменено пользователем skeletor · Жалоба на ответ
Спасибо, похоже в правильную сторону натолкнули. Модуль не загружен. Гугление навело на практически мой случай https://unix.stackexchange.com/questions/461320/nf-conntrack-sip-does-not-work-sometimes-restarting-iptables-usually-fixes-it . Сейчас у меня всё работает, модули подгрузил:
Добавил правила из статьи и по счётчикам видно, что пакеты не бегают (облом):
Видно, что helper=sip тоже не используется
Начал копать дальше и нашёл статьи
https://klink0v.livejournal.com/484932.html
https://ixnfo.com/moduli-nat-dlya-vpn-ftp-sip.html
и действительно, net.netfilter.nf_conntrack_helper был выставлен в 0. Поставил в 1 и уже стало видно, что используется:
Надеюсь, что это кому-то тоже поможет. Правила в файерволе (-t raw), походу лишние, но ещё понаблюдаю.