Re: [freebsd] неудачное обновление системы через freebsd-update

[Alexander Bolshakov]

Сравнить, что было вкомпилено в старое ядро и загрузить соответствующие 
недостающие модули.
--
Alex суббота, 30 сентября 2017г., 16:26 +03:00 от Mstyslav Dubchak  
mstys...@ukr.net :

>
>
>> 
>> Вам раньше уже написали ведь - ядро в памяти старое (читай - со всеми 
>> сисколами), а бинарники уже от новой системы (требующие нового ядра, которое 
>> ещё на диске, но в память не загруженное и управление не получившее). При 
>> попытке запустить команду с диска считывается новый бинарник и обращается к 
>> системным вызовам нового ядра, которого в памяти ещё нет.
>> После перезагрузки новое ядро получит управление и всё будет согласовано.
>
>спасибо! я полнял что случилось, не понял почему. ну да ладно
>к моему сожалению, после ребута с ядром от 8.4 система не поднялась. 
>
>root mount waitig for: usbus4, usbus3, usbus2, usbus1, usbus0
>uhub0: 2 ports with 2 romovable, self powered
>uhub1: 2 ports with 2 romovable, self powered
>uhub2: 2 ports with 2 romovable, self powered
>uhub3: 2 ports with 2 romovable, self powered
>root mount waitig for: usbus4
>root mount waitig for: usbus4
>uhub4: 8 ports with 8 romovable, self powered
>trying to mount root from ufs:/dev/ad4s1a
>
>swapon: not found
>
>далее попытка запустить fsck (не находит, т.к. не примонтированы разделы)
>далее предлагает выбрать шелл для загрузки и нажать enter
>
>из примонтированных разделов только корневой
>
>что еще можно посоветовать?___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Re: [freebsd] [offtopic] Нужна консультация: проблемы с интернетом

[Alexander Bolshakov]

2 Anton Sayetsky: Простите, пива, хоть и маркой топика не пью - воды много,
а времени фильтровать - мало. :( Я же принёс извинения: если нечего сказать
по существу - лучше промолчать.

27 сентября 2017 г., 0:29 пользователь Vladislav V. Prodan <
ad...@support.od.ua> написал:

>
> 26 сентября 2017 г., 23:35 пользователь Alexander Bolshakov <
> albor...@gmail.com> написал:
>
>> Добрый день сообществу!
>>
>>  178.219.247.26 по whois это Крым.
>
Точно так. Даже - Севастополь. Но мне почему-то кажется, что это не влияет
(см. ниже).


> Вспоминаем про санкции и вспоминаем про DPI у провайдера согласно
> российского законодательства.
>
Я же написал в первом письме - вы не сохранили цитату: "На другой площадке,
имеющей адрес из той же AS, таких проблем не возникает." Там все ресурсы
доступны и всё работает без нареканий. Очень похоже на банлист, если бы не
"глобальность" и не было бы с чем сравнивать на соседней площадке.
___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

[freebsd] [offtopic] Нужна консультация: проблемы с интернетом

[Alexander Bolshakov]

Добрый день сообществу!

Понимаю, что не по адресу (в смысле, к топику отношения не имеет), но
других мест не знаю. Простите и толкните в нужную сторону.

Проблема в следующем: есть госконтора, разбросанная по городу. Из-за её
государственности подключение обеспечивает один провайдер. Смена провайдера
проблематична - тендеры, госзакупки и прочие сопутствующие аксессуары. :(

В одной из точек подключения интернет с проблемами: не удаётся зайти
примерно на половину сайтов, в том числе на skype.com, downloads.nod32.com
и другие, достаточно необходимые для работы ресурсы. Начальство возжелало
приобщиться к прогрессу и проводить совещания через skype.

На другой площадке, имеющей адрес из той же AS, таких проблем не возникает.
Представитель провайдера показал вывод tracerout-а и заявил "Видите - через
нас всё проходит нормально. Проблемы 'где-то там'. Пишите письма туда". На
возражение, что тот же мелкософт не будет разбираться с проблемами
маршрутизации у провайдера, ответили, что "вы же видели - у нас всё хорошо".

В процессе дебатов было выдвинута версия про банлист, но поиск пока не дал
результатов. Да и что это за банлист, которым пользуются и мелкософт, и
команда eset, и кто-то ещё, но далеко не все? И уж тем более, чтобы
антивирусники банили клиента... В общем, такое объяснение мне тоже не
кажется ответом.

К сожалению, опыта в провайдерстве не имею - особенности работы BGP и
других систем динамической маршрутизации у меня нет. Потому прошу помощи в
виде совета, возможных причин или пинка куда почитать. IP проблемной
площадки - 178.219.247.26. На вопрос о возможности смены IP провайдер
поморщился и сказал, что обычно они это не делают.

Спасибо за то, что уделили внимание.
___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Re: [freebsd] l2tp за NAT'ом (без IPSEC)

[Alexander Bolshakov]

Поведение очень похоже на ошибки а локальном файерволе (входящие пакеты в линии 
присутствуют). Я бы пересмотрел все правила ещё раз или открыл бы хост 
полностью на время эксперимента...
--
Отправлено из Mail.Ru для Android среда, 12 апреля 2017г., 10:49 +03:00 от 
Irina Liakh  sp...@itl.ua :

>On Wed, Apr 12, 2017 at 06:29:29AM +0300, Vladislav V. Prodan wrote:
>> 12 апреля 2017 г., 3:38 пользователь Irina Liakh < sp...@itl.ua > написал:
>> 
>> > Добрый день всем!
>> >
>> > Помогите, пожалуйста, разобраться, или подскажите, если это всем давно
>> > известно)
>> >
>> 
>> Смотреть с каким MTU поднялся туннель на обоих концах.
>> Подбирая пингом размер пакетов, вычисляем  MTU.
>> 
>> На клиенте и на сервере, в конфиге mpd,  не забываем ставить опцию
>> set iface enable tcpmssfix
>
>Пробовала, не помогло.
>
>> 
>> На сервере в конфиге mpd, в особо тяжелом случае придется ручками
>> выставлять что-то подобное:
>> set link mtu 1464
>> set link mru 1464
>
>Вроде как это ни при чем, но тоже пробовала) Не проходят небольшие пакеты,
>они не упираются в mtu/mru.
>___
>freebsd mailing list
>freebsd@uafug.org.ua
>http://mailman.uafug.org.ua/mailman/listinfo/freebsd
___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

[freebsd] Re: [freebsd] [ОТ]: Борьба с кульхацкерами

[Alexander Bolshakov]

08 янв. 2016 г. 17:55 пользователь "Anton Sayetsky" 
написал:
>

> > > Казалось бы - при чём здесь FreeBSD?
> > Да не при чём, но "живу" давно я здесь и создалось у меня впечатление,
что здесь много разумных и адекватных людей, связанных с администрированием
и безопасностью сетей. А про оффтопик я сразу в теме указал: кто является
строгим апологетом системы может не читать и в дискуссии не участвовать,
приношу свои извинения.
> > Мне нужно методическое решение, а реализацию уже будем а месте пилить...
> По топику - в таком случае лучше писать в -beer же.
Увы, возможно я не прав, ещё раз приношу извинения, но однажды на пробу
подписавшись, вынужден был отписаться от пива - уж очень много "воды"... :

> По делу - MAC можно тем же airodump найти, например (хотя я бы предпочёл
wireless sniffer/snooper в MikroTik).
Я думаю, что и сам роутер укажет МАС, если вовремя на него заглянуть или
мониторилку какую-то прикрутить. Вопрос (вторичный) в том, как (чем) с
ноута или планшета (так как роутер  с собой не потаскаешь) потом засечь его
вещание и попытаться запеленговать? Я, навскидку не помню утилиток,
"высвечивающих" клиентов. :(

> Только вот что мешает кульхацкеру генерить маки хоть каждую секунду?
Это - да, слабое место. Просто будем надеяться, что товарищ не столь
параноидален и будет уверен, что никто его не найдёт (все мы знаем, что без
спецоборудования это сделать сложно). В общем, дальнейшие его действия
покажут, как нам дальше действовать.

> Ну и почему бы не рассмотреть вариант обращения в соответствующие органы?
Органы ленивы и требуют доказательной базы от потерпевшего. А здесь
материального ущерба нет, материальной доказательной базы - тоже,
технического обеспечения у наряда нет, если даже уговорить их пройтись по
соседним квартирам (считай - два подъезда), то хацкер может тупо сказать
"ничего не знаю" и радостно потрошить роутер дальше: доказательство того,
что его заметили есть, а наказать не могут. Уж это на пионерских сайтах
объясняют чуть ли не в первую очередь. :(

Вопрос первичный - чем мониторить? Варианты: а) snmp, б) а ля syslogd, в)
есть ещё варианты? Кто-нибудь уже делал такое? Реализация syslogd или snmp
от дешёвых роутеров сообщает параметры (IP, MAC) цепляющихся клиентов?
Спасибо!

[freebsd] [ОТ]: Борьба с кульхацкерами

[Alexander Bolshakov]

Добрый день сообществу и с прошедшими и наступающими праздниками!

Обратился ко мне хороший товарищ с проблемой: завёлся у него дома в соседях
кульхацкер и развлекается тем, что ломает его домашний wifi-роутер, делая
открытым доступ. :( Роутер из простых - TP-Link, модель не знаю, т.к. дома
у него ещё не был. Советы "сменить пароль" на роутер и wifi не помогли - за
последний месяц этот хацкер уже три раза открывал роутер. WPS отключен, но,
похоже, это только в вебморде, т.к. взломы продолжаются. В голову приходит
только настройка какого-нибудь snmp-монитора с отслеживанием МАС-адреса и
занесением его в бан-лист с возможным последующим вычислением и занесением
в личность.
Может, у кого есть другие конструктивные мысли по этому поводу?

PS: Понятно, что это кто-то из ближайших соседей (10-30 метров); понятно,
что молодняк, только освоивший пару методов взлома; понятно, что надо
учить, по-возможности, законными и культурными методами. Поэтому, прошу о
конструктивной дискуссии по существу поднятого вопроса.
PS2: никогда не задумывался, но вот сейчас пришлось: как можно
(теоретически - можно, а вот практически, на бытовом уровне, бытовыми
ширпотребовскими методами и подручными средствами) вычислить мОлодца, зная
МАС его сетевушки? Он же должен вещаться в эфир постоянно при радиообмене.
Есть софтинки, мониторящие эфир на эту тему?

Спасибо всем, кто откликнется по теме!

[freebsd] Re: [freebsd] [ОТ]: Борьба с кульхацкерами

[Alexander Bolshakov]

08 янв. 2016 г. 12:51 пользователь "Lystopad Aleksandr" 
написал:
>
> > Обратился ко мне хороший товарищ с проблемой: завёлся у него дома в
соседях
> > кульхацкер и развлекается тем, что ломает его домашний wifi-роутер,
делая
> > открытым доступ. :( Роутер из простых - TP-Link, модель не знаю, т.к.
дома
> > у него ещё не был. Советы "сменить пароль" на роутер и wifi не помогли
- за
> > последний месяц этот хацкер уже три раза открывал роутер. WPS отключен,
но,
> > похоже, это только в вебморде, т.к. взломы продолжаются. В голову
приходит
>
> А шифрование какое? WPA2/PSK?
Да - я его после первого раза на эту тему по телефону проинструктировал.

> И еще, точно роутер не сбрасывается в дефолт по какой-то иной
> причине?
>
> Возможно, он не может сохранить конфиги и после очередной перезагрузки
> грузится на дефолтных настройках? А ваш товарищ считает что его
> взламывают.
Нет, настройки не сбрасываются в дефолт - каждый раз sid сети разный. В
последний раз - вообще матерным словом обозвал... Я сомневаюсь, что
товарищу выпал тот самый случай псевдоразума rnd-шного... Подозреваю, что
есть какая-то определённая дыра в прошивка типа неотключаемого WPS и хацкер
вычисляет роутер по МАС-у.

>  Lystopad Aleksandr

> Казалось бы - при чём здесь FreeBSD?
Да не при чём, но "живу" давно я здесь и создалось у меня впечатление, что
здесь много разумных и адекватных людей, связанных с администрированием и
безопасностью сетей. А про оффтопик я сразу в теме указал: кто является
строгим апологетом системы может не читать и в дискуссии не участвовать,
приношу свои извинения.
Мне нужно методическое решение, а реализацию уже будем а месте пилить...

[freebsd] ipfw и несколько GRE сессий

[Alexander Bolshakov]

Добрый день сообществу.

Помнится, была проблема когда-то. Сегодня наткнулся снова на неё. Есть
роутер в офисе на FreeBSD 7.3-PRERELEASE.

kldstat:
 22 0xc07ec000 ec4c ipfw.ko
 31 0xc07fb000 738c if_rl.ko
 42 0xc0803000 25110miibus.ko
 81 0xc0862000 3e40 ipfw_nat.ko
 92 0xc0866000 9ccc libalias.ko
net.inet.ip.fw.one_pass: 1

Прописал:
01140 nat 1 ip from 178.219.161.142 to xx.xxx.xxx.xxx
01150 nat 1 ip from 192.168.4.150 to 178.219.161.142
01150 allow ip from 178.219.161.142 to 192.168.4.150
01160 nat 1 ip from 192.168.4.151 to 178.219.161.142
01160 allow ip from 178.219.161.142 to 192.168.4.151

Пришли сегодня некоторые товарищи, которым по служебных делам нужно открыть
VPN (GRE) из винды. Первый проскочил легко и непринуждённо, а вот остальные
стали друг друга выбивать при поднятии канала. Гугл, вроде, говорит по
всякому - то проблема решена, то не решена... Человек, вон, даже на 6.1
утверждает, что сделано:
http://fenix.kiev.ua/4672656542534420d0b8204752452e20d09fd180d0bed0bad181

А что скажут опытные коллеги? Спасибо!

[freebsd] Re: [freebsd] mpd и задержка поднятия линка

[Alexander Bolshakov]

27 июля 2013 г., 7:44 пользователь Vitaly Dodonov
dreamer@gmail.comнаписал:

Как связаны pppoe и gre?

ОписАлся... Писал об одном, думал о многих других вещах, которые ещё в
процессе переконфигурации.


 Если от клиентов в ту отчетность поднимается все-таки pptp и речь идет о
 pptp линке конфига, то проблема вероятно в днс имени того узла - на момент
 загрузки интернета еще нет и хост не резольвится, а мпд пробует резольвить
 только один раз насколько я помню.
 Или указывать ип адрес в качестве хоста или обеспечить днс на старте.

Даже при рестарте mpd, когда в кэше намеда есть данные про удалённый хост,
всё равно, второй линк поднимается примерно один раз из 5-10. :(

[freebsd] Re: [freebsd] Re: mpd и задержка поднятия линка

[Alexander Bolshakov]

28 июля 2013 г., 17:52 пользователь Eugene Grosbein eu...@grosbein.net
 написал:


 Есть несколько способов решить задачу. Простейший это выкинуть из конфига
 команду set link redial-delay 30 и тогда mpd повторит попытку подключить
 pptp не через полминуты, а через секунду после неудачной первой. Таким
 образом,
 вся процедура займет пару секунд, а не полминуты.

Проблема в том, что оно вообще не пытается переконнектиться - ни через
полминуты, ни вообще. :( По поводу ДНС - mfgt.vpn.gov.ua, как,  я думаю,
все успели убедиться - закрытый снаружи адрес - только для их клиентов. Но
это уже не суть. За  set pptp disable resolve-once - спасибо, попробую...
Вариант через телнет мне кажется каким-то костыльным Это уже
напоследок...

[freebsd] mpd и задержка поднятия линка

[Alexander Bolshakov]

Добрый день сообществу!

Перерыл гугл, но ответа на вопрос так и не нашёл. :(
Есть у меня контора, ходит в интернет через mpd, для какой-то министерской
(?) отчетности пользователи поднимают pppoe канал на министерский хост,
подключаются к базе и принимают задания/отправляют отчёты. Время идёт,
конторка растёт (в плане количества сотрудников), задания от министерства
растут... Я не смог преодолеть когда-то ограничения NAT-а на более чем одну
GRE-сессию. Попытался поднять pppoe на том же mpd, всё, вроде, хорошо
получилось, но второй mpd-линк при перезапуске часто висит в пассивном
состоянии. В последнее время народ весьма активно работает в этой базе из
разных кабинетов. Каждый вновь подключающийся срубает предыдущего (если
кто был подключен). :( Недовольство растёт.

Если подключаться к консоли mpd и руками поднимать второй линк - всё
проходит чудесно. Дело, я понимаю, в том, что при старте второго линка,
первый ещё не поднят/не сконфигурирован. А вот как указать mpd задержку на
несколько секунд перед поднятием второго линка - найти нигде не могу. Если
не трудно - ткните носом в нужное место в документации. Спасибо!

[freebsd] Re: mpd и задержка поднятия линка

[Alexander Bolshakov]

26 июля 2013 г., 19:41 пользователь Alexander Bolshakov
albor...@gmail.comнаписал:

 Добрый день сообществу!

 Перерыл гугл, но ответа на вопрос так и не нашёл. :(
 Есть у меня контора, ходит в интернет через mpd, для какой-то министерской
 (?) отчетности пользователи поднимают pppoe канал на министерский хост,
 подключаются к базе и принимают задания/отправляют отчёты. Время идёт,
 конторка растёт (в плане количества сотрудников), задания от министерства
 растут... Я не смог преодолеть когда-то ограничения NAT-а на более чем одну
 GRE-сессию. Попытался поднять pppoe на том же mpd, всё, вроде, хорошо
 получилось, но второй mpd-линк при перезапуске часто висит в пассивном
 состоянии. В последнее время народ весьма активно работает в этой базе из
 разных кабинетов. Каждый вновь подключающийся срубает предыдущего (если
 кто был подключен). :( Недовольство растёт.

 Если подключаться к консоли mpd и руками поднимать второй линк - всё
 проходит чудесно. Дело, я понимаю, в том, что при старте второго линка,
 первый ещё не поднят/не сконфигурирован. А вот как указать mpd задержку на
 несколько секунд перед поднятием второго линка - найти нигде не могу. Если
 не трудно - ткните носом в нужное место в документации. Спасибо!

Блин, забыл конфиг:
default:
  load pppoe
#  load mfgt

pppoe
  create bundle static B1
  set iface route default
  set iface enable tcpmssfix
  set iface idle 0
  set iface disable on-demand
  set iface up-script /usr/local/etc/mpd5/link-up
#  set iface down-script
  set ipcp ranges 0.0.0.0/0 0.0.0.0/0
  create link static L1 pppoe
  set link action bundle B1
  set auth authname xx...@dsl.ukrtel.net
  set auth password xxx
  set link max-redial 0
  set link mtu 1492
  set link mru 1492
  set link keep-alive 10 60
  set link no acfcomp protocomp
  set pppoe iface bce0
  set pppoe service 
  open

mfgt
  create bundle static B2
  set iface enable tcpmssfix
  set iface idle 0
  set iface disable on-demand
  set iface up-script /usr/local/etc/mpd5/link-up.mfgt
#  set iface down-script /usr/local/etc/mpd5/link-down.mfgt
  set ipcp ranges 0.0.0.0/0 0.0.0.0/0
  set bundle enable compression
  set ccp yes mppc
  set mppc yes compress e40 e56 e128 stateless
  create link static L2 pptp
  set link action bundle B2
  set auth authname user5
  set auth password xx
  set link max-redial 0
  set link redial-delay 30
  set link mtu 1492
#  set link mtu 1460
  set link keep-alive 10 35
  set pptp peer vpn.mfgt.gov.ua
  set pptp disable windowing
  open

[freebsd] Re: [freebsd] mpd (pppoe) + VMWare возможно?

[Alexander Bolshakov]

22 июля 2013 г., 17:46 пользователь Eugene Grosbein eu...@grosbein.netнаписал:

 On 22.07.2013 21:11, Alexander wrote:
  Hello Vitaly,
 
  Saturday, July 20, 2013, 11:12:30 AM, you wrote:
 
  VD Фря подключенная в настроенный по дефолту vSphere standard switch
  VD прекрасно работала pppoe концентратором.
  VD Если на esxi ничего специально не резать проходят и виланы и пппое и
 все прочее.
  1. Promiscuous mode включили - положительного результата нет. :(
 
  2.  Сервера  пока  включены в один сегмент. Для теста туда же включили
  второй  модем. Товарищ включается нубуком в свитч при сервере, смотрит
  wireshark-ом пакеты в интерфейсе. Я на старом шлюзе через два свича по
  команде tcpdump -npi bge0 ether host 00:0c:29:d6:7e:87 and port not ssh
  вижу PPPoE:
  16:47:47.334121 PPPoE PADI [Host-Uniq 0x8040D3C8] [Service-Name]
  16:47:51.354961 PPPoE PADI [Host-Uniq 0x003AD3C8] [Service-Name]
  16:47:53.354004 PPPoE PADI [Host-Uniq 0x003AD3C8] [Service-Name]
  16:47:57.354316 PPPoE PADI [Host-Uniq 0x003AD3C8] [Service-Name]
 
  А  в это же время товарищ, включенный в свитч рядом с новым сервером с
  фильтром  в  wireshark-e:  eth.addr matches 00:0c:29:d6:7e:87 не видит
  ничего.  :(  Свитчи  D-Link  DES  1026G.  Т.е., получается, PPPoe таки
  работает и наружу просится, но вот свитч его заворачивает на аплинка?
  Как его повернуть в нужное русло?

 Эти пакеты PADI - ethernet broadcasts, по умолчанию свич должен их
 доставлять
 во все порты сегмента. Может быть, на нём включено что-то типа
 port isolation / protected ports?

Так DES 1026G - вроде, тупой, как бревно - никаких внутренних
настроек/интерфейсов... По крайней мере, я не помню. Одна радость - два
порта гигабитных. Даже в стек не сопрягается.

PS: возникла мысля ещё попробовать какой-нибудь простенький свитчик между
новым сервером и сетью воткнуть, а в уже в тот - модем для проверки
процесса...

[freebsd] mpd (pppoe) + VMWare возможно?

[Alexander Bolshakov]

Добрый день сообществу!

Подскажите, может, кто сталкивался - второй день бьюсь: не выходит каменный
цветок... :(

В общем, попросил меня на днях о помощи товарищ, которого я подсадил
некогда на фрю. Сейчас он производит модернизацию оборудования и не может
настроить на новом сервере выход в интернет. Фря 8.4, mpd Version 5.7.
Провайдер - Укртелеком, aDSL, модем - Callisto 821, серенький, старый в
позе бриджа. Конфиги взяты со старого сервера, с нубука с виндой соединение
устанавливается нормально, а со старого сервера - тоже, а новый сервер - не
вяжется ни через mpd, ни, даже, через ppp. Товарищ в другом городе,
приехать на место, посмотреть глазами возможности пока нет.
mpd.conf:
default:
  load pppoe

pppoe
  create bundle static B1
  set iface route default
  set iface enable tcpmssfix
  set iface idle 0
  set iface disable on-demand
#  set iface up-script /usr/local/etc/mpd5/link-up
#  set iface down-script
  set ipcp ranges 0.0.0.0/0 0.0.0.0/0
  create link static L1 pppoe
  set link action bundle B1
  set auth authname lo...@dsl.ukrtel.net
  set auth password password
  set link max-redial 0
  set link mtu 1492
  set link mru 1492
  set link keep-alive 10 60
  set link no acfcomp protocomp
  set pppoe iface em0
  set pppoe service 
  open

У меня у самого на таком конфиге живет не одна площадка. Вариант через
ppp.conf:
default:
 set log Phase Chat LCP IPCP CCP tun command
 ident user-ppp VERSION

 set device /dev/cuau1

 set speed 115200
 set dial ABORT BUSY ABORT NO\\sCARRIER TIMEOUT 5 \
   \\ AT OK-AT-OK ATE1Q0 OK \\dATDT\\T TIMEOUT 40 CONNECT
 set timeout 180
 enable dns

pppoe:
 set device PPPoE:em0
 add default HISADDR
 set authname lo...@dsl.ukrtel.net
 set authkey password
 enable lqr echo
 set cd 5
 set dial
 set login
 set mru 1492
 set redial 0 0
 set mode ddial
 resolv readonly

А тут - посылки в интерфейс вижу, а ответов со стороны УТ - нет. :(
ifconfig
em0: flags=8843UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST metric 0 mtu 1500
options=9bRXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM
ether 00:0c:29:d6:7e:87
inet 192.168.4.3 netmask 0xff00 broadcast 192.168.4.255
inet 192.168.1.40 netmask 0xff00 broadcast 192.168.1.255
inet 192.168.25.1 netmask 0xff00 broadcast 192.168.25.255
media: Ethernet autoselect (1000baseT full-duplex)
status: active
lo0: flags=8049UP,LOOPBACK,RUNNING,MULTICAST metric 0 mtu 16384
options=3RXCSUM,TXCSUM
inet 127.0.0.1 netmask 0xff00

kldstat
Id Refs AddressSize Name
 1   75 0xc040 4b9d10   kernel
 21 0xc08ba000 56e50if_em.ko
 31 0xc0911000 21354mpt.ko
 41 0xc4dbe000 4000 logo_saver.ko
 51 0xc4fad000 4000 ng_socket.ko
 67 0xc4fb1000 b000 netgraph.ko
 71 0xc4fc4000 4000 ng_mppc.ko
 81 0xc4fc8000 2000 rc4.ko
 91 0xc4fce000 4000 ng_iface.ko
101 0xc4fdb000 7000 ng_ppp.ko
111 0xc4fe4000 3000 ng_tee.ko
121 0xc4ffc000 4b000if_bce.ko
131 0xc5056000 23000miibus.ko
141 0xc508f000 4000 ng_ether.ko
151 0xc5093000 6000 ng_pppoe.ko
161 0xc50a8000 6000 if_tun.ko

конфиг ядра:
cpu I586_CPU
cpu I686_CPU
ident   NEWSERVER
options SCHED_ULE   # ULE scheduler
options PREEMPTION  # Enable kernel thread preemption
options INET# InterNETworking
options FFS # Berkeley Fast Filesystem
options SOFTUPDATES # Enable FFS soft updates support
options UFS_ACL # Support for access control lists
options UFS_DIRHASH # Improve performance on big
directories
options UFS_GJOURNAL# Enable gjournal-based UFS
journaling
options MD_ROOT # MD is a potential root device
options NFSSERVER   # Network Filesystem Server
options NFSLOCKD# Network Lock Manager
options MSDOSFS # MSDOS Filesystem
options CD9660  # ISO 9660 Filesystem
options PROCFS  # Process filesystem (requires
PSEUDOFS)
options PSEUDOFS# Pseudo-filesystem framework
options GEOM_PART_GPT   # GUID Partition Tables.
options GEOM_LABEL  # Provides labelization
options COMPAT_43TTY# BSD 4.3 TTY compat (sgtty)
options SCSI_DELAY=5000 # Delay (in ms) before probing SCSI
options KTRACE  # ktrace(1) support
options STACK   # stack(9) support
options SYSVSHM # SYSV-style shared memory
options SYSVMSG # SYSV-style message queues
options SYSVSEM # SYSV-style semaphores
options P1003_1B_SEMAPHORES # POSIX-style semaphores
options _KPOSIX_PRIORITY_SCHEDULING # 

[freebsd] Re: [freebsd] mpd (pppoe) + VMWare возможно?

[Alexander Bolshakov]

2013/7/20 Vladislav V. Prodan ad...@support.od.ua


 Понизьте
   set link mtu 1300
   set link mru 1300

То же самое:
00:55:14.893330 PPPoE PADI [Host-Uniq 0xC01505C5] [Service-Name]
00:55:16.892899 PPPoE PADI [Host-Uniq 0xC01505C5] [Service-Name]
00:55:20.893173 PPPoE PADI [Host-Uniq 0xC01505C5] [Service-Name]
00:55:24.913695 PPPoE PADI [Host-Uniq 0xC01305C5] [Service-Name]
00:55:26.913566 PPPoE PADI [Host-Uniq 0xC01305C5] [Service-Name]
00:55:30.913905 PPPoE PADI [Host-Uniq 0xC01305C5] [Service-Name]
00:55:34.934703 PPPoE PADI [Host-Uniq 0x8054DAC4] [Service-Name]
00:55:36.934258 PPPoE PADI [Host-Uniq 0x8054DAC4] [Service-Name]

[freebsd] Re: [freebsd] isc-dhcp раздаёт зарезервированные адреса

[Alexander Bolshakov]

19 июня 2013 г., 9:55 пользователь skeletor skele...@lissyara.su написал:

 18.06.2013 19:27, Alexander Bolshakov пишет:

 18 июня 2013 г., 11:46 пользователь Eugene Grosbein eu...@grosbein.net
 mailto:eu...@grosbein.net написал:


 On 18.06.2013 15:44, skeletor wrote:

   Я, почему-то думаю по другому: если адрес зарезервирован, то он не
   должен выдаваться никому, кроме нужного, при любых обстоятельствах.

 Ты должен исключать зарезервированные адреса из общих пулов.


 Эм... А можно конфиг привести? Хотя бы начало? У меня как-то ничего без
 спросу не выдаётся, хотя свободных адресов в одной из точек осталось уже
 меньше трёх десятков... Может, всё-таки, что-то неправильно у товарища в
 конфиге описано?
 2EG: У меня как-то ничего не исключается:
 shared-network x {
  subnet 192.168.0.0 netmask 255.255.255.0 {
  option subnet-mask  255.255.255.0;
  option domain-name x.xxx.xx
  [skip десяток option]

  host raws1 {
  hardware ethernet xx:xx:xx:xx:xx:xx
  fixed-address raws1;
  }
 [и понеслось skip]
 }
 Причём, там штук семь разных подсетей на трёх интерфейсах живёт. В
 общем, большая конфигурация


 Пример резервации 1 в 1 как и везде:

 host host_name {

 hardware ethernet xx:xx:xx:xx:xx:xx
 fixed-address YY.YY.YY.YY;
 }

 В конфиге range - почти вся сетка (за исключением 10 адресов).
 Почитайте то, что написал Sayetsky Anton и вопросов больше не будет (у
 меня сразу отпали после прочтения

У меня вопрос в том - где прописана резервация. Я наблюдал, как люди
умудрялись прописывать и снаружи пула...

[freebsd] Re: [freebsd] isc-dhcp раздаёт зарезервированные адреса

[Alexander Bolshakov]

18 июня 2013 г., 11:46 пользователь Eugene Grosbein eu...@grosbein.netнаписал:

 On 18.06.2013 15:44, skeletor wrote:

  Я, почему-то думаю по другому: если адрес зарезервирован, то он не
  должен выдаваться никому, кроме нужного, при любых обстоятельствах.

 Ты должен исключать зарезервированные адреса из общих пулов.


Эм... А можно конфиг привести? Хотя бы начало? У меня как-то ничего без
спросу не выдаётся, хотя свободных адресов в одной из точек осталось уже
меньше трёх десятков... Может, всё-таки, что-то неправильно у товарища в
конфиге описано?
2EG: У меня как-то ничего не исключается:
shared-network x {
subnet 192.168.0.0 netmask 255.255.255.0 {
option subnet-mask  255.255.255.0;
option domain-name x.xxx.xx
[skip десяток option]

host raws1 {
hardware ethernet xx:xx:xx:xx:xx:xx
fixed-address raws1;
}
[и понеслось skip]
}
Причём, там штук семь разных подсетей на трёх интерфейсах живёт. В общем,
большая конфигурация

Re: [freebsd] svnup?

[Alexander Bolshakov]

Ага, спасибо - как-то я не сообразил, что вначале надо порты обновить. :)
Мда, конец дня... Странно, что его нет в ports.freebsd.org...


2013/6/17 Alexander Shikoff minot...@crete.org.ua

 On Mon, Jun 17, 2013 at 06:29:08PM +0300, Alexander Bolshakov wrote:
 dependencies than the svn port. Только вот беда - в базе портов
 таковое отсутствует:
 проверял даже на ports.freebsd.org... :(

 /usr/portsmake search key=svnup
 Port:   svnup-0.95
 Path:   /usr/ports/net/svnup
 Info:   Lightweight program to pull source from an Apache Subversion server
 Maint:  j...@visi.com
 B-deps:
 R-deps:
 WWW:http://jcm.dsl.visi.com/freebsd/svnup/

 --
 MINO-RIPE

Re: [freebsd] svnup?

[Alexander Bolshakov]

17 июня 2013 г., 18:39 пользователь l...@lena.kiev.ua написал:

  отсылает к какому-то
  интересному для меня продукту - *ports/net/svnup: *This is a lightweight
  svn checkout-only client with less dependencies than the svn port.
 Только
  вот беда - в базе портов таковое отсутствует: проверял даже на
  ports.freebsd.org... :(

 /usr/ports/net/svnup $ ls -l
 -rw-r--r--  1 root  wheel  1349 16 июн 10:07 Makefile
 -rw-r--r--  1 root  wheel   127 16 июн 10:07 distinfo
 -rw-r--r--  1 root  wheel   123 28 фев 08:59 pkg-descr
 -rw-r--r--  1 root  wheel   322 17 апр 01:00 pkg-plist

 Есть еще альтернативный svnup, не в портах.
 Я их не пробовала.

  portsnap выручает с портами, но
  как быть с основной системой? Чем сейчас люди пользуются?

 Чтобы поддиректории .svn не занимали место на диске,
 вместо обычно рекомендуемого svn checkout я использовала svn export
 (порт /usr/ports/devel/subversion):

 rm -rf /usr/src
 svn export svn://freebsd-svn.yandex.net/base/releng/8.4 /usr/src

 Заняло это полчаса (svnup наверно существенно дольше).
 Пересборка мира с ядром - полтора часа.
 Пересборка портов гораздо дольше.


Эм... А вопрос новичка в этой штуке: такого понятия, как раньше в cvs -
RELENG_8, например, нет? Надо точно 8.3, 8.4, 9.1 указывать? Как-то в
примерах это тускло освещено... :(

Re: [freebsd] svnup?

[Alexander Bolshakov]

17 июня 2013 г., 18:53 пользователь l...@lena.kiev.ua написал:

 P.S.  Несмотря на использование portsnap,
 порт subversion всё равно придется установить,
 когда понадобится откатить какой-то порт на старую версию.
 Я преднамеренно использую старые версии mtr, fluxbox, nvidia-settings,
 gimp, skype.


Спасибо, учтем. Я, вообще-то редко пользую экзотический софт - стараюсь
больше минимальный набор проверенных программ использовать.

Re: [freebsd] svnup?

[Alexander Bolshakov]

2013/6/17 George L. Yermulnik y...@yz.kiev.ua

 Hello!

 On Mon, 17 Jun 2013 at 18:55:07 (+0300), Alexander Bolshakov wrote:

  Эм... А вопрос новичка в этой штуке: такого понятия, как раньше в cvs -
  RELENG_8, например, нет? Надо точно 8.3, 8.4, 9.1 указывать? Как-то в
  примерах это тускло освещено... :(


 http://www.freebsd.org/doc/en_US.ISO8859-1/articles/committers-guide/subversion-primer.html#subversion-primer-base-layout

 For the base repository, HEAD refers to the -CURRENT tree. For example,
 head/bin/ls is what would go into /usr/src/bin/ls in a release. Some key
 locations are:

 /head/ which corresponds to HEAD, also known as -CURRENT.

 /stable/n which corresponds to RELENG_n.


Угу, спасибо, только вот висит уже минут 15 безо всякого трафика в
интерфейсе
# svnup release -v 2
# Revision: 251857
# Protocol: https
# Address: svn0.us-east.freebsd.org
# Port: 443
# Branch: base/releng/8
# Target: /usr/opt/src
# Trim tree: No
# Show extra files: No
# Work directory: /var/tmp/svnup

Какой-то стартовый обмен мелькнул немного, а теперь - тишина... :(

[freebsd] Re: [freebsd] dhcp-сервер на фре

[Alexander Bolshakov]

11 ноября 2011 г. 16:17 пользователь Lystopad Olexandr l...@laa.zp.ua написал:

 Есть клиент dlink dir-300.
 Вручную на нем назначили адреса на wan. Клиента работает неделями.
 Попросили перевести wan на получение адресов по dhcp у меня сервер
 freebsd 7.2-STABLE и isc-dhcp30-server-3.0.7_3. Прописал его мак и
 выдаю ему адрес. Клиент получает и получает по кругу адрес. Вроде
 как присвоить не может. В этом же subnet клиенты-компы получают
 адреса и работают. Где может быть косяк???

 Другой клиент из этого subnet на dir-400 точно также не может
 присвоить адрес.

 Как побороть dhcp-сервер? Или клиенты глючные, надо обновлять?
привязки ip-mac на сервере нет случайно? У меня было с какой-то
железякой (даже, вроде кошка, если мне память не изменяет) примерно
так: перед присвоением себе IP, шёл arp-запрос в сеть на предмет
наличия у кого-нибудь такого адреса. Фря отвечала, что знает про пару
MAC-IP; несмотря на то, что MAC совпадал с её собственным, железяка
тупо отбрасывала полученный IP, считая, что никто кроме неё не вправе
так отвечать. Удалил слово pub в arp-таблице и всё заработало.

[freebsd] Re: [freebsd] dhcp-сервер на фре

[Alexander Bolshakov]

11 ноября 2011 г. 17:14 пользователь Alexander Melnik 0...@ukr.net написал:

 У меня ни разу не было косяков с dhcp из-за dhcp-сервера, а вот
У меня есть - на одной площадке isc-dhcpd никак не хочет работать. :(
Причём, всё, вроде, стандартно - неоднократно проверенная
конфигурация:
FreeBSD 7.2-STABLE FreeBSD, CPU: AMD-K6(tm) 3D processor (267.27-MHz
586-class CPU), vr0, памяти, правда, маловато - 32 метра всего, но на
соседней площадке в пяти километрах на том же объёме памяти всё
работает нормально. Там, правда, железо похуже в целом. Так вот - не
слышит dhcpd запросов из сети - хоть убейся. Приходится периодически
ездить туда и настраивать всякие разные параметры сети глобально
руками. :(

 из-за блинковского железа, тестируемого производителем на
 клиентах - много, часто и будет еще немеряно.

[freebsd] pf+counterstrike

[Alexander Bolshakov]

Добрый вечер сообществу! Подскажите, плз: есть роутер с двумя
аплинками, за ним сетка. Фаервол организован на связке pf+ipfw. На
ipfw реализован биллинг и шейпинг, на pf - нат (реализация автора
биллинга). Часть сетки пробросили на второго аплинка средствами pf. Но
стали жаловаться клиенты, что не могут связаться с серверами контры.
Tcpdump-ом на внешнем интерфейсе вижу запросы и ответы, но клиент
жалуется, что связи нет. Увы, посмотреть, что творится в сторону
клиента сейчас не могу - клиенты ходят через pptp, а сейчас около 150
подключенных. pf.ctl:

set limit states 128000
set optimization aggressive
nat pass on re0 from 10.0.0.0/8 to any - re0
rdr on re0 from ${OIF2} to any - ${GW2}
pass in route-to { (re0 ${GW2}) } from 10.5.5.0/24 to !10.5.0.0/21 keep state

pass in on re0 reply-to ${OIF2} keep state

Я, к сожалению, pf знаю плохо - больше по ipfw. Подскажите, всё ли
нормально в конфиге? Может, у контры есть какие-то особенности в
протоколе, наподобие ftp? Спасибо!

[freebsd] [OT]: Nagios+check_udp - мониторить OpenVPN

[Alexander Bolshakov]

Добрый день сообществу!

Поставили в сеть у нас новый сервер, навесили на него нужных сервисов,
но вот теперь руководство захотело ещё видеть карту сети и состояние
некоторых критичных точек. В принципе, Nagios хорошо справился с
задачей, но есть у нас на шлюзе openvpn, который тоже хотелось бы
мониторить. check_udp хочет видеть в параметрах запуска строки запроса
и ответа, которых я пока нигде не нашёл. В сети многие задаются этим
вопросом, есть такие советы: мониторить процесс, но у меня разные
машины и вешать апач+пхп на шлюз я не хочу; пинговать удалённый хост,
но это не правильно, на мой взгляд, т.к., удалённый хост может быть в
процессе перезагрузки, или главный канал у него (у них) отвалиться. В
общем, нужно мониторить именно сам сервис. Нет ни у кого образчика
строк запрос/ответ? Или подскажите, чем глянуть-проверить - tcpdump?

спасибо!

[freebsd] Fwd: [freebsd] VPN на кошку

[Alexander Bolshakov]

19 октября 2011 г. 14:11 пользователь Alex Korchmar
4spa...@linux.e-moe.ru написал:

 Проконсультируйте, плз: приехали бодрые ребята от имени министерства
 со столичным проектом организации все-ххх-ой сети, раздали логины,
 пароли, инструкции, уехали. По инструкции на клиентско винде
 настраивается впн, использующий GRE. Сейчас, вроде, на топике победили
 инструкцию - в студию.
Да всё просто до безобразия - подключение к сети на рабочем месте
(VPN), вводим адрес, пароль, логин, снимаем галочки основной шлюз и
требовать шифрование данных. То, что там GRE внутри - это уже
tcpdump поведал... в процессе настроек, Начало - tcp на 1723-й порт.

 люди разного возраста и объяснить некоторым, что нужно поднять соединение,
 а по окончании - отключиться, особенно, в бухгалтерии - тяжело. Бойцы
 зачем отключаться-то? Бухгалтеры прекрасно умеют выполнять инструкции вида
 тут дважды вводим свой пароль. Команду на запуск - в autostart.
Не стрёлись в памяти ещё случаи, когда новая сессия перекрывала старую
или, наоборот - когда новую невозможно было открыть, не закрыв
старую... Может, я и перестраховываюсь, но в инструкции тоже есть
рекомендация прекращать сессию после окончания работы с приложением.

 обмолвились, что в центре стоит кошка. Но technet.microsoft.com
 говорит, что vpn - это либо pptp, либо l2tp. Да и GRE - это, вроде,
 pptp, если мне склероз не изменяет?.. Перестраховавшись, попытался
 pptp это не только gre, но l2tp точно не.
Ну, мне бы для начала идентифицировать тип vpn-а, а то как-то мало
данных из инструкции для обезьян... :(

 Т.е., просто нужно на mpd поднять pptp - я правильно понял? Спасибо.
 нужно для начала понять что за vpn. То есть все же пересказать своими
 словами ту самую инструкцию. Может быть - да.
 Ну и быть уверенным что из центрального офиса по шапке не прилетит, что у вас
 все ходят под одним логином-паролем с общего ip'шника, может они специально их
 раздали разные чтоб уметь различать кто и с чем пожаловал.
Есть ещё пары логин-пароль для приложений, так что там однозначно
можно человека идентифицировать.

 Опять же сам этот пароль вы вынуждены будете clear-text'ом хранить на роутере,
 это иногда (часто) хуже чем на бумажке, приклеенной к монитору.
Ну, тут у нас люди на местах добрые: дать пароль от сервака
1С-программисту постороннему - как два байта переслать. Так что _мне_
так спокойнее будет...

[freebsd] Re: [freebsd] VPN на кошку

[Alexander Bolshakov]

19 октября 2011 г. 14:01 пользователь Eugene Grosbein
eu...@grosbein.net написал:

 Лично я мало что понял из этого объяснения - что именно хочется получить?
Хочется узнать, что за протокол используется для vpn-а в этой задаче,
чтоб потом поднимать его не с рабочих мест, а на сервере.

 На всякий случай, pptp это TCP 1723 плюс GRE,
Да-да, так оно и есть.

 а порт 500 никакого отношения
 к pptp не имеет, а используется протоколом IKE (IPSEC, возможно L2TP/IPSEC).
Это уже, как выяснилось, личные измышления основанные на нескольких
оброненных фразах от приезжавших товарищей.

[freebsd] Re: [freebsd] Re: [freebsd] VPN на кошку

[Alexander Bolshakov]

19 октября 2011 г. 15:56 пользователь Eugene Grosbein
eu...@grosbein.net написал:
 19.10.2011 18:37, Alexander Bolshakov пишет:

 Лично я мало что понял из этого объяснения - что именно хочется получить?
 Хочется узнать, что за протокол используется для vpn-а в этой задаче,
 чтоб потом поднимать его не с рабочих мест, а на сервере.

 tcpdump всё покажет.
Дак уже показал всё в процессе настройки у клиентов. Теперь дело за
настройкой mpd. Всем спасибо за помощь в идентификации.

[freebsd] Re: [freebsd] Re: [freebsd] Re: [freebsd] Re: [freebsd] Fwd: OT: заставить sendmail не проверять владельца mailbox-a

[Alexander Bolshakov]

1 октября 2011 г. 12:13 пользователь Eugene V. Boontseff
eug...@home.wdc.spb.ru написал:
 Если не забыть, что формат /etc/master.passwd между 4.х и 8.х
 несколько поменялся и просто так его не подставить...

 Что?

 eugene@Xfiles [/home/eugene] uname -a; sudo grep www /etc/master.passwd
 FreeBSD Xfiles.wdc.intranet 4.8-RELEASE FreeBSD 4.8-RELEASE #0: Thu Apr  3
 10:53:38 GMT 2003
 r...@freebsd-stable.sentex.ca:/usr/obj/usr/src/sys/GENERIC  i386
 www:*:80:80::0:0:World Wide Web Owner:/nonexistent:/sbin/nologin

 eugene@home [/home/eugene] uname -a ; sudo grep www /etc/master.passwd
 FreeBSD home.my.intranet 8.2-STABLE FreeBSD 8.2-STABLE #38: Sun Jul 24
 00:07:17 MSD 2011     eug...@home.my.intranet:/usr/obj/usr/src/sys/EUKERNEL
  amd64
 www:*:80:80::0:0:World Wide Web Owner:/nonexistent:/usr/sbin/nologin

 в чем отличие?
У меня почему-то на 4-ке нет 6-го и 7-го полей - :0:0:. :( Правка, в
общем-то, копеечная...

[freebsd] Re: [freebsd] Fwd: OT: заставить sendmail не проверять владельца mailbox-a

[Alexander Bolshakov]

3 октября 2011 г. 7:15 пользователь Eugene Grosbein egrosb...@rdtc.ru написал:
 30.09.2011 19:42, Alexander Bolshakov пишет:

 Есть у кого какие мысли по этому поводу? Спасибо!
 Я не понимаю, что мешает в момент окончательной миграции
 сделать что-то типа:

 cd /var/mail  for f in mbox; do chown $mbox $mbox; done
Ничего. Это и предполагалось последним шагом. Но хотелось помучиться -
убедиться, что попытка привести существующую конфигурацию к типовой,
избавиться от нескольких сомнительных костылей, пройдёт спокойно и не
закончится авральными ночными звонками от выездного агента типа у нас
почта перестала ходить, а пароход уходит через 3 часа...

[freebsd] Fwd: OT: заставить sendmail не проверять владельца mailbox-a

[Alexander Bolshakov]

-- Пересланное сообщение --
От кого: Alexander Bolshakov albor...@gmail.com
Дата: 30 сентября 2011 г. 13:52
Тема: OT: заставить sendmail не проверять владельца mailbox-a
Кому: UaFUG freebsd@uafug.org.ua


Добрый день сообществу! Подскажите, как решить задачу.
Итак, примерно с 2003-го года на топике 4.х, на соответствующем железе
стоял почтовый сервачок, для внутренней корпоративной почты. За это
время конфигурация почты много менялась, и сейчас вспомнить как, что и
для чего сделано именно так криво очень сложно. Задачи сейчас
упростились и всё можно сделать на типовой конфигурации (С) 1С
Есть новый сервак, на который осталось перетащить только почту.
Каталог с mailbox-ами пользователей уже лежит на нём и отдаётся по
nfs, но возникла проблема, что uid-ы на новом и старом серваках не
совпадают. В итоге popa3d на новом сервере не отдаёт почту
пользователям. Вижу два варианта решения - либо сказать сендмылу, чтоб
не проверял владельца mailbox-а, либо сделать какой-то линк на файл с
соответствующими правами. Первый вариант, мне кажется, более вероятен,
но беглый поиск по сендмыловской доке и в гугле ответа не дал
(DontBlameSendmail=?, мне кажется, но вот чему оно должно быть
равно?). А пользователей много и заниматься этим в выходной день,
когда никого нет - никак не прёт. А в течение реальных 3-х часов в
рабочий день я перевести весь народ в офисе на новый сервис не успею
(есть ещё и удалённые клиенты). А через три часа в рабочий день меня
народ уже сожрёть. :(

Есть у кого какие мысли по этому поводу? Спасибо!

[freebsd] Re: [freebsd] Fwd: OT: заставить sendmail не проверять владельца mailbox-a

[Alexander Bolshakov]

 поставить cyrus и импортнуть ящики в него.
Моё мнение, что в этой точке это чересчур. Почти 10 лет сендмыл и
popa3d справлялись с задачей без всяких тараканов.

[freebsd] ОТ: Нагрузка на каналы и слежение за их состоянием

[Alexander Bolshakov]

Доброе время суток!

Я понимаю, что вопрос несколько другой тематики, но т.к. реализация на
топике, то рискну спросить здесь. :)

Итак, есть ящик под фрёй-8.2, в него приходят два линка от одного провайдера
(мир+UA-X) и третий - от второго. Наш мир не идеален, потому каналы
непериодически падают. Задача в том, чтоб следить за состоянием каналов и
менять маршрутизацию в зависимости от ситуации. Как дополнительный бонус -
хочется(нужно) использовать канал второго провайдера при заполнении того или
другого канала первого. Карты - em, воткнуты в медиаконверторы. Если что-то
мрёт (а в последнее время что-то участилось), то чаще всего - канал оптики
или за ней, т.е., физически для ящика канал всегда жив. Как и чем такое
можно реализовать? Каковы рекомендации опытных собаководов? Вариант через
cron слишком инертен. :(

[freebsd] Re: [freebsd] ОТ: Нагрузка на каналы и слежение за их состоянием

[Alexander Bolshakov]

Да. Деление трафика на Украину/мир ведётся средствами bgp. Но я смотрю, что
при пропадании украинского канала маршруты держатся не одну минуту. Что есть
тоже неприятно. За это время пользователи успевают раскалить телефон.
Вероятно, это настраивается, но я не спец - поставили по требованию
провайдера и он же настраивал.

PS: Стоит quagga из портов месячной давности.

13 апреля 2011 г. 22:47 пользователь Yuri Babushkin 
yuri.babush...@gmail.com написал:

 Приветствую.

 Я стесняюсь спросить, а варианты с bgp рассматриваются?

 2011/4/13 Alexander Bolshakov albor...@gmail.com

 Доброе время суток!

 Я понимаю, что вопрос несколько другой тематики, но т.к. реализация на
 топике, то рискну спросить здесь. :)

 Итак, есть ящик под фрёй-8.2, в него приходят два линка от одного
 провайдера (мир+UA-X) и третий - от второго. Наш мир не идеален, потому
 каналы непериодически падают. Задача в том, чтоб следить за состоянием
 каналов и менять маршрутизацию в зависимости от ситуации. Как дополнительный
 бонус - хочется(нужно) использовать канал второго провайдера при заполнении
 того или другого канала первого. Карты - em, воткнуты в медиаконверторы.
 Если что-то мрёт (а в последнее время что-то участилось), то чаще всего -
 канал оптики или за ней, т.е., физически для ящика канал всегда жив. Как и
 чем такое можно реализовать? Каковы рекомендации опытных собаководов?
 Вариант через cron слишком инертен. :(

[freebsd] Подскажите torrent-клиент

[Alexander Bolshakov]

Доброе время суток! Сабж! Небольшой, умеющий тянуть несколько торрентов. До
сего дня пользовался ctorrent-ом, но очень утомляет его монопольность -
один процесс на один торрент с соответствующим открытием портов. Хочется
функционала типа utorrenta - одна программа на одном порту тянет и отдаёт
несколько торрент-фйалов. Не в ущерб компактности. Ставить монстра типа
azureus не собираюсь в принципе...

PS: MLnet умеет торренты?

Re: [freebsd] soft raid on new server

[Alexander Bolshakov]

5 апреля 2011 г. 0:04 пользователь Volodymyr Kostyrko
c.kw...@gmail.comнаписал:

 04.04.2011 23:29, Alexander Bolshakov написав(ла):

  Я прошу прощения за, может быть, глупый вопрос - а gmirror уже для этих
 целей не модно? Я как-то всё по-старинке...


 Слишком много хороших плюшек даёт ZFS. Вот навскидку:

 1. Перезагрузка не по плану? Лотерея какой_диск_у_нас_сегодня рабочий плюс
 полная пересборка зеркала с размножением ошибок методом копипейста.
 2. -b load в gmirror изначально был сильно поломан и только недавно его
 пофиксили. Я не следил так как уже давно был глубоко в ZFS. Вон люди
 наблюдали: http://hardforum.com/showpost.php?p=1036276885postcount=26
 3. Прощай fsck на большом разделе. За то время пока fsck прокушает один ufs
 диск zfs успеет свой от'scrub'бить, параллельно проверив все чексуммы у
 файлов.
 --
 Sphinx of black quartz judge my vow.

Не знаю - молодо оно ещё на мой взгляд... Я ещё годик-другой подожду...

Re: [freebsd] soft raid on new server

[Alexander Bolshakov]

Я прошу прощения за, может быть, глупый вопрос - а gmirror уже для этих
целей не модно? Я как-то всё по-старинке...

4 апреля 2011 г. 18:53 пользователь Vladislav V. Prodan
univers...@ukr.netнаписал:

 04.04.2011 18:25, Andrey S. Rybak пишет:

  Здравствуйте.
 Стоит задача поставить FreeBSD на новокупленный сервер.
 Имеется в этом сервере три винчестера.
 Думаем поднять soft raid: два винчестера зеркалят друг друга, а третий
 для горячей замены.


 с помощью ZFS
 бьем каждый винт через GPT:
freebsd-boot  (64K)
freebsd-swap  (4.0G)
freebsd-zfs половину оставшейся емкости
freebsd-zfs остаток
 а потом сооружаем пул из трех зеркал:
 zfs create tank mirror disk1p1 disk3p1 mirror disk2p1 disk3p2 mirror
 disk1p2 disk2p2

 и ставим систему http://wiki.freebsd.org/RootOnZFS/GPTZFSBoot/Mirror

 получаем возможность работы даже при выходе из строя одного винта.

[freebsd] Re: [freebsd] Re: [freebsd] Re: [freebsd] Re: [freebsd] mrtg, net-snmp больше 100 Мб/с

[Alexander Bolshakov]

24 марта 2011 г. 10:36 пользователь Oleksandr V. Typlyns'kyi 
ast...@wangsamp.km.ua написал:


  # cd /usr/ports/net-mgmt/net-snmp/
   # make config
  
   [X] MFD_REWRITES   Build with 64-bit Interface Counters
 
  Ну и проверить, дабы юзался SNMPv2, но не v1.

   И ifHCInOctets/ifHCOutOctets, а не ifInOctets/ifOutOctets.

спасибо, помогло

[freebsd] mrtg, net-snmp больше 100 Мб/с

[Alexander Bolshakov]

Доброе время суток! Где-то о подобном читал, но сейчас найти не могу. Может,
кто вспомнит/подскажет...

Итак, есть две машинки у мелкого провайдера: одна считает, выставляет счета
и пр, вторая - занимается внешними каналами. На обеих - FreeBSD 8.2-STABLE.
Между собой соединены кроссовером. На первой стоит mrtg, снимая показатели
через net-snmp-5.5_4 со второй. раньше всё нормально считалось через ipfw, с
момента переезда график загрузки канала между серверами стал каким-то
рваным. Дойдя до 114 Мб/с он начинается с начала, с нуля. В итоге, вместо
127 Мб/с показывает 13. Когда трафик падает - опять резкий скачок до 114
Мб/с, а потом - плавное дальне Судя по всему, проблема не в mrtg, а в
net-snmp, т.к. раньше всё работало нормально. Может, кто толкнёт в нужном
направлении? Спасибо!

[freebsd] 6.2, fxp, alias и ping - что-то лыжи не едут. :(

[Alexander Bolshakov]

Добрый день сообществу! Толкните в нужную сторону, а то лыжи что-то у меня
сегодня не едут. :(
Есть сетка на десяток компов и роутер
FreeBSD router 6.2-STABLE FreeBSD 6.2-STABLE #0: Tue Jul 10 09:30:56 EEST
2007 root@x:/usr/obj/usr/src/sys/ROUTER i386
ifconfig fxp0
fxp0: flags=88843UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST,STATICARP mtu 1500
options=8VLAN_MTU
inet 192.168.0.1 netmask 0xff00 broadcast 192.168.0.255
inet 192.168.10.1 netmask 0xff00 broadcast 192.168.10.255
ether 00:d0:b7:9e:b5:61
media: Ethernet autoselect (100baseTX full-duplex)
status: active

клиенты получают адреса по dhcp, основная сетка - 192.168.0.0/24,
192.168.10.0/24 - для ввода новых машинок в сеть. В ipfw этой сетке
разрешены только ping-и и ssh. Но вот ничего не работает. Новый клиент
получает адрес, но ни пинг, ни ssh не работают. :( На клиенте (XP) фаервол
отключен, tcpdump на fxp0 показывает следующее:
23:34:00.075748 IP 192.168.10.247.137  192.168.10.255.137: NBT UDP
PACKET(137): QUERY; REQUEST; BROADCAST
23:34:00.826305 IP 192.168.10.247.137  192.168.10.255.137: NBT UDP
PACKET(137): QUERY; REQUEST; BROADCAST,

хотя в /var/log/security вижу такое:
Mar 18 23:33:59 rodnoe kernel: ipfw: 50 Accept UDP 192.168.10.247:138
192.168.10.255:138 in via fxp0
Mar 18 23:33:59 rodnoe kernel: ipfw: 50 Accept UDP 192.168.10.247:137
192.168.10.255:137 in via fxp0

ipfw list 50
00050 allow log ip from 192.168.10.0/24 to 192.168.10.0/24 via fxp0

Куда могут деваться пакеты??? pf не пользую.

Заранее спасибо за идеи