Re: [freebsd] L2TP та OpenVPN

2024-05-31 Пенетрантность Andrey Blochintsev 


openvpn.conf:
client-to-client



31.05.2024 09:13, Nick Kostyria via freebsd пишет:

Добрий день.


А з OpenVPN халепа: клієнти бачать сервер і зовнішніх світ через OpenVPN, але 
не бучать один одного.
openvpn.conf:
proto udp
dev tun
topology subnet
server 192.168.11.0 255.255.255.0
client-config-dir /usr/local/etc/openvpn/ccd
route  192.168.11.0 255.255.255.0
keepalive 10 120
cipher AES-256-GCM
persist-key
persist-tun
explicit-exit-notify 1
...

Підкажіть, будь ласка, як можна це полагодити?

___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Re: [freebsd] странности с сетью при переходе на 13-ую версию

2021-12-02 Пенетрантность Andrey Blochintsev 
Hi!

On Thu, Dec 02, 2021 at 23:45 +0700, Eugene Grosbein wrote:

> 02.12.2021 17:34, Nike пишет:
> > Было похожее когда сеть была настроена по dhcp. Службы стартовали раньше, 
> > чем поднималась сеть.
> > А еще похожее было, когда сетевуха была usb'шной.
> 
> Кстати да, хорошая мысль.
> 
> Выдачу ifconfig на виртуалке в студию. Для начала в рабочем состоянии, но 
> желательно ещё и после загрузки в нерабочем,
> до рестарта сервисов.


Ну и netstat-ом не мешает посмотреть, слушает кто-то нужный порт или нет. И на 
каких адресах слушает.

___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Re: [freebsd] Обновление с 11.4 на 12.2, как лучше?

2021-11-01 Пенетрантность Andrey Voitenkov 

On 2021-10-21 14:41, Eugene Grosbein wrote:
[...]

Или из src? Если второе, то на релиз или можно на stable?

Можно и на релиз, и на 12-STABLE.

Есть схожий вопрос: можно ли бинарно обновить собранный из исходников релиз 
12.2-p4 до 12.2-p10, до 12.3 (когда выйдет), до 13.0?


the FreeBSD Security Team only builds updates for
releases shipped in binary form by the FreeBSD Release Engineering Team

(c) man freebsd-update

Так что вряд ли - собранный из исходников наверняка будет иметь несовпадающие 
контрольные суммы.



Я недавно обновлял собранные из исходников 9.0 до 12.2 таким образом.
Ядро его не устроило, пришлось собрать generic и с ним загрузиться. 
Остальное молча перетерло.


--
mccloud@
___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Re: [freebsd] Беда с KOI8-R в xfce4-terminal.

2021-08-05 Пенетрантность Andrey Blochintsev 
Hi!

On Thu, Aug 05, 2021 at 09:21 +0700, Victor Sudakov wrote:
> > Например, если в открываемых screen-ах нужно KOI8-R, то в screenrc:
> > setenv  LANGru_RU.KOI8-R
> > defencoding KOI8-R
> > 
> 
> Переменные среды LANG и прочие и так будут установлены удалённой
> стороной в соответствии с тамошними настройками, не думаю что есть смысл
> помещать их в .screenrc. В сухом остатке тут, в нужном окне:

Ну я не знаю где вы screen запускаете: у себя локально, на каком-то 
промежуточном host-е или уже на удаленном сервере. Все варианты имеют смысл, 
особенно когда screen-ы detach-ить, а "внутри" дальше что-то происходит. Я как 
раз чаще использую screen c перекодировкой прямо на том сервере, где нужно koi8


> 
> Ctrl+A :encoding KOI8-R
> 
> И вроде работает, спасибо большое за workaround. Жаль конечно удобного
> менюшного переключения в сабже.
> 
___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Re: [freebsd] Беда с KOI8-R в xfce4-terminal.

2021-08-04 Пенетрантность Andrey Blochintsev 
Hi!

On Wed, Aug 04, 2021 at 19:19 +0700, Victor Sudakov wrote:

> Andrey Blochintsev wrote:
> > Hi!
> > 
> > On Wed, Aug 04, 2021 at 09:07 +0700, Victor Sudakov wrote:
> > > Ну а отчего бы оно могло перестать работать? Кстати, появилась доп.
> > > информация. Поставил Terminator, там та же история.
> > > 
> > > А где эта перекодировка лежит? В смысле, эмуляторы терминалов и
> > > конкретно сабж что используют для перекодировки, системный libiconv или
> > > что-то гномское например?
> > 
> > Чем оно перекодирует - не знаю, но непрошенный совет могу дать: screen
> > Умеет перекодировать
> > 
> 
> А можно для полноты совета сразу подсказать, какую команду надо дать скрину, 
> чтобы
> начал перекодировать? Напомню, на удалённом хосте KOI8-R, локально
> UTF-8. 

До запуска screen ставите переменные среды LANG и/или всякие LC* в соотвествии 
с тем, что у вас показывает ваш терминал (скорей всего они у вас или и так есть 
или глобально настроено)
В .screenrc (или в командную строку screen-а), setenv-ы для LANG и/или LC_* 
(чтобы оно передалось в запускаемое в screen-ах) + defencoding  для всех 
открываемых screen-ов (или просто encoding если для оного окна с командной 
строки)

Например, если в открываемых screen-ах нужно KOI8-R, то в screenrc:
setenv  LANGru_RU.KOI8-R
defencoding KOI8-R

Я еще добавляю такое:
setenv  LC_MESSAGES C
setenv  LC_TIME C
но это уже кому как нравится :)

___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Re: [freebsd] Беда с KOI8-R в xfce4-terminal.

2021-08-04 Пенетрантность Andrey Blochintsev 
Hi!

On Wed, Aug 04, 2021 at 09:07 +0700, Victor Sudakov wrote:
> Ну а отчего бы оно могло перестать работать? Кстати, появилась доп.
> информация. Поставил Terminator, там та же история.
> 
> А где эта перекодировка лежит? В смысле, эмуляторы терминалов и
> конкретно сабж что используют для перекодировки, системный libiconv или
> что-то гномское например?

Чем оно перекодирует - не знаю, но непрошенный совет могу дать: screen
Умеет перекодировать

___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Re: [freebsd] default router для wlan со статической ip

2020-04-17 Пенетрантность Andrey Blochintsev 
Hi!

On Fri, Apr 17, 2020 at 21:11 +0700, Eugene Grosbein wrote:

> 17.04.2020 20:59, Andrey Blochintsev пишет:
> 
> >> На момент запуска routing wpa_supplicant еще не успевает поднять сеть и 
> >> получаю в лог:
> > 
> > Как вариант - можно попробовать разделить настройки IP и остального:
> > 
> > ifconfig_wlan0_alias0="WPA"
> > ifconfig_wlan0="inet 192.168.0.50 netmask 255.255.255.0" 
> 
> Это не сработает, так как слово WPA не ищется среди алиасов.

Ну, значит наоборот.
ifconfig_wlan0="WPA"
ifconfig_wlan0_alias0="inet 192.168.0.50 netmask 255.255.255.0" 

> А даже если бы и сработало, это никак не влияет на настоящую проблему:
> race между стартом wpa_supplicant (а точнее, моментом подключения к AP)
> и rcorder, который успевает или не успевает запустить /etc/rc.d/routing
> до момента подключения к AP.

IP на wlan интерфейс можно установить независимо от запуска wpa_supplicant. До 
момента подключения к AP роуты прописать будет можно, но "работать" все начнет 
только после подключения (так же как и с настройкой ethernet-а с неподключенным 
кабелем). Да, всякими ntpdate и проичим, что хочет реальной работы сети, а не 
показухи -  может быть сбой или задержка (в зависимости от timeout-а и времени 
нужному для wpa_supplicant-а).



___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Re: [freebsd] default router для wlan со статической ip

2020-04-17 Пенетрантность Andrey Blochintsev 
Hi!


On Fri, Apr 17, 2020 at 14:39 +0300, Nick Kostirya wrote:

> На момент запуска routing wpa_supplicant еще не успевает поднять сеть и 
> получаю в лог:

Как вариант - можно попробовать разделить настройки IP и остального:

ifconfig_wlan0_alias0="WPA"
ifconfig_wlan0="inet 192.168.0.50 netmask 255.255.255.0" 



___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Re: [freebsd] syslog и управление журналами

2019-06-09 Пенетрантность Andrey Marshalenko 
Может проще для всей этой “каши” завести централизованный сервер логов?

__
Best regards,
Andrey Marshalenko.
System & Network Administrator
AM1000-UANIC
mailto: marsh...@marshall.kiev.ua
tel (cell #) +380676574197
Skype: marshalenko





> On Jun 9, 2019, at 21:19, uphol...@mail.ru wrote:
> 
> Готов  читать  и конфигурить что-угодно для достижения результата (это
> сервер  централизованного  мониторинга,  так  что результат окупит все
> вложения)
> Не все локальные демоны ротируют логи сами
> Именно про штатный newsyslog речь и идет (см. второе письмо)
> Есть   желание   обрабатывать  _все  файлы_  попавшие  в  /var/log  по
> следующему принципу
> 1. Кто умеет-обрабатывает сам
> 2. Кто упомянут в rsyslog.conf-тех обрабатывает rsyslog
> Здесь же добавляем в rsyslog.conf исключения для файлов п.1, как?
> 3. Кто упомянут в newsyslog.conf-тех обработает newsyslog
> Здесь же добавляем в rsyslog.conf исключения для файлов п. 2, как?
> Здесь же добавляем в rsyslog.con поведение для файлов "прочие", как?
> 
> Разносить по каталогам и обрабатывать раздельно?
> 
> 
> 
> 
>> Пачка логов из /var/log/ прекрасно ротируется штатным newsyslog
>> (man newsyslog.conf) вместо портового /usr/ports/sysutils/logrotate
>> Кроме того, логи некоторых демонов можно ротировать средствами самих демонов 
>> (см документацию)..
>> Так что ИМХО logrotate в вашем случае - лишняя сущность, если
>> только вы не переносите ротацию логов из linux, и у Вас нет времени
>> или желания читать документацию по настройке newsyslog.
> 
>> __
>> Best regards,
>> Andrey Marshalenko.
>> System & Network Administrator
>> AM1000-UANIC
>> mailto: marsh...@marshall.kiev.ua
>> tel (mob) +380676574197
>> Skype: marshalenko
> 
> 
> 
> 
>>> On Jun 9, 2019, at 17:26, uphol...@mail.ru wrote:
>>> 
>>> Добрый день.
>>> 
>>> Есть пачка системных логов в каталоге /var/log/
>>> Есть logrotate для которого я не могу решить следующие задачи
>>> Обработка файлов по дефолту (т.е просто файлов подпадающих под *.log)
>>> Обработка файлов httpd, named, mysql (ну, хотя-бы исключение их из под
>>> обработки, явным указанием в в конфиге newsyslog)
>>> 
>>> 
>>> -- 
>>> С уважением, Виталий Михно
>>> 
>>> Vitaly A. Mikhno
>>> System Administration
>>> Technical Support
>>> phone: +7-911-935-98-56
>>> skype://Vitus9856
>>> primary e-mail: walgr...@gmail.com
>>> secondary e-mail: uphol...@mail.ru
>>> Viber, Whatsapp
>>> 
>>> ___
>>> freebsd mailing list
>>> freebsd@uafug.org.ua
>>> http://mailman.uafug.org.ua/mailman/listinfo/freebsd
> 
> 
> 
> 
> -- 
> С уважением, Виталий Михно
> 
> Vitaly A. Mikhno
> System Administration
> Technical Support
> phone: +7-911-935-98-56
> skype://Vitus9856
> primary e-mail: walgr...@gmail.com
> secondary e-mail: uphol...@mail.ru
> Viber, Whatsapp
> 
> ___
> freebsd mailing list
> freebsd@uafug.org.ua
> http://mailman.uafug.org.ua/mailman/listinfo/freebsd

___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Re: [freebsd] syslog и управление журналами

2019-06-09 Пенетрантность Andrey Marshalenko 
Доброго времени суток.

Пачка логов из /var/log/ прекрасно ротируется штатным newsyslog (man 
newsyslog.conf) вместо портового /usr/ports/sysutils/logrotate
Кроме того, логи некоторых демонов можно ротировать средствами самих демонов 
(см документацию)..
Так что ИМХО logrotate в вашем случае - лишняя сущность, если только вы не 
переносите ротацию логов из linux, и у Вас нет времени или желания читать 
документацию по настройке newsyslog.

__
Best regards,
Andrey Marshalenko.
System & Network Administrator
AM1000-UANIC
mailto: marsh...@marshall.kiev.ua
tel (mob) +380676574197
Skype: marshalenko




> On Jun 9, 2019, at 17:26, uphol...@mail.ru wrote:
> 
> Добрый день.
> 
> Есть пачка системных логов в каталоге /var/log/
> Есть logrotate для которого я не могу решить следующие задачи
> Обработка файлов по дефолту (т.е просто файлов подпадающих под *.log)
> Обработка файлов httpd, named, mysql (ну, хотя-бы исключение их из под
> обработки, явным указанием в в конфиге newsyslog)
> 
> 
> -- 
> С уважением, Виталий Михно
> 
> Vitaly A. Mikhno
> System Administration
> Technical Support
> phone: +7-911-935-98-56
> skype://Vitus9856
> primary e-mail: walgr...@gmail.com
> secondary e-mail: uphol...@mail.ru
> Viber, Whatsapp
> 
> ___
> freebsd mailing list
> freebsd@uafug.org.ua
> http://mailman.uafug.org.ua/mailman/listinfo/freebsd

___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Re: [freebsd] Мультихомед ipsec VPN

2018-10-18 Пенетрантность Andrey A Lyubimets 



11.10.2018 16:55, Eugene Grosbein пишет:

On 11.10.2018 16:40, Andrey A Lyubimets wrote:


Это не проблема mpd5, ему совершенно всё равно и он у меня работает со 
множеством внешних каналов.


Таки проблема в mpd: если в mpd.conf указать
set l2tp self  0.0.0.0  - mpd отправляет ответы с ip-адресом дефолтного 
интерфейса (через который доступен дефолтроутер).


Не знаю это баг это или фича.

Пришлось сделать отдельные секции l2tp_server и прописать ip-адреса 
внешних интервейсов. PBR теперь работает как надо и через pf и ipfw.


PS система 11.2-RELEASE-p4, mpd5-5.8_5 из пакетов.

___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Re: [freebsd] Мультихомед ipsec VPN

2018-10-11 Пенетрантность Andrey A Lyubimets 



11.10.2018 12:41, Eugene Grosbein пишет:

11.10.2018 12:08, Andrey A Lyubimets пишет:


Навеяно соседним тредом.

mpd5 работает на сервере подключенном к двум провайдерам - l2tp/ipsec 
устанавливает соединения только на том интерфейсе где дефаултроутер.

Можно ли как-то заставить его работать на любом интерфейсе?
или не париться и забить?


Это не проблема mpd5, ему совершенно всё равно и он у меня работает со 
множеством внешних каналов.

Это проблема не настроенного PBR на роутере - чтобы ответы на запросы, пришедшие
через недефолтный канал, уходили в него же, а не по дефолтному роутеру.

Извиняюсь, что написал сверхкратко, до ввода в заблуждение.

У меня настроен PBR только средствами pf - pptp работает на обоих каналах

правила pf для PBR выглядят так:
pass in on $ext_if_1 reply-to ($ext_if_1 $gw_1) inet to ($ext_if_1) tag 
EXT_IF_A

pass in on $ext_if_1 inet from ($ext_if_1:network) to ($ext_if_1)

pass in on $ext_if_2 reply-to ($ext_if_2 $gw_2) inet to ($ext_if_2) tag 
EXT_IF_2

pass in on $ext_if_2 inet from ($ext_if_2:network) to ($ext_if_2)

pass in quick from ($ext_if_1:network) tagged EXT_IF_1 keep state
pass in quick reply-to ($ext_if_1 $gw_1) tagged EXT_IF_1 keep state

pass in quick from ($ext_if_2:network) tagged EXT_IF_2 keep state
pass in quick reply-to ($ext_if_2 $gw_2) tagged EXT_IF_2 keep state

pass out route-to ($ext_if_1 $gw_1) inet from $ext_addr_1 keep state
pass out route-to ($ext_if_2 $gw_2) inet from $ext_addr_2 keep state


pptp работает на обоих каналах, но при установке ipsec-соединения

обмен пакетами  с ракуном вижу, а ответных ipsec-пакетов нет:

14:21:14.590034 IP 80.x.x.x.59690 > 212.y.y.y.500: isakmp: phase 1 I ident
14:21:14.597585 IP 212.y.y.y.500 > 80.x.x.x.59690: isakmp: phase 1 R ident
14:21:14.606945 IP 80.x.x.x.59690 > 212.y.y.y.500: isakmp: phase 1 I ident
14:21:14.614994 IP 212.y.y.y.500 > 80.x.x.x.59690: isakmp: phase 1 R ident
14:21:14.619311 IP 80.x.x.x.60052 > 212.y.y.y.4500: NONESP-encap: 
isakmp: phase 1 I ident[E]
14:21:14.627155 IP 212.y.y.y.4500 > 80.x.x.x.60052: NONESP-encap: 
isakmp: phase 1 R ident[E]
14:21:14.630252 IP 80.x.x.x.60052 > 212.y.y.y.4500: NONESP-encap: 
isakmp: phase 2/others I oakley-quick[E]
14:21:14.639471 IP 212.y.y.y.4500 > 80.x.x.x.60052: NONESP-encap: 
isakmp: phase 2/others R oakley-quick[E]
14:21:14.640948 IP 80.x.x.x.60052 > 212.y.y.y.4500: NONESP-encap: 
isakmp: phase 2/others I oakley-quick[E]
14:21:14.653265 IP 80.x.x.x.60052 > 212.y.y.y.4500: UDP-encap: 
ESP(spi=0x0d18e3ea,seq=0x1), length 164
14:21:15.649011 IP 80.x.x.x.60052 > 212.y.y.y.4500: UDP-encap: 
ESP(spi=0x0d18e3ea,seq=0x2), length 164
14:21:17.648743 IP 80.x.x.x.60052 > 212.y.y.y.4500: UDP-encap: 
ESP(spi=0x0d18e3ea,seq=0x3), length 164
14:21:21.648771 IP 80.x.x.x.60052 > 212.y.y.y.4500: UDP-encap: 
ESP(spi=0x0d18e3ea,seq=0x4), length 164
14:21:29.648306 IP 80.x.x.x.60052 > 212.y.y.y.4500: UDP-encap: 
ESP(spi=0x0d18e3ea,seq=0x5), length 164

14:21:34.616983 IP 80.x.x.x.60052 > 212.y.y.y.4500: isakmp-nat-keep-alive
14:21:39.647956 IP 80.x.x.x.60052 > 212.y.y.y.4500: UDP-encap: 
ESP(spi=0x0d18e3ea,seq=0x6), length 164


если сделать route change default 212.y.y.y ,то соединение устанавливается.



Для демона, запущенного непосредственно на самом роутере, проблема решается
одним дополнительным правилом ipfw типа такого:

ipfw add 10 fwd $gw2 from $ip2 to any out xmit $if1

где $if1 - имя дефолтного интерфейса, $gw2 - IP-адрес шлюза второго 
(недефолтного) провайдера,
$ip2 - IP-адрес самого роутера на втором интерфейсе роутера.

То есть, правило принудительно направляет в нужный провайдерский роутер 
ответные пакеты,
идущие с второго интерфейса, если они по роутингу пытаются уйти в неправильный 
интерфейс $if1.

Само собой, номер правила ipfw тоже зависит от местных условий, правило надо 
добавлять вдумчиво.


___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

[freebsd] Мультихомед ipsec VPN

2018-10-10 Пенетрантность Andrey A Lyubimets 

Навеяно соседним тредом.

mpd5 работает на сервере подключенном к двум провайдерам - l2tp/ipsec 
устанавливает соединения только на том интерфейсе где дефаултроутер.


Можно ли как-то заставить его работать на любом интерфейсе?
или не париться и забить?
___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Re: [freebsd] Неаккуратненько как-то...

2018-08-20 Пенетрантность Andrey Marshalenko 
Hi.

Проблема у меня появилась где-то пол года назад и до сих пор актуальна.
Удаление содержимого папки /usr/local/lib/compat/pkg/ помогает, но до 
очередного обновления (в моем случае) db5, mysql.
Google, кроме очистки выше указанной папки, других решений при использовании 
portupgrade не выдавал.

__
Best regards,
Andrey Marshalenko.
System & Network Administrator
AM1000-UANIC
mailto: marsh...@marshall.kiev.ua
tel (mob) +380676574197
Skype: marshalenko




> On Aug 17, 2018, at 15:25, George L. Yermulnik  wrote:
> 
> Hello!
> 
> On Wed, 08 Aug 2018 at 18:57:14 (+0300), Taras Heichenko wrote:
> 
>>Hi!
>> Есть фря 11.1-STABLE. На ней для обновления установленных портов 
>> используется portupgrade.
>> После апгрейда какого-то пакета, который ввиду ключика -R проапгрейдил еще и 
>> db5 возникла
>> следующая ситуация. После отработки portupgrade на любой из портов последним 
>> прости от этого
>> portupgrade выдается следующий набор строк
> 
> Мне было лениво разбираться, откуда у этого растут ноги и как правильно
> пофиксить, и я просто удалил из /usr/local/lib/compat/pkg/ симлинки
> указывающие на эти несуществующие объекты, что перечислены в
> процитированном ниже выводе. Вроде ничего не сломалось и portupgrade рад.
> 
>> --->  Cleaning out obsolete shared libraries
>> No such file or directory @ realpath_rec - /usr/local/lib/compat/pkg/db5
>> No such file or directory @ realpath_rec - /usr/local/lib/compat/pkg/db5
>> No such file or directory @ realpath_rec - /usr/local/lib/compat/pkg/db5
>> No such file or directory @ realpath_rec - /usr/local/lib/compat/pkg/db5
>> No such file or directory @ realpath_rec - /usr/local/lib/compat/pkg/db5
>> No such file or directory @ realpath_rec - 
>> /usr/local/lib/compat/pkg/libXaw7.so.7
>> No such file or directory @ realpath_rec - /usr/local/lib/compat/pkg/db5
>> No such file or directory @ realpath_rec - 
>> /usr/local/lib/compat/pkg/libXaw6.so.6
> 
> -- 
> George L. Yermulnik
> [YZ-RIPE]
> ___
> freebsd mailing list
> freebsd@uafug.org.ua
> http://mailman.uafug.org.ua/mailman/listinfo/freebsd

___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Re: [freebsd] Exim и странные обрывы связи

2018-08-14 Пенетрантность Andrey Voitenkov 

On 10.08.2018 15:35, Alexey Karguine wrote:
[...]

ЕМНИП, такая ошибка появляется если произошел облом доставки несколько раньше. Т.е. если, 
например Exchаnge по каким-то своим соображениям некое письмо не принял, то до истечения 
некоторого таймаута(или до ручного пинания) "lan_smtp defer (-53): retry time not 
reached" будет появляться в логе, Exim даже не будет пытаться доставлять. Соотв. 
надо найти первое сообщение об ошибке доставки, ну и на логи Exchange тоже не помешает 
глянуть.

Вот и у меня такое же ощущение. Только мне не удалось найти волшебного 
параметра, который бы отучил exim от этой особенности. Чтобы он продолжал 
пытаться отправить почту, а не ждал эти условные 15 минут.

Причину нужно лечить, а не следствие... Найдите первую ругань на недоставку, 
она должна быть информативна.


Если бы, но нет. Та же самая строчка

2018-08-09 17:37:40 1fnm4H-000PdW-U1 == u...@domain.com R=exchange_route 
T=lan_smtp defer (-53): retry time not reached
for any host for ‘domain.com'


это не первая, первая еще раньше.


но по сути уже всё рассказали - конфигурировать retry и искать причину 
первого затыка.


костыль может выглядеть как-то так:

domain.com*   F,1h,2m; G,16h,1h,1.5; F,4d,6h

плюс запуск эксима с -q2m, пусть долбится каждые две минуты.


--
mccloud@
___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Re: [freebsd] Утилита проверки DNS вместо dig

2018-05-31 Пенетрантность Andrey Marshalenko 
Добрый день.Она есть здесь:# cat /usr/ports/dns/bind-tools/pkg-descrThe user space command line tools from the latest version of BIND:	delv, dig, host, nslookup, nsupdateIt also includes various dnssec related tools:	dnssec-dsfromkey, dnssec-importkey, dnssec-keyfromlabel, dnssec-keygen,	dnssec-revoke, dnssec-settime, dnssec-signzone, dnssec-verifyWWW: https://www.isc.org/software/bind__Best regards,Andrey Marshalenko.System & Network AdministratorAM1000-UANICmailto: marsh...@marshall.kiev.uatel (mob) +380676574197Skype: marshalenkoOn May 31, 2018, at 10:17, Alexey Krylov  wrote:Помню, была утилита dig, но ее не могу найти в портах___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

[freebsd] syslog и много хостов

2017-10-25 Пенетрантность Andrey 
Доброго времени.

Нужно собирать логи с 600+ хостов

uname -a
BSD switchs 11.1-RELEASE FreeBSD 11.1-RELEASE #0 r321309

С rc.conf разобрался

syslogd_enable="YES"
syslogd_flags="-a 10.156.0.0/16:* -n -C"

а вот с конфигурацие самого сислога приходится писать очень много текста 
однообразного описывая каждый хост в сети с маской /16 

+10.156.186.40
*.* /var/log/switchs-10.156.0.0.log
+*

+10.156.187.48
*.* /var/log/switchs-10.156.0.0.log
+*

и т.д. очень много раз

в man syslogd и man syslog.conf не нашел упоминания которое позволило бы 
сократить конфиг до вида 

+10.156.0.0/16
*.* /var/log/switchs-10.156.0.0.log
+*

попробовал выкрутится так. писать все кроме хоста 10.156.186.253 но в лог идут 
записи и самого хоста с сислогом
-10.156.186.253
*.* /var/log/switchs-10.156.0.0.log
+*

можно скриптом сгенерить конфиг хоть для /8 сети но возможно есть решение проще?
Это я не доглядел ман или действительно сислог не умеет так как я хочу?

в перспективе обработка этих логов для отдачи заббиксу
___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Re: [freebsd] clamav - долгий старт

2017-10-10 Пенетрантность Andrey Marshalenko 
Такую ситуацию я наблюдал на машинах с 512mb ОЗУ. 
При ОЗУ от 1gb все было в порядке. 
Конфиги были от разработчика. 
В этой ситуации мне было проще добавить память. 
__
With best regards,
Andrey Marshalenko.
System & Network Administrator
AM1000-UANIC
mailto: marsh...@marshall.kiev.ua
tel (mob) +380676574197
Skype: marshalenko

> 9 окт. 2017 г., в 18:17, Mstyslav Dubchak <mstys...@ukr.net> написал(а):
> 
> спасибо за совет!
> 
> днс работает, имхо, нормально. пинг/трейс по-имени отрабатывают на ура, 
> утилита host разрешает имена туда и назад.
> файрвол не включен вообще, сервак внутри сети стоит
> 
> а что вообще антивирус может хотеть от ДНС при старте?
> да, базы обновляются нормально
> 
> 
> --- Оригінальне повідомлення ---
> Від кого: "Alexander Bolshakov" <albor...@gmail.com>
> Дата: 9 жовтня 2017, 17:14:33
> 
> 
> 
>> 
>> Добрый день!
>> Не претендую на абсолютную истину, обычно такое бывает из-за проблем с днс. 
>> Проверьте настройки, как вообще работает разрешение имён, отключите фаерволл 
>> на время (10-15 минут погоды не сделают). И ещё раз проверьте запуск.
>> --
>> Alexпонедельник, 09 октября 2017г., 15:25 +03:00 от Mstyslav Dubchak 
>> mstys...@ukr.net:
>> 
>> 
> 
> 
> привет всем,
> 
> имеется freebsd 11.1 + clamav-0.99.2_5 (из портов)
> так вот - демон клам стартует ну просто нереально долго, может 5-10 минут... 
> ясно, что это фигня
> 
> куда копать?
> спасибо!
> ___
> freebsd mailing list
> freebsd@uafug.org.ua
> http://mailman.uafug.org.ua/mailman/listinfo/freebsd
> 
> 
>> 
> ___
> freebsd mailing list
> freebsd@uafug.org.ua
> http://mailman.uafug.org.ua/mailman/listinfo/freebsd
___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Re: [freebsd] ECMP

2017-09-19 Пенетрантность Andrey V. Elsukov 
On 19.09.2017 17:23, Andrew G Sorokin wrote:
> Доброго времени суток , коллеги.
> 
> Завел у себя дома второго провайдера и решил сделать балансировку трафика
> 
> Добавил к GENERIC  в конце options RADIX_MPATH
> перекомпилил и загрузился с новым ядром .
> 
> но ожидаемого эффекта не получил.
> в системе 2 дефолт маршрута но трафик уходит в тот , который появился в
> системе первым.
> если его руками положить\поднять - трафик начинает ходить по второму.
> 
> нарыл в такое
> https://lists.freebsd.org/pipermail/freebsd-net/2017-February/047203.html
> и решения там нет
> 
> на 9.2 такая конструкция у меня раскидывала трафик по 3-м каналам...
> это стало историей ? и нужно как-то по-другому решать ?
> подскажите.

Там Ermal предложил патч, который вроде бы должен помогать для IPv4, не
пробовали?
https://lists.freebsd.org/pipermail/freebsd-net/2017-February/047228.html


-- 
WBR, Andrey V. Elsukov



signature.asc
Description: OpenPGP digital signature
___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Re: [freebsd] Трафик ходит не по таблице маршрутизации

2017-08-21 Пенетрантность Andrey V. Elsukov 
On 21.08.2017 12:57, Eugene Grosbein wrote:
> 21.08.2017 16:01, skeletor пишет:
> 
>>> Можно лишь сказать, что да, pf был известен подобными в прошлом
>>> и может быть не все они исправлены.
>>
>> OS 10.1-RELEASE-p5 amd64
> 
> Релиз выпущен почти три года назад, так что конкретно этот
> баг вполне мог быть уже исправлен в 10.3.

Вот тут вот не так давно был похожий по описанию вопрос:
https://www.opennet.ru/openforum/vsluhforumID1/96954.html

-- 
WBR, Andrey V. Elsukov



signature.asc
Description: OpenPGP digital signature
___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Re: [freebsd] need py3 packages...

2017-08-05 Пенетрантность Andrey Marshalenko 
Hi.

Можно попробовать описать опции сборки в /etc/make.conf создав отдельную секцию 
для конкретного пакета:

.if ${.CURDIR} == ${PORTSDIR}/portsforsome/portname
WITH_YOUR_OPTIONS=
.endif

Как живой пример:

.if ${.CURDIR} == ${PORTSDIR}/databases/mysql55-client
WITH_CHARSET=cp1251
WITH_COLLATION=cp1251_bin
BUILD_OPTIMIZED=yes
.endif

__
With best regards,
Andrey Marshalenko.
System & Network Administrator
AM1000-UANIC
mailto: marsh...@marshall.kiev.ua
tel (mob) +380676574197
Skype: marshalenko
JabberID: marsh...@marshall.kiev.ua

> 5 авг. 2017 г., в 21:50, Valentin Nechayev <ne...@netch.kiev.ua> написал(а):
> 
> Sun, Aug 06, 2017 at 00:30:14, eugen wrote about "Re: [freebsd] need py3 
> packages...": 
> 
>> $ fgrep -A 6 user: /usr/ports/Mk/Uses/python.mk
>> # Variables, which can be set by a user:
>> #
>> # PYTHON_VERSION- The chosen Python interpreter including the 
>> version,
>> # e.g. python2.7, python3.3, etc. This allows the 
>> user
>> # to override the currently chosen default version 
>> and
>> # to install the port for a specific Python version.
>> # It must not be set by a port.
>> 
>> То есть, пишешь.if ${.CURDIR} == ${PORTSDIR}/databases/mysql55-client
>> .endif в /etc/make.conf и получаешь py35-scipy-0.19.0_2
> 
> Ага, похоже, работает.
> 
> Писать в make.conf это не совсем уместно (например, если мне нужны
> впараллель py27-scipy и py35-scipy?), тут придётся дорабатывать как-то
> ещё.
> Но на вычитанное глазами проставление вручную работает, спасибо.
> 
> Грепать по user как-то не было привычки - тоже надо записать в методы
> поиска...
> 
> 
> -netch-
> ___
> freebsd mailing list
> freebsd@uafug.org.ua
> http://mailman.uafug.org.ua/mailman/listinfo/freebsd

___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Re: [freebsd] need py3 packages...

2017-08-05 Пенетрантность Andrey Marshalenko 
Hi.

> Можно то же через make.conf
Я, и многие обычно так и делают.

> Есть ли кошерный метод?
Этот вроде вполне кошерен, но к вопросу присоеденюсь. 

__
With best regards,
Andrey Marshalenko.
System & Network Administrator
AM1000-UANIC
mailto: marsh...@marshall.kiev.ua
tel (mob) +380676574197
Skype: marshalenko


> 5 авг. 2017 г., в 20:30, Eugene Grosbein <eu...@grosbein.net> написал(а):
> 
> 06.08.2017 0:12, Valentin Nechayev пишет:
>> Вот захотелось мне получить, например, py35-scipy. Записи в make.conf
>> вида
>> 
>> DEFAULT_VERSIONS= python3=3.5
>> DEFAULT_VERSIONS+=  python=3
>> 
>> не помогают - продолжает собираться py27-scipy, как по умолчанию.
>> И python=3.5 писать - аналогично. Потому, к "default versions" на её
>> вики не посылать - не оно.
>> 
>> Можно в конкретный Makefile вписать: заменить USES=python на
>> USES=python:3. Хак, однако.
>> Можно то же через make.conf или Makefile.local - точно так же грязно.
>> 
>> Можно выставить для make: make USES=python:3 ... Так работает, но уже
>> в окружение (чтобы какой-нибудь portmaster подхватил) - нельзя: не
>> видит на первом же уровне (env USES=python:3 make - не работает).
>> 
>> Есть ли кошерный метод?
>> 
>> (В гугле был, сплошные инструкции для майнтейнеров портов - не
>> радуют.)
> 
> $ fgrep -A 6 user: /usr/ports/Mk/Uses/python.mk
> # Variables, which can be set by a user:
> #
> # PYTHON_VERSION- The chosen Python interpreter including the version,
> # e.g. python2.7, python3.3, etc. This allows the user
> # to override the currently chosen default version and
> # to install the port for a specific Python version.
> # It must not be set by a port.
> 
> То есть, пишешь PYTHON_VERSION=python3.5 в /etc/make.conf и получаешь 
> py35-scipy-0.19.0_2
> 
> ___
> freebsd mailing list
> freebsd@uafug.org.ua <mailto:freebsd@uafug.org.ua>
> http://mailman.uafug.org.ua/mailman/listinfo/freebsd 
> <http://mailman.uafug.org.ua/mailman/listinfo/freebsd>
___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Re: [freebsd] [OT] base packages (было: Re: Монтирование NFS раздела и проблемы с блокировками/датами)

2017-07-30 Пенетрантность Andrey V. Elsukov 
On 29.07.2017 15:50, Boris Samorodov wrote:
> Вот уже почти полгода я пользуюсь собственными пакетами для базовой
> системы. На сервере после сборки мира и ядер достаточно выполнить
> команду "make packages". На хостах -- "pkg upgrade".
> 
> Сервер собирает нужные мне amd64/arm/aarch64 миры/ядра/пакеты.
> На рабочих ноутбуках обновляю систему практически каждый день.
> За полгода была всего пара проблем (связанных с тем, что я использую
> только HEAD).
> 
> Переход на работу с базовами пакетами происходит одной командой
> "pkg install -g 'FreeBSD-*'".
> 
> Подробности на https://wiki.freebsd.org/PkgBase

Привет,

я тоже пользуюсь базой в пакетах, но у нас своя реализация.
Когда я последний раз смотрел в то что производит make packages, там
были сотни пакетов. Т.е. получается при каждом обновлении происходит
обновление сотен пакетов?

У нас это выглядит так:
% pkg info -x freebsd
freebsd-base-1.0_1
freebsd-kernel-ipsec-1.0
freebsd-rescue-1.0_2
freebsd11-base-20170427
freebsd11-kernel-ipsec-20170728
freebsd11-kernel-ipsec-debug-20170728
freebsd11-rescue-20170427

-- 
WBR, Andrey V. Elsukov



signature.asc
Description: OpenPGP digital signature
___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Re: [freebsd] l2tp за NAT'ом (без IPSEC)

2017-04-13 Пенетрантность Andrey V. Elsukov 
On 13.04.2017 20:48, Irina Liakh wrote:
> On Thu, Apr 13, 2017 at 07:00:02PM +0300, Andrey V. Elsukov wrote:
>> Спасибо. Подозрение было на то, что флаги проверки контрольной
>> суммы полученные от сетевой карты и подсчитанные для внешнего IP и
>> UDP заголовков используются и на передоваемые внутри туннеля
>> данные.
> Ясно, спасибо!
> 
>> Судя по тому что у вашей сетевой карты только один флаг оффлоада
>> RXCSUM, она не умеет полный оффлоад и благодаря этому UDP/TCP
>> протоколы делают небольшой подсчёт контрольной суммы используя
>> данные от сетевой карты.
> А чем отличается небольшой подсчет от обычного? Этот алгоритм - 
> freebsd-specific или общий? Пока не нахожу соотв. доку...

Обычный подсчёт включает суммирование данных всего пакета, а в случае с
"небольшим" подсчётом, нужно только сосчитать сумму псевдозаголовка
TCP/UDP используя информацию от чипа который уже выполнил суммирование
данных пакета. Т.е. это грубо говоря нужно сложить 3 числа.

-- 
WBR, Andrey V. Elsukov



signature.asc
Description: OpenPGP digital signature
___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Re: [freebsd] l2tp за NAT'ом (без IPSEC)

2017-04-13 Пенетрантность Andrey V. Elsukov 
On 13.04.2017 20:08, Yuriy B. Borysov wrote:
> Вероятно, не только в таких случаях. На нескольких FreeBSD, работающих 
> на хостах hyper-v проблема проявлялась при включении NAT.
> 
> Картина такая, включаем NAT (проверял ipfw и pf) - доступ по SSH 
> снаружи пропадает, ftp работает только active. Отключаем NAT - всё 
> работает исправно. Отключение всего offload на интерфейсах, проблему 
> решает.

Для ipfw nat нужно не забывать отключать TSO. О чём написано в man.

-- 
WBR, Andrey V. Elsukov



signature.asc
Description: OpenPGP digital signature
___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Re: [freebsd] l2tp за NAT'ом (без IPSEC)

2017-04-13 Пенетрантность Andrey V. Elsukov 
On 13.04.2017 19:31, Vladislav V. Prodan wrote:
> 
> 
> 13 апреля 2017 г., 19:00 пользователь Andrey V. Elsukov
> <bu7c...@yandex.ru <mailto:bu7c...@yandex.ru>> написал:
> 
> On 13.04.2017 18:07, Irina Liakh wrote:
> >>>> раз уж мы говорим о решении, сможете протестировать патч?
> >>>> https://people.freebsd.org/~ae/udp_csum_flags.diff
> <https://people.freebsd.org/~ae/udp_csum_flags.diff>
> >>>>
> >>>> Нужно пересобрать ядро.
> >>>
> >>> Все работает с этим патчем. Проверяла только IPv4.
> >>
> >>  Для однозначности - и TCP работает?
> >
> > Работает и TCP и UDP, хотя для меня было неожиданно, исходя из того,
> > что патчились только udp_* файлы. Но мне, недоучке, простительно)
> 
> Спасибо. Подозрение было на то, что флаги проверки контрольной суммы
> полученные от сетевой карты и подсчитанные для внешнего IP и UDP
> заголовков используются и на передоваемые внутри туннеля данные.
> 
> Судя по тому что у вашей сетевой карты только один флаг оффлоада RXCSUM,
> она не умеет полный оффлоад и благодаря этому UDP/TCP протоколы делают
> небольшой подсчёт контрольной суммы используя данные от сетевой карты.
> 
> Так как передаваемая картой контрольная сумма расчитана для внешнего
> заголовка, то когда те же самые данные участвуют в расчёте контрольной
> суммы для заголовков внутри туннеля, то и получается неверный результат.
> 
> --
> WBR, Andrey V. Elsukov
> 
> 
> 
> Теперь вопрос.
> Как детектить сетевые карты с подобными проблемами? Или сразу
> вырубать -rxcsum -txcsum ?

Теряющиеся пакеты детектить в netstat -s. От карты тут мало что зависит,
бывают конечно проблемы в самих картах, но это обычно быстро становится
известно.

> Будет ли вышеуказанный патч в 11 ветке? Будут ли с патчем проблемы на
> других сетевых картах? например igb и ixgbe ?

https://svnweb.freebsd.org/base?view=revision=316770
Через неделю будет в stable/10-11.

-- 
WBR, Andrey V. Elsukov



signature.asc
Description: OpenPGP digital signature
___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Re: [freebsd] l2tp за NAT'ом (без IPSEC)

2017-04-13 Пенетрантность Andrey V. Elsukov 
On 13.04.2017 18:07, Irina Liakh wrote:
>>>> раз уж мы говорим о решении, сможете протестировать патч?
>>>> https://people.freebsd.org/~ae/udp_csum_flags.diff
>>>>
>>>> Нужно пересобрать ядро.
>>>
>>> Все работает с этим патчем. Проверяла только IPv4.
>>
>>  Для однозначности - и TCP работает?
> 
> Работает и TCP и UDP, хотя для меня было неожиданно, исходя из того,
> что патчились только udp_* файлы. Но мне, недоучке, простительно)

Спасибо. Подозрение было на то, что флаги проверки контрольной суммы
полученные от сетевой карты и подсчитанные для внешнего IP и UDP
заголовков используются и на передоваемые внутри туннеля данные.

Судя по тому что у вашей сетевой карты только один флаг оффлоада RXCSUM,
она не умеет полный оффлоад и благодаря этому UDP/TCP протоколы делают
небольшой подсчёт контрольной суммы используя данные от сетевой карты.

Так как передаваемая картой контрольная сумма расчитана для внешнего
заголовка, то когда те же самые данные участвуют в расчёте контрольной
суммы для заголовков внутри туннеля, то и получается неверный результат.

-- 
WBR, Andrey V. Elsukov



signature.asc
Description: OpenPGP digital signature
___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Re: [freebsd] l2tp за NAT'ом (без IPSEC)

2017-04-13 Пенетрантность Andrey V. Elsukov 
On 13.04.2017 11:04, Irina Liakh wrote:
> On Thu, Apr 13, 2017 at 02:24:28PM +0700, Eugene Grosbein wrote:
>> Баг в ядре, значит. Пока пропишите в /etc/rc.conf:
>>
>> ifconfig_fxp0="inet 192.168.12.2/24 -rxcum"
>>
>> Ну и желательно сделать PR, да, со всей этой диагностикой.
> 
> Благодарю Вас за помощь!
> И вообще всех кто помогал.
> Здорово, что есть эта отличная рассылка. Я предварительно перекопала
> все что нашел гугль на эту тему - ничего кроме жалобы еще одного человека
> на те же симптомы, без решения. Спасибо, Валентин Нечаев!

Добрый день,

раз уж мы говорим о решении, сможете протестировать патч?
https://people.freebsd.org/~ae/udp_csum_flags.diff

Нужно пересобрать ядро.

-- 
WBR, Andrey V. Elsukov



signature.asc
Description: OpenPGP digital signature
___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Re: [freebsd] Повторный запуск скрипта в cron

2017-01-25 Пенетрантность Andrey Marshalenko 
Hi.

Можно реализовать через файл блокировки (в примере ниже переменная LOCK). Т. е. 
при запуске скрипта создается файл, который не удаляется если задание не 
завершено (например первый бакап длится больше заданного интервала вркмкни).

Пример бакапа домашних папок пользователей по времени (типа «Машина времени»):

# cat rbackup.sh 
=
#!/bin/sh
date=`date "+%Y-%m-%d-%H%M%S"`
rsync=/usr/local/bin/rsync
LOCK=/var/spool/lock/rbackup.lock
LOG=/var/log/rbackup.log

SRC=/home/
TARGET=/var/data/backups/homes/$date
P_TARGET=/var/data/backups/homes/Latest

if [ -f $LOCK ]; then
exit 0
fi

touch $LOCK
date >> $LOG
mkdir -p $TARGET

$rsync -auvAHX --link-dest=$P_TARGET $SRC $TARGET >>$LOG 2>&1

rm -f $P_TARGET
ln -s $TARGET $P_TARGET
rm $LOCK

exit 0
=


__
With best regards,
Andrey Marshalenko.
System & Network Administrator
AM1000-UANIC
mailto: marsh...@marshall.kiev.ua
tel (mob) +380676574197
Skype: marshalenko
JabberID: marsh...@marshall.kiev.ua

> 25 янв. 2017 г., в 14:52, Valentin Nechayev <ne...@netch.kiev.ua> написал(а):
> 
> hi,
> 
> Wed, Jan 25, 2017 at 14:49:46, krylov wrote about "[freebsd] Повторный запуск 
> скрипта в cron": 
> 
>> Есть задача в cron'e rsync'ом делать зеркало раз в минуту
>> Как правильно обезопаситься от повторного запуска скрипта?
>> 
>> нашел https://habrahabr.ru/post/114622/
>> но в портах нет lockrun
>> 
>> flock кошерно использовать?
> 
> Фрёвая тулза зовётся lockf, и таки да, кошерно и прельстиво.
> 
> 
> -netch-
> ___
> freebsd mailing list
> freebsd@uafug.org.ua
> http://mailman.uafug.org.ua/mailman/listinfo/freebsd

___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

[Freebsd] Тестирование projects/ipsec

2017-01-12 Пенетрантность Andrey V. Elsukov 

Всем привет,

возможно не все пользователи этой рассылки читают freebsd@ мэйл листы, 
поэтому на всякий случай пишу ещё сюда.


Некоторое время назад я занялся переработкой реализации IPsec в FreeBSD 
с целью сделать код более пригодным для параллельной работы.
В результате появился проект, приняти участие в тестировании которого 
хочу предложить вам.


https://lists.freebsd.org/pipermail/freebsd-current/2016-December/064050.html

Здесь примерно то же самое, но по-русски:
http://bu7cher.blogspot.ru/2016/12/projectsipsec.html

Т.к. тестирование идёт неохтно, я портировал изменения в stable/11:
https://lists.freebsd.org/pipermail/freebsd-net/2017-January/046888.html

Проще всего вытянуть исходники из git'а, но пока патч вроде бы 
прикладывается на stable/11, если у вас есть исходники из svn, то для 
прикладывания патча используйте "svn patch" или "svnlite patch".


Коротко о том что содержит патч:
1. Реализация SADB полностью переработана для ухода от эксклюзивных 
блокировок. Теперь используются рефкаунты, шаред локи и хэш таблицы.

В связи с этим могло измениться поведение системы при поиске подходящей SA.

2. Т.к. переработана SADB, пришлось переделывать бОльшую часть 
реализации PF_KEY. IKE демоны могут перестать работать как раньше.


3. Поддержка NAT-T переработана и теперь всегда включена. Удалён код UDP 
инкапсуляции из начальных драфтов по NAT-T, теперь поддерживается только 
вариант описанный в RFC. Теперь есть возможность 
править/игнорировать/пересчитывать контрольные суммы для TCP/UDP в 
транспортном режиме.

https://svnweb.freebsd.org/base?view=revision=309808

4. Добавлен INPCB кеш для политик безопасности, это должно заметно 
снизить оверхед для локальных сетевых приложений от наличия политик IPsec.

https://lists.freebsd.org/pipermail/freebsd-net/2015-April/042121.html

5. Появилась возможность загружать реализацию IPsec и TCP-MD5 в виде 
модуля ядра. Для этого ядро должно быть скомпилировано с опцией 
IPSEC_SUPPORT вместо IPSEC.



5. Добавлен новый виртуальный интерфейс if_ipsec(4), реализующий route 
based IPsec.

https://svnweb.freebsd.org/base?view=revision=309115
https://reviews.freebsd.org/P112

6. Ещё куча всего мелкого и незаметного на первый взгляд, но кто его 
знает. Хотелось бы всётаки, чтоб народ попробовал хотя бы на своих 
обычных конфигурациях, не сломалось ли, прежде чем мержить это базу.


--
WBR, Andrey V. Elsukov
___
Freebsd mailing list
Freebsd@uafug.org.ua
http://078.vps.ho.ua/mailman/listinfo/freebsd

[freebsd] Re: [freebsd] FreeBSD 11.0 и анализ дампов упавших приложений

2016-12-16 Пенетрантность Andrey V. Elsukov 
On 14.12.2016 12:42, Vladislav V. Prodan wrote:
> Здравствуйте.
> 
> Подскажите внятный мануал по сабжу
> 
> В консоли nping (входит в nmap) написал:
> ...
> nping_event_handler(): READ-PCAP killed: Invalid argument
> nping_event_handler(): READ-PCAP killed: Invalid argument

Вот эти строки говорят о том:

> Assertion failed: (nse->iod->events_pending >= 0), function
> nsock_pool_delete, file nsock_pool.c, line 233.
> Abort trap (core dumped)

что приложение покончило с собой вызвав функцию assert(3).
Чтобы тут что-то дебажить, нужно начать с прочтения кода в обозначенном
файле.

-- 
WBR, Andrey V. Elsukov



signature.asc
Description: OpenPGP digital signature

Re: [freebsd] load averages on 10.3

2016-10-30 Пенетрантность Andrey 
У меня такая же беда на VPS при переходе с 9 на 10 появилась. Причем пробовал 
разных провайдеров везде на KVM показывает нагрузку а по факту ее нет даже на 
только что установленной и отключенной от сети. на 9ке раньше норм было но это 
было давно 12-13 годы и гипервизор тогда вроде был XEN у известного немецкого 
хостера.

 
 --- Исходное сообщение ---
 От кого: "Alexander Sheiko" 
 Дата: 30 октября 2016, 16:19:42
  


> Здравствуйте, коллеги.
> 
> После обновления системы с версии 9.3 на версию 10.3 замечено необычное
> увеличение load averages с типичного значения при простое в районе 0.05
> на вот такое (фрагмент top):
> 
> last pid: 14392; load averages: 0.40, 0.56, 0.51
> 53 processes: 1 running, 52 sleeping
> CPU: 0.4% user, 0.0% nice, 1.1% system, 0.0% interrupt, 98.5% idle
> 
> Конфиг ядра, выполняемые задачи - всё то же самое. Машина -
> однопроцессорная. Нагрузки на диск практически никакой нет.
> 
> Кто-нибудь может объяснить такое увеличение la?
> 
> P.S. На графике загрузки процессора, величины system и user после
> обновления упали где-то на 15% при средней загрузке в районе 3% при
> усреднении за неделю.
> 
> -- 
> WBR, Alexander Sheiko
> 
>

Re: [freebsd] Re: [freebsd] Freebsd гость на хосте win8.1 в виртуал бокс и тегированый траффик

2016-07-09 Пенетрантность Andrey 
понял. у меня риалтек сетевая. попробую драйыера под нее обновить.

 
 --- Исходное сообщение ---
 От кого: "Eugene Grosbein" <eu...@grosbein.net>
 Дата: 9 июля 2016, 23:52:02
  


> 10.07.2016 1:32, Andrey пишет:
> > Есть хост на вин8.1 с виртуалбоксом и на нем настроено несколько вланов.
> > Сталкивался ли кто с пробросом freebsd-гостю тегированого трафика?
> > У гостя (параметры ВМ) сетевая настроена мостом на самом госте настроен 
> > влан но трафик он не принмиает.
> 
> Работает на 8.1 вот в такой конфигурации:
> 
> - физическая сетевая Intel 82579LM (интегрированная)
> - стандарный драйвер сетевой windows 8.1 обновлен на интелевский драйвер
> из пакета https://downloadmirror.intel.com/21642/eng/PROWinx64.exe
> со страницы 
> https://downloadcenter.intel.com/download/21642/Intel-Network-Adapter-Driver-for-Windows-8-?
> 
> Пакет версии 21.0 от 20 мая 2016, ставит драйвер e1c64x64.sys версии 
> 12.15.31.4 от 23 марта 2016.
> 
> - с этим драйвером в диспетчере устройств в свойствах сетевой появляется 
> вкладка VLANs
> и в ней можно создать, скажем, VLAN10
> - после этого в диспетчере устройств появляется новый "сетевой адаптер"
> по имени Intel(R) 82579LM Gigabit Network Connection - VLAN : VLAN10
> (физическая сетевая именуется просто Intel(R) 82579LM Gigabit Network 
> Connection)
> - в настройках VirtualBox в свойствах виртуальной машины FreeBSD 10.3 тип 
> подключения
> задан "Сетевой мост" и сетевой интерейс хоста упомянутый выше "... VLAN10"
> и тип адаптера virtio-net
> - в госте появляется сетевой интерфейс vtnet0 (драйвер есть в ядре GENERIC)
> и всё работает, хотя для гостя трафик выглядит нетегированным.
> 
> VirtualBoX позволяет прокидывать гостю до восьми сетевых интерфейсов,
> первые четыре можно настроить через графический интерфейс плюс ещё четыре
> командой VBoxManage modifyvm
> https://www.virtualbox.org/manual/ch08.html#vboxmanage-modifyvm
> 
> То есть, таким образом можно прокинуть до восьми предконфигуренных вланов в 
> FreeBSD.
> Можно ли прокинуть целиком транк (или хотя бы только все тегированне фреймы) 
> - не знаю.
> 
>

Re: [freebsd] Re: [freebsd] Freebsd гость на хосте win8.1 в виртуал бокс и тегированый траффик

2016-07-09 Пенетрантность Andrey 
судя по этому https://www.virtualbox.org/manual/ch06.html раздел 6.5 то умеет


но tcpdump -i em0 в госте  трафик уже без тегов.

видимо не судьба.
 
 --- Исходное сообщение ---
 От кого: "Vladislav V. Prodan" 
 Дата: 9 июля 2016, 22:57:30
  


> 
> 
> 
> Вы для начала прочитайте документацию VirtualBox'a, умеет ли он пробрасывать 
> vlan теги.
>

[freebsd] Freebsd гость на хосте win8.1 в виртуал бокс и тегированый траффик

2016-07-09 Пенетрантность Andrey 
Есть хост на вин8.1 с виртуалбоксом и на нем настроено несколько вланов. 
Сталкивался ли кто с пробросом freebsd-гостю тегированого трафика? У гостя 
(параметры ВМ) сетевая настроена мостом на самом госте настроен влан но трафик 
он не принмиает.

Re: [freebsd] 10.3 swap usage

2016-05-25 Пенетрантность Andrey Blochintsev 
Hi!

On Wed, May 25, 2016 at 10:30 +0300, Golub Mikhail wrote:

> Доброго времени суток.
> 
> Был виртуальный сервер под FreeBSD 8.3 x86 с 2 Гб ОЗУ.
> Перевел его (чистая установка на новый виртуальный сервер) на 10.3 amd64.
> Функционал тот же, только новая ОС и новые версии ПО.
> 
> Напрягает - swap 27% Inuse.
> На старом хватало 2 Гб. А сейчас сделал уже 3 - не хватает.
> 
> CPU: 19.9% user,  0.0% nice,  9.1% system,  0.0% interrupt, 71.1% idle
> Mem: 121M Active, 604M Inact, 2079M Wired, 18M Cache, 274M Buf, 145M Free
> ARC: 1524M Total, 64M MFU, 1297M MRU, 144K Anon, 7289K Header, 156M Other
> Swap: 1536M Total, 418M Used, 1118M Free, 27% Inuse
> 
> # swapinfo
> Device  512-blocks UsedAvail Capacity
> /dev/da0p3 3145728   855120  229060827%
> 

А после такого:

cd /<куда-то-где-есть-больше-16G-места
for i in `jot 16 101`
do
 bs=1m count=1024 if=/dev/zero of=file_$i.bin
done
rm file_1??.bin


swap не заканчивается?
Я на каких-то 10.2-stable (на UFS) это видел.

Re: [freebsd] Re: gpt disk problem

2016-04-30 Пенетрантность Andrey 

шлейфы поменять на всяк случай. нормально ли в разъеме сидят. смарт в студию. 
да и модель винчестера с датой производства.
 
 --- Исходное сообщение ---
 От кого: "Андрій Добровольський" 
 Дата: 30 апреля 2016, 16:18:07
  


> 2016-04-30 15:58 GMT+03:00 Андрій Добровольський :
> > Всем доброго дня,
> > Есьб машина с FreeBSD10.1. До вчерашнего вечера вполне работала. Вчера
> > сделал очередной freebsd-update, перезагрузил и система не видит, я
> > так думаю, часть разделов.
> > Т.е. приглашенте загрузки появляется и оно грузится с руганью на
> > отсутствие файлов и не работает как ожидается.
> > Где написано как лечить диски с файловыми системами и разделами BSD?
> > Ну и диагностировать.
> > Очень срочно надо... :(
> >
> > --
> > Regards,
> > Andrii Dobrovol`s`kyj
> 
> gpart show
> в сингл режиме загрузки показывает что gpt таблицы испорчены но все
> разделы пишет правильно. Попытка сделать
> gpsrt restore ad0
> пишет что все теперь зашибись, но при перезагрузке вообще диск
> отваливается и приходится его подключать сперва в биосе а потом он
> снова испорчен.
> Как понять, что с диском?
> 
> -- 
> Regards,
> Andrii Dobrovol`s`kyj
>

Re[2]: [freebsd] Openvpn is very slow

2016-04-29 Пенетрантность Andrey 
Да так и есть 130+ до штатов пинг. 
Я хотел лишь сказать что на похожей ситуации как у ТС имею такие результаты.

 
 --- Исходное сообщение ---
 От кого: "Eugene Grosbein" <eu...@grosbein.net>
 Дата: 29 апреля 2016, 10:29:03
  


> On 29.04.2016 04:56, Andrey wrote:
> > у меня на роутере asus rt-n10u сабж 7-8 Мбит дает но проц роутера полностью 
> > нагружен и пинг между точками 130мс сервер в сша.
> 
> До США через океан пинг может быть 130 и безо всякого OpenVPN,
> и даже больше может быть - из Сибири, например.
> 
> 
>

Re[2]: [freebsd] Openvpn is very slow

2016-04-28 Пенетрантность Andrey 
у меня на роутере asus rt-n10u сабж 7-8 Мбит дает но проц роутера полностью 
нагружен и пинг между точками 130мс сервер в сша.

 
 --- Исходное сообщение ---
 От кого: "skele...@lissyara.su" 
 Дата: 25 апреля 2016, 12:29:33
  


> 24.04.2016 19:37, Alexander Sheiko пишет:
> >
> > В письме от Вск, 24 Апр 2016, 19:26 skeletor пишет:
> >
> >> Есть канал 100 мбит/с между 2-мя точками, но openvpn между ними не
> >> поднимается больше 20 мбит/с
> >
> > Напрашивается два вопроса:
> >
> > 1. Достигается ли 100 мбит между этими точками на других сервисах.
> > 2. Насколько загружены сами точки, в частности - сабжевым сервисом.
> >
> 
> 
> Тестировал я банально: curl'ом (поскольку между точками люди просто 
> гоняют файлы по http/ftp, то тестировать многопоточными утилитами и 
> доказывать, что типа нужно всё теперь лить в несколько потоков - не 
> вариант) скачивал файл в /dev/null и замерял скорость. Сами точки не 
> загружены, пробовал даже полностью отключать сжатие и шифрование, то 
> есть по сути был простой канал. Ситуация не менялась, лишь слегка 
> возрастала скорость.
> 
> Насчёт MPD спасибо за наводку, протестирую.
> 
> Забыл упомянуть, что клиент - это openwrt роутер, возможно из-за 
> слабоватого CPU больше не вытягивает.
> 
> Ссылка на хабр - смотрел, читал комментарии, но не помогло.
>

Re: [freebsd] gpart Stripeoffset

2016-01-21 Пенетрантность Andrey V. Elsukov 
On 21.01.16 14:08, Nick Kostirya wrote:
> Получается, что для не 4k дисков, а с секторами в 512, для которых
> Stripesize показывается как 0, цифры Stripeoffset ничего не значат?

Когда sectorsize == stripesize, stripeoffset не может быть не нолём.
Это всё актуально для дисков с 4к физическими секторами, но 512б
логическими. Желательно чтобы diskinfo -v <провайдер раздела/слайса>
всегда показывало stripeoffset == 0.
Так же это имеет смысл смотреть у разных софтовых RAID'ов.

-- 
WBR, Andrey V. Elsukov



signature.asc
Description: OpenPGP digital signature

Re: [freebsd] gpart Stripeoffset

2016-01-21 Пенетрантность Andrey V. Elsukov 
On 21.01.16 12:46, Nick Kostirya wrote:
> Привет.
> 
> Вот любопытно, что такое Stripeoffset (в gpart и diskinfo).
> Нашел только в исходниках, что это 
> "the offset of the first device's optimal access block in bytes."
> А сдвиг от чего?
> 

Наглядно можно изобразить вот так:

 точка - это sectorsize
 =>| |<= вот это stripesize
ada0:   [.][.][.][.][.][.][.]
ada0s1:[.][.][.][.][.]
 =>|   |<= вот это будет stripeoffset

-- 
WBR, Andrey V. Elsukov



signature.asc
Description: OpenPGP digital signature

[freebsd] Re: [freebsd] [freebsd] [ОТ]: Борьба с кульхацкерами

2016-01-09 Пенетрантность Andrey Marshalenko 
Ну если есть таки FreeBSD/Linux, то можно и arpwatch для начала задействовать.
With best regards,Andrey Marshalenko.System & Network AdministratorAM1000-UANICmailto: marsh...@marshall.kiev.uatel (mob) +380676574197Skype: marshalenkoJabberID: marsh...@marshall.kiev.ua

8 янв. 2016 г., в 11:52, Anton Sayetsky <vsasja...@gmail.com> написал(а):8 янв. 2016 г. 11:43 пользователь "Alexander Bolshakov" <albor...@gmail.com> написал:
>
> Добрый день сообществу и с прошедшими и наступающими праздниками!
>
> Обратился ко мне хороший товарищ с проблемой: завёлся у него дома в соседях кульхацкер и развлекается тем, что ломает его домашний wifi-роутер, делая открытым доступ. :( Роутер из простых - TP-Link, модель не знаю, т.к. дома у него ещё не был. Советы "сменить пароль" на роутер и wifi не помогли - за последний месяц этот хацкер уже три раза открывал роутер. WPS отключен, но, похоже, это только в вебморде, т.к. взломы продолжаются. В голову приходит только настройка какого-нибудь snmp-монитора с отслеживанием МАС-адреса и занесением его в бан-лист с возможным последующим вычислением и занесением в личность.
> Может, у кого есть другие конструктивные мысли по этому поводу?
>
> PS: Понятно, что это кто-то из ближайших соседей (10-30 метров); понятно, что молодняк, только освоивший пару методов взлома; понятно, что надо учить, по-возможности, законными и культурными методами. Поэтому, прошу о конструктивной дискуссии по существу поднятого вопроса.
> PS2: никогда не задумывался, но вот сейчас пришлось: как можно (теоретически - можно, а вот практически, на бытовом уровне, бытовыми ширпотребовскими методами и подручными средствами) вычислить мОлодца, зная МАС его сетевушки? Он же должен вещаться в эфир постоянно при радиообмене. Есть софтинки, мониторящие эфир на эту тему?
>
> Спасибо всем, кто откликнется по теме!
Казалось бы, при чём здесь FreeBSD...

[freebsd] Re: [freebsd] [freebsd] Нормально работаююющий ноут (кросс-пост questions@)

2015-12-22 Пенетрантность Andrey V. Elsukov 
On 15.12.15 21:35, Anton Sayetsky wrote:
> Приветствую, коллеги,
> 
> Уже несколько лет ищу сабж, но всё безуспешно. Обязательные требования ниже:

Можно попробовать из этого списка что-то выбрать
https://wiki.freebsd.org/Laptops

-- 
WBR, Andrey V. Elsukov



signature.asc
Description: OpenPGP digital signature

Re: [freebsd] sendmail + roundcube

2015-10-15 Пенетрантность Andrey 
Пока что решил остановится на sendmail + courier (с PAM аутентификацией 
системных пользователей). Да и домен 1.
Видил в сендмайле насчет виртуальных доменов но это пока что на потом почитать.


Спасибо за помощь.

Re[4]: [freebsd] Балансировка. Помогите с ключевыми словами для гугления

2015-06-14 Пенетрантность Andrey 
Ответ уходил тудой откуда пришел запрос. 

14 июня 2015, 13:44:55, от Vladyslav Kolesnyk vector...@ukr.net:

 Так все-таки что необходимо??? 
 Чтобы ДНС отдавал разные йп в зависимости откуда пришел запрос? 
 
 
 --- Исходное сообщение --- 
 От кого: Andrey  ss25_sat...@ukr.net  
 Дата: 14 июня 2015, 12:50:23 
 
 Я видимо не совсем понятно описал ситуацию.
 
 Есть сервер с двумя аплинками от провайдеров адреса статические. В ДНС для 
 сайта создается 2 А записи.
 Проблема в том чтобы ответы не уходили в defaultroute, а шли тудой откуда 
 пришли. 
 
 На один запрос ДНС отдал один ИП в А записи на другой запрос другой ИП.
 ;; ANSWER SECTION:
 ya.ru. 7200 IN A 213.180.204.3
 ya.ru. 7200 IN A 93.158.134.3
 ya.ru. 7200 IN A 213.180.193.3
 
 
 --- Исходное сообщение ---
 От кого: Nike  k-n...@yandex.ru 
 Дата: 13 июня 2015, 23:43:31
 
 
 
  12.06.2015 21:20, Andrey пишет:
   Ситуация. В днс для хоста есть 2 А записи из разных сетей от разных 
   провайдеров.
  
   ИП1 1.1.1.1 интерфейс fxp1
   ИП2 2.2.2.2 интерфейс fxp2
  
   defaultroute 1.1.1.2
  
  
   Если запрос приходит с интерфейса fxp2 на 2.2.2.2 то ответ должен уйти 
   тоже с 2.2.2.2 через fxp2
   
   
  
  Не понятно.
  Проблема в маршрутизации или в том что возвращает ДНС?

Re[2]: [freebsd] Балансировка. Помогите с ключевыми словами для гугления

2015-06-14 Пенетрантность Andrey 
Я видимо не совсем понятно описал ситуацию.

Есть сервер с двумя аплинками от провайдеров адреса статические. В ДНС для 
сайта создается 2 А записи.
Проблема в том чтобы ответы не уходили в defaultroute, а шли тудой откуда 
пришли. 

На один запрос ДНС отдал один ИП в А записи на другой запрос другой ИП.
;; ANSWER SECTION:
ya.ru.  7200IN  A   213.180.204.3
ya.ru.  7200IN  A   93.158.134.3
ya.ru.  7200IN  A   213.180.193.3


 --- Исходное сообщение ---
 От кого: Nike k-n...@yandex.ru
 Дата: 13 июня 2015, 23:43:31
  


 12.06.2015 21:20, Andrey пишет:
  Ситуация. В днс для хоста есть 2 А записи из разных сетей от разных 
  провайдеров.
 
  ИП1 1.1.1.1 интерфейс fxp1
  ИП2 2.2.2.2 интерфейс fxp2
 
  defaultroute 1.1.1.2
 
 
  Если запрос приходит с интерфейса fxp2 на 2.2.2.2 то ответ должен уйти тоже 
  с 2.2.2.2 через fxp2
  
  
 
 Не понятно.
 Проблема в маршрутизации или в том что возвращает ДНС?

Re: [freebsd] freebsd 10.1-stable после обновлении до r283303 во время загрузки уходит в повторный ребут.

2015-06-13 Пенетрантность Andrey V. Elsukov 
On 12.06.2015 18:31, Eugene V. Boontseff wrote:
 Здравствуйте, коллеги.
 
 10.1-stable после обновления до r283303 и выше перестаёт нормально
 грузится. Процесс загрузки доходит до места, после которого должна была
 бы появится строка: Timecounters tick every 1.000 msec. Hо вместо этого
 следует ребут. И так до бесконечности.
 
 r283303 это: Bump MAXCPU on amd64 from 64 to 256.
 
 Проверил, поменяв в sys/amd64/include/param.h MAXCPU с 256 снова на 64 -
 дело именно в этом.
 
 Остаюсь пока на r283289.
 Поиск в сети не дал ничего по данной проблеме.
 Вопросы: что делать и кто виноват?

Добавьте в конфиг ядра опцию MAXCPU с нужным вам количеством и откройте
PR в багзилле.

-- 
WBR, Andrey V. Elsukov



signature.asc
Description: OpenPGP digital signature

Re: [freebsd] Балансировка. Помогите с ключевыми словами для гугления

2015-06-12 Пенетрантность Andrey 
Спасибо за подсказки. Направление понятно.

[freebsd] Балансировка. Помогите с ключевыми словами для гугления

2015-06-12 Пенетрантность Andrey 
Ситуация. В днс для хоста есть 2 А записи из разных сетей от разных провайдеров.

ИП1  1.1.1.1интерфейс fxp1 
ИП2  2.2.2.2интерфейс fxp2

defaultroute 1.1.1.2


Если запрос приходит с интерфейса fxp2 на 2.2.2.2 то ответ должен уйти тоже с 
2.2.2.2 через fxp2

Re: [freebsd] IPsec VPN and NAT

2015-04-28 Пенетрантность Andrey V. Elsukov 
On 28.04.2015 11:39, Golub Mikhail wrote:
 Ситуация не изменилась.
 11:38:04.901422 (authentic,confidential): SPI 0xc2e51929: IP 10.7.0.12 
 10.7.0.41: IP 192.168.44.1  192.168.58.1: ICMP echo request, id 65250, seq
 0, length 64 (ipip-proto-4)
 11:38:05.903056 (authentic,confidential): SPI 0xc2e51929: IP 10.7.0.12 
 10.7.0.41: IP 192.168.44.1  192.168.58.1: ICMP echo request, id 65250, seq
 1, length 64 (ipip-proto-4)
 11:38:06.913052 (authentic,confidential): SPI 0xc2e51929: IP 10.7.0.12 
 10.7.0.41: IP 192.168.44.1  192.168.58.1: ICMP echo request, id 65250, seq
 2, length 64 (ipip-proto-4)
 11:38:07.933118 (authentic,confidential): SPI 0xc2e51929: IP 10.7.0.12 
 10.7.0.41: IP 192.168.44.1  192.168.58.1: ICMP echo request, id 65250, seq
 3, length 64 (ipip-proto-4)

А можете ещё сделать bpf_mask=3 для входящих пакетов? Для каждого
входящего пакета тогда будет по две записи.

-- 
WBR, Andrey V. Elsukov



signature.asc
Description: OpenPGP digital signature

Re: [freebsd] IPsec VPN and NAT

2015-04-28 Пенетрантность Andrey V. Elsukov 
On 28.04.2015 11:21, Golub Mikhail wrote:
 net.enc.out.ipsec_filter_mask: 1

Здесь нужно чтобы pfil вызывался до того, как IPSec прилепит свой IP
хидер, т.е. значение 1 нас устраивает.

 net.enc.in.ipsec_filter_mask: 1

Чтобы pfil вызывался, когда внешний IP заголовок уже будет отрезан и
трансляция выполнялась с адресами 192., нужно установить в 2.

 sysctl net.inet.ipsec.filtertunnel
 # sysctl net.inet.ipsec.filtertunnel
 net.inet.ipsec.filtertunnel: 0

Чтобы pfil вызывался из кода IPSec это нужно в 1 установить.

-- 
WBR, Andrey V. Elsukov



signature.asc
Description: OpenPGP digital signature

Re: [freebsd] IPsec VPN and NAT

2015-04-28 Пенетрантность Andrey V. Elsukov 
On 28.04.2015 12:03, Golub Mikhail wrote:
 А можете ещё сделать bpf_mask=3 для входящих пакетов? Для каждого
 входящего пакета тогда будет по две записи.

Да. Жаль что в BPF пакет отправляется до pfil, не видно отнатился он или
нет... :)
Предлагаю перейти к отладке с помощью dtrace :)

# kldload dtraceall
# cat  ./ipsec.d
#!/usr/sbin/dtrace -s

fbt::ipsec_filter:entry
{
self-mbuf = (struct mbuf **)arg0;
m = *(struct mbuf **)arg0;
ip = (struct ip *)m-m_data;
printf(%s-%s, inet_ntoa(ip-ip_src.s_addr),
inet_ntoa(ip-ip_dst.s_addr));
}

fbt::ipsec_filter:return
/arg1 != 0/
{
printf(%d, (int)arg1);
}

fbt::ipsec_filter:return
/arg1 == 0/
{
m = *(struct mbuf **)(self-mbuf);
ip = (struct ip *)m-m_data;
printf(%s-%s, inet_ntoa(ip-ip_src.s_addr),
inet_ntoa(ip-ip_dst.s_addr));
}
^D

# chmod +x ipsec.d
# ./ipsec.d

-- 
WBR, Andrey V. Elsukov



signature.asc
Description: OpenPGP digital signature

Re: [freebsd] IPsec VPN and NAT

2015-04-28 Пенетрантность Andrey V. Elsukov 
On 28.04.2015 12:37, Golub Mikhail wrote:
 Предлагаю перейти к отладке с помощью dtrace :)
 
 Вот что получается.
 
 # ./ipsec.d
 dtrace: script './ipsec.d' matched 3 probes
 CPU IDFUNCTION:NAME
   0  50792   ipsec_filter:entry 10.7.0.12-10.7.0.41
   0  50793  ipsec_filter:return 10.7.0.12-10.7.0.41
   0  50792   ipsec_filter:entry 192.168.44.1-192.168.58.1
   0  50793  ipsec_filter:return 192.168.44.1-192.168.58.1

Трансляции не видно, видимо проблема в PF. Я с ним не работал, не знаю
какие там есть методы отладки...

-- 
WBR, Andrey V. Elsukov



signature.asc
Description: OpenPGP digital signature

Re: [freebsd] IPsec VPN and NAT

2015-04-28 Пенетрантность Andrey V. Elsukov 
On 28.04.2015 11:04, Golub Mikhail wrote:
 А дальше ситуация аналогичная как было и на 10.1, и на 9.3 - ответов нет,
 так как нет преобразования пакетов, пришедших по туннелю.

А покажите что у вас в это время выводят:
setkey -DP
setkey -D
sysctl net.enc
sysctl net.inet.ipsec.filtertunnel

-- 
WBR, Andrey V. Elsukov



signature.asc
Description: OpenPGP digital signature

Re: [freebsd] IPsec VPN and NAT

2015-04-24 Пенетрантность Andrey V. Elsukov 
On 24.04.2015 12:44, Golub Mikhail wrote:
 Скачал вчера FreeBSD-11.0-CURRENT-amd64-20150421-r281832-disc1.iso
 Сегодня установил.
 Что касается IPSEC, то в ядре его нет.
 Ладно, пересобрал ядро.

Ну это во всех версиях так :)

 Вот это все опции, что добавил в конфиг от GENERIC:
 options IPSEC
 options IPSEC_NAT_T
 device  crypto
 device  enc
 device  pf
 device  pflog
 
 В системе правил pf нет (просто pf в ядро включил).
 
 Есть несколько виртуалок - FreeBSD 9.3 (racoon), 10.1 (strongswan), 11.0
 (strongswan), pfsense 2.2.2 (strongswan)
 У всех по две сетевухи. На вторых сетевых разная адресация и разные
 виртуальные свичи.
 ipsec-туннели построены меджу этими 4-мя хостами в разных комбинациях.
 Везде все хорошо - в плане туннели поднимаются, пакеты в туннелях ходят
 между разными хостами.
 Кроме FreeBSD 11.0
 Здесь туннели поднимаются со всеми хостами.
 Но пакеты в туннеле ходят только с pfsense.
 strongswan был установлен пакаджем. Поставил из портов - ситуация не
 изменилась.
 
 До натирования дело не дошло.

А как настраиваются туннели?
Вот здесь в test plan у меня есть пара конфигов для тестирования в
ручном режиме: https://reviews.freebsd.org/D2304

-- 
WBR, Andrey V. Elsukov

Re: [freebsd] IPsec VPN and NAT

2015-04-23 Пенетрантность Andrey V. Elsukov 
On 23.04.2015 14:27, Golub Mikhail wrote:
 Добрый день.
 
 Задал вопрос на форуме - был один ответ, что никак подобное не сделать.
 Но все же ...
 Никто не делал подобное на FreeBSD?
 
 Хочу на FreeBSD 10.1 натировать сеть в сеть средствами pf перед
 заворачиванием в ipsec-туннель (например, локалку 192.168.1.0/24 в
 172.16.1.0/24)
 pfsense такое делает (а там 10.1-RELEASE-p9 FreeBSD).
 В pfsense есть два параметра:
 net.inet.ip.pfil.inbound: pf
 net.inet.ip.pfil.outbound: pf
 
 На 10.1, 9.3, 8.4, 7* - таких oid-ов нет.

Судя по названию, эти оиды регулируют порядок или необходимость запуска
pfil хуков на input/output. Т.е. к сути дела не имеют.
А есть у вас возможность попробовать head/?

По сути вам нужно включить filtertunnel, настроить filter_mask так,
чтобы исходящий пакет отправлялся в NAT до инкапсуляции, а входящий
после отрезания внешнего заголовка (см. if_enc(4)).

В политике ipsec вам нужно указать туннельный режим с неотначенными
адресами в качестве адресов матчинга src_range/dst_range и endpoint
адресами туннеля. Эти же endpoint адреса туннеля должны быть указаны в
соответствующих SA.

При такой конфигурации secpolicy отправляет ваши неотначенные пакеты на
обработку в ipsec, тот отправляет их в pfil, который должен выполнить
трансляцию, после возвращения из pfil к пакету будет прилеплен новый IP
заголовок с endpoint адресами тунеля из SA. Далее он шифруется и уходит
в сеть. На принимающей стороне пакет благодаря обратной SA дешифруется,
ему отрезается внешний IP заголовок и уже этот оттранслированный пакет
приходит в хост систему.

На вид как-то вот так это должно работать в head/.

-- 
WBR, Andrey V. Elsukov



signature.asc
Description: OpenPGP digital signature

Re: [freebsd] IPsec VPN and NAT

2015-04-23 Пенетрантность Andrey V. Elsukov 
On 24.04.2015 08:09, Golub Mikhail wrote:
 В pfsense есть два параметра:
 net.inet.ip.pfil.inbound: pf
 net.inet.ip.pfil.outbound: pf

 На 10.1, 9.3, 8.4, 7* - таких oid-ов нет.

 Судя по названию, эти оиды регулируют порядок или необходимость
 запуска pfil хуков на input/output. Т.е. к сути дела не имеют.
 
 Экспериментально проверил, что имеют (могу ошибаться).
 Когда выполнил команду - пакеты в ipsec-туннель перестали заворачиваться.
 sysctl net.inet.ip.pfil.inbound=

Могу предположить, что таким образом вы убрали пакетный фильтр с
обработки входящих пакетов.
Пару лет назад andre@ кажется предлагал подобные патчи, где можно было
через sysctl выбирать порядок в котором будут вызываться фильтры. Но
тогда они не нашли сторонников, или реализация была неочень. В pfsense
видимо нашли.

 А есть у вас возможность попробовать head/?
 
 Скачал вчера, пробую.
 
 По сути вам нужно включить filtertunnel, настроить filter_mask так,
 чтобы исходящий пакет отправлялся в NAT до инкапсуляции, а входящий
 после отрезания внешнего заголовка (см. if_enc(4)).
 
 В pfsense net.inet.ipsec.filtertunnel=0

У них там и реализация AES-GCM есть в ipsec, и strongswan патченный для
этого. Ещё и ipsec можно включать через sysctl. eri@ ещё полгода назад
хотел это всё в базу внедрить. Даже от FF был грант прошлой осенью про
IPSec. Но что-то не задалось у него...

-- 
WBR, Andrey V. Elsukov

Re: [freebsd] IPsec VPN and NAT

2015-04-21 Пенетрантность Andrey V. Elsukov 
On 21.04.2015 12:47, Eugene Grosbein wrote:
 On 21.04.2015 14:14, Golub Mikhail wrote:
 
 Есть две сети с одинаковой адресацией сетей за шлюзами.
 Задача - объединить их через ipsec.
 Чтобы проверить работу схемы сделал сети отличающимися.

 Имеется FreeBSD 10.1
 Два интерфейса (em0 - outside, em1 - inside).
 Используется pf.

 Хочу с одной стороны сделать NAT для адресов локальной сети перед тем, как
 
 Не взлетит: http://dadv.livejournal.com/202710.html

pfil(9) на интерфейсе enc(4) вызывается из кода IPSec, так что эта
заметка не особо подходит. Другое дело что некотрое время в этом коде
было много багов, так или иначе связанных.

-- 
WBR, Andrey V. Elsukov



signature.asc
Description: OpenPGP digital signature

Re: [freebsd] Write failed

2015-04-03 Пенетрантность Andrey Blochintsev 
Hi!

On Fri, Apr 03, 2015 at 13:22 +0300, George L. Yermulnik wrote:

 On Fri, 03 Apr 2015 at 12:35:35 (+0300), Taras Heychenko wrote:
 
  Apr  2 15:08:48 academ bruteblock[50817]: Blocking failed for 218.65.30.92
  Apr  2 15:08:48 academ sshd[50821]: fatal: Write failed: Permission denied 
  [preauth]
 
  Интересует собственно вот эти Write failed и Blocking failed - откуда и 
  почему?
  Адрес 218.65.30.92 в table 1 в ipfw присутствует.
 
 Write failed вероятно из-за того, что таймаутится либо само соединение,
Permission denied - это попадание в ipfw-шное правило deny

 либо какое-то динамическое правило в файрволе. А Blocking failed
 вероятно из-за того, что 218.65.30.92 уже присутствует в таблице.

Re: [freebsd] nginx on openvpn's tun interface

2014-10-29 Пенетрантность Andrey V. Elsukov 
On 29.10.2014 14:00, Anton Sayetsky wrote:
 mbuf_packet: 16380,
mbuf: 2,
mbuf_cluster: 18015,
 mbuf_jumbo_page: 0,
   mbuf_jumbo_9k: 0,
  mbuf_jumbo_16k: 0,
 mbuf_ext_refcnt: 0,
 
 Значения иногда увеличиваются на 2-3 и в течение нескольких секунд
 возвращаются обратно.

То что оно изменяется - это нормально. Ганс говорит, что при down/up tun
интерфейса счётчики увеличиваются. А если это происходит часто, то через
несколько недель ресурсы системы исчерпываются.

-- 
WBR, Andrey V. Elsukov

Re: [freebsd] nginx on openvpn's tun interface

2014-10-28 Пенетрантность Andrey V. Elsukov 
On 27.10.2014 14:51, Anton Sayetsky wrote:
 Машина - OpenVPN-сервер, туннель такой:
 root@support00:/usr/local/etc/nginx# ifconfig tun0
 tun0: flags=8051UP,POINTOPOINT,RUNNING,MULTICAST metric 0 mtu 1500
 options=8LINKSTATE
 inet6 fe80::21e:67ff:fead:6ab0%tun0 prefixlen 64 scopeid 0x3
 inet 192.168.89.1 -- 192.168.89.1 netmask 0xff00
 nd6 options=21PERFORMNUD,AUTO_LINKLOCAL
 Opened by PID 4047

У вас OpenVPN сервер на FreeBSD? Тут есть один репорт по утекающим
mbuf'ам в связке openvpn+tun. Не замечали ничего такого?

В выводе: vmstat -z | awk '/mbuf/ {printf %16s %s\n, $1, $4 }'
нет у вас постоянно увеличивающего счётчика?

-- 
WBR, Andrey V. Elsukov



signature.asc
Description: OpenPGP digital signature

Re: [freebsd] nginx on openvpn's tun interface

2014-10-28 Пенетрантность Andrey V. Elsukov 
On 28.10.2014 20:00, Владимир Друзенко wrote:
 28.10.2014 17:39, Alexey Markov пишет:
 28.10.2014, 15:53, Andrey V. Elsukov bu7c...@yandex.ru:
 On 27.10.2014 14:51, Anton Sayetsky wrote:

 У вас OpenVPN сервер на FreeBSD? Тут есть один репорт по утекающим
 mbuf'ам в связке openvpn+tun. Не замечали ничего такого?

 В выводе: vmstat -z | awk '/mbuf/ {printf %16s %s\n, $1, $4 }'
 нет у вас постоянно увеличивающего счётчика?
 Я проверил на двух машинках с 8.4-p18, счётчики колеблются, но не растут.
 
 Тоже самое - за 10 минут мониторинга (надо больше?) роста не замечено,
 RELENG_9 от 19 февраля 2012.

Вот сам баг репорт:
https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=194577

-- 
WBR, Andrey V. Elsukov

Re: [freebsd] Re[2]: [freebsd] Странные падения сервера при переключении defaultroute

2014-10-27 Пенетрантность Andrey V. Elsukov 
On 24.10.2014 15:03, Eugene Grosbein wrote:
 On 24.10.2014 17:59, Alexander wrote:
 
 EG Вообще крайне желательно обновиться хотя бы до 8.4,
 EG так как в более ранних восьмерках есть известные баги в netgraph,
 EG которые приводят к паникам.

 Тырнет  ходит  через  mpd,  так  что  отключить  его  пока  не могу. А
 обновление сегодня запущу вечером.
 
 Рекомендую ещё после обновления src приложить этот патч:
 http://www.grosbein.net/freebsd/patches/dang2.diff
 
 Он повышает стабильность связки netgraph+mpd, я его ко всем своим
 серверам с mpd прикладываю.

подорожник, я его ко всему прикладываю :)
Прежде чем начинать лечить, нужно диагноз поставить.
Спонтанные ребуты без всяких сообщений могут быть следствием аппаратных
проблем.

-- 
WBR, Andrey V. Elsukov



signature.asc
Description: OpenPGP digital signature

Re: [freebsd] nginx on openvpn's tun interface

2014-10-27 Пенетрантность Andrey V. Elsukov 
On 27.10.2014 15:09, Eugene Grosbein wrote:
 On 27.10.2014 19:06, Anton Sayetsky wrote:
 Всё есть:
 root@support00:/usr/local/etc/nginx# netstat -rn | fgrep '192.168.89.'
 192.168.89.0/24192.168.89.1   UGS 0 12917434   tun0
 192.168.89.1   link#3 UH  0   72   tun0
 
 В этом-то и проблема. У link#3 маршрут смотрит в tun0, а должен в lo0.
 Удали и пересоздай как я написал.

у него оба конца туннеля указывают на один адрес, вот опенвпн и добавил
маршрут к дальнему конецу через tun0.

-- 
WBR, Andrey V. Elsukov

Re: [freebsd] nginx on openvpn's tun interface

2014-10-27 Пенетрантность Andrey V. Elsukov 
On 27.10.2014 15:41, Anton Sayetsky wrote:
 Проверили на других машинах:
 фря, topology subnet - не пингуется
 фря, topology net30 - пингуется
 убунта, topology subnet - пингуется

Если вам так уж необходимо, чтобы в выводе ifconfig показывалась
маска сети /24, и всё работало, укажите там:
# ifconfig tun0 inet 192.168.89.1 broadcast 192.168.89.255
# route add 192.168.89.0/24 -iface tun0

А так, это ж point-to-point интерфейс, тут вообще всё это неважно.

-- 
WBR, Andrey V. Elsukov

Re: [freebsd] nginx on openvpn's tun interface

2014-10-27 Пенетрантность Andrey V. Elsukov 
On 27.10.2014 16:44, Anton Sayetsky wrote:
 Спасибо, кэп. Понять, почему = Найти, а потом исправить проблему.
 Сейчас ещё на 10.1 проверю, а позже на 9.3

Там будет так же.

-- 
WBR, Andrey V. Elsukov

Re[2]: [freebsd] ping: cannot resolve freebsd.org: Host name lookup failure

2014-09-27 Пенетрантность Andrey 
Хм странно щас нормально все стало. 

 
 --- Исходное сообщение ---
 От кого: Vladislav V. Prodan ad...@support.od.ua
 Дата: 26 сентября 2014, 23:56:49
  


 
 
 
 
 2014-09-26 23:35 GMT+03:00 Andrey ss25_sat...@ukr.net:
 freebsd.org

 
 cat /etc/resolv.conf
 
 
 
 -- 
 Vladislav V. Prodan
 System  Network Administrator
 support.od.ua

[freebsd] ping: cannot resolve freebsd.org: Host name lookup failure

2014-09-26 Пенетрантность Andrey 
Кто хостится у фашистов у всех так ?

root@veld:/usr/ports # traceroute 8.8.178.110
traceroute to 8.8.178.110 (8.8.178.110), 64 hops max, 40 byte packets
 1  static.225.4.40.188.clients.your-server.de (188.40.4.225)  1.299 ms  1.418 
ms  0.893 ms
 2  hos-tr3.juniper3.rz12.hetzner.de (213.239.236.97)  1.038 ms
hos-tr2.juniper3.rz10.hetzner.de (213.239.236.81)  0.444 ms
hos-tr4.juniper3.rz12.hetzner.de (213.239.236.113)  0.434 ms
 3  core21.hetzner.de (213.239.245.101)  0.439 ms
core22.hetzner.de (213.239.245.141)  0.484 ms
core21.hetzner.de (213.239.245.101)  0.472 ms
 4  core12.hetzner.de (213.239.245.214)  3.108 ms
core11.hetzner.de (213.239.245.221)  3.154 ms
core11.hetzner.de (213.239.245.225)  3.105 ms
 5  juniper4.rz2.hetzner.de (213.239.245.26)  4.197 ms  2.931 ms
juniper4.rz2.hetzner.de (213.239.203.138)  2.964 ms
 6  te0-0-2-1.nr11.b040138-0.nue01.atlas.cogentco.com (149.6.158.9)  3.780 ms
te0-0-1-2.nr11.b040138-0.nue01.atlas.cogentco.com (149.6.158.21)  3.714 ms
te0-0-2-0.nr11.b040138-0.nue01.atlas.cogentco.com (149.6.158.5)  4.480 ms
 7  154.25.2.117 (154.25.2.117)  4.285 ms
te0-2-0-5.rcr21.nue01.atlas.cogentco.com (154.25.0.13)  4.092 ms
154.25.2.117 (154.25.2.117)  4.363 ms
 8  be2270.ccr22.muc01.atlas.cogentco.com (154.54.37.218)  6.393 ms
be2279.ccr21.muc01.atlas.cogentco.com (154.54.37.146)  6.139 ms
be2270.ccr22.muc01.atlas.cogentco.com (154.54.37.218)  6.412 ms
 9  be2228.ccr41.fra03.atlas.cogentco.com (154.54.38.49)  11.902 ms
be2229.ccr42.fra03.atlas.cogentco.com (154.54.38.57)  11.956 ms
be2228.ccr41.fra03.atlas.cogentco.com (154.54.38.49)  11.661 ms
10  be2262.ccr42.ams03.atlas.cogentco.com (154.54.37.33)  18.662 ms
be2261.ccr41.ams03.atlas.cogentco.com (154.54.37.29)  18.475 ms
be2262.ccr42.ams03.atlas.cogentco.com (154.54.37.33)  18.520 ms
11  be2182.ccr21.lpl01.atlas.cogentco.com (154.54.77.246)  28.112 ms
be2183.ccr22.lpl01.atlas.cogentco.com (154.54.58.69)  28.229 ms
be2182.ccr21.lpl01.atlas.cogentco.com (154.54.77.246)  28.458 ms
12  be2385.ccr22.ymq02.atlas.cogentco.com (154.54.44.141)  98.467 ms
be2384.ccr21.ymq02.atlas.cogentco.com (154.54.44.137)  98.478 ms
be2385.ccr22.ymq02.atlas.cogentco.com (154.54.44.141)  97.783 ms
13  be2090.ccr21.yyz02.atlas.cogentco.com (154.54.30.205)  105.864 ms
be2093.ccr22.yyz02.atlas.cogentco.com (154.54.44.105)  105.945 ms
be2090.ccr21.yyz02.atlas.cogentco.com (154.54.30.205)  105.732 ms
14  be2080.ccr42.ord01.atlas.cogentco.com (154.54.42.5)  117.963 ms
be2079.ccr41.ord01.atlas.cogentco.com (154.54.27.181)  120.005 ms
be2080.ccr42.ord01.atlas.cogentco.com (154.54.42.5)  119.016 ms
15  be2156.ccr21.mci01.atlas.cogentco.com (154.54.6.85)  131.100 ms
be2157.ccr22.mci01.atlas.cogentco.com (154.54.6.117)  131.639 ms
be2156.ccr21.mci01.atlas.cogentco.com (154.54.6.85)  130.377 ms
16  be2133.ccr22.sfo01.atlas.cogentco.com (154.54.30.65)  168.097 ms
be2132.ccr21.sfo01.atlas.cogentco.com (154.54.30.53)  170.128 ms
be2133.ccr22.sfo01.atlas.cogentco.com (154.54.30.65)  168.630 ms
17  be2164.ccr21.sjc01.atlas.cogentco.com (154.54.28.34)  169.903 ms
be2165.ccr22.sjc01.atlas.cogentco.com (154.54.28.66)  169.749 ms
be2164.ccr21.sjc01.atlas.cogentco.com (154.54.28.34)  171.065 ms
18  be2233.ccr22.sjc03.atlas.cogentco.com (154.54.0.170)  170.564 ms
be2232.ccr22.sjc03.atlas.cogentco.com (154.54.0.154)  169.953 ms
be2047.ccr21.sjc03.atlas.cogentco.com (154.54.5.114)  171.815 ms
19  te4-2.mag01.sjc03.atlas.cogentco.com (154.54.82.94)  169.841 ms
te4-1.mag01.sjc03.atlas.cogentco.com (154.54.82.90)  169.933 ms
te4-2.mag01.sjc03.atlas.cogentco.com (154.54.82.94)  169.514 ms
20  yahoo.sjc03.atlas.cogentco.com (154.54.12.158)  228.709 ms
yahoo.sjc03.atlas.cogentco.com (154.54.13.38)  230.056 ms  229.081 ms
21  bgp1-ext.ysv.freebsd.org (216.115.101.227)  229.815 ms  229.828 ms  229.619 
ms
22  8.8.178.93 (8.8.178.93)  229.923 ms  229.479 ms  230.975 ms
23  8.8.178.110 (8.8.178.110)  230.774 ms  229.568 ms  229.920 ms
root@veld:/usr/ports # ping freebsd.org
ping: cannot resolve freebsd.org: Host name lookup failure
root@veld:/usr/ports #

Re[2]: [freebsd] Не хочет обновлятся.

2014-09-16 Пенетрантность Andrey 
Оно у меня работало с релиза 10ки и неожиданно перестало. Подумал мол временно 
подождал, а нет не судьба. 

 
 --- Исходное сообщение ---
 От кого: George L. Yermulnik y...@yz.kiev.ua
 Дата: 15 сентября 2014, 23:56:08
  


 Hello!
 
 On Mon, 15 Sep 2014 at 21:40:53 (+0300), Anton Sayetsky wrote:
 
  Ну, тут просто логично всё - прочесть доку да сделать так, как
  написано там. Что-то вроде загрузки GENERIC вместо кастомного ядра. А
  в той доке и написано - не гарантируем доступность мастер-сервера,
  т.е. админ его может просто так закрыть доступ по любому протоколу для
  кого угодно, и претензии приниматься не будут.
 
 Так топикстартер, как мне показалось, претензий и не предъявлял. А
 спросил, грубо говоря, чё делать. Показали бы на примере, что http
 работает на официальных зеркалах.
 
  15 сентября 2014 г., 21:31 пользователь Vasiliy P. Melnik
  ba...@vpm.net.ua написал:
   Антон, Вы сегодня в ударе :)
 
   Можно по русски написать, а не загадками.
 
 -- 
 George L. Yermulnik
 [YZ-RIPE]

[freebsd] Не хочет обновлятся.

2014-09-15 Пенетрантность Andrey 
Пробую обновится, а не пускает.

root@veld:/usr/src # svnlite info
Path: .
Working Copy Root Path: /usr/src
URL: http://svn.freebsd.org/base/releng/10.0
Relative URL: ^/releng/10.0
Repository Root: http://svn.freebsd.org/base
Repository UUID: ccf9f872-aa2e-dd11-9fc8-001c23d0bc1f
Revision: 268016
Node Kind: directory
Schedule: normal
Last Changed Author: delphij
Last Changed Rev: 267829
Last Changed Date: 2014-06-24 21:05:08 +0200 (Tue, 24 Jun 2014)

root@veld:/usr/src # svnlite up
Updating '.':
svn: E13: Unable to connect to a repository at URL 
'http://svn.freebsd.org/base/releng/10.0'
svn: E13: Error running context: Permission denied

root@veld:/usr/src # fetch  http://svn.freebsd.org/base/releng/10.0
10.0  100% of 1350  B 6400 kBps 00m00s
root@veld:/usr/src # cat 10.0
htmlheadtitlebase - Revision 271614: /releng/10.0/title/head
body
 h2base - Revision 271614: /releng/10.0/h2
 ul
  lia href=../../a/li
  lia href=COPYRIGHTCOPYRIGHT/a/li
  lia href=LOCKSLOCKS/a/li
  lia href=MAINTAINERSMAINTAINERS/a/li
  lia href=MakefileMakefile/a/li
  lia href=Makefile.inc1Makefile.inc1/a/li
  lia href=ObsoleteFiles.incObsoleteFiles.inc/a/li
  lia href=READMEREADME/a/li
  lia href=UPDATINGUPDATING/a/li
  lia href=bin/bin//a/li
  lia href=cddl/cddl//a/li
  lia href=contrib/contrib//a/li
  lia href=crypto/crypto//a/li
  lia href=etc/etc//a/li
  lia href=games/games//a/li
  lia href=gnu/gnu//a/li
  lia href=include/include//a/li
  lia href=kerberos5/kerberos5//a/li
  lia href=lib/lib//a/li
  lia href=libexec/libexec//a/li
  lia href=release/release//a/li
  lia href=rescue/rescue//a/li
  lia href=sbin/sbin//a/li
  lia href=secure/secure//a/li
  lia href=share/share//a/li
  lia href=sys/sys//a/li
  lia href=tools/tools//a/li
  lia href=usr.bin/usr.bin//a/li
  lia href=usr.sbin/usr.sbin//a/li
 /ul
/body/htmlroot@veld:/usr/src #

Re: [freebsd] Re: [freebsd] Re: [freebsd] Не хочет обновлятся.

2014-09-15 Пенетрантность Andrey 
спс. Заработало только через svn:// и то только после того как удалил все сорцы 
и порты.

 
 --- Исходное сообщение ---
 От кого: Anton Sayetsky vsj...@gmail.com
 Дата: 15 сентября 2014, 20:56:54
  


 Вдогонку:
 
 The master FreeBSD Subversion server, svn.FreeBSD.org, is publicly
 accessible, read-only. That may change in the future, so users are
 encouraged to use one of the official mirrors.
 
 Смысл последней части второго предложения, надеюсь, понятен? ;-)
 
 15 сентября 2014 г., 20:54 пользователь Anton Sayetsky
 vsj...@gmail.com написал:
  Никто до сих пор не догадался прочесть официальную документацию?
 
  NameProtocolsLocationSSL fingerprint
  svn0.us-west.FreeBSD.orgsvn, http, httpsUSA, CaliforniaSHA1
  1C:BD:85:95:11:9F:EB:75:A5:4B:C8:A3:FE:08:E4:02:73:06:1E:61
  svn0.us-east.FreeBSD.orgsvn, http, https, rsyncUSA, New JerseySHA1
  1C:BD:85:95:11:9F:EB:75:A5:4B:C8:A3:FE:08:E4:02:73:06:1E:61
  svn0.eu.FreeBSD.orgsvn, http, https, rsyncEurope, UKSHA1
  39:B0:53:35:CE:60:C7:BB:00:54:96:96:71:10:94:BB:CE:1C:07:A7
 
  jason@jnb:~$ host svn.freebsd.org
  svn.freebsd.org has address 8.8.178.70
  svn.freebsd.org has IPv6 address 2001:1900:2254:2068::e6a:0
  svn.freebsd.org mail is handled by 0 .
  jason@jnb:~$ host svn0.us-west.freebsd.org
  svn0.us-west.freebsd.org is an alias for svnmir.ysv.freebsd.org.
  svnmir.ysv.freebsd.org has address 8.8.178.107
  svnmir.ysv.freebsd.org has IPv6 address 2001:1900:2254:206a::e6a:0
  svnmir.ysv.freebsd.org mail is handled by 0 .
  jason@jnb:~$ host svn0.us-east.freebsd.org
  svn0.us-east.freebsd.org is an alias for svnmir.nyi.freebsd.org.
  svnmir.nyi.freebsd.org has address 96.47.72.118
  svnmir.nyi.freebsd.org has IPv6 address 2610:1c1:1:6300::4006:1
  svnmir.nyi.freebsd.org mail is handled by 0 .
  jason@jnb:~$ host svn0.eu.freebsd.org
  svn0.eu.freebsd.org is an alias for svnmir.bme.freebsd.org.
  svnmir.bme.freebsd.org has address 213.138.116.72
  svnmir.bme.freebsd.org has IPv6 address 2001:41c8:112:8300::e6a:0
  svnmir.bme.freebsd.org mail is handled by 0 .
 
  15 сентября 2014 г., 20:49 пользователь Vasiliy P. Melnik
  ba...@vpm.net.ua написал:
   Правда, ТС юзает HTTP, да и вообще - в хендбуке всё написано.
 
 
  да, оказывается так тоже работает.
 
 
 
  Какими-то полунамёками Вы пишите... Это идейная позиция?
 
 
  Та я вот тоже смотрю, но у меня подозрение что кто-то из них пишет в личку,
  а второй отвечает в рассылку.

Re: [freebsd] Несерьезный Вопрос

2014-08-18 Пенетрантность Andrey Marshalenko 
Добрый день.

Если у вас почта в формате mbox, тогда:

man mail

-u user
 Is equivalent to:

   mail -f /var/mail/user


18.08.2014 14:29, Evgenii Fedorov пишет:
 Добрый день. 
 Установил POSTFIX+DOVECOT. 
 Как теперь мне читать почту в терминале через программу mail???
 $ mail
 No mail for admin
 --

Re: [freebsd] Несерьезный Вопрос

2014-08-18 Пенетрантность Andrey Marshalenko 
Используйте консольный MUA.
Например:
/usr/ports/mail/mutt/
Или
/usr/ports/mail/alpine/


18.08.2014 14:45, Evgenii Fedorov пишет:

 У меня maildir почта хранится в /var/vmail/my-domain.com/username
 http://my-domain.com/username

 Добрый день.

 Если у вас почта в формате mbox, тогда:

 man mail

 -u user
  Is equivalent to:

mail -f /var/mail/user


 18.08.2014 14:29, Evgenii Fedorov пишет:
  Добрый день.
  Установил POSTFIX+DOVECOT.
  Как теперь мне читать почту в терминале через программу mail???
  $ mail
  No mail for admin
 
 --
 


-- 
С уважением,
Andrey Marshalenko.
System  Network Administrator
AM1000-UANIC
mailto: marsh...@marshall.kiev.ua
tel (mob) +380676574197
Skype: marshalenko

Re: [freebsd] Re: [freebsd] Re: [freebsd] Перезапись gpart разделов и последующее их восстановление, как?

2014-08-18 Пенетрантность Andrey V. Elsukov 
On 18.08.2014 17:16, Vladislav V. Prodan wrote:
 Я уже писал в начале - это тестовые виртуалки с  7ГБ  данных
 Сервера имеют или 1 SSD на 120Гб или 1-2 HDD на 500ГБ-1ТБ.
 B поэтому сделать dd всего диска очень проблематично.
 -b 34 - это для винтов с секторами 512 байт
 -b 40 - это смещение для винтов с секторами 4000 байт
 размер freebsd-boot   может быть от 64K до 512K

gpart(8) в состоянии автоматически определить смещение начала раздела.
При указании -a 4k он сам выберет подходящее смещение. К тому же, если
системе известно, что диск с 4к секторами, то даже -a не нужно указывать
(*).

* http://bu7cher.blogspot.ru/2011/06/gpart.html
-- 
WBR, Andrey V. Elsukov



signature.asc
Description: OpenPGP digital signature

Re: [freebsd] Re: [freebsd] Re: [freebsd] Перезапись gpart разделов и последующее их восстановление, как?

2014-08-18 Пенетрантность Andrey V. Elsukov 
On 18.08.2014 17:12, Vladislav V. Prodan wrote:
 
 18 августа 2014 г., 7:05 пользователь Andrey V. Elsukov
 bu7c...@yandex.ru mailto:bu7c...@yandex.ru написал:
 
 Если данные не пропали после dd, то gpart destroy с ними тоже ничего не
 сделает.
 
 
 А другие варианты залить MfsBSD.img в первые два слайса и не потерять
 третий слайс с данными?

Во можете записать этот образ в своп,  затем поменять тип freebsd-swap
раздела на freebsd-ufs, записать в freebsd-boot раздел образ
загрузочного кода gptboot. Теоретически должно загрузиться. Конечно, в
образе находится не UFS раздел, а bsdlabel с разделом, но кажется это не
должно вызвать проблем.
После этих манипуляций вернуть обратно gptzfsboot и тип freebsd-swap.

Но, как я уже сказал, если сохранить все смещения без изменений, данные
на разделах никуда не денутся.
Есть одно НО с полным пересозданием таблицы разделов. На сколько я
помню, в 11-ой фре слегка поменяли код поддержки GPT и теперь
по-умолчанию резервируется не 34 сектора под таблицу разделов, а
бОльшее количество, чтобы быть кратным 4к секторам. Это может вызвать
проблемы при пересоздании - резервная таблица откушает больше секторов в
конце диска.

-- 
WBR, Andrey V. Elsukov



signature.asc
Description: OpenPGP digital signature

Re: [freebsd] Перезапись gpart разделов и последующее их восстановление, как?

2014-08-17 Пенетрантность Andrey V. Elsukov 
On 17.08.2014 04:06, Vladislav V. Prodan wrote:
 Перегружаем VM1
 Логинимся  в VM1 и видим:
 
 # gpart show
 =   0  16777216  ada0  BSD  (8.0G)
  016- free -  (8.0K)
 16 83952 1  !0  (41M)
  83968  16693248- free -  (8.0G)
 
 =   0  16777216  diskid/DISK-VBab59de7b-778e8846  BSD  (8.0G)
  016   - free -  (8.0K)
 16 839521  !0  (41M)
  83968  16693248   - free -  (8.0G)
 
 Удаляем  диск с MfsBSD 
 # gpart delete -i 1 ada0
 
 И дальше уже не получается восстановить старые разделы
 
 # gpart add -b 34 -s 128 -t freebsd-boot -a 4k -l boot-ada0 ada0
 gpart: Invalid argument

BSD схема не поддерживает метки. Вам нужно использовать не `gpart
delete`, а `gpart destroy -F ada0`. После чего пересоздать таблицу
разделов и нужные разделы.

-- 
WBR, Andrey V. Elsukov



signature.asc
Description: OpenPGP digital signature

Re: [freebsd] Re: [freebsd] Перезапись gpart разделов и последующее их восстановление, как?

2014-08-17 Пенетрантность Andrey V. Elsukov 
On 18.08.2014 06:03, Vladislav V. Prodan wrote:
  # gpart add -b 34 -s 128 -t freebsd-boot -a 4k -l boot-ada0 ada0
  gpart: Invalid argument
 
 BSD схема не поддерживает метки. Вам нужно использовать не `gpart
 delete`, а `gpart destroy -F ada0`. После чего пересоздать таблицу
 разделов и нужные разделы.
 
 --
 WBR, Andrey V. Elsukov
 
 
 Так пропадут данные на 3-ем слайсе
2099200  14677983 3  freebsd-zfs  (7.0G)
 Их-то и не хочется терять :(

Если данные не пропали после dd, то gpart destroy с ними тоже ничего не
сделает.


-- 
WBR, Andrey V. Elsukov



signature.asc
Description: OpenPGP digital signature

Re: [freebsd] ipfw и несколько GRE сессий

2014-08-05 Пенетрантность Andrey V. Elsukov 
On 05.08.2014 12:13, Alexander Bolshakov wrote:
 Добрый день сообществу.
 
 Помнится, была проблема когда-то. Сегодня наткнулся снова на неё. Есть
 роутер в офисе на FreeBSD 7.3-PRERELEASE.
 
 kldstat:
  22 0xc07ec000 ec4c ipfw.ko
  31 0xc07fb000 738c if_rl.ko
  42 0xc0803000 25110miibus.ko
  81 0xc0862000 3e40 ipfw_nat.ko
  92 0xc0866000 9ccc libalias.ko
 net.inet.ip.fw.one_pass: 1

Попробуйте сделать kldload alias_pptp.

-- 
WBR, Andrey V. Elsukov

Re: [freebsd] [beer] C праздником всех!

2014-07-26 Пенетрантность Andrey 
Бокальчик за ковбоев клавиатуры.

 
 --- Исходное сообщение ---
 От кого: Vladislav V. Prodan ad...@support.od.ua
 Дата: 26 июля 2014, 14:50:42
  


 
 
 Сабж.
 
 
 -- 
 Vladislav V. Prodan
 System  Network Administrator
 support.od.ua

Re: [freebsd] Mac через FreeBSD.

2014-07-16 Пенетрантность Andrey Marshalenko 

Добрый день.

У меня была похожая проблема.
NAT у меня построен на PF.
Полечил обновлением OSX до последней версии (10.9.4)

Вот что они пишут:

http://support.apple.com/kb/HT6281


About the update

The OS X Mavericks 10.9.4 Update is recommended for all Mavericks users. 
It improves the stability, compatibility, and security of your Mac.


This update:

Fixes an issue that prevented some Macs from automatically connecting to 
known Wi-Fi networks
Fixes issue causing the background or Apple logo to appear incorrectly 
on startup

Improves the reliability of waking from sleep
Includes Safari 7.0.5



16.07.2014 10:51, Taras Heychenko пишет:

 Hi!
Дома в качестве раутера и wifi точки доступа стоит фря FreeBSD 9.3-PRERELEASE.
Раздает по dhcp адреса из 10-й сетки различным дивайсам дома и выполняет NAT с
помощью ipfw divert. Одним из дивайсов, который пользуется подключением бывает 
Mac
book. После недавнего обновления системы начались странности с подключением. При
включении мака получает адрес, некоторое время работает, а потом интернет 
пропадает.
Т.е. wifi подключение есть, ssh’ем на сервер зайти могу. С сервера интернет 
присутствует, но
с мака наружу выйти браузером не получается — ssh’ем наружу не пробовал. 
Помогает
погасить на маке wifi и включить опять. Есть предположение, что забиваются 
какие-то
буфера NAT’а, и из-за этого возникает такая ситуация. Не подскажет ли 
многоуважаемый
джин”, какие параметры могут влиять на такое поведение?

Re[2]: [freebsd] Сделал замеры по сабжу load averages: 0.87, 0.50, 0.25 при почти 100% idle

2014-07-16 Пенетрантность Andrey 


 
 --- Исходное сообщение ---
 От кого: Eugene Grosbein eu...@grosbein.net
 Дата: 16 июля 2014, 08:45:42
  


 Вывод sysctl kern.timecounter и sysctl kerm.eventtimer в студию.
 
root@veld:/home/ss25 # sysctl kern.timecounter
kern.timecounter.tc.HPET.mask: 4294967295
kern.timecounter.tc.HPET.counter: 2933861543
kern.timecounter.tc.HPET.frequency: 1
kern.timecounter.tc.HPET.quality: 950
kern.timecounter.tc.ACPI-fast.mask: 16777215
kern.timecounter.tc.ACPI-fast.counter: 8474265
kern.timecounter.tc.ACPI-fast.frequency: 3579545
kern.timecounter.tc.ACPI-fast.quality: 900
kern.timecounter.tc.i8254.mask: 65535
kern.timecounter.tc.i8254.counter: 46233
kern.timecounter.tc.i8254.frequency: 1193182
kern.timecounter.tc.i8254.quality: 0
kern.timecounter.tc.TSC-low.mask: 4294967295
kern.timecounter.tc.TSC-low.counter: 425365442
kern.timecounter.tc.TSC-low.frequency: 1650055266
kern.timecounter.tc.TSC-low.quality: 800
kern.timecounter.stepwarnings: 0
kern.timecounter.alloweddeviation: 5
kern.timecounter.hardware: HPET
kern.timecounter.choice: TSC-low(800) i8254(0) ACPI-fast(900) HPET(950) 
dummy(-100)
kern.timecounter.tick: 1
kern.timecounter.fast_gettime: 1
kern.timecounter.invariant_tsc: 0
kern.timecounter.smp_tsc: 0
kern.timecounter.smp_tsc_adjust: 0
kern.timecounter.tsc_shift: 1


root@veld:/home/ss25 # sysctl kern.eventtimer
kern.eventtimer.et.LAPIC.flags: 15
kern.eventtimer.et.LAPIC.frequency: 56016
kern.eventtimer.et.LAPIC.quality: 400
kern.eventtimer.et.RTC.flags: 17
kern.eventtimer.et.RTC.frequency: 32768
kern.eventtimer.et.RTC.quality: 0
kern.eventtimer.et.i8254.flags: 1
kern.eventtimer.et.i8254.frequency: 1193182
kern.eventtimer.et.i8254.quality: 100
kern.eventtimer.choice: LAPIC(400) i8254(100) RTC(0)
kern.eventtimer.singlemul: 2
kern.eventtimer.idletick: 0
kern.eventtimer.timer: LAPIC
kern.eventtimer.periodic: 0



еще ядро вот с таким лпциями собрано в дополнение к GENERIC
options IPFIREWALL  # firewall
options IPFIREWALL_VERBOSE  # enable logging to syslogd(8)
options IPDIVERT
options DUMMYNET

options IPFIREWALL_DEFAULT_TO_ACCEPT

options IPFIREWALL_NAT
options LIBALIAS
options ROUTETABLES=2
options HZ=1000

options NETGRAPH
options NETGRAPH_ETHER
options NETGRAPH_SOCKET
options NETGRAPH_TEE
#options NETGRAPH_MPPC_ENCRYPTION
#options NETGRAPH_MPPC_COMPRESSION
options NETGRAPH_BPF
options NETGRAPH_IFACE
options NETGRAPH_KSOCKET
options NETGRAPH_PPP
options NETGRAPH_PPTPGRE
options NETGRAPH_TCPMSS
options NETGRAPH_VJC
options NETGRAPH_ONE2MANY
options NETGRAPH_RFC1490
options NETGRAPH_TTY
options NETGRAPH_UI

options AUDIT

Re[2]: [freebsd] Сделал замеры по сабжу load averages: 0.87, 0.50, 0.25 при почти 100% idle

2014-07-16 Пенетрантность Andrey 
что за баг ?

 
 --- Исходное сообщение ---
 От кого: Eugene Grosbein eu...@grosbein.net
 Дата: 16 июля 2014, 13:51:33
  


 On 16.07.2014 17:48, Sergey V. Dyatko wrote:
 
  Нужно попробовать отключить HPET для kern.timecounter.hardware,
  поставить вместо него ACPI-fast или другие варианты и при каждом изменении
  выжидать минут 5 и смотреть, меняется ли load average.
 
  
  ну я ж тебе вчера в irc писал, что не помогает оно (мне). почти уверен,
  почему-то, что оно не поможет и ТС;)
 
 А в том баге в багзилле, что вчера в irc цитировал, тамошнему ТС помогло.

[freebsd] Сделал замеры по сабжу load averages: 0.87, 0.50, 0.25 при почти 100% idle

2014-07-15 Пенетрантность Andrey 
last pid: 44827;  load averages:  0.68,  0.25,  0.21
  up 15+07:23:54  21:11:16
30 processes:  1 running, 29 sleeping
CPU:  0.0% user,  0.0% nice,  0.0% system,  0.0% interrupt,  100% idle
Mem: 18M Active, 349M Inact, 99M Wired, 6792K Cache, 59M Buf, 14M Free
Swap: 1024M Total, 47M Used, 976M Free, 4% Inuse
 Command not understood
  PID USERNAMETHR PRI NICE   SIZERES STATETIMEWCPU COMMAND
  890 root  1  200 10128K   504K nanslp   7:20   0.00% cron
  882 mysql 2  200 30224K 12904K sigwai   4:56   0.00% mysqld
27116 root 24 -52   r0 39888K 24452K select   3:30   0.00% 
teamspeak_server
23355 root  1  40   20   124M  3884K kqread   0:38   0.00% php-fpm
  757 www   1  200 13268K  1240K kqread   0:31   0.00% nginx
  746 pgsql 1  200 46044K  1700K select   0:25   0.00% postgres
  745 pgsql 1  200 84432K  1836K select   0:23   0.00% postgres
  738 pgsql 1  200 84432K  1688K select   0:16   0.00% postgres
  883 root  1  200 12864K  1468K select   0:15   0.00% sendmail
  743 pgsql 1  200 84432K  1612K select   0:08   0.00% postgres
  760 bind  4  200 38388K  7224K kqread   0:07   0.00% named
  744 pgsql 1  200 84432K  1592K select   0:07   0.00% postgres
  633 root  1   10 10092K   884K select   0:02   0.00% syslogd
  742 pgsql 1  200 84432K  1772K select   0:01   0.00% postgres
  483 root  1  200  9380K   376K select   0:00   0.00% devd
  886 smmsp 1  200 12864K   908K pause0:00   0.00% sendmail
  875 root  1  200 14816K  1100K select   0:00   0.00% sshd
  739 pgsql 1  200 46044K  1540K select   0:00   0.00% postgres
44815 root  1  210 17576K  5236K select   0:00   0.00% sshd
44820 ss25  1  250 10860K  2708K pause0:00   0.00% csh
44824 root  1  210 10860K  2848K pause0:00   0.00% csh
44823 ss25  1  210 10588K  1980K wait 0:00   0.00% su
44819 ss25  1  200 17576K  5236K select   0:00   0.00% sshd
44826 root  1  200 11236K  2016K RUN  0:00   0.00% top
  767 mysql 1  520 10472K 0K wait 0:00   0.00% sh
  654 root  1  520 10116K 0K auditd   0:00   0.00% auditd
  922 root  1  200 10584K   856K select   0:00   0.00% ftpd
  931 root  1  520 10080K   692K ttyin0:00   0.00% getty
  755 root  1  200 13268K 0K pause0:00   0.00% nginx
27115 root  1  230 10060K 0K sigwai   0:00   0.00% daemon


IO


last pid: 44833;  load averages:  0.26,  0.22,  0.20
  up 15+07:25:21  21:12:43
30 processes:  1 running, 29 sleeping
CPU:  0.0% user,  0.0% nice,  0.0% system,  0.0% interrupt,  100% idle
Mem: 18M Active, 349M Inact, 99M Wired, 6780K Cache, 60M Buf, 14M Free
Swap: 1024M Total, 47M Used, 976M Free, 4% Inuse

  PID USERNAME VCSW  IVCSW   READ  WRITE  FAULT  TOTAL PERCENT COMMAND
  890 root0  0  0  0  0  0   0.00% cron
  882 mysql   0  0  0  0  0  0   0.00% mysqld
27116 root  330  0  0  0  0  0   0.00% 
teamspeak_server
23355 root3  0  0  0  0  0   0.00% php-fpm
  757 www 0  0  0  0  0  0   0.00% nginx
  746 pgsql   0  0  0  0  0  0   0.00% postgres
  745 pgsql   0  0  0  0  0  0   0.00% postgres
  738 pgsql   0  0  0  0  0  0   0.00% postgres
  883 root1  0  0  0  0  0   0.00% sendmail
  743 pgsql   2  0  0  0  0  0   0.00% postgres
  760 bind0  0  0  0  0  0   0.00% named
  744 pgsql   1  0  0  0  0  0   0.00% postgres
  633 root0  0  0  0  0  0   0.00% syslogd
  742 pgsql   0  0  0  0  0  0   0.00% postgres
  483 root0  0  0  0  0  0   0.00% devd
  886 smmsp   0  0  0  0  0  0   0.00% sendmail
  875 root0  0  0  0  0  0   0.00% sshd
  739 pgsql   0  0  0  0  0  0   0.00% postgres
44815 root0  0  0  0  0  0   0.00% sshd
44820 ss250  0  0  0  0  0   0.00% csh
44826 root2  0  0  0  0  0   0.00% top
44824 root0  0  0  0  0  0   0.00% csh
44823 ss250  0  0  0  0  0   0.00% su
44819 ss252  2  0  0  0  0   0.00% sshd
  767 mysql   0  0  0  0  0  0   0.00% sh
  654 root0  0  0  0  0

[freebsd] load averages: 0.87, 0.50, 0.25 при почти 100% idle

2014-07-13 Пенетрантность Andrey 
Привет.
Не пойму почему такой load average.
Это из за соседей?


VDS хостится в Hetzner.
uname -a
FreeBSD 10.0-RELEASE-p6 #0 r268016:

Re: [freebsd] FreeBSD on KVM virtualization

2014-03-28 Пенетрантность Andrey Voitenkov 

On 28.03.2014 13:20, skele...@lissyara.su wrote:

Планируется брать VPS (основан на KVM виртуализации) и на нём
организовывать шлюз для нескольких других VPS (что бы не выставлять все
сервера наружу). Поэтому вопросы

- нормально ли работает FreeBSD (планирую ставить 9.2 amd64) на KVM'e?
- можно ли полноценно использовать файервол (pf), подгрузка модулей ядра
(tun/tap), изменение sysctl?
- может они знают какие-то ограничения на FreeBSD?


Нормально работает. Лет пять уже точно.
virtio_blk очень советую, если 9.2 ставить. Сеть virtio не пробовал еще.

--
mccloud@

Re: [freebsd] Формат сетей в таблицах ipfw в 10-ке

2014-03-27 Пенетрантность Andrey V. Elsukov 
On 27.03.2014 11:35, Boris Samorodov wrote:
 я не понял, ты на POSIX псишь?
 http://pubs.opengroup.org/onlinepubs/009695399/functions/inet_addr.html
 
 Я говорю, что, как мне кажется, в head это работает так же.

Привет,

я имел ввиду, что в head/ попытка добавления такой записи в таблицу не
приводит к некорректному результату:

% sudo ipfw table 1 add 177.204/14
ipfw: Invalid IPv4 address: 177.204

-- 
WBR, Andrey V. Elsukov

Re: [freebsd] Re: [freebsd] Re: [freebsd] Формат сетей в таблицах ipfw в 10-ке

2014-03-26 Пенетрантность Andrey V. Elsukov 
On 24.03.2014 23:31, Vladislav V. Prodan wrote:
 jason@jnb:~$ ping 177.204
 PING 177.204 (177.0.0.204): 56 data bytes
 ^C
 --- 177.204 ping statistics ---
 3 packets transmitted, 0 packets received, 100.0% packet loss

 А PR точно писать, если не работает.

Это уже исправлено в head/. Просто у кого-то нет времени сделать MFC :)

-- 
WBR, Andrey V. Elsukov

[freebsd] Непонятная активность

2014-02-22 Пенетрантность Andrey 
Здравствуйте 

sockstat -4
??  ? ?  tcp4   78.47.ххх.ххх:50496176.227.195.122:1935

и таких около 20 штук в выводе.

Это заразу подкинули ?
Как найти и убить?

uname: FreeBSD 10.0-RELEASE #0 r261721

Re[2]: [freebsd] VPS/VDS с FreeBSD 10 в Европе

2014-02-10 Пенетрантность Andrey 
загрузился в rescue разбил диск gpart. В исошнике 
FreeBSD-10.0-RELEASE-i386-disc1.iso
 не вижу txz файлов (можно носом ткнуть слепой чето). Если распаковываю исошник 
и правлю fstab чтобы загрузка была с харда то запускается установка которая не 
завершится из за того что она запущена с харда на который надо установить.
 
 --- Исходное сообщение ---
 От кого: Eugene Grosbein eu...@grosbein.net
 Дата: 8 февраля 2014, 23:04:14
  


 On 09.02.2014 00:17, Andrey wrote:
  Предлогает уже кто виртуалки с сабжем? Лизвеб и хетзнер там 9ка.
 
 Hetzner позволяет ставить какую угодно версию FreeBSD, достаточно загрузить
 в rescue mode любую поддерживаемую версию и можно разбить диск gpart'ом,
 скачать на него ISO с ftp.de.freebsd.org (задержка 5ms на пинге)
 и развернуть ISO его на тот же диск вручную, там просто надо txz-файлы 
 растарить.
 
 Я так ставил, прекрасно работает.

Re[2]: [freebsd] VPS/VDS с FreeBSD 10 в Европе

2014-02-10 Пенетрантность Andrey 
спс получилось уже. сюда стоит добавить еще создание resolv.conf для ДНС

 
 --- Исходное сообщение ---
 От кого: Vasiliy P. Melnik ba...@vpm.net.ua
 Дата: 10 февраля 2014, 20:04:54
  


 ну тогда уже так
 
 (1) Удаляем все что было и размечаем
 gpart destory -F ada0
 gpart destory -F ada1
 gpart create -s gpt ada0
 gpart create -s gpt ada1
 gpart add -a 4k -s 128k -t freebsd-boot ada0
 gpart add -a 4k -s 128k -t freebsd-boot ada1
 gpart add -a 4k -s 40g -t freebsd-zfs -l system0 ada0
 gpart add -a 4k -s 40g -t freebsd-zfs -l system1 ada1
 gpart add -a 4k -t freebsd-zfs -l data0 ada0
 gpart add -a 4k -t freebsd-zfs -l data1 ada1
 gpart bootcode -b /boot/pmbr -p /boot/gptzfsboot -i 1 ada0
 gpart bootcode -b /boot/pmbr -p /boot/gptzfsboot -i 1 ada1
 
 (2) Организовать место для для хранения кеша zpool.cache
 mdmfs -s 1m md /boot/zfs
 
 (3) Далее создаем пулы: один для системы, второй - для данных.
 zpool create -O atime=off -O mountpoint=/mnt system mirror /dev/gpt/system*
 zpool create -O atime=off -O mountpoint=legacy data mirror /dev/gpt/data*
 zpool set bootfs=system system
 
 (4)Создаем файл подкачки, подключаем его и отключаем проверку контрольных сумм
 zfs create -V 1GB -o org.freebsd:swap=on -o checksum=off system/swap
 
 (5) Create appropriate filesystems (feel free to improvise!).
 zfs create -p system/usr/local/etc
 zfs create -o compression=on system/usr/ports
 zfs create -o compression=on system/usr/src
 zfs create -p system/var/db/openldap-data
 zfs create -p system/var/named/etc/namedb
 zfs create system/var/empty
 zfs create system/var/log
 zfs create system/var/tmp
 
 (6) Распаковываем систему
 cd /usr/freebsd-dist
 cat base.txz | tar --unlink -xpJf - -C /mnt/
 cat kernel.txz | tar --unlink -xpJf - -C /mnt/
 cat lib32.txz | tar --unlink -xpJf - -C /mnt/
 
 (7) Далее необходимо скопировать кеш zpool-а в установленную систему
 cp /boot/zfs/zpool.cache /mnt/boot/zfs/
 
 (8) Настраиваем будущую систему
 chroot /mnt
 
 ee /etc/rc.conf
 zfs_enable=YES
 
 ee /boot/loader.conf
 zfs_load=YES
 
 ee /etc/fstab
 system / zfs rw 0 0
 
 ee /etc/csh.cshrc
 setenv LANG ru_RU.UTF-8
 
 passwd root
 tzsetup
 
 (9) Unmount everything and fix mountpoints for system boot.
 zfs umount -af
 zfs set mountpoint=legacy system
 zfs set mountpoint=/usr system/usr
 zfs set mountpoint=/var system/var
 zfs set mountpoint=/data data
 
 
 
 10 февраля 2014 г., 19:52 пользователь Eugene Grosbein
 eu...@grosbein.net написал:
  On 11.02.2014 00:43, Vasiliy P. Melnik wrote:
  cd /usr/freebsd-dist
  cat base.txz | tar --unlink -xpJf - -C /mnt/
  cat kernel.txz | tar --unlink -xpJf - -C /mnt/
  cat lib32.txz | tar --unlink -xpJf - -C /mnt/
 
  Не забыть в процессе разбиения прописать загрузчики,
  а после растаривания конфиги типа fstab/rc.conf/что там ещё :-)

[freebsd] DDOS NTPD

2013-12-31 Пенетрантность Andrey 
Заметил в логах последние пару дней пытаюnся долбить NTPD. Никто не сталкивался 
?

Dec 31 14:07:37 ss25 last message repeated 2 times
Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 208.115.216.186:123 
78.47.128.141:123 in via re0
Dec 31 14:07:37 ss25 last message repeated 3 times
Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 212.204.206.33:123 
78.47.128.141:123 in via re0
Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 64.31.16.219:123 
78.47.128.141:123 in via re0
Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 110.55.3.42:123 
78.47.128.141:123 in via re0
Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 64.31.16.219:123 
78.47.128.141:123 in via re0
Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 110.55.3.42:123 
78.47.128.141:123 in via re0
Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 64.31.16.219:123 
78.47.128.141:123 in via re0
Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 64.31.16.219:123 
78.47.128.141:123 in via re0
Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 110.55.3.42:123 
78.47.128.141:123 in via re0
Dec 31 14:07:38 ss25 kernel: ipfw: 2000 Deny UDP 110.55.3.42:123 
78.47.128.141:123 in via re0
Dec 31 14:07:38 ss25 kernel: ipfw: 2000 Deny UDP 212.29.229.9:123 
78.47.128.141:123 in via re0

Re[2]: [freebsd] DDOS NTPD

2013-12-31 Пенетрантность Andrey 
согласен чересчур загнул для ддоса.  в логах это 2е сутки думал мож кто 
сталкивался, а так оно никак не напрягает долбится в закрытый порт.

 
 --- Исходное сообщение ---
 От кого: Slawa Olhovchenkov s...@zxy.spb.ru
 Дата: 31 декабря 2013, 16:36:22
  


 On Tue, Dec 31, 2013 at 03:10:28PM +0200, Andrey wrote:
 
  Заметил в логах последние пару дней пытаюnся долбить NTPD. Никто не 
  сталкивался ?
  
  Dec 31 14:07:37 ss25 last message repeated 2 times
  Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 208.115.216.186:123 
  78.47.128.141:123 in via re0
  Dec 31 14:07:37 ss25 last message repeated 3 times
  Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 212.204.206.33:123 
  78.47.128.141:123 in via re0
  Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 64.31.16.219:123 
  78.47.128.141:123 in via re0
  Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 110.55.3.42:123 
  78.47.128.141:123 in via re0
  Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 64.31.16.219:123 
  78.47.128.141:123 in via re0
  Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 110.55.3.42:123 
  78.47.128.141:123 in via re0
  Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 64.31.16.219:123 
  78.47.128.141:123 in via re0
  Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 64.31.16.219:123 
  78.47.128.141:123 in via re0
  Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 110.55.3.42:123 
  78.47.128.141:123 in via re0
  Dec 31 14:07:38 ss25 kernel: ipfw: 2000 Deny UDP 110.55.3.42:123 
  78.47.128.141:123 in via re0
  Dec 31 14:07:38 ss25 kernel: ipfw: 2000 Deny UDP 212.29.229.9:123 
  78.47.128.141:123 in via re0
 
 эм, а 10 rps нынче относят к _DDOS_? серьезно?

Re: [freebsd] Re: [freebsd] geli и метки разделов диска

2013-11-11 Пенетрантность Andrey V. Elsukov 
On 10.11.2013 20:31, Anton Sayetsky wrote:
 ВАЖНО: Раздел, на который вешается glabel, не должен иметь метки GPT.
 В противном случае glabel появится только после ребута, а в то же
 время GPT-label пропадёт.

Многие GEOM классы от pjd имеют возможность жестко указать имя
используемого провайдера (hardcode providers' names in metadata).
Кажется, что если бы у geli был такой функционал, то это тоже работало бы.

-- 
WBR, Andrey V. Elsukov



signature.asc
Description: OpenPGP digital signature

[freebsd] MPD5 + vpn

2013-07-29 Пенетрантность Andrey Alexeenko 
Здравствуйте.
Имеется FreeBSD 9.0 c IPFW скомпилированным в ядре и установленный MPD5 
(пользователь удаленно подключается и получает адрес).
На FreeBSD 1 сетевой интерфейс который подключен к сети и ему назначен ИП 
выданный провайдером.

Задача подключатся к серверу по VPN и пользоваться интернетом.

Какие службы надо сконфигурировать чтобы можно было пользоваться интернетом 
через установленное соединение?

ifconfig
re0: flags=8843UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST metric 0 mtu 1500
options=9bRXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM
ether 00:1c:14:01:3d:a8
inet 78.47.ххх.ххх netmask 0xfff8 broadcast 78.47.128.143
nd6 options=29PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL
media: Ethernet autoselect (100baseTX full-duplex)
status: active
ipfw0: flags=8801UP,SIMPLEX,MULTICAST metric 0 mtu 65536
nd6 options=29PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL
lo0: flags=8049UP,LOOPBACK,RUNNING,MULTICAST metric 0 mtu 16384
options=3RXCSUM,TXCSUM
inet 127.0.0.1 netmask 0xff00
nd6 options=21PERFORMNUD,AUTO_LINKLOCAL

cat /etc/rc.conf

gateway_enable=YES   #После добавления и сохранения был выполнен /etc/netstart
mpd_enable=YES
.


в конфигурации файрвола есть
${FwCMD} add allow gre from any to any via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 1723 via ${LanOut}

Re[2]: [freebsd] MPD5 + vpn

2013-07-29 Пенетрантность Andrey Alexeenko 
окей. буду пробовать.

 --- Исходное сообщение ---
От кого: Lystopad Aleksandr l...@laa.zp.ua
Дата: 29 июля 2013, 11:44:35

 
 Hello, Andrey Alexeenko!
 
 On Mon, Jul 29, 2013 at 11:40:11AM +0300
 ss25_sat...@ukr.net wrote about [freebsd] MPD5 + vpn:
  Здравствуйте.
  Имеется FreeBSD 9.0 c IPFW скомпилированным в ядре и установленный MPD5 
  (пользователь удаленно подключается и получает адрес).
  На FreeBSD 1 сетевой интерфейс который подключен к сети и ему назначен ИП 
  выданный провайдером.
  
  Задача подключатся к серверу по VPN и пользоваться интернетом.
  
  Какие службы надо сконфигурировать чтобы можно было пользоваться 
  интернетом через установленное соединение?
 
 только нат и маршрутизацию
 остальное -- по желанию.
 
 -- 
 Lystopad Aleksandr

Re[2]: [freebsd] socks5

2013-07-29 Пенетрантность Andrey Alexeenko 
я пользую в связке с Proxifier

 --- Исходное сообщение ---
От кого: Anton Yuzhaninov cit...@citrin.ru
Дата: 29 июля 2013, 19:22:55

 
 On 07/29/13 20:18, Alexander wrote:
 А что - сабж у нас в портах уже не поддерживается? :(
 
 /usr/ports/net/3proxy/ судя по описанию на сайте умеет socks5

Re: [freebsd] perl-after-upgrade

2013-06-27 Пенетрантность Andrey Blochintsev 
Hi!

On Thu, Jun 27, 2013 at 16:09 +0300, Taras Heychenko wrote:

 On 27 июня 2013, at 15:21, Taras Heychenko ta...@academ.kiev.ua wrote:
  
  Обновление модулей, дело конечно нужное и понятное. Но у меня exim и vim не 
  хотели работать из-за невозможности найти libperl.so. Что для меня менее 
  очевидно, чем поиск модулей.
 
 И еще один интересный вопрос. Запустил я portupgrade -rf perl-threaded. 
 Трудился он, трудился, а после чего слетел по ошибке в одном из портов. Я 
 конечно ошибку поправлю. Но запускать заново пересобирать все как-то не 
 хотелось бы? Насколько я понимаю, с такими опциями portupgrade будет таки все 
 зависящее пересобирать. Есть идеи, как можно избежать повторного перебора 
 всего, уже собранного? (Наверное можно отделить пересобранные пакеты по дате 
 модификации соответствующего каталога в /var/db/pkg. Но дальше два списка 
 приводить к одному виду, сравнивать diff'ом и пересобирать непересобранные? 
 Можно, но может есть более простой путь?)


Варианты на выбор:
Добавить ключик -i, и отвечать вручную что пересобирать, а что нет. Много и 
скучно...
Не обламывать portupgrade ВСЮ малину, а потом по финальнму отчету посмотреть, 
что не 
обновилось/сломалось, и в следующий раз делать portupgrade -rf 
то-что-не-обновлялось-в-прошлый-раз.

Re: [freebsd] ntpd ipv6

2013-06-25 Пенетрантность Andrey V. Elsukov 
On 25.06.2013 15:47, Sayetsky Anton wrote:
 25 июня 2013 г., 14:45 пользователь Eugene Grosbein
 eu...@grosbein.net написал:
 Если не нужен IPv6, то и проблему можно просто игнорировать.
 Это понятно, но избавиться б ещё от этих сообщений. ntpd вообще не
 должен даже пытаться лезть на адрес с параметром IFDISABLED.

IFDISABLED это флаг, связанный с интерфейсом, а не с адресом.
Приложение не смотрит на наличие этого флага. Вообще, при IFDISABLED на
интерфейсе, не должен появляться link-local адрес. И вам нужно выяснить
почему он там появляется.

-- 
WBR, Andrey V. Elsukov

Re: [freebsd] [freebsd] Мёртвые PR

2013-06-14 Пенетрантность Andrey V. Elsukov 
On 12.06.2013 20:15, Sayetsky Anton wrote:
 Приветствую, товарищи. Кого пинать, куда писать, дабы воскресили сабж?
 Знаю только для портов - portmgr@.
 
 Список, например:
 o2012/06/29bin/169542gpart(8): partition alignment
 doesn't works on MBR

В MBR используется выравнивание с использованием геометрии диска. Да,
это было актуально лет 15 назад. Но вы всегда можете выравнять свои
разделы используя наименьшее общее кратное от числа секторов в дорожке
диска и того числа, которое вам нужно. Либо выравнивать уже внутри
bsdlabel, что в общем-то и делает gpart.

 f 2012/05/03 kern/167562 pjd [geli] geli cannot use gpt labels in loader.conf
Здесь вы вроде бы нашли решение, вам не нравится, что PR не закрыт? :)

 f 2012/10/23 ports/172975 edwin [patch] misc/zoneinfo: correct description
 o2013/02/19conf/176263make delete-old doesn't honor
 WITHOUT_SYSINSTALL in src.conf
Ну, здесь видимо нужно добавить список файлов в
tools/build/mk/OptionalObsoleteFiles.inc протестировать и прислать патч.

-- 
WBR, Andrey V. Elsukov

Re: [freebsd] На каком уровне работает сжатие в ZFS - блоки, файлы, другое?

2013-04-16 Пенетрантность Andrey N. Oktyabrski 

On 16.04.2013 17:55, Alexey Markov wrote:

EG Пусть приложение пишет в пайп, который читает аналог dd obs=128k :-)

Кстати, не такая уж плохая мысль! Переговорю с разрабами, авось они
сумеют заставить своё приложение плеваться логами в пайп, а не в файл.

Не искали бы вы себе приключений... EG сказал всё правильно:

Или вообще не использовать ZFS.


лог должен быть на UFS, ротация со сжатием - куда угодно.

  1   2   >