?

Log in

No account? Create an account
Примечание
mrbean
khanid
В журнале остались только около it-шные записи сомнительной ценности.
ЖЖ - не торт. Журнал более не ведётся.

OPNsense Обломинго
owls
khanid

На днях обнаружилась неприятная особенность данного дистрибутива.
Он рандомно, иногда, теряет сетевые интерфейсы при перезагрузке системы, что очень неприятно и непонятно. Как минимум в 2 версиях встретился с проблемой, как лечить - непонятно. Самое смешное, что переназначить интерфейсы в системе заново нельзя в таком случае. По одной простой причине. Их нет.

Autoit автокопирование выделенного в блокнот
manul
khanid
Накидал autoit скрипт автокопирования в npp по факту выделения текста LMB.

[Код]


OPNSense
manul
khanid
Перезапускал недавно гостевой доступ к интернетам в организации через wi-fi. Решил делать (как и прежде) на pfSense, но только на версиях поновее. Обнаружил, что поменяли под капотом очень много. Да и сам внешний вид тоже. Что огорчило, поскольку это светило копанием в коде по новой, для прикручивания авторизации (дань непонятному законодательству нашей страны). Между прочим, вспомнил об истоках в виде m0n0wall. Оказалось, что он всё. Поддержка проекта закончилась в пользу других, более развитых. Посмотрел на OPNSense. Сперва запустилось с некоторыми глюками (а где их нет? pf тоже не безгрешен), но потом, когда глюки отступили, я понял, что это то, что я искал. Нужные мне функции работают искаропки: ldap-авторизация, мониторинг шлюза ну и по мелочи. И по производительности всё ОК. В общем, +1 в копилку понравившихся продуктов.

К слову. Офигел ещё с имитации бурной деятельности органов. Не заглядывал в список экстремистских материалов на сайте минюста (отдавал на откуп подшефным). За 2 года они накидали в блок почти столько же материала, сколько там висело за 6-7 лет, начиная с 2007-2008 годов. И выглядит не очень. Ну вот как можно понимать "комментарий к статье "СтатьяНэйм"".
"Комментарий к статье", Карл! Не содержимое, не сам текст комментария. Маразм типа "страница в книге". Это же надо додуматься. Интересно, они вообще что хотели этим сказать-то?

Core2Duo 6400 -> Xeon E5450. Дёшево и сердито
mrbean
khanid
Недавно проапгрейдил домашний компьютер. Поменял старенький проц core2duo (2 ядра по 2,13 ГГц) на тоже не сильно новый, но серверный xeon e5450 (4 ядра по 3 ГГц). Процессоры 771 сокета, оказвается, вполне себе стают в материнки 775 сокета.

Вышло крайне бюджетно. Сперва 2300 руб. Но проц оказался убитым - сперва разница температур на ядрах в 16 градусов насторожила. После тестов выяснил, что под нагрузкой два ядра отваливаются через пол часа. Вернул денюжку (китаец, собака, хитрый, время тянул как мог). Второй раз взял за 1900 руб. И вот этот процессор уже пашет просто отлично. Даже в разгоне под нагрузкой температура до 55 градусов не дошла. Хотя тут кулер делает много погоды (медный вертикальный залман).
Забавно, что через свою таможню китайцы с алиэкспресса пускают это как подарки со стоимостью $3. И даже термопасту кладут в комплект. Но стрёмненькая жидкая.

В общем по нынешним ценам вышло всего ничего. А вот результат ожидания превзошёл. Работает примерно как четырёхядерный же intel i5 у меня на работе (которому года 3-4) и быстрее чем новый i3. Архивы пакует уж точно быстрее.
Минус только один. В винде 8.1, как оказалось, hyper-v с этого процессора не работает, хотя у него нормальный функционал виртуализации. А разгадка проста. Виртуальные машины на клиентских виндах работают только через функционал, доступный в i3/i5/i7. А на взрослых процессорах оно и не взлетает, так что виртуализация и не совсем честная оказалась. Хотя вот с vmware, 2012 hyper-v server проблем не возникло. Пашет на ура.

Баг jmicron JMB363
mrbean
khanid
Перекатился на домашней машине со старенького дебиана на что-то поновее.
А что-то поновее теперь ошибкой посыпает.
Тестовым методом было установлено, что системе не нравится контроллер JMicron JMB363. Вроде ещё какие-то Marvell'овские не нравятся. И, похоже, это баг в ядре. И исправлять, судя по кернелоргу, не будут. Остаётся надеяться, что в четвёртой версии поправят. Или не поломают. Раньше-то, на второй - работало.
Tags:

pfsense + captive portal + LDAP -RADIUS -squid
owls
khanid
Для прикрутки ldap авторизации везде советуют использовать RADIUS-сервера. Мне неудобно. Оказалось я не один. Вопрос поднимался. Правда недостаточно продробно расписано. Хотя направление правильное дано.

https://forum.pfsense.org/index.php?topic=103046.0
https://redmine.pfsense.org/issues/5112

Код дан, но предшествующий, первый шаг в редмайне не совсем чётко описан.
1) Настроить LDAP-сервер в менеджере пользователей.
Обнаружил косяк вида: если имя первого контейнера OU на русском языке, то работать не будет. Хотя вложенные на русском же нормально определяются. Под это дело сделал переименование всех контейнеров первого уровная на английский. Давно собирался.

2) На страницу конфига captive portal добавить радиобаттон (чтобы не ломать имеющееся).
Вот здесь и недосказанность, как раз.
Надо отредактировать /usr/local/www/services_captiveportal.php
В районе 680й строки в методах аутентификации к существующим пунктам

No Authentication
Local User Manager / Vouchers
RADIUS Authentication


добавить вариант LDAP-серверов, например. Скопировать блок Local User Manager / Vouchers.
Во вставленном блоке поменять значения с:

value="local" на value="LDAP_local"
$pconfig['auth_method']=="local" на $pconfig['auth_method']=="LDAP_local"
gettext("Local") на gettext("LDAP")
a href="system_usermanager.php" на a href="system_authservers.php"
gettext("User manager") на gettext("LDAP servers")

чтобы не путаться и передавать полученные значения туда, куда надо.
Код на чек-бокс мне не нужен был. Но его значение при необходимости добавления, по идее, также надо сменить.

3) Отредактировать /usr/local/captiveportal/index.php
Создал полную копию блока else в районе 220 строки:
$_POST['accept'] && $cpcfg['auth_method'] == "local"
Отличие - в проверяемом методе аутентификаии - local на LDAP_local поменял: $_POST['accept'] && $cpcfg['auth_method'] == "LDAP_local"
В коммент //check against local user manager добавил про ldap.
Из редмайна блок добавить можно после коммента:

$authcfg = auth_get_authserver("YOUR LDAP BACKEND NAME");
$_attributes = array();
$loginok = authenticate_user($_POST['auth_user'], $_POST['auth_pass'], $authcfg, $_attributes);


C "YOUR LDAP BACKEND NAME" у меня случился косяк. Ни по ip, ни по fqdn не работали. Captive portal всегда ошибку выдавал на неверные введённые логин/пароль.
Оказалось, что здесь надо вводить юзерфрэндли нэйм из user manager - из поля Descriptive name. У меня так висел просто "LDAPSRV". После его ввода всё заработало.

hyper-v win2k8: проблемы с pfSense 2.3, freeBSD 10.3, CentOS 7
owls
khanid
Реал пожрал всё моё время. Даже некогда заметки писать. Весь стол в стикерах.

Столкнулся с двумя неприятными ситуациями в течение последних пары месяцев:
1) Hyper-v на win2k8. Виртуалка на CentOS 7. Проблема - адаптер в системе есть, ifconfig всё показывает, а вот коннекта к непосредственно сети - нет. Пинги не ходят. Проблема - CentOS такой версии не видитсинтетических адаптеров hyper-v. Только легаси. Поставил пока легаси, до поиска решения проблемы руки не доходят.

2) Hyper-v на win2k8/2k8r2. Виртуалка с pfSense. Версия 2.2 работает. После обновления до 2.3 - не работает. На стадии загрузки система не видит диск и, соответственно, не может его примонтировать. Всё падает с ошибкой 19 и доступной командой mountroot. В списке дисков есть только cd0 и fd0 (cd и флоппик, соответственно). Переустановка начисто не помогает. Проблема вызвана изменениями в freeBSD 10.3. За 4 дня копания гуглов и самой системы решения не найдено.

Не подключается Skype
mrbean
khanid
В конторе у одного человека перестал работать скайп. Вдруг и внезапно. То-сё, дошло дело и до меня. Не работает.

"К сожалению, не удается подключиться к Skype" и грустносмайл майкрософтовый.
Т.е. программа запускается, но до окна логина в систему - не доходит.
В логах на подключение видно, что скайп за пределы периметра сети выходит. Значит проблема локальная.
Иду к сотруднику. Смотрю и перепроверяю всё. Всё правильно. Делаю все стандартные магический дествия (собственно ручные перезагрузки, переустановки (в т.ч. с полной вычисткой системы) - не работает. Проверил обновления - всё на месте. Win xp sp3, 32 бита, в системе всё хорошо.
Проверил на тестовой машине с такой же системой с самыми бесправными учётками - работает.

Заняло всё больше часа времени. Начал уже сравнивать прямо по компонентам.
Решение - ну идиотия форменная.
На моей машине стоит internet explorer 8, у пациента - internet explorer 6.
Ставлю ie8 - всё начинает работать.

Вот и получается, что даже если ie вообще не вписался нам для работы, то даже в таком случае он не отстаёт от пользователя. Потому что он нужен для работы чего-то другого. Ещё бы задокументировали бы этот факт где-то. А вообще - чудесно. Накручивать и апдейтить в системе то, что не используется и вообще нафиг не сдалось, по большому счёту.

В Oracle/Sun что-то подозревают
owls
khanid
Читаю документацию на Sun Ray Software.
Цитата:
The Sun Ray Software protocol is designed to operate well in conditions where other protocols would fail.
However, if you detect sustained packet loss greater than 10 percent in the network, it may indicate other
network problems.

Больше 10% потерь пакетов в сети могут свидетельствовать о проблемах с сетью. Кто бы мог подумать...