среда, 30 сентября 2020
14:12

Проблема с маршрутом proxmox+opensense+openvpn server

И это всё МОЁ


Всем привет.

Есть proxmox+opensense+openvpn server

Суть проблемы когда я подключаюсь клиентом к опенвпн серверу на opensense, то не могу достучаться до https://10.10.2.1:8006,Веб морда opensense 10.10.2.2 доступна.

Если подключить виртмашину с получить айпи по dhcp от opensense, то хост 10.10.2.1 доступен.

В линуксе это решается одной командой iptables, то тут не понимаю что ему надо.
Подскажите пожалуйста.Установил все из коробки, добавил только одно правило на WAN чтобы пускало по порту openvpn.

Если кого-то смущает opensense, тоже самое проделал на pfsense и получил тоже самое.

Proxmox:


cat /etc/network/interfaces

auto vmbr0
iface vmbr0 inet static
	address 11.11.89.00/26
	gateway 11.11.00.00
	bridge-ports ens2f0
	bridge-stp off
	bridge-fd 0


auto vmbr3
iface vmbr3 inet static
	address 10.10.2.1/24
	bridge-ports none
	bridge-stp off
	bridge-fd 0

Opensense:

Машина имеет два интерфейса

vmbr0 - WAN свой белый айпи
vmbr3 - LAN

LAN

10.10.2.2/24

https://prnt.sc/uqmg6z

DHCP

10.10.2.10 - 10.10.2.254

https://prnt.sc/uqmk6c

OPENVPN сервер

https://prnt.sc/uqmr4g

dev ovpns1
verb 1
dev-type tun
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
sсript-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher AES-256-GCM
auth SHA256
up /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkup
down /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkdown
multihome
client-connect "/usr/local/etc/inc/plugins.inc.d/openvpn/ovpn_setup_cso.php server1"
tls-server
server 10.9.1.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc/1
tls-verify "/usr/local/etc/inc/plugins.inc.d/openvpn/ovpn_auth_verify tls 'ServerCA' 1"
lport 51194
management /var/etc/openvpn/server1.sock unix
push "route 10.10.2.0 255.255.255.0"
push "dhcp-option DNS 1.1.1.1"
push "redirect-gateway def1"
duplicate-cn
ca /var/etc/openvpn/server1.ca 
cert /var/etc/openvpn/server1.cert 
key /var/etc/openvpn/server1.key 
dh /usr/local/etc/dh-parameters.2048.sample
tls-auth /var/etc/openvpn/server1.tls-auth 0
persist-remote-ip
float

Маршруты opensense

https://prnt.sc/uqnq12

Кусок лога
При обращении на 10.10.2.1 с впн клиента

https://prnt.sc/uqo5pf

На клиенте openvpn 

linux@debian:~$ traceroute 10.10.2.2
traceroute to 10.10.2.2 (10.10.2.2), 30 hops max, 60 byte packets
 1  * * *
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  *^C

linux@debian:~$ traceroute 10.10.2.1
traceroute to 10.10.2.1 (10.10.2.1), 30 hops max, 60 byte packets
 1  10.9.1.1 (10.9.1.1)  49.482 ms  49.408 ms  49.664 ms
 2  * * *
 3  * * *
 4  * *^C

linux@debian:~$ ping 10.10.2.2
PING 10.10.2.2 (10.10.2.2) 56(84) bytes of data.
64 bytes from 10.10.2.2: icmp_seq=1 ttl=64 time=48.1 ms
64 bytes from 10.10.2.2: icmp_seq=2 ttl=64 time=49.1 ms
64 bytes from 10.10.2.2: icmp_seq=3 ttl=64 time=48.4 ms
^C

--- 10.10.2.2 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 6ms
rtt min/avg/max/mdev = 48.072/48.506/49.086/0.426 ms


linux@debian:~$ ping 10.10.2.1
PING 10.10.2.1 (10.10.2.1) 56(84) bytes of data.
^C
--- 10.10.2.1 ping statistics ---
21 packets transmitted, 0 received, 100% packet loss, time 491ms








 ,








URL
13:48

Медленное открытие сайтов через Squid (Обратный резолв)

И это всё МОЁ

Есть Squid 3.5.12 (хотя вроде на всех версиях подобное) с включенным '--enable-ssl' '--enable-ssl-crtd' '--with-openssl'. И все работает вроде без проблем, но вот открытие некоторых сайтов бывает очень долгим. После поисков нашел проблему. Заключается она в том, что во время TLS рукопожатия сквид делает revers dns запрос. Ждет, и не дождавшись после таймаута продолжает дальше загружать страницу. В конфиге указал dns_nameservers 127.0.0.1. В качестве dns сервера стоит bind. Как можно отключить обратный dns запрос в кальмаре? Либо уменьшить таймаут в бинде. Сейчас если у адреса нет обратного адреса, то bind тратит на такие запросы по 10 секунд. Соответственно ответа от бинда ждет и кальмар.








 , ,








URL
13:32

Постоянный reset блютус

И это всё МОЁ

Доброго времени суток!

Относительно недавно начал осваивать *nix, решил на ноуте пожить на дебиане, что бы чутка руку набить. Проблема в следующем - постоянно отваливается блютус мышь. Иногда может несколько часов нормально проработать, иногда каждые 2-3 мин. отвал.

Ноут: Samsung NP535U3C-A04RU

Беспроводной чип: Qualcomm Atheros AR9462 Wireless Network Adapter [168c:0034] (rev 01)

Мышь: Razer Orochi

dmesg -T сразу после отвала:


[Ср сен 30 16:42:47 2020] usb 6-1: new full-speed USB device number 7 using ohci-pci
[Ср сен 30 16:42:47 2020] usb 6-1: string descriptor 0 read error: -22
[Ср сен 30 16:42:47 2020] usb 6-1: New USB device found, idVendor=0cf3, idProduct=3004, bcdDevice= 0.02
[Ср сен 30 16:42:47 2020] usb 6-1: New USB device strings: Mfr=1, Product=2, SerialNumber=3
[Ср сен 30 16:42:48 2020] hid-generic 0005:1532:0014.0006: unknown main item tag 0x0
[Ср сен 30 16:42:48 2020] input: Razer Orochi Mouse as /devices/pci0000:00/0000:00:13.0/usb6/6-1/6-1:1.0/bluetooth/hci0/hci0:21/0005:1532:0014.0006/input/input23
[Ср сен 30 16:42:48 2020] input: Razer Orochi Keyboard as /devices/pci0000:00/0000:00:13.0/usb6/6-1/6-1:1.0/bluetooth/hci0/hci0:21/0005:1532:0014.0006/input/input24
[Ср сен 30 16:42:48 2020] hid-generic 0005:1532:0014.0006: input,hidraw0: BLUETOOTH HID v5.01 Mouse [Razer Orochi] on e8:03:9a:0d:76:e8
[Ср сен 30 16:43:11 2020] hid-generic 0005:1532:0014.0007: unknown main item tag 0x0
[Ср сен 30 16:43:11 2020] input: Razer Orochi Mouse as /devices/pci0000:00/0000:00:13.0/usb6/6-1/6-1:1.0/bluetooth/hci0/hci0:21/0005:1532:0014.0007/input/input25
[Ср сен 30 16:43:11 2020] input: Razer Orochi Keyboard as /devices/pci0000:00/0000:00:13.0/usb6/6-1/6-1:1.0/bluetooth/hci0/hci0:21/0005:1532:0014.0007/input/input26
[Ср сен 30 16:43:11 2020] hid-generic 0005:1532:0014.0007: input,hidraw0: BLUETOOTH HID v5.01 Mouse [Razer Orochi] on e8:03:9a:0d:76:e8
[Ср сен 30 16:44:18 2020] usb 6-1: reset full-speed USB device number 7 using ohci-pci
[Ср сен 30 16:44:49 2020] usb 6-1: USB disconnect, device number 7
[Ср сен 30 16:44:59 2020] usb 6-1: new full-speed USB device number 8 using ohci-pci
[Ср сен 30 16:45:00 2020] usb 6-1: string descriptor 0 read error: -22
[Ср сен 30 16:45:00 2020] usb 6-1: New USB device found, idVendor=0cf3, idProduct=3004, bcdDevice= 0.02
[Ср сен 30 16:45:00 2020] usb 6-1: New USB device strings: Mfr=1, Product=2, SerialNumber=3
[Ср сен 30 16:45:00 2020] hid-generic 0005:1532:0014.0008: unknown main item tag 0x0
[Ср сен 30 16:45:00 2020] input: Razer Orochi Mouse as /devices/pci0000:00/0000:00:13.0/usb6/6-1/6-1:1.0/bluetooth/hci0/hci0:21/0005:1532:0014.0008/input/input27
[Ср сен 30 16:45:00 2020] input: Razer Orochi Keyboard as /devices/pci0000:00/0000:00:13.0/usb6/6-1/6-1:1.0/bluetooth/hci0/hci0:21/0005:1532:0014.0008/input/input28
[Ср сен 30 16:45:00 2020] hid-generic 0005:1532:0014.0008: input,hidraw0: BLUETOOTH HID v5.01 Mouse [Razer Orochi] on e8:03:9a:0d:76:e8
[Ср сен 30 16:45:54 2020] usb 6-1: reset full-speed USB device number 8 using ohci-pci


Если сразу после отвала запустить Blueman -> Список устройств, он какое-то время думает, потом говорит что «Устройства Bluetooth не отвечает».
Лечится (временно) выкл\вкл блютус через blueman.

Помогите, пожалйуста, вылечить больной зубик!

P.S. Просьба сильно тапками не закидывать - чукча не писатель… Если нужны еще какие-то подробности, добавлю.









 ,








URL
13:27

Возвращаемая ступень российской ракеты «Крыло-СВ» впервые будет запущена в конце следующего года

И это всё МОЁ

https://3dnews.ru/1021858


«Работы идут в плановом порядке, сейчас создаётся новое КБ под этот проект. Разрабатывается внешний облик изделия. Первые полеты на дозвуковом режиме — конец следующего года», — сказал Григорьев.


В современном виде проект «Крыло-СВ» был подготовлен и защищён в ФПИ 29 мая 2019 года. Ответственный разработчик — КБ им. В. М. Мясищева. Возвращаемая ракета-носитель «Крыло-СВ» будет доставлять до 600 кг полезной нагрузки на низкую околоземную орбиту.


Размеры возвращаемой ступени — это длина шесть метров и диаметр 0,8 метра. Возвращаемая ступень будет отделяться на высоте около 60 км, и возвращаться на аэродром в режиме самолёта, для чего в конструкции предусмотрено поворотное крыло, реактивные двигатели и тормозные парашюты.


Очень надеюсь взлетит!









 ,








URL
13:21

Выпуск пакетного менеджера RPM 4.16

И это всё МОЁ
После года разработки состоялся релиз пакетного менеджера RPM 4.16.0. Проект RPM4 развивается компанией Red Hat и используется в таких дистрибутивах, как RHEL (включая производные проекты CentOS, Scientific Linux, AsiaLinux, Red Flag Linux, Oracle Linux), Fedora, SUSE, openSUSE, ALT Linux, OpenMandriva, Mageia, PCLinuxOS, Tizen и многих других. Ранее независимой командой разработчиков развивался проект RPM5, который непосредственно не связан с RPM4 и в настоящее время заброшен (не обновлялся с 2010 года). Код проекта распространяется под лицензиями GPLv2 и LGPLv2.



URL
13:19

vi, давай, до свиданья!

И это всё МОЁ

Я видел мельком, но вот решил убедиться, и правда, так и есть, наконец-то разум восторжествовал над застарелыми привычками.


Что сказать?! Когда-то, я залез в технический раздел ЛОРа (каюсь, да, правила не читал, модераторы справедливо всё потёрли и шкворцов поубавилось, больше так не делаю) и развел там небольшой, но весёлый срачик на тему Vi vs Nano, где тулил за то, что nano это хорошо, удобно, просто и всем зайдет, а vi наоборот и с этим надо что-то делать.


И что теперь?! А вот что, в категории ChangeAcceptedF33 мы видим UseNanoByDefault, такие дела. И какие рассуждения там встречаем? А вот.


<...> You need to spend time learning how to use it, for even basic editing tasks. This increases the barrier to entry for those who are switching to Fedora and don't know how to use vi. It also makes things hard for those who don't particularly want to learn how to use vi. <...>

In contrast, Nano offers the kind of graphical text editing experience that people are used to, and therefore doesn't require specialist knowledge to use. <...>

Why make Nano default and vi optional, rather than the other way round? Because Nano is the option that everyone can use.


Походу будет создан пакетик nano-default-editor, который вытянет nano и установит $EDITOR=nano, которая в федоре была не определена по умолчанию.


Я понимаю, что с виду вроде бы мелкое какое-то дельце, но на самом деле это огромный шаг в сторону пользователя со стороны мейнстримового дистрибутива, и я ещё раз убеждаюсь, что не прогадал.


Ваши мнения. Что в других дистрах? Знаю что в дебиане nano всегда устанавливается, но по умолчанию кажется вызывается vi. В федоре его и ставить-то стали недавно, если не ошибаюсь ещё в 30-ке его не было, а тут раз – и такой поворот.


Для Ъ: https://fedoraproject.org/wiki/Changes/UseNanoByDefault









 , , ,








URL
12:42

raspotify + LCD(hd4478)

И это всё МОЁ

Имеется микрокомпьютер bananapi с поключеным LCD на базе hd4478. В данный момент работает связка mpd и mpd_trigger (который обрабатываем собития и выводит через самописную програмку на C инофрмацию на LCD).
Так же есть возможность проигрывать контент spotify через запущенный на этом же компьютере процес librespot. В опциях этой программы есть возможность отслеживать события и передавать через заранее определенные переменные информацию на внешнюю программу. Среди этих переменных есть track_id (идентификатор трека в spotify). Данные о нем можна получить через post (например curl-ом) при помощи API spotify. Но необходимый для этого ticket рабоает только определенное время (несколько минут).
Вопрос. Как можна либо получить такой ticket на всегда. Либо кто-то знает другой способ получить данные о треке (испольнитель, название композиции)?








 ,








URL
12:16

После года молчания, новая версия редактора TEA (50.1.0)

И это всё МОЁ

Несмотря на добавление одной только циферки к номеру версии, изменений в популярном текстовом редакторе много. Некоторые незримы – это исправления для старых и новых Clang’ов, а также вывод ряда зависимостей в разряд отключенных по умолчанию (aspell, qml, libpoppler, djvuapi) при сборке с meson и cmake. Также, в ходе безуспешной возни разработчика с манускриптом Войнича, TEA обзавелся новыми функциями сортировки, фильтрации и анализа текста. Например, можно фильтровать строки по образцу с заданными повторяющимися символами, что годно не токмо для упомянутого манускрипта, но и при расшифровке прочих каверзных текстов, язык коих заранее неведом.









 , ,








URL
11:32

Капча

И это всё МОЁ

Руководитель Федерального центра информатизации (ФЦИ) при ЦИК России Михаил Попов ушел в отставку в связи с ситуацией с появлением капчи на сайте российского Центризбиркома.

«Михаил Анатольевич Попов, который 12 лет практически возглавлял ФЦИ при ЦИК написал заявление по собственному желанию об уходе. Я считаю, что он поступил так, как должен поступать настоящий руководитель, как мужчина, как офицер, который взял на себя всю ответственность за действия подчиненных по поводу того, что у нас произошло с капчей, что заслуживает огромного уважения», - сказала глава ЦИК Элла Памфилова на заседании в среду.

https://www.interfax.ru/russia/729322

Руководители ЛОРа, вам на заметку. Негуманная капча от корпорации бобра маздай!








 








URL
11:13

TOR браузер, разная настройка для разных сетевых интерфейсов?

И это всё МОЁ

Подскажите мануал, как настроить TOR, ,чтобы для клиентов по WiFi трафик шел через TOR, а для клиентов по проводу- без TOR?
Есть мин компьютер Raspberry, используется как медиасервер:(torrserver, remoteFork торренткачалка,Plex server,DLNA, IPTV, сетевая шара и т.д)..
Два интерфейса, -проводной, на который и повешены все медиафункции и WiFi. Хочу на нем поднять WiFi точку доступа, и TOR, чтобы все кто к нему подключились имели выход в TOR(в зону onion), или вообще веcь трафик через Wifi проходил через TOR..но трафик тех кто подключаются через проводной сетевой интерфейс- работали без TOR, а на прямую.(ну нафига мне IPTV с телевизора через TOR смотреть ?)
Подскажите куда читать?


П.с. как у запущенного TOR в плане прожорливости ресурсов процессора?, у маломощного устройства т.к. медиасерверы уже неплохо нагружают процессор, и миникомп не часто но лагает, если добавить ещё TOR не подвесит ли это raspberry pi 3(единственное преимущество включен постоянно) на глухо?- может не стоит и пытаться а по старинке, надо выйти в TOR с компа или смартфона, соответственно запускать из на компе и смартфоне?
Или вообще, быть может возможно сделать ход конем, чтобы Тор запускался только когда к Wifi хотспоту кто-то подключается.?









 , ,








URL
10:54

Проверка наличия пользователя через getent

И это всё МОЁ

Пытаюсь создать пользователей следующим скриптом:

#!/bin/bash

set -xe
echo "> Создание пользователей"
users="user vasya petya operator1 operator2 operator3 operator4"

for userName in $users
do
    echo "Проверка наличия пользователя $userName"

    getent passwd $userName > /dev/null
    if [[ $? -ne 0 ]] ; then
		echo "Создается пользователь $userName"

		# Опция --disabled-login запрещает вход пользователя до тех пор
		# пока не будет задан пароль пользователю
		adduser --disabled-login --gecos "Пользователь-$userName" $userName
    else
		echo "Пользователь уже существует"
    fi
done

В результате, скрипт молча затыкается на пользователе vasya, никаких ошибок не выдает, просто завершает свою работу:
+ echo '> Создание пользователей'
> Создание пользователей
+ users='user vasya petya operator1 operator2 operator3 operator4'
+ for userName in $users
+ echo 'Проверка наличия пользователя user'
Проверка наличия пользователя user
+ getent passwd user
+ ` 0 -ne 0 `
+ echo 'Пользователь уже существует'
Пользователь уже существует
+ for userName in $users
+ echo 'Проверка наличия пользователя vasya'
Проверка наличия пользователя vasya
+ getent passwd vasya


Хоть бы написал «Создается пользователь ...» или «Пользователь уже существует», но этого не происходит.

Что нужно сделать в скрипте, чтобы он заработал как задумано?








 , , ,








URL
10:16

Визуальное различие между скрытыми файлами в gui файловом менеджере на gtk

И это всё МОЁ

Вопрос в названии собственно говоря? Можно или нет?


В KDE dolphin эта возможность имеется и включена по умолчанию. Можно ли это в gtk?









 , ,








URL
10:10

Выпуск nginx 1.19.3 и njs 0.4.4

И это всё МОЁ
Сформирован выпуск основной ветки nginx 1.19.3, в рамках которой продолжается развитие новых возможностей (в параллельно поддерживаемой стабильной ветке 1.18 вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей).



URL
09:51

Выпуск браузера Pale Moon 28.14

И это всё МОЁ
Состоялся релиз web-браузера Pale Moon 28.14, ответвившегося от кодовой базы Firefox для обеспечения более высокой эффективности работы, cохранения классического интерфейса, минимизации потребления памяти и предоставления дополнительных возможностей по настройке. Сборки Pale Moon формируются для Windows и Linux (x86 и x86_64). Код проекта распространяется под лицензией MPLv2 (Mozilla Public License).



URL
09:41

Заглючил USB диск

И это всё МОЁ

Доброго времени суток. Ребят, заглючил usb flash накопитель, помогите понять если ли шансы на восстановление.


Модель: StoreJet Transcend


dmesg


[90890.002255] usb 3-2: USB disconnect, device number 10
[90900.299882] usb 4-1: new SuperSpeed Gen 1 USB device number 2 using xhci_hcd
[90900.324204] usb 4-1: New USB device found, idVendor=2174, idProduct=2000, bcdDevice=80.00
[90900.324207] usb 4-1: New USB device strings: Mfr=2, Product=3, SerialNumber=1
[90900.324209] usb 4-1: Product: StoreJet Transcend
[90900.324210] usb 4-1: Manufacturer: Transcend
[90900.324211] usb 4-1: SerialNumber: 4E14224DF110183C0055



lsusb


Bus 004 Device 002: ID 2174:2000 Transcend StoreJet Transcend


fdisk / lsblk / parted / …


пусто...


Что можете посоветовать? Спасибо!









 ,








URL
09:32

Не запускаются VST плагины в Carla

И это всё МОЁ

Поставил Reaper и Carla для хоста плагинов.

Родные LV2 плагины заводятся как надо, однако Windows VST плагины открываются в рэке с пустым окном об ошибке, никаких кодов об ошибке или причин их вылета не описывается.


Wine стоит, пакеты карлы собирал из аура, конкретно carla-bridge-win32 и carla-bridge-win64. [Скриншот]https://a.radikal.ru/a27/2009/3e/4eefd4d7e3cct.jpg прилагается.


Кто сталкивался с подобной проблемой, буду рад помощи.









 , , ,








URL
07:18

Proftpd + openldap = timestamp in names on windows explorer

И это всё МОЁ

Поднял proftpd на CentOS. Все хорошо работает - браузеры, winscp, filezilla, клиенты MacOS, linix, windows explorer. Кроме одного кейса, когда владелец файла/папки доменный пользователь и/или группа. В этом случае все клиенты работают так же корректно, кроме… Правильно explorer’a. Он почему-то добавляет к имени таких файлов/папок префикс с датой создания. Соответственно зайти в такую папку или скачать такой файл не получается, т.к. путь меняется. По корпоративным стандартам должно работать в explorer.
Гугл нашел несколько таких же проблем. Вот тут предлагается решение, но так и не понял как его применить. https://www.ixsystems.com/community/threads/directory-names-contain-dates-when-connecting-via-ftp-in-windows-explorer.8220/
Может кто сталкивался с подобным. Спасибо.









 ,








URL
06:06

Element - бывший riot: отображения статуса.

И это всё МОЁ

Здравствуйте. Пользователи данного беседника, подскажите, пожалуйста, возможно ли отображение статуса в чатах и/или комнатах, то есть, можно ли смотреть кто онлайн/оффлайн? В настройках данной функции не могу никак найти. Если возможно, подскажите где и как включить.









 








URL
05:26

Выпуск системы потокового видеовещания OBS Studio 26.0

И это всё МОЁ
Опубликован выпуск пакета OBS Studio 26.0 для потокового вещания, стриминга, композитинга и записи видео. Код написан на языках Си/Си++ и распространяется под лицензией GPLv2. Сборки сформированы для Linux, Windows и macOS.



URL
04:11

Как считать температуру с датчика TMP100, подключен через i2c переходник к компу.

И это всё МОЁ

К компу подключен переходник UMFT201XB для конвертирования из com порта в i2c данных. Датчик tmp100 по i2c общается. Нашел этот пример http://arduinolab.pw/index.php/2019/05/16/datchik-temperatury-tmp100/
Пробую как там послать команды через com порт так:


95 01 20 - конфигурация регистра
95 00 - reset регистра
и пробую читать так 95 00 00
Правильно ли я это делаю, пытаюсь повторить тот пример для arduino.









 , ,








URL