RSS Feed

‘sieci’ Category

  1. OpenVPN – No buffer space available (code=55)

    Maj 13, 2015 by 0verlord

    Klikam OpenVPNa dla klienta – musiał się podłączyć do bazy na hoście, ale że host był odfiltrowany od wszelkiego zła (tj. Internetu) trzeba było przepuścić ruch przez vpna.

    W skrócie dla niecierpliwych – taki komunikat oznacza, że wygenerowaliśmy pętlę routingu – np. że wypychamy do klienta (push) trasę do IP, która musi być dostępny normalnie, nie przez vpna – jeżeli serwer vpn ma ipka 1.2.3.4 a w konfigu OpenVPNa wypychamy trasę na ten ipek (push „route 1.2.3.4 255.255.255.0 192.168.1.1”) przez vpna, którego właśnie zestawiamy – tak się dzieje.
    Oczywiście to jest logiczne i naturalne, ale czasem ucieka w pogoni za Innym Lepszym Sensem i z powodu nadmiaru pracy.

    U mnie było tak, że początkowo baza stała na virtualce (konkretnie w LXC). Wtedy OpenVPN stał sobie na głównym hoście i pushował trasy do virtualki dla klientów. Prawie działało, bo ogólnie Firebird takich ustawień nie lubi z kilku powodów (opowieść na inną notkę). Natomiast wtedy OpenVPN się zestawiał.
    Szybka zmiana i „dostrojenie” konfiguracji i jak się okazało, wypchnąłem trasę na IP hosta, na którym stał OpenVPN. Stąd komunikat jak w temacie i ciągłe rekonekty i brak komunikacji.

    Czyli drogie dzieci – po takim komunikacie na kliencie, szukamy w konfigu, co to za jadowita trasa nam się wypycha, a nie powinna i w efekcie zapętla nam się routing.


  2. Mikrotik i konfiguracja wifi dla gości – część 1: rb w trybie routera

    Grudzień 12, 2013 by 0verlord

    Czasem przychodzą do nas znajomi/krewni/rodzina i chcą się na chwilę podpiąć do naszej sieci bezprzewodowej. W większości domowych zastosowań nie ma z tym problemów – podajemy hasło i już. Tym przypadkiem nie będziemy się zajmować 😉 W końcu mamy urządzenie sieciowe, które może wiele – Mikrotika.

    Będziemy się zajmować rozwiązaniem firmowym albo rozwiązaniem dla ludzi, którzy nie chcą wpuszczać nikogo na stałe do swojej sieci domowej.

    Jednym z takich przypadków jest np. sala konferencyjna, do której przychodzą ludzie spoza firmy, coś tam prezentują, potrzebują się dostać do swoich sieci czy do swojej poczty.
    Ale nie powinni, i nie mogą mieć dostępu do reszty firmowego lanu.

    Jak zapewne wiedzą posiadacze urządzeń typu Mikrotik, np. z serii 951Ui-2HnD albo 751Ui-2HnD, urządzenia te oferują dwa typy pracy: routera i bridge’a – czyli „tryb pomostu”.
    W tej notce rozważymy jednak wariant prostszy w konfiguracji i zrozumieniu, tj. tryb routera.

    UWAGA: wklejenie tak po prostu konfiguracji, którą pokazuję niżej raczej nic nie popsuje, a w niektórych przypadkach konfiguracji domyślnych może nawet zadziałać. Ten wpis nie jest dla tych, którzy szukają prostej recepty na konfigurację. Ale po niewielkich modyfikacjach wszystko powinno zadziałać jak należy.

    Schemat ideowy tej konfiguracji jest pi*oko taki:

      [ router do netu ] 
              \---  [ lanu ] 
                        \--- [ mikrotik z wifi jako router ] 
                                     \--- ( ludzie, dużo ludzi)
    
    

    Minusy takiej konfiguracji to dostęp do wifi dla ludzi – jedno hasło i wlezą wszędzie.
    Możemy to oczywiście ograniczać, np. uruchamiając Mikrotika jako router, uruchamiając na nim NAT i korzystając z dobrodziejstw filtrowania ruchu po IP.

    Ktoś przytomny zauważy, że przecież w ten sposób skomplikujemy sobie setup, bo oprócz odfiltrowania złych, trzeba wpuścić tez dobrych i zaczyna się kombinowanie. A potem zaczyna się bałagan.
    Kolejnym minusem takiego konfiga jest podwójny NAT. Pierwszy na wifi, drugi na wyjściu. Czyli np. żegnajcie VOIPy. Dopuszczalne, ale ogólnie słabe.

    Czyli lepszy schemat byłby taki:

      [ router do netu ]
             \--- [ lan ] --- [ wifi dla gosci ]
                      \--- [ wifi dla pracowników ]
    
    
    

    Ktoś powie – banalne. Kupujemy dwa Mikrotiki, jeden konfigurujemy w trybie pomostu, zakładamy mocne hasło albo podpinamy do serwera Radiusa i wpuszczamy pracowników. Potem kupujemy drugiego, stawiamy go w trybie routera i filtrujemy we wszystkich kierunkach. Skuteczne, ale cóż za przerażające marnowanie zasobów ;-).
    Lepiej pokazać kto wymiata i zrobić to na jednym urządzeniu.

    Czyli będziemy realizować będziemy następujący scenariusz:

    1. stworzymy dwa interfejsy typu VirtualAP – nie będziemy używać interfejsu głównego (wlan1)
    2. stworzymy dwa interfejsy typu bridge – nazwiemy je bridge-local i bridge-remote
    3. dodamy serwer dhcp – żeby goście dostali adresację
    4. dodamy nat – żeby goście wyszli w świat. Raczej nie będą korzystali z VOIPów, więć podwójny nat raczej im nie zaszkodzi.
    5. nałożymy filtry, żeby goście nie rozleźli się po naszym lanie.


    Nie użyjemy głównego interfejsu wifi (wlan1), ponieważ potrzebujemy dwie sieci wifi, które nie będą we wspólnym lanie. Gdybyśmy próbowali ten sam konfig zrobić na głównym i podrzędnym interfejsie wifi, RSTP natychmiast uzna naszą konfigurację za pętlę w sieci i rozłączy drugi interfejs radiowy. A na dwóch podrzędnych interfejsach już się taka sztuka uda.

    Krok 1. tworzymy dwa ifejsy typu VirtualAp (oraz security-profile do nich, czyli osobna, hasła, osobne ssidy, itp).

    Profile nazywają się „guest-wlan” i „firma-wlan” żeby się potem nie pogubić w tej dość zawiłej konfiguracji. Hasła to odpowiednio: DlaObcych i DlaZiemian.

    /interface wireless security-profiles
    add authentication-types=wpa-psk,wpa2-psk management-protection=allowed mode=dynamic-keys name=guest-wlan supplicant-identity=MikroTik wpa-pre-shared-key=DlaObcych wpa2-pre-shared-key=DlaObcych
    add authentication-types=wpa-psk,wpa2-psk management-protection=allowed mode=dynamic-keys name=firma-wlan supplicant-identity=MikroTik wpa-pre-shared-key=DlaZiemian wpa2-pre-shared-key=DlaZiemian

    potem czyścimy główny interfejs wlan1 z SSIDa:
    /interface wireless
    set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-ht-above country=russia disabled=no distance=indoors frequency=2462 ht-rxchains=0,1 ht-txchains=0,1 l2mtu=2290 mode=ap-bridge ssid="" wireless-protocol=802.11

    i dodajemy dwa nowe, slave’y:

    /interface wireless
    add disabled=no l2mtu=2290 mac-address=D6:CA:6D:A8:0C:7C master-interface=wlan1 name=firma-virtual-ap security-profile=firma-wlan ssid=wifi-firmowa wds-default-bridge=bridge-local
    add disabled=no l2mtu=2290 mac-address=D6:CA:6D:A8:0C:7B master-interface=wlan1 name=guest-virtual-ap security-profile=guest-wlan ssid=wifi-guest wds-default-bridge=bridge-local

    Krok 2.tworzymy dwa bridge, -local i -remote, które później wykorzystamy go magii sieciowej:

    /interface bridge
    add admin-mac=D4:CA:6D:A8:0C:77 auto-mac=no name=bridge-local protocol-mode=rstp
    add l2mtu=1598 name=bridge-remote
    /interface bridge port
    add bridge=bridge-local interface=ether2-master-local
    add bridge=bridge-local interface=guest-virtual-ap
    add bridge=bridge-remote interface=ether1-gateway
    add bridge=bridge-remote interface=firma-virtual-ap

    do bridge-local dodaję także lokalne ethernety. Urządzenia z serii (7,9)51 mają kilka portów ethernetowych do wykorzystania.
    Natomiast cała magia jest w pogrubionych linijkach – tutaj dodajemy firmową sieć wifi do bridga do naszego lanu firmowego. A ponieważ to urządzenie w L2 – przeniesie nam dhcp. A ruch wychodzący zamaskaraduje nam NAT na bridge-remote, który nałożymy w kroku 4.

    Krok 3. dodamy serwer DHCP.

    Dodamy go dla gości, i tylko dla gości. DHCP w naszej sieci firmowej (mamy je prawda?) zapewnia inny serwer, tj. albo nasz router, albo nasz serwer AD, albo nasz inny serwer zapewniający DHCP.

    /ip dhcp-server
    add address-pool=default-dhcp disabled=no interface=bridge-local name=guest-server
    /ip dhcp-server network
    add address=192.168.88.0/24 comment="default configuration" dns-server=192.168.88.1 gateway=192.168.88.1

    nie byłem tutaj oryginalny – po prostu użyłem domyślnej konfiguracji.

    Żeby wszytko działało, musimy jeszcze dodać adresację do interfejsu.

    do głównego (teraz to bridge-remote, który spina ether1-gateway i wlan firmowy) – można włączyć dhcp, albo po prostu ustawić statycznie (w tym drugim przypadku należy pamiętać o dodaniu default route) oraz adresacji dla slave (dałem spójne z poprzednimi konfigami)

    /ip address
    add address=192.168.88.1/24 comment="default configuration" interface=bridge-local network=192.168.88.0

    Krok 4. skoro mamy dhcp i interfejsy i wlany – dodajemy nat

    /ip firewall nat
    add action=masquerade chain=srcnat comment="default configuration" out-interface=bridge-remote to-addresses=0.0.0.0 src-address=192.168.88.0/24
    </pre>

    Ale dlaczego bridge-remote a nie ether1-gateway? Ano dlatego, że adresację, oraz nat konfigurujemy na bridgu, a nie na interfejsach podrzędnych.

    Krok 5. a na koniec – odfiltrowujemy element niepożądany:

    (jeżeli oczywiście nasza sieć firmowa ma adresacje 192.168.1.0/24)

    /ip firewall filter
    add action=drop chain=forward dst-address=192.168.1.0/24 src-address=192.168.88.0/24

    A w kolejnym odcinku pokażę, jak to zrobić w druga stronę, tj. jeżeli MT jest w trybie bridge’a. To jest bardziej skomplikowane i zamotane i służy tylko do utrwalenia własnej manii wielkości ;-).


  3. OpenVPN, Mikrotik i Bad LZO decompression header byte

    Marzec 25, 2013 by 0verlord

    mikrotik

    Mikrotik to ogólnie fajny sprzęt i sporo może. Niestety kilka rzeczy jest nie do końca zaimplementowanych. Jedną z tych rzeczy jest OpenVPN.

    Mimo najnowszej wersji softu i na wydawałoby się – poprawnego konfiga, tym razem nie chciał się połączyć.
    Objawy były takie, że łączyło mnie, a po jakimś czasie do loga szedł komunikat
    Inactivity timeout (--ping-restart)
    i oczywiście rozłączało, potem łączyło znowu, znowu nie mogłem nic pingnąć po drugiej stronie i tak w kółko.

    Logi śmiecił jeszcze komunikat pt:
    Bad LZO decompression header byte: (numerek)

    To już w ogóle było pozornie bez związku, ale poszedłem tropem tegoż węża. Po stronie klienta próbowałem to wyłączyć ustawiając
    use-compression=no

    w /ppp profile, ale to nic nie dało. Rzut oka do konfiga po stronie serwera ujawnił straszliwa prawdę – była tam odkomentowana dyrektywa comp-lzo.
    Zakoment, restart openvpna i tadam.wav.

    Podsumowując:

    1. mikrotik obsługuje OpenVPNa w trybie klienta, ale tylko po TCP, udp nie jest zaimplementowane.
    2. … za to obsługuje autoryzację zarówno po certyfikacie, jak i po userze/haśle.
    3. klient nie rozumie kompresji – po stronie serwera trzeba wyłaczyć comp-lzo
    4. jeżeli nie mamy kontroli nad serwerem, i nie możemy tam dodać trasy do podsieci zza naszego vpna, trzeba dodać regułkę maskarady na interfejsie ovpn-out1 (czy też jakkolwiek się u Was nazywa)


  4. Windows update, błąd 80244018 i jak go naprawić

    Czerwiec 22, 2012 by 0verlord

    Problem okazał się dość trywialny. Po tym, jak nie zadziałały wszystkie sugestie, które w tym temacie ma internet (włączyć inteligentny transfer w tle, włączyć windows update, opuścić zaporę, uruchomić MS Fixit’a), poszukałem głębiej.

    Windows update i jego inteligentny transfer w tle, to nic innego jak pobieranie cabów z aktualizacjami po http.
    A ten numer błędu oznacza, że zamiast otrzymać odpowiedź 200 OK, system dostał 403 Permission Idź Precz.

    Tylko skąd to się wzięło i dlaczego np. Windows XP, który stoi zaraz obok, aktualizuje się bez problemów?
    Po drodze mam Squida, więc zajrzałem w logi, a tam np. takie coś:

    1340345769.540 0 ipek TCP_DENIED/403 361 HEAD http://download.windowsupdate.com/msdownload/update/software/updt/2011/04/windows6.1-kb2506928-v2-x64-express_23d6b471222697d7fba8e25c305ab6d661dd4324.cab - NONE/- text/html
    1340345769.628 0 ipek TCP_DENIED/403 361 HEAD http://download.windowsupdate.com/msdownload/update/software/updt/2011/04/windows6.1-kb982018-v3-x64-express_6daea780a222e001dc64d67b979af052bce270c3.cab - NONE/- text/html
    1340345769.712 0 ipek TCP_DENIED/403 361 HEAD http://download.windowsupdate.com/msdownload/update/software/secu/2012/04/graph-x-none_5df373440beed2576fe78d0ef0ebc6b90db3fc8c.cab - NONE/- text/html
    1340345769.783 0 ipek TCP_DENIED/403 361 HEAD http://download.windowsupdate.com/msdownload/update/software/secu/2012/04/excel-x-none_efe9948d82dfd419d0cf40aa4c0d1912104a50e8.cab - NONE/- text/html
    1340345769.876 0 ipek TCP_DENIED/403 361 HEAD http://download.windowsupdate.com/msdownload/update/software/secu/2012/04/vviewer-x-none_0dbaa8870c042c1a99faa4c5425d311252c34984.cab - NONE/- text/html
    1340345770.029 0 ipek TCP_DENIED/403 361 HEAD http://download.windowsupdate.com/msdownload/update/software/crup/2011/11/proof-en-us_47e02b746959bae289bf3061847380074a801d52.cab - NONE/- text/html
    1340345770.078 0 ipek TCP_DENIED/403 361 HEAD http://download.windowsupdate.com/msdownload/update/software/crup/2011/11/proof-de-de_440d1b4f0aa94495b9dda1e1c9b4a81f0ac554b9.cab - NONE/- text/html
    1340345770.080 0 ipek TCP_DENIED/403 361 HEAD http://download.windowsupdate.com/msdownload/update/software/crup/2011/11/proof-pl-pl_d326a19a46259642c5edf4acca2e155bfc42e1dc.cab - NONE/- text/html
    1340345770.177 0 ipek TCP_DENIED/403 361 HEAD http://download.windowsupdate.com/msdownload/update/software/secu/2012/03/windows6.1-kb2653956-x64_5cfdaba5a52326088faab671f21fcd807c8b8768.cab - NONE/- text/html
    1340345770.275 0 ipek TCP_DENIED/403 361 HEAD http://download.windowsupdate.com/msdownload/update/software/secu/2012/05/windows6.1-kb2659262-x64-express_16922c62a2473b40cf0d69a45f4f9162ef5ce6d2.cab - NONE/- text/html

    Kluczowe jest tutaj, dlaczego HEAD powoduje 403? Ano dlatego, że (jak sobie już przypomniałem), kiedyś musiałem przejść przez dość wrednie napisaną witrynę, która wygaszała sesję php jak wget -m posyłał jej HEAD, żeby sprawdzić, czy już pobrał zawartość, czy nie pobrał. Regułka w Squidzie wygląda tak:

    acl Safe_method method CONNECT GET POST
    http_access deny !Safe_method

    Nie ma HEAD? Nie ma. No to deny. I w ten oto sposób pokonałem się sam. Żeby było wszystko jasne, tej regułki nie ma domyślnie w konfigu Squida, została dodana na potrzeby tamtej krzywej strony.


  5. Samsung 4GE LTE GT-B3800 – mobilny hotspot od Plusa [aktualizacja: 10-01-2012]

    Maj 15, 2012 by 0verlord

    UPDATE: widać trafiliśmy na jakąś kulawą partię – od miesiąca mamy w firmie 10 takich modemów i tylko jeden sfixował na tyle, że trzeba mu było zrobić reset do ustawień domyślnych. Ludzie narzekają na przegrzewanie się pudełka i nie zawsze zasięg jak na innych modemach. Ale jak jest LTE, to działa jak trzeba.

    UWAGA: zostawiam ten opis jako historyczny, natomiast proszę zacząć czytania od samego dołu, komentarze + ostatnia aktualizacja ujawnia krwawą prawdę, niestety.

    Urządzenie jest całkiem zacne – robi za mini hotspot GSMowy, pozwalając podłączyć do pięciu urządzeń na raz. Oferuje coś takiego Plus, czy inni też – nie wiem.

    Pierwsze wrażenie jest całkiem zacne. Ładne, małe, zasilanie ma z mikrousb, więc od biedy można doładować z komputera w przypadku braku sieci (ładowarkę sieciową też dodali). Bateria ma 1500 mAh, więc teoretycznie powinno jej wystarczyć wg producenta na 216 minut działania – ale stawiam czas zależny od liczby podłączonych urządzeń.

    W środku jest mini router, ma dhcp, ma przekierowanie portów i proste filtrowanie sieci bezprzewodowej po macu. Można też wyłaczyć zabezpieczenia, jeżeli chcemy się podzielić naszym linkiem z najbliższym (i tym dalszym też) otoczeniem.

    Z minusów – nie udało mi się we Wrocławiu złapać jak na razie LTE, podobno nadajników jest niewiele (wg pana konsultanta z salonu – wszystkie 3).

    Urządzenie ma też wyraźnie zauważalny i irytujacy czas łapania sygnału. Kilka razy zdarzyło mi się tak, że musiałem się zalogować do interfejsu i kliknąć wielki czerwony przycisk „connect”. Kto wie, może jak bym wyłaczyć LTE i zostawił tylko 3g/2g to byłoby szybciej, ale nie chciało mi się sprawdzać. W końcu miała być moc LTE, 3g to ja mam ziomy, w telefonie ;-).

    Tak czy siak – urządzenie jest całkiem zacne i umożliwia zestawienie chwilowego punktu w netem tam, gdzie jest to potrzebne nie tylko nam. Oczywiście, malkontenci od razu powiedzą, że ma to iPhone, i pewnie nie tylko on.
    Oczywiście jest to teoria słuszna, jeżeli nie trzeba np. z takiego mobilnego hotspota telefonicznego np. zadzwonić.

    No i wygląda całkiem ładnie, mały, lekki i estetyczny i prosty w obsłudze. Mogę polecić.
    Ale za obiecywanie LTE plus ma u mnie minus. Wielki.

    update z 19-06-2012:

    dzisiaj do mnie wrócił modem od usera z wielkim *rwa mać. Podsumowując usterki i jęczenie usera:

    • przez około 10 dni nie było z nim problemów, następnie się zaczęły,
    • zrywało połączenia,
    • nie łączyło się,
    • wieszało się
    • na koniec przestał nawet świecić lampką.

    W związku z powyższym moją poprzednią pozytywną opinię uznaję za pozbawioną solidnej podstawy, a komentarza za jak najbardziej uzasadnione. Co za złom.


  6. Samba w firmie – możliwości i zastosowania

    Luty 10, 2012 by 0verlord

    Samba ma szereg zastosowań w firmie i nie tylko. Można jej używać tylko do współdzielenia plików, można do backupu, ale z ciekawostek, można jej też używać jako serwer drukowania do różnych drukarek. Taki hub z podłączonymi drukarkami z różnych zakątków sieci firmowej. Kolejnym z zastosowań jest serwer plików pod centrum synchronizacji (ale tutaj uwaga, to potrafi się sypać, o ile się odpowiednio nie sklika samby)

    Generalnie, jeżeli się ma w dowolnej firmie więcej niż kilka drukarek poprzypinanych do różnych komputerów, prędzej czy później kupuje się drukarkę sieciową. Potem kolejną. Potem dochodzi jeszcze drukarka awaryjna, tylko dla niektórych ludzi. Potem do tej drukarki chce mieć dostęp ktoś jeszcze. A potem, chaos niepostrzeżenie zaczyna nam się przyglądać i łypać złym okiem.

    Pierwszy problem, to sterowniki, do każdej wersji windowsa, w odpowiednim języku, w odpowiednim wariancie architektury. Gdzie je trzymać, żeby zawsze były pod ręką jak są potrzebne. Ok, można zawsze dociągać z netu, ale to rozwiązanie krótkoterminowe. Mamy np. takiego pana klienta, który ma 1/0,25 mbita (brak jakichkolwiek możliwości technicznych na cokolwiek innego, nawet GSM działa tam tylko w EDGu). i teraz np. 39mb drivera do Kyocery za każdym razem dociągać, dla trzech różnych wersji windowsa? Łatwo policzyć ile czasu to wszystko zajmuje.

    Problem nr 2: najczęściej klikamy takie rzeczy zdalnie – a pan klient mówi, chciałbym tą drukarkę hp pod oknem. Rwa, teraz jaki to miało ipek, jaki to dokładnie model HPka, skoro w dokumentacji mamy 5 różnych (z czego 3 już są wyłaczone, bo pan klient nie powiedział, że się popsuły). I inne tego typu problemy, które potrafią zjeść cichaczem pół dnia i tylko irytują niepomiernie.

    Na ratunek przychodzi nam Samba z kolegami (LPD i CUPS).

    Jak już skonfigurujemy sobie taki serwer druku, dodanie drukarki do innego komputera wygląda tak: klikamy share \\serwer, pojawiają się drukarki. Wybieramy właściwą, klikamy „podłącz”. Reszta się robi sama. Czasem tylko trzeba kliknąć, że na pewno chcemy zainstalować driver z potencjalnie niebezpiecznej lokalizacji. Do tego nie trzeba nawet panu klientowi przejmować sterowania, tylko wytłumaczyć przez telefon co kliknąć.

    Do tego nie trzeba o niczym pamiętać, a jak byśmy zapomnieli – wszystko jest w jednym miejscu, w konfigu samby i cupsa. A drivery na tym samym dysku.

    To rozwiązanie jest zapewne znany wszystkim, którzy mają do dyspozycji Windowsa 2003/2008 (niekoniecznie jako kontroler domeny). Tam to już jest. Natomiast, jeżeli w firmie mamy „serwer” na Windowsie XP, bo serwer „jest niepotrzebny” albo „drogo kosztuje”, to takie rozwiązanie jest jak najbardziej do rozważenia.

    Szef kuchni poleca.


  7. Innbox v50 modem czy router w Dialogu

    Styczeń 20, 2012 by 0verlord

    Jest sobie takie urządzenie, maszyna piekielna, gra śpiewa i tańczy. Voipy, wideo, telefon, 3play pełną gębą.
    Ale potrzebowałem z niego tylko jednej funkcji, tj modemu do DSLa. Po zgadnięciu z internetu hasła do admina (jest tu) zastrzeliły mnie te wszystkie opcje. Potrzebowałem kawalerii 😉

    Telefon do pomocy technicznej pozwolił przełączyć router w tryb tylko modemu. JTZ? W sumie prosto.
    Trzeba przycisnąć na bocznym panelu przycisk reset. Raz, krótko, bo jak się go przytrzyma więcej niż 10 sekund, pojawią się trzy pomarańczowe lampki i modem zażyczy sobie upgrade softu. Tego oczywiście nie chcemy robić.

    To jednak nie była pełna informacja, ponieważ kabel do internetu należy włożyć do portu nr 1. Na innych portach nie będzie działało.
    Czyli podsumowując: przyciskamy raz przycisk, skrętkę wkładamy do portu nr 1 i zestawiamy przez niego sesję PPPoE. Amen.

    Uprzejmie dziękuję pani z pomocy technicznej za naprowadzenie mnie na odpowiednie rozwiązanie.


  8. regulowanie przepustowości portu na switchu DES-3526

    Grudzień 6, 2011 by 0verlord

    Sprawa jest banalnie prosta, po zalogowaniu się na konto administracyjne i wybraniu portu ofiary, należy wykonać następujące polecenie:
    config bandwidth_control 20 rx_rate 20 tx_rate 20
    save

    tx i rx_rate są podawane w megabitach, więc powyższe polecenie tnie port do 20/20 megabitów.
    Prosto i szybko a i dokładność zadowalająca w sumie do przycinania większych segmentów. Przynajmniej tyle w tym ogólnie dość topornym pudełku. Ale sprawiedliwości trzeba przyznać, odkąd go sklikałem i wstawiłem, ani razu nie wygenerował dziwnego problemu.


  9. Windows, vpn, pptp, poczta i Subiekt

    Sierpień 26, 2011 by 0verlord

    Z cyklu ciekawostek do zapamiętania. Jest sobie pan klient. Pan klient ma sobie koncentratorek vpnka po pptp na Debianie (6.x). Ma przez to działać Subiekt oraz poczta z lokalnego serwera (cachujący imap z fetchmailem).

    Problem: poczta przychodząca działa, wychodząca stoi i łapie timeout, Subiekt znajduje serwer i łączy się z bazą, ale tak przy pi*oko 88% pokazuje, że wystąpił błąd, i nie da się znaleźć listy podmiotów, albo że struktura danych podmiotu nie jest prawidłowa.
    W tym samym czasie program serwisowy łączy się i widzi dokładnie wszystkie bazy i pozwala na operacje na nich (np. backup).

    Diagnoza była długa i bolała, mnie i pana klienta. Natomiast jak się okazało, ten DSL telepsowy, który pan klient ma u siebie, wymaga zmniejszenia rozmiaru ramki na ifejsie natującym do 1490 (przy 1500 przechodzi tylko ping). Problem u pana klienta zniknął, jak zmniejszyłem rozmiar ramki na tunelu poniżej 1200 (1196 dokładnie). Defaultowo robiło się 1496, co przekraczało maksymalny rozmiar ramki i nara).

    Poprawia się to tak,że do /etc/ppp/pptpd-options dodaje się opcje
    mtu 1490.

    I działa. Działa. Działa. Działa…. Zjadło mi to kilka dobrych godzin…

    UPDATE: 09-10-2011

    Jeżeli natomiast przy próbie pobrania poczty zrywa połączenie z VPNem, należy ramkę zmniejszyć jeszcze bardziej. Rekordowo małe MTU mam u pewnego problemowego klienta ustawione na 900. Inaczej próba pobrania poczty generuje jadowite pakiety, które kładą tunel.


  10. dlink dir-600 ty wuju!

    Sierpień 17, 2011 by 0verlord

    Dzwoni pan klient, nie działa sieć. Nie działa, bo ma adres 192.168.x.y a powinien mieć 10.0.32.

    Szybkie badanie – nasz dhcp działa, żadnego innego w sieci nie ma. Teoretycznie.
    Proxy arp pomógł opanować brak netu i poszukać rozwiązania. Oczywiście pan klient nie mógł nic wydrukować, bo drukarka była jakby w innej podsieci IP, ale przez chwilę to mu nie przeszkadzało 😉

    Bliższe klikanie wykazało, że mimo wyłączenia serwera dhcp i zmiany adresacji, plastikowa chińszczyzna dalej próbowała przydzielać starą adresację. Zdupcone ustawienie przetrwało nawet reset prądem.
    Gdyby nie to, że pudełko grzecznie zapisywało do swojego loga próby wrogiego przejęcia adresacji, nigdy bym się nie spodziewał.

    Redakcja nie poleca tego urządzenia.