Просмотр сообщений

В этом разделе можно просмотреть все сообщения, сделанные этим пользователем.


Темы - Gekko

Страницы: [1] 2 3 ... 5
1
Главный / OpenVPN и Yota
« : 07 Февраля 2019, 10:47:00 »
Да и не только "Ёта" а еще и половина мобильных операторов не дают нормальной возможности для OpenVPN создать тунель.
При создании тунеля до работы из дома - все замечательно. Как пытаюсь настроить какого то мобильного работника - вылезает ошибка (client log):
Цитата: Client Log
Thu Feb 07 10:08:33 2019 us=69624 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Thu Feb 07 10:08:33 2019 us=69624 Re-using SSL/TLS context
Thu Feb 07 10:08:33 2019 us=69624 LZO compression initializing
Thu Feb 07 10:08:33 2019 us=69624 Control Channel MTU parms [ L:1656 D:1138 EF:112 EB:0 ET:0 EL:3 ]
Thu Feb 07 10:08:33 2019 us=69624 Data Channel MTU parms [ L:1656 D:1450 EF:124 EB:412 ET:32 EL:3 ]
Thu Feb 07 10:08:33 2019 us=69624 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1636,tun-mtu 1532,proto TCPv4_CLIENT,comp-lzo,keydir 1,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-client'
Thu Feb 07 10:08:33 2019 us=69624 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1636,tun-mtu 1532,proto TCPv4_SERVER,comp-lzo,keydir 0,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-server'
Thu Feb 07 10:08:33 2019 us=70624 TCP/UDP: Preserving recently used remote address: [AF_INET]83.124.241.174:1157
Thu Feb 07 10:08:33 2019 us=70624 Socket Buffers: R=[8192->8192] S=[8192->8192]
Thu Feb 07 10:08:33 2019 us=70624 Attempting to establish TCP connection with [AF_INET]83.124.241.174:1157 [nonblock]
Thu Feb 07 10:08:33 2019 us=70624 MANAGEMENT: >STATE:1549523313,TCP_CONNECT,,,,,,
Thu Feb 07 10:08:34 2019 us=70681 TCP connection established with [AF_INET]83.124.241.174:1157
Thu Feb 07 10:08:34 2019 us=70681 TCP_CLIENT link local: (not bound)
Thu Feb 07 10:08:34 2019 us=70681 TCP_CLIENT link remote: [AF_INET]83.124.241.174:1157
Thu Feb 07 10:08:34 2019 us=70681 MANAGEMENT: >STATE:1549523314,WAIT,,,,,,
Thu Feb 07 10:08:34 2019 us=120684 Connection reset, restarting 0
Thu Feb 07 10:08:34 2019 us=121684 TCP/UDP: Closing socket
Thu Feb 07 10:08:34 2019 us=121684 SIGUSR1[soft,connection-reset] received, process restarting
Thu Feb 07 10:08:34 2019 us=121684 MANAGEMENT: >STATE:1549523314,RECONNECTING,connection-reset,,,,,

Thu Feb 07 10:08:34 2019 us=121684 Restart pause, 300 second(s)


Вот там где я болдом обвел - это что происходит? Просто рвет без объяснения причин. Где хоть какая то информация?

Смотрим логи сервера:

Цитата: Server Log
Спойлер для скрыто:
Thu Feb  7 09:43:17 2019 us=453937 MULTI: multi_create_instance called
Thu Feb  7 09:43:17 2019 us=454061 Re-using SSL/TLS context
Thu Feb  7 09:43:17 2019 us=454131 LZO compression initializing
Thu Feb  7 09:43:17 2019 us=454332 Control Channel MTU parms [ L:1624 D:1138 EF:112 EB:0 ET:0 EL:3 ]
Thu Feb  7 09:43:17 2019 us=454453 Data Channel MTU parms [ L:1624 D:1450 EF:124 EB:406 ET:0 EL:3 ]
Thu Feb  7 09:43:17 2019 us=454583 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1604,tun-mtu 1500,proto TCPv4_SERVER,comp-lzo,keydir 0,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-server'
Thu Feb  7 09:43:17 2019 us=454668 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1604,tun-mtu 1500,proto TCPv4_CLIENT,comp-lzo,keydir 1,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-client'
Thu Feb  7 09:43:17 2019 us=454794 TCP connection established with [AF_INET]217.66.168.110:5178
Thu Feb  7 09:43:17 2019 us=454920 TCPv4_SERVER link local: (not bound)
Thu Feb  7 09:43:17 2019 us=454995 TCPv4_SERVER link remote: [AF_INET]217.66.168.110:5178
Thu Feb  7 09:43:18 2019 us=433520 217.66.168.110:5178 WARNING: Bad encapsulated packet length from peer (0), which must be > 0 and <= 1627 -- please ensure that --tun-mtu or --link-mtu is equal on both peers -- this condition could also indicate a possible active attack on the TCP link -- [Attempting restart...]
Thu Feb  7 09:43:18 2019 us=433624 217.66.168.110:5178 Connection reset, restarting 0
Thu Feb  7 09:43:18 2019 us=433692 217.66.168.110:5178 SIGUSR1[soft,connection-reset] received, client-instance restarting
Thu Feb  7 09:43:18 2019 us=433812 TCP/UDP: Closing socket
Спойлер для скрыто:
Thu Feb  7 09:43:23 2019 us=523443 MULTI: multi_create_instance called
Thu Feb  7 09:43:23 2019 us=523701 Re-using SSL/TLS context
Thu Feb  7 09:43:23 2019 us=523781 LZO compression initializing
Thu Feb  7 09:43:23 2019 us=523967 Control Channel MTU parms [ L:1624 D:1138 EF:112 EB:0 ET:0 EL:3 ]
Thu Feb  7 09:43:23 2019 us=524041 Data Channel MTU parms [ L:1624 D:1450 EF:124 EB:406 ET:0 EL:3 ]
Thu Feb  7 09:43:23 2019 us=524129 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1604,tun-mtu 1500,proto TCPv4_SERVER,comp-lzo,keydir 0,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-server'
Thu Feb  7 09:43:23 2019 us=524193 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1604,tun-mtu 1500,proto TCPv4_CLIENT,comp-lzo,keydir 1,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-client'
Thu Feb  7 09:43:23 2019 us=524294 TCP connection established with [AF_INET]217.66.168.110:19157
Thu Feb  7 09:43:23 2019 us=524365 TCPv4_SERVER link local: (not bound)
Thu Feb  7 09:43:23 2019 us=524465 TCPv4_SERVER link remote: [AF_INET]217.66.168.110:19157
Thu Feb  7 09:43:24 2019 us=473555 217.66.168.110:19157 Connection reset, restarting 0
Thu Feb  7 09:43:24 2019 us=473669 217.66.168.110:19157 SIGUSR1[soft,connection-reset] received, client-instance restarting
Thu Feb  7 09:43:24 2019 us=473815 TCP/UDP: Closing socket

Собственно говоря: а почему это "Bad encapsulated packet length from peer (0), which must be > 0 and <= 1627"? На сервере в конфиге tun-mtu=1500
В конфиге клиента:
Цитата
client
tls-client
dev tun
proto tcp-client
remote 83.124.241.174 1157 # - Your server IP and OpenVPN Port
resolv-retry infinite
nobind
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
persist-key
persist-tun
tls-auth ta.key 1
ca ca.crt
dh dh1024.pem
cert gbluk01.crt
key gbluk01.key
comp-lzo
reneg-sec 0
verb 5
cipher AES-256-CBC
auth SHA512
mute 20

route-delay 5


mtu одинаковый указан, а по факту на пакет еще липнет какая то хрень...
И вот такая ситуация почти с каждым мобильным подключением.  Бывают исключения - иногда получается подключится. Иногда даже получается подключится при тех же самых условиях в определенные дни. Ну то есть работает время от времени с того же устройства и с тем же конфигом, а завтра уже не подключится. 

2
Windows / Не найден сетевой путь: 80070035
« : 10 Января 2019, 11:15:31 »
Опять эта ошибка вылезла при интересных обстоятельствах: в сети 10 компов без домена. Все на Win7Pro. Все симметрично обновлены. На всех расшарены папки. Только три из них по сети не доступны: при попытке войти в сетевом окружении на них вылетает ошибка "Не найден сетевой путь: 80070035".
Важный нюанс: все это происходит под обычным пользователем. Под администратором с любого компьютера их видно и можно зайти.
Cто пудов - что то с мелкомягких прикатило. Сейчас нашел в сети "исправную" машину на которую не устанавливались обновления с прошлого года. Накатил 28 обновлений и после перезагрузки началась та же херня - к ней никто не может подсоединится.  Создал новую шару - все ок. Старые - хоть ты раком прыгай - не видит.


Updated: 10 January 2019, 15:11:01

Пересоздал шары на проблемных машинах - теперь вроде как все исправляется, но как то летаргически и инертно: минут через 15 после пересоздания шары ее начинает видеть пара других станций. Потом еще через минут 15 - еще пара видит, и так далее.

3
Что то я никак не вдуплю: Терминальный WindowsServer-2008R2. Cнес старую платформу 1с и поставил новую 8.3.13.1644. Добавил в RemoteApp манагер все екзешники что связаны с 1с. Сделал RDP ярлык на запуск 1ски. В результате такая картина: Администраторы могут и через RemoteApp и через удаленный стол запускать, а обычные пользователи рабочего стола - только со стола. То есть через RemoteApp - не могут. Выходит сообщение:
программа не была запущена на удаленном компьютере
Проэксперементировал: сделал ярлык для ВордПада - все отлично работает.


Updated: 29 December 2018, 13:44:44

Еще в добавок один глюк появился: При добавлении в политику "Allow log on through Remote Desktop Services" каких либо групп или пользователей право на вход по RDP имеют только администраторы. Что ни добавляй - хоть группу, хоть отдельного пользователя, если он не админ - подключение заканчивается Log off.

4
Windows / Windows Server 2008: Апгрейд Foundation до Standart
« : 26 Декабря 2018, 17:46:59 »
Есть ли возможность проапгрейдить Windows Server 2008 R2 в редакции Foundation до хотя бы Standart или более высокой. Дело в том что у Foundation ограничение по памяти 8 Гб, а на машине крутится 1с Сервер + MS-SQL. Хотелось бы памяти расширить - да некуда.

5
Вводные: Вин сервер 2008 R2 + MS-SQL 2008 + Сервер 1С.
Сегодня с утра при попытке проведения документа в базе торговли виснет не то что клиент, а зависает к черту сервер. Еще вчера было нормально - сегодня уже висим. Сейчас сижу-смотрю по KVM - никаоко отклика. Окна висят, раз в 5 минут часть окна отрисуется, или какой нибудь элемент гуя прореагирует.

6
Курилка / Любители обновлять ядра
« : 11 Декабря 2018, 11:58:41 »
Завелся в подразделении один маньяк - бегает и все обновляет. Все подряд: прошивки у свичей, биос на рабочих станциях, добрался теперь до ядра на файлопомойке. И хрен то с ним если бы все было нормально, так он где не обновит - то сеть лихорадить начинает, то что то не грузится, то версии чего то не совпадают... Короче задрал кулибин. Теперь вот добрался до ядра файлопомойки. Результат - помойка висит пол дня. Блеать, работает - не трогай! :negodue:

7
Вчера перетащил в XenCenter машину с одного хоста на другой - и продолжается это до сих пор. Суммарный объем обоих дисков 250 Гб, канал правда между двумя этими хостами - 10Мб.  Как прекратить это безобразие? Есть какой нибудь мануал по консольным командам или функционал какой в XenCentr? Просто я никак это прекратить не могу - канал забит, пользователи орут а стопануть никак.

8
Достался мне по завещанию старенький пролеант DL160 пятого поколения. Со слов последнего владельца - когда то был в продакшене. Но теперь он доходит до белого сплеш-скрина c надписью "HP Proliant" и перестает подавать признаки жизни. Только память начинает жутко греться.
  Сзади два сетевых интерфеса и один "Mgmt". При включении туда сетевого кабеля он начинает активно перемигиваться, но адрес по DHCP не берет и всячески отрицает свое существование в проекции данного бытия. Видимо у него уже жестко задан адрес, но в ишщы я не могу зайти - сервер зависает на этапе загрузки.
  Вот и рождается задача - скинуть его настройки в дефолт. Но как до него достучаться хотя бы через этот LO-interface? Может кто сталкивался с проблемой обнуления параметров биоса и прочих прошивок на пролиантах?

9
Виртуализация / SQL-Server на Proxmox.
« : 26 Ноября 2018, 12:00:53 »
Вопрос касается стратежности использования HDD - что подо что распределить?
Итак, дано железо Dell Poweredge 530:
2 SSD 120Gb
2 HDD 500Gb
Вопрос: Куда поставить Proxmox и как распределить место под гостевую винду и SQL-Server? Делать массив - не делать? Размещать гостевую и SQL на голом винте или создавать raw-диски под них? Стоит ли гостевую винду размещать на SSD или для виндовс-сервера это не принципиально?
Я склоняюсь больше к такому варианту: один HDD под проксмокс. Вторрой - под бэкапы. Один SSD под гостевую винду и второй под базы SQL.
ЗЫ Все это - сервер 1с с четырьмя-пятью SQL-базами размером от 1 до 5 Гб.

10
На работе сложилась интересная ситуация: Одному нашему подразделению купили новый сервер. Их старая железяка им как бы не нужна и они уж и сами думали - как от нее избавиться. Но даром отдавать тоже не хотят, у них начфин потомственный - его батя еще в Одесском военном округе начфинил (таки).
И вот вроде даже нашли кому нужна их железяка - другому отделу, с которым они никак не пересекаются а стало быть не в ссоре. По железу я им объяснил, что пролиант G6 поколения в принципе забрать у них можно за пару бутылок пива (это еще вопрос - кто кому пива будет должен: отдающий или принимающий), а вот за CAL-ы чувствую развернется битва. Они им конечно в свое время стоили определенных таки денег, но в совокупности с этим железом они как бы и нафиг не нужны.
Вопрос: как бы их э... проамортизировать по цене что ли?

11
Курилка / Вконтактег....
« : 26 Октября 2018, 13:12:47 »
...давно ебанулся? Я сегодня решил зайти музыку включить, так он мало того, что пока я искал трек после каждой введенной в поиск буквы (буквы, Карл!) просил телефон мой раз или капчу в глаз, так еще и рекламу  между треками включает. Это какой то ахтунг. Я такого пиздеца даже на маелру не видел.  :facepalm2:

12
Помогите пожалусто! Пришло песьмо:
Цитата
Hello!

I'm a hacker who cracked your email and device a few months ago.
You entered a password on one of the sites you visited, and I intercepted it.
This is your password from support@****** on moment of hack: bbyby

Of course you can will change it, or already changed it.
But it doesn't matter, my malware updated it every time.

Do not try to contact me or find me, it is impossible, since I sent you an email from your account.

Through your email, I uploaded malicious code to your Operation System.
I saved all of your contacts with friends, colleagues, relatives and a complete history of visits to the Internet resources.
Also I installed a Trojan on your device and long tome spying for you.

You are not my only victim, I usually lock computers and ask for a ransom.
But I was struck by the sites of intimate content that you often visit.

I am in shock of your fantasies! I've never seen anything like this!

So, when you had fun on piquant sites (you know what I mean!)
I made screenshot with using my program from your camera of yours device.
After that, I combined them to the content of the currently viewed site.

There will be laughter when I send these photos to your contacts!
BUT I'm sure you don't want it.

Therefore, I expect payment from you for my silence.
I think $817 is an acceptable price for it!

Pay with Bitcoin.
My BTC wallet: тут злой хацкер нописал свой кашилек

If you do not know how to do this - enter into Google "how to transfer money to a bitcoin wallet". It is not difficult.
After receiving the specified amount, all your data will be immediately destroyed automatically. My virus will also remove itself from your operating system.

My Trojan have auto alert, after this email is read, I will be know it!

I give you 2 days (48 hours) to make a payment.
If this does not happen - all your contacts will get crazy shots from your dark secret life!
And so that you do not obstruct, your device will be blocked (also after 48 hours)

Do not be silly!
Police or friends won't help you for sure ...

p.s. I can give you advice for the future. Do not enter your passwords on unsafe sites.

I hope for your prudence.
Farewell.
Что делать то теперь? Что делать? О боги...

13
Странное поведение микротика при попытке пробросить порт для SSH на сервер. Вот вводные
Микротик 941-2nD. Прошивка версии 6.43.4.
При добавлении правила NAT для проброса SSH на сервер 192.168.111.101 подключение не происходит, хотя правило в NAT отсчитывает счетчик попыток подключения. Далее совсем интересно: при подключении с самого микротика на этот же сервер SSH работает - заходишь Tools-> Telnet -> SSH... адрес...  ОК.
Попробовал настроить проброс 81ого hhtps порта до веб-интерфейса этого же сервера - тоже не работает. Из локалки все работает: и SSH и веб-рожа. Застревание происходит где то после обработки nat.


Цитата
[admin@Mikrotik] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
 0  D ;;; special dummy rule to show fasttrack counters
      chain=forward action=passthrough

 1    ;;; defconf: fasttrack
      chain=forward action=fasttrack-connection connection-state=established,related

 2    ;;; defconf: accept established,related, untracked
      chain=forward action=accept connection-state=established,related,untracked

 3    ;;; defconf: drop invalid
      chain=forward action=drop connection-state=invalid log=no log-prefix=""

 4    ;;; Remote control
      chain=input action=accept protocol=tcp dst-port=80 log=no log-prefix=""

 5    chain=input action=accept protocol=tcp dst-port=8291 log=no log-prefix=""

 6    chain=input action=accept protocol=tcp dst-port=81 log=no log-prefix=""               (<--  не обращайте внимания - это я рыбу заворачивал.)

 7    ;;; accept SNMP
      chain=input action=accept protocol=udp dst-port=161 log=no log-prefix=""

 8    ;;; defconf: accept ICMP
      chain=input action=accept protocol=icmp

 9 X  ;;; defconf: drop all not coming from LAN
      chain=input action=drop in-interface-list=!LAN log=no log-prefix=""

10    ;;; defconf: accept in ipsec policy
      chain=forward action=accept ipsec-policy=in,ipsec

11    ;;; defconf: accept out ipsec policy
      chain=forward action=accept ipsec-policy=out,ipsec

12    ;;; defconf: drop invalid
      chain=input action=drop connection-state=invalid log=no log-prefix=""

13 X  ;;; defconf:  drop all from WAN not DSTNATed                                                                           ( отключил, поскольку за роутером все равно другая локалка,
      chain=forward action=drop connection-state=new connection-nat-state=!dstnat                               а некоторые службы через это правило пролезть не могут)
      in-interface-list=WAN log=no log-prefix=""

14    ;;; defconf: accept established,related,untracked
      chain=input action=accept connection-state=established,related,untracked log=no
      log-prefix=""


Что еще забыл?... Сам нат:
Цитата
[admin@Mikrotik] > ip firewall nat export
# oct/19/2018 13:51:35 by RouterOS 6.43.4
# software id = MCCW-QVTI
#
# model = RouterBOARD 941-2nD
# serial number = 6B2C06B2B96E
/ip firewall nat
add action=netmap chain=dstnat comment="ClearOS WEB interface" dst-port=8081 in-interface=ether1 \
    protocol=tcp to-addresses=192.168.110.101 to-ports=81
add action=netmap chain=dstnat comment="SSH ClearOS" dst-port=8022 in-interface=ether1 log=yes \
    protocol=tcp to-addresses=192.168.110.101 to-ports=22
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none \
    out-interface-list=WAN



Что еще проверить - не знаю. За микротиком только 3СОМ свич с дефолтным вланом и больше ничего (в смысле - ничего особенного, а так - одноранговая сетка, с пол дюжины компов и сервер).





Updated: 19 October 2018, 14:22:37

Два вопроса по ходу параходу:
1) Судя по схеме прохождения пакета, нат обрабатывается в "прероутинг" и далее уходит минуя всяческие правила файрвола. Или его дальше тащит по всем правилам "форвард" и "построутинг", пока он не споткнется обо что нибудь?
2) Второй вопрос касается логирования данной ситуации: как посмотреть подробнейший лог пакетов? Есть ли возможность по какому нибудь критерию зацепиться за этот трафик и отследить пошагово - а куда это собственно он уходит и где застриёт? В общем нужна либо возможность детализировать лог или как то сниферить пакеты прямо внутри цепочек микротика... Звучит бредово, но вдруг есть какой нибудь инструментарий?


Updated: 19 October 2018, 16:53:43

PS А вот когда попробовал прокинуть порт RDP до другого сервера в локалке - получилось. Надо смотреть iptables на этом "молчаливом" сервере.

14
Сегодня пол дня мы учились удалять письма из аутлука.



Updated: 16 October 2018, 17:44:17


15
Телефония / FreePBX: Attended transfer timeout
« : 12 Октября 2018, 13:42:53 »
Asterisk Ver. 11.17.1. Проблема с Attended transfer - методом перевода звонка внутреннему абоненту, при котором звонок возвращается обратно переводившему через определенное время, если тот не снял трубку. Сейчас у абонента которому переводится звонок раздается два или три звонка, он не успевает добежать до телефона и звонок переводится обратно.
Где указать таймер возврата звонка после attended transfer, если не сняли трубку? Везде пишут: зайдите в eatures.conf и исправьте параметр "atxfernoanswertimeout ="
Так вот нет там никакого atxfernoanswertimeout. Там только инклуды на другие конфиги, в которых тоже нет этого параметра.  Или в веб-интерфейсе куда надо зайти?

Страницы: [1] 2 3 ... 5