victor_sudakov: (Default)
Не знает ли кто, как можно заставить PuTTY ставить ненулевой DSCP class в своих пакетах? Например у юниксовых ssh и sshd есть опция IPQoS для этого, у цисок "ip ssh dscp" и т.д.

Если есть другой ssh клиент под Windows, который в отличие от PuTTY это умеет, можете такой посоветовать.
victor_sudakov: (Default)
В мессенджер Telegram добавили голосовые и видеозвонки. Вот даже не знаю, радоваться ли. И окончательно перестаю понимать, за чей счёт банкет. https://telegram.org/blog/calls

Хотя способ верификации отпечатка ключа порадовал. Можно голосом сверить.
victor_sudakov: (Default)
Чтобы сабжевая конфигурация заработала, надо на клиенте в .ovpn явно прописывать тип шифрования, идентичный серверному. Иначе получим в логе на стороне сервера:

openvpn[44674]: x.x.x.x:59463 WARNING: 'cipher' is used inconsistently, local='cipher AES-256-CBC', remote ='cipher BF-CBC'

Предположительно Tunnelblick не поддерживает NCP, как openvpn версии <=2.3
victor_sudakov: (Default)
Это же надо было догадаться tinyurl.com внести в запретный список Роскомнадзора. Федеральная налоговая служба отличилась. https://reestr.rublacklist.net/search/?q=tinyurl.com
victor_sudakov: (Default)
http://termbin.com/ - это просто праздник какой-то! Прямо из командной строки:

$ md5 /bin/ls | nc termbin.com 9999
http://termbin.com/f16l
$


Можно кидать русский текст в UTF-8.

MAB

Jan. 19th, 2017 12:25 pm
victor_sudakov: (Default)
Для включения контроля доступа по списку разрешенных MAC адресов, при этом на порту можно иметь >1 разрешенного адреса:

aaa authentication dot1x default group radius

dot1x system-auth-control

interface GigabitEthernet1/0/29
  authentication host-mode multi-auth
  authentication order mab
  authentication port-control auto
  authentication timer reauthenticate 120
  authentication timer restart 600  
  authentication violation restrict
  mab
end

В RADIUS в users:

e8de27c96a2e Auth-Type = Local, Password = "e8de27c96a2e"

Или в tac_plus.conf:

user = e8de27c96a2e {
        name = "Printer 2"
        pap = cleartext "e8de27c96a2e"
}
victor_sudakov: (Default)
Показать пакеты например с CS2:

tcpdump '(ip[1] & 0xfc) >> 2 == 16'
tcpdump '(ip[1] & 0xfc) >> 2 == 0x10'
victor_sudakov: (Default)
Для решения одной временной задачи сделал говнороутер (FreeBSD 9, bird) для подключения оборудования (Moxa, Digi) на объекте. Одна сетевая карта встроенная, другую пришлось взять USB, опозналась как axe.

Проверяю - что за чертовщина. Ping до оборудования ходит туда и обратно без проблем, а TCP (telnet и HTTP) нет. Причем в tcpdump видно, что ответные пакеты от оборудования доходят до хоста, откуда запускается telnet клиент, но игнорируются им.

Помогло "ifconfig ue0 -txcsum -rxcsum".
victor_sudakov: (Default)
Заменил exabgp на bird в качестве BGP route injector. Из преимуществ bird: никаких питонов, удобные show команды, удобный экспорт полученных маршрутов в текст (в exabgp требовался отдельный хелпер exaprefixdb). И вообще функционал bird шире, всё-таки это полноценный демон маршрутизации с поддержкой разных протоколов с экспортом/импортом между ними.

Если нежелательно, чтобы инжектируемые маршруты пересекались с реальными, всегда можно завести отдельную таблицу для них.
victor_sudakov: (Default)
Оказывается birdс понимает команды вида "birdc show route filter XXX"

Дальше уже можно передать на awk и т.п.
victor_sudakov: (Default)
Поскольку родное ПО для данного прибора (OneExpert Handheld Manager) существует только под Windows, очень кривое, и исправление багов не предвидится, выкладываю способ (найден вместе с [livejournal.com profile] wladimir_m) терминального доступа к результатам тестирования.

1. Установить на компьютер драйвера для SiliconLab CP210 USB to UART
2. После подключения прибора посмотреть, какой COM-порт появился в системе
3. Запустить терминальную программу на этот порт 115200 бит/с, 8-N-1
4. Для скачивания файлов ввести команду getfiles, выбрать из списка имя нужного файла, ввести команду dump <имя файла>
5. Для входа в OS набрать:
login
root
thaddeus


Некоторые команды OS.

Просмотр списка файлов с результатами: "cd /cust/user/configs/SCE ; ls"

Версия прибора: "*idn?"

А так там Linux внутри.
victor_sudakov: (Default)
Сабж делается так

protocol static pool1 {
        route x.x.x.x/24 unreachable ;
}
protocol ospf MyOSPF {
        export filter {
                ospf_metric1 = 200;
                if proto = "pool1" then accept; else reject;
        };
...
}


Вообще семантика import и export в BIRD неинтуитивная. Export пишется в секции протокола, но означает экспорт маршрутов из routing table в данный протокол. IMHO интуитивно было бы наоборот.

import all | none | filter name | filter { filter commands } | where filter expression

Specify a filter to be used for filtering routes coming from the protocol to the routing table. all is shorthand for where true and none is shorthand for where false. Default: all.

export filter

This is similar to the import keyword, except that it works in the direction from the routing table to the protocol. Default: none.
victor_sudakov: (Default)
Если нежелательно бриджевать NIC виртуальной машины в bhyve с какой-то из реальных NIC хоста, то можно сделать на хосте "ifconfig tap0 192.168.1.1/30", а в соответствующей виртуалке "ifconfig vtnet0 192.168.1.2/30". Пакеты будут передаваться через tap. Но еще удобнее сделать так:

Host:

cloned_interfaces="tap0 tap1 tap2 tap3 tap4 bridge0"
ifconfig_bridge0="192.168.1.1/24 up"
autobridge_interfaces="bridge0"
autobridge_bridge0="tap*"   
dhcpd_ifaces="bridge0"


Guest:

ifconfig_vtnet0="DHCP"


Интерфейс tap(4) имеет неприятное (но документированное в мане) свойство терять IP адрес, когда виртуальная машина останавливается и соответствующий ей /dev/tapN закрывается. Назначение IP адреса на bridge(4) решает эту проблему, а заодно позволяет сделать общий LAN для виртуальных машин.

Не забывать только про sysctl net.link.tap.up_on_open=1

Еще можно использовать в bhyve vmnet вместо tap, т.к. vmnet не теряет адрес. Но вариант с bridge удобнее во всех отношениях.
victor_sudakov: (Default)
Послушал сегодня вебинар RIPE по теме планирования IPv6 адресации. В частности рассказывали, как компании красиво распорядиться выданным ей провайдером блоком /56 или /48, как грамотно расписать сети по зданиям и отделам. Попозже выложу материалы с вебинара.

Ведущие утверждали, что в IPv6 NAT не нужен и использоваться не будет. А если в каких-то редких случаях он понадобится, то это будет one-to-one NAT.

А я читаю разные регламенты по сетевой безопасности и почти везде встречаю требование использовать во внутренней сети RFC1918 адреса. Не из соображений нехватки адресов, а для скрытия внутренней сети предприятия и т.п., а для этого уже требуется symmetric (?) NAT.

Когда наступит широкое внедрение IPv6, интересно, кто кого переборет в умах и реализациях: архитекторы IPv6 или безопасники.
victor_sudakov: (Default)
Для нормального возобновления связи после перезагрузки Windows понадобились sysctl на FreeBSD:
net.key.preferred_oldsa=0
net.key.blockacq_count=0
victor_sudakov: капитан Зеленый (Captain)
По-моему свинство со стороны Cisco включить в Catalyst 3560X в конфигурации по умолчанию (!) shaping на одной из четырех egress очередей (а именно на той, в которую по умолчанию попадают кадры с COS=5). Всю голову сломал, пока разобрался, где режется трафик.

Switch#sh mls qos maps cos-output-q
   Cos-outputq-threshold map:
              cos:  0   1   2   3   4   5   6   7
              ------------------------------------
  queue-threshold: 2-1 2-1 3-1 3-1 4-1 1-1 4-1 4-1

Switch#sh mls qos interface queueing

GigabitEthernet0/5
Egress Priority Queue : disabled
Shaped queue weights (absolute) :  25 0 0 0
Shared queue weights  :  25 25 25 25
The port bandwidth limit : 100  (Operational Bandwidth:100.0)
The port is mapped to qset : 1


Switch(config-if)#srr-queue bandwidth ?
  limit  Configure bandwidth-limit for this interface
  shape  Configure shaping on transmit queues
  share  Configure shared bandwidth

Profile

victor_sudakov: (Default)
Виктор Судаков

September 2017

S M T W T F S
     12
34 56789
10 111213 141516
17181920212223
24252627282930

Syndicate

RSS Atom

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Sep. 24th, 2017 05:07 am
Powered by Dreamwidth Studios