Решал на днях необычную для себя задачу. Нужно было определённые запросы к веб серверу Nginx сохранять отдельно. Можно общий лог обрабатывать, но есть более красивое и удобное решение - использовать возможности модуля map. Он универсальный и может много где использоваться. Покажу на примере с логом.

Пишем в отдельные файлы ошибку 404 и все коды 5XX. Добавляем в секцию http:

map $status $to404log {
404 1;
default 0;
}                
map $status $to5XXlog {
~^[5]  1;
default 0;
}

И потом в тот виртуальный хост, для которого это настаиваем:

access_log /var/log/nginx/404.log combined if=$to404log;
access_log /var/log/nginx/5XX.log combined if=$to5XXlog;

Теперь все запросы со статусом 404 будут писаться в лог 404.log, а все 500-е ошибки в лог 5XX.log. При этом в общий лог они тоже будут попадать.

Работает модуль map очень просто. В данном случае мы используем встроенную переменную $status, в которой хранится код ответа на запрос. Если код будет 404, то мы назначаем созданной нами переменной $to404log значение 1. А затем в виртуальном сервере указываем через if, что если значение 1, то пишем запрос в лог. А для 500-х ошибок используем регулярное выражение, которое будет включать их все.

По аналогии можно сделать блокировку определённых user-agent. Как раз для них я очень давно использую готовую конструкцию и баню наиболее известных ботов:

map $http_user_agent $block_useragent {
default 0;
~*semrushbot 1;
~*ahrefs 1;
~*rss2tg 1;
~*seznambot 1;
~*AspiegelBot 1;
~*BLEXBot 1;
~*MASHIAH 1;
  }

Добавляю в виртуальный хост:

if ($block_useragent) {
return 403;
}

Думаю, принцип понятен. По аналогии можно блокировать разные типы запросов через переменную $request_method, какие-то урлы для каких-то user agent. Модуль geoip тоже удобно через map использовать с помощью переменной $geoip_country_code, и т.д.

❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.

#nginx

Подписчик поделился полезным скриптом для аудита VPS серверов - VPS Security Audit Script. Я кстати, всегда с благодарностью отношусь ко всем рекомендациям. Всё читаю, смотрю, о чём-то пишу потом.

Возвращаясь к скрипту. Сначала прохладно отнёсся. Думаю, мало смысла на сервер нести какой-то посторонний софт. Но потом посмотрел исходники и поменял своё мнение. Там очень простой bash код, который легко читается. В скрипте никакой экзотики. Просто анализ типовых настроек с использованием стандартных утилит командной строки Linux.

📌 Скрипт проверяет:

▪️Настройки SSH: номер порта, аутентификацию по паролю и под root
▪️Статус Firewall
▪️Настройку автоматических установок обновлений безопасности
▪️Работу Fail2Ban или CrowdSec
▪️Количество неудачных попыток логина
▪️Количество доступных, но не установленных обновлений
▪️Количество работающих служб
▪️Количество открытых на внешнем интерфейсе портов
▪️Логирование команд через sudo
▪️Некоторые системные метрики: uptime, cpu, disk, memory
▪️Необходимость перезагрузки сервера после обновления ядра
▪️Наличие файлов с SUID (Set User ID) - флаг прав доступа, позволяющий запустить исполняемый файл с правами владельца.

Кстати, понравился способ посмотреть количество доступных к обновлению пакетов:

# apt-get -s upgrade 2>/dev/null | grep -P '^\d+ upgraded' | cut -d" " -f1
49

Результат работы скрипта сохраняется в текстовый файл. Эти файлы можно хранить в системе для хранения логов, либо парсить и передавать данные в систему мониторинга. Например, можно добавить в Zabbix и сделать триггер на фразу FAIL в логе.

Скрипт интересный. Ничего особенного, но всё аккуратно собрано в одном месте. Можно его рассмотреть и взять себе что-то для встраивания в свой мониторинг или скрипты. Я сохранил.

⇨ 🌐 Исходники

Сам использую немного другую шутку, но решаю похожие задачи:

⇨ Мониторинг безопасности сервера с помощью Lynis и Zabbix

❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.

#мониторинг #script

Я анонсировал ранее подборку сайтов IT блогеров со статьями на различные темы, связанные с настройкой и эксплуатацией IT систем. Собралось небольшое сообщество авторов. Полный список сайтов будет в конце. А пока анонс новых статей тех авторов, кто согласился участвовать и прислал свои материалы. 

❗️Напомню, что основной смысл моей инициативы - поддержать донатами тех авторов, кого вы посчитаете нужным и у кого будут возможности для этого на сайте.

🔥Поднимаем сервер синхронизации файлов Syncthing в docker
Подробная статья по настройке популярного и функционального решения для синхронизации файлов между несколькими устройствами. Для Syncthing устанавливается веб интерфейс. Показаны примеры по настройке различных устройств на базе Linux, Windows, Android.

⇨ Собираем единую ленту новостей с сайтов и Telegram-каналов на своем сервере
Установка на своём сервере агрегатора Telegram-каналов RSSHub с представлением в виде RSS-лент с помощью Tiny Tiny RSS.
⇨ Готовим агрегатор новостей с автоматической публикацией в своем Telegram-канале
Продолжение предыдущей темы. Использование готовых ботов или запуск на своего на своём сервере для автоматической публикации постов в Telegram канале.

⇨ Planka - opensource альтернатива Trello
⇨ Affine - opensource альтернатива Notion и Miro
⇨ Plane - opensource альтернатива Jira
Обзорные статьи аналогов популярных систем управления проектами.

🔥Как мигрировать базу данных Zabbix с MySQL на PostgreSQL
Подробная инструкция по миграции с одной СУБД на другую.
⇨ Как перенести Zabbix на новый сервер
Перенос Zabbix Server на новый сервер без смены СУБД. База переносится дампом.
⇨ Как перенести Zabbix Proxy на новый сервер
Перенос Zabbix Proxy. Статью не совсем понял. Прокси не хранит долговременных данных, не понятно, зачем её переносить. Можно просто поднять новую прокси, перевести клиентов на неё, а старую потушить.
⇨ Как обновить Zabbix с версии 6.0 до 7.0
⇨ Как обновить Zabbix Proxy с версии 6.0 до 7.0
Инструкции по обновлению Zabbix Server и Proxy на базе официальной. Бэкапим, подключаем новый репозиторий, обновляем пакеты, проверяем.

⇨ bat, exa – подсветка синтаксиса стандартного вывода в терминале Linux (cat, less, tail и ls)
Обзор современных консольных утилит Linux, аналога более старых.

⇨ Анализ дампов синих экранов Windows используя WinDBG
Создание и анализ дампов после BSOD с помощью WinDBG.

⇨ Как исправить пустую страницу после входа в ECP/OWA на сервере Exchange
Разбор ошибки, которая возникает при проблемах с настройкой TLS сертификатов.

🔥Тестовое задание. lamp + php 7 + php 8
⇨ Lemp + php 7 + php 8
Интересная заметка, как автор проходил собеседование с практическим заданием. В первом материале разбор тестового задания, а во втором оно же, только вместо Apache используется Nginx.

⇨ Замена системного диска в зеркале ZFS на Proxmox VE
Инструкция по замене диска в ZFS, на котором установлена система и загрузчик. Материал с последовательностью команд и результатом их работы.

⇨ Обработка естественного языка. Применение готовых моделей для анализа текста
Определение токсичности, эмоциональной окраски и принадлежности к спаму сообщений, комментариев с использованием моделей классификации текста с площадки Hugging Face.

⇨ Как решить проблему, когда Пуск не отвечает в Windows Server 2016
Какой-то странный баг с неработающим пуском на сервере. Сам не сталкивался с таким, хотя с этой версией периодически работаю.

Если кто-то хочет присоединиться к этой подборке, то пишите мне в личные сообщения. Пока список выглядит так:

▪️https://r4ven.me
▪️https://wiki-it.ru
▪️https://www.gurin.ru
▪️https://sysadminhub.ru
▪️https://devopslife.ru
▪️https://bite-byte.ru
▪️https://sysadminium.ru
▪️https://desoft.ru
▪️https://www.pc360.ru
▪️https://bafista.ru
▪️https://it-experience.ru
▪️https://blogadminday.ru
▪️https://marukhin.ru

#статьи

Тестировал вчера open source панель для управления сервером и установки на него софта - Cosmos. Сам автор позиционирует её как Secure and Easy Selfhosted Home Server. Панель и сама работает в Docker, и софт запускает тоже в контейнерах. Это уже не первая подобная панель на канале. Сразу скажу, что ничего особенного в ней не увидел. Она не лучше и не проще всех остальных похожих.

В целом, пользоваться можно. Даже русский язык есть, но переведено кривовато. Я переключился на английский. У всех подобных панелей на базе Docker есть один существенный минус. Они хоть и позиционируют себя как простые и быстрые в настройке, на деле это не так. Запуск приложений в Docker, особенно когда их много на одном сервере, требует от пользователя понимания, как всё это между собой связано и работает. Постоянно возникают небольшие нюансы в работе, которые не решить без этих знаний. А если вы знаете Docker, то и панель вам особо не нужна. Ставишь Portainer и запускаешь всё там.

Cosmos в целом неплоха в сравнении с остальными. Выделю несколько полезных особенностей:

▪️Интерфейс адаптивен, работает и на мобильных устройствах.
▪️Можно создавать пользователей веб панели. Бесплатная версия позволяет создать 5 штук.
▪️Панель нативно поддерживает работу MergerFS и SnapRAID.
▪️Из коробки HTTPS от Let's Encrypt.
▪️Поддержка OAuth 2.0 и OpenID, 2FA через Google аутентификатор или аналоги.
▪️Есть встроенные средства безопасности, на основании которых можно ограничивать доступ к публикуемым ресурсам. Можно ограничивать доступ на основе групп. Блокировать ботов, тех, кто превышает лимиты по запросам или трафику.

Запустить и посмотреть на Cosmos можно так:

# docker run -d --network host --privileged --name cosmos-server -h cosmos-server --restart=always -v /var/run/docker.sock:/var/run/docker.sock -v /var/run/dbus/system_bus_socket:/var/run/dbus/system_bus_socket -v /:/mnt/host -v /var/lib/cosmos:/config azukaar/cosmos-server:latest

Если настроено доменное имя, то можно сразу получить сертификат от Let's Encrypt, а все устанавливаемые службы будут запускаться на поддоменах. Если же сделать установку без HTTPS по IP адресу сервера, то сервисы будут подниматься на отдельных TCP портах. Я и так, и так попробовал.

Аналоги Cosmos:

◽️CasaOS
◽️Runtipi

Мне лично CasaOS больше всего понравилась. Она более целостно смотрится, магазин приложений больше, как и в целом сообщество. Но Cosmos более функциональна в базе.

⇨ 🌐 Сайт / Исходники / Demo

#docker #linux

🔝 ТОП постов за прошедший месяц. Все самые популярные публикации по месяцам можно почитать со соответствующему хэштэгу #топ. Отдельно можно посмотреть ТОП за прошлый год. ТОП за этот год будет в следующей публикации.

Пользуясь случаем, хочу попросить проголосовать за мой канал, так как это открывает некоторые дополнительные возможности по настройке: https://www.tg-me.com/boost/srv_admin.

📌 Больше всего пересылок:
◽️Шпаргалка на тему создания LVM Raid (590)
◽️Публичные DNS и NTP серверы от MSK-IX (572)
◽️Скрипт для аудита серверов - VPS Security Audit Script (512)

📌 Больше всего комментариев:
◽️Моя покупка Mikrotik hAP ax³ (233)
◽️Обновление Windows до 24H2 (131)
◽️Использование док-станций с ноутбуком (111)

📌 Больше всего реакций:
◽️Заметка про использование и замену диска в mdadm (270)
◽️Пример небольшой инфраструктуры для 1С на Proxmox (250)
◽️Публичные DNS и NTP серверы от MSK-IX (246)

📌 Больше всего просмотров:
◽️Использование док-станций с ноутбуком (10298)
◽️Обучающая игра SLASH\ESCAPE (10270)
◽️Советы по снижению спама от Zabbix Server (9748)

#топ

🎄🔝 Под конец года осталось закрыть один технический момент. Подготовил список наиболее популярных публикаций в этом году. Надеюсь, вам будет интересно после праздников его посмотреть и найти что-то для себя полезное. Потратил несколько часов, чтобы его составить. В прошлом году это была практически самая просматриваемая публикация.

🙏🏻 Благодарю всех, кто читает и проявляет активность на канале. Очень ценю это и отдаю себе отчёт, что канал и моя деятельность на нём есть только благодаря вам. Всегда стараюсь писать максимально интересно и полезно, не считаясь с затраченным временем. Если внимательно присматриваться к некоторым скриншотам, то там можно увидеть ночное время. Пока всё не проверю и не вычитаю текст, не публикую. Не делаю проходных публикаций только для того, чтобы сделать. Всю информацию насыщаю чем-то своим, лично проверяю большую часть того, о чём пишу.

Благодаря этому у меня есть возможность публиковать только тематическую рекламу, выбирать рекламодателей и не публиковать то, что мне самому не нравится. Рекламодатели положительно отзываются на отклик на свои публикации и возвращаются вновь. Так что стабильный поток рекламы - это ваша заслуга 😁

До 9-го января я буду отдыхать, больше тематических публикаций в этом году не будет, кроме завтрашнего небольшого пожелания и поздравления.

📌 Больше всего пересылок:
◽️Подборка заметок по консольным утилитам Linux (1212)
◽️Бесплатные курсы от Postgres Professional (1139)
◽️Топ-10 артефактов Linux для расследования взлома (1118)
◽️Подборка команд и полезных ссылок для Docker (1100)
◽️Готовые профили для Wireshark (1017)
◽️Создание TLS сертификатов через свой CA (958)
◽️Терминальный сервер на базе Windows 10,11 (904)
◽️Бесплатные курсы по Ansible (878)
◽️Шпаргалка по поиску свободного места в Linux (864)
◽️Система управления инфраструктурой OpenRPort (786)

📌 Больше всего комментариев:
◽️Массовый BSOD на Windows (362)
◽️Баг с переключением раскладки в Windows (324)
◽️Как найти работу в ИТ после 45 лет? (294)
◽️Тайная жизнь современных ОС (235)
◽️Моя покупка Mikrotik hAP ax³ (232)
◽️Настройка NFS сервера (224)
◽️Проблемы со спиной от сидячей работы (218)
◽️Гипервизор для одной виртуальной машины (210)
◽️Утро на удалёнке (209)
◽️Новость с исключением русских мэйнтейнеров (208)

📌 Больше всего реакций:
◽️Следы на сервере после подключения по SSH (802)
◽️Заметка про мой распорядок дня (538)
◽️Заметка ко дню победы на 9-е мая (416)
◽️Шпаргалка по tcpdump (370)
◽️Терминальный сервер на базе Windows 10,11 (336)
◽️Комбинация Alt+Shif+3 в терминале bash (325)
◽️Мем - Позовите системного администратора (310)
◽️Мем про интернет по карточкам (300)
◽️Настройка default_server в Nginx (298)
◽️Взлом СДЕК (292)

📌 Больше всего просмотров:
◽️Список IP адресов Youtube для ускорения (17700)
◽️Бесплатные курсы от Postgres Professional (16700)
◽️Подборка заметок по консольным утилитам Linux (15500)
◽️Бесплатные курсы по Ansible (14700)
◽️Готовые профили для Wireshark (14700)
◽️Grafana+Influxdb+K6 для нагрузочного тестирования (14500)
◽️Браузер Mypal68 для Windows XP (14300)
◽️Шпаргалка по поиску свободного места в Linux (14200)
◽️Клиент для WireGuard TunnlTo (13900)
◽️Подборка авторских IT роликов (13700)

#топ

🎄Поздравляю всех с наступающим Новым годом. В наши дни это особенный праздник, который оброс множеством ритуалов, особенно если у вас есть дети. И особенно, если их много. Мне кажется, я уже недели две отмечаю новый год. Посетил кучу различных концертов и ёлок, в том числе с участием своих детей. Получил и вручил подарки, подготовленные силами супруги. Самому некогда этим заниматься.

Хочу вам сделать небольшое пожелание, которое прозвучит банально, но кто знает, может быть такое же пожелание однажды изменило мою жизнь. Ниже расскажу эту историю. Я желаю каждому из вас, если вы ещё не нашли своё место в жизни и не поняли, чего вы на самом деле хотите, понять это. И начать действовать в направлении, которое приведёт вас к вашему личному счастью.

Теперь про меня. До 27 лет я был один. Проживал обычной холостяцкой жизнью и особо не задумывался о том, чего вообще хочу и к чему стремлюсь. Зарабатывал нормально, одному хватало. Купил машину, потом квартиру в ипотеку. Ездил отдыхать заграницу, по выходным где-то с друзьями отдыхал, пьянки-гулянки. Вспомнил обо всём этом на днях, когда старые фотографии просматривал. Некоторые, кстати, не открывались (привет, bit rot). Вроде так посмотришь со стороны, весёлая жизнь была, но не могу сказать, что я был счастлив.

В очередной новый год я поехал отдыхать с друзьями в Нидерланды, Амстердам. Там посетил основные злачные места, которыми славится этот город. Побухал, попробовал марихуану. Там её можно было купить и курить в специальных кафе. Вообще не понравилось. Это был первый и последний раз. И вот как-то утром после бурной ночи я проснулся, голова болит, настроение хреновое. И тогда я понял, что мне вообще вот это всё не нравится и я так жить не хочу.

Попил водички, умылся, переоделся в спортивную форму и пошёл на пробежку по Амстердаму. В тот день я понял, что все те развлечения, что у меня есть, и моя жизнь в целом, мне не нравятся. Это навязанный извне образ жизни, который претит и не делает счастливым. Понял, что я хочу нормальную семью, где будет много детей.

Вернулся в Москву и начал потихоньку действовать. По неопытности наломал дров. Первый брак был неудачный. Обижаться, как любят многие обжёгшиеся, ни на кого не стал. Ни на женщин, ни на законы, ни на государство, ни на "матриархат", ни на жизнь, хотя через МДшное движение прошёл, материалы изучил. Принял, чтобы был виноват сам, ошибся. Сделал работу над ошибками и попробовал второй раз. Параллельно завязал с вредными привычками, сменил работу.

В итоге получил то, что по-настоящему захотел. Путь был труден, но понятен и ясен. Ощущаю себя счастливым, получившим ровно то, что сам заслужил. Винить некого. Что захотел, к чему шёл, то и получил.

Рассказал эту историю не для того, чтобы кто-то повторил и сделал так же. Думаю, что большинство людей, увидев как я живу, открестятся и скажут, что мне такого счастья не надо. Это нормально, так и должно быть. Все люди разные. У каждого своя жизнь, своя судьба, своё счастье. Важно найти то настоящее, что тебе действительно хочется и нужно. Как это наверняка сделать, я не знаю. Мне пришёл ответ внезапно откуда-то. Не знаю откуда. Просто пришёл и всё. Может пожелал кто-то и так помог. Мысли и пожелания имеют свою силу.

Рассказал эту историю для того, чтобы кто-то может быть задумался о своей жизни и принял решение её поменять. Новый год - отличное время для этого. У меня всё с очередного нового года и началось. Так что желаю перемен к лучшему всем тем, кто их искренне желает. А если не желает, то желаю пожелать. С Новым Годом 🎄

#разное #мысли

Всем привет. Поздравляю с окончанием праздников. Наконец-то можно снова заняться полезными и интересными делами. Как у вас, без происшествий прошли выходные? У меня было ровно одно небольшое событие, которое потребовало моего участия. Решил сразу рассказать, пока не забыл.

Разом отвалились постоянно подключенные клиенты одного OpenVPN сервера. Сразу подумал на протухшие сертификаты либо клиентов, либо самого сервера. Не раз такое случалось. При генерации значения по умолчанию обычно год-два, редко больше. Если специально не изменишь, то потом перевыпускать придётся.

Проверил сначала клиентов, всё ОК. Немного удивился. Ожидал увидеть, что просрочены они. В логах самих клиентов не было подробностей, только невозможность установить TLS соединение. Проверил сертификат сервера, с ним тоже всё в порядке.

Тут уже немного повнимательнее стал смотреть. Проверил лог сервера. Там ошибка прямым текстом указана. Надо было с него начинать:

TLS: Initial packet from [AF_INET]1.2.3.4:40564
VERIFY ERROR: depth=0, error=CRL has expired
OpenSSL: error:1417C086:SSL routines:tls_process_client_certificate:certificate verify failed
TLS_ERROR: BIO read tls_read_plaintext error
TLS Error: TLS object -> incoming plaintext read error
TLS Error: TLS handshake failed

Основное тут: CRL has expired. Файл со списками отозванных сертификатов оказался просрочен. Сколько лет использую OpenVPN, в том числе с CRL (Certificate Revocation List), а первый раз с таким сталкиваюсь (поправочка, 7 лет назад уже сталкивался, но забыл).

Файл crl.pem был сгенерирован с помощью набора скриптов easy-rsa. В них по умолчанию параметр EASYRSA_CRL_DAYS выставлен в 180 дней. Если за этот срок не будет нового отзыва и пересоздания файла crl.pem, то сервер OpenVPN перестанет принимать соединения с указанной выше ошибкой.

Просто пересоздал файл, увеличив срок жизни файла до 10 лет. В своём случае не вижу смысла ограничивать срок жизни этого файла. К тому же последнее время обхожусь без него. Для тех, кто не знает, напомню, что нежелательных клиентов OpenVPN сервера можно отключать с помощью настройки сервера ccd-exclusive.

Если указана эта настройка, то для того, чтобы подключение клиента состоялось, для него должен существовать файл с настройками в client-config-dir. Если его там нет, он не подключится. Я всегда пользуюсь этими настройками, так что файлы конфигураций для клиентов есть. Если надо кого-то отключить, то достаточно просто удалить этот файл. И клиент не сможет подключиться.

Это не отменяет процедуры отзыва сертификатов. Сертификаты неактивных клиентов на всякий случай лучше отзывать. Но можно это делать по плану в какой-то определённый день, а не сразу после принятия решения об отключении. Для этого надо отозвать сертификат, сформировать новый список CRL, заменить существующий и перезапустить службу OpenVPN. Просто удалить файл конфигурации быстрее и проще.

📌 Полезные материалы по теме OpenVPN:

▪️Одновременный запуск нескольких клиентов OpenVPN
▪️Маршруты для клиента на основе url, а не ip адреса
▪️Запуск OpenVPN сервера на разных внешних IP адресах
▪️Диагностика низкой скорости через OpenVPN
▪️Запускаем OpenVPN сервер за 443 портом веб сервера
▪️Бесплатная веб панель для управления сервером
▪️Создание туннелей с коррекцией ошибок (Forward Error Correction)

На всякий случай уточню, что ни в заметке, ни в ссылках, нет никакой информации об обходе блокировок сайтов. Это описание использования OpenVPN для обеспечения сетевой связности распределённых сетей.

❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.

#openvpn

В праздники наконец-то появилась возможность поиграться с контейнерами в Mikrotik hAP ax³, который недавно приобрёл. У него, кстати, WiFi намного мощнее, чем в моём старичке RB951G-2HnD. Последний с трудом добивал до дальних частей комнат, удалённых от коридора, где он висел. Новый без проблем достаёт везде. Мне кажется, что у RB951G в какой-то момент мощность сигнала деградировала. Он уже 10+ лет в квартире трудится, но только последние год-два стал замечать, что в некоторых углах при закрытых дверях связь плохая.

В контейнере я в первую очередь хотел видеть Pi-hole, чтобы порезать некоторую рекламу у домашних пользователей интернета в виде жены и детей. Мне без надобности, так как блокировки на уровне DNS не очень удобны. Я предпочитаю у себя на компе сам всем этим управлять. А остальным всё равно. Им будет в любом случае полезно.

Особых трудностей с настройкой нет. Всё сделал по инструкции от самого производителя. Но лично я промучался в итоге долго из-за проблемной флешки, о чём узнал позднее. Взял самую маленькую, которая как затычка. Воткнул в ноут, посмотрел, вроде работает. А на деле работает с проблемами. Иногда она тупо зависала и не позволяла ничего на себя писать. Контейнер либо не запускался, либо запускался, но работал с ошибками. Логов по контейнерам в Микротике почти нет. Никаких значимых ошибок не видел. Уже потом сам догадался, что флешка глючит.

В итоге всё настроил. Можно самому Микротику указать в качестве основного DNS сервера IP адрес контейнера с Pi-Hole, но будет не очень удобно, так как во всех логах будет фигурировать один IP адрес клиента - сам Микротик. Я сделал по-другому. Пробросил в Firewall все запросы от клиентов по 53-м портам в контейнер. В итоге в админке Pi-Hole увидел IP адреса клиентов и сделал исключения для личных устройств.

В целом, всё работает нормально. Работу одного контейнера hAP ax³ тянет вообще без каких-либо напрягов. Можно ещё парочку аналогичных запустить, но мне особо ничего не нужно. Не придумал, что ещё там запускать.

Получилось удобно. Нет нужды какую-то другую железку запускать для этих задач. Микротик сам всё это тянет, работает бесшумно, не греется. Так что удобное решение, рекомендую.

❗️Удивил старый телевизор Samsung. Ему лет 15, подключен к локалке, чтобы смотреть на нём фильмы с DLNA сервера. Он больше всех DNS запросов наотправлял для резолва домена samsung com. Интересно, какие данные он туда передаёт. Надо будет закрыть ему доступ в интернет.

#mikrotik

Вчера в комментариях ВК один человек прислал ссылку на роутер российской фирмы Kroks, как аналог Mikrotik. Удивился, так как вообще впервые увидел этот бренд. Решил посмотреть, что это за роутеры. Реально ни разу их не видел и даже не слышал.

Под капотом там OpenWRT. Посмотрел отзывы в ютубе. Ничего особо хорошего, как и сильно плохого не увидел. По ценам что-то среднее, но в лоб сравнить трудно, так как у этих устройств акцент на встроенные LTE модемы с внешними антеннами. Я в этом сегменте вообще не разбираюсь.

У меня есть комплект MIMO антенна + переходники + USB модем. Как раз его недавно думал заменить на какой-то полноценный роутер. Хотел сначала Микротик взять, но не стал торопиться. Хотел попробовать что-то другое. А тут как раз в тему узнал про Kroks. К нему эта антенна подойдёт. Они отдельно продаются, а у меня уже есть.

У кого-то есть опыт работы с этими роутерами? Меня привлекает именно OpenWRT. Не нужно колхозить и подбирать прошивки под устройство. Уже все готово, только обновляй. Я этой системой несколько лет пользовался на разных роутерах до замены их на Микротики. Прошивка функциональная, я её знаю, разбираться не придётся.

Роутер нужен исключительно как LTE модем с сим картами. Wifi раздаёт другое устройство, как и выполняет функции роутинга. Что-то можете посоветовать для этого? Мне бы по идее подошёл один из бюджетных Kroks, но когда внимательнее присмотрелся к характеристикам, заметил, что на всех начальных моделях LAN только 100 мегабит. LTE бывает и быстрее, а тут выходит, что 100 мегабит это будет потолок. Купить не проблема, на Озоне полно разных моделей в наличии.

#железо

Ранее я уже поднимал тему выбора размера MTU (maximum transmission unit) для VPN туннелей. Чаще всего об этом не нужно беспокоиться, принимая все параметры по умолчанию, но иногда бывают ситуации, и я с ними сталкивался, когда приходится разбираться из-за заметного уменьшения быстродействия туннеля без видимых причин.

Я вспомнил об этой теме, потому что столкнулся с реальным примером. У меня не возникло каких-то проблем с быстродействием, но получилось на практике посмотреть на эти настройки. Мне нужно было подключиться к старенькому PPTP туннелю. Клиентом выступал Mikrotik.

При создании PPTP интерфейса Mikrotik предлагает выбрать MTU 1450. Я немного погуглил, но не понял, а почему именно это значение ставить? Есть рекомендации сделать либо больше, либо меньше. Не понятно.

Взял под Windows утилиту mturoute. Это лучшее решение для быстрого определения MTU. Она отправляет нефрагментированные ICMP пакеты разного размера, определяя максимальный размер, который доходит до адресата. В настройках Mikrotik для начала указал MTU 1500, запустил туннель и выполнил проверку:

> mturoute 192.168.10.1
* ICMP Fragmentation is not permitted. *
* Speed optimization is enabled. *
* Maximum payload is 10000 bytes. *
- ICMP payload of 1472 bytes is too big.
+ ICMP payload of 92 bytes succeeded.
+ ICMP payload of 1299 bytes succeeded.
- ICMP payload of 1466 bytes is too big.
+ ICMP payload of 1463 bytes succeeded.
+ ICMP payload of 1464 bytes succeeded.
- ICMP payload of 1465 bytes is too big.
Path MTU: 1492 bytes.

В Linux можно использовать tracepath:

# tracepath 192.168.10.1
 1?: [LOCALHOST]           pmtu 1500
 1: ???                         0.586ms
 1: ???                         0.256ms
 2: 10.8.2.1                    5.685ms
 3: 10.8.0.3                    11.253ms
 4: 10.8.0.3                    14.199ms pmtu 1492
 4: 192.168.10.1                17.783ms reached
   Resume: pmtu 1492 hops 4 back 4

Обе утилиты показали максимальный размер пакета 1492. Его я и установил в настройках PPTP интерфейса. Если бы я оставил то, что предлагалось по умолчанию 1450, то проблемы бы тоже не было. Но теоретически, с 1492 скорость будет немного выше. А вот если поставить 1500, то наверняка будут проблемы, так как стандартные пакеты начнут дополнительно фрагментироваться.

Задался вопросом. А почему, собственно, рабочее MTU 1492? Ведь по идее PPTP уменьшает стандартный размер пакета как минимум на следующие заголовки: IPv4+TCP+GRE. То есть там как минимум будет уменьшение на 20+20+8 = 48 байт. MTU должно быть 1452. Дело тут скорее всего в том, PPTP для передачи данных использует отдельное соединение с помощью протокола GRE. Сначала выполняется управляющее подключение по TCP порту 1723. А потом данные передаются по отдельному GRE соединению. Если верить калькулятору, то GRE с ключом как раз забирает для своих заголовков 8 байт и MTU будет 1492.

Данный вопрос 100% актуален, если у вас используется PPPoE соединение с интернетом, а поверх него VPN туннель. Там точно нужно будет делать поправку на PPPoE. У меня есть одна точка с таким соединением. Без VPN mturoute показывает MTU 1480.

Надеюсь вам эта информация будет полезна и где-то пригодится. Писал больше для себя, чтобы разобраться. Тема с MTU сложная. Нужно хорошо понимать, как вообще устроена передача данных, из чего состоят пакеты, как передаются, фрагментируются и т.д. Я в отдельности всё это изучал, но без практики информация быстро забывается.

Написав текст, я лучше запоминаю и всегда могу к нему вернуться, если понадобится. Главное, не забыть, что об этом уже писал и разбирался 😁 Не всегда удаётся. Успокаивает то, что это не только для меня проблема. Читал недавно статью на сайте, где автор в комментариях написал, что вышел на свою статью через google. Тупо забыл, что уже сталкивался и писал об этом. У меня так тоже не раз бывало.

☝️Из этой заметки стоит сохранить на память как минимум:

◽️Visual packet size calculator, пример расчёта
◽️mturoute.exe
◽️Чем отличаются утилиты traceroute, tracert и tracepath?

❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.

#network