Почему я не люблю OpenVPN на Mikrotik
Сегодня довелось еще раз в этом убедиться. Есть схема примерно соответствующая рисунку. Имеется центральный роутер, к которому присоединены роутеры точек, за каждым сеть. Между роутерами SSTP c 256-битным шифрованием. И есть ноутбук мобильного сотрудника, с OpenVPN, шифрование 128 бит.
Итак, подключаем ноутбук к роутеру B и проверяем доступность удаленного узла. По дороге два SSTP, результат отличный.
Подключаем OpenVPN. Далее идет непереводимая игра слов и выражений... Цензурных слов нет.
Меняем RB2011 на гораздо более мощный hEX. Ну уже что-то более менее приемлемое.
Выводы: на слабом железе (все что не ARM и не hEX) для чего-либо более-менее серьезного OpenVPN в исполнении Mikrotik непригоден.
Тем временем "OpenVPN на Mikrotik" - один из самых популярных запросов на нашем сайте.
Сегодня довелось еще раз в этом убедиться. Есть схема примерно соответствующая рисунку. Имеется центральный роутер, к которому присоединены роутеры точек, за каждым сеть. Между роутерами SSTP c 256-битным шифрованием. И есть ноутбук мобильного сотрудника, с OpenVPN, шифрование 128 бит.
Итак, подключаем ноутбук к роутеру B и проверяем доступность удаленного узла. По дороге два SSTP, результат отличный.
Подключаем OpenVPN. Далее идет непереводимая игра слов и выражений... Цензурных слов нет.
Меняем RB2011 на гораздо более мощный hEX. Ну уже что-то более менее приемлемое.
Выводы: на слабом железе (все что не ARM и не hEX) для чего-либо более-менее серьезного OpenVPN в исполнении Mikrotik непригоден.
Тем временем "OpenVPN на Mikrotik" - один из самых популярных запросов на нашем сайте.
Сериал "На дне", серия номер следующая, в главной роли - СофтБаланс.
Как говорится, не прошло и нескольких дней с последнего обращения в поддержку сего поделия. Вроде как все заработало и люди немного расслабились. А с чем-то даже смирились, вроде эпизодически отваливающего ключа защиты.
Обновляться уже просто боятся, вопрос теперь даже не в деньгах, ибо Софтбаланс чинит одно и тут же ломает другое.
Ответ поддержки на наше обращение вообще удивил своей простотой. Ключевое слово - возможно... Эй, ребята, вы там совсем что-ли? Вы ошибки вообще регистрируете? Внутренний контроль ведете?
Как говорится, не прошло и нескольких дней с последнего обращения в поддержку сего поделия. Вроде как все заработало и люди немного расслабились. А с чем-то даже смирились, вроде эпизодически отваливающего ключа защиты.
Обновляться уже просто боятся, вопрос теперь даже не в деньгах, ибо Софтбаланс чинит одно и тут же ломает другое.
Ответ поддержки на наше обращение вообще удивил своей простотой. Ключевое слово - возможно... Эй, ребята, вы там совсем что-ли? Вы ошибки вообще регистрируете? Внутренний контроль ведете?
Зачем Microsoft ломает пользовательские интерфейсы?
Переехавшую в центр панели кнопку Пуск не обсудил только ленивый. Новая инициатива Microsoft не столь известна, хотя местами ее уже успели обозреть и выдать положительные отзывы.
Это вертикальные вкладки. Подается все опять под соусом повышения удобства. Но по факту снова ломается интерфейс и умножается на ноль пользовательский опыт, причем очень старый опыт, практический рефлекс.
Вкладки в браузере были вверху всегда! Это уже на бессознательном уровне, также как и Пуск слева внизу.
У меня обычно много вкладок, очень много, сейчас вот 94, но никакого улучшения я не заметил. Даже если отбросить то, что я постоянно ищу их сверху, по вертикали их умещается меньшее количество. Плюс постоянно выезжающая панель не добавляет скорости работы.
Самое интересное, что вертикальные вкладки не новы, таких расширений для Chrome в магазине достаточно, но особой популярностью они не пользуются, так какой смысл в очередной раз наступать на одни и те же грабли?
Переехавшую в центр панели кнопку Пуск не обсудил только ленивый. Новая инициатива Microsoft не столь известна, хотя местами ее уже успели обозреть и выдать положительные отзывы.
Это вертикальные вкладки. Подается все опять под соусом повышения удобства. Но по факту снова ломается интерфейс и умножается на ноль пользовательский опыт, причем очень старый опыт, практический рефлекс.
Вкладки в браузере были вверху всегда! Это уже на бессознательном уровне, также как и Пуск слева внизу.
У меня обычно много вкладок, очень много, сейчас вот 94, но никакого улучшения я не заметил. Даже если отбросить то, что я постоянно ищу их сверху, по вертикали их умещается меньшее количество. Плюс постоянно выезжающая панель не добавляет скорости работы.
Самое интересное, что вертикальные вкладки не новы, таких расширений для Chrome в магазине достаточно, но особой популярностью они не пользуются, так какой смысл в очередной раз наступать на одни и те же грабли?
Инсайдерская Windows 10 легким движением руки превратилась в инсайдерскую Windows 11. Отличия от утекшей сборки есть, местами существенные. Но что касается UI все стало только хуже, Привычные вещи ломаются, а для того, чтобы вернуть как было нужны дополнительные телодвижения. Скоро сделаем новый обзор, а пока несколько картинок.
Самый страшный враг любой информационной системы - пользователь. Это такое "сообразительное" существо, что адекватной защиты от него просто не существует. Сегодня еще раз в этом убедились.
Началась история вчера. Управляющий одной из торговых точек сообщил. что у него не сходятся продажи по программе и Z-отчету ККТ за два дня. В первую очередь проверили чеки по ОФД, все в порядке.
Перешли к отчетам о розничной продаже. И тут выяснилось, что отчет за 2-е число поврежден, плюс часть чеков за 2-е число попало в отчет за 3-е.
Переформировали отчеты, цифры совпали. Стали разбираться как так могло произойти. Ничего толкового в голову не приходило, решили посмотреть по камерам.
То что мы увидели привело нас в, мягко говоря, изумление.
Система закрытия смены построена так, что после выхода из ККТ Z-отчета в программе формируется отчет о розничных продажах и принудительно выполняется синхронизация с центральным узлом (уже наша доработка), что естественно занимает какое-то время. Закрыть программу и выключить компьютер в это время нельзя.
Но разве пользователя, идущего к своей цели (побыстрее свалить домой) что-нибудь способно остановить? Правильно, нет. Поэтому на этой точке освоили "лайфхак". Буквально выхватив из ККТ Z-отчет, второй рукой нажать на кнопочку бесперебойника. И все, можно идти домой...
Хотя каждый из продавцов под роспись ознакомлен с регламентом, где буквально и по пунктам рассказано как что включать и выключать. Как с этим бороться? А вот и не знаю. Ну оштрафовать можно, только это все уже реагирование на после, когда событие уже свершилось.
Началась история вчера. Управляющий одной из торговых точек сообщил. что у него не сходятся продажи по программе и Z-отчету ККТ за два дня. В первую очередь проверили чеки по ОФД, все в порядке.
Перешли к отчетам о розничной продаже. И тут выяснилось, что отчет за 2-е число поврежден, плюс часть чеков за 2-е число попало в отчет за 3-е.
Переформировали отчеты, цифры совпали. Стали разбираться как так могло произойти. Ничего толкового в голову не приходило, решили посмотреть по камерам.
То что мы увидели привело нас в, мягко говоря, изумление.
Система закрытия смены построена так, что после выхода из ККТ Z-отчета в программе формируется отчет о розничных продажах и принудительно выполняется синхронизация с центральным узлом (уже наша доработка), что естественно занимает какое-то время. Закрыть программу и выключить компьютер в это время нельзя.
Но разве пользователя, идущего к своей цели (побыстрее свалить домой) что-нибудь способно остановить? Правильно, нет. Поэтому на этой точке освоили "лайфхак". Буквально выхватив из ККТ Z-отчет, второй рукой нажать на кнопочку бесперебойника. И все, можно идти домой...
Хотя каждый из продавцов под роспись ознакомлен с регламентом, где буквально и по пунктам рассказано как что включать и выключать. Как с этим бороться? А вот и не знаю. Ну оштрафовать можно, только это все уже реагирование на после, когда событие уже свершилось.
Особенности использования, экспорт, импорт и бекап сертификатов Mikrotik
https://interface31.ru/tech_it/2021/07/osobennosti-ekspluatacii-ca-na-routerah-mikrotik-rezervnoe-kopirovanie-eksport-i-import-sertifikatov.html
https://interface31.ru/tech_it/2021/07/osobennosti-ekspluatacii-ca-na-routerah-mikrotik-rezervnoe-kopirovanie-eksport-i-import-sertifikatov.html
Записки IT специалиста
Особенности эксплуатации CA на роутерах Mikrotik: резервное копирование, экспорт и импорт сертификатов
Mikrotik предоставляет пользователям достаточно широкие возможности, одна из них - создание на роутере собственного центра сертификации (CA), который позволяет управлять собственной инфраструктурой открытых ключей (PKI). Благодаря этому вы можете выпускать…
Вышел Proxmox VE 7.0, революционных изменений нет, но обновлены многие ключевые компоненты, добавлены новые инструменты в веб-панель, добавлена поддержка btrfs.
https://www.proxmox.com/en/downloads
https://www.proxmox.com/en/downloads
Proxmox
Downloads
Обзор инсайдерской версии Windows 11, что нового по сравнению с утекшим билдом? Новая область уведомлений на панели задач и новый проводник. Где-то стало лучше, а где-то все поломали (это о новом Пуске)
https://interface31.ru/tech_it/2021/07/insayderskaya-versiya-windows-11---teper-uzhe-vpolne-oficial-no.html
https://interface31.ru/tech_it/2021/07/insayderskaya-versiya-windows-11---teper-uzhe-vpolne-oficial-no.html
Записки IT специалиста
Инсайдерская версия Windows 11 - теперь уже вполне официально
Не так давно мы уже рассматривали одну из разрабатываемых версий Windows 11, которая попала в широкий доступ в результате утечки. Кроме того, что это действительно подлинная версия, об утекшей сборке было мало что известно: с какого этапа разработки утекла…
Пятничное. Одна дискета и поездка зимой за 80 км.
Добрый вечер, коллеги, всех с пятницей. 🍺🍺🍺
Дело было в начале 2000-х, я тогда работал в среднего размера местной компьютерной фирме в отделе обслуживания юрлиц. А в техотдел привезли из области сервер с NT4, железо там поменять, проапгрейдить. Заодно поставить вместо NT4 новую Windows 2000.
А у Win2k была тогда такая фишка, что если не загрузить отдельно smartdrive, то он будет копировать файлы до китайской пасхи, ну загружали, разумеется с дискеты.
В общем мой коллега Женя все установил, поставил чистый Windows 2000 Server, а так как в серверах был слаб позвал настроить меня. Все сделали, выключили запаковали в коробку, отдали клиенту.
Уже поздно вечером звонок, звонит Женя, мол сервер не включается, клиент рвет и мечет, директор сказал ему ехать на место и решать проблему. А так как в серверах он не бум-бум, то обещает магарыч, лишь бы я с ним поехал. Ну коллег надо выручать, собрался, поехали.
Половину пути преодолели по трассе, а потом пошли дороги районного значения, снег, метель, отсутствие освещения. Ехали 80 км часа два. Кстати на обратном пути чуть не снесли двух местных мужиков, которые в кромешной тьме, без каких либо светоотражающих средств толкали по полосе старенькие Жигули с выключенными световыми приборами. Благо на таких дорогах движения нет, ушли по встречке.
Ну в общем приехали, подходим к серверу и видим в дисководе дискету... 🙈🙈🙈
Легким движением руки извлекаем ее, жмем Reset и сервер взлетает... Все в шоке. Благо клиент попался понимающий, мол а чего вы по телефону не сказали, мы бы сами вытащили. Ну так кто знал... Зато напоили нас чаем с плюшками и мы поехали назад, вернулись уже глубокой ночью.
Вот как оно и бывает. Забыл вытащить дискету - получил долгое путешествие.
Добрый вечер, коллеги, всех с пятницей. 🍺🍺🍺
Дело было в начале 2000-х, я тогда работал в среднего размера местной компьютерной фирме в отделе обслуживания юрлиц. А в техотдел привезли из области сервер с NT4, железо там поменять, проапгрейдить. Заодно поставить вместо NT4 новую Windows 2000.
А у Win2k была тогда такая фишка, что если не загрузить отдельно smartdrive, то он будет копировать файлы до китайской пасхи, ну загружали, разумеется с дискеты.
В общем мой коллега Женя все установил, поставил чистый Windows 2000 Server, а так как в серверах был слаб позвал настроить меня. Все сделали, выключили запаковали в коробку, отдали клиенту.
Уже поздно вечером звонок, звонит Женя, мол сервер не включается, клиент рвет и мечет, директор сказал ему ехать на место и решать проблему. А так как в серверах он не бум-бум, то обещает магарыч, лишь бы я с ним поехал. Ну коллег надо выручать, собрался, поехали.
Половину пути преодолели по трассе, а потом пошли дороги районного значения, снег, метель, отсутствие освещения. Ехали 80 км часа два. Кстати на обратном пути чуть не снесли двух местных мужиков, которые в кромешной тьме, без каких либо светоотражающих средств толкали по полосе старенькие Жигули с выключенными световыми приборами. Благо на таких дорогах движения нет, ушли по встречке.
Ну в общем приехали, подходим к серверу и видим в дисководе дискету... 🙈🙈🙈
Легким движением руки извлекаем ее, жмем Reset и сервер взлетает... Все в шоке. Благо клиент попался понимающий, мол а чего вы по телефону не сказали, мы бы сами вытащили. Ну так кто знал... Зато напоили нас чаем с плюшками и мы поехали назад, вернулись уже глубокой ночью.
Вот как оно и бывает. Забыл вытащить дискету - получил долгое путешествие.
💰 Выделенные сервера за 1 доллар в месяц
Время от времени нам всем требуются недорогие выделенные сервера под различные нужды. Можно воспользоваться бесплатными предложениями от Google или Oracle, а можно приобрести что-то совсем дешевое.
Но нужно понимать, что ожидать чудес в этой ценовой категории не стоит, хотя иногда попадаются весьма интересные предложения. Например я уже не первый год использую в качестве персонального VPN-сервера VPS за 6 долларов в год (0,5 доллара в месяц!!!) и он вполне стабильно работает.
Из представленных ниже предложений наиболее интересно LEB Special 1GB KVM VPS от RackNerd и их представители достаточно активны в комментариях.
https://lowendbox.com/blog/1-vps-1-usd-vps-per-month/
Время от времени нам всем требуются недорогие выделенные сервера под различные нужды. Можно воспользоваться бесплатными предложениями от Google или Oracle, а можно приобрести что-то совсем дешевое.
Но нужно понимать, что ожидать чудес в этой ценовой категории не стоит, хотя иногда попадаются весьма интересные предложения. Например я уже не первый год использую в качестве персонального VPN-сервера VPS за 6 долларов в год (0,5 доллара в месяц!!!) и он вполне стабильно работает.
Из представленных ниже предложений наиболее интересно LEB Special 1GB KVM VPS от RackNerd и их представители достаточно активны в комментариях.
https://lowendbox.com/blog/1-vps-1-usd-vps-per-month/
DROP или REJECT???
Сегодня в очередной раз столкнулись с "непонятной" для одного нашего коллеги ситуацией. В которой вся непонятность заключалась в том, что он использовал DROP вместо REJECT.
DROP вообще пользуется популярностью, фигурируя во всех примерах и инструкциях, поэтому многие, по привычке, используют его.
В чем разница? DROP просто отбрасывает пакет, а REJECT при этом сообщает отправителю что порт недоступен.
Для внешних соединений практически всегда лучше использовать DROP, чтобы возможный злоумышленник не получил дополнительной информации о вашем узле. Есть там работающая служба или нет он может только догадываться.
REJECT же предпочтительнее для внутренних соединений. Во-первых, увеличится скорость работы, так как соединению не нужно будет ждать таймаута, сообщение о недоступности цели будет получено сразу. Во-вторых, это значительно упрощает отладку, так как есть четкое понимание, что узел функционирует нормально и отбрасывает вас именно брандмауэр. В противном случае можно потратить много сил и средств разбираясь в ситуации, особенно если сработало какое-то неявное правило с динамическим условием (и особенно если вы его вычитали где-то в интернете и слабо представляете как именно оно работает).
Поэтому для внутренних соединений всегда REJECT, для внешних - DROP.
Сегодня в очередной раз столкнулись с "непонятной" для одного нашего коллеги ситуацией. В которой вся непонятность заключалась в том, что он использовал DROP вместо REJECT.
DROP вообще пользуется популярностью, фигурируя во всех примерах и инструкциях, поэтому многие, по привычке, используют его.
В чем разница? DROP просто отбрасывает пакет, а REJECT при этом сообщает отправителю что порт недоступен.
Для внешних соединений практически всегда лучше использовать DROP, чтобы возможный злоумышленник не получил дополнительной информации о вашем узле. Есть там работающая служба или нет он может только догадываться.
REJECT же предпочтительнее для внутренних соединений. Во-первых, увеличится скорость работы, так как соединению не нужно будет ждать таймаута, сообщение о недоступности цели будет получено сразу. Во-вторых, это значительно упрощает отладку, так как есть четкое понимание, что узел функционирует нормально и отбрасывает вас именно брандмауэр. В противном случае можно потратить много сил и средств разбираясь в ситуации, особенно если сработало какое-то неявное правило с динамическим условием (и особенно если вы его вычитали где-то в интернете и слабо представляете как именно оно работает).
Поэтому для внутренних соединений всегда REJECT, для внешних - DROP.
👍2
Все знают команду
Но мало кто знает, что в PowerShell есть ее аналог:
tail в Linux которая позволяет в реальном времени просматривать изменения в файлах, скажем в файле логов.Но мало кто знает, что в PowerShell есть ее аналог:
Get-Content <путь к файлу> -Wait
Подробнее читайте в нашей статье: https://interface31.ru/tech_it/2019/10/adminu-na-zametku---26-kak-prosmatrivat-log-fayl-v-rezhime-real-nogo-vremeni-v-windows-i-linux.htmlЗаписки IT специалиста
Админу на заметку - 26. Как просматривать лог-файл в режиме реального времени в Windows и Linux
Любая диагностика или наблюдение за состоянием системы начинается с изучения логов. При этом бывают ситуации, когда логи хотелось бы видеть в режиме реального времени, что позволит лучше понять причинно-следственные связи и увидеть реакцию системы на выполняемые…
Команды bash
Многие, особенно начинающие Linux-администраторы, путают команды
Обычно это не доставляет проблем, до тех пор, пока мы не захотим выполнить такую команду как бинарный файл. Например, если мы попытаемся в юните systemd написать что-то вроде:
Многие, особенно начинающие Linux-администраторы, путают команды
bash с командами системы. Если мы хотим сменить рабочий каталог, то пишем cd, хотим посмотреть его содержимое - ls. Но при этом мало кто задумывается, что команда ls предоставляется одноименной утилитой, а cd - это команда bash. Т.е. у ls есть бинарный файл, а у cd - нет.Обычно это не доставляет проблем, до тех пор, пока мы не захотим выполнить такую команду как бинарный файл. Например, если мы попытаемся в юните systemd написать что-то вроде:
ExecStart=cd /home/mynameТо такая конструкция работать не будет. Хотя, будучи запущенной интерактивно или через скрипт она будет нормально отрабатывать, даже в crontab можно было так написать. И этот факт вызывает у многих недоумение и непонимание того, что происходит. Но все просто, достаточно выполнить
whereis cd и мы увидим, что бинарника у команды нет, потому что это команда bash и правильно нужно писать:ExecStart=/bin/bash - c "cd /home/myname"Т.е. сначала запускаем оболочку, а потом уже выполняем в ней команды.
А что будет если?
Когда я учился (по образованию инженер-связист), то один наш преподаватель очень любил проверять знания в весьма необычной форме. Он доставал принципиальную схему узла, который мы должны были изучить и говорил буквально следующее: «вот взял я кусачки и перекусил этот провод, что будет с устройством?»
При таком подходе просто выучить конспект было недостаточно, нужно было понимать работу схемы.
С тех пор прошло много лет, но очень часто я продолжаю задавать себе подобные вопросы, только теперь касаются они IT-инфраструктуры. Это очень здорово помогает понимать ее работу и находить критические точки отказа, иногда в самых неожиданных местах. Очень часто вместе поискать ответы я предлагаю и представителям заказчика.
Потому что, когда людям далеким от информационных технологий говоришь о необходимости дополнительных затрат на организацию резервирования, резервного копирования и т.д. и т.п. очень часто они смотрят на тебя как на человека, выпрашивающего денег.
А вот совместный разбор мест отказа очень сильно помогает IT и руководителям / владельцам бизнеса понять друг друга.
Потому что простой ответ на вопрос: «сколько стоит час простоя вот этого отдела?» очень часто решает то, что до этого приходилось выпрашивать месяцами, обосновывая необходимостью обеспечить чего-то там, руководству абсолютно непонятное.
А так все просто и предельно понятно. Причем не надо искусственно ограничивать себя рамками небольших аварий. Надо принимать все риски. Прорвало трубу в серверной, случился пожар в этом здании. Что будет тогда?
А ответы на эти вопросы, оформленные в виде подробного анализа рисков, помогут и руководству по-новому взглянуть на проблемы. И сразу выяснится, что настойчивые просьбы админа выделить ему под серверную еще одно помещение в новом корпусе не блажь, а жизненная необходимость.
А вы задаете себе подобные вопросы?
Когда я учился (по образованию инженер-связист), то один наш преподаватель очень любил проверять знания в весьма необычной форме. Он доставал принципиальную схему узла, который мы должны были изучить и говорил буквально следующее: «вот взял я кусачки и перекусил этот провод, что будет с устройством?»
При таком подходе просто выучить конспект было недостаточно, нужно было понимать работу схемы.
С тех пор прошло много лет, но очень часто я продолжаю задавать себе подобные вопросы, только теперь касаются они IT-инфраструктуры. Это очень здорово помогает понимать ее работу и находить критические точки отказа, иногда в самых неожиданных местах. Очень часто вместе поискать ответы я предлагаю и представителям заказчика.
Потому что, когда людям далеким от информационных технологий говоришь о необходимости дополнительных затрат на организацию резервирования, резервного копирования и т.д. и т.п. очень часто они смотрят на тебя как на человека, выпрашивающего денег.
А вот совместный разбор мест отказа очень сильно помогает IT и руководителям / владельцам бизнеса понять друг друга.
Потому что простой ответ на вопрос: «сколько стоит час простоя вот этого отдела?» очень часто решает то, что до этого приходилось выпрашивать месяцами, обосновывая необходимостью обеспечить чего-то там, руководству абсолютно непонятное.
А так все просто и предельно понятно. Причем не надо искусственно ограничивать себя рамками небольших аварий. Надо принимать все риски. Прорвало трубу в серверной, случился пожар в этом здании. Что будет тогда?
А ответы на эти вопросы, оформленные в виде подробного анализа рисков, помогут и руководству по-новому взглянуть на проблемы. И сразу выяснится, что настойчивые просьбы админа выделить ему под серверную еще одно помещение в новом корпусе не блажь, а жизненная необходимость.
А вы задаете себе подобные вопросы?
Оказывается известный сервис Speedtest есть и в консольном варианте. Ставится быстро и просто, иногда бывает полезен.
https://www.speedtest.net/apps/cli
https://www.speedtest.net/apps/cli
👍1
Сегодня, благо была такая возможность, попробовал установить Proxmox VE 7 на реальное железо. Информация о нестабильной работе данного выпуска полностью подтвердилась. Не спешите обновляться и делать на его базе новые установки. Ждем 7.1...