22 листопада 2017 р.

Нотатка. pfsense. DNS views для різних локальних мереж

Так сталося що потрібно було для різних мереж видавати різну адресу для одного і того запису у DNS сервері.
Знаючи що у BIND це можливо робити за допомогою видів, почав шукати таку можливість у pfsense.
pfsense використовує один з варіантів як DNS resolver що є програмою unbound. Читаючи документацію до unbound, знайшов розділ  View Options.
В інтерфейсі GUI pfsense DNS resolver, такої функції не має, але є можливість додати свої значення до unbound.conf (Show Custom Options).
Так додавши такі налаштування:
server:
access-control-view: 192.168.9.100/32 testview
view:
name: "testview"
local-zone: "local.lan" static
local-data: "test.local.lan. 90 IN A 10.10.10.10"
Ми для клієнта локальної мережі 192.168.9.100 створили testview, і значенню імені "test.local.lan" перевизначили адресу на 10.10.10.10.
додавання View Options у DNS resolver pfsense
 Подяка за форуму за те що вказали необхідність додати рядок "server:" на початку, без нього видавало помилку конфігураційного файлу.

20 листопада 2017 р.

Нотатка з керування PF firewall через pfctrl


https://gist.github.com/tracphil/4353170
# basic pfctl control
# ==
# Related: http://www.OpenBSD.org
# Last update: Tue Dec 28, 2004
# ==
# Note:
# this document is only provided as a basic overview
# for some common pfctl commands and is by no means
# a replacement for the pfctl and pf manual pages.

#### General PFCTL Commands ####
# pfctl -d disable packet-filtering
# pfctl -e enable packet-filtering
# pfctl -q run quiet
# pfctl -v -v run even more verbose

12 листопада 2017 р.

7 покоління процесорів Intel та вбудоване відео Intel HD Graphics 7gen і драйвер для Windows 7

Оновлюючи один с старих офісних комп'ютерів замовив конфігурацію на основі процесора 7 покоління від Intel Core i3-7100 3.9GHz/8GT/s/3MB (BX80677I37100) s1151 BOX.
Але після перевстановлення корпоративної ліцензійної Windows 7 з'ясував що драйвер відео карти (Intel HD Graphics 630) не встановився, а залишився стандартним.
стандартний VGA
На сторінці завантажень можна завантажити драйвера, і в нотатках до них почитати що для 7 покоління драйвера зараз тільки для Windows 10.
Оновити до Windows 10 корпоративну не вдавалося так як не було відповідної підписки.
Тому у пошуках рішень знайшов таке цікаве рішення як редагування ini файлу.
Для себе знайшов рішення, як використання  попередньої версії драйвера, з комплекту до материнської плати ASUS, і вибирання опції оновити драйвер, а не встановлення через setup.exe.  
Також операційна система при оновленнях дає таке повідомлення:
Несумісне устаткування Windows 7 and Intel CPU 7 gen
P.S. Цікаве доповнення, сьогодні (2017-11-16) успішно оновив, майстром оновлення, активовану Windows 7 Pro (GG) Volume License до версії Windows 10 Pro (1709), активація зберігалася.

10 листопада 2017 р.

Комутатор TP-Link Easy Smart Switch TL-SG1016DE те що потрібно знати про (default) VLAN1

Є така лінійка комутаторів від компанії TP-Link як Easy Smart Switch.
Все б не погано якби продавець попереджував про обмеження "початкової" лінійки, Easy Smart Switch, і про те що таких обмежень не має у лінійках для корпоративного рішення.

Почалося з того що було придбано 16-портовий гігабітний комутатор серії Easy Smart TL-SG1016DE.
Вивчаючи можливості застосування в своїй корпоративній мережі, з'ясувалося що якщо увімкнуто режим 802.1Q VLAN Configuration, то кожному з портів є можливість назначити VLAN ID тільки  у проміжку від 2 до 4092. А де №1 ?

30 вересня 2017 р.

Оновлення сторожового апаратного таймера Watchdog2 у Windows Hyper-V Server 2016 через IPMI

Оновлення сторожового апаратного таймера  Windows Hyper-V Server 2016 не реалізовано базово.
Тому потрібне додаткове програмне забезпечення на кшталт "Enterprise Managment".
Після реалізації під FreeBSD (pfSense)  вирішив зробити те саме і у Windows Hyper-V Server 2016.
Так як сервер не має графічного інтерфейсу, все робиться віддалено через PowerShell.
Enter-PSSession -ComputerName COMPUTER 
З проекту http://ipmiutil.sourceforge.net, завантажую ipmiutil-3.0.7-win64.zip,
розпаковую та переписую до теки що знаходиться на сервері.

Перевіримо статус:
[hv]: PS С:\install\ipmiutil-3.0.7-win64> .\ipmiutil.exe wdt
ipmiutil ver 3.07
iwdt ver 3.07
-- BMC version 2.01, IPMI version 2.0
wdt data: 43 00 00 08 70 17 d7 16
Watchdog timer is started for use with OS Load. Logging
               pretimeout is 0 seconds, pre-action is None
               timeout is 600 seconds, counter is 584 seconds
               action is No action

ipmiutil wdt, completed successfully

Для скидання таймера
[hv]: PS С:\install\ipmiutil-3.0.7-win64> .\ipmiutil.exe wdt -r
ipmiutil ver 3.07
iwdt ver 3.07
-- BMC version 2.01, IPMI version 2.0
wdt data: 43 00 00 08 70 17 ca 13
Watchdog timer is started for use with OS Load. Logging
               pretimeout is 0 seconds, pre-action is None
               timeout is 600 seconds, counter is 506 seconds
               action is No action
Resetting watchdog timer ...
reset_wdt: ret = 0
wdt data: 43 00 00 08 70 17 70 17
Watchdog timer is started for use with OS Load. Logging
               pretimeout is 0 seconds, pre-action is None
               timeout is 600 seconds, counter is 600 seconds
               action is No action

ipmiutil wdt, completed successfully

Для періодичного запуску створюю завдання:
SCHTASKS /create /sc MINUTE /MO 1 /TR "С:\install\ipmiutil-3.0.7-win64\ipmiutil.exe wdt -r" /TN "WDT reset"

Оновлення сторожового апаратного таймера Watchdog2 у pfSense через IPMI

З'ясував що версії pfSense версій 2.3.4, 2.4.0, не обробляє оновлення апаратного сторожового таймера материнської плати з Watchdog2.
Виправляв ось так:
Додати підтримку IPMI у ядро:
Додавання рядка ipmi_load="YES" до файлу /boot/loader.conf.local
/boot/loader.conf.local - ipmi_load="YES"

Потрібно перезавантажити систему і перевірити чи є підтримка IPMI з терміналу:
cat /var/log/dmesg.boot | grep ipmi

/var/log/dmesg.boot

З терміналу читаємо значення сенсорів:
ipmitool sensor

ipmitool sensor, перевірка наявності Watchdog2

Надалі необхідно оновити значення сенсора, це можна зробити за допомоги команди watchdog
$watchdog -d -t 300
shifted 549755813888
seconds_to_pow2ns: seconds: 300, ns 300000000000, power 39
Timeout for -t is 2^39 nanoseconds (in: 300 sec -> out: 549 sec 755813888 ns -> 549757 ticks)
Timeout is 2^39 nanoseconds

І повторювати її періодично, наприклад правилами планувальника cron:
Періодичне оновлення значення сенсора Watchdog2
Або можна запустити у фоновому режимі програму watchdogd.
watchdogd  -s 60 -t 300

Також можна скинути значення таймера виконавши  команду ipmitool:
$ipmitool mc watchdog reset
IPMI Watchdog Timer Reset -  countdown restarted!

Або визначити поточне значення таймера:
$ipmitool mc watchdog get
Watchdog Timer Use:     SMS/OS (0x44)
Watchdog Timer Is:      Started/Running
Watchdog Timer Actions: Hard Reset (0x01)
Pre-timeout interval:   0 seconds
Timer Expiration Flags: 0x08
Initial Countdown:      549 sec
Present Countdown:      545 sec

Або вимкнути таймер повністю:
$ipmitool mc watchdog off
Watchdog Timer Shutoff successful -- timer stopped

Тоді можна змінити cron на ipmitool mc watchdog reset:
ipmitool mc watchdog reset


Використано материнську плату Asus P10S-C/4L з модулем ASMB8-iKVM.
Налаштування Watchdog timer в BIOS через віддалене підключення iKVM.

14 вересня 2017 р.

pfSence з зовнішнім ДБЖ APC, APCUPSD, SNMP, PowerChute Business Edition


Використовується спільне ДБЖ фірми APC by Schneider Electric, модель Smart-UPS 750, між двома серверами.
APC Smart-UPS 750VA LCD RM 2U (SMT750RMI2U)
Головний сервер це гіпервізор Microsoft  HV-Server 2016, підлеглий це сервер маршрутизатор з системою pfSence.
Для керуванням ДБЖ встановлено програму PowerChute Business Edition (9.2.0.604), для керування підлеглим сервером використовується протокол SNMP.

13 вересня 2017 р.

pfSence, Squid proxy, deny acces to DMZ networks

Якщо використовувати разом з pfSence модуль Squid proxy server то існує можливість потрапляти користувачам до деяких DMZ локальних мереж.
Використовуючи локальні адреси роутера але через процес squid.
Як вихід додав до дозвіл до DMZ мережі тільки спеціальному користувачу  який пройде автентифікацію на у проксі сервері, якщо така (proxy_auth) використовується.
Для цього у Package/Proxy Server: General Settings/General , натиснути "Show Advanced Features" і у розділі
Custom Options (After Auth) додаю:
acl BlockedHost dst 10.0.0.0/8
acl SysopUser proxy_auth sysopuser
http_access allow BlockedHost SysopUser
http_access deny BlockedHost  

Де "10.0.0.0/8" - локальна мережа з DMZ, а "sysopuser" ім'я користувача котрому дозволено доступ після автентифікації до цієїї мережі.

Proxy Server, Advanced Features


30 серпня 2017 р.

Розбирання та збирання, ремонт. ПИЛОСОС: Mirta VCK20D (субтитри)


ПИЛОСОС: Mirta VCK20D.
Повне розбирання та збирання пилососа.
Маленький ремонт гумової прокладки.
Коментарі додані у субтитрах...

Додатково:
Вимірювання потужності всмоктування пилосмока Mirta VCK20D 2200W -  https://www.youtube.com/watch?v=Gj_2k3fztck

Коли забув ти рідну мову, біднієш духом ти щодня...
When you forgot your native language you would become a poor at spirit every day ...

Д.Білоус / D.Bilous
Рабів до раю не пускають. Будь вільним!

ipv6 ready