Нотатка. Віддалене керування живленням сервера через IPMI.

Стався випадок коли локальний сервер шлюз маршрутизатор вимкнувся. І що робити?
Віддалений доступ при цьому заблокований.
Тому на всяк такий випадок, до з'ясування причини вимкнення, налаштував віддалений моніторинг стану живлення через  IPMI, і у випадку якщо він вимкнутий запускаю команду ввімкнення.
Для керування використовую  внутрішній сервер з freebsd, встановлюю пакунок ipmitool, і створюю запит:

ipmitool -H 192.168.1.1 -U admin -P admin chassis power status
Chassis Power is on

Тепер формую скрип котрий за розкладом cron кожні 15 хв. буде перевіряти чи ввімкнений сервер.

#!/bin/sh
>state=$(/usr/local/bin/ipmitool -H 192.168.1.1 -U admin -P admin chassis power status| grep 'is off')
if [ ! -z "$state" ]
then
 /usr/local/bin/ipmitool -H 192.168.1.1 -U admin -P admin chassis power on | /usr/bin/logger -p user.notice -t "Power control [GW was off]".
fi

Якщо потрібне керування з операційної системи Windwos то потрібен пакунок з проекту http://ipmiutil.sourceforge.net, завантажую ipmiutil-3.0.7-win64.zip.

Статус:

ipmiutil.exe reset -n  -N 192.168.1.1 -U admin -P admin

Ввімкнення:

ipmiutil.exe reset -u  -N 192.168.1.1 -U admin -P admin

Для безпеки рекомендую на сторінці керуванням BMC сервера додати спеціального користувача:

Користувачі iKVM

Спеціальний користувач для керування живленням

І використовувати цього користувача у запитах замість admin.

Якщо після оновлленя Java у Вас не має поступу до ip-KVM

Час іде,  світ розвивається, і захищається. Тому Java принципово і глобально вирішило заборонити використання не надійні методи з'єднання та шифрування.
Так  як більшість IP-KVM використовують для підключення Java клієнти, а програмне забезпечення у IP-KVM не своєчасно оновлене, то у підключенні до сервера IP-KVM буде відмовлено за причини використання застарілого методу MDwithRSA.

Про відмовлення у з'єднанні

 Але якщо сильно треба, то за матеріалами Zhaojun's Blog,  то тимчасово можна відмінити це обмеження, відредагувавши файл "C:\Program Files (x86)\Java\jre1.8.0_151\lib\security\java.security" для версії Java 8 update 151.
Знайшовши файл рядок: jdk.jar.disabledAlgorithms=MD2, MD5, RSA keySize < 1024

Значення у файлі конфігурації

 І змінити можна закоментувати цей рядок, або придбати MD5.

Змінення файлу конфігурації

Інші посилання : Если после обновления Java не работает ip-KVM

Нотатка. pfsense, перевірка таблиці pf коли пакунок pfBlockerNG не оновився

Використовуючи pfsense, я налаштував пакунок pfBlockerNG, для обмеження підключень до певних сервісів тільки з відомих країн.
Одного разу виявив що підключення стали заблоковані. Після аналізу з'ясував, що сервер перезавантажився і доступ не було надано так як таблиці доступу (IP_COUNTRY_ALLOWED_NG) були пусті, а оновлення у мене налаштовано один раз на добу.

Використання таблиці IP_COUNTRY_ALLOWED_NG у правилах 

Тому щоб подібне не повторювалося додав скрипт (check_ng_tables.sh) котрий перевіряє кількість записів у таблиці, в  випадку коли їх кількість менше чи критичне значення я форсую оновлення таблиць pfBlockerNG, і сповіщаю про це електронною поштою адміністратора.

/root/scripts/check_ng_tables.sh

#!/bin/sh

cntlines=$(/sbin/pfctl -t IP_COUNTRY_ALLOWED_NG -T show | wc -l)
if [ $cntlines -le 100 ]
then
    echo "count of pf table IP_COUNTRY_ALLOWED_NG is ($cntlines) less than 100, try reload pfblockerng.php"|/usr/local/bin/php /usr/local/bin/mail.php -s'[gw] IP_COUNTRY_ALLOWED_NG' postmaster@yourdomain.com
    /usr/local/bin/php /usr/local/www/pfblockerng/pfblockerng.php cron >> /var/log/pfblockerng/pfblockerng.log 2>&1
fi

Потім додав перевірку за розкладом кожні 5 хвилин.

Додав перевірку таблиці за розкладом cron

Нотатка. pfsense. DNS views для різних локальних мереж

Так сталося що потрібно було для різних мереж видавати різну адресу для одного і того запису у DNS сервері.
Знаючи що у BIND це можливо робити за допомогою видів, почав шукати таку можливість у pfsense.
pfsense використовує один з варіантів як DNS resolver що є програмою unbound. Читаючи документацію до unbound, знайшов розділ  View Options.
В інтерфейсі GUI pfsense DNS resolver, такої функції не має, але є можливість додати свої значення до unbound.conf (Show Custom Options).
Так додавши такі налаштування:

server:
access-control-view: 192.168.9.100/32 testview
view:
name: "testview"
local-zone: "local.lan" static
local-data: "test.local.lan. 90 IN A 10.10.10.10"
local-zone: "100.9.168.192.in-addr.arpa" typetransparent 

Ми для клієнта локальної мережі 192.168.9.100 створили testview, і значенню імені "test.local.lan" перевизначили адресу на 10.10.10.10.

додавання View Options у DNS resolver pfsense

 Подяка за форуму за те що вказали необхідність додати рядок "server:" на початку, без нього видавало помилку конфігураційного файлу.

Нотатка з керування PF firewall через pfctrl

https://gist.github.com/tracphil/4353170

# basic pfctl control
# ==
# Related: http://www.OpenBSD.org
# Last update: Tue Dec 28, 2004
# ==
# Note:
# this document is only provided as a basic overview
# for some common pfctl commands and is by no means
# a replacement for the pfctl and pf manual pages.

#### General PFCTL Commands ####
# pfctl -d disable packet-filtering
# pfctl -e enable packet-filtering
# pfctl -q run quiet
# pfctl -v -v run even more verbose

7 покоління процесорів Intel та вбудоване відео Intel HD Graphics 7gen і драйвер для Windows 7

Оновлюючи один с старих офісних комп'ютерів замовив конфігурацію на основі процесора 7 покоління від Intel Core i3-7100 3.9GHz/8GT/s/3MB (BX80677I37100) s1151 BOX.

Але після перевстановлення корпоративної ліцензійної Windows 7 з'ясував що драйвер відео карти (Intel HD Graphics 630) не встановився, а залишився стандартним.

стандартний VGA

На сторінці завантажень можна завантажити драйвера, і в нотатках до них почитати що для 7 покоління драйвера зараз тільки для Windows 10.

Оновити до Windows 10 корпоративну не вдавалося так як не було відповідної підписки.

Тому у пошуках рішень знайшов таке цікаве рішення як редагування ini файлу.

Для себе знайшов рішення, як використання  попередньої версії драйвера, з комплекту до материнської плати ASUS, і вибирання опції оновити драйвер, а не встановлення через setup.exe.  
Також операційна система при оновленнях дає таке повідомлення:

Несумісне устаткування Windows 7 and Intel CPU 7 gen

P.S. Цікаве доповнення, сьогодні (2017-11-16) успішно оновив, майстром оновлення, активовану Windows 7 Pro (GG) Volume License до версії Windows 10 Pro (1709), активація зберігалася.

Комутатор TP-Link Easy Smart Switch TL-SG1016DE те що потрібно знати про (default) VLAN1

Є така лінійка комутаторів від компанії TP-Link як Easy Smart Switch.

Все б не погано якби продавець попереджував про обмеження "початкової" лінійки, Easy Smart Switch, і про те що таких обмежень не має у лінійках для корпоративного рішення.

Почалося з того що було придбано 16-портовий гігабітний комутатор серії Easy Smart TL-SG1016DE.

Вивчаючи можливості застосування в своїй корпоративній мережі, з'ясувалося що якщо увімкнуто режим 802.1Q VLAN Configuration, то кожному з портів є можливість назначити VLAN ID тільки  у проміжку від 2 до 4092. А де №1 ?