Нотатка. Перетворення RAID контролера на звичайний контролер дисків HBA (Host Bus Adapter)

Є RAID контролер на базі  LSI MegaRAID SAS 9240.
LSI MegaRAID SAS 9240-8i - 2x4 port internal SAS vertical, no cache, no BBU, RAID 0, 1, 10, 5 and 50, can be crossflashed to LSI9211 IT/IR це SAS2008 based controllers.
SAS2008 - 8x SAS v2.0, 3890MB/s, PCIe v2.0, PCIe 4x slot 1716MB/s, PCIe 8x slot 3433MB/s max throughput

Задача перевести контролер у так званий IT режим (Initiator Target), у котрому буде доступ до всіх дисків. Це необхідно для роботи ZFS.

Нотатка: VNC Startup Ubuntu DISPLAY:0

Задача запустити VNC як аналог консольного дисплея з DISPLAY:0.
Є скрипт.

# ##################################################################
# Script Name : vnc-startup.sh
# Description : Perform an automated install of X11Vnc
#               Configure it to run at startup of the machine
# Date : Feb 2016
# Written by : Griffon
# Web Site :http://www.c-nergy.be - http://www.c-nergy.be/blog
# Version : 1.0
#
# Disclaimer : Script provided AS IS. Use it at your own risk....
#
# #################################################################

# Step 1 - Install X11VNC
# #################################################################
sudo apt-get install x11vnc -y

pfsense синхронізація pf таблиці snort2c на інший firewall

Є фаєрвол pfsense (192.168.0.2) з встановленим пакунком snort.
Snort аналізує проток даних що приходить від мережевого інтерфейсу котрий під'єднаний до mirror port мережевого комутатора HP 2920.
Програма Snort аналізує мережевий потік що йде від ISP. На основі правил, отриманих за підписками, snort блокує IP адреси заносячи їх до відповідної таблиці фаєрволу pf - 'snort2c'.
Так як для аналізу мережевого потоку використовується не основний фаєрвол, а інший сервер, то за таблицею 'snort2c' нічого реально не блокується.
Фаєрвол pfsense запущено у віртуальній машині сервера PROXMOX у приватній підмережі 192.168.0.0/24.

Діаграма підключень

Для реального блокування IP адрес (ipv4, ipv6), необхідно передати інформацію про заблоковані IP адреси на інший сервер з FreeBSD (192.168.0.1) додаючи адреси до локальної таблиці 'snort2c' фаєрволу pf, і також зупиняючи усі з'єднання що існували з цими IP адресами.

Нотатка. Як обмежити швидкість реплікації ZFS

За звичай швидкість треба максимальна, але інколи треба не навантажити "живу" систем у і скопіювати данні. Як це зробити ?
Шейпінгом на рівні мережевих протоколів, щось не то... хоча і можливо.
За звичай реплікація zfs виконується через потоки, zfs send | zfs recv, або віддалений варіант zfs send | ssh -e ... zfs recv.
Тому додамо щось між двома потоками. 
На вихід прийде  cstream - direct data streams, with bandwidth limiting, FIFO, audio, duplication and extended reporting support.
Підгледів у proxmos:

pvesm export zpool:vm-111-disk-2 zfs - -with-snapshots 1 -snapshot __replicate_111-1_1572565050__ -base __replicate_111-1_1572548430__ | /usr/bin/cstream -t 5000000 | /usr/bin/ssh -e none -o 'BatchMode=yes' -o 'HostKeyAlias=s1' root@10.1.0.1 -- pvesm import zpool:vm-111-disk-2 zfs - -with-snapshots 1 -base __replicate_111-1_1572548430__ 

| /usr/bin/cstream -t 5000000 | 

Таким чином zfs send | cstream -t 5000000 | zfs recv , обмежить швидкість реплікації до 5МB/s.

Нотатка: Proxmox заміна диску у пулі ZFS

Використвую Proxmox VE
Пул  ZFS  Mirror вийшов з ладу один з дисків, як замінити ?

1) Replace the physical failed/offline drive, /dev/sdc

Initialize Disk
2) From the WebUI, Servername -> Disks -> Initialize Disk with GPT (/dev/sdc)
or fdisk /dev/sdc, -g, -w.

Copy the partition table from /dev/sdb to /dev/sdc
3) sgdisk --replicate=/dev/sdc /dev/sdb

Ensure the GUIDs are randomized
4) sgdisk --randomize-guids /dev/sdc

Then replace the disk in the ZFS pool,
5) zpool replace rpool /dev/sdc1

За матеріалами:
https://forum.proxmox.com/threads/zfs-disk-replacement.41230/

Нотатки. Тестування iSCSI Mutltipath. Windows Server 2019, FreeNAS

Маю Windows Server 2019 для Hyper-V.
Вирішив протестувати  iSCSI Mutltipath на двох 1Gb мережевих адаптерах  що під'єднанні до сервера FreeNAS з iSCSI службою.
Результат, завантажуються два інтерфейси з загальним коефіцієнтом десь 1.4.
FreeNAS служба iSCSI з використанням ZVOL на пулі ZFS Z2, з шести дисків SATA 3.
Приклади налаштування iSCSI Mutltipath Using MPIO with the Windows Server iSCSI Initiator - Petri, FreeNAS iSCSI Configuration for MPIO - Virtualization Howto

Split united interlaced video (.dv4) to frames and compose interlaced video x264,x265(hvec)

Є  відеофайлу з відео реєстратора  (AVtech DVR). Вихідне ім'я у нього .dv4 (Bosch Security Systems CCTV Video File) для його програвання є рідний програвач VideoPlayer.exe.
Задача зробити програвання відео з DVR відеореєстратора формату .dv4, засобами opensource.

За аналізом MedioInfo, це відео формату AVC (x264), прогресивний:

Загальна інформація
Повна назва                              : video.dv4
Формат                                   : AVC
Формат/Відомості                         : Advanced Video Codec
Розмір файлу                             : 55.6 МіБ
FileExtension_Invalid                    : avc h264 264

Відео
Формат                                   : AVC
Формат/Відомості                         : Advanced Video Codec
Профіль формату                          : Baseline@L3
Налаштування формату                     : 1 Ref Frames
Налаштування формату, CABAC              : Ні
Налаштування формату, RefFrames          : 1 кадр
Ширина кадру                             : 720 пікс.
Висота кадру                             : 576 пікс.
Співвідношення сторін екрану             : 5:4
Простір кольору                          : YUV
Субдискретизація хроматичності           : 4:2:0
Бітова глибина                           : 8 біт
Тип сканування                           : Прогресивний

Тому для програвання підходить програвач  ffplay з пакунку ffmpeg.

ffplay -i video.dv4

Але так як ресторатор записує відео у черезрядковому форматі (interlaced), то відео записано об'єднаному форматі по вертикалі, де перше поле (А) зверху, друге поле (В) знизу.

Оригінальне відео

Зберігання зображення з dvr до хмари з nextcloud через webdav

Є задача скидати копію зображень з відеореєстратора системи безпеки у хмару.
Є роутер  TP-Link TL-WR1043N/ND v2 з OpenWrt 18.06.2.
Є власна віддалена хмара на основі nextcloud (owncloud).
У хмарі створюємо користувача для вивантажування зображень, і авторизуємося.
У openwrt будемо отримувати доступ до хмари через webdav.

Windows 10, version 1903, Windows Sanbox - Українською є "Ізольоване програмне середовище Windows".

Маючи Windows 10 Pro, і оновившись до version 1903 прочитав новини : що є нова можливість використовувати вбудовану "Sanbox".
Але сходу не зміг ввімкнути цю можливість користуючись англомовними ресурсами.
Деякі ресурси написали що в українській версії не запускався Sandbox у свій час.
То вирішив перевірити і сам. Так я знайшов що в українській версії Windows 10 Pro (1903 збірка 18362.295) Sandbox засукається, а засіб "Windows Sandbox" у перекладі є "Ізольоване програмне середовище Windows".

"Ізольоване програмне середовище Windows" - Windows Sandbox

Всередині тимчасової віртуальної машини запускається не активована Windows 10 Enterprise 1903 з англомовним інтересом.

Додатково можна трохи налаштувати "Windows Sandbox" через створений текстовий  конфігураційний файл .wsb. Наприклад:

<Configuration>
<MappedFolders>
   <MappedFolder>
     <HostFolder>C:\temp</HostFolder>
     <ReadOnly>true</ReadOnly>
   </MappedFolder>
   <MappedFolder>
     <HostFolder>C:\CodingProjects</HostFolder>
     <ReadOnly>false</ReadOnly>
   </MappedFolder>
</MappedFolders>
<LogonCommand>
   <Command>C:\users\wdagutilityaccount\desktop\CodingProjects\VSCodeInstall.cmd</Command>
</LogonCommand>
<VGpu>default</VGpu> 
<Networking>default</Networking> 
</Configuration>

Для запуску "Windows Sandbox" з урахуванням  конфігураційного файлу потрібно подвійним кліком натиснути на конфігураційний файл у провіднику.

Посилання на спільні теки ("temp","CodingProjects") будуть на робочому столі, і автоматично запуститься скрипт "CodingProjects\VSCodeInstall.cmd", а тека "temp" буде тільки для читання.

#Windows10Sandbox #Windows10

FreeBSD. Mosquitto. Mosquitto-Auth-Plugin. LDAP

Mosquitto (http://mosquitto.org)
Mosquitto-Auth-Plugin (https://github.com/jpmens/mosquitto-auth-plug#ldap-auth)

1. Install Mosquitto from ports

$cd /usr/ports/net/mosquitto/
$make config
$make install

$ls -d /usr/ports/net/mosquitto/work/mosquitto-*
/usr/ports/net/mosquitto/work/mosquitto-1.5.8 (remember it)

2. Install openldap client from ports

$cd /usr/ports/net/openldap24-client
$make config
$make install
$make clean 

3. Check openssl lib

$openssl version
OpenSSL 1.0.2o-freebsd  27 Mar 2018

4. Compile Mosquitto from git

$pkg install git
$cd ~ 
$git clone git://github.com/jpmens/mosquitto-auth-plug.git
$cd mosquitto-auth-plug/

4.1. edit config.mk

cp config.mk.in config.mk

MOSQUITTO_SRC = /usr/ports/net/mosquitto/work/mosquitto-1.5.8
OPENSSLDIR = /usr/bin
BACKEND_MYSQL ?= no
BACKEND_LDAP ?= yes 

Copmile path on config.mk or Makefile

CFG_LDFLAGS =-L/usr/local/lib
CFG_CFLAGS =-I/usr/local/include

or edit Makefile

BE_CFLAGS = -I/usr/local/include
BE_LDFLAGS = -L/usr/local/lib/

or run comadns for replace

sed 's#MOSQUITTO_SRC =#MOSQUITTO_SRC = /usr/ports/net/mosquitto/work/mosquitto-1.5.8#' config.mk.in > config.mk 
sed -i "" 's#OPENSSLDIR = /usr#OPENSSLDIR = /usr/bin#' config.mk
sed -i "" 's#BACKEND_MYSQL ?= yes#BACKEND_MYSQL ?= no#' config.mk 
sed -i "" 's#BACKEND_LDAP ?= no#BACKEND_LDAP ?= yes#' config.mk 
sed -i "" 's#CFG_LDFLAGS =#CFG_LDFLAGS =-L/usr/local/lib#' config.mk  
sed -i "" 's#CFG_CFLAGS =#CFG_CFLAGS =-I/usr/local/include#' config.mk
sed -i "" 's#BE_CFLAGS =#BE_CFLAGS = -I/usr/local/include#' Makefile     
sed -i "" 's#BE_LDFLAGS =#BE_LDFLAGS = -L/usr/local/lib/#' Makefile 

4.2 Compile

$pkg install gmake 
$qmake

FreeBSD compile Mosquitto-Auth-Plugin

Цікавий аналіз змісту апаратний ключів

«Чому всім можна, а мені не можна?» Або реверс API і отримуємо дані з eToken / Хабр

за матеріалами (2016): Hormiga (habr.com):
Я спробував все ЗКЗІ, до яких зміг дотягнутися: Кріпто-Ком, Кріпто-Pro, Message-Pro, Сигнатура і навіть Верба. Всі ці ключі успішно пройшли копіювання і працювали.

Але як же так? Хіба не повинні ключі бути невитягуваними з токена? Відповідь криється в специфікаціях eToken: справа в тому, що незнімний ключ дійсно є, але служить він тільки для криптоперетворень за допомогою алгоритму RSA. Жодне з розглянутих ЗКЗІ ... ні, ось так: жодне з ЗКЗІ, схвалених ФСБ для використання на території РФ (буцімто) не використовує RSA, а всі вони використовують криптоперетворень на основі ГОСТ- *, тому eToken - не більше ніж флешка з паролем і хитромудрим інтерфейсом. 

Перевірю на своєму eToken-Java 72K

Моє минуле. Дозвіл на радіочастоту. ХАІ-11 UR4LWA.

Позивний

Чомусь в ті далекі часи мені хотілося, за можливості, робити все по закону. Тому насамперед  я отримав дозвіл на роботу радіочастоті індивідуального користування з позивним "US4LLP".

Дозвіл на роботу на  радіочастоті індивідуального користування, позивний "US4LLP"

Радіомодем

Це дозволяло мені будувати радіомодем котрий повинен був працювати на швидкості до 9600 бод з використання радіостанції на 144 MHz. Пізніше викладу архів схем і опису що у мене зберігся... скемблера десклебера.  Ера інтернету ще тільки зароджувалася.

Моя плата радіомодему на 9600 у порівнянні з платою Ti СС1101

Так і не довів до фіналу, бо моя радіостанція 144... була на іншу частоту "пожежників" і я мріяв переналаштувати...
Зараз я маю для домашньої електроніки плату Ti СС1101 яка у себе включає і модем і радіо модуль з синтезатором частоти.

Але були фахівці цієї справи, наприклад, колективка на горищі ХАІ-11 (UR4LWA). Я був там як молодий аматор з ХАІ-10 у гостях, і отримував рекомендації де як і що треба робити.

Історія  колективки

У тенетах інтернету знайшов історичні нотатки про створення "колективки".

ХАІ-11. Квадрати UR4LWA. Фото прийшло від Андрея RW0LFY.

UR4LWA

Трохи історії ХАІ: 1968р. повернувся з РА і вступив в ХАІ, 1фак. Дізнався, що раніше в ХАІ була колективка. Восени 1989р. звернувся в комітет комсомолу ХАІ з проханням допомогти відкрити колективку, обіцяли допомогти. ... 1970р. партком, і ось воно щастя! Ректор дає добро і призначає відповідальним за відкриття колективки викладача Слєзін (кафедра радіопередавальних пристроїв). Восени 1971р. на початку навчального року розклеїли оголошення про відкриття колективної радіостанції. На збори прийшло 10-15 студентів. Вів збори майбутній начальник колективки викладач 5 фак. Слєзін, мене обрали заступником так як тільки у мене, на той момент був позивний "RB5LGR". Слєзін, я і Толя Борхович ("UB5077" ...) заповнили документи на відкриття колективки, потім я їх відвіз в радіоклуб на вул.Чернишевського. Так була відкрита колективка "UK5LBJ". Спочатку вона розміщувалася в радіокорпусі, потім колективку перенесли в корпус К2 (військова кафедра). Там наш колектив поставив перші "квадрати". ... Потім прийшло друге покоління ЕНТУЗІАСТІВ: це Юрій Іванько "UX0LW", Ігор Токар "US0LW", Володимир Ганапольський ex"UB5LAF" і багато, багато інших. Ці хлопці вдихнули нове енергію в розвиток колективці "UR4LWA" (UB4LWA). З повагою В'ячеслав (UY7LK, ex.ra3qgn, rb5lgr, ub5ldk).

за матеріалами Форум: Радіолюбителів - випускників ХАІ

Hardware modding TP-Link TL-WR841N v9 4M to 8M Flash and compile custom OpenWrt

Нотатка для себе як як робив перетворення роутера TP-Link TL-WR841N v9, розширення пам'яті пам'яті 4M to 8M.

Так як це не нова задача і в мережі є багато тлумачень як це зробити, зроблю для себе коротенькі нотатки.

Я користуватися в основному цим відео -  Відео: TP-Link WR841 16MB Flash Upgrade

Ремонт хлібопічки Orion 205, заміна мотору на іншу модель XB8628-B

Хлібопіч Orion 205

Дана хлібопіч має два ротори тому має трохи потужніший мотор ніж у інших моделей не 90 Ватт, а 100 Ватт.

Оновив старенький але потужний роутер прошивкою від Ubiquiti

Був у розпорядженні роутер "TP Link TL-WA5110G High Power" котрий  майже сумісний з "TP Link TL-WA5210G", а той у свою чергу сумісний з Ubiquiti NanoStation2.

Технічні характеристики Ubiquiti Nanostation 2:

процесор:	Atheros AR2315 MIPS 4KC 180 MHz
RAM:	16 MB SDRAM
Flash:	4 MB
роз'єми:	1 × 10/100 Base-TX Ethernet 1 × RP-SMA для антени
стандарт:	802.11b / g (airMAX client)
Потужність передавача:	до 400 мВт
ОС:	AirOS ™ v4
Робочі частоти:	2400-2483 MHz (2312-2484 MHz compliance test country)
Посилення антени:	10 дБі
спрямованість:	60 ° × 30 °
поляризація:	подвійна
відстань:	до 15 км (заявлено виробником)
розміри:	264 × 80 × 30 мм
вага:	400 г
корпус:	Пластик, УФ захист, для зовнішнього використання
Споживання (макс.):	4 Вт
Електроживлення:	12 В, 1 А, POE-адаптер в комплекті
Спосіб електроживлення:	Passive Power over Ethernet (pairs 4,5+; 7,8 return)
Робоча температура:	від -20 ° C до + 70 ° С
Вологість:	від 5% до 95%, конденсат допустимо

Технічні характеристики TP Link TL-WA5110G:

процесор:	Atheros AR2315 MIPS 4KC 180 MHz
RAM:	16 MB SDRAM
Flash:	2 MB

TL-WA5110G

Після оновлення flash пам'яті роутера "TP-Link TL-WR841ND" з 4 до 8Mбіт, у мене вивільнилась пам'ять на 4Mбіт (Winbond 25Q32).

Тому я використав  прошивку (FULLDUMP) від Ubiquiti NanoStation2 за матеріалом "AirOS на TP-Link TL-WA5210G", підправив MAC адреси HEX редактором "FRHED" (тільки три останні байти для LAN та WiFi модуля відповідно від свого обладнання [x03F060 ...]), та записав до флеш пам'яті "Winbond 25Q32" програматором "CH341A".

Після чого замінив флеш пам'ять з 2 Мбіт на 4Mбіт Winbond 25Q32 на платі роутера за допомогою фена та паяльника. 

Система запрацювала - airOS v4.0.1 (192.168.1.20 ubnt/ubnt).

Надалі завантажив останню версію airOS з сайту виробника (XS2.ar2316.v4.0.4.5074.150724.1340.bin - 2015-07-27), і оновив через інтерфейс airOS.

Nanostation2 v.4.0.4

Connect to 802.1X wired network on OpenWRT device

Source: OpenWRT Access point.
Task: auth by  IEEE 802.1X on wired connection.

 opkg update
 opkg remove wpad-mini
 opkg install wpad

 

Disk & Proxmox

Роблю для себе нотатки: Proxmox та робота з накопичувачами.

Physical disk to kvm

lshw -class disk -class storage
...

           *-disk
                description: ATA Disk
                product: ST3000DM001-1CH1
                vendor: Seagate
                physical id: 0.0.0
                bus info: scsi@3:0.0.0
                logical name: /dev/sda
                version: CC27
                serial: Z1F41BLC
                size: 2794GiB (3TB)
                configuration: ansiversion=5 sectorsize=4096
... 

ls -l /dev/disk/by-id/ata-ST3000DM001-1CH166_Z1F41BLC
ls -l /dev/disk/by-id | grep Z1F41BLC

add to kvm :

qm set  592  -virtio2 /dev/disk/by-id/ata-ST3000DM001-1CH166_Z1F41BLC
update VM 592: -virtio2 /dev/disk/by-id/ata-ST3000DM001-1CH166_Z1F41BLC

check:

grep Z1F41BLC /etc/pve/qemu-server/592.conf
virtio2: /dev/disk/by-id/ata-ST3000DM001-1CH166_Z1F41BLC,size=2930266584K

Використання аппаратного токену та сховища серифікатів у OpenVPN

Знов пишу нотатку для себе.
Тема сьогодні робота у середовищі Windows 10, апаратний токен та  OpenVPN.

Як використовувати для сховища сертифікатів апаратний токен

Є такий токен. Я працював з ним раніше:

• eToken PKSC11 створення та використання ключів у Ubuntu 
• Ініціалізація модуля OTP у токені "Aladdin eToken NG-OTP" за допомогою SDK
• Одноразові паролі (OTP) та сервер Apache (mod_authn_otp) 
• eToken доступ через сертифікати та одноразові паролі

 На вигляд він ось такий:

eToken NG-OTP 72k (Java)

Script for change interface bridge members to be private

При створенні віртуальних середовищ використовуючи jails FreeBSD , наприклад у FreeNAS,
стала задача ізолювати створенні jails у локальному сегменті мережі.
Так FreeNAS для створення jails почав використовувати пакунок 'iocage', що досить ефективно автоматизує роботу з jails.
Результатом роботи  у мене створенні декілька jails котрі ізольовані в окрему мережу котра  використовує VLAN.
Результатом є створення мережевого моста bridge до котрого додані члени jails і інтерфейс роутера.

Creating Private V3 Onion Services

V3 Onion Services додала можливість автентифікувати клієнтів що під'єднуються до певного Onion сервісу, за допомогою пари ключів.

Наприклад, onion адреса є y34f3abl2bou6subajlosasumupsli2oq7chfo3oqfqznuedqhzfr5yd.onion

1. Generate a key for Alice

Someone needs to generate a key for Alice to use. I don't think it really matters if Bob generates it for her instead. I will assume it is Alice. I would like to see Tor produce something themselves (perhaps inside little-t tor, perhaps a script shipped with its source code, etc.) but for now you have to figure out how to do it yourself.

pfSense email update notification about packages

Є задача отримувати на пошту результати періодичної перевірки застарілих застосунків що встановлені додатково до pfSense на кшталт squid, pfBlockerNG ...

Рішення:

1. Створюємо Email Report, додаємо опис, налаштовуємо періодичність, зберігаємо.
2. Повертаємося до редагування щойно створеного  Email Report, і додаємо команду: '/usr/local/sbin/pfSense-upgrade -c', зберігаємо.

Email Report pfSense-upgrade -c

За матеріалами:

• https://www.facebook.com/groups/pfsense.official/permalink/2005509943090559
• https://forum.netgate.com/topic/137707/auto-update-check-checks-for-updates-to-base-system-packages-and-sends-email-alerts/2

Для інтеграції CentOS з Hyper-V - CentOS v7.1 devices on HyperV

Використовую ESET Remote Administrator virtual appliance - Microsoft Hyper-V

Для інтеграції CentOS з Hyper-V додаю:

 Install daemons

# yum install hyperv-daemons
# systemctl enable hypervfcopyd
# systemctl start hypervkvpd hypervvssd hypervfcopyd

# virt-what
hyperv

За матеріалами:
https://plone.lucidsolutions.co.nz/linux/hyperv/centos-v7.1-devices-on-hyperv

Для тих хто каже що у нас в союзі були рублі - кажи КАРБОВАНЦІ!

Часто чую - "рублі" у сучасних розрахунках. Коли робиш зауваження, відповідь: тому що я так звик бо такі були у нас гроші.
Ось для таких осіб я і знайшов свою збережену стареньку "трьошку".

Читайте - спеціально для Української РСР : "ТРИ КАРБОВАНЦІ".

ТРИ КАРБОВАНЦІ

Тоді коли вже вживаєш совковий термін тоді кажи КАРБОВАНЦІ!!

Script for detect changing UID of SAMBA user

FreeNAS 11.2, SAMBA with AD

Sript detect wrong user with sid begin with 900

wbinfo -i EDOMAIN\\user1
EDOMAIN\user1:*:90000012:90000015:test user:/home/EDOMAIN/user1:/bin/sh

#!/bin/sh
wbinfoexe=/usr/local/bin/wbinfo
for user in $(${wbinfoexe} -u)
do
 uid=$(${wbinfoexe} -i "$user" | /usr/bin/awk -F: '{print $3}' | /usr/bin/egrep "^900")
 if [ ! -z "${uid}" ];then
  echo "Abnormal user is $user $uid"
  ${wbinfoexe} --logoff-user="${user}"
  net cache flush
  /etc/ix.rc.d/ix-activedirectory restart
  break
 fi
done

OpenWRT додати виключення DNS для певних доменів

Для домашнього роутера (OpenWRT) я використовую додатковий захист мережі у вигляді використання DNS сервісу - opendns.com.
Але інколи треба швидко додати виключення у DNS запитах і наприклад використовувати open dns google сервери.
Так, сервіс медіа каталогу uafilm потребує доступ до доменів, на кшталт: mxase.clmbtech.com, а він у свою чергу блокується сервісом opendns.com, тому я додав виключення для домену і піддоменів "clmbtech.com" додавши перенаправлення запиту до іншого DNS серверу 8.8.8.8.
Реалізація додавання параметру DNS forwardings - /clmbtech.com/8.8.8.8

custom DNS forward, OpenWRT 18.06

Для постійних виключень також можна додати виключення і у налаштуваннях opendns.com.

dashboard.opendns.com/settings

Повний список що я додав для програвання у програмі HD VideoBOX ресурсів з uafilm:
/clmbtech.com/8.8.8.8, /crashlytics.com/8.8.8.8, /apollostream.xyz/8.8.8.8

pfSense remove empty password from certificates pkcs12

Коли у pfSense експортуєш сертифікат користувача у форматі pkcs12, наприклад для використання авторизації WiFi EAP то у він експортується захищеним паролем котрий є пустим.

Але деякі мобільні пристрої не можуть імпортувати сертифікати з таким пустим паролем, він мусить бути.

Пароль мусить бути

Тому можна перекодувати .p12 такими командами

openssl pkcs12 -in userz.p12 -nodes -out temp.pem
openssl pkcs12 -export  -in temp.pem  -out userz-p.p12
rm temp.pem

Де:  userz.p12 - вхідний файл, userz-p.p12 - вихідний файл з паролем
На перший запит пароля вводимо Enter, на інші необхідний новий відомий Вам пароль.

Запити паролів

Глюк з FreeBSD 12, та мережевих карт Intel (em).

Після оновлення FreeBSD власники мережевих карт Intel (em) можуть не побачити свої мережеві інтерфейси після перезавантаження.

 
dmesg
em0: <Intel(R) PRO/1000 Network Connection> port 0xc000-0xc01f mem 0xfe800000-0xfe81ffff,0xfe820000-0xfe823fff irq 46 at device 0.0 on pci3
em0: attach_pre capping queues at 1
em0: using 1024 tx descriptors and 1024 rx descriptors
em0: msix_init qsets capped at 1
em0: pxm cpus: 8 queue msgs: 0 admincnt: 1
em0: using 0 rx queues 0 tx queues
em0: Using MSIX interrupts with 1 vectors
em0: allocated for 0 tx_queues
em0: allocated for 0 rx_queues
em0: failed to allocate IRQ for rid 0, name irq0.
em0: iflib_legacy_setup failed 12
device_attach: em0 attach returned 12

Поки виправляється цей баг, то можна застосувати це:
Adding hw.pci.enable_msix=0 to /boot/loader.conf and rebooting fixed it for me. https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=235147#c8  

Мені це допомогло.

FreeNAS-11.2-U2, Samba, VFS Object: default_quota.

Попередньо я вивчав як зробити реальні квоти для користувачів у FreeNAS:
Маємо те, що маємо. Усе що відбувається - на краще: FreeNAS, ZFS, User Quota, Samba.

Тепер задачу з реальним визначення квоти для користувача ZFS можемо зробити додавши VFS Object: default_quota до необхідної спільної теки у налаштуваннях Sharing / SMB .
З документації FreeNAS: default_quota - Stores the default quotas that are reported to a windows client in the quota record of a user.

Додавання VFS Object: default_quota

Перевіряємо поточне значення квоти для змонтованого диску Z: у ОС Windows 10.

Квота 80 GB

Встановлюю персональну квоту для певного користувача домену на zfs dataset.

DEFAULT_QUOTA=65G
USERS_DATASET=poolz2/samba/users
LOGON=${DOMAINNAME}\\${USERNAME}
/sbin/zfs set "userquota@${LOGON}=${DEFAULT_QUOTA}" ${USERS_DATASET}

Перевіряємо нове значення квоти для  змонтованого диску Z: у ОС Windows 10.

Квота 65 GB

P.S. Автор розробки доповнень до FreeNAS  коментує питання по цій темі:
CIFS/SMB - AD - Quotas and reported share size | iXsystems Community

• What minimum VFS Objects should be used for worked users quota ?
  
  only zfs_space, only ixnas. And default_quota it not need to use since 11.2-U2 ?
  - Only ixnas.
• You can set a base quota for all authenticated users by adding the following auxiliary parameter for your share: ixnas:base_user_quota = 10G. You can of course change this value. What happens is the first time a user connects to the share, samba will automatically set a user quota at 10GB for him. 
• You can remove "zfsacl" from your vfs_objects list. ixnas does the same thing.

ixnas:base_user_quota

Нотатка. TP-LINK 1043 backup firmare / full flash

Не знаю чи працює, але занотую для себе як зробити резервну копію прошивки роутера.

Повний дамп для прошивання програматором:

cat /dev/mtd0 > /tmp/backup_fullflash.bin
cat /dev/mtd5 >> /tmp/backup_fullflash.bin
cat /dev/mtd4 >> /tmp/backup_fullflash.bin

Окремі часини:
u-boot

cat /dev/mtd0 > /tmp/backup_u-boot.bin 

ART

cat /dev/mtd4 > /tmp/backup_art.bin

firmware

cat /dev/mtd5 > /tmp/backup_firmware.bin

За матеріалами: Маршрутизатор TP-Link TL-WR1043ND Atheros, 3x3 MIMO, 2.4GHz, 802.11n Draft 2 (частина 5) [111] - Конференція iXBT.com

FreeBSD ntpd starting up after upgrade. pwd_mkdb

Here, mergemaster added the ntpd user to /etc/passwd, but for some reason spoiled the password database. I simply ran /usr/sbin/pwd_mkdb -p /etc/master.passwd and this resolved the issue.

After updating another system, the old ntpd.pid file owened by the 11.2 root user was for some reason left in place and prevented the new ntpd starting up, because the user ntpd had no write permissions to the old .pid file (owned by root). I needed to delete said old .pid file manually and that resolved that issue.


https://forums.freebsd.org/threads/ntpd-not-starting-after-upgrade-to-12-0-release.68758

Що записано всередині безконтактних карт Київського метрополітену?

Безконтактні карти в київському метро почали вводити в 2007 році (інформація на сайті метро), але широке поширення і внесення вони провели тільки до кінця 2008 року. На сьогоднішній день існують два основних типу проїзних білетів: проїзні терміни, і проїзні коливання поїздів. В проїзних використовуються безконтактні карти MIFARE Classic 1K.

Фото - Metromuseum.net

Про проблеми у чипі MIFARE Classic стало відомо в 2007 році. Детальну історію відкриття вразливостей можна почитати в статті. Стаття хоч і 2008 року, але до цих пір актуальна, і в ній перераховані основні етапи знаходження вразливостей. Поєднавши ці знання можна подивитися, що ж записується в карти київського метро на прикладі проїзного на кількість поїздок.

Дисклаймер: Всі дії та інформація, описані нижче, наведені виключно для розширення особистого кругозору.

Оригінал статті: Що записано всередині безконтактних карт Київського метрополітену? / Хабр

Як виправити проблему в Ubuntu коли прокидається комп'ютер зі сну і відсутність з'єднання мережі

Щось недавно, після виходу комп'ютера в операційній системі Ubuntu 16LTE (4.15.0.-45-generic) зі сну, почав відмічати відсутність локальної мережі.
З'ясував це не тільки я маю таку проблему і є рішення : [lubuntu] No network after waking up from suspend.
Спочатку треба визначити назву драйвера мережевого з'єднання: 

sudo lshw -C network | grep driver

Пошук назви мережевого драйвера

У мене це sky2.
Далі створюємо файл скрипт з правами на виконання : /lib/systemd/system-sleep/wakeon_suspend

sudo touch /lib/systemd/system-sleep/wakeon_suspend
sudo chmod +x /lib/systemd/system-sleep/wakeon_suspend

І редагуючи вставляємо наступний зміст, де ModName назва мережевого драйвера.

#!/bin/sh
ModName="sky2"
case $1/$2 in
 pre/*)
  echo "activate $2..."
  /bin/systemctl stop network-manager.service
  /sbin/modprobe -rf $ModName
  ;;
 post/*)
  echo "wakeup from $2..."
  /sbin/modprobe $ModName
  /bin/systemctl start network-manager.service
  ;;
esac

Після цього під час засинання скрипт буде видаляти драйвер мережевого інтерфейсу, а коли настав час просинатися скрипт буде інсталювати драйвер знову і перезапускати мережеву службу network-manager.

У мене це запрацювало.

Як зробити використовуючи pfSense, FreeRadius, дозвіл на WiFi WPA-Enterprise авторизацію тільки на певній WiFi точці доступу

Є задача : обмежити авторизацію WiFi користувача котрий використовує WPA-Enterprise з можливістю авторизуватися тільки на певній WiFi точці доступу (Access Point).
Реалізація за допомогою модуля FreeRadius у pfSense.
Тестова WiFi точка доступу (MAC:00-10-A4-23-19-C0) підключена до FreeRadius у розділі NAS/Clients з назвою "AP1".

Для реалізації обмежень можна використовувати  radius атрибут: Called-Station-Id.
Атрибут "Called-Station-Id" передається до FreeRadius від WiFi точки доступу  під час підключення користувача до точки доступу WiFi.
Якщо запустити FreeRadius в консолі в режимі діагностики: freeradius -x, то можна бачити усі використанні атрибути при підключенні клієнта.
Так для тестової WiFi точки доступу (AP1) атрибут "Called-Station-Id" є "00-10-A4-23-19-C0:AP1".
Перевірку цього атрибута при підключенні користувача можна додати у розділі  Users, Additional RADIUS Attributes (CHECK-ITEM).

Вмикання, з затримкою, телевізійної приставки на час вмикання телевізора.

Маю телевізійну приставку для перегляду відео (set top box), а також бездротові навушники для телевізора які живляться окремими блоками живлення від напруги 230В.
Стала ідея, чому б не живити ці пристрої від напруги 230В тільки коли телевізор ввімкнено через пульт дистанційного керування.
Телевізор має USB порти для підключення зовнішніх пристроїв. З'ясував що у телевізорі на USB портах живлення подається тільки коли ввімкнений телевізор. Чому б і не використати напругу +5В USB для ввімкнення пристроїв через просте реле з набору andruino.
Зібрав конструкцію у корпусі з старого мережевого пристрою, з додаванням окремого вимикача котрий блокує вимикання реле, наприклад, коли потрібно щоб напруга з пристроїв не вимикалася під час вимкнення телевізора.

USB кабель, Реле +5, перемикач тумблер

FreeBSD, zpool upgrade, UEFI boot

Використовую FreeBSD 12.0, завантаження через UEFI , віртуальна машина Hyper-V.
Після оновлення системи  файлова ZFS попередила (zpool status) про те що є нові функції і можна оновити їх. Що я і зробив.

zpool status

The Days Go By / Минають дні, минають ночі

T.Shevchenko
Self-portrait, 1860

The Days Go By

The days go by, the nights go by, The summer's passing; yellow leaves Are rustling; light deserts the eye, Thoughts fade away and feeling sleep - All falls asleep. And I don't know If I'm alive or but so-so, Just floundering about the earth, For I know neither rue nor mirth...

Відновлення та модернізація паяльника ZD

Паяльник ZD-60

Для мобільних та термінових робот дуже зручно використовувати малий паяльник на кшталт цей ZD-60. Він працює в основному у режимі через діод, у на півперіоді змінного струму.
А коли натискається клавіша "турбо", то діод блокується і нагрівальний елемент живиться повному періоді змінного струму.
З часом у мене виходив з ладу нагрівальний елемент, я заміняв на інший доступний у продажу, але щось з параметрами у нових нагрівальних елементів було не так і паяльник дуже нагрівався. І ось у черговий раз я замінив нагрівальний елемент і вирішив додати до паяльника регулятор потужності, щоб елементарно контролювати температуру.

pfSense overwrite DNS records on BIND DNS server.

Стала необхідність створити резервні - Secondary DNS zones інших DNS серверів котрі працюють у віртуальному середовищі. У випадку коли проводяться операції з віртуальним середовищами до DNS сервери не відповідають. Реалізував secondary DNS zones за допомогою BIND DNS server у pfSense.
Але для ефектного використання мережевих сервісів котрі працюють як на зовнішньому інтерфейсі так і у внутрішній мережі є необхідність перевизначати значення  DNS записів для різних локальних підмереж.
Так наприклад запис era.lexxai.pp.ua має IP адресу xxx.231.86.xxx, з глобальних DNS серверів, а потрібно щоб в локальній мережі для клієнтів підмережі 172.16.0.0/24, DNS запис era.lexxai.pp.ua мав IP адресу 10.250.10.15.
Згідно з публікацією: Overriding DNS for fun and profit.
Додаємо зону "rpz" де додаємо всі DNS записи які треба перевизначити.

Зона DNS "rpz" визначення зони "net172"

Модернізація ліхтаря SUNCA на LED та Li-ion 18650

Кінцева мета модернізації ліхтаря SUNCO на LED світлодіоди та акумулятор Li-ion 18650

Багато є публікацій щодо модернізації на LED світлодіоди, тому я вирішив теж зробити таку модернізацію, але по своєму.
Це буде :

• один елемент акумулятор Li-ion 18650, з старого ноутбука.
• плата заряду та контролю 18650 через USB  - MP1405 (03962A).
• один потужній 1W, LED (Epistar, 100Lm, Warm White, Voltage: 3V-3.4V, 350 mA).
• дві лінійки з світлодіодів LED  5360 (20mA) у суміші білого і теплого кольорів. Одна лінійка з 6 світлодіодів, друга з 10 світлодіодів.

Intel С236 та HSIO Multiplexing

Для себе роблю нотатку, щоб зрозуміти якщо навантажити усі 8 SATA пристрої і використовувати також усі мережеві адаптери (GbE) .
Чи буде конфлікт у SATA0 та GbE згідно "Skylake C236 HSIO (High Speed Input/Output) Multiplexing on PCH-H"?

P10S-E/4L block diagram with Skylake C236

Skylake C236 HSIO Multiplexing on PCH-H

Використання IPSEC та включений захист DoS (Blat Attack) в керованих маршрутизаторах.

Так увімкнув функціонал захист DoS (DoS-атака) на керованому маршрутизаторі необхідно уявляти як і на що це впиває.
Я випадково заблокував роботу VPN IPSEC між двома філіями, увімкнув усі типу захисту DoS у керованому маршрутизаторі L2.
Проаналізував з часом що було зроблено з'ясував що блокування  IKE Phase 2 було через захист DoS Blat Attack.
Blat Attack - різновид DоS атаки в якому порт джерела дорівнює порту призначення. 
А так як початкові фази IKE використовують для з'єднання симетричний порт UDP 500 як у відправника так і у отримувача, то це як раз ця ситуація.
Тому треба захист DoS Blat Attack виключити щоб запрацював VPN IPSEC.

DoS Defend, L2 Management switch, TP-Link JetStream 24-Port Gigabit L2 Managed Switch

T2600G-28TS

У використаній конфігурації порт ISP , і  порт WAN програмного шлюзу pfSense підключений до маршрутизатора L2, з організацією окремого VLAN.