Cat-light

ОколоITшный дыбр #76

... В ядрах Linux в районе версий 6.11.{4-5} поломали драйвера Intel-евых WiFi-карточек. Я тут обновил на ноутбуке и обнаружил что Wi-Fi перестал работать. Подгрузка свеженького Firmware (в смысле, пакета "firmware-iwlwifi") проблему решила, но осадочек остался. Так что ставьте новые версии с осторожностью и не спешите сносить старые ядра.

... Протестировал пресловутую Unisimka. У супруги в двух аппаратах не заработала, но мне думается, что она совала её во второй слот, поэтому эксперимент получился не чистым. У меня в Huawei Nova Y61 нормально завелась, хоть этого смартфона и нет в списке официально поддерживаемых. Из самых очевидных недостатков решения могу отметить три:


  • надо устанавливать обязательно в первый слот;

  • при смене профиля происходит reset обеих SIM-карт, т.е. они обе теряют сеть и заново регистрируются;

  • как следствие, две "юнисимки" в один телефон не поставить.

Точнее, поставить-то наверное даже получится, но переключать профили можно будет только на первой.

А вообще даже немного интересно почему она стоит так дешёво и в чём подвох. Ведь поставщику пришлось как минимум преодолевать всякие бюрократические формальности ради получения сертификата / ключей GSMA для зашивания в эту "болванку", разрабатывать софт. Но то, что можно больше не гоняться за телефонами с поддежкой eSIM, бесспорно радует.

... Братья-киргизы жгут напалмом. Иногда даже потом пишут письма с вопросами вида "а почему у нас сервис XYZ не работает". М-дя. Зато какие суровые у них бизапасники... мышь не прокродетЬся!

Работать в киргизской лавке плохо. По возможности избегайте этого. Говорят правда, что у них жрачка вкусная, но сам не проверял. А вот в IT они совсем не умеют.

... Кстати про жрачку. metroelf говорит, что нашел чипсы со вкусом... внезапно картошки. Вот чудеса-то творятся. Бульба с бульбой! Говорит, их даже где-то в Нерезиновске можно купить.

... В офисе играют в анонимного Санту. Я чё-то задумался. Другой глобус или билет на Марс всё равно никто не подарит. А всё остальное я и сам себе могу купить, на фига вот эти заморочки? Да и вообще, с повсеместным проникновением всяких там вазонов / вылдберей и прочих [beep]-маркетов сама традиция дарить что-либо уже канула в лету. Или нет?

Наверное, это просто я слишком рационалистически настроенный социопат. Пью кофе, ненавижу людей и вот это всё. Хотя, от килограмма хорошей арабики даже я бы не отказался...

... Чё-то чем дальше, тем больше я проникаюсь вот этим телеграм-каналом. Особенно понравились посты про литературный журнал (ржал до слёз), социальные пузыри и наброс-репост про рабство в современном мире (это уже из немного другого канала). Что-то в этом есть.

... Предыдущей ночью (с 9 на 10 декабря) случилась какая-то достаточно мощная волна кибератак. Один телеком, по совместительству владелец ЦОДа, возлежал на несколько часов. Другой зелёный телеком изволил отвалиться на полчасика (да что ж они все такие нежные-то). У меня OpenVPN-сервер под внешним давлением великого Брутфорса долбанулся "на отличненько" и сам по себе наплодил 80 штук виртуальных tun-адаптеров, которые мне потом пришлось вычищать. Но как, Холмс? На некоторых машинках пришлось дополнительно увеличивать выделенный под трассировщик соединений объем памяти.

Посмотрел IPшники откуда летит вся эта гадость. Симферополь, Макеевка, Ставрополь и прочие южные регионы. М-дя. Ладно, спасибо что хоть Juniper-ы выдержали. Но тенденция не радует-с.

... Оказывается, уже несколько лет как (с ядер 4.20) существует вменяемая альтернатива Load Average. Называется PSI. А мужики-то и не знали. Лять, вот на всяких собеседованиях до сих пор про этот дурацкий Load Average спрашивают. Но теперь-то я точно знаю как надо отвечать на этот вопрос, бггг: "Х**ня этот ваш Load Average, я использую PSI, а вы слоупоки!"

... NextCloud оказался какой-то до хрена чувствительный к настройкам интеграции LDAP. Чуть не то, и тут же валится в Internal Server Error и в веб морду не зайти вообще никак. Причем, сколько я не медитировал, так и не смог осознать зачем нужно было делить настройку на "Users" и "Login". Видимо, это какая-то альтернативная философия.

При этом если ты уже сломал LDAP, то не сможешь залогиниться под локальной учеткой чтобы починить его. А если отключишь LDAP "скулем" (через SQL-запрос), то зайдешь в веб-морду, но в интерфейсе пропадут нужные настройки. Поэтому надо вот так:

sudo -u www-data php occ ldap:set-config '' ldapConfigurationActive 0

Потом поправить через веб-интерфейс и включить взад. "О" — "очевидность". Да-а-а-а, чё-то NextCloud перестал мне нравиться. Впрочем, мне в принципе угодить очень тяжело, так что пофиг.

Всем вкусной картошки и понятной философии.

Cat-angry

Пьяное тело

Супруга возвращалась вчера из Красногорска. Ехала себе спокойно, никого не трогала. И тут на дорогу высовывается вот такое пьяное (а может обдолбанное, не знаю) тело прямо под колёса. Хотя на тротуаре места вагон и нет никаких луж. Просто тело решило, что на проезжей части ему прикольнее.

Видос лежит вот здесь.

Пришлось оттормаживаться. Хорошо ещё, сзади никто не влетел. Не так просто на той трассе везде ограничение скорости 50 км/ч выставлено.

И вот что бесит. Из-за таких вот колдырей кто-то авто себе и другим разбивает, кто-то вообще водительского удостоверения лишается или в тюрячку садится. Я бы выдавал лицензии на отстрел подобных гамадрилов.

В этот раз решил выложить видео не на заблокированный в России YouTube, а на свой собственный хостинг. И шосукахарактерно, не нашел для подобного рода задач нормальной софтины. Более-менее что-то подходящее обнаружилось вот здесь, но у него есть два больших недостатка.


  1. Все загруженные на сервер файлы он складывает в одну папку. Если их будет достаточно много, то файловая система помрет.

  2. У него нет генератора HTML-кода для встраивания в тот же ЖЖ (embed / iframe).

Видел ещё вот такое и вот такое. Но первое питонописное, тяжелое и корявое. А второе хочет богомерзкий доцкер для работы.

Поэтому вопрос к залу. Если вы где-нибудь видели лёгенькую self-hosted софтинку для расшаривания видео с функциями iframe / embed, не требующей гигабайтов места на диске и/или доцкера, поделитесь пожалуйста. В принципе, вот тот "Tube" (см. выше) меня устраивает, но за исключением двух перечисленных недостатков. Хотелось бы что-нибудь похожее, но без них.

Cat-light

ОколоITшный дыбр #75

... Уже в который раз манагеры выводят из коммерческой эксплуатации какой-нибудь проект, а админам традиционно об этом никто не рассказывает. Мониторинг будит по тревоге, мол кирдык-кирдык, тоннель упал. А потом выясняется, что это заказчик со своей стороны всё демонтировал за ненадобностью. М-дя. У меня в такие минуты физиономия выглядит как-то так.

Ещё бы отфотошопить цвет глаз, чтобы красными стали а-ля "терминатор". Вот тогда будет почти 100%-ное сходство.

... А если серьёзно, то это супруга тестировала фотокамеру на Honor X7c. На удивление приличный телефончик оказался, особенно за 10 килорублей (версия 6/256 за 13 килорублей) по акцЫи. Разве что этот гоноровский "фирменый" swap не отключается (который "расширение оперативной памяти за счет флешки") и агрегации частот в LTE нету. А в остальном вполне себе юзабельный. В качестве "запасной" трубки, в качестве расходного материала или нетребовательному потребителю а-ля школьник-пенсионер пойдёт.

... Пользоваться всякими софтинками наподобие "yt-dlp" становится всё сложнее. Ютубычу очень не нравится что всякие "отечественные" сервисы беззазорно тырят с него контент и начинает требовать авторизаций-печенек когда приходишь с IPшников, принадлежащих ЦОДам. А с домашнего компа роскомпозор блокирует. Понятно, что при желании всё решаемо, но как же они все заманали на ровном месте жизнь усложнять.

... Коллега показал очередную софтинку для ВКС, называется "FarPlay". Типа, для удалённого обучения игре на музыкальных инструментах. Якобы до фига крутое качество звука, недорого и бла-бла-бла. Я попробовал её у себя запустить, она не смогла пролезть через мой домашний Juniper SRX. М-дя.

... Случайно занесло на сайт "Интер РАО". Не спрашивайте как. Увидел на одной из страниц вот это и чё-то слегонца взоржал.

Отдельный ящик на "Яндексе" для получения писем с "зарубежных почтовых сервисов". Бггг. Ненуачо, как умеем, так и работаем.

... Некстати, насчет всяких "зарубежных сервисов". Письма от всяких Micro$oft и прочих RedHat на российские домены не придут. Точнее, какие-то дойдут, какие-то нет. Выборочно, и непонятно от чего зависит. На GMail приходит всё, но с ним есть другая подстава.

... Понадобилось тут стряхнуть пыль с одного GMail-овского аккаунта, которым очень давно не пользовались, несколько лет. Логин известен, пароль известен, но не пускает. Хочет подтверждения SMSкой. Но во-первых, тот номер который был привязан, давно и успешно профакан. А во-вторых, даже если бы он и был, то всё равно ничем бы не помог, потому что российский.

Кое-как удалось войти через резервный e-mail, но дальше с аккаунтом сделать всё равно ничего нельзя, пока не привяжешь его либо к "правильному" забугорному номеру, либо к "железному" Android-телефону. Выскреб оттуда всю ценную информацию, которая была нужна, но сам факт. Отсюда выводы.


  1. Если вы живете в России, лучше отвяжите всё от GMail-а / гугла пока не потеряли аккаунт.

  2. Если аккаунт вам всё-таки нужен, привяжите к нему минимум один Android-телефон, резервный e-mail, 2FA tOTP, таблицы разовых ключей и всё вот это, чем больше тем лучше.

  3. И вообще, раз пошла такая пьянка, придётся теперь держать две VPS-ки с собственными почтарями (релеями): один "здесь", второй "там". К бесплатным решениям типа Яндекса / Гугла вообще уже никакого доверия нет.

  4. Смартфоны без GMS видятся уже даже более предпочтительными, чем смартфоны с наличием оного. По крайней мере, вырабатывается полезная привычка не складывать все яйца в одну корзину, что неплохо само по себе.

  5. Лишний раз убедился, что "облаков не существует, есть только чужие компьютеры". И не стоит там хранить ничего хоть мало-мальски ценного. Только жесткие диски на дохера терабайт, только хардкор, только локальные архивы с локальным же почтовым клиентом. Всё самое ценное бэкапить на второй жёсткий диск или домашний сервак. И ниипёт.

... В попытках восстановить контроль над аккаунтом узнал, что оказывается один красный оператор давно уже барыжит зарубежными eSIMками за рубли. Нет eSIM в телефоне?

... На такой случай есть российско-китайский аналог "esim.me" под названием "UNISIMKA", правда работает не со всеми смартфонами (то бишь лотерея). Я себе заказал одну на-потестировать, а заодно открыл для себя один занятный факт.

Мадам, которая является продавцом этих UNISIM-ок на Озоне, а также значится в качестве автора одноименного приложения в RuStore, когда-то раньше работала в той же лавке что и я сейчас. А нонче она является заместителем вице-президента ВКонтактика по чему-то там.

И вот последнее мне особенно удивительно, а чо, так можно было? Занимать достаточно высокую руководящую должность фактически в госкорпорации и одновременно быть ИПшником и барыжить китайчатинкой? И ничего, всё нормально? Хм, чем дольше я живу, тем меньше понимаю что происходит вокруг.

... Ещё с неприятным удивлением обнаружил, что DrimSIM больше не предоставляет ни голоса, ни SMSок. Только интернет-трафик. Хотел было получить SMSку от гугла на него, а вот облом-с.

Всем работающей почты и доходящих SMSок.

Lynx

I did it again

Навеяно вот этим постом.

У нас в офисе как-то взял моду падать линк в интернет. Причём, чётко раз в две недели ровно в 11:53. Приляжет отдохнуть минут на пять-десять, потом снова работает. Это всегда приходилось на пятницу, но не каждую, а через одну. Закономерность-с.

Мы с коллегами, разумеется, каждый раз писали запрос в техподдержку провайдера, одного очень крупного федерального телекома, всевозможные пасквили. Мол, шозанах, мож вы уже разберётесь с этим? И всегда получали какие-то рандомные нелепые отмазки от "по нашим логам неисправностей не видим", "ничего не перезагружалось, порт не падал" до "подключитесь напрямую к нашему оборудованию" (хм, куда уж прямее-то?).

Пришлось мне, старику, собирать сервачок с двумя сетевухами в linux-bridge, обкладывать его весь мониторингом по самые помидоры и включать одной мордой в коммутатор провайдера, другой мордой в наш коммутатор. Причина оказалась столь же прозаичной, сколь и дурацкой.

Провайдер установил в телекоммуникационный шкаф бизнес-центра свой коммутатор и UPS для него. Не очень понятно зачем UPS, потому что бизнес-центр подавал в эту свою псевдосерверную уже гарантированное стабилизированное питание от своего собственного промышленного UPSа. Так вот, в какой-то момент времени батарейка в провайдерском UPSе изволила сдохнуть, но тот по старой привычке всё равно проводил самотестирование. Во время которого коммутатор уходил в перезагрузку по питанию. Чётко по расписанию, раз в две недели, в одно и то же время ага. Но провайдер упорно "не замечал" данный факт на протяжении минимум четырёх (!) месяцев, хотя к этому его коммутатору кроме нас (были) подключены и другие арендаторы этого же бизнес-центра.

Потом было несколько выездов пехотинца поставщика услуг связи. Сначала они своими глазами возжелали убедиться в наличии проблемы, ещё и не верили жы ж. Потом согласовывали работы и меняли этот несчастный UPS. М-дя. "Сколько нужно инженеров чтобы..." (и далее по тексту)

Но даже это ещё не всё. Я рассказал эту байку одному знакомому админу из другого крупного федерального телекома. Он мне ответил, дословно:
— У нас на mx-5 раз в 3 месяца сносит башню ldp.

Есличо, MX-5 — это такой крутой Juniper-овский маршрутизатор. Посмотришь сколько сто́ит — вздрогнешь. А вы говорите "немецкий телеком", бггг.

Всем надёжных UPSов и маршрутизаторов. И да, если вы пропустили вот эту байку, тоже прочитайте. Ещё один чем-то похожий смешной кейс, и тоже из области телекома. Впрочем, я за свою практику довольно много подобного могу припомнить, если начну ностальгировать и писать мемуары.

Cat-light

ОколоITшный дыбр #74

Первые две новости я беззастенчиво ©тырил из бложиков тов. nixxl и vaf. Подписывайтесь, если ещё не. Пишут мало, но интересно.

... Говорят, Micro$oft Office ворует данные пользователей для обучения своего ИИ. Восстание скрепки.

... Яндекс опять не туда воюет. Взял и положил все российские NTP-сервера своими умными колонками. Чё-то ржу, но не удивлён.

... Вот тут я писал, что "бизапасники" одного заказчика сЪагрились на нас за то, что мы удалили с их серверов tuned. Бггг, не прошло и года (спасибо за новость тов. rustedowl). КМБУ. Мои эмоции по поводу можно обрисовать примерно вот такой картинкой.

... Чё-то я взял и проспал очередной Яндекс NextHop. Хотел посмотреть трансляцию, но работой накрыло. Говорят, они там выложили в OpenSource некую вундервафлю под названием "Аннушка" чтобы рулить конфигурациями сетевого оборудования. Типа, некая альтернатива Ansibl-у. Кто-нибудь уже попробовал?

Я вот не совсем понимаю. Одно время тот же Яндекс очень активно топил за SDN (software-defined networking). А теперь вдруг бросился всякие "Аннушки" разрабатывать. Хм, а что случилось?

... Негодую на тему размера некоторых приложений под Android. Например, вот.

И ладно бы это была какая-нибудь игрушка. Но это же просто по сути веб-страничка чтобы проверить баланс счета. Теперь что, в каждое приложение в обязательном порядке свой собственный браузер пихают что ли? А если на смартфоне нет 5 ГГц Wi-Fi? М-дя, понапишут г..на...

... Другое приложение, СберЗвук, прямым текстом потребовало у меня включить VPN, бггг. А говорят, что какой-то там закон есть, который требует не упоминать эти три ругательные буквы всуе.

... Заметили сильную деградацию у одного заказчика, ОПСОС из одной бывшей союзной республики. Смотрим: снова лютые потери пакеты в канале аж до 50%. Спрашиваем, мол, что случилось. Ответ смешной и грустный одновременно: "Резервный канал лёг, основной перегружен". М-дя, российским ОПСОСам пока ещё есть куда падать. Хочется верить, что у нас до такого всё-таки не докатится. Но тенденции пугают-с.

... Один разработчик из конторы уехал на зиму в тёплый солнечный Тайланд. И обнаружил, что не может получить доступ к ряду российских сервисов, в том числе к тому же Сберу. Пришлось городить для него решение с точкой выхода в России. Но как зарулить туда N устройств, включая ноутбук и всякие специфичные железки? Не-рутованный Android не умеет направлять в VPN "чужой" трафик. Посоветовал ему приобрести "на месте" вот такое, там внутри OpenWRT "из коробки". Он так и поступил. Ничего не пришлось перепрошивать, всё завелось как задумано. Есличо, имейте в виду.

... Посмотрел внимательно, жулики из прошлого поста мне звонили с вацапа, привязанного к номеру Tele2-Волгоград. Ведь берут же где-то российские SIMки, черти, несмотря на все запреты, ограничения и меры контроля. Стало быть, неэффективны все эти методы борьбы (кэп просил передать).

... Встретил на районе хаски, абсолютно белую без единого пятнышка суку с голубыми глазами возрастом 10 лет. И разожранную настолько, что еле ходит, особенно учитывая поврежденную заднюю лапу (умудрилась порвать сухожилие). Хозяйка говорит, тырит со столов и жрёт абсолютно всё, даже бумажные полотенца (!). М-дя. Похоже, мне с собаками ещё сильно повезло. Мои псины такого себе близко не позволяют. Поклянчить, мордой потыкаться, помяукать — это завсегда. Поесть без строгого контроля с их стороны невозможно. Но чтобы они сами что-то со стола взяли, пока ни разу не было. Хотя чисто технически для них это вообще ни разу не проблема.

... Как-то возвращались домой с прогулки. Отвлёкся на мелкого, а рыжая чё-то затупила и не вышла из лифта, двери закрылись. Я представил себе картину маслом: кто-то из соседей вызывает лифт, он приезжает, двери открываются — а там собака, да ещё и чисто внешне максимально похожая на волка. Какую-нибудь бабульку запросто может кондратий хватить на месте.

Всем хороших новостей и удобных приложений.

Cat-light

IPSec Best Practice

Что-то мы разговорились с rustedowl на тему IPSec. И он меня в процессе спросил, а бывают ли какие-нибудь Best Practice применительно к IPSec. Что ж, спрашивали — отвечаем. Все нижеизложенное является сугубо моим личным мнением, выстраданным хождением по многочисленным граблям, не обязано совпадать с рекомендациями IETF, учебниками по Cisco и бла-бла-бла. Но сперва освещу некоторые общие моменты, связанные с техническим прогрессом. Это что-то из серии "а мужики и не знали".


  • 99% случаев использования IPSec — это тоннельный режим. Транспортный сейчас не то что нигде не используется, но и большинством сетевых железок тупо не поддерживается. Для кого-то это очевидно, для кого-то нет.

  • IKEv2 принес с собой многие полезные фичи, среди которых: поддержка эллиптических кривых в первой фазе, поддержка AEAD-шифров во второй фазе, всевозможные Configuration Payload (некий аналог DHCP), multi-child SA, childless SA, автоматическое сужение IP-диапазона криптодомена при несоответствии и тому подобное. Глупо отказываться от такого праздника жизни, если железки с двух сторон всё это умеют. Если не умеют — это уже второй вопрос, профессор ©.

  • Соответственно, если есть возможность использовать IKEv2, то всякие проприетарные расширения протокола наподобие Cisco XAuth, и прочие "агрессивные режимы" уверенным маршем отправляются на свалку истории. Последний дык вообще давно признан небезопасным и по-хорошему не должен нигде использоваться.

  • Всякие GRE over IPSec и прочие L2TP over IPSec тоже давно и уверенно обитают на свалке истории, за исключением всяких сильно экзотических случаев, когда надо через IPSec пропустить не IP-шный стек протоколов или подключить какую-то откровенную некрофилию. Но это прям редкость-редкость.

  • В Linux-е примерно с 5-й версии ядра появились XFRM-интерфейсы. Это намного удобнее, чем всё остальное, поэтому при прочих равных не стоит игнорировать такую возможность.

  • С тех пор, как современные железки научились в Route-Based (он же VTI-based) подход, всё остальное потеряло какой-либо смысл. По страшному секрету, когда в том же Juniper-е конфигурируешь тоннель политиками firewall-а, "под капотом" он всё равно, никому не показывая, делает route-based.

  • В цисках и всяких прасти хоспади Checkpoint-ах есть возможность построить тоннель так, что IP-адрес "внешнего конца" совпадает с адресом "внутреннего конца". Так вот, никогда так не делайте, хотя соблазн весьма велик. Владельцы других железок вас проклянут на месте.

  • В тех же цисковских учебниках есть разделы "как настроить резервирование тоннелей при помощи DPD (dead-peer-detection)". Так вот, тоже никогда так не делайте. Резервирование — это когда у вас есть два (или больше) одновременно и постоянно работающих тоннеля и какая-нибудь "динамика" внутри них (BGP, OSPF, RIP, whatever). Всё остальное — изврат и порнография.

  • Не убирайте IPSec-терминаторы за NAT. Любимое развлечение мамкиных "бизапасников". Не уподобляйтесь всяким кретинам.

  • Всякий раз напоминаю: Security Association (криптодомен), маршрут (route) и правило фильтрации (firewall rule) — это не муж и жена, а три вообще никак не зависящих друг от друга сущности. "Мамкины бизапасники" меня постоянно вымораживают тем, что не способны отделить одно от другого.

С учётом вышесказанного можно уже вынести конкретные рекомендации. Но при условии, что с двух сторон находятся достаточно современные железки под управлением достаточно пряморуких инженеров.


  1. Используйте IKEv2 плюс самые злобные шифры, которые только умеют железки с двух сторон. Обычно это ECP384 для первой фазы и AES-256-GCM для второй. Для AEAD-шифров AH (хеши) не нужны, сэкономите на MTU.

  2. По Lifetime — 8 часов для первой фазы, 1 час для второй. Вполне разумный выбор для подавляющего большинства применений.

  3. Всегда отключайте Lifebytes, PFS (perfect forward secrecy), DPD (Dead Peer Detection), Idle Timeout. От них больше вреда, чем пользы.

  4. По мере возможности используйте "честные" прямые IP для IPSec-терминаторов. Если у вас предусматривается авторизация клиентов / пиров и по X509-сертификатам, и по PSK — разносите их по разным IP-адресам. Если должно быть несколько разных инстансов (например, с разными CA), где IP вражеской стороны заранее неизвестен, то их тоже надо разносить по разным локальным IP-адресам.

  5. Всегда назначайте маршрутизатору / терминатору IP-адрес на интерфейс "внутреннего конца" тоннеля (а-ля xfrm0 / st0.0 / VTI) с префиксом не у́же чем "/30", причем обязательно отличающийся от "внешнего конца".

  6. Всегда используйте криптодомен (он же IPSec SA, он же Proxy-ID) вида "0.0.0.0/0,::0/0" с обеих сторон, а доступы до конкретных хостов / подсетей разруливайте отдельно через статические / динамические маршруты и правила Firewall-а или ACL.

  7. После успешного строительства тоннеля проверяйте как через него хотят толстые пакеты с флагом "don't fragment". Возможно, придется где-то шаманить с MTU / MSS. В идеальном мире маршрутизаторы / терминаторы не должны заниматься фрагментацией / пересборкой таких пакетов. Также проверяйте что везде доходят ICMP Fragmentation Needed.

  8. Ставьте тоннель на мониторинг любым сторонним инструментом наподобие Zabbix-а. Потому что маршрутизатор / терминатор сам не поймёт, что вторая фаза по каким-то причинам развалилась. Например, ситуация когда одна сторона уже инвалидировала сессионные ключи по DPD Timeout, а вторая ничего про это не знает, к сожалению, является скорее нормой чем исключением. Или скажем трафик первой фазы (UDP:500) проходит, а ESP — нет, такое тоже сплошь и рядом. Другими словами, не верьте тому что сам маршрутизатор говорит вам о состоянии тоннеля по SNMP, эти сведения недостоверны.

Всем прочных тоннелей.

И чтоб два раза не вставать. Посоветуйте пожалуйста открытую / бесплатную софтину чтобы собирать Netflow / JFlow и рисовать красивые отчетики на тему "какой мурзилка из сети скушал больше всего трафика за последнюю минуту / час / день / месяц" и какие должны быть вычислительные мощности для её работы. Спасибо.

Lynx

Мошенники, серия стопицотая

Уже устал считать какая серия. Позвонили очередные жулики в WhatsApp. В качестве иходящего никнейма (псевдонима) был указан "ФФ ОМС". Чувачок с характерным узнаваемым акцентом, говорит бодро и уверенно.

По легенде, для меня был якобы выпущен новый полис ОМС в виде пластиковой карточки с чипом, и что мне надо его забрать в регистратуре поликлиники. Но для этого сперва продиктовать им код из СМС.

Для тех, кто хоть чуть-чуть ориентируется в современном мире, тут прекрасно вообще всё. И звонок через вацап с непонятного аккаунта, и "перевыпуск" заведомо бессрочного полиса. И то, что уже два года как полисы ОМС на физических носителях в принципе не изготавливают: они сейчас только электронные (можно самому распечатать штрихкод на бумажке и всем показывать). Но, видимо, на кого-то такая байка работает.

Этот мурзилка сперва попытался сбросить пароль от моих "Госуслуг" СМСкой. Но вот облом: он не знал к какому номеру они привязаны, поэтому СМСка тупо не пришла (смотри один из моих предыдущих постов). Тогда он запустил процедуру восстановления пароля через контрольные вопросы и внаглую начал у меня спрашивать ответы на них. Разумеется, я брякнул первое пришедшее на ум неправильное слово. Оно конечно же не подошло. Но мурзилка не сдавался. Он спрашивал снова и снова, начал наезжать. Я отвечал, что слово "точно правильное". В конце концов он сказал что "вы странный мужчина" и бросил трубку. Эх-х-х-х-х, так и не удалось попросить его произнести "Юрий Гагарин" и позлить-постебать.

Как мне рассказали, есть и более изощренные схемы. Например такая.

Домой приходит некий чувак, приносит цветы / тортик / посылку / хз что. Говорит "это вам, но сперва продиктуйте СМСку". Ты диктуешь, а это было восстановление пароля от "Госуслуг".

Разновидность предыдущей схемы: некий чувак приносит цветы. Вы удивлены, но забираете и забываете. Через пару дней вам звонят якобы из службы доставки и просят "оценить качество". Для чего опять же, просят код из СМСки. Далее смотри предыдущий абзац.

Будьте бдительны. И помните, что полисы ОМС сейчас бессрочные и электронные, а бесплатный сыр бывает только в мышеловках.

Cat-light

Wishlist-2024

Традиционный ежегодный wishlist. Почти не отличается от прошлогоднего, хотя появились некоторые новые позиции.


  1. Coral TPU никто так и не подарил. Хотя я и сам не уверен что у меня будет время с ним возиться-разбираться.

  2. Продлить мой OVHшный хостинг. Это для живущих "там". Могу также обменять на что-нибудь "здесь".

  3. Продлить мои хостинги на SpaceWEB и TimeWEB (ага, развёл всякого).

  4. Профессиональный погружной блендер тоже никто так и не подарил.

  5. Хорошая некрепкая алкашка на травах (которую не пьют, а смакуют) наподобие вермута, орехи, красная рыба. Это завсегда.

  6. Лимонад "Star Bar Craft" со вкусом "шалфей-можжевельник".

  7. Хорошая годная "максимально плоская" светодиодная люстра в комнату с теплым светом без мерцания.

  8. Супермощный остронаправленный компактный фонарик на очень-очень много люмен. Светить в рыло электровелосипедистам и самокатчикам. Задрали.

  9. Качественный городской рюкзак, чтоб туда влезал 15"-ноутбук для поездок по ЦОДам. Старый меня полностью устраивает, но у него ручка уже отрывается.

  10. Гамнитола в Весту 2017го года выпуска, но при условии инсталляции силами дарителя. У меня лапки.

  11. DRL ДХО в Ларгус 2014го года выпуска. Это такая хреновина, которая делает из дальнего света дневные ходовые огни за счет уменьшения мощности до 30% от номинала. Раньше на каждом углу продавалась, сейчас чо-та не могу найти. Задолбался лампы ближнего света менять.

  12. Тёплый спальный мешок чтоб на даче дрыхнуть. Старый разложился.

Всем толпы дарителей, которые реализуют ваши wishlist-ы.
Cat-light

ОПС, НПФ, ПДС и прочие ругательства

Я уже раньше заморачивался этой темой вот тут.

Наткнулся на интересную инфу в тележеньке относительной всей этой гомосятины новомодной движухи касаемо НПФ и ПДС с подробным разбором в трёх частях: раз, два, три. И в качестве "довеска" рейтинг всех этих ваших НПФ с результатами деятельности за последние 10 лет здесь.

Совсем коротко: это всё н@3б@л0в0. Как мы, б***ь удивлены, да? Теперь чуть подробнее, тезисно.


  1. Все эти ПДС имеют хоть какой-то смысл только для эталонных нищебродов пролетариев с зарплатой меньше 80 килорублей в месяц. Но даже в этом случае в результате "государственного софинансирования" они получат доход эквивалентный 7,2% годовых. Ну так себе результат. Все остальные — ещё меньше.

  2. Второй use case — прямо сейчас "по фану" закинуть два килорубля в какой-нибудь ПДС, чтобы через 15 лет выцарапать свою "замороженную" накопительную часть пенсии. Актуально для тех, у кого там набралась более-менее существенная сумма. Причем, срок начинает "тикать" с момента заключения договора ПДС, а не с момента перевода туда пенсии. Но тут тоже есть нюансы, о них далее.

  3. Не существует ни одного НПФ, который показал бы положительную реальную (т.е. с поправкой на инфляцию) доходность на дистанциях за последние 5 лет и последние 10 лет одновременно. При этом на дистанции в 10 лет только два фонда-"миллионника" показали положительную реальную доходность.

Так что всё это очередная х**та под ароматным соусом. Для обычного российского пролетариата наподобие меня по-прежнему актуальны только банковские депозиты и бетон (в смысле, недвижимость). Уже обсуждали это ранее вот здесь. Для самых прошаренных, у кого уже есть всё что нужно, а деньги всё равно почему-то не закончились, есть ещё ИИСы, но персонально я в эту сторону пока что даже не пытался смотреть за ненадобностью. Если вдруг на меня откуда-то внезапно свалится много бабла (что крайне маловероятно), буду тупо улучшать жилищные условия и больше путешествовать.

Теперь про "выцарапать свою накопительную часть пенсии".

Если оная у вас уже прямо сейчас обитает в каком-то НПФ, то проще с ним же заключить договор ПДС, закинуть туда два килорубля плюс эту самую "накопительную часть" пока дают и забыть. Всё это, как правило, можно сделать удалённо, не отрывая попы от дивана. Единственное, понадобится "Госключ", но это тоже не проблема если у вас есть / был загранпаспорт. Есть ещё один нюанс, что некоторые НПФ требуют ежегодно вносить хоть сколько-нибудь денег на этот самый ПДС, хотя бы рубль. Тут надо внимательно читать договор и не забывать чисто формально башлять раз в год, если такое условие в нём прописано.

Если накопительная часть обитает в СФР (то бишь государственный пенсионный фонд), то счет ПДС всё равно лучше открыть прямо сейчас, чтобы начал "тикать срок". Потом дождаться "года фиксации" (для "молчунов" это 2025-ый), заключить договор ОПС (обязательного пенсионного страхования) с НПФ где ранее открыли ПДС, подать заявление на перевод в него накопительной части пенсии, и ещё через год (получается, в 2026-м) перекинуть на ПДС эти самые грошики. И тут возникает второй нюанс. Формально возможность перевести накопительную часть пенсии на ПДС открыта только до конца этого года. Продлят ли действие этого закона, никто не знает. Но, в крайнем случае, просто условно потеряете те самые 2000 рублей (на самом деле заморозите на 15 лет, что по сути то же самое).

Насчёт этих всех НПФ. Как уже упоминал, это всё сорта г...на. Заранее не угадаешь какую доходность они продемонстрируют в том или другом году, но на длинной дистанции она будет сто пудов ниже инфляции. Конкретно в прошлом году приятно отличился Сбер, внезапно выдав аж целых 10,2%, но на фоне последних 10 лет оно всё равно не помогло ему выбраться "в плюс".

Что касается меня самого, я решил таки сыграть в этот лохоторон, бо 2000 рублей мне прямо сейчас про***ть не сильно жалко. Выбрал для себя НПФ "ОПФ", открыл там ПДС. Если повезет, в 2026м году отправлю туда накопительную часть пенсии (на самом деле одно название, бггг). Если не повезет, то и хрен бы с ним. После онлайн-процедуры заключения договора мне показали вот такой баннер (кликабельный).

Блин, теперь боюсь себе даже представить что это за руки такие и насколько они чистые.