klink0v (klink0v) wrote,
klink0v
klink0v

Categories:

ОколоITшный дыбр #22

... Строили очередной IPSec-тоннель с очередным контрагентом из бывшей союзной республики. И вот ведь какая засада. Когда при IKE-обмене его сторона является Initiator, а моя Responder, то всё замечательно. Если же я Initiator, а он Responder, то возникают какие-то совсем странные ошибки из серии "не могу распарсить такой-то пакет". Никакого NAT-а нигде нет, с двух сторон "честные" IPшники. У меня StrongSWAN, у него Cisco ASA. Пробовали и IKEv1, и IKEv2, и разные шифры, похрен.

Причем, судя по дампам, там по дороге есть нечто, что портит эти самые UDP:500 пакеты. То ли Firewall, то ли балансировщик какой-то, то ли IPS / IDS / DPI / ALG или ещё какая-нибудь жопа в этом духе. Мне и самому было бы интересно разобраться, но с той стороны у "инженера" квалификация никакая, да и разница в часовых поясах ни разу не стимулирует. Пришлось тупо подставлять костыли, чтобы IPSec всегда инициировался бы с той стороны.

Особенно забавно, что когда IKE уже установлен и согласован, я могу без проблем со своей стороны стартовать любой дочерний тоннель (IPSEC Security Association), даже если до тех пор он не был инициирован. Ну явно какая-то хрень со стороны там лезет в работу протокола, причем похоже, что она установлена в их же сети. Вот именно с таким столкнулся в своей практите впервые.

... Наткнулся на исследование, в котором утверждается, что якобы NginX под нагрузкой вносит меньшую латентность, нежели HAProxy. Уж не знаю насколько оно беспристрастное, поскольку опубликовано в блоге всё того же NginX-а. Но если действительно так, то грустно. Лично мне намного больше нравятся healtcheck-и, мониторинг и диагностика у HAProxy, нежели у NginX-а. С другой стороны, 85 тысяч запросов в секунду... у меня такой аццкой мясорубки-то даже рядом никогда не стояло.

... Не помню, писал уже про это или нет. Шел 2021-й год, а некоторые программные продукты (например, тот же TeamCity или даже OpenSSL) до сих пор не умеют хавать закрытые SSH-ключи в формате RFC4716. Им нужен формат PEM. Чтобы сконвертировать из одного в другой, можно скастовать заклинание "ssh-keygen -p -f id_rsa -m PEM". Типа, мы меняем пароль с пустого на пустой, но при этом также ssh-keygen перекодирует в другой формат. Кроме этих двух перечисленных бывает ещё формат PKCS8. Нужно больше разных форматов богу форматов!

... Энное количество времени тому назад, когда я активно знакомился с девушками, сразу обращал внимание на три вещи. Первая: курит ли она. Если да, сразу нафиг. Вторая: насколько длинные / крашеные ногти на руках. Если длинные и крашены в яркие кислотные цвета, тоже сразу нафиг. А третья, есть ли у неё iPhone. Если есть, и при этом куплен на свои (или тем паче кредитные) деньги, то тоже сразу нафиг. Потому что наличие огрызка в большинстве случаев является признаком недалёкого ума.

Недавно появился ещё один такой весьма яркий "пробник": салфетка из микрофибры с логотипом Apple за 20 баксов. Подробнее можете почитать вот тут. Очень удобно, на самом деле. Если вы видите у кого-нибудь такую салфетку, либо он(а) просит подарить ему/ей оную, значит с вероятностью 99% перед вами эталонный долбо*б либо ТП. Спасибо, фруктовая компания.

Всем работающих тоннелей и нормальных дешевых салфеток по баксу за штучку.

Tags: it, nginx, грабли, лулзы, лытдыбр, размышления, ссылки
Subscribe

  • Вдогонку про IPSec

    Вдогонку к предыдущему посту. Я разобрался в чём косяк. В IKEv2 появилась новая фича: так называемый "childless IKE_SA" (RFC6023). Это…

  • Очередные грабли с IPSec (StrongSWAN + Juniper + IKEv2)

    Во время строительства очередного IPSec-а опять традиционно походил по граблям. Потерял кучу времени и замудохал саппорт одного хостинг-провайдера.…

  • Мелкий наброс насчет Linux-дистрибутивов

    Мелкий холиварчик на тему Linux-дистрибутивов. Все нижеизложенное является исключительно моим личным мнением. У меня иногда спрашивают какой мой…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 5 comments