Category: техника

Category was added automatically. Read all entries about "техника".

Cat-light

Внезапная ведроид-проблема

Когда меня вдруг приспичивает поработать вне дома или офиса, то схема весьма стандартна. Из рюкзака достается ноутбук, к нему шнурком цепляется Android-телефон, на последнем активируется режим USB-модема. Далее "ifup xfrm0", устанавливается ipsec-соединение до Juniper SRX в датацентре, и давай вjobывать.

И тут я напоролся на странный глюк. Вроде пока ехал в электричке, всё было нормально. А добрался до места, ноль эмоций. Соединение есть, данных нет. Хотя ничего не менялось, сигнал сотовой сети устойчивый, интернет есть. Но пакетики через тоннель не летают.

При ближайшем рассмотрении выяснилось следующее. Когда я цепляю телефон к ноутбуку, виртуальному USB-адаптеру последнего по DHCP назначается адрес из сети "192.168.X.Y/24". Где X и Y — случайные числа от 1 до 254. И при очередном подключении смартфона число X случайно совпало с нумерацией моей домашней сети, до которой у Juniper-а уже есть другой маршрут через другой интерфейс. Вот оно и отвалилось. Перезагрузка телефона помогла, но каждый раз проверять выданный адрес и шаманить тоже как-то не очень хочется.

Теперь я задумался над двумя вопросами.


  1. Можно ли в не-рутованном андроиде (MIUI) каким-то образом зафиксировать номер "X" в нумерации подсети, заранее назначив его в какое-то наперед заданное удобное значение, которое гарантирвоанно не пересечется у меня ни с чем другим.

  2. Можно ли не вкорячивая Tasker вывести на рабочий стол смартфона кнопку "включить USB-модем". По умолчанию он всегда выключен. А штатная функция активация запрятана где-то очень глубоко в настройках, где я её постоянно ищу.

А ещё блин, когда ты пробуждаешь подключенный к компу телефон из спячки, он тебе каждый раз снова показывает диалог как использовать подключение: "только зарядка", "передача файлов", "передача фото". И если в этом диалоге выбрать любой пункт, то модем тут же отваливается. Похоже на баг в MIUI.

Понятно, что можно завести под это дело отдельный модем. Но во-первых, телефон всегда с собой, не забудешь взять. Во-вторых еще одну симку оплачивать / выгуливать как-то тоже не греет, особенно учитывая, что в телефоне у меня и так безлимитный интернет с возможностью раздачи.

Техника несовершенна.

Ваши мысли по поводу всячески приветствуются.

Cat-light

Разобрался со swanctl, VICI, XFRM interface, route-based ipsec

Продолжаю свои изыскания на тему IPSec-а. На этот раз попал под раздачу "взрослый" Debian GNU/Linux со своим StrongSWAN. Захотелось посмотреть, можно ли организовывать "нормальную" удобную маршрутизацию через IPSec с Juniper-ом без использования GRE и Dummy-интерфейсов. Таки можно. Но требуется выполнение четырёх условий.


  1. Ядро 4.19 или более свежее.

  2. iproute2 версии 5.1.0 или более свежий.

  3. StrongSWAN версии 5.8.0 или более свежий.

  4. Конфиг для StrongSWAN писать в формате VICI, а не в "классическом" ipsec.conf

В актуальных версиях StongSWAN-а IKE-демон по имени Charon открывает UNIX-сокет, через который с ним могут общаться разные утилиты: давать команды и скармливать ему конфиги "на лету". В частности, для этого есть утилита "swanctl", плюс плагины для NetworkManager-а. Команды типа "ipsec блаблабла" нынче признаны устаревшими, поэтому ряд полезных фич через конфиг "ipsec.conf" попросту не поддерживается. Так что рано или поздно придется переходить на VICI / swanctl. Как оказалось, это совсем не больно, хотя немного помумукаться и пришлось.

Изначальная хотелка у меня была простая. Есть ноутбук, с которым я везде бегаю. Линуксовый, разумеется. Хочется прямо с него уметь цепляться в датацентр напрямую к Juniper-у. Чтобы не разворачивать дополнительно всякие сервера с OpenVPN и иже с ними. Собственно, рецепт ниже.

Сертификаты я генерировал при помощи старого доброго набора скриптов "Easy-RSA". Не смотрите на буквы "RSA", в эллиптику он тоже умеет. Как закачивать их на ждунипер, уже писал ранее. Далее просто куски конфигов как пример / шпаргалка / напоминашка. Я себе выделил "по-доброму" /29-подсеть. Дело вкуса. Понятно, можно делать как нравится.

Collapse )

Немного комментариев, на тему почему именно так, а не по-другому.

Выбор шифров. GCM-шифры являются более перспективными, не требуют аутентифицирующей подписи в ESP, соответственно дают меньший overhead. Но они доступны только в IKEv2. Раз уж берём IKEv2, то почему бы не взять более быстрые EC-алгоритмы вместо RSA. PRFSHA384 — потому что он захардкожен в Juniper-е и поменять там его нельзя. Если на противоположной стороне пытаться использовать что-то другое, то первая фаза просто не срастётся.

Директива "proxy-identity" в Juniper-е отличается от "traffic-selector" тем, что первая не добавляет автоматически маршруты в таблицы маршрутизации. Соответственно, её можно безболезненно применять для варианта "0.0.0.0/0". Что касается StrongSWAN-а, то там нужно обратить внимание на директивы "if_id_in" и "if_id_out". Это некий идентификатор интерфейса (линка), на который ссылаются XFRM-политики (можно посмотреть командами "ip -d link" и "ip xfrm policy"). Понятно, что оные циферки в настройках swanctl и iproute2 внезапно должны совпадать. Если такие директивы в конфиге swanctl есть, то он тоже не будет сам дописывать маршруты, а оставит их на совести iproute2. Поэтому тоже можно безболезненно писать "remote_ts = 0.0.0.0/0", а дальше уже разруливать средствами iproute2 так, как нам нравится.

Если выставлена настройка "start_action = start", то swanctl автомагически поднимет соединение в момент загрузки конфига. Но последнее тоже надо инициировать. Либо устанавливать пакетик "charon-systemd" (вот ни разу не очевидно), либо дёргать загрузку конфига ручками. Ну или через плагин для NetworkManager-а, кому что милее.

Пусть не смущает underlying interface = lo (dev lo) для настройки xfrm-интерфейса. Это глубоко пофигу, подойдет что угодно, главное чтобы он существовал. Эта настройка нужна только для сетевых карт, которые умеют в аппаратное ускорение (Offloading) IPSec. У вас такие есть? У меня тоже нет. Я даже не уверен, существуют ли таковые в природе.

MTU "внутри" тоннеля выставлен таким, потому что предполагается работа через провайдера, у которого для PPPoE почему-то спускается MTU=1480. Исходя из этого посчитан "внутренний" MTU. Тоннель, а не транспорт, потому что Juniper в Transport-mode IPSec попросту не умеет.

Вроде всё. Маловероятно, что мой опыт захочет повторить кто-нибудь ещё. Поэтому пишу больше для себя, на будущее. Но мало ли...

... Весьма символично, что талисманом всероссийской переписи населения выбран "Цыпа ВиПиН" (привет, VPN). Хотя, другой (не победивший) вариант под названием "Песец-переПисец" мне нравится намного больше. И похоже, не мне одному.

... Если к вам пришло что-то белое и пушистое, то знайте, для вас всё кончено. Это песец!!!11

Cat-light

Huawei + Google Docs = пичалька

В феврале купил подруге планшет Huawei MatePad 10.4. Уже без Google-сервисов.

Так-то планшет хороший, владельца полностью устраивает. Но вот понадобились ей Google Docs. И случились "опаньки".

Если открывать через Chrome, он говорит "установите приложение". Если открывать через "родной" браузер, то оно работает, но дико глючит. Например, при попытке скопипастить текст говорит "обновите какой-то там плагин" и аллес капут. Скачал с 4PDA "родное" приложение, но оно даже не запускается. Похоже, хочет прицепиться к системному сервису Google, которого нет.

Вопрос. Что можно с этим сделать? Подобрать какое-то альтернативное приложение? Редактировать файлы локально, потом синхронизировать с каким-нибудь Яндекс.Диском? Или таки существует какой-нибудь неочевидный способ запустить на машинке именно Google Docs?

Cat-dark

Хрень какая-то

На даче поставил "горшок" имени Mikrotik SXT LTE. Уже писал про это раньше. Сунул туда "левую" SIMку от жёлто-полосатых, которая предназначена только для смартфонов. Но кого это когда останавливало.

В общем, по будним дням до 14ти примерно часов оно худо-бедно работало. В выходные накрылось совсем. Пинг по полторы секунды, всё еле шевелится. Пользоваться невозможно.

Принудительно перевёл модем в "Микротике" из режима "авто" в режим "только 3G". До того он работал в режиме LTE. Стало намного лучше. Про VoWiFi, конечно, можно сразу забыть. Но по крайней мере веб-странички открываются, и довольно шустро.

Но я-то помню, как изначально я из этого линка по 40...50 мегабит в секунду выжимал. С тех пор вообще никто и ничего не трогал.

Так что остается только гадать что же это за эффект такой. То ли погода, то ли на Земле, то ли на Марсе. То ли солнечная активность. То ли перегрузка / "дыхание" соты. То ли глюки микротика. То ли "особенности" моего колхоза (в смысле "корпоративного" тарифа). То ли кривая настройка у желто-полосатых. То ли помехи от военной базы поблизости. То ли убогая антенна и/или модем в микротике. То ли я неправильно навёл "горшок" на базовую станцию.

Но больше всего меня смущает совсем не это. У подруги в телефоне тоже есть симка и тоже от жёлто-полосатых. Так вот, когда микротик тошнит, у неё на смартфоне всё летает. Причем, показывает какой-то там режим "4G+" и вообще всё супер-пупер. В то же самое время, в том же самом месте.

Ну вот как так-то?

Cat-angry

Задрали меня Dahua и BlueIris

Задолбали.

Dahua то отдает видеопоток, то не отдает. Причем, две одинаковые камеры, из одной партии. К одной удалось подцепиться по RTSP, ко второй — нет. Когда шлют событие о движении в кадре, трансляция видео всё равно на пару секунд пропадает. Обновить прошивку невозможно: то ли их нет в открытом доступе, то ли я просто не понимаю какая нужна.

Acti стала как-то странно подвисать. События о движении генерирует, но картинка в кадре "залипает". Пока камеру не ребутнешь, так и остается "на одном и том же месте". Причем в рандомные моменты случается, непонятно с чем связано.

Axis-ы работают без сбоев, но у моих моделей нет подсветки. К тому же, они не умеют регулярно повторять событие о движении в кадре, если оно не прекращается.

С BlueIris-ом тоже какая-то вечная беда. Поработает две недели — и трындец. То винда захочет обновиться, то всю свободную оперативку отожрет и упадет, то ещё что-нибудь.

После того, как перенес всю систему с ноутбука на "взрослый" комп, т.к. подозревал, что ноутбуку не хватает вычислительных мощностей, счета за электроэнергию выросли в два раза.

Интересно. Есть ли какой-нибудь "готовый" ящик в комплекте с камерами, чтобы это всё работало нормально, стабильно, без костылей и танцев с бубном? Trassir я видел, тоже какие-то рукожопы делали. Один только интерфейс — кровь из глаз. Требования-то у меня совсем простые.


  1. Никаких облаков. Всё у меня в тумбочке.

  2. Чтобы всегда можно было посмотреть что происходит через мобильное приложение.

  3. Чтобы присылало в приложение Push о факте движения в кадре.

  4. Чтобы писало на диск только по факту движения и несколько секунд до / после (ради экономии места).

  5. Камеры с ИК-подсветкой.

  6. Умение ретранслировать поток на удаленный сервер (для архивации).

Всё. Больше мне ничего не нужно. Бывает вообще в природе что-нибудь нормальное, а не хрен пойми какими студентами клёпаное / писаное?
Cat-light

Субъективное мнение на тему ОПСОСов

Ниже исключительно моё личное ничем не подкреплённое мнение на тему текущей ситуации среди ОПСОСов (ОПераторов СОтовой Связи) в России.

Начну с коротенькой истории типа "байка".

Примерно в начале мая (точную дату назвать затрудняюсь) Мегафно демонтировало базовую станцию, размещенную на крыше многоэтажных гаражей на моей улице. Идешь мимо, видишь открытый шкаф из-под оборудования, обрезанные высокочастотные кабели. Сам шкаф и антенны почему-то оставили. С тех пор у меня дома это самое Мегафно не ловит от слова "совсем". С другой стороны, на той же улице прямо сейчас устанавливают две новые мачты. И почему-то мне кажется, что Мегафно на них будет размещать свои железки. Но пока что я "страдаю".

Сам я перешел на eMotion. Это такая приблуда для смартфонов, позволяющая трындеть через SIP / Wi-Fi. Но написана она отвратно, входящие вызовы принимает через раз, жрёт батарейку как не в себя. У подруги более свежий телефон, он умеет VoWiFi, который чисто номинально даже заработал. Но почему-то всё равно качество связи — полный отстой. Может быть телефон только пишет, что передает данные через Wi-Fi, а на самом деле нет. Может быть, у меня эфир настолько зашумлен. Не знаю. Но разговаривать нормально через это всё равно не получается. Благо, есть резервные SIMки других операторов.

Тарифы у Мегафна вообще ни разу не интересные. Если только их не пошантажировать MNP-ой. Плюс, где-то я читал (уже не помню где), что они якобы в последнее время вообще не вкладываются в развитие сети. И по всем признакам якобы компанию готовятся "сливать". Уж не знаю насколько всё это соответствует действительности. Но конкретно у меня сейчас со связью всё не очень хорошо.

Насчет Быдлайна, удивляюсь как они вообще ещё не сдохли. Вообще там творят у себя что-то очень странное. Конкретно у меня создается впечатление, что грамотных технических спецов там уже не осталось от слова "совсем", одни только бюрократы. Финансовые отчеты тоже достаточно грустные. Сеть хреновенькая, абоненты бегут. Постоянно спамят своей рекламой по поводу и без. Единственное, у них пока что хороша "Связь Zю" и всякие коррумпированные "колхозы" (вот, кстати, тоже показатель). Но посмотрим сколько ещё эта лавочка продержится. Даже интересно.

Теле-ква и его клоны в принципе весьма неплохи. Свою маму, например, я "пересадил" на Ростелеком. Тот же Теле-ква, но в комлекте с фиксированным интернетом получается весьма вкусный тариф. Только несколько омрачает тот факт, что в Нерезиновске нету 2G, плюс полное отсутствие в некоторых регионах (например, в Башкортостане). Так что стоит два раза подумать, прежде чем в него "втыкаться".

Трактористы. Вот пожалуй, на сегодняшний день, это самый технологически продвинутый ОПСОС. Судите сами.


  1. Даёт IPv6 в LTE-сетях.

  2. Умеет в VoLTE / VoWiFi.

  3. Есть приложение для SIP-звонков (МТС Коннект).

  4. Даёт физическим лицам фемтосоты (хотя оно не особо востребовано).

Раньше у них был классный тариф "Смарт для своих". Теперь эту лавочку прикрыли. Но если бы я сейчас выбирал себе "основного" оператора, то пожалуй в первую очередь смотрел бы именно в эту сторону.
Cat-light

Смена IMEI в Mikrotik SXT

... Прикупил тут на дачу богомерзкий Mikrotik SXT LTE. Да, я ненавижу микротики, но для дерёвни пойдёт. Всё равно ничего лучше в данной ценовой категории нет, да и не нужно. Хотел сначал взять LHG LTE, но уж дюже футуристично оный выглядит. Боюсь, что с***дят (украдут). А тут горшок и горшок. Для камуфляжа ещё наверное на ту же мачту ещё и обычную телевизионную "рогатку" повешу в качестве муляжа, для отвлечения внимания.

В сабжах используется USB-модем R11e-LTE, только антенны разные.

В той локации нормально ловит только пчелайн. Нашёл у барыг из Владимирской области тариф за 6,6 рублей в день с безлимитным интернетом. Очередной корпоративный "колхоз". Особенно ценно то, что они не просят показывать / предъявлять / присылать скан-копию паспорта. И вообще ничего не просят. За 700 рублёв отправляют тебе симку по почте заказным письмом, активируют по вацапу, всё. Я проверил, работает. Рекламировать магазин не буду, дабы лавочку не прикрыли. Если кому актуально, могу в личку шепнуть.

Единственное, тариф этот работает только в смартфонах. Соответственно, в R11e-LTE нужно прописать IMEI от какого-нибудь смартфона. Где его взять, второй вопрос. Я вот свои старые отжившие свой век телефоны так просто не выбрасываю, а сперва тщательно переписываю с них IMEI. Как раз для таких вот случаев. Чего и вам советую.

Чтобы потом самому не забыть, вот работающие команды смены IMEI на SXT LTE / LHG LTE / R11e-LTE. Вдруг ещё пригодится.



  1. Посмотреть текущий:
    /interface lte at-chat lte1 input="AT*MRD_IMEI=R"


  2. Удалить текущий (нужно перед тем, как вписать новый):
    /interface lte at-chat lte1 input="AT*MRD_IMEI=D"


  3. Прописать новый:
    /interface lte at-chat lte1 input="AT*MRD_IMEI=W,0000,01JAN1970,многоциферок"


Как-то так.

P.S. Только не взумайте тащить некротики в прод / бизнес. Даже мелкий. Они говно. Если я вижу в резюме человека на должность системного администратора слово "Mikrotik" (а особенно написанное с орфографическими ошибками), то он(а) сразу идет на**й. Таких даже собеседовать не имеет смысла. Нормальные люди постесняются такое в своём резюме писать.

Cat-light

Не клеится у меня видеонаблюдение дома...

Недолго я радовался смонтированной дома у родителей системе видеонаблюдения. Меньше года она исправно проработала. А потом начались какие-то чудеса. Софт-видеорегистратор (Blue Iris) стал постоянно рапортовать о потере сигнал с камер. Шосукахарактерно, "терять" камеры он начал ровно тогда, когда в кадре начинается какое-то движение.

Перепробовал уже много всего.


  1. Подключил сервер напрямую к тому же свитчу, что и камеры, минуя промежуточные маршрутизаторы.

  2. Попробовал заменить свитч на другой, неуправляемый.

  3. Перенёс видеозаписывающий софт с ноутбука на более мощный "взрослый" компьютер с 4-ядрёным CPU внутри.

Ничего не помогло. По ходу дела, эта ерунда началась после какого-то очередного обновления софта. Но какого именно, вспомнить уже не могу. Теперь вот думаю, то ли продлить лицензию и обновить софт. То ли наоборот, попробовать поставить ту версию потухлее, которую устанавливал в самом начале. Хрень какая-то. И непонятно как диагностировать / отлаживать.

"До кучи" служба Blue Iris, будучи запущенной в KVM-виртуалке, начала провоцировать BSOD на форточках. Что-то там про нарушение защиты драйвера. Вылечилось добавлением параметра "ignore_msrs=1" модулю ядра "kvm". Пока не гуглил что такое этот msrs и почему его надо игнорировать. Пишу чтобы потом есличо, самому не забыть.

То ли пробовать какую-нибудь другую софтину для видеонаблюдения, то ли продолжать мудохаться с этой. Хрен его знает, товарищ прапорщик...

Cat-light

Evernote окончательно уху ел

С некоторого момента Evernote окончательно уху ел. Бесплатно даёт подключить только два устройства, причем веб-браузер тоже считается за устройство. Таким образом, я могу синхронизировать заметки только между "взрослым" компом и телефоном. Всё.

Собственно, вопрос. Какие есть альтернативы? Мне не впадло поднять собственный сервис с любым софтом. Хоть SVN, хоть GIT, хоть NextCloud, пофиг. Вопрос только в функционале. Мне нужно иметь общий блокнотик между двумя компами, телефоном и iPad-иком. Что для этого может подойти?

Из позитивного: у меня на Xiaomi Redmi 4 таки заработал VoLTE. Достоинства: во время звонка голосом не разрывается интернет-соединение, входящие и исходящие вызовы устанавливаются быстрее, т.к. не происходит переключения между 3G-LTE. В остальном никакой разницы не заметил.