Category: it

Category was added automatically. Read all entries about "it".

Cat-light

ClickHouse в VZ-контейнере...

... почему-то не работает.

Установил. Гоняю на нём серию "тяжелых" запросов. С каждым новым запросом ClickHouse "отъедает" (аллоцирует) оперативную память и не возвращает её взад. После Nной итерации оный прибивается OOM-киллером и вываливает в лог кучу ошибок о том, что ему не удалось зохавать очередные 128 мегабайт на свои нужды.

Перенёс всё на KVM-виртуалку. Та же весия софта, такая же ОС, окружение, конфиги, переменные ядра. Всё взлетело вообще без проблем и шаманств.

Странно. В докере ClickHouse вполне себе нормально работает. Народ пишет, что на OpenVZ-хостингах тоже достаточно успешно его пускает. А у меня вот в VZ-контейнере (Virtuozzo) такие вот странные грабли обнаружились.

Это понятно, что контейнеры — зло. Но всё равно интересно почему так происходит.

... Всех с очередным странным маркетолухичесим событием. Репетируем перед половыми праздниками...

Cat-light

ОколоITшный дыбр #5

... Давненько не постил в ЖЖ. Работой накрыло. Аж не могу вечером до компа добраться. То дико устаю, то ещё что-нибудь.

... Отгадка к загадке из предыдущего псто. Если кто ещё не подсмотрел в педивикии, то этот MVNO называется "Глонасс". Его SIM-ка встроена в каждый автомобиль, выпущенный в обращение с 1 января 2017-го года, коих сейчас насчитывается несколько миллионов. Но просто пойти куда-нибудь и напрямую заключить контракт на обслуживание с этим оператором нельзя. Тем не менее, технически он является именно MVNO. Работает на сетях "большой тройки".

Collapse )
Cat-light

Бессвязного дыбра псто #52

... В Химках закрылась "Карусель". Эх, ушла эпоха. Хде ж мне теперь сыр по акцЫям брать-та, падишевле? Придётся ездить в "Карусель" в Отрадное. Там был торговый центр "Золотой Вавилон", теперь какой-то "Форт". Всё течёт, всё меняется.

Collapse )
Cat-light

Про OpenWRT, Huawei E3372, IPv6 и нерадивых ISP-ов (продолжение)

Уже больше недели собирался написать апдейт к предыдущему посту, и всё никак. Снова меня засосало в "воющую центрифугу"™. То одно, то другое.

Я немного поправил тот псто. Поменял там один из скриншотов. В общем, можно без извращений с добавлением маршрутов "руками" всё делать. Надо просто включить NDP Proxy на внутреннем интерфейсе. Тогда они добавляются сами. Проверено и отработано.

Collapse )
Cat-light

Про OpenWRT, Sierra Wireless, IPv6 и нерадивых ISP-ов

Продолжение / корректировка / дополнение вот этого поста. Спойлер: там было гонево.

Зачесались у меня что-то шаловливые ручки поковыряться опять с IPv6. Не знаю зачем. Охота пуще неволи. Взял опять свой любимый Sierra AirCard 320U в режиме "Direct IP", роутер с OpenWRT, МТС-овскую SIMку с подключенной услугой IPv6, заперся в квартире, и давай дро экспериментировать. В процессе продолжал изучать матчасть, связанную с IPv6. Попутно выяснил энное количество полезных и не очень фактов.

Collapse )
Cat-light

ОколоITшный дыбр #3

... Таки воспользовался приложением самообслуживания в Ашане. Пришёл туда за хавчиком 3 января, а там наро-о-о-оду... В адских очередях стоять совершенно не хотелось, так что пришлось себя пересилить. Заодно мне "на хвост" сел какой-то мужик, которому надо было купить пакет ягод, и попросил провести его покупку через мой телефон. Ему тоже не хотелось в очереди стоять. Так что вот вам хинт. Можете перехватывать граждан с Ашановским приложением, если видите, что те никуда не торопятся. Мир не без добрых людей, гыгыгы...

Collapse )
Cat-light

Подключение к FortiGate посредством StrongSWAN

Продолжаю тихо ненавидеть FortiNet.

На работе специалист по информационной безопасности организовал для своих сотрудников доступ к локальной сети через VPN при помощи одной из железок производства FortiNet. Для виндовых пользователей предусмотрен "родной" проприетарный клиент и инструкция к нему. А вот Linux-оидам традиционно сказали "***тесь как хотите". Ну что ж... "Фигли нам, кабанам", — сказали линуксоиды.

Под Linux "родной" клиент поставляется в виде готового бинарника и собран с какими-то дюже тухлыми библиотеками LibC. Так, под Debian 9 он ещё работает, а вот в Debian 10 уже падает по Segmentation Fault. Есть проект OpenFortiVPN, но он умеет только режим SSL. А в моём случае по условию задачи требуется IPSec+IKEv1+XAuth. Так что нужен StrongSWAN. Методом тыка и анализом дампов были подобраны параметры соединения, поскольку к железке на другой стороне у меня доступа нет. Ситуация осложняется тем, что когда ему (Fortinet-у) невкусен какой-нибудь ISAKMP-пакет, он на него просто не отвечает. Отмалчивается яки партизан, и всё. И вот сидишь-гадаешь, что же именно ему не понравилось.

Итак. Порядок действий.

1. Установить StrongSwan, если ещё не.
2. Установить плагин "unity", реализующий расширение Cisco Unity. Для Debian-а это пакет "libcharon-extra-plugins".
3. Включить плагин "unity". В Debian-е конфиг лежит в файле "/etc/strongswan.d/charon/unity.conf". В вашем дистрибутиве может быть в другом месте, поиск по строчке "unity".
4. В "/etc/ipsec.conf" пишем

Вместо "mycompany" подставить любое удобное название, вместо "vpn.mycompany.com" — доменное имя или IP-адрес VPN-сервера (FortiGate-а). Вместо "mylogin" — ваш логин.

5. Дальше в файлике ipsec.secrets добавляем:

Вместо "mylogin", "mypassword", "212.13.11.22" и "preshared_key" подставляем акутальные учётные данные: логин, пароль, IP-адрес сервера (FortiGate) и секретный ключ-пароль соответственно.

6. Дальше только остаётся "ipsec start" и "ipsec up mycompany".
7. Отладка традиционно ведется при помощи "ip xfrm state", "ip xfrm policy" и "traceroute" до внутренних хостов.
8. По желанию поднять и настроить DNSMasq для ресолва внутренних имён с "расово верных" внутренних DNS-серверов.

Cat-light

Бессвязного дыбра псто #51

... Таки словил баг с картой "Мир" в московском метро. Турникет "подвис". Бабки за проезд списал, а двери не открыл. Нет, я долго стоял рядом. Это был не затуп, а банальная перезагрузка банковского терминала в турникете. И ведь шосукахарактерно, непонятно к кому идти жаловаться на подобное. И как вообще докажешь, что тебе не предоставили услугу.  Конечно, у меня за весь квартал такое случилось впервые. Да и сумма потерь составила всего 27 рублей, но всё равно неприятно.

Collapse )