?

Log in

Tue, Jan. 3rd, 2017, 03:25 pm
Андроида псто

Прогресс не стоит на месте, и волею случая приходится (а что, в Symbian более не поддерживается 2-ГИС и отказывается от поддержки WhatsApp) переезжать на эту богомерзкую операционку под названием Android 4.4.2. Благо, хоть телефон бесплатно достался - не пришлось выкидывать многим более 10 тыр за непонятно что.

Засинхронизировать контакты с симбиана на это чудо гиковского гуглопрома - ещё то занятие и оно продолжается уже полгода. Благо, на днях нашёл замечательнейший менеджер контактов - True Phone Dialer & Contacts (от русских разработчиков), так что навёрное скоро закончу переносить оставшиеся пару сотен контактов.

Т.к. современный смартфон должен помогать нам не только на отдыхе, но и на работе. А инфраструктура BYOD в моей компании не развита от слова "совсем". То решил я настроить на Андроиде VPN. Посмотрим, что из этого выйдет.

Итак, Андроид 4.4.2 умеет из коробки:

  • PPTP - GRE иногда никак не работает через домовые сети (хорошо заметно у питерских родственников);

  • L2TP/IPSec PSK/RSA - к L2TP я почему-то отношусь с историческим предубеждением, посему заниматься этим как-то не хочется;

  • IPSec Xauth PSK/RSA - оказалось, что это обычный Cisco EzVPN (его и выбрал);

  • IPSec Hybrid RSA - для него нужен IKEv2, которого нет в IOS 12.4, а переезжать на 15.1 на единственном шлюзе как-то опасно.

Собрал схему EzVPN для PSK аутентификации - не заработало. VPN-клиент в Андроиде убогий, как снимать логи и менять параметры фаз IKE - неясно. Стал искать EzVPN-клиент для винды. Оказалось, Cisco VPN client - уже deprecated, а Cisco Anyconnect не поддерживает deprecated стек EzVPN (ему подавай только IKEv2). Наткнулся на замечательнейший VPN-клиент - Shrew Soft VPNClient - умеет гибко манипулировать параметрами фаз IKE и вообще очень удобен для отладки.

В процессе отладки с правильными настройками IKE Phase 1 получил следующую ошибку:
ISAKMP:(0):Xauth authentication by pre-shared key offered but does not match policy!

Оказалось, в EzVPN обязательно надо указывать isakmp authorization list, либо в crypto map, либо в соответствующем crypto isakmp profile (что правильней, при использовании нескольких VPN сессий разной природы в одной crypto map).

VPN успешно заработал. Осталось навесить access-list и принять решение об использовании RSA.

Thu, Nov. 17th, 2016, 10:04 pm
Проблема с PPAPI Flash в Chromium

После недавнего обновления Яндекс.Браузера сломалась обработка контекстного меню во флешевских апплетах. Меню по нажатию ПКМ выползает, а пункты из меню не выбираются.
Путём изучения конфигов наткнулся на технологию Chrome Variations (что это и зачем нужно, не понял). Но вынос секций variations_* из конфига Local State помог.

Tue, Nov. 15th, 2016, 09:08 pm
FreeBSD on Hyper-V: MySQL and strorage problem

Имеем FreeBSD 10.3 на кластере Hyper-V, где сторадж подключен через IDE adapter (по умолчанию) причём откуда-нибудь по SMB3. Также имеем InnoDB базу в MySQL 5.6.
Возьмём таблицу на пару гигов и хотим сделать небольшой ALTER TABLE (создать/удалить индекс или сделать партиционирование). Делаем и получаем крэш мускуля с ошибками типа:
InnoDB: Error: the OS said file flush did not succeed
InnoDB: Operating system error number 5 in a file operation.
InnoDB: Error number 5 means 'Input/output error'

Лезем в /var/log/messages, где видим странное:
Nov 13 12:59:04 hostname kernel: g_vfs_done():gptid/198c5806-be2a-11e4-ad30-00155d
71182d[WRITE(offset=42949672960, length=131072)]error = 5
Nov 13 12:59:04 hostname kernel: g_vfs_done():gptid/198c5806-be2a-11e4-ad30-00155d
71182d[WRITE(offset=42949672960, length=32768)]error = 5
...

Обычно это свидетельствует о проблемах со стораджем - BAD-сектора и т.п. Однако, в нашем случае это виртуалка.
Эксперименты привели к тому, что стоит подключить сторадж не через IDE adapter, а через SCSI adapter. Проблема ушла. При этом необходимо помнить, что загрузочный сторадж работать по такой схеме не будет.

Mon, May. 30th, 2016, 11:21 pm
Содержание драгметаллов в изделии

Указание количества драгметаллов в паспорте изделия регламентируется ГОСТ 2.608-78.

Mon, May. 30th, 2016, 09:38 pm
Косяки с IPSec

Иногда некоторые админы поднимают IPSec без IKE. Другие админы хотят чуть вылизать конфиг и получают в логах: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=1.1.1.2, prot=50, spi=0xE6F73833(3874961459), srcaddr=2.200.2.200

В таком случае очень помогает: clear crypto sa peer 2.200.2.200

Wed, May. 4th, 2016, 08:30 pm
Хранение закрытых ключей в Крипто-Про, актуально для ВТБ

Дабы не забыть.

Путь к ключу (он же "пароль") хранится в HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Settings\Users\[UID]\KeyDevices\passwords\
Разделы - имена ключей.
В параметре shortcut хранится путь к ключу, включающий имя контейнера.

Имя ключа хранится в сертификате в дебрях OID 1.3.6.1.4.1.10244.4.3.

Fri, Dec. 18th, 2015, 04:53 pm
Matroska VPN

Одна широкоизвестная в узких кругах Контора решила продавать свои услуги на наших площадях. Справедливости ради замечу, что услуги она и ранее продвигала на наших площадях, но ранее за аренду площадей платил заказчик, теперь же оплату аренду площадей (для наибольшего покрытия) хочет взять на себя эта самая Контора. Нам, кстати, так даже удобней - нет необходимости контачить с кучей мелких (и не только) заказчиков в случае каких-то проблем.
Для полноценного внедрения своего сервиса Контора захотела доступ в интернет от двух независимых (так мол надёжнее) провайдеров. Опустим тот факт, что оба этих провайдера "приходят" к оборудованию Конторы по одному оптоволоконному кабелю, и поговорим про VPN (правда больше не про технический, а про маркетинговый аспект этого термина).
Контора обращается к провайдеру GlobalInter, чтобы тот предоставил им интернет в Хабаровске, те обращаются ещё куда-то, в итоге попадают к Chartwell Telecom. Chartwell Telecom исторически работает с Рэдкомом, но Рэдком не может обеспечить два независимых канала, и обращается к Билайну. Билайн и Рэдком присутствуют у нас в одной серверной, но Контора требует, чтобы они присутствовали в другой серверной. Не вопрос, загоняем их в виланы и прокидываем по одному кабелю в другую серверную, где приземляем это на два рэдкомовских микротика.
Задача решена, но количество VPN'ов в схеме поражает. Кстати, заказчики будут покупать услуги у Конторы тоже через VPN. Потому что это исторически сложилось.

А тем временем идёт седьмой месяц заключения договора с этой Конторой.

Tue, Oct. 6th, 2015, 12:27 pm
Русские продажи - бессмысленные и беспощадные

"Мы, rусские, не обманываем дrуг дrуга."
Куйбышев, Брат-2


Заметил интересную тенденцию в продажах. Раньше (лет пять назад) вполне нормальным считалось иметь у интегратора скидку 30-40% от Global Price List. Подразумевалось, что ты приходишь к незнакомому продавцу, и он тебе по умолчанию сразу даёт 20%. А у знакомых продавцов отдельные личности умудрялись выпросить 60%, а то и 80% под отдельные проекты (знавал таких людей). При этом проекты не блокировались у вендоров под конкретного интегратора и всегда можно было поторговаться.
Сегодня ситуация в корне изменилась. Интеграторы скидок практически не дают, и при этом умудряются добавлять накрутки 30-70% в плюс к GPL. Самое обидно, что при этом проект блокируется у вендора под конкретного интегратора. При этом абсолютно исключается хоть какая-нибудь конкуренция. Т.е. другой интегратор уже не сможет заказать у вендора такой же продукт под этого же заказчика. Не, ну есть конечно обходные пути - ну уж очень они тернисты.
А что, нормально, интегратор проект продал - новый внедорожник купил, так и живём.
Всё что написано выше - касается только долларовых цен. Ни о каких курсах речи быть не может, ибо все цены запрашиваем в USD.

И это я ещё про услугу установки двухюнитовой железки в стойку не говорю, где саму услугу установки (без собственно стоимости железки) bumeranghc оценил в 16 тыр.

Tue, Sep. 22nd, 2015, 11:29 pm
Роснефти псто

Хоть Сечина я и ненавижу, но хочется замолвить доброе слово за Роснефть.

На 18ой АЗС (что в Тополево), сегодня наливали кофе при заправке от 35 литров и более.
А ещё там (на многих АЗС Роснефти мне отказывали, а на остальных АЗС города вообще всегда отказывают) наливают полный бак с пластиковой карточки.

Так держать.

Tue, Jul. 14th, 2015, 08:35 pm
[LJ2ME (http://www.xfyre.com/sw/lj2me.html)] Без света

Вот уже сутки сидим без света - циклон набедокурил. Выковырял из пульта батарейки, слушаю транзистор. За холодильник обидно.

10 most recent