?

Log in

Tue, Jan. 3rd, 2017, 03:25 pm
Андроида псто

Прогресс не стоит на месте, и волею случая приходится (а что, в Symbian более не поддерживается 2-ГИС и отказывается от поддержки WhatsApp) переезжать на эту богомерзкую операционку под названием Android 4.4.2. Благо, хоть телефон бесплатно достался - не пришлось выкидывать многим более 10 тыр за непонятно что.

Засинхронизировать контакты с симбиана на это чудо гиковского гуглопрома - ещё то занятие и оно продолжается уже полгода. Благо, на днях нашёл замечательнейший менеджер контактов - True Phone Dialer & Contacts (от русских разработчиков), так что навёрное скоро закончу переносить оставшиеся пару сотен контактов.

Т.к. современный смартфон должен помогать нам не только на отдыхе, но и на работе. А инфраструктура BYOD в моей компании не развита от слова "совсем". То решил я настроить на Андроиде VPN. Посмотрим, что из этого выйдет.

Итак, Андроид 4.4.2 умеет из коробки:

  • PPTP - GRE иногда никак не работает через домовые сети (хорошо заметно у питерских родственников);

  • L2TP/IPSec PSK/RSA - к L2TP я почему-то отношусь с историческим предубеждением, посему заниматься этим как-то не хочется;

  • IPSec Xauth PSK/RSA - оказалось, что это обычный Cisco EzVPN (его и выбрал);

  • IPSec Hybrid RSA - для него нужен IKEv2, которого нет в IOS 12.4, а переезжать на 15.1 на единственном шлюзе как-то опасно.

Собрал схему EzVPN для PSK аутентификации - не заработало. VPN-клиент в Андроиде убогий, как снимать логи и менять параметры фаз IKE - неясно. Стал искать EzVPN-клиент для винды. Оказалось, Cisco VPN client - уже deprecated, а Cisco Anyconnect не поддерживает deprecated стек EzVPN (ему подавай только IKEv2). Наткнулся на замечательнейший VPN-клиент - Shrew Soft VPNClient - умеет гибко манипулировать параметрами фаз IKE и вообще очень удобен для отладки.

В процессе отладки с правильными настройками IKE Phase 1 получил следующую ошибку:
ISAKMP:(0):Xauth authentication by pre-shared key offered but does not match policy!

Оказалось, в EzVPN обязательно надо указывать isakmp authorization list, либо в crypto map, либо в соответствующем crypto isakmp profile (что правильней, при использовании нескольких VPN сессий разной природы в одной crypto map).

VPN успешно заработал. Осталось навесить access-list и принять решение об использовании RSA.

Tue, Jan. 3rd, 2017 08:51 am (UTC)
nomadmoon

Хмм, ты там из какого года пишешь? Может тебе результаты скачек скинуть? :)

Крайний телефон на 6 андроиде (а меньше брать не имеет смысла, только в шестом завезли ограничение прав приложениям и хоть как то причесали ту наркоманию которую они называют API) я брал за ~5 тыр в Связном (это был Алкатель Пикси).

Tue, Jan. 3rd, 2017 10:02 am (UTC)
drtr0jan

Меня пока бесплатный телефон устраивает.
Платить 5 тыр за убожище, которое не лучше Dexp Ixion P4 (три падения на бетон только в моих руках), не вижу смысла.

Sat, Jan. 7th, 2017 08:14 pm (UTC)
n1ght_snake

Странно читать этот пост в 2016 2017 году.
Начиная от IOS12 на шлюзе (на шлюзе, Карл!), заканчивая симбианом (не, у меня у самого E71 лежит для второй симки, но зачем?!)

А тут прям сначала создаем трудности себе сами, потом их героически преодолеваем.
Чем тебе не угодил андроид, я не знаю. Сижу на нём еще с 2.х - и не могу представить, чем Симбиан может быть лучше, вот никак.
Касаемо ценника - я в 2010 (или 2009) году покупал E63, и стоил он весьма ощутимо на тот момент. А это был даже не топовый аппарат. Так что опять же, загон про "не вижу смысла..." мне непонятен.

L2tp/IPSec вполне рабочая схемма, у меня завелась с полпинка с LibreSWAN
А контакты можно перегнать двумя путями: либо через аутлук (я так и перегонял в своё время) либо через гуглоапп (был такой в своё время под симбиан, хз, можно ли его сейчас скачать и поставить)

Sun, Jan. 8th, 2017 01:34 am (UTC)
drtr0jan

Ну а что поделать, если новый шлюз стоит семь лямов (и это без VPN), а начальство не хочет покупать.
Купим ещё одну 3845 и переедем на IOS15. :) А переводить железяку с IOS12, которая в продакшене 24x7 (а ночную работу не оплачивают), я не вижу смысла.

Андроид - уёбище. Начиная с уёбищного API, не позволяющего везде сделать отображение контактов по русски - сначала фамилия, потом имя. Где это отдаётся на откупа программистам ПО, и все дружно на это забивают. И заканчивая простыми вещами, которые требуют рута на каждый чих. На установленный сертификат требуют пароль, при "забывании" вай-фай сетки удаляют сертификат. При этом абсолютно игнорирующие опцию save-password в IPSec VPN. Hostname в DHCP отдаётся уёбищный. Всякое стоковое ПО, которое изначально работало, а потом внезапно перестаёт работать. И с таким говном я встречаюсь каждый новый день.
В Симбиане всё вышеизложенное почему-то из коробки работает правильно.
Очень смешной и грустный прикол (не долго музыка играла) по поводу этого топика - венда и айпэд прекрасно работают с IPSec, а Андроид устанавливает вторую фазу только через 2-3 минуты после установления первой фазы. И при отключении, сессия зависает на сервере.

Под LibreSWAN надо держать отдельный сервер. Нафиг его держать, если есть работающая c3845. Хотя, наверное придём к тому, что подымем отдельный сервер для OpenVPN.

Контакты перегонял Outlook'ом. Половина номеров телефонов не перегналась. Гугл не смог заимпортировать два номера в одном поле.

Sun, Jan. 8th, 2017 07:49 pm (UTC)
n1ght_snake

Ну если одна, то да.
Насчёт "отдельный сервер" - виртуалка не? Имхо, рулят либо актуальные впн-решения (AnyConnect) либо самосбор на линухе - там и выбор софта есть, и дебажить проще, и баги быстрее правятся.
Не понял, в чём проблема с отображением контактов - у меня в звонилке это настраивается (и в нативной от вендора и в сторонней).
Насчёт проблемы с ipsec - у меня такое было с openswan, причём до определённой версии. С libreswan такой фигни нет. Алсо, AnyConnect на андроиде тоже работает. Юзать же новый софт (хотя 4.4.2 тоже древний, как говно мамонта) в связке со старым IOS и ругаться на глюки - как-то странно.
Hostname да, есть такое. А не пофиг ли?
С контактами да, что-то было, вроде насчёт номеров, но у меня для каждого номера отдельное поле.
Я это всё к чему? Ну да, андроид - глючное гавно. Как и эппл, к слову. Но держаться за технологии прошлого века не вижу смысла, просто потому что они моих, допустим, потребностей уже не тянут.

Sun, Jan. 8th, 2017 11:24 pm (UTC)
drtr0jan

Виртуалку надо поддерживать, хранить и ещё кучу организационных вопросов с ней иметь. AnyConnect - не встроенная фича телефона, а хотелось бы встроенную (плюс ещё и лицензирование AnyConnect пользователей).
Ни в одном телефоне на Андроиде, что я видел (Samsung, LG, Sony, DEXP, Xiaomi) - это не настраивается полностью. Максимум только в телефонной книге. Входящие звонки - нигде не настраиваются, whatsapp - тоже.
Hostname- не пофиг, когда инфраструктура из нескольких десятков телефонов на андроиде, отслеживать где, что и как - весьма проблематично.

Знаешь, с Симбианом проблем не было - только отсутствие поддержки 2-ГИС и WhatsApp. На Motorola MPx220 проблем также не было, за исключением отсутствия в мире родных аккумуляторов (китайские вздувались через несколько месяцев) и шлейфов (китайские перетирались через несколько месяцев).
У Siemens M50 - да, была проблема, нельзя было задавать контакту больше одного номера.

Sun, Jan. 8th, 2017 11:55 pm (UTC)
n1ght_snake

Ну... это если виртуалок у тебя по пальцам считать. Когда их пара десятков - одной больше, одной меньше.
А какая разница, встроенная она, или апп от вендора? Не пофиг ли? Лицензирование да, имеет место быть, но если денег нет (а судя по 3845 денег нет), то виртуалка с линухом мне кажется тут будет лучшим вариантом.
Не буду спорить насчет отображений контактов - мне так сугубо фиолетово, где кроме телефонной книги это неправильно отображается.

Но я всё равно не понял насчёт "инраструктура из нескольких десятков телефонов" - что вы на них такого делаете? У нас все юзерские устройства выпускались только в гостевую сеть по PSK, там больше и не надо. А доступ в корпоративную решается средствами VPN, если уж так надо.

Ну я из косяков симбиана могу сходу сказать: нет нормального приложения для работы с гмылом и гуглокалендарем, приложения привязываются и вообще ставятся через одно место, кучи приложений нет как класса (те же мессенджеры, скайп у меня уже не работает, вк/фб ессно тоже нет). Поддержка тача на симбиан - обнять и плакать (что сонериковый UIQ, что нокиевские потуги).
Кстати еще симбиан не умеет подсасывать контакты из разных приложений в одну телефонную книгу (т.е. в одной книге сразу и телефон, и скайп, и внутренний номер с эксча и фоточка с вк).

Ну и в целом - да, мир таков, что побеждает не самая функциональная платформа, а самая продаваемая. Но я, повторю, ни с одной из твоих проблем не сталкивался, меня вполне устраивает. Ну разве что кроме необходимости рута, чтобы l2tp/ipsec держался постоянно, а не руками поднимать.


Edited at 2017-01-08 11:57 pm (UTC)

Mon, Jan. 9th, 2017 12:47 am (UTC)
drtr0jan

У меня щас из полсотни виртуалок - большая часть на винде. UNIX по пальцам сосчитать, ага.
Денег нет на крутецкий фаерволл, который стоит 7 лямов (или вроде даже 10 за два, аналогов дешевле, к сожалению, нет).

Будем считать, что на телефонах работает ERP (и не только она).

Гуглом я не пользуюсь, я его терпеть не могу. Все приложения ставились прекрасно. Скайп, вк и фейсбук до сих пор работают. Тач мне нахрен не нужен.

Ну и в целом, мир, да. Об этом, частично, и пост.

Вот блин, оказывается, для L2TP ещё и рут нужен. У меня нет его.

Mon, Jan. 9th, 2017 05:37 am (UTC)
n1ght_snake

А что за фаервол? FIREPOWER что ли? Так Palo-Alto есть, делает тоже самое, но сильно дешевле.
Рут нужен, чтобы l2tp поднимался автоматом и работал в фоне, а так-то руками он без рута (с PSK по крайней мере) работает прекрасно

Mon, Jan. 9th, 2017 09:58 am (UTC)
drtr0jan

FirePower - жуткое говнище. Брали в тест. Microsoft TMG в плане фаерволла им заменить нельзя.
За Palo-Alto спасибо, посмотрим. Осталось интеграторов найти нормальных, кто сможет внятно сказать, удовлетворит ли оно нашему ТЗ или нет.

Mon, Jan. 9th, 2017 12:29 pm (UTC)
n1ght_snake

Кинь ТЗ в личку, если можно. Я более детально расскажу.

Tue, Jan. 10th, 2017 01:58 am (UTC)
drtr0jan

Спасибо. Буквально в течение недели скину, как шеф утвердит последний драфт.

Sun, Jan. 8th, 2017 01:35 am (UTC)
drtr0jan

Удобство Симбиана, точнее Нокии, в её размере. E52 намного меньше самого маленького телефона на Андроиде.
И при этом живёт на одной зарядке - неделю.

Edited at 2017-01-08 01:35 am (UTC)

Sun, Jan. 8th, 2017 03:22 pm (UTC)
n1ght_snake

Ну у меня вот был Motorola Droid с кверти. Сейчас Samsung Note3. Пересаживаться с него даже на E71 это мучение, потому что клавиатура мелкая, а на экране кроме смс/чата/почты ничего юзать невозможно.
Кстати если на той же нокии врубить синхонизацию почты хотя бы раз в час и какой-нибудь скайп в фоне, она живёт пару дней, не больше

Sun, Jan. 8th, 2017 11:12 pm (UTC)
drtr0jan

Зато там клавиатура физическая - можно набирать текст абсолютно не глядя.
По мне, так телефон для звонков, чата и почты и нужен. Ну ещё и 2-ГИС.
Почта синхронизировалась раз в час - телефон жил неделю.

Mon, Jan. 9th, 2017 12:04 am (UTC)
n1ght_snake

ну я и на таче набираю уже почти не глядя :). кстати быстрее, чем в своё время на E63 (а там клава ещё удобнее, чем в Е71) - тупо за счет размера как раз.
Ну вот как 2гис (мы же о навигации?) юзать на дисплее 320х240 я хз, если честно. Неудобно же от слова совсем.
У меня телефон, помимо почты/чатов - это вк, браузер, камера, ssh (изврат, но если очень-очень надо), навигация, заметки (evernote), словарь... не считая банковских апликух.
Возможно батарея дохлее. Возможно скайп. Но факт в том, что телефон с подключенным эксчем, гуглопочтой и скайпом (остального тупо не нашёл, потому что генератор сертов по IMEI продолбал, а искать лень) сдыхал за два-три дня. А так неделю живет, да.

Mon, Jan. 9th, 2017 12:30 am (UTC)
drtr0jan

Видишь, пришли к тому, что тебе удобно набирать клавишами на таче - а мне нет. Я даже на 5" телефоне кореша умудряюсь одним пальцем нажимать сразу пять кнопок при неслепом наборе.
2-гис - именно как о телефонном справочнике, а что до навигации, как я про неё забыл. Нет навигатора, лучше чем Гармин (или под Симбиан, или под Windows Phone на MPx220). На 240x320 - это очень удобно (хардварный гармин изначально с похожим разрешением).

Mon, Jan. 9th, 2017 05:40 am (UTC)
n1ght_snake

Хы. Ни разу не пользовался гисом именно как справочником. (ну т.е. 99% это "найти место на карте и как туда проехать, о, тут еще и телефон есть") Потому что звонить терпеть ненавижу.
Насчет навигатора - спорно :) у яндекса самые адекватные пробки, у 2гис (а теперь и гугла) - офлайн карты.

Mon, Jan. 9th, 2017 10:00 am (UTC)
drtr0jan

Видишь. Тебе нужен КПК, а мне телефон.
То, что сейчас продаётся на андроиде - телефоном назвать очень сложно.
То, что сейчас называется телефоном - обладает поистине ущербной телефонной книжкой.