Сам собі тунельний брокер або нативний IPv6 на компі за допомогою OpenVPN

Я — великий прихильник використання IPv6, намагаюся його використовувати, де це тільки можливо. Нещодавно подумавши я вирішив, що на більшості своїх виртуалок переведу ssh на ipv6-only, биндить буду на рандомно вибраний при конфігурації адресу, який потім пропишу в ДНСах для своєї зручності. Але виникло питання з доступом з мого ноутбука до тих кого таким чином настрою. Зрозуміло, що завжди можна ходити через сервер, де у мене IPv6, звичайно ж є, зазвичай я так і роблю, але випадки бувають різні.

Почухавши трохи голову я зрозумів, що я ж можу взяти яку-небудь /112 /64 даваемой хостером і роздати по OpenVPN свого ноута та іншим особистим машин, тим самим отримавши справжній ipv6, а не адресу від брокерів.

Вирішив, значить треба робити. Вибрав для цього віртуалку від vultr, на якій у мене нічого спочатку не було і яка призначена була для тестів і взявся за налагодження.
<habracut/>
Vultr видає виртуалкам мережі /64, у нашому прикладі нехай це буде мережа 2001:NNNN:NNNN:NNNN::/64, з неї ми візьмемо «маленький» шматочок /112, який і будемо роздавати своїм компам, нехай це буде 2001:NNNN:NNNN:NNNN:80::/112. Процедуру генерації ключів для OpenVPN я описувати не буду, вона досить детально описана в інших посібниках, розгляну тільки конфіг і скрипти, які будуть використовуватися для наших цілей.

У файлі /etc/openvpn/variables ми пропишемо мережу і маску які будемо використовувати, звідси у нас це справа заберуть скрипти:

# Subnet
prefix=2001:NNNN:NNNN:NNNN:80::
# netmask
prefixlen=112

Конфіг openvpn-сервера:

Читати далі →

Openstack. Детективна історія або куди пропадає зв'язок? Частина перша

Ця історія про OpenStack + KVM. Все почалося, коли все працювало добре. «Стара» платформа всіх задовольняла. Її піднімали без нас, і вона злегка застаріла. Це була Juno. При цьому вона працювала.

В принципі вона була тестової, поки в один прекрасний день не стала бойовою. Ми знати не знали проблем, з якими зіткнулися потім. Начальство, радісно потираючи руки, вирішило оновити парк систем. В тому числі і тестову платформу OpenStack.

Читати далі →

Блокування завантаження файлів по розширенню. Mikrotik RouterOS

Привіт Хабр! Існує багато обладнання і ПЗ, яке може займатися фільтрацією трафіку. У моєму випадку це Mikrotik RB3011UiAS-RM. Задача була наступною: заборонити завантаження певних форматів файлів.

Начебто просте завдання, і швидке гугление призвело до рішення блокувати з'єднання через Layer7, бо Web-Proxy працює тільки з HTTP. І приклади були, але працювати так як треба — не працювало.

Читати далі →

8 мережевих ресурсів для видалення шкідливого коду і усунення наслідків злому сайту

Як видалити заражений сайт з чорних списків і очистити його від шкідливого коду?



Зламати або заразити сайт шкідливим кодом можуть з багатьох причин. Зловмисники, як правило, використовують такі прийоми:

  • бекдор
  • дефейс (зміна зовнішнього вигляду сторінок)
  • фішинг
  • SEO-спам
  • шкідливі програми
  • використання помилок в конфігурації
  • уразливий код
  • вразливе розширення
  • брутфорс

Читати далі →

Як віддалено і централізовано керувати патчами і оновленнями ПО в компанії



Своєчасне оновлення встановленого в компанії програмного забезпечення та встановлення необхідних патчів – це одна з важливих завдань, виконання якої дозволяє уникнути різних збоїв в роботі програм, а також забезпечувати належний рівень безпеки. Як можна централізовано і дистанційно керувати оновленнями і виправленнями ЗА в компанії? Розглянемо на прикладі хмарного RMM-рішення Panda Systems Management.
Читати далі →

Збір логів з rsyslog, іменами файлів в тегах, багаторядковими повідомленнями і відмовостійкість

image
зображення з сайту oxygen-icons.org
Завдання
Передавати лог-файли на центральний сервер. Коли сервер не втрачати повідомлення, а накопичувати і передавати при його появу в мережі. Коректно передавати багаторядкові повідомлення.
Додатково:
  • не потрібно зміна конфігурації сервера при появі нових лог-файлів, досить перенастроювання клієнта.
  • можна передавати вміст всіх лог-файлів з відповідним шаблоном ім'ям, причому на сервері їх вміст буде зберігатися роздільно у файли з таким же ім'ям.
Умови: в інфраструктурі використовуються тільки Linux-сервера.
Читати далі →

Використання GlusterFS з кластером Docker swarm


У цій статті я описав створення в AWS складається з трьох нод кластера Docker Swarm і підключення до нього спільного для всіх нод реплицируемого тома GlusterFS.
Читати далі →

Відновлення пароля D-Link DPH-400S або історія невеликого хака

До мене, через двох знайомих, звернувся директор одного таксопарку з проханням скинути пароль від IP-телефону D-Link DPH-400S. Історію телефону я не знаю і цікавитися не став, але, як я зрозумів, є працююче і налаштоване обладнання (в тому числі і цей багатоканальний телефон), яке ніхто не обслуговує. Паролі теж ніхто не знає. А є бажання налаштувати інтеграцію з комп'ютером, яку певні люди можуть зробити, але для цього потрібен пароль від телефону.

Як мені сказав директор, вже пів десятка людей заявили, що без скидання налаштувань це неможливо. Виявилося все ж можливо. А про те, як вийшло відновити пароль — невелика історія під катом.

Читати далі →

Плани по розробці 3CX і новий навчальний відеокурс для партнерів та адміністраторів

Найближчі плани по розробці системи
Сьогодні ми поговоримо про те, які нові функції будуть з'являтися в 3CX найближчим часом. Це не можна назвати офіційною дорожньою картою, і неможливо оцінити реальні терміни випуску тієї чи іншої функції, однак я представлю загальний напрямок наших розробок. Ви дійсно зможете побачити їх у найближчому майбутньому!
Насамперед – це випуск 3CX Service Pack 5. У цьому оновленні упор буде зроблений на нові можливості управління VoIP інфраструктурою. Очікуйте новину про випуск оновлень в найближчим часом! Тут же зауважу, що ми поступово переходимо до системи невеликих оновлень, замість рідкісного випуску великих сервісних пакетів.
Крім поліпшень, які вже увійшли в SP5, ми працюємо в таких напрямках:
  • Модуль готельної АТС – дзвінки-будильники вже включені в SP5, однак інтеграція з системами управління нерухомістю (PMS) буде додана в SP6.
  • Виклики WebRTC Click2Call – дуже затребувана функція для дзвінків з веб сайту, яка була у версії 14. Буде додана в SP6.
  • Плейлисти для вибору музики на утриманні, тобто папки з музичними файлами .wav формату. Система перебирає файли, програючи їх дзвоном абонентам. Плейлисти будуть додані в SP6.
  • Веб клієнт 3CX і веб панель оператора – абсолютно новий клієнт системи, що працює в браузері. Він буде мати ряд нових можливостей і новий інтуїтивний інтерфейс. Швидше за все, не буде представлений в SP6.
  • Система створення голосових додатків VAD (Voice Application Designer). Ми розробляємо новий VAD, який буде інтегровано з сервісом Черг викликів (call-центром). Додасться управління вихідними дзвінками (у поточній версії працювати можна тільки з вхідними) і серйозно поліпшена продуктивність. Швидше за все, VAD не буде представлений в SP6.
  • Режим позмінної роботи в клієнтах 3CX і IP телефонах. Наприклад, у якому-небудь цілодобовому сервісі або на підприємстві з безперервним циклом виробництва. Цю функцію часто запитують, і зараз ми працюємо над тим, щоб інтегрувати її в базову функціональність 3CX (раніше вона була реалізована в деяких шаблонах IP телефонів). Швидше за все, не буде представлена в SP6.
Якщо говорити про терміни, оновлення SP6 очікується протягом одного-двох місяців. Інші можливості, якщо не будуть включені в SP6, з'являться в наступних оновленнях.
Новий базовий відеокурс 3CX
Як ви, напевно, знаєте, ми приділяємо велику увагу навчанню партнерів та адміністраторів 3CX. Після виходу 3СХ v15 ми актуалізували навчальний курс, ввівши додатковий рівень сертифікації – Intermediate (Середній). Зараз ми проводимо офлайнові тренінги в різних частинах світу (включаючи Росію, р. Москва) і онлайнові вебінари (в тому числі, російською мовою). Після цих тренінгів партнери можуть скласти сертифікаційний тест і отримати статус сертифікованого партнера 3CX. Сертифіковані партнери 3CX можуть бути розміщені на сайті 3CX рекомендовані партнери.
Крім тренінгів та онлайнового навчання за V15, наші методисти підготували цикл відеоуроків, які ви можете переглянути у зручний для вас час. Відкриває цей курс цикл уроків рівня Basic, який підготує вас до початкової сертифікації. Найближчим часом будуть опубліковані відеокурси Intermediate і Advanced для отримання відповідних сертифікатів.
Курс Basic включає 5 модулів, які розглядають основні етапи встановлення і початку використання 3CX:
  • Установка і настройка сервера 3CX
  • Установка і налаштування клієнтів 3CX
  • Налаштування настільних IP телефонів
  • Налаштування мережевого екрану
  • Підключення SIP транков
Ми рекомендуємо доповнити перегляд уроків вивченням документації 3CX (російською мовою). Тепер ви готові до здачі іспиту!
  • Якщо ви партнер 3CX, увійдіть на партнерський портал і приступайте до тесту.
  • Якщо ви кінцевий користувач системи 3CX (системний адміністратор), для здачі тесту зареєструйтесь тут.
Ні пуху, ні пера!
Джерело: Хабрахабр

BGP. Received-routes vs. Accepted-routes

Нотатки з роботи. І знову про BGP.

Сьогодні я міркую про функціонал Route-Refresh. Потрібен він для того, щоб не розривати з'єднання з сусідом, не скидати таблицю маршрутизації, не переривати сервіси, а просто перезапросить маршрути. І їй уже сім років у обітницю.

Наприклад, одна з найбільш частих ситуацій, де затребуваний цей функціонал — оновлення політики.

Отже, є політика на імпорт маршрутів в таблицю маршрутизації — вона фільтрує, наприклад, всі префікси довше 23 бітів, тобто /24 вже не проходить і не потрапляє в ТМ. Потім ми бац — і змінюємо правило — вирішили блокувати тільки префікси довше 25. І /24 тоді вже повинні бути імпортовані.

Тоді BGP по-швидкому перезапрашивает їх і застосовує оновлену політику.

Читати далі →