Re: [freebsd] ECMP
On 19.09.2017 17:23, Andrew G Sorokin wrote: > Доброго времени суток , коллеги. > > Завел у себя дома второго провайдера и решил сделать балансировку трафика > > Добавил к GENERIC в конце options RADIX_MPATH > перекомпилил и загрузился с новым ядром . > > но ожидаемого эффекта не получил. > в системе 2 дефолт маршрута но трафик уходит в тот , который появился в > системе первым. > если его руками положить\поднять - трафик начинает ходить по второму. > > нарыл в такое > https://lists.freebsd.org/pipermail/freebsd-net/2017-February/047203.html > и решения там нет > > на 9.2 такая конструкция у меня раскидывала трафик по 3-м каналам... > это стало историей ? и нужно как-то по-другому решать ? > подскажите. Там Ermal предложил патч, который вроде бы должен помогать для IPv4, не пробовали? https://lists.freebsd.org/pipermail/freebsd-net/2017-February/047228.html -- WBR, Andrey V. Elsukov signature.asc Description: OpenPGP digital signature ___ freebsd mailing list freebsd@uafug.org.ua http://mailman.uafug.org.ua/mailman/listinfo/freebsd
Re: [freebsd] Трафик ходит не по таблице маршрутизации
On 21.08.2017 12:57, Eugene Grosbein wrote: > 21.08.2017 16:01, skeletor пишет: > >>> Можно лишь сказать, что да, pf был известен подобными в прошлом >>> и может быть не все они исправлены. >> >> OS 10.1-RELEASE-p5 amd64 > > Релиз выпущен почти три года назад, так что конкретно этот > баг вполне мог быть уже исправлен в 10.3. Вот тут вот не так давно был похожий по описанию вопрос: https://www.opennet.ru/openforum/vsluhforumID1/96954.html -- WBR, Andrey V. Elsukov signature.asc Description: OpenPGP digital signature ___ freebsd mailing list freebsd@uafug.org.ua http://mailman.uafug.org.ua/mailman/listinfo/freebsd
Re: [freebsd] [OT] base packages (было: Re: Монтирование NFS раздела и проблемы с блокировками/датами)
On 29.07.2017 15:50, Boris Samorodov wrote: > Вот уже почти полгода я пользуюсь собственными пакетами для базовой > системы. На сервере после сборки мира и ядер достаточно выполнить > команду "make packages". На хостах -- "pkg upgrade". > > Сервер собирает нужные мне amd64/arm/aarch64 миры/ядра/пакеты. > На рабочих ноутбуках обновляю систему практически каждый день. > За полгода была всего пара проблем (связанных с тем, что я использую > только HEAD). > > Переход на работу с базовами пакетами происходит одной командой > "pkg install -g 'FreeBSD-*'". > > Подробности на https://wiki.freebsd.org/PkgBase Привет, я тоже пользуюсь базой в пакетах, но у нас своя реализация. Когда я последний раз смотрел в то что производит make packages, там были сотни пакетов. Т.е. получается при каждом обновлении происходит обновление сотен пакетов? У нас это выглядит так: % pkg info -x freebsd freebsd-base-1.0_1 freebsd-kernel-ipsec-1.0 freebsd-rescue-1.0_2 freebsd11-base-20170427 freebsd11-kernel-ipsec-20170728 freebsd11-kernel-ipsec-debug-20170728 freebsd11-rescue-20170427 -- WBR, Andrey V. Elsukov signature.asc Description: OpenPGP digital signature ___ freebsd mailing list freebsd@uafug.org.ua http://mailman.uafug.org.ua/mailman/listinfo/freebsd
Re: [freebsd] l2tp за NAT'ом (без IPSEC)
On 13.04.2017 20:48, Irina Liakh wrote: > On Thu, Apr 13, 2017 at 07:00:02PM +0300, Andrey V. Elsukov wrote: >> Спасибо. Подозрение было на то, что флаги проверки контрольной >> суммы полученные от сетевой карты и подсчитанные для внешнего IP и >> UDP заголовков используются и на передоваемые внутри туннеля >> данные. > Ясно, спасибо! > >> Судя по тому что у вашей сетевой карты только один флаг оффлоада >> RXCSUM, она не умеет полный оффлоад и благодаря этому UDP/TCP >> протоколы делают небольшой подсчёт контрольной суммы используя >> данные от сетевой карты. > А чем отличается небольшой подсчет от обычного? Этот алгоритм - > freebsd-specific или общий? Пока не нахожу соотв. доку... Обычный подсчёт включает суммирование данных всего пакета, а в случае с "небольшим" подсчётом, нужно только сосчитать сумму псевдозаголовка TCP/UDP используя информацию от чипа который уже выполнил суммирование данных пакета. Т.е. это грубо говоря нужно сложить 3 числа. -- WBR, Andrey V. Elsukov signature.asc Description: OpenPGP digital signature ___ freebsd mailing list freebsd@uafug.org.ua http://mailman.uafug.org.ua/mailman/listinfo/freebsd
Re: [freebsd] l2tp за NAT'ом (без IPSEC)
On 13.04.2017 20:08, Yuriy B. Borysov wrote: > Вероятно, не только в таких случаях. На нескольких FreeBSD, работающих > на хостах hyper-v проблема проявлялась при включении NAT. > > Картина такая, включаем NAT (проверял ipfw и pf) - доступ по SSH > снаружи пропадает, ftp работает только active. Отключаем NAT - всё > работает исправно. Отключение всего offload на интерфейсах, проблему > решает. Для ipfw nat нужно не забывать отключать TSO. О чём написано в man. -- WBR, Andrey V. Elsukov signature.asc Description: OpenPGP digital signature ___ freebsd mailing list freebsd@uafug.org.ua http://mailman.uafug.org.ua/mailman/listinfo/freebsd
Re: [freebsd] l2tp за NAT'ом (без IPSEC)
On 13.04.2017 19:31, Vladislav V. Prodan wrote: > > > 13 апреля 2017 г., 19:00 пользователь Andrey V. Elsukov > mailto:bu7c...@yandex.ru>> написал: > > On 13.04.2017 18:07, Irina Liakh wrote: > >>>> раз уж мы говорим о решении, сможете протестировать патч? > >>>> https://people.freebsd.org/~ae/udp_csum_flags.diff > <https://people.freebsd.org/~ae/udp_csum_flags.diff> > >>>> > >>>> Нужно пересобрать ядро. > >>> > >>> Все работает с этим патчем. Проверяла только IPv4. > >> > >> Для однозначности - и TCP работает? > > > > Работает и TCP и UDP, хотя для меня было неожиданно, исходя из того, > > что патчились только udp_* файлы. Но мне, недоучке, простительно) > > Спасибо. Подозрение было на то, что флаги проверки контрольной суммы > полученные от сетевой карты и подсчитанные для внешнего IP и UDP > заголовков используются и на передоваемые внутри туннеля данные. > > Судя по тому что у вашей сетевой карты только один флаг оффлоада RXCSUM, > она не умеет полный оффлоад и благодаря этому UDP/TCP протоколы делают > небольшой подсчёт контрольной суммы используя данные от сетевой карты. > > Так как передаваемая картой контрольная сумма расчитана для внешнего > заголовка, то когда те же самые данные участвуют в расчёте контрольной > суммы для заголовков внутри туннеля, то и получается неверный результат. > > -- > WBR, Andrey V. Elsukov > > > > Теперь вопрос. > Как детектить сетевые карты с подобными проблемами? Или сразу > вырубать -rxcsum -txcsum ? Теряющиеся пакеты детектить в netstat -s. От карты тут мало что зависит, бывают конечно проблемы в самих картах, но это обычно быстро становится известно. > Будет ли вышеуказанный патч в 11 ветке? Будут ли с патчем проблемы на > других сетевых картах? например igb и ixgbe ? https://svnweb.freebsd.org/base?view=revision&revision=316770 Через неделю будет в stable/10-11. -- WBR, Andrey V. Elsukov signature.asc Description: OpenPGP digital signature ___ freebsd mailing list freebsd@uafug.org.ua http://mailman.uafug.org.ua/mailman/listinfo/freebsd
Re: [freebsd] l2tp за NAT'ом (без IPSEC)
On 13.04.2017 18:07, Irina Liakh wrote: >>>> раз уж мы говорим о решении, сможете протестировать патч? >>>> https://people.freebsd.org/~ae/udp_csum_flags.diff >>>> >>>> Нужно пересобрать ядро. >>> >>> Все работает с этим патчем. Проверяла только IPv4. >> >> Для однозначности - и TCP работает? > > Работает и TCP и UDP, хотя для меня было неожиданно, исходя из того, > что патчились только udp_* файлы. Но мне, недоучке, простительно) Спасибо. Подозрение было на то, что флаги проверки контрольной суммы полученные от сетевой карты и подсчитанные для внешнего IP и UDP заголовков используются и на передоваемые внутри туннеля данные. Судя по тому что у вашей сетевой карты только один флаг оффлоада RXCSUM, она не умеет полный оффлоад и благодаря этому UDP/TCP протоколы делают небольшой подсчёт контрольной суммы используя данные от сетевой карты. Так как передаваемая картой контрольная сумма расчитана для внешнего заголовка, то когда те же самые данные участвуют в расчёте контрольной суммы для заголовков внутри туннеля, то и получается неверный результат. -- WBR, Andrey V. Elsukov signature.asc Description: OpenPGP digital signature ___ freebsd mailing list freebsd@uafug.org.ua http://mailman.uafug.org.ua/mailman/listinfo/freebsd
Re: [freebsd] l2tp за NAT'ом (без IPSEC)
On 13.04.2017 11:04, Irina Liakh wrote: > On Thu, Apr 13, 2017 at 02:24:28PM +0700, Eugene Grosbein wrote: >> Баг в ядре, значит. Пока пропишите в /etc/rc.conf: >> >> ifconfig_fxp0="inet 192.168.12.2/24 -rxcum" >> >> Ну и желательно сделать PR, да, со всей этой диагностикой. > > Благодарю Вас за помощь! > И вообще всех кто помогал. > Здорово, что есть эта отличная рассылка. Я предварительно перекопала > все что нашел гугль на эту тему - ничего кроме жалобы еще одного человека > на те же симптомы, без решения. Спасибо, Валентин Нечаев! Добрый день, раз уж мы говорим о решении, сможете протестировать патч? https://people.freebsd.org/~ae/udp_csum_flags.diff Нужно пересобрать ядро. -- WBR, Andrey V. Elsukov signature.asc Description: OpenPGP digital signature ___ freebsd mailing list freebsd@uafug.org.ua http://mailman.uafug.org.ua/mailman/listinfo/freebsd
[Freebsd] Тестирование projects/ipsec
Всем привет, возможно не все пользователи этой рассылки читают freebsd@ мэйл листы, поэтому на всякий случай пишу ещё сюда. Некоторое время назад я занялся переработкой реализации IPsec в FreeBSD с целью сделать код более пригодным для параллельной работы. В результате появился проект, приняти участие в тестировании которого хочу предложить вам. https://lists.freebsd.org/pipermail/freebsd-current/2016-December/064050.html Здесь примерно то же самое, но по-русски: http://bu7cher.blogspot.ru/2016/12/projectsipsec.html Т.к. тестирование идёт неохтно, я портировал изменения в stable/11: https://lists.freebsd.org/pipermail/freebsd-net/2017-January/046888.html Проще всего вытянуть исходники из git'а, но пока патч вроде бы прикладывается на stable/11, если у вас есть исходники из svn, то для прикладывания патча используйте "svn patch" или "svnlite patch". Коротко о том что содержит патч: 1. Реализация SADB полностью переработана для ухода от эксклюзивных блокировок. Теперь используются рефкаунты, шаред локи и хэш таблицы. В связи с этим могло измениться поведение системы при поиске подходящей SA. 2. Т.к. переработана SADB, пришлось переделывать бОльшую часть реализации PF_KEY. IKE демоны могут перестать работать как раньше. 3. Поддержка NAT-T переработана и теперь всегда включена. Удалён код UDP инкапсуляции из начальных драфтов по NAT-T, теперь поддерживается только вариант описанный в RFC. Теперь есть возможность править/игнорировать/пересчитывать контрольные суммы для TCP/UDP в транспортном режиме. https://svnweb.freebsd.org/base?view=revision&revision=309808 4. Добавлен INPCB кеш для политик безопасности, это должно заметно снизить оверхед для локальных сетевых приложений от наличия политик IPsec. https://lists.freebsd.org/pipermail/freebsd-net/2015-April/042121.html 5. Появилась возможность загружать реализацию IPsec и TCP-MD5 в виде модуля ядра. Для этого ядро должно быть скомпилировано с опцией IPSEC_SUPPORT вместо IPSEC. 5. Добавлен новый виртуальный интерфейс if_ipsec(4), реализующий route based IPsec. https://svnweb.freebsd.org/base?view=revision&revision=309115 https://reviews.freebsd.org/P112 6. Ещё куча всего мелкого и незаметного на первый взгляд, но кто его знает. Хотелось бы всётаки, чтоб народ попробовал хотя бы на своих обычных конфигурациях, не сломалось ли, прежде чем мержить это базу. -- WBR, Andrey V. Elsukov ___ Freebsd mailing list Freebsd@uafug.org.ua http://078.vps.ho.ua/mailman/listinfo/freebsd
[freebsd] Re: [freebsd] FreeBSD 11.0 и анализ дампов упавших приложений
On 14.12.2016 12:42, Vladislav V. Prodan wrote: > Здравствуйте. > > Подскажите внятный мануал по сабжу > > В консоли nping (входит в nmap) написал: > ... > nping_event_handler(): READ-PCAP killed: Invalid argument > nping_event_handler(): READ-PCAP killed: Invalid argument Вот эти строки говорят о том: > Assertion failed: (nse->iod->events_pending >= 0), function > nsock_pool_delete, file nsock_pool.c, line 233. > Abort trap (core dumped) что приложение покончило с собой вызвав функцию assert(3). Чтобы тут что-то дебажить, нужно начать с прочтения кода в обозначенном файле. -- WBR, Andrey V. Elsukov signature.asc Description: OpenPGP digital signature
Re: [freebsd] gpart Stripeoffset
On 21.01.16 14:08, Nick Kostirya wrote: > Получается, что для не 4k дисков, а с секторами в 512, для которых > Stripesize показывается как 0, цифры Stripeoffset ничего не значат? Когда sectorsize == stripesize, stripeoffset не может быть не нолём. Это всё актуально для дисков с 4к физическими секторами, но 512б логическими. Желательно чтобы diskinfo -v <провайдер раздела/слайса> всегда показывало stripeoffset == 0. Так же это имеет смысл смотреть у разных софтовых RAID'ов. -- WBR, Andrey V. Elsukov signature.asc Description: OpenPGP digital signature
Re: [freebsd] gpart Stripeoffset
On 21.01.16 12:46, Nick Kostirya wrote: > Привет. > > Вот любопытно, что такое Stripeoffset (в gpart и diskinfo). > Нашел только в исходниках, что это > "the offset of the first device's optimal access block in bytes." > А сдвиг от чего? > Наглядно можно изобразить вот так: точка - это sectorsize =>| |<= вот это stripesize ada0: [.][.][.][.][.][.][.] ada0s1:[.][.][.][.][.] =>| |<= вот это будет stripeoffset -- WBR, Andrey V. Elsukov signature.asc Description: OpenPGP digital signature
[freebsd] Re: [freebsd] [freebsd] Нормально работаююющий ноут (кросс-пост questions@)
On 15.12.15 21:35, Anton Sayetsky wrote: > Приветствую, коллеги, > > Уже несколько лет ищу сабж, но всё безуспешно. Обязательные требования ниже: Можно попробовать из этого списка что-то выбрать https://wiki.freebsd.org/Laptops -- WBR, Andrey V. Elsukov signature.asc Description: OpenPGP digital signature
Re: [freebsd] freebsd 10.1-stable после обновлении до r283303 во время загрузки уходит в повторный ребут.
On 12.06.2015 18:31, Eugene V. Boontseff wrote: > Здравствуйте, коллеги. > > 10.1-stable после обновления до r283303 и выше перестаёт нормально > грузится. Процесс загрузки доходит до места, после которого должна была > бы появится строка: Timecounters tick every 1.000 msec. Hо вместо этого > следует ребут. И так до бесконечности. > > r283303 это: Bump MAXCPU on amd64 from 64 to 256. > > Проверил, поменяв в sys/amd64/include/param.h MAXCPU с 256 снова на 64 - > дело именно в этом. > > Остаюсь пока на r283289. > Поиск в сети не дал ничего по данной проблеме. > Вопросы: что делать и кто виноват? Добавьте в конфиг ядра опцию MAXCPU с нужным вам количеством и откройте PR в багзилле. -- WBR, Andrey V. Elsukov signature.asc Description: OpenPGP digital signature
Re: [freebsd] IPsec VPN and NAT
On 28.04.2015 12:37, Golub Mikhail wrote: >> Предлагаю перейти к отладке с помощью dtrace :) > > Вот что получается. > > # ./ipsec.d > dtrace: script './ipsec.d' matched 3 probes > CPU IDFUNCTION:NAME > 0 50792 ipsec_filter:entry 10.7.0.12->10.7.0.41 > 0 50793 ipsec_filter:return 10.7.0.12->10.7.0.41 > 0 50792 ipsec_filter:entry 192.168.44.1->192.168.58.1 > 0 50793 ipsec_filter:return 192.168.44.1->192.168.58.1 Трансляции не видно, видимо проблема в PF. Я с ним не работал, не знаю какие там есть методы отладки... -- WBR, Andrey V. Elsukov signature.asc Description: OpenPGP digital signature
Re: [freebsd] IPsec VPN and NAT
On 28.04.2015 12:03, Golub Mikhail wrote:
>> А можете ещё сделать bpf_mask=3 для входящих пакетов? Для каждого
>> входящего пакета тогда будет по две записи.
Да. Жаль что в BPF пакет отправляется до pfil, не видно отнатился он или
нет... :)
Предлагаю перейти к отладке с помощью dtrace :)
# kldload dtraceall
# cat > ./ipsec.d
#!/usr/sbin/dtrace -s
fbt::ipsec_filter:entry
{
self->mbuf = (struct mbuf **)arg0;
m = *(struct mbuf **)arg0;
ip = (struct ip *)m->m_data;
printf("%s->%s", inet_ntoa(&ip->ip_src.s_addr),
inet_ntoa(&ip->ip_dst.s_addr));
}
fbt::ipsec_filter:return
/arg1 != 0/
{
printf("%d", (int)arg1);
}
fbt::ipsec_filter:return
/arg1 == 0/
{
m = *(struct mbuf **)(self->mbuf);
ip = (struct ip *)m->m_data;
printf("%s->%s", inet_ntoa(&ip->ip_src.s_addr),
inet_ntoa(&ip->ip_dst.s_addr));
}
^D
# chmod +x ipsec.d
# ./ipsec.d
--
WBR, Andrey V. Elsukov
signature.asc
Description: OpenPGP digital signature
Re: [freebsd] IPsec VPN and NAT
On 28.04.2015 11:39, Golub Mikhail wrote: > Ситуация не изменилась. > 11:38:04.901422 (authentic,confidential): SPI 0xc2e51929: IP 10.7.0.12 > > 10.7.0.41: IP 192.168.44.1 > 192.168.58.1: ICMP echo request, id 65250, seq > 0, length 64 (ipip-proto-4) > 11:38:05.903056 (authentic,confidential): SPI 0xc2e51929: IP 10.7.0.12 > > 10.7.0.41: IP 192.168.44.1 > 192.168.58.1: ICMP echo request, id 65250, seq > 1, length 64 (ipip-proto-4) > 11:38:06.913052 (authentic,confidential): SPI 0xc2e51929: IP 10.7.0.12 > > 10.7.0.41: IP 192.168.44.1 > 192.168.58.1: ICMP echo request, id 65250, seq > 2, length 64 (ipip-proto-4) > 11:38:07.933118 (authentic,confidential): SPI 0xc2e51929: IP 10.7.0.12 > > 10.7.0.41: IP 192.168.44.1 > 192.168.58.1: ICMP echo request, id 65250, seq > 3, length 64 (ipip-proto-4) А можете ещё сделать bpf_mask=3 для входящих пакетов? Для каждого входящего пакета тогда будет по две записи. -- WBR, Andrey V. Elsukov signature.asc Description: OpenPGP digital signature
Re: [freebsd] IPsec VPN and NAT
On 28.04.2015 11:21, Golub Mikhail wrote: > net.enc.out.ipsec_filter_mask: 1 Здесь нужно чтобы pfil вызывался до того, как IPSec прилепит свой IP хидер, т.е. значение 1 нас устраивает. > net.enc.in.ipsec_filter_mask: 1 Чтобы pfil вызывался, когда внешний IP заголовок уже будет отрезан и трансляция выполнялась с адресами 192., нужно установить в 2. >> sysctl net.inet.ipsec.filtertunnel > # sysctl net.inet.ipsec.filtertunnel > net.inet.ipsec.filtertunnel: 0 Чтобы pfil вызывался из кода IPSec это нужно в 1 установить. -- WBR, Andrey V. Elsukov signature.asc Description: OpenPGP digital signature
Re: [freebsd] IPsec VPN and NAT
On 28.04.2015 11:04, Golub Mikhail wrote: > А дальше ситуация аналогичная как было и на 10.1, и на 9.3 - ответов нет, > так как нет преобразования пакетов, пришедших по туннелю. А покажите что у вас в это время выводят: setkey -DP setkey -D sysctl net.enc sysctl net.inet.ipsec.filtertunnel -- WBR, Andrey V. Elsukov signature.asc Description: OpenPGP digital signature
Re: [freebsd] IPsec VPN and NAT
On 27.04.2015 09:14, Golub Mikhail wrote: >>> Что касается IPSEC, то в ядре его нет. >>> Ладно, пересобрал ядро. >> >> Ну это во всех версиях так :) > > Надеялся, может добавили :) Возможно к выходу 11.0 оно будет в GENERIC. > На FreeBSD 11.0-CURRENT туннель работает (поднимается и внутри него проходят > пакеты) только с pfsense. > На 10.7.0.12 (даже попробовал такой же конфиг как на pfsense) туннель > поднимается, но внутри тишина. а device enc есть в ядре? tcpdump на нём говорит о чём-то? Ну и на всякий случай, gif(4)-ов нет нигде? -- WBR, Andrey V. Elsukov
Re: [freebsd] IPsec VPN and NAT
On 24.04.2015 12:44, Golub Mikhail wrote: > Скачал вчера FreeBSD-11.0-CURRENT-amd64-20150421-r281832-disc1.iso > Сегодня установил. > Что касается IPSEC, то в ядре его нет. > Ладно, пересобрал ядро. Ну это во всех версиях так :) > Вот это все опции, что добавил в конфиг от GENERIC: > options IPSEC > options IPSEC_NAT_T > device crypto > device enc > device pf > device pflog > > В системе правил pf нет (просто pf в ядро включил). > > Есть несколько виртуалок - FreeBSD 9.3 (racoon), 10.1 (strongswan), 11.0 > (strongswan), pfsense 2.2.2 (strongswan) > У всех по две сетевухи. На вторых сетевых разная адресация и разные > виртуальные свичи. > ipsec-туннели построены меджу этими 4-мя хостами в разных комбинациях. > Везде все хорошо - в плане туннели поднимаются, пакеты в туннелях ходят > между разными хостами. > Кроме FreeBSD 11.0 > Здесь туннели поднимаются со всеми хостами. > Но пакеты в туннеле ходят только с pfsense. > strongswan был установлен пакаджем. Поставил из портов - ситуация не > изменилась. > > До натирования дело не дошло. А как настраиваются туннели? Вот здесь в test plan у меня есть пара конфигов для тестирования в ручном режиме: https://reviews.freebsd.org/D2304 -- WBR, Andrey V. Elsukov
Re: [freebsd] IPsec VPN and NAT
On 24.04.2015 08:09, Golub Mikhail wrote: >>> В pfsense есть два параметра: >>> net.inet.ip.pfil.inbound: pf >>> net.inet.ip.pfil.outbound: pf >>> >>> На 10.1, 9.3, 8.4, 7* - таких oid-ов нет. >> >> Судя по названию, эти оиды регулируют порядок или необходимость >> запуска pfil хуков на input/output. Т.е. к сути дела не имеют. > > Экспериментально проверил, что имеют (могу ошибаться). > Когда выполнил команду - пакеты в ipsec-туннель перестали заворачиваться. > sysctl net.inet.ip.pfil.inbound="" Могу предположить, что таким образом вы убрали пакетный фильтр с обработки входящих пакетов. Пару лет назад andre@ кажется предлагал подобные патчи, где можно было через sysctl выбирать порядок в котором будут вызываться фильтры. Но тогда они не нашли сторонников, или реализация была неочень. В pfsense видимо нашли. >> А есть у вас возможность попробовать head/? > > Скачал вчера, пробую. > >> По сути вам нужно включить filtertunnel, настроить filter_mask так, >> чтобы исходящий пакет отправлялся в NAT до инкапсуляции, а входящий >> после отрезания внешнего заголовка (см. if_enc(4)). > > В pfsense net.inet.ipsec.filtertunnel=0 У них там и реализация AES-GCM есть в ipsec, и strongswan патченный для этого. Ещё и ipsec можно включать через sysctl. eri@ ещё полгода назад хотел это всё в базу внедрить. Даже от FF был грант прошлой осенью про IPSec. Но что-то не задалось у него... -- WBR, Andrey V. Elsukov
Re: [freebsd] IPsec VPN and NAT
On 23.04.2015 14:27, Golub Mikhail wrote: > Добрый день. > > Задал вопрос на форуме - был один ответ, что никак подобное не сделать. > Но все же ... > Никто не делал подобное на FreeBSD? > > Хочу на FreeBSD 10.1 натировать сеть в сеть средствами pf перед > заворачиванием в ipsec-туннель (например, локалку 192.168.1.0/24 в > 172.16.1.0/24) > pfsense такое делает (а там 10.1-RELEASE-p9 FreeBSD). > В pfsense есть два параметра: > net.inet.ip.pfil.inbound: pf > net.inet.ip.pfil.outbound: pf > > На 10.1, 9.3, 8.4, 7* - таких oid-ов нет. Судя по названию, эти оиды регулируют порядок или необходимость запуска pfil хуков на input/output. Т.е. к сути дела не имеют. А есть у вас возможность попробовать head/? По сути вам нужно включить filtertunnel, настроить filter_mask так, чтобы исходящий пакет отправлялся в NAT до инкапсуляции, а входящий после отрезания внешнего заголовка (см. if_enc(4)). В политике ipsec вам нужно указать туннельный режим с неотначенными адресами в качестве адресов матчинга src_range/dst_range и endpoint адресами туннеля. Эти же endpoint адреса туннеля должны быть указаны в соответствующих SA. При такой конфигурации secpolicy отправляет ваши неотначенные пакеты на обработку в ipsec, тот отправляет их в pfil, который должен выполнить трансляцию, после возвращения из pfil к пакету будет прилеплен новый IP заголовок с endpoint адресами тунеля из SA. Далее он шифруется и уходит в сеть. На принимающей стороне пакет благодаря обратной SA дешифруется, ему отрезается внешний IP заголовок и уже этот оттранслированный пакет приходит в хост систему. На вид как-то вот так это должно работать в head/. -- WBR, Andrey V. Elsukov signature.asc Description: OpenPGP digital signature
Re: [freebsd] IPsec VPN and NAT
On 21.04.2015 12:47, Eugene Grosbein wrote: > On 21.04.2015 14:14, Golub Mikhail wrote: > >> Есть две сети с одинаковой адресацией сетей за шлюзами. >> Задача - объединить их через ipsec. >> Чтобы проверить работу схемы сделал сети отличающимися. >> >> Имеется FreeBSD 10.1 >> Два интерфейса (em0 - outside, em1 - inside). >> Используется pf. >> >> Хочу с одной стороны сделать NAT для адресов локальной сети перед тем, как > > Не взлетит: http://dadv.livejournal.com/202710.html pfil(9) на интерфейсе enc(4) вызывается из кода IPSec, так что эта заметка не особо подходит. Другое дело что некотрое время в этом коде было много багов, так или иначе связанных. -- WBR, Andrey V. Elsukov signature.asc Description: OpenPGP digital signature
[freebsd] Re: [freebsd] Re: [freebsd] Re: [freebsd] Re: [freebsd] natd не натит
On 08.12.2014 19:03, Anton Sayetsky wrote: > Вообще задача следующая: > Есть сервак, на внешнем интерфейсе которого поднят IPSec (cryptomap > 172.31.249.0/24=>192.168.137.0/24). > Есть несколько tun/tap, с которых приходят различные сети. > (192.168.90.0/24, 172.17.5.0/24 и т.п.) > Вот и нужно из всех tun/tap отнатить в 172.31.249.0/24, чтобы дальше > трафик ушёл на 192.168.137.0/24 > ipfw nat не работает, трафик натится правильно, но не заходит в SPD IPSec. > > Правила вида: > ipfw nat 1 config ip 172.31.249.1 > ipfw add nat 1 ip from any to any via tun1 > Дают мне траф вида 172.31.249.1=>192.168.137.2 на re0, а должно > паковаться в ESP. А что при этом говорит setkey -D и setkey -DP? > Сам IPSec работает отлично: > root@vpnc:~# ping -c 3 -S 172.31.249.1 192.168.137.2 > PING 192.168.137.2 (192.168.137.2) from 172.31.249.1: 56 data bytes > 64 bytes from 192.168.137.2: icmp_seq=0 ttl=63 time=40.191 ms > 64 bytes from 192.168.137.2: icmp_seq=1 ttl=63 time=32.563 ms > 64 bytes from 192.168.137.2: icmp_seq=2 ttl=63 time=34.543 ms -- WBR, Andrey V. Elsukov
Re: [freebsd] nginx on openvpn's tun interface
On 29.10.2014 14:00, Anton Sayetsky wrote: > mbuf_packet: 16380, >mbuf: 2, >mbuf_cluster: 18015, > mbuf_jumbo_page: 0, > mbuf_jumbo_9k: 0, > mbuf_jumbo_16k: 0, > mbuf_ext_refcnt: 0, > > Значения иногда увеличиваются на 2-3 и в течение нескольких секунд > возвращаются обратно. То что оно изменяется - это нормально. Ганс говорит, что при down/up tun интерфейса счётчики увеличиваются. А если это происходит часто, то через несколько недель ресурсы системы исчерпываются. -- WBR, Andrey V. Elsukov
Re: [freebsd] nginx on openvpn's tun interface
On 28.10.2014 20:00, Владимир Друзенко wrote:
> 28.10.2014 17:39, Alexey Markov пишет:
>> 28.10.2014, 15:53, "Andrey V. Elsukov" :
>>> On 27.10.2014 14:51, Anton Sayetsky wrote:
>>>
>>> У вас OpenVPN сервер на FreeBSD? Тут есть один репорт по утекающим
>>> mbuf'ам в связке openvpn+tun. Не замечали ничего такого?
>>>
>>> В выводе: vmstat -z | awk '/mbuf/ {printf "%16s %s\n", $1, $4 }'
>>> нет у вас постоянно увеличивающего счётчика?
>> Я проверил на двух машинках с 8.4-p18, счётчики колеблются, но не растут.
>
> Тоже самое - за 10 минут мониторинга (надо больше?) роста не замечено,
> RELENG_9 от 19 февраля 2012.
Вот сам баг репорт:
https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=194577
--
WBR, Andrey V. Elsukov
Re: [freebsd] nginx on openvpn's tun interface
On 27.10.2014 14:51, Anton Sayetsky wrote:
> Машина - OpenVPN-сервер, туннель такой:
> root@support00:/usr/local/etc/nginx# ifconfig tun0
> tun0: flags=8051 metric 0 mtu 1500
> options=8
> inet6 fe80::21e:67ff:fead:6ab0%tun0 prefixlen 64 scopeid 0x3
> inet 192.168.89.1 --> 192.168.89.1 netmask 0xff00
> nd6 options=21
> Opened by PID 4047
У вас OpenVPN сервер на FreeBSD? Тут есть один репорт по утекающим
mbuf'ам в связке openvpn+tun. Не замечали ничего такого?
В выводе: vmstat -z | awk '/mbuf/ {printf "%16s %s\n", $1, $4 }'
нет у вас постоянно увеличивающего счётчика?
--
WBR, Andrey V. Elsukov
signature.asc
Description: OpenPGP digital signature
Re: [freebsd] nginx on openvpn's tun interface
On 27.10.2014 16:44, Anton Sayetsky wrote: > Спасибо, кэп. "Понять, почему" = "Найти, а потом исправить проблему". > Сейчас ещё на 10.1 проверю, а позже на 9.3 Там будет так же. -- WBR, Andrey V. Elsukov
Re: [freebsd] nginx on openvpn's tun interface
On 27.10.2014 15:41, Anton Sayetsky wrote: > Проверили на других машинах: > фря, topology subnet - не пингуется > фря, topology net30 - пингуется > убунта, topology subnet - пингуется Если вам так уж необходимо, чтобы в выводе ifconfig показывалась маска сети /24, и всё работало, укажите там: # ifconfig tun0 inet 192.168.89.1 broadcast 192.168.89.255 # route add 192.168.89.0/24 -iface tun0 А так, это ж point-to-point интерфейс, тут вообще всё это неважно. -- WBR, Andrey V. Elsukov
Re: [freebsd] nginx on openvpn's tun interface
On 27.10.2014 15:09, Eugene Grosbein wrote: > On 27.10.2014 19:06, Anton Sayetsky wrote: >> Всё есть: >> root@support00:/usr/local/etc/nginx# netstat -rn | fgrep '192.168.89.' >> 192.168.89.0/24192.168.89.1 UGS 0 12917434 tun0 >> 192.168.89.1 link#3 UH 0 72 tun0 > > В этом-то и проблема. У link#3 маршрут смотрит в tun0, а должен в lo0. > Удали и пересоздай как я написал. у него оба конца туннеля указывают на один адрес, вот опенвпн и добавил маршрут к дальнему конецу через tun0. -- WBR, Andrey V. Elsukov
Re: [freebsd] Re[2]: [freebsd] Странные падения сервера при переключении defaultroute
On 24.10.2014 15:03, Eugene Grosbein wrote: > On 24.10.2014 17:59, Alexander wrote: > >> EG> Вообще крайне желательно обновиться хотя бы до 8.4, >> EG> так как в более ранних восьмерках есть известные баги в netgraph, >> EG> которые приводят к паникам. >> >> Тырнет ходит через mpd, так что отключить его пока не могу. А >> обновление сегодня запущу вечером. > > Рекомендую ещё после обновления src приложить этот патч: > http://www.grosbein.net/freebsd/patches/dang2.diff > > Он повышает стабильность связки netgraph+mpd, я его ко всем своим > серверам с mpd прикладываю. подорожник, я его ко всему прикладываю :) Прежде чем начинать лечить, нужно диагноз поставить. Спонтанные ребуты без всяких сообщений могут быть следствием аппаратных проблем. -- WBR, Andrey V. Elsukov signature.asc Description: OpenPGP digital signature
Re: [freebsd] Re: [freebsd] Re: [freebsd] Перезапись gpart разделов и последующее их восстановление, как?
On 18.08.2014 17:12, Vladislav V. Prodan wrote: > > 18 августа 2014 г., 7:05 пользователь Andrey V. Elsukov > mailto:bu7c...@yandex.ru>> написал: > > Если данные не пропали после dd, то gpart destroy с ними тоже ничего не > сделает. > > > А другие варианты залить MfsBSD.img в первые два слайса и не потерять > третий слайс с данными? Во можете записать этот образ в своп, затем поменять тип freebsd-swap раздела на freebsd-ufs, записать в freebsd-boot раздел образ загрузочного кода gptboot. Теоретически должно загрузиться. Конечно, в образе находится не UFS раздел, а bsdlabel с разделом, но кажется это не должно вызвать проблем. После этих манипуляций вернуть обратно gptzfsboot и тип freebsd-swap. Но, как я уже сказал, если сохранить все смещения без изменений, данные на разделах никуда не денутся. Есть одно НО с полным пересозданием таблицы разделов. На сколько я помню, в 11-ой фре слегка поменяли код поддержки GPT и теперь по-умолчанию резервируется не 34 сектора под таблицу разделов, а бОльшее количество, чтобы быть кратным 4к секторам. Это может вызвать проблемы при пересоздании - резервная таблица откушает больше секторов в конце диска. -- WBR, Andrey V. Elsukov signature.asc Description: OpenPGP digital signature
Re: [freebsd] Re: [freebsd] Re: [freebsd] Перезапись gpart разделов и последующее их восстановление, как?
On 18.08.2014 17:16, Vladislav V. Prodan wrote: > Я уже писал в начале - это тестовые виртуалки с 7ГБ данных > Сервера имеют или 1 SSD на 120Гб или 1-2 HDD на 500ГБ-1ТБ. > B поэтому сделать dd всего диска очень проблематично. > -b 34 - это для винтов с секторами 512 байт > -b 40 - это смещение для винтов с секторами 4000 байт > размер freebsd-boot может быть от 64K до 512K gpart(8) в состоянии автоматически определить смещение начала раздела. При указании -a 4k он сам выберет подходящее смещение. К тому же, если системе известно, что диск с 4к секторами, то даже -a не нужно указывать (*). * http://bu7cher.blogspot.ru/2011/06/gpart.html -- WBR, Andrey V. Elsukov signature.asc Description: OpenPGP digital signature
Re: [freebsd] Re: [freebsd] Перезапись gpart разделов и последующее их восстановление, как?
On 18.08.2014 06:03, Vladislav V. Prodan wrote: > > # gpart add -b 34 -s 128 -t freebsd-boot -a 4k -l boot-ada0 ada0 > > gpart: Invalid argument > > BSD схема не поддерживает метки. Вам нужно использовать не `gpart > delete`, а `gpart destroy -F ada0`. После чего пересоздать таблицу > разделов и нужные разделы. > > -- > WBR, Andrey V. Elsukov > > > Так пропадут данные на 3-ем слайсе >2099200 14677983 3 freebsd-zfs (7.0G) > Их-то и не хочется терять :( Если данные не пропали после dd, то gpart destroy с ними тоже ничего не сделает. -- WBR, Andrey V. Elsukov signature.asc Description: OpenPGP digital signature
Re: [freebsd] Перезапись gpart разделов и последующее их восстановление, как?
On 17.08.2014 04:06, Vladislav V. Prodan wrote: > Перегружаем VM1 > Логинимся в VM1 и видим: > > # gpart show > => 0 16777216 ada0 BSD (8.0G) > 016- free - (8.0K) > 16 83952 1 !0 (41M) > 83968 16693248- free - (8.0G) > > => 0 16777216 diskid/DISK-VBab59de7b-778e8846 BSD (8.0G) > 016 - free - (8.0K) > 16 839521 !0 (41M) > 83968 16693248 - free - (8.0G) > > Удаляем диск с MfsBSD > # gpart delete -i 1 ada0 > > И дальше уже не получается восстановить старые разделы > > # gpart add -b 34 -s 128 -t freebsd-boot -a 4k -l boot-ada0 ada0 > gpart: Invalid argument BSD схема не поддерживает метки. Вам нужно использовать не `gpart delete`, а `gpart destroy -F ada0`. После чего пересоздать таблицу разделов и нужные разделы. -- WBR, Andrey V. Elsukov signature.asc Description: OpenPGP digital signature
Re: [freebsd] ipfw и несколько GRE сессий
On 05.08.2014 12:13, Alexander Bolshakov wrote: > Добрый день сообществу. > > Помнится, была проблема когда-то. Сегодня наткнулся снова на неё. Есть > роутер в офисе на FreeBSD 7.3-PRERELEASE. > > kldstat: > 22 0xc07ec000 ec4c ipfw.ko > 31 0xc07fb000 738c if_rl.ko > 42 0xc0803000 25110miibus.ko > 81 0xc0862000 3e40 ipfw_nat.ko > 92 0xc0866000 9ccc libalias.ko > net.inet.ip.fw.one_pass: 1 Попробуйте сделать kldload alias_pptp. -- WBR, Andrey V. Elsukov
Re: [freebsd] ÐаÑа вопÑоÑов по новой ÑиÑÑеме пакеÑов
On 07.04.2014 10:24, Alexey Markov wrote: > 2. Ðожно ли как-Ñо одной командой пеÑеÑобÑаÑÑ Ð²Ñе нÑждаÑÑиеÑÑ > в обновлении поÑÑÑ Ð²Ð¼ÐµÑÑе Ñо вÑеми поÑÑами, коÑоÑÑе Ð¾Ñ Ð½Ð¸Ñ > завиÑÑÑ? ÐÑимеÑно как ÑÑо Ð´ÐµÐ»Ð°ÐµÑ ÐºÐ»ÑÑ -r Ð´Ð»Ñ portmaster, но > ÑолÑко Ð´Ð»Ñ Ð²ÑÐµÑ Ð¿Ð¾ÑÑов. ТÑÑ Ñже ÑовеÑовали, poudriere именно Ñак и вÑполнÑÐµÑ ÑбоÑкÑ. ÐÑ ÐµÐ¼Ñ Ð½Ð° Ð²Ñ Ð¾Ð´ ÑпиÑок поÑÑов, он пÑовеÑÑÐµÑ Ð²Ñе веÑÑии и завиÑимоÑÑи, ÑдалÑÐµÑ ÑÑаÑÑе пакеÑÑ Ð¸Ð· ÑепозиÑоÑÐ¸Ñ Ð¸ ÑобиÑÐ°ÐµÑ Ñе, коÑоÑÑе обновилиÑÑ. ÐÑÑаÑÑÑÑ ÑделаÑÑ pkg upgrade на вÑÐµÑ Ñ Ð¾ÑÑÐ°Ñ Ð¸ вÑÑ. Ðе вÑÑ Ð¿Ð¾ÐºÐ° гладко, но в devel веÑÑии pkg, как говоÑÑÑ, дела обÑÑоÑÑ Ð»ÑÑÑе. -- WBR, Andrey V. Elsukov
Re: [freebsd] Формат сетей в таблицах ipfw в 10-ке
On 27.03.2014 11:35, Boris Samorodov wrote: >> я не понял, ты на POSIX псишь? >> http://pubs.opengroup.org/onlinepubs/009695399/functions/inet_addr.html > > Я говорю, что, как мне кажется, в head это работает так же. Привет, я имел ввиду, что в head/ попытка добавления такой записи в таблицу не приводит к некорректному результату: % sudo ipfw table 1 add 177.204/14 ipfw: Invalid IPv4 address: 177.204 -- WBR, Andrey V. Elsukov
Re: [freebsd] Re: [freebsd] Re: [freebsd] Формат сетей в таблицах ipfw в 10-ке
On 24.03.2014 23:31, Vladislav V. Prodan wrote: >> jason@jnb:~$ ping 177.204 >> PING 177.204 (177.0.0.204): 56 data bytes >> ^C >> --- 177.204 ping statistics --- >> 3 packets transmitted, 0 packets received, 100.0% packet loss >> >> А PR точно писать, если не работает. Это уже исправлено в head/. Просто у кого-то нет времени сделать MFC :) -- WBR, Andrey V. Elsukov
Re: [freebsd] Re: [freebsd] geli и метки разделов диска
On 10.11.2013 20:31, Anton Sayetsky wrote: > ВАЖНО: Раздел, на который вешается glabel, не должен иметь метки GPT. > В противном случае glabel появится только после ребута, а в то же > время GPT-label пропадёт. Многие GEOM классы от pjd имеют возможность жестко указать имя используемого провайдера (hardcode providers' names in metadata). Кажется, что если бы у geli был такой функционал, то это тоже работало бы. -- WBR, Andrey V. Elsukov signature.asc Description: OpenPGP digital signature
Re: [freebsd] ntpd & ipv6
On 25.06.2013 15:47, Sayetsky Anton wrote: > 25 июня 2013 г., 14:45 пользователь Eugene Grosbein > написал: >> Если не нужен IPv6, то и проблему можно просто игнорировать. > Это понятно, но избавиться б ещё от этих сообщений. ntpd вообще не > должен даже пытаться лезть на адрес с параметром IFDISABLED. IFDISABLED это флаг, связанный с интерфейсом, а не с адресом. Приложение не смотрит на наличие этого флага. Вообще, при IFDISABLED на интерфейсе, не должен появляться link-local адрес. И вам нужно выяснить почему он там появляется. -- WBR, Andrey V. Elsukov
Re: [freebsd] [freebsd] Мёртвые PR
On 12.06.2013 20:15, Sayetsky Anton wrote: > Приветствую, товарищи. Кого пинать, куда писать, дабы воскресили сабж? > Знаю только для портов - portmgr@. > > Список, например: > o2012/06/29bin/169542gpart(8): partition alignment > doesn't works on MBR В MBR используется выравнивание с использованием геометрии диска. Да, это было актуально лет 15 назад. Но вы всегда можете выравнять свои разделы используя наименьшее общее кратное от числа секторов в дорожке диска и того числа, которое вам нужно. Либо выравнивать уже внутри bsdlabel, что в общем-то и делает gpart. > f 2012/05/03 kern/167562 pjd [geli] geli cannot use gpt labels in loader.conf Здесь вы вроде бы нашли решение, вам не нравится, что PR не закрыт? :) > f 2012/10/23 ports/172975 edwin [patch] misc/zoneinfo: correct description > o2013/02/19conf/176263make delete-old doesn't honor > WITHOUT_SYSINSTALL in src.conf Ну, здесь видимо нужно добавить список файлов в tools/build/mk/OptionalObsoleteFiles.inc протестировать и прислать патч. -- WBR, Andrey V. Elsukov
Re: [freebsd] Убить неубиваемый по kill -9 процесс
On 28.05.2012 16:24, Eugene Grosbein wrote: >> Есть ли ещё какие-то способы, кроме ребута сервера? >> >> Заранее спасибо. > > Нет. Ну вообще, это зависит от того, в каком состоянии находятся эти процессы. Продемонстрируйте, хотя бы вывод ps/top/procstat на них. -- WBR, Andrey V. Elsukov
Re: [freebsd] geli benchmark
On 17.04.2012 14:46, Sayetsky Anton wrote: > 17 апреля 2012 г. 13:39 пользователь Andrey V. Elsukov > написал: >> Его размер вполне конечен. >> Причины зависания вашей машины вероятно в другом. > > $ diskinfo -v /dev/gzero > /dev/gzero > 512 # sectorsize > 1152921504606846976 # mediasize in bytes (41P) > 2251799813685248# mediasize in sectors > 0 # stripesize > 0 # stripeoffset > > Ну, устройство размером в 41 петабайт можно вполне считать > бесконечным, не так ли? Это в 2^60. У меня работает. # uname -rsm FreeBSD 10.0-CURRENT amd64 # geli list Geom name: gzero.eli State: ACTIVE EncryptionAlgorithm: AES-XTS KeyLength: 128 Crypto: hardware Version: 6 Flags: ONETIME KeysAllocated: 2 KeysTotal: 268435456 Providers: 1. Name: gzero.eli Mediasize: 1152921504606846976 (1.0E) Sectorsize: 4096 Mode: r0w0e0 Consumers: 1. Name: gzero Mediasize: 1152921504606846976 (1.0E) Sectorsize: 512 Mode: r1w1e1 -- WBR, Andrey V. Elsukov
Re: [freebsd] geli benchmark
On 17.04.2012 14:23, Sayetsky Anton wrote: > Дважды повесил свою машину, а потом допёр, что нельзя создавать метки > на бесконечном устройстве. > >> # kldload geom_zero >> # geli onetime -s 4096 gzero > Так что это идиотский совет. Его размер вполне конечен. Причины зависания вашей машины вероятно в другом. -- WBR, Andrey V. Elsukov
[freebsd] Re: [freebsd] Re: [freebsd] Re: [freebsd] Re: [freebsd] Re: [freebsd] Re: [freebsd] Re: [freebsd] Re: [freebsd] [freebsd] UFS2 и разделы большого объема
On 11.04.2012 10:52, Sayetsky Anton wrote: > Не каждый почтовый клиент имеет цепочки писем - очень удобная штука. > Кстати, а есть какие-нибудь почтовые клиенты, которые способны > переварить мои 350 тысяч писем, проиндексировать и построить цепочки? > :) Буревестник падает уже на 80к. Раньше он страдал этим, но современные версии вполне себе держатся. Я затрудняюсь сказать, сколько писем у меня в нём, но только в одной папке svn-src более 80к. Размер каталога с профилем - окло 5 гиг. -- WBR, Andrey V. Elsukov
Re: [freebsd] 8.3R
On 01.03.2012 18:37, Sayetsky Anton wrote: > Собственно, сабж. Ждёт кто-нибудь? > Случаем не слышали, когда будет создан тег releng/8.3? Планируется после выхода 8.3-RC1, который уже вот вот появится. -- WBR, Andrey V. Elsukov
Re: [freebsd] Перевод софтового рейда из линукса
On 13.02.2012 00:34, Alexander wrote: > Hello Freebsd, > > Добрый вечер сообществу! Вот задали вопрос, не нашёл пока, что > ответить. Была файлопомойка на дебиане, два винта стояли в софтовом > рейде. Сейчас поставили топик 9.0. fstab от дебиана не сохранили. > fdisk говорит sysid 253 (0xfd),(unknown). Может кто подсказать путь к > решению? Спасибо! Был ли там LVM? Какая файловая система там была? Какой был RAID? В зависимости от ответов на эти вопросы вы сможете ответить себе, сможете ли вы получить доступ к данным из FreeBSD. Решающим наверно будет ответ о файловой системе. В случае с LVM можно попробовать geom_linux_lvm. -- WBR, Andrey V. Elsukov
Re: [freebsd]: ipfw.ko и fwd
On 31.01.2012 0:38, Alexander wrote: > Есть ещё мысли? Ещё раз повторюсь. Для того чтобы форвардинг работал нужна поддержка от двух составляющих: 1. Сетевой стек должен быть собран с опцией IPFIREWALL_FORWARD. Эта опция включает дополнительные проверки, которые вносять лишний оверхед для тех пользователей, кому форвардинг не нужен. По этой причине не хотят делать возможность влючать форвардинг без пересборки ядра. 2. Модуль ipfw должен быть собран с опцией IPFIREWALL_FORWARD. Либо ipfw должен присутствовать в ядре с этой опцией. Я не пробовал, но думаю, что при желании можно собрать ядро без ipfw, но с включенным IPFIREWALL_FORWARD и модуль ipfw так же. Но для вашего случая, imho, проще включить ipfw в ядро и добавить IPFIREWALL_DEFAULT_TO_ACCEPT, чтобы он вам не мешал по-умолчанию. -- WBR, Andrey V. Elsukov
Re: [freebsd] увеличить диск -- как?
On 25.01.2012 10:47, Lystopad Aleksandr wrote: >> Подключите в зеркало его, когда синхронизируется, отключите старый диск. >> На новом для пула сделайте gpart resize. Не забудьте загрузочный код >> записать. >> Всё. > > У меня пул из одного диска, нет зеркала. Как быть? Создать зеркало. :) На ZFS это делает команда zpool attach. На мой взгляд, это оптимальный способ сделать копию пула. -- WBR, Andrey V. Elsukov
Re: [freebsd] увеличить диск -- как?
On 25.01.2012 9:42, Andrey V. Elsukov wrote: > On 25.01.2012 0:01, Lystopad Aleksandr wrote: >> hi! >> >> FreeBSD 8.2-REL amd64 стоит на ada0. >> >> Есть система на ada2, есть новый пустой диск ada1. >> Диск ada1 больше ada2. >> >> Нужно перенести систему с ada2 на ada1. >> На ada2 созданы разделы ada2p1 (boot), p2 (swap), p3 (zfs). >> >> Как правильно все перенести с ada2 на ada1? > > Подключите в зеркало его, когда синхронизируется, отключите старый диск. > На новом для пула сделайте gpart resize. Не забудьте загрузочный код записать. > Всё. Если более подробно, то: # gpart backup ada2 | gpart restore -lF ada1 # gpart bootcode -b /boot/pmbr -p /boot/gptzfsboot -i 1 ada1 # zpool attach tank ada2p3 ada1p3 ждём синхронизацию. Далее можно по-разному, например так: # zpool detach tank ada2p3 # vi /etc/fstab # sysctl kern.geom.debugflags=16 # gpart resize -i 3 ada1 # reboot загружаетесь с нового диска. -- WBR, Andrey V. Elsukov
Re: [freebsd] увеличить диск -- как?
On 25.01.2012 0:01, Lystopad Aleksandr wrote: > hi! > > FreeBSD 8.2-REL amd64 стоит на ada0. > > Есть система на ada2, есть новый пустой диск ada1. > Диск ada1 больше ada2. > > Нужно перенести систему с ada2 на ada1. > На ada2 созданы разделы ada2p1 (boot), p2 (swap), p3 (zfs). > > Как правильно все перенести с ada2 на ada1? Подключите в зеркало его, когда синхронизируется, отключите старый диск. На новом для пула сделайте gpart resize. Не забудьте загрузочный код записать. Всё. -- WBR, Andrey V. Elsukov
Re: [freebsd] ipfw.ko и fwd
On 28.12.2011 09:30, Slawa Olhovchenkov wrote: > On Wed, Dec 28, 2011 at 09:27:12AM +0400, Andrey V. Elsukov wrote: > >> On 28.12.2011 08:42, Alexander wrote: >>> Hello UaFUG, >>> >>> Подскажите - есть ли возможность пересобрать модуль ipfw так, чтоб >>> работал форвард пакетов? А то в тырнете советы только через компиляцию >>> в ядро. >> >> Ядро пересобирать нужно будет в любом случае. > > нет Может научите меня, как включить код IPFIREWALL_FORWARDING, который к ipfw никак не относится без перекомпиляции ядра? -- WBR, Andrey V. Elsukov
Re: [freebsd] ipfw.ko и fwd
On 28.12.2011 08:42, Alexander wrote: > Hello UaFUG, > > Подскажите - есть ли возможность пересобрать модуль ipfw так, чтоб > работал форвард пакетов? А то в тырнете советы только через компиляцию > в ядро. Ядро пересобирать нужно будет в любом случае. -- WBR, Andrey V. Elsukov
Re: [freebsd] фря не видит два последних диска
On 08.12.2011 14:30, Artyom Viklenko wrote:
> 08.12.2011 11:40, Andrey V. Elsukov пишет:
>> On 08.12.2011 12:04, Artyom Viklenko wrote:
>>> ad8: FAILURE - device detache
>>>
>>> Попытка сделать 'atacontrol detach ata{4,5}; atacontrol attach ata{4,5}'
>>
>> Раз уж у вас используется драйвер achi(4), то почему бы не попробовать и
>> siis(4)?
>> Если я правильно понял, у вас же на каналах sii диски теряются?
>>
>
> да, вот это я и пробую сейчас. но беда та же. те же два
> диска снова вывалились...
И какие на этот раз сообщения в логах?
--
WBR, Andrey V. Elsukov
Re: [freebsd] фря не видит два последних диска
On 08.12.2011 11:41, Artyom Viklenko wrote: >> Поменял местами эти два последних диска, перезагрузился. >> Сейчас видны все... Странности какие-то... >> > > Эм.. простите за флуд... > > Создал zfs на новых четырех дисках, начал туда писать и через > какое-то время два последних диска снова выпали... > > Кто что посоветует? Обычно, когда пропадают диск, ядро об этом говорит в консоль. Что в логах-то? Включите debug.bootverbose=1, возможно будет больше интересного. -- WBR, Andrey V. Elsukov
Re: [freebsd] gmirror per partition
On 23.11.2011 21:15, Anton Yuzhaninov wrote: > Используем, только не gpt разделы а разделы bsdlabel. > > rebuild идет параллельно на всех зеркалах. Встречаются жалобы на такие конфигурации вот такого плана: 1. В случае, если при создании bsdlabel не было указано смещение (по-умолчанию gpart создаёт первый раздел без смещения), метаданные bsdlabel (они хранятся во втором секторе) будут обнаружены на провайдере gmirror'а. Что может быть расценено как новая bsdlabel. 2. gmirror может обнаружить свои метаданные не на том провайдере, на котором они были созданы. Например, вы создали bsdlabel, создали там файловые системы, потом решили сделать зеркало. В первый раз у вас всё получилось как хотелось вам, но после перезагрузки gmirror может найти свои метаданные внутри ufsid или ufs метки glabel. Что в ряде случаев может удивить. Возможно что-то ещё было.. Но в целом, в свежих релизах и STABLE бранчах эти проблемы решены. И при верной последовательности действий и правильной конфигурации они обычно не возникают. -- WBR, Andrey V. Elsukov
Re: [freebsd] gmirror per partition
On 23.11.2011 22:39, Andrey Lakhno wrote: > Интересно, а метка gmirror в последнем секторе раздела (GPT или bsdlabel) > что-то может собой затереть ? Если создавать метку gmirror после создания файловой системы, то да, может. > Еще вопрос к общественности: я правильно понимаю, что использовать MBR и > disklabel на дисках >2Tb > нельзя совсем ? > Или при каких-то условиях можно ? Это зависит от размера сектора. Количество адресуемых блоков ограничено максимальным 32-битным числом UINT32_MAX. При увеличении размера сектора, можно увеличить объём. Но на практике, никто это не тестировал и скорее всего будут проблемы. Так что, лучше даже не пробовать :) -- WBR, Andrey V. Elsukov
Re: [freebsd] fdisk/bsdlabel vs gpart
On 13.11.2011 19:21, Sayetsky Anton wrote: > 7 ноября 2011 г. 11:45 пользователь Andrey V. Elsukov > написал: >> Выражение "переходить на gpart" несколько некорректно. > ... > > Кстати, что лучше использовать в GPT - GPT labels или GEOM_LABEL? На самом деле все метки сейчас реализуются классом GEOM_LABEL. kern.geom.label.ext2fs.enable: 1 kern.geom.label.iso9660.enable: 1 kern.geom.label.msdosfs.enable: 1 kern.geom.label.ntfs.enable: 1 kern.geom.label.reiserfs.enable: 1 kern.geom.label.ufs.enable: 1 kern.geom.label.ufsid.enable: 1 kern.geom.label.gptid.enable: 1 kern.geom.label.gpt.enable: 1 В планах есть задумка убрать из этого списка два последних и реализовать их другим способом. -- WBR, Andrey V. Elsukov
Re: [freebsd] fdisk/bsdlabel vs gpart
On 07.11.2011 12:57, Sayetsky Anton wrote: > Что предпочитаете использовать? MBR/GPT? Стоит ли переходить на gpart > в случае MBR, или остаться на bsdlabel? Что сейчас вообще > рекомендуется разрабами (навскидку не нашёл)? Выражение "переходить на gpart" несколько некорректно. gpart - это утилита управления GEOM классом PART. Этот класс обслуживет все таблицы разделов, поддерживаемые FreeBSD (начиная с версии FreeBSD 8.0). Старые утилиты fdisk, bsdlabel, boot0cfg работают либо с бинарными образами прочитанными с диска, либо со старыми классами GEOM_MBR, GEOM_BSD. Т.к. эти утилиты работают с бинарыми образами секторов или загрузочного кода, то для внесения изменений в существующие таблицы разделов они должны иметь право для записи туда. А этого права у них обычно нет. Поэтому в FreeBSD 8.0+ правильнее использовать gpart. Т.к. у него всегда есть право для управления своим классом. Вчера и сегодня я добавил в старые утилиты несколько изменений, благодаря которым они будут работать как можно более корректно. Но в ряде случаев они просто будут выдавать ошибку и рекомендацию использовать gpart(8). -- WBR, Andrey V. Elsukov
Re: [freebsd] ipfw: таблицы и v6 адреса.
On 26.10.2011 18:15, Eugene V. Boontseff wrote:
> Обнаружил, что "на данный момент" в ipfw таблицы можно помещать только
> ipv4 адреса.
> И конструкции типа 1.2.3.4/24{1,3-7,25} для v6 адресов тоже не
> поддерживаются.
> Как там дело обстоит в 9-ке или свежей 8-stable с этим? И какие планы у
> разработчиков, никто не в курсе?
В 9-ке и 8-ке дела обстоят так же.
--
WBR, Andrey V. Elsukov
Re: [freebsd] проблема загрузки
On 29.09.2011 13:16, Alexandr wrote: >> Ну видимо, чтобы проще было загружаться с ZFS root. >> > > Совершенно верно. Вся эта кухня успешно жила на предыдущем лэптопе и теперь > мигрировала на новый. > Изначально у меня был пул из целого диска, но в определенный момент после > очередного обновления > системы загрузчик стал выдавать "Read error" (у Andrey V. Elsukov в блоге я > писал об этом) и было > принято волевое решение перейти на GPT. По-моему jhb@ вносил измененения в загрузчный код, связанные с этой ошибкой. -- WBR, Andrey V. Elsukov
Re: [freebsd] проблема загрузки
On 29.09.2011 12:53, Eugene Grosbein wrote: >>>> lenovo-b570# gpart show >>>> => 34 976773101 ada0 GPT (465G) >>>> 34128 1 freebsd-boot (64k) >>>> 162 976772973 2 freebsd-zfs (465G) >>>> >>>> gpart bootcode на новой системе естественно делал. >>>> Подозреваю что возможно проблема в кривом BIOS, обновление ничего не дало. >>> >>> "gpart set -a active -i 1 ada0" делалось? >> >> У GPT нет такого аттрибута. > > Да, не обратил внимания. А зачем вообще GPT на диске 465G? Ну видимо, чтобы проще было загружаться с ZFS root. -- WBR, Andrey V. Elsukov
Re: [freebsd] проблема загрузки
On 29.09.2011 11:36, Alexandr wrote: > Доброго всем дня! > > Я только что мигрировал свой десктоп на новый ноут Lenovo B570 и столкнулся > с проблемой загрузки - > в самом начале загрузки возникает такая ситуация как буд-то на жестком диске > загрузчик отсутствует > напрочь. Как именно это проявляется? Есть ли в биосе какие-нибудь опции связанные с EFI? -- WBR, Andrey V. Elsukov
Re: [freebsd] проблема загрузки
On 29.09.2011 12:17, Eugene Grosbein wrote: >> lenovo-b570# gpart show >> => 34 976773101 ada0 GPT (465G) >> 34128 1 freebsd-boot (64k) >> 162 976772973 2 freebsd-zfs (465G) >> >> gpart bootcode на новой системе естественно делал. >> Подозреваю что возможно проблема в кривом BIOS, обновление ничего не дало. > > "gpart set -a active -i 1 ada0" делалось? У GPT нет такого аттрибута. -- WBR, Andrey V. Elsukov
Re: [freebsd] ZFS: 2Gb оперативки
On 28.09.2011 16:34, Владимир Друзенко wrote: >> Ас зун ас итс рэди :) > Это всё понятно, но вопрос был скорее что такое серьёзное нашли, что > задерживают уже 2ой месяц. Некоторые разработчики не успели внести изменения, которые влияют на ABI, для них задерживали выпуски бета-версий, чтобы обеспечить в будущем большую совместимость с текущим head/ (чтобы была возможность переносить серьёзные изменения из head/ в stable/9 не ломая ABI). Ну и различные мелкие проблемы, в основном с тестированием нового инсталлятора. Это, в общем-то, моё IMHO :) -- WBR, Andrey V. Elsukov
Re: [freebsd] ZFS: 2Gb оперативки
On 29.09.2011 11:06, Artyom Viklenko wrote: > Я всего лишь обратил внимание на распределение нагрузки и задач. > Самый наглядный пример: IBM и ее мэинфреймы от s/360 до современны > Enterprise Server Z-Series. Там было и есть такое понятие как процессор > ввода-вывода. А еще есть внешние дисковые подсисемы. Я был сильно > впечатлен, когда живьем познакомился, например, с тем же RAMAC1. > А там "уровней абстракции" куда больше... и соотв. фирмаврей отдельных. Да уж, а потом сидишь и часами беседуешь с их инженерами высылая им логи DSA. А оказывается, что всего-то нужно обновить все фирмваре до вчера вышедших. -- WBR, Andrey V. Elsukov
Re: [freebsd] ZFS: 2Gb оперативки
On 28.09.2011 18:02, Artyom Viklenko wrote: > Это еще один уровень резервирования. И, хоть и много есть нареканий > на некоторые контроллеры и их вендоров, может в определенном случае > спасти при сбоях в ОС, ели глюк станется в самом коде файловой системы. Вы же не думаете, что вся логика работы RAID контроллера сделана аппаратно "на транзисторах"? Да возьмите любой контроллер, при инициализации там загружается тот же самый софт, и не надо заблуждаться, что он свободен от ошибок. -- WBR, Andrey V. Elsukov
Re: [freebsd] Re: [freebsd-beer] жопой к пользователю
On 27.09.2011 14:09, Andrey Voitenkov wrote: >> я недавно обновлял тазик 6.2->6-STABLE->7-STABLE->8-STABLE, ездить не >> пришлось, сеть поднималась. >> > ну таких, слава богу, большинство. > > но с em я с тех пор держу ifconfig em0 -rxcsum -txcsum -tso в start_if, > на воду дую. Это было один раз. Всё благодаря всем известному разработчику компании Интел, который занимается разработкой по свои правилам и уже неоднократно за это порицался. На тему высказываний Вадима - я пока не заметил никаких благоприятных последствий от разведённого на эту тему флейма, только сплошной негатив. Чесать языком мы все горазды и это не требует никаких особых усилий. -- WBR, Andrey V. Elsukov
Re: [freebsd] zfs
On 27.09.2011 12:48, Alex Korchmar wrote: > Нет бы мамонтово-дерьмовый сисинсталл осилить наконец выбросить нахрен... Принимайте - bsdinstall. Только вот не всем он по душе :) > offset 0 из его disklabel небось до сих пор не убран? Оно и в gpart по-умолчанию такое. -- WBR, Andrey V. Elsukov
Re: [freebsd] zfs
On 22.09.2011 16:12, Vasiliy P. Melnik wrote: > надобно создать сервер с софтовым рейдом, решился посмотреть в сторону zfs - > хвалят это дело что-то в последнее время. ... > > Я так понял если поставить amd64 я с этими проблемами не столкнусь Для любой программной реализации, существующей сейчас для FreeBSD можно найти людей, которые вам скажут что она "глючное УГ", что они потеряли данные и т.п. Для любой. То что у вас лично всё работало, не значит, что не произойдёт нечто и всё сломается. Не попробовав ZFS вы этого так никогда и не узнаете :) По своему опыту использования ZFS скажу, что если нет проблем с железом и с драйверами для него, то всё работает вполне стабильно и предсказуемо. Иначе, вы можете столкнуться с теми проблемами, которые уже описывались ранее. -- WBR, Andrey V. Elsukov
Re: [freebsd] СÑÐ¾Ð¸Ñ Ð»Ð¸ обновлÑÑÑÑÑ Ð´Ð¾ 6-STABLE?
On 09.09.2011 9:12, Alex Samorukov wrote: > ÐÑо, неÑомненно, повод Ð´Ð»Ñ Ð³Ð¾ÑдоÑÑи и ÑадоÑÑи. > Ðедавний ssh екÑплоиÑ, коÑоÑÑй, кÑÑаÑи говоÑÑ, доÑÑаÑоÑно долго гÑлÑл по > закÑÑÑÑм гÑÑппам до > пÑблиÑного анонÑа пÑекÑаÑно подÑвеÑÐ¶Ð´Ð°ÐµÑ Ð²Ð°ÑÑ Ð¿ÑавоÑÑ, ога. > > Ð, кÑÑаÑи, кÑÑа поÑÑов Ñ Ð²Ð°Ñ Ð½Ðµ ÑобеÑеÑÑÑ, ÑÐ¾Ñ Ð¶Ðµ Ñвежий ÑмаÑÑд, напÑимеÑ. > >> ÐÑ Ð½Ðµ повеÑиÑе, Ñ Ð¼ÐµÐ½Ñ 4.11-STABLE еÑÑ ÑабоÑаÑÑ, Ñо Ñвежими поÑÑами. ÐÑо же ÐÑоÑбейн :) Ñ Ð½ÐµÐ³Ð¾ вÑÑ ÑобиÑаеÑÑÑ, Ñ Ð½ÐµÐ³Ð¾ ÑÐ²Ð¾Ñ DadvBSD еÑÑÑ :) -- WBR, Andrey V. Elsukov
Re: [freebsd] fdisk и /dev/da0s3
On 06.09.2011 9:37, Victor Sudakov wrote: >> http://bu7cher.blogspot.com/2010/03/gpart.html >> Статья уже немного устарела, но основное осталось прежним. > > Надо же, авангард какой! А /dev/da?s?c при этом не будет? Никому от > отсутствия "c" не поплохеет? За несколько лет отсутствия не слышал, что кому-то поплохело :) > И кстати не нашел, как присваивать разделам буквы. Если первым создать > раздел типа freebsd-swap, то он получит букву "a" :( Буквы соответствуют номерам разделов. Если хотите создать раздел с буквой 'b', укажите опцию "-i 2". -- WBR, Andrey V. Elsukov
Re: [freebsd] fdisk и /dev/da0s3
On 06.09.2011 8:39, Victor Sudakov wrote:
>> Начиная с версии FreeBSD 8.0 все поддерживаемые таблицы разделов
>> обслуживаются GEOM классом PART. В общем-то их не так и много, но всё же.
>> Все действия с таблицами разделов выполняются при помощи gpart(8).
>
> А где это документировано? В Handbook по-прежнему fdisk и bsdlabel.
Документацию в хендбук пишут такие же люди как и вы ;)
Старые методы, в принципе, работать всё ещё должны.
> Кстати, а как создавать BSD партиции /dev/da0s1{a,c,d,e} с помощью gpart?
http://bu7cher.blogspot.com/2010/03/gpart.html
Статья уже немного устарела, но основное осталось прежним.
--
WBR, Andrey V. Elsukov
Re: [freebsd] fdisk и /dev/da0s3
On 06.09.2011 6:16, Victor Sudakov wrote: > Помогло, спасибо. Буду и дальше использовать gpart. Тем более, с ним > ведь не надо менять kern.geom.debugflags перед использованием? И > интерфейс у него дружественнее. > > А bsdlabel ты еще используешь или тоже уже отказался? Начиная с версии FreeBSD 8.0 все поддерживаемые таблицы разделов обслуживаются GEOM классом PART. В общем-то их не так и много, но всё же. Все действия с таблицами разделов выполняются при помощи gpart(8). kern.geom.debugflags менять не нужно. -- WBR, Andrey V. Elsukov
Re: [freebsd] fdisk и /dev/da0s3
On 05.09.2011 14:41, Victor Sudakov wrote: > Коллеги, > > Напомните пожалуйста, что делать в случае, когда после создания еще > одного раздела fdisk-ом он не появился в /dev ? Помню какое-то > колдунство нужно, чтобы ядро перечитало девайсы. reboot не предлагать. # uname -r ? Вообще, сейчас есть специальная утилита для управления разделами - gpart(8). -- WBR, Andrey V. Elsukov
Re: [freebsd] Re: [freebsd] некорректный ребут
On 02.09.2011 13:58, Alexander Yerenkow wrote: > Моё скромное мнение - надо написать творцам, что надо такую вещь в sysctl > добавлять, т.к. это > часто востребованная информация, а сотни людей по всему миру пишут разные > костыли. Эта информация > должна идти от ОС, а не определяться косвенно. Ага, и при загрузке выдавать окошечко с возможностью выбора/ввода причины некорректной перезагрузки ;) -- WBR, Andrey V. Elsukov
Re: [freebsd] некорректный ребут
On 02.09.2011 10:27, Victor Sudakov wrote: > Я думал об этом. Но во-первых, он rotate-ится ежемесячно, не совсем > удобно, в конце месяца можно пропустить ребут, или придется писать > обвязку вокруг "last -f". Во-вторых, разве там будет информация о > сабже, если в момент сабжа никто не был залогинен? Другой вариант - сделайте скрипт в rc.d/, который будет отслеживать включение и выключение, если выключения не было, то писать в лог при помощи logger. А эти сообщения уже можно проследить в ежедневных отчётах. -- WBR, Andrey V. Elsukov
Re: [freebsd] некорректный ребут
On 02.09.2011 5:57, Victor Sudakov wrote: > Коллеги, > > Какой есть кошерный способ определить, что система была некорректно > выключена (нажат ресет)? Мне что-то не приходит в голову ничего лучше > > grep "was not properly dismounted" /var/run/dmesg.boot Посмотрите в вывод last(1). -- WBR, Andrey V. Elsukov
Re: [freebsd] Падает bind 9.6 freebsd8.2 sparc64
On 11.07.2011 9:43, Ключников А.С. wrote: > Всем привет! > > Решил задействовать свободные машины sunfire v210. > Оказалось что на них падает бинд. > Пересобрал мир как была новость об исправления в бинде, проблема не ушла. > > Куда копать? Читайте freebsd-current июнь/июль, тема: "named crashes on assertion in rbtdb.c on sparc64/SMP" -- WBR, Andrey V. Elsukov signature.asc Description: OpenPGP digital signature
Re: [freebsd] Проблема: interrupt 40-60%
On 28.06.2011 16:05, Vladislav V. Prodan wrote: > 28.06.2011 14:57, Vasiliy P. Melnik пишет: >> странно вы все-таки выбираете - то пререлиз, то каррент. Это ж продакшин - >> тут релизами надо пользоваться. > Нормальная тактика. > На тот момент CURRENT был PRERELEASE. http://www.freebsd.org/doc/ru/books/handbook/current-stable.html Вообще, интересно, как вы обновились до 8.2-CURRENT, если сейчас существует только 9.0-CURRENT и то, буквально через месяц он станет 10.0-CURRENT? -- WBR, Andrey V. Elsukov signature.asc Description: OpenPGP digital signature
