LINUX.ORG.RU
решено ФорумAdmin

Установка Zscaler убила сеть

 , , zscaler


0

1

По работе поставил на домашнюю машину клиент Zscaler. Запустил его конфигуратор, который заругался на отсутствие systemctl(?) и чего-то debconf. После этого начались проблемы с сетью: уже открытые сайты работали, но новые не открываются, и ничего не пингуется. Админ предложил снести Zscaler и перезагрузиться — не помогло.

Ping, как выяснилось, работает только по IP и под рутом. Доменные имена не ресолвятся. Gentoo с OpenRC.

В чём проблема, как исправить?

Дополнение 1:

DNS отвалилось из-за замены /etc/resolv.conf на симлинк на /run/systemd/resolve/stub-resolv.conf. Восстановил из резервной копии.

Ошибка, которую выдаёт пинг без рута:

$ LC_ALL='C' ping 8.8.8.8
ping: socktype: SOCK_RAW
ping: socket: Operation not permitted
ping: => missing cap_net_raw+p capability or setuid?

Если добавить setcap CAP_NET_RAW+p /usr/bin/ping и даже setcap CAP_NET_RAW+i /usr/bin/ping или setcap CAP_NET_RAW+e /usr/bin/ping, как советуют на некоторых форумах, это не помогает.

Дополнение 2:
ping заработал после переустановки net-misc/iputils.

Дополнение 3:
За неделю новых проблем не появилось.

★★★★★

Последнее исправление: question4 (всего исправлений: 4)

В чём проблема

В запуске какой-то непонятной херни с привилегиями.

как исправить?

Искать документацию херни и откатывать хотя бы те действия конфигуратора, которые документированы.

anonymous
()
Ответ на: комментарий от rupert

Я не знаю, что за хрень этот zscaler, но у тебя наверняка resolv.conf поломан.

Именно! Спасибо.

Инсталлятор его сменил на линк на /run/systemd/resolve/stub-resolv.conf Хорошо, хоть забэкапил.

Браузеры работают, ping — нет.

question4 ★★★★★
() автор топика

Писал в другой теме про «пожилых родственников, которых хлебом не корми, но дай убить систему» и что «хорошо, что есть неубиваемые дистры (Immutable)», Immutable-дистрибутивы, что это такое, и с чем это едят? (комментарий).

А тут вон, оказывается, и пятизвездочные горазды ломать. :) Шучу.

krasnh ★★★
()
Последнее исправление: krasnh (всего исправлений: 1)

По работе поставил на домашнюю машину клиент Zscaler.

Извините, но не могу не спросить: Вы все, что вам «по работе» предлагают «в рот тяните»? Реально извините.
Давно же придумали всякие ВМ и другие контейнеры для «непознанного». Зачем на хостовую систему всякую непознанную фигню ставить?

anc ★★★★★
()
Ответ на: комментарий от anc

Извините, но не могу не спросить: Вы все, что вам «по работе» предлагают «в рот тяните»? Реально извините. Давно же придумали всякие ВМ и другие контейнеры для «непознанного». Зачем на хостовую систему всякую непознанную фигню ставить?

За 15 лет проблем не было. На Убунтах у 2 сотрудников этот Zscaler нормально работает.

question4 ★★★★★
() автор топика
Ответ на: комментарий от question4

Почему-то установка того же через setcap не помогала.

Я не особо вникал почему так происходит, но если сделать setcap cap_net_raw+e /usr/bin/ping, как ты делал, то нужные биты наоборот, сбрасываются. Нужно либо делать +ep, то есть ставить биты сразу в двух множествах, либо сбрасывать всё и устанавливать нужные заново: =ep.

DNS отвалилось из-за замены /etc/resolv.conf на симлинк на /run/systemd/resolve/stub-resolv.conf. Восстановил из резервной копии.

У тебя какая-то особая конфигурация, где resolv.conf заполнен вручную? Обычно его какой-нибудь демон обновляет, или какие-нибудь скрипты, при подключении к сетям.

i-rinat ★★★★★
()
Последнее исправление: i-rinat (всего исправлений: 1)
Ответ на: комментарий от pekmop1024

Основанные на стандартах. Даже тот же AnyConnect и то выглядит очень предпочтительнее, ибо обычный SSL VPN.

Как насчёт OpenVPN?

Лично мне, как пользователю, удобнее openvpn или openconnect, с которыми и я, и админы уже освоились. Но головной офис захотел Zscaler.

question4 ★★★★★
() автор топика
Ответ на: комментарий от i-rinat

У тебя какая-то особая конфигурация, где resolv.conf заполнен вручную? Обычно его какой-нибудь демон обновляет, или какие-нибудь скрипты, при подключении к сетям.

Так давно его правил, что не помню уже. Есть 2 файла resolv.conf.head и resolv.conf.tail, датированные 2012 и 2013 годами, и есть resolv.conf с комментарием «# Generated by dhcpcd from eth0.dhcp». Видимо, демон не смог его пересоздать при перезагрузке, так как на его месте Zscaler создал симлинк в /run/….

question4 ★★★★★
() автор топика
Ответ на: комментарий от question4

А вот головная контора - она в России? Если так, у неё голова еще не отвалилась от того, что Zscaler - компания американская, из Калифорнии, и ей торговать с Россией нельзя?

pekmop1024 ★★★★★
()
Ответ на: комментарий от question4

За 15 лет проблем не было.

Перечитал заголовок «Установка Zscaler убила сеть».

На Убунтах у 2 сотрудников этот Zscaler нормально работает.

Большая статистика.

anc ★★★★★
()
Admin