Хочу второй AD-DC разместить в другой подсети. В общем всё работает, за исключением DNS. Ввёл виндозную машину в домен, поставил RSAT. При запуске машины в 21-ом влане, -> она видит DNS <- своей сети, но не видит DNS 22-го влана. При смене бриджа машины (всё на kvm в пределах одной железки) -> она видит <- уже другой DNS, из другого влана, в которой она находится.
Конфиг named.conf.options велит обрабатывать запросы и 21-го влана и 22-го. Сетевое взаимодействие между ними есть. Банально пинги между сетями ходят.

cat /etc/network/interfaces - первого AD
auto enp1s0
iface enp1s0 inet static
	address 172.16.22.101
	netmask 255.255.255.0
	gateway 172.16.22.1
	dns-nameservers 172.16.22.101,172.16.21.102

cat /etc/network/interfaces - второго AD
auto enp1s0
iface enp1s0 inet static
	address 172.16.21.102
	netmask 255.255.255.0
	gateway 172.16.21.1
	dns-nameservers 172.16.21.102,172.16.22.101

cat /etc/resolv.conf - первого AD
nameserver	172.16.22.101
nameserver	172.16.21.102
search		мой.домен

cat /etc/resolv.conf - второго AD
nameserver	172.16.21.102
nameserver	172.16.22.101
search		мой.домен

Проверки записей на AD-DC-1 выдают следующее:

host -t A ad-dc-2.мой.домен возвращает ad-dc-2.мой.домен has address 172.16.21.102
------------------------------
ldbsearch -H /var/lib/samba/private/sam.ldb '(invocationId=*)' --cross-ncs objectguid
# record 1
dn: CN=NTDS Settings,CN=AD-DC-1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=мой,DC=домен
objectGUID: 2583d372-0ea8-4fed-915d-f8bbc1f51d6a

# record 2
dn: CN=NTDS Settings,CN=AD-DC-2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=мой,DC=домен
objectGUID: c57df755-06df-436f-8dfd-6baf8bd719f7

# returned 2 records
# 2 entries
# 0 referrals
------------------------------
host -t CNAME c57df755-06df-436f-8dfd-6baf8bd719f7._msdcs.мой.домен.
c57df755-06df-436f-8dfd-6baf8bd719f7._msdcs.мой.домен is an alias for AD-DC-2.мой.домен.

Аналогичные проверки проходит и AD-DC-2

Почему из одной сети невиден DNS другой сети…?

Добрых суток!

ОС - Debian-12.5.0-i386-netinst.iso обратите внимание что ОСЬ x86
Установлен и настроен почтовый сервер -> по этому <- и -> этому <- мануалу
Настроены все DNS записи. При отправке письма с почтовых клиентов (протестены thunderbird и outГлюк), mail тестер даёт оценку 10/10.
Ставлю web-морду кубика, авторизируюсь, папки синхронятся с сервером, входящая почта идёт, но при попытке отправить письмо, моментально даёт ошибку SMTP ошибка(): Ошибка авторизации.
Если с почтовых клиентов почта ходит нормально, то думаю нет смысла выкладывать конфиги постфикса и довекота, а вот -> конфиг кубика <- прикладываю.
mail.log при попытке отправить письмо с web-морды
выхлоп dig -x ip.адрес.почтового.сервера
Подскажите ЧЯДНТ…?!?

При назревающей лютости РКН, задумался о смене реализации VPN как корпоративного на работе (филиалы + любители «поболеть» и работать из дома), так и личного (для супруги, шоб инстушка была). На данный момент пыхтит OpenVPN. Уж больно он мне полюбился за простоту, гибкость и т.д. Погуглив и сравнив реализации, я остановил свой выбор на OpenConnect. Установил, настроил (auth = сертификаты, не хочу логин/пароль), пощупал, в общем он мне «зашёл», но…
При аутентификации по логину и паролю, есть возможность отключить (не удалять) пользователя командой ocpasswd -c --файл с юзерами-- -l юзер, а при аутентификации по сертам, я такого не нашёл. Ещё у OpenVPN есть OpenVPN monitor - live-time мониторинг с географической картой. Есть ли подобное у OpenConnect либо завернуть мониторинг количества пользователей онлайн в прометей? Может кто поделится опытом использования?

Пролог

( читать дальше... )

У меня почтовик - это postfix+dovecot (естественно со всеми необходимыми DNS записями) без всяких проверок на спам и вирусы. От спама у меня blacklist, куда ручками забиты порядка сотни «левых» доменов. Вопрос: - Как сказать постфиксу, что при получении письма надо проверять значение X-Mailer (адрес источника не скрываю) и если в нём присутствует gophish, эти письма отклонять?

В наличии asterisk на механизме realtime, транк без регистрации от ростелекома с данными для подключения, а именно: их IP, протокол, предпочитаемые кодеки и CallerID. С минимальными настройками в pjsip_wizard транк поднимается

[trunk]
type=wizard
remote_hosts=1.2.3.4
transport=transport-udp
endpoint/context=in-trunk
endpoint/allow=!all,alaw
endpoint/from_user=4954954954
endpoint/from_domain=1.2.3.4
aor/qualify_frequency=60

Весь интернет кишит статьями как завести транк с регистрацией что в wizard, что в pjsip, но не могу понять как его прописать в pjsip.conf

P.S> Когда транк в визарде поднимается, в CLI выскакивает строчка что транк ричебл, а в sngrep’e ничего не появляется. Странно, почему?

В наличии HP ProLiant DL360 G5 в основном для тестов. Решил развернуть на нём виртуализацию на Debian 12. В общем гостевая ОСь жрёт практически все ресурсы сервера и жёстко тормозит, неважно будь то Win либо Lin. Вот конфиг Win8.1, дал ей 16 Гб ОЗУ и 8 ядер CPU. Тип HDD и сети - virtio. Вот скрин с самого гипервизора (сервера) когда в гостевой ОСи просто открываешь проводник. Что происходит? Это баги на свеженьком дистре дебиана…? На предыдущем релизе виртуализация крутилась отлично

Имеется в наличии старый (но не бесполезный) HP ProLiant DL360 G5. Решил пусть послужит ещё. Развернул Debian 12, накатил libvirt+qemu. Решил агрегировать 2 существующие карточки и навесить бридж. Всё взлетело, но не уверен правильно ли я сделал. Господа сетевых дел мастера, подскажите…=)

auto lo
iface lo inet loopback

auto bond0
iface bond0 inet manual
slaves enp3s0 enp5s0
bond-mode balance-rr
bond-miimon 100
bond-downdelay 200
bond-updelay 200

auto br0
iface br0 inet dhcp
bridge_ports bond0

    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: enp3s0: <BROADCAST,MULTICAST,SLAVE,UP,LOWER_UP> mtu 1500 qdisc mq master bond0 state UP group default qlen 1000
    link/ether 00:1b:78:e4:82:38 brd ff:ff:ff:ff:ff:ff
3: enp5s0: <NO-CARRIER,BROADCAST,MULTICAST,SLAVE,UP> mtu 1500 qdisc mq master bond0 state DOWN group default qlen 1000
    link/ether 00:1b:78:e4:82:38 brd ff:ff:ff:ff:ff:ff permaddr 00:1b:78:e4:82:30
4: bond0: <BROADCAST,MULTICAST,MASTER,UP,LOWER_UP> mtu 1500 qdisc noqueue master br0 state UP group default qlen 1000
    link/ether 00:1b:78:e4:82:38 brd ff:ff:ff:ff:ff:ff
5: br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 26:cb:3e:76:b3:b9 brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.200/24 brd 192.168.0.255 scope global dynamic br0
       valid_lft 323sec preferred_lft 323sec
    inet6 fe80::24cb:3eff:fe76:b3b9/64 scope link 
       valid_lft forever preferred_lft forever
6: vnet0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master br0 state UNKNOWN group default qlen 1000
    link/ether fe:54:00:0f:1d:69 brd ff:ff:ff:ff:ff:ff
    inet6 fe80::fc54:ff:fe0f:1d69/64 scope link 
       valid_lft forever preferred_lft forever

Когда-то давно было желание освоить и применить на практике asterisk realtime. Вооружившись книгой Asterisk - Полное руководство и так как chan_sip уже deprecated, начал щупать библиотеку pjsip. В принципе разобрался, внутренние эндпоинты взлетели и разговаривают друг с другом. Проблема в транке от провайдера, а точнее как его правильно прописать, чтоб он заработал. Если прописать его в pjsip_wizard.conf, то pjsip show endpoints, aors и idetify видит транк, но хочу завести его ручками в pjsip.conf дабы понять как это все работает. При попытке cконвертировать sip.conf питоновским скриптом из дистрибутива aster’a, на выходе получился такой файл, но с такими параметрами регистрация не проходит. В сети куча манов как зарегистрировать по user/pass, но практически ничего нет по IP адресу. Может кто укажет на правильное решение…

После того, как яндекс изъявил желание стать платным для корп клиентов, с нашей стороны было изъявлено желание развернуть свой почтовый сервер. Что сопсна на новогодних и было сделано. ПО - postfix+dovecot. Из web-интерфейса старый-добрый кубик (RoundCube) на nginx v.1.18, php v.7.4.33.
Результат проверки mail-tester показывает 10/10. Helocheck говорит что host mail.abuseat.org[54.93.50.35] said: 550 *** The HELO for IP address (IP нашего почтовика) was ‘mail.наш.домен’ (valid syntax) *** (in reply to RCPT TO command).
Все письма доставляются всем, за исключением:

1. gmail, туда они попадают в спам, но доходят
2. Почтовый сервер, где «прикручен» antispam.lotte.net, который возвращает 554 refused to talk to me.
3. И почтовый сервер, у которого антиспам spamhaus. Там ребята выкладывают лог, что значение HELO нифига не наше, а вообще какие-то левые, буржуйские домены. Либо предлагают закрыть 25 порт, но тогда входящая почта встаёт колом.

В логах почта ходит нормально и ничего подозрительного нет. Единственное что основной наш домен, на котором крутится сайт example.com на IP 11.11.11.11, а почтовый сервер mail.example.com на IP 22.22.22.22, но соответствующая запись example.com MX на mail.example.com сделана.
Конфиг postfix’a
Конфиг Dovecot’a
iptables вдруг пригодится
Я не совсем понимаю куда ещё посмотреть. Где и что не так работает.

По-тихой осваивая PJSIP RealTime, а также маршрутизацию звонков, намедни добавил IVR с приятным голосом ИИ, где тётенька в рабочее время говорит куда Вы позвонили, если знаете вн. номер сотрудника, бла-бла-бла…, а в нерабочее та же тётенька отправляет звонок на круглосуточную охрану.
На кануне НГ пришла идея в IVR добавить ещё один экстеншн, который должен будет работать с 31 дек по 8 янв. Всё сделал, но усомнился отработает ли он правильно с такой конфигурацией или же 31 декабря астер прочитает первый инклюд и сработает экстн daytime, вместо newYear1…?

include => daytime,9:00-18:00,mon-fri,*,*
include => nighttime,18:00-9:00,mon-fri,*,*
include => weekends,*,sat-sun,*,*
include => newYear1,*,*,31,dec
include => newYear2,*,*,1-8,jan

Решил пощупать ceph. Посмотрев мануалы в сети пришёл к выводу что при установке, лучше всего будет обратиться к официальной документации, так как некоторые инструменты уже deprecated. Ставлю cephadm curl’ом. На следующем шаге, при попытке развернуть кластер cephadm bootstrap --mon-ip 192.168.122.100 cephadm создаёт/копирует, тянет контейнер и т.п., выхлоп на pastebin. По итогу ошибка, в которой сказано что контейнер ceph’а, при добавлении node1, не может до неё достучаться, с которой сопсна и идёт установка. Может кто подскажет что не так…?

P.S. Прошу помочь с решением проблемы, а не закидывать тухлыми помидорами и кричать что ceph плохой. На эту тему есть видео, где чел рассказывать про те моменты, которые необходимо учесть, при use ceph в проде.

Как и подавляющее большинство дилетантов, нахватавшихся верхушек по мануалом из сети, развернув на предприятии какие-то сервисы, я продолжаю углубляться в тонкости работы своего творения. Читая книгу «Asterisk. Полное руководство, 5-ое издание» хочу процитировать отрывок из 5-ой главы

Во-первых, вы не должны назначать своим телефонам добавочный номер; вместо этого создайте систему так, чтобы добавочный номер был назначен пользователю, а затем назначьте телефон или другие ресурсы этому пользователю. Сами телефоны должны быть названы в соответствии с чем-то уникальным для них, таким как MAC-адрес или имя компьютера. В гибкой АТС следующего поколения необходимо абстрагировать понятия пользователей, добавочных номеров и телефонов чтобы обеспечить максимальную гибкость и простоту управления.

Штурмуя сеть на предмет инструкций по настройке IP-телефонии, ни где не встречаю этого. В основном везде именуют аппараты по добавочному номеру. Вопрос к VoIP-красноглазикам (к которым начинаю себя относить), почему админы игнорируют вышеупомянутую рекомендацию и упорото упёрто именуют аппараты по добавочному номеру…?

Есть файловый сервер на Samba с интеграцией в AD. В секции global следующие параметры:

domain master = No
load printers = No
local master = No
log file = /var/log/samba/samba.log
preferred master = No
printcap name = /etc/printcap
realm = путь будет example.loc
restrict anonymous = 2
security = ADS
winbind enum groups = Yes
winbind enum users = Yes
winbind offline logon = Yes
winbind refresh tickets = Yes
winbind separator = ^
winbind use default domain = Yes
workgroup = Путь есть example
recycle:directory_mode = 2770
recycle:exclude = ~$* *.tmp *.TMP *.temp *.bak *.log .DS_Store
recylce:excludedir = tmp temp public
recycle:touch = yes
recycle:versions = yes
recycle:keeptree = yes
recycle:repository = /Data/.recycle/
idmap config * : range = 10000-99999
idmap config * : backend = tdb
vfs objects = recycle

С параметром recycle:keeptree = yes, при удалении файла, воссазадётся весь путь удалённого файла. Руководствуясь ману самбы, с добавлением параметра recycle:directory_mode = 2770 у всего пути должны быть полные права у группы и владельца (по умолчанию эта маска равна 0700). Рестартуем демона самбы, заходим под юзером домена, удаляем файл, проверяем права и ничего не можем понять. У пользователя 7, у группы 5, у остальных 0. Соответственно параметр recycle:directory_mode не особо-то и работает.

Обратил внимание на одно из платёжных поручений во вложении любимого почтового клиента. Оно было не заполнено. Позвонив «на ту сторону» и спросив почему они шлют пустые ПП, на меня посмотрели как на дурачка. Усомнившись, я открыл вложение PDF через evince и был удивлён. Данные в ПП были на своих местах! Перерыв настройки тандера, ничего про вложения не нашёл, за исключением открывать их в другой программе. Может кто подскажет что не так с PDF’ами в тандере…?
-> Скрин как всё это выглядит <-

Перемещено hobbit из general

2 дня гугления не увенчались успехом. Хочу анонимности на любимом дистре, но не работает. Ставлю tor

cat /etc/tor/torrc 
User tor
Log notice syslog
DataDirectory /var/lib/tor
AutomapHostsOnResolve 1
DNSPort 53530
TransPort 9040

Следом ставлю torsocks и proxychains. В конфиге последнего пакета меняю статик на динамик и в конце добавляю строку socks5 127.0.0.1 9050 запускаю firefox через proxychaints и нифига. При попытке соединиться с узлом, в консоли выдаёт <--socket error or timeout! В journalctl вижу Rejecting SOCKS request for anonymous connection to private address [scrubbed].
Начал грешить на провайдера, но попробовал вышеописанные действия сделать на убунтоводном дистрибутиве, всё взлетело!
Прошу великих гуру тора, сетевых инженеров, да и просто более компетентных людей ткнуть меня носом в три конфига (proxychains, torrc и torsocks) что скорее всего очевидно, для решения проблемы и наконец-то пустить меня анонимно в просторы интернета…=)

С нуля настроен голый астер. В extensions.conf при таком раскладе

;Звонок в мир
exten => _XXX.,1,Dial(SIP/${EXTEN}@rtk)
;exten => _8[4-89][12-6-890]XXXXXXXX,1,GoSub(recording,s,1,(${CALLERID(num)},${EXTEN}))
;exten => _8[4-89][12-6-890]XXXXXXXX,n,Dial(SIP/${EXTEN}@rtk)
;exten => _NXXXXXX,n,Dial(SIP/${EXTEN}@rtk)

естественно можно звонить вся и всюду, но правильнее будет ограничить звонки по маске. Поэтому, тот же самый код

;Звонок в мир
;exten => _XXX.,1,Dial(SIP/${EXTEN}@rtk)
exten => _8[4-89][12-6-890]XXXXXXXX,1,GoSub(recording,s,1,(${CALLERID(num)},${EXTEN}))
exten => _8[4-89][12-6-890]XXXXXXXX,n,Dial(SIP/${EXTEN}@rtk)
exten => _NXXXXXX,n,Dial(SIP/${EXTEN}@rtk)

работает, но звонок не идёт с короткого номера, который указан последним.
Код города - 3 цифры, номера начинаются на 2, sip-провайдер (ростелеком) бьёт себя пяткой в грудь, что всё должно работать. Но что не так я написал в экстеншене…?

Тут от прошлого админа достался proxmox с двумя нодами, буквально через пару дней было отключение света, ну в общем после загрузки одна нода лежит времени нет на чтение, может кто подскажет как исправить (восстановить) состояние.

Пригласили на аутсорс в одно «ООО», в которой работы - конь не валялся. Там такой примитив, просто прошлый век. Так к чему это всё я…
Хочу сперва развернуть домен, с выбором ОСи склонен естественно к linux. Про AD-DC есть кучу статей. Самая актуальная и довольно-таки насыщенная у adminguide. Хотелось бы спросить, а есть тут те, кто пустил в продакшн AD-DC со всеми плюшками и на сегодняшний день всё крутится-вертится нормально…?

Стенд:
OS - Centos 7
PHP - 8.0.10
СУБД - MariaDB 10.6
Nextcloud - 22.1.1

На заключительном этапе (создание админской УЗ, ввод данных для подключения к БД) вываливается ошибка. Гугл говорит что nextcloud не хочет писать таблицы в сжатом формате. Такое появилось в марии 10.5. Решение - отключить сжатие. Пишут как это сделать в основном в докере. Запустить контейнер с ключом --skip-innodb-read-only-compressed, а у меня виртуализация. В связи с недостаточной компетенцией в настройке вышеупомянутой СУБД, прошу помощи великих оракулов. Где отключить компрессию…?

На работе, по указу президиума вышестоящих, было решено импортозаместиться. Необходимо в сжатые сроки перевести АРМ’ы на изуродованный опенсорсный дистрибутив с громким названием Astra linux! Проблема в том, что АРМ’ов по бёдра, а если быть точнее 316 штук. Естессно будут наняты аутсорсы в помощь, но для них необходимо подготовить дистр с закостыленными в него банк-клиентами, СКЗИ, специфическим софтом и т.д. Также нужно минимизировать со стороны аутсорса кликанье мыши, то есть подготовить некий kickstart, чтоб максимум что они сделали после запуска установки - это ввели имя компа. Возможно автоматизировать ввод в домен, на этапе установки. На выходе должен получиться live-usb-astra-мать-её-за-ногу.iso Никогда не собирал образы, поэтому молю о подсказке. Поделитесь опытом кто как собирал подобное, а дальше я уж сам…