Сообщения petav

Ipsec = Mikrotik+Racoon

Форум — Admin

Дано:
Racoon (Главный 1)

внешний IP 1.1.1.1
внутренняя сеть 11.11.11.11

Mikrotik

внешний IP 2.2.2.2
внутренняя сеть 22.22.22.22

Задача:
Объеденить сети 11.11.11.11 и 22.22.22.22 IpSec

Решение:
Конфигурация Mikrotik

[admin@MikroTik] /ip ipsec policy> print
 1     src-address=22.22.22.0/24
       src-port=any
       dst-address=11.11.11.0/24 
       dst-port=any
       protocol=ipsec-esp
       action=encrypt 
       level=require
       ipsec-protocols=esp
       tunnel=yes 
       sa-src-address=2.2.2.2
       sa-dst-address=1.1.1.1
       proposal=racoon
       priority=0

[admin@MikroTik] /ip ipsec proposal> print
 1    name="racoon"
      auth-algorithms=sha1
      enc-algorithms=blowfish
      lifetime=1d
      pfs-group=modp614

[admin@MikroTik] /ip ipsec peer> print
 0    address=1.1.1.1/32
      local-address=2.2.2.2
      passive=no
      port=500
      auth-method=pre-shared-key
      secret="pass123"
      generate-policy=port-override 
      policy-template-group=default
      exchange-mode=main
      send-initial-contact=yes
      nat-traversal=yes
      proposal-check=obey
      hash-algorithm=sha1
      enc-algorithm=blowfish
      dh-group=modp6144 
      lifetime=1d
      lifebytes=0
      dpd-interval=2m
      dpd-maximum-failures=5

[admin@MikroTik] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic 
 0  D ;;; special dummy rule to show fasttrack counters
      chain=forward action=passthrough 

 1    chain=input action=accept src-address=1.1.1.1 log=no 

 2    chain=output action=accept dst-address=1.1.1.1 log=no 
....

Конфигурация Racoon

# cat /etc/racoon/mikrotik.conf
remote 2.2.2.2 {
        #my_identifier address 1.1.1.1;
        exchange_mode main;
        lifetime time 86400 sec;
        proposal_check obey;
        initial_contact on;
        proposal {
                encryption_algorithm blowfish;
                hash_algorithm sha1;
                authentication_method pre_shared_key;
                dh_group modp6144;
        }
        generate_policy on;
        nat_traversal on;
        dpd_delay 120;
        dpd_maxfail 5;

}

sainfo address 11.11.11.0/24 any address 22.22.22.0/24 any {
        pfs_group modp6144;
        encryption_algorithm blowfish;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate;
        lifetime time 86400 sec;
}

#cat /etc/ipsec-tools.d/microtik.conf
flush;
spdflush;

spdadd 11.11.11.0/24 22.22.22.0/24 any -P out ipsec esp/tunnel/1.1.1.-2.2.2.2/require;
spdadd 22.22.22.0/24 11.11.11.0/24 any -P in ipsec esp/tunnel/2.2.2.2-1.1.1.1/require;

# cat /etc/racoon/psk/txt
# mikrotik
2.2.2.2 pass123

# iptables-save |grep 2.2.2.2
-A INPUT -s 2.2.2.2/32 -i ppp0 -p udp -m udp -j ACCEPT

Проблема

Ошибка в Racoon

...
Oct  1 12:51:43 racoon racoon: WARNING: the packet retransmitted in a short time from 2.2.2.2[500]
...
Oct  1 12:51:43 racoon racoon: NOTIFY: the packet is retransmitted by 2.2.2.2[500] (1).
...

Ошибки в Mikrotik нет. В фаерволе что-то конкретно открыть надо?

ipsec, mikrotik, racoon

petav
(01.10.17 13:11:39 MSK)

16 комментариев

apache2 proxy recursion

Форум — Admin

После установки веб-приложение создало конфиг apache и стало доступно по http://0.0.0.0/egroupware

# cat /etc/apache2/sites-enabled/egroupware.conf
# Apache and PHP configuration for EGroupware
#
# Many settings are required to have a # certain value for eGroupWare
# to function reasonably, so only change something if you are sure.

# this makes EGroupware available for all vhosts
Alias /egroupware /usr/share/egroupware

# Enable ActiveSync protocol support via eSync app
Alias /Microsoft-Server-ActiveSync /usr/share/egroupware/activesync/index.php

RedirectMatch ^/.well-known/(caldav|carddav)$ /egroupware/groupdav.php/
# iOS 4.3+ calendar requires that to autodetect accounts
RedirectMatch ^(/principals/users/.*)$ /egroupware/groupdav.php$1

<Directory /usr/share/egroupware/>
  Options FollowSymLinks ExecCGI
  AllowOverride None
  <IfModule !mod_authz_core.c>
    # Apache 2.4
    Order allow,deny
    Allow from all
  </IfModule>
  <IfModule mod_authz_core.c>
    # Apache 2.4
    Require all granted
  </IfModule>
  DirectoryIndex index.html index.php
  AddHandler cgi-script .cgi
  AddDefaultCharset Off
  php_flag file_uploads on
  php_flag log_errors on
  php_flag magic_quotes_gpc off
  php_flag magic_quotes_runtime off
  php_flag register_globals off
  php_flag short_open_tag on
  php_flag track_vars on
  php_flag display_errors off
  # E_ALL & ~E_NOTICE & ~E_STRICT = 8191 - 8 - 2048 = 6135
  php_value error_reporting 6135
  php_value max_execution_time 90
  php_admin_value mbstring.func_overload 0
  php_value memory_limit 128M
  php_value include_path .
  php_admin_value open_basedir /usr/share/egroupware:/var/lib/egroupware:/tmp:/usr/bin
  php_value upload_max_filesize 64M
  php_admin_value upload_tmp_dir /tmp
  php_value post_max_size 65M
  php_value max_input_vars 3000
  php_admin_value session.gc_maxlifetime 14400
  <Files ~ "\.inc\.php$">
    <IfModule !mod_authz_core.c>
      # Apache 2.4
      Order allow,deny
      Deny from all
    </IfModule>
    <IfModule mod_authz_core.c>
     # Apache 2.4
     Require all denied
    </IfModule>
  </Files>
  # Enable the following block in order to redirect logins to HTTPS:
  #RewriteEngine On
  #RewriteCond %{HTTPS} !^on$
  #RewriteCond %{SCRIPT_FILENAME} login\.php [OR]
  #RewriteCond %{AUTH_TYPE} Basic [NC]
  #RewriteRule .* https://%{HTTP_HOST}/%{REQUEST_URI} [L,R]
</Directory>

# Enable the following block in order to redirect setup activities to HTTPS:
#<Directory /usr/share/egroupware/setup/>
#  RewriteEngine On
#  RewriteCond %{HTTPS} !^on$
#  RewriteRule .* https://%{HTTP_HOST}/%{REQUEST_URI} [L,R]
#</Directory>

Требуется сделать приложение доступным по DNS, причем приведенный конфиг нельзя править.

Создал VirtualHost

<VirtualHost *:80>
        ServerAdmin admin@example.com
        ServerName egw.example.local
        ServerAlias egw.example.com

        ProxyRequests Off
        ProxyPreserveHost On
        ProxyVia full

        <proxy *>
            Order deny,allow
            Allow from all
        </proxy>

        ProxyPass / http://localhost:80/egroupware/
        ProxyPassReverse / http://localhost:80/egroupware/

</VirtualHost>

На такое в логеapache2/errror.log возмущение:

Sat Sep 30 23:44:55.597849 2017] [proxy_http:error] [pid 21618] (20014)Internal error (specific information not available): [client ::1:53400] AH01102: error reading status line from remote server localhost:80
[Sat Sep 30 23:44:55.597922 2017] [proxy:error] [pid 21618] [client ::1:53400] AH00898: Error reading from remote server returned by /egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/egroupware/

apache2, proxy

petav
(30.09.17 23:50:30 MSK)

5 комментариев

Web клиент XMPP выбор

Форум — Admin

Используем psi+: комнаты для общения по темам. Нужен аналог, но что бы через http://psi.example.ru работало на своем сервере.

web, xmpp

petav
(27.09.17 12:59:07 MSK)

7 комментариев

namespace dovecot

Форум — Admin

Когда-да давно было сделано так /etc/dovecot/dovecot.conf

namespace {
  inbox = yes
  location =
  prefix = INBOX.
  separator = .
}

Структура хранения организовалась так /home/vmail/example.ru/user

# ls -a1
.
..
cur
dovecot.index
dovecot.index.cache
dovecot.index.log
dovecot.index.thread
dovecot-keywords
dovecot.mailbox.log
dovecot-uidlist
dovecot-uidvalidity
dovecot-uidvalidity.554a6335
.Drafts
.Junk
new
.Outbox
.Sent
subscriptions
.Templates
tmp
.Trash

Некоторые клиенты ждут что папка «Outbox» будет на верхнем уровне и не дают это переопределить на «INBOX.Outbox».

Что поправить в /etc/dovecot/dovecot.conf?
Понимаю, что после перезапуска dovecot ораганизует(создаст) папки по новому и достаточно будет скопировать?

dovecot, namespace

petav
(25.09.17 17:09:53 MSK)

2 комментария

Egroupware filemanager external smb

Форум — Admin

Поделитесь личным how-to как подмонтировать в «Домашний каталог» filemanager EGW внешний smb каталог. Чтение VFS System и эксперименты не приводит к результату.

egroupware, filemanager, samba

petav
(22.09.17 15:54:15 MSK)

1 комментарий

Synergy между Debian 9 и Windows 7

Форум — Admin

Имеется:

слева Debian 9 (два экрана)
справа Windows 7 (два экрана)

Задача объеденить их для управления с одной клавиатура+мышь! alozovskoy прошу подсказку. В репозитории wheezy пакет имеется synergy (1.3.8-2). Что использовать для Windows 7? Отсюда можно брать?

synergy

petav
(19.09.17 11:28:14 MSK)

2 комментария

Решить задачу «XRDP Русская раскладка»

Форум — Job

Нужно дожать задачу XRDP Русская раскладка. Предложения стоимости решения на kitslt@kitslt.ru. Вопросы в тему.

debian, layout, ru, xrdp

petav
(08.09.17 17:11:44 MSK)

5 комментариев

Аlready in active block job

Форум — Admin

Сделан был снапшот

virsh snapshot-create-as --domain s2.example.com "s2.example.com-state-20170828" --no-metadata \
        --atomic --disk-only vda

Диск заменился

# virsh domblklist s2.example.com
Target     Source
------------------------------------------------
vda        /volume0/86984-s2.example.com/s2.example.com-state-vda-2017-08-28.155639.gcow2

Тут по оригиналу vda (lvm-том) работал dd но ему kill -9 сделали. После этого попытка commit заканчивается так:

#  virsh blockcommit s2.example.com vda  --active --pivot
error: block copy still active: disk 'vda' already in active block job

Заданий активных нет.

# virsh blockjob s2.mico-tech.com vda  --info
No current block job for vda

# virsh blockjob s2.example.com /volume0/86984-s2.example.com/s2.example.com-state-vda-2017-08-28.155639.gcow2  --info
No current block job for /volume0/86984-s2.example.com/s2.example.com-state-vda-2017-08-28.155639.gcow2

Как полечить?

kvm, snapshot

petav
(28.08.17 16:50:24 MSK)

1 комментарий

ftp в одну строку

Форум — Admin

Есть

ii  ftp                                    0.17-27                            i386         classical file transfer client

Полжить файл «/home/123» на ftp-сервер:

admin:pass@ftp.example.com:21

в папку «/remote/123» одной строкой. Не соображу!

ftp

petav
(28.08.17 14:09:51 MSK)

10 комментариев

Libvirt подключить клавиатуру pc105

Форум — Admin

Подскажите как разметить домен VM для подключения клавиатуры pc105. Сейчас:

...
<input type='tablet' bus='usb'/>
<input type='mouse' bus='ps2'/>
<input type='keyboard' bus='ps2'/>
...

В результате

28: PS/2 00.0: 10800 Keyboard
  [Created at input.226]
  Unique ID: nLyy.+49ps10DtUF
  Hardware Class: keyboard
  Model: "AT Translated Set 2 keyboard"
  Vendor: 0x0001 
  Device: 0x0001 "AT Translated Set 2 keyboard"
  Compatible to: int 0x0211 0x0001
  Device File: /dev/input/event0
  Device Number: char 13:64
  Driver Info #0:
    XkbRules: xfree86
    XkbModel: pc104
  Config Status: cfg=new, avail=yes, need=no, active=unknown

libvirt, клавиатура

petav
(23.08.17 10:34:40 MSK)

XRDP Русская раскладка

Форум — Admin

Здравствуйте!

Прошу совета в ремонте русской раскладки в XRDP

# dpkg -l |grep xrdp
ii  xorgxrdp                              0.9.1-9                                     amd64        Remote Desktop Protocol (RDP) modules for X.org
ii  xrdp                                  0.9.1-9                                     amd64        Remote Desktop Protocol (RDP) server

Key-maps перегенирировал (в запущененной XRDP сессии)

xrdp-genkeymap /tmp/km-00000419.ini

и заменил в папке /etc/xrdp

# ls -l /etc/xrdp |grep 419
-rw-r--r-- 1 root root 14778 авг 22 05:44 km-00000419.ini
-rw-r--r-- 1 root root 11320 май  4 19:59 km-00000419.ini_

Перезапустил xrdp

service xrdp restart

подключился к сесиии XRDP и выполнил

setxkbmap -layout "us,ru(winkeys)" -model "pc105" -option "grp:ctrl_shift_toggle,grp_led:scroll"

Результатат 0. Правда если содержимым km-00000419.ini заполнить файл km-00000409.ini то тогда руский ввод при любой расскаладке, всегда.!Использую

[Xvnc]
name=Xvnc
lib=libvnc.so
username=ask
password=ask
ip=127.0.0.1
port=-1

russian, xrdp

petav
(22.08.17 08:19:38 MSK)

11 комментариев

XRDP подключение к существуеющей сессии

Форум — Admin

Пользователи подключаются к RDP через

[Xvnc]
name=Xvnc
lib=libvnc.so
username=ask
password=ask
ip=127.0.0.1
port=-1

 lsof  -b -w -n -c /^Xvnc$/b -a -iTCP:5900-5999
COMMAND   PID          USER   FD   TYPE  DEVICE SIZE/OFF NODE NAME
Xvnc     1527          user    6u  IPv6 1175406      0t0  TCP [::1]:5935->[::1]:54862 (ESTABLISHED)
Xvnc     1527          user    7u  IPv4 1175403      0t0  TCP 127.0.0.1:5935 (LISTEN)
Xvnc     1527          user    9u  IPv6 1175404      0t0  TCP [::1]:5935 (LISTEN)
Xvnc     8494         user2    7u  IPv4 1086524      0t0  TCP 127.0.0.1:5931 (LISTEN)
Xvnc     8494         user2    9u  IPv6 1086525      0t0  TCP [::1]:5931 (LISTEN)
Xvnc     9156         user3    7u  IPv4 1085333      0t0  TCP 127.0.0.1:5932 (LISTEN)
Xvnc     9156         user3    9u  IPv6 1085334      0t0  TCP [::1]:5932 (LISTEN)
Xvnc    25267         user4    7u  IPv4 1021079      0t0  TCP 127.0.0.1:5925 (LISTEN)
Xvnc    25267         user4    9u  IPv6 1021080      0t0  TCP [::1]:5925 (LISTEN)
Xvnc    31582          user    7u  IPv4 1164173      0t0  TCP 127.0.0.1:5933 (LISTEN)
Xvnc    31582          user    9u  IPv6 1164174      0t0  TCP [::1]:5933 (LISTEN)
Xvnc    32075         user5    7u  IPv4 1158119      0t0  TCP 127.0.0.1:5934 (LISTEN)
Xvnc    32075         user5    9u  IPv6 1158120      0t0  TCP [::1]:5934 (LISTEN)

Для подключения берется следующий порт. Все это привязывается к оборудованию пользователя. И если мы на одной и той же машине будем отключаться/подключатся 110500 раз то все ок, видим свои открытые программы. Но если мы перебежали в соседную комнату то xrdp для нашего нового рабочего места создает новую сессию.

Это особенность или можно бороться!

xrdp

petav
(21.08.17 14:29:13 MSK)

4 комментария

Чем надо шифровать Бэкап?

Форум — Admin

Необходимо зашифровать образы VM (файл dd и xml в архиве) перед отправкой в архив. И надо что бы в системе (гипервизоре) ключей не оставалось. Ключи(пароли) пишутся на флешку и прячуться в сейф. На какую технологию смотреть?

crypt

petav
(21.08.17 12:02:34 MSK)

10 комментариев

Adduser без интерактивности

Форум — Admin

Puppet «Resource Type: user» создает пользователя, но в оболочке GNOME его не видать. Понял, что правильно его создавать через adduser. Но этот adduser очень интерактивный.

Не могу понять, как избавиться от интеркивности в части пароль, фамилия и прочие.

adduser, puppet

petav
(16.08.17 12:10:36 MSK)

5 комментариев

Keymap Closed socket

Форум — Admin

Лог подключения клиента

Aug 14 15:19:08 guacamole guacd[25718]: Protocol "rdp" selected
Aug 14 15:19:08 guacamole guacd[25718]: Connection ID is "$365647c7-03ad-4017-85b9-f5b42e97f911"
Aug 14 15:19:08 guacamole guacd[25718]: No security mode specified. Defaulting to RDP.
Aug 14 15:19:08 guacamole guacd[25718]: Loading keymap "base"
Aug 14 15:19:08 guacamole guacd[25718]: Loading keymap "en-us-qwerty"
Aug 14 15:19:08 guacamole guacd[25718]: Starting client
Aug 14 15:19:08 guacamole kernel: [623643.090478] guacd[25722]: segfault at 7f2594d924f0 ip 00007f2594d924f0 sp 00007f2588effc98 error 15

Лог со строны сервера

Aug 14 15:26:14 s1 xrdp[8949]: (8949)(140432932494144)[INFO ] A connection received from: ::ffff:192.168.206.26 port 44797
Aug 14 15:26:14 s1 xrdp[8949]: (8949)(140432932494144)[DEBUG] Closed socket 12 (AF_INET6 ::ffff:192.168.236.85 port 3389)
Aug 14 15:26:14 s1 xrdp[13914]: (13914)(140432932494144)[DEBUG] Closed socket 11 (AF_INET6 :: port 3389)
Aug 14 15:26:14 s1 xrdp[13914]: (13914)(140432932494144)[INFO ] Using default X.509 certificate: /etc/xrdp/cert.pem
Aug 14 15:26:14 s1 xrdp[13914]: (13914)(140432932494144)[INFO ] Using default X.509 key file: /etc/xrdp/key.pem
Aug 14 15:26:14 s1 xrdp[13914]: (13914)(140432932494144)[DEBUG] Security layer: requested 0, selected 0
Aug 14 15:26:14 s1 xrdp[13914]: (13914)(140432932494144)[DEBUG] xrdp_0000365a_wm_login_mode_event_00000001
Aug 14 15:26:14 s1 xrdp[13914]: (13914)(140432932494144)[INFO ] Loading keymap file /etc/xrdp/km-00000409.ini
Aug 14 15:26:14 s1 xrdp[13914]: (13914)(140432932494144)[WARN ] local keymap file for 0x00000409 found and doesn't match built in keymap, using local keymap file
Aug 14 15:26:14 s1 xrdp[13914]: (13914)(140432932494144)[DEBUG] Closed socket 12 (AF_INET6 ::ffff:192.168.236.85 port 3389)
Aug 14 15:26:14 s1 xrdp[13914]: (13914)(140432932494144)[DEBUG] xrdp_mm_module_cleanup
Aug 14 15:26:14 s1 xrdp[13914]: (13914)(140432932494144)[ERROR] Listening socket is in wrong state, terminating listener

т.е. сервер прекращает общения после того как понмиает что ему не нравится keymap клиента, клиент реагирует на это segfault. Что не так с keymap, как глубже подебажить?

xrdp

petav
(14.08.17 15:30:11 MSK)

2 комментария

Кастомизация Gnome на основе роли пользователя

Форум — Admin

Используется GNOME и xrdp для подключения к нему. У обычных пользователей есть много чего не нужного: Информация о системе, Cписок пользователей, Список приложений и т.п.

Как все централизованно организовать, что убрать и оставить для «Обычный пользователь» только ярлык на 1С, принтеры, и кнопку «Выйти»?

customizing, gnome, xrdp

petav
(13.08.17 15:54:58 MSK)

3 комментария

SSLv3 read client certificate A

Форум — Admin

На запрос агента

puppet agent --verbose --test

puppet сервер выдает

[2017-08-10 14:44:05] ERROR OpenSSL::SSL::SSLError: SSL_accept SYSCALL returned=5 errno=0 state=SSLv3 read client certificate A
        /usr/lib/ruby/vendor_ruby/puppet/network/http/webrick.rb:32:in `accept'
        /usr/lib/ruby/vendor_ruby/puppet/network/http/webrick.rb:32:in `block (2 levels) in listen'
        /usr/lib/ruby/1.9.1/webrick/server.rb:191:in `call'
        /usr/lib/ruby/1.9.1/webrick/server.rb:191:in `block in start_thread'

Только на часть агентов такая реакция. Связи между версиями агентов, ОС не проследил. Помогите интерпретировать ошибку!

puppet

petav
(10.08.17 14:49:28 MSK)

4 комментария

Выбор UPS

Форум — Admin

Задача: Корректно выключать ПК при отключении электроэнергии.

Подскажите бюджетный UPS от 450VA с интерфейсом USB/COM, да что бы Nut его понимал.

nut, ups

petav
(07.08.17 10:58:57 MSK)

21 комментарий

ipsec racoon no suitable proposal found

Форум — Admin

Удаленная железка usg60 186.37.112.232 (за ней сеть 192.168.237.0/24)
не подключается к racoon 19.124.100.5 (за ним сеть 192.168.206.0/24)

/etc/racoon/racoon.conf

log debug;
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";
remote 186.37.112.232 {
        exchange_mode main,aggressive;
        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method pre_shared_key;
                dh_group modp1024;
        }
        generate_policy off;
}

sainfo address 192.168.206.0/24[any] any address 192.168.237.0/24[any] any {
        pfs_group modp768;
        encryption_algorithm 3des;
        authentication_algorithm hmac_md5;
        compression_algorithm deflate;

/etc/ipsec-tools.conf

flush;
spdflush

/etc/racoon/psk.txt

186.37.112.232 345346535467546

Aug  3 13:53:17 debro racoon: DEBUG: ===
Aug  3 13:53:17 debro racoon: DEBUG: 398 bytes message received from 186.37.112.232[500] to 19.124.100.5[500]
Aug  3 13:53:17 debro racoon: DEBUG: #012b4218a9b ed305e7a 00000000 00000000 01100200 00000000 0000018e 0d000038#01200000001 00000001 0000002c 00010001 00000024 00010000 80010001 80020001#01280030001 80040001 800b0001 000c0004 00015180 0d000014 f758f226 8b2b3520#012240880e4 3354895b b963c13a 4b95f58c 461f68a6 2e5ec2a5 46abd94c 95499191#012bb841687 86734168 9ef2c95e fea36d69 85365dd5 3d387684 11efb795 1ab2eb01#01236ea47ee c4975e5a f16a2c26 766eea7a 6693e2eb 27373395 1c5ea48e ad60e5be#012fc4b90bb d00a9c44 3f872706 ae40
Aug  3 13:53:17 debro racoon: DEBUG: ===
Aug  3 13:53:17 debro racoon: INFO: respond new phase 1 negotiation: 19.124.100.5[500]<=>186.37.112.232[500]
Aug  3 13:53:17 debro racoon: INFO: begin Identity Protection mode.
Aug  3 13:53:17 debro racoon: DEBUG: begin.
Aug  3 13:53:17 debro racoon: DEBUG: seen nptype=1(sa)
Aug  3 13:53:17 debro racoon: DEBUG: seen nptype=13(vid)
Aug  3 13:53:17 debro racoon: DEBUG: seen nptype=13(vid)
Aug  3 13:53:17 debro racoon: DEBUG: seen nptype=13(vid)
Aug  3 13:53:17 debro racoon: DEBUG: seen nptype=13(vid)
Aug  3 13:53:17 debro racoon: DEBUG: seen nptype=13(vid)
Aug  3 13:53:17 debro racoon: DEBUG: seen nptype=13(vid)
Aug  3 13:53:17 debro racoon: DEBUG: seen nptype=13(vid)
Aug  3 13:53:17 debro racoon: DEBUG: seen nptype=13(vid)
Aug  3 13:53:17 debro racoon: DEBUG: seen nptype=13(vid)
Aug  3 13:53:17 debro racoon: DEBUG: seen nptype=13(vid)
Aug  3 13:53:17 debro racoon: DEBUG: succeed.
Aug  3 13:53:17 debro racoon: DEBUG: received unknown Vendor ID
Aug  3 13:53:17 debro racoon: DEBUG: #012f758f226 68750f03 b08df6eb e1d00403
Aug  3 13:53:17 debro racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
Aug  3 13:53:17 debro racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02#012
Aug  3 13:53:17 debro racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-03
Aug  3 13:53:17 debro racoon: INFO: received Vendor ID: RFC 3947
Aug  3 13:53:17 debro racoon: INFO: received Vendor ID: DPD
Aug  3 13:53:17 debro racoon: DEBUG: remote supports DPD
Aug  3 13:53:17 debro racoon: DEBUG: received unknown Vendor ID
Aug  3 13:53:17 debro racoon: DEBUG: #012afcad713 68a1f1c9 6b8696fc 7757
Aug  3 13:53:17 debro racoon: DEBUG: received unknown Vendor ID
Aug  3 13:53:17 debro racoon: DEBUG: #012c44fedc7 49f9e6ae 5b04ec96 9cb25d69
Aug  3 13:53:17 debro racoon: DEBUG: received unknown Vendor ID
Aug  3 13:53:17 debro racoon: DEBUG: #012f9196df8 6b812fb0 f68026d8 876dcb7b 00042500
Aug  3 13:53:17 debro racoon: DEBUG: received unknown Vendor ID
Aug  3 13:53:17 debro racoon: DEBUG: #012ac40f8c4 389927c6 e8ac2453 1bb78b2b 35202408 2c26766e#012ea7a6693 e2eb2737 33951c5e a48ead60 e5befc4b 90bbd00a 9c443f87 2706ae40
Aug  3 13:53:17 debro racoon: DEBUG: total SA len=52
Aug  3 13:53:17 debro racoon: DEBUG: #01200000001 00000001 0000002c 00010001 00000024 00010000 80010001 80020001#01280030001 80040001 800b0001 000c0004 00015180
Aug  3 13:53:17 debro racoon: DEBUG: begin.
Aug  3 13:53:17 debro racoon: DEBUG: seen nptype=2(prop)
Aug  3 13:53:17 debro racoon: DEBUG: succeed.
Aug  3 13:53:17 debro racoon: DEBUG: proposal #0 len=44
Aug  3 13:53:17 debro racoon: DEBUG: begin.
Aug  3 13:53:17 debro racoon: DEBUG: seen nptype=3(trns)
Aug  3 13:53:17 debro racoon: DEBUG: succeed.
Aug  3 13:53:17 debro racoon: DEBUG: transform #0 len=36
Aug  3 13:53:17 debro racoon: DEBUG: type=Encryption Algorithm, flag=0x8000, lorv=DES-CBC
Aug  3 13:53:17 debro racoon: DEBUG: encryption(des)
Aug  3 13:53:17 debro racoon: DEBUG: type=Hash Algorithm, flag=0x8000, lorv=MD5
Aug  3 13:53:17 debro racoon: DEBUG: hash(md5)
Aug  3 13:53:17 debro racoon: DEBUG: type=Authentication Method, flag=0x8000, lorv=pre-shared key
Aug  3 13:53:17 debro racoon: DEBUG: type=Group Description, flag=0x8000, lorv=768-bit MODP group
Aug  3 13:53:17 debro racoon: DEBUG: hmac(modp768)
Aug  3 13:53:17 debro racoon: DEBUG: type=Life Type, flag=0x8000, lorv=seconds
Aug  3 13:53:17 debro racoon: DEBUG: type=Life Duration, flag=0x0000, lorv=4
Aug  3 13:53:17 debro racoon: DEBUG: pair 0:
Aug  3 13:53:17 debro racoon: DEBUG:  0x7f149e7919e0: next=(nil) tnext=(nil)
Aug  3 13:53:17 debro racoon: DEBUG: proposal #0: 1 transform
Aug  3 13:53:17 debro racoon: DEBUG: type=Encryption Algorithm, flag=0x8000, lorv=DES-CBC
Aug  3 13:53:17 debro racoon: DEBUG: type=Hash Algorithm, flag=0x8000, lorv=MD5
Aug  3 13:53:17 debro racoon: DEBUG: type=Authentication Method, flag=0x8000, lorv=pre-shared key
Aug  3 13:53:17 debro racoon: DEBUG: type=Group Description, flag=0x8000, lorv=768-bit MODP group
Aug  3 13:53:17 debro racoon: DEBUG: type=Life Type, flag=0x8000, lorv=seconds
Aug  3 13:53:17 debro racoon: DEBUG: type=Life Duration, flag=0x0000, lorv=4
Aug  3 13:53:17 debro racoon: DEBUG: prop#=0, prot-id=ISAKMP, spi-size=0, #trns=1
Aug  3 13:53:17 debro racoon: DEBUG: trns#=0, trns-id=IKE
Aug  3 13:53:17 debro racoon: DEBUG:   lifetime = 86400
Aug  3 13:53:17 debro racoon: DEBUG:   lifebyte = 0
Aug  3 13:53:17 debro racoon: DEBUG:   enctype = DES-CBC
Aug  3 13:53:17 debro racoon: DEBUG:   encklen = 0
Aug  3 13:53:17 debro racoon: DEBUG:   hashtype = MD5
Aug  3 13:53:17 debro racoon: DEBUG:   authmethod = pre-shared key
Aug  3 13:53:17 debro racoon: DEBUG:   dh_group = 768-bit MODP group
Aug  3 13:53:17 debro racoon: ERROR: no suitable proposal found.
Aug  3 13:53:17 debro racoon: [186.37.112.232] ERROR: failed to get valid proposal.
Aug  3 13:53:17 debro racoon: [186.37.112.232] ERROR: failed to pre-process ph1 packet (side: 1, status 1).
Aug  3 13:53:17 debro racoon: [186.37.112.232] ERROR: phase1 negotiation failed

Прошу подсказку.

racoon

petav
(03.08.17 14:08:15 MSK)

26 комментариев

Снять образ VM

Форум — Admin

Было:

Гипервизор KVM
Диски VM на LVM размещенные

Делал бэкапы так:

Парсим выхлом virsh dumpxm VMname на извлечение пути к диску, к примеру «/dev/vg0/VMname»
Делаем LVM-снапшот на диск
Снимаем образ LVM-снапшота
...

Профит!

Потом пришли они и диски VM разъехались по ISCSI target-ам (LIO) и подключается к KVM уже так «/dev/disk/by-path/ip-10.10.10.2:3260-iscsi-iqn.2003-01.org.linux-iscsi.disk.x8664:sn.cebd77d086eb-lun-3»

Снапшот уже не сделать на инициаторе! Как модифицировать скрипт бэкапа?

Мои варианты:

Смотреть на путь и если он /dev/disk/by-path то выделять IP, идти по ssh на target, там как-то понимать что за том соответствует этому пути, убеждаться что оно LVM и делать LVMsnapshot в систему архивного хранения.

Может в корне что-то поменять, что бы упростить? Спасибо за Ваше время!

backup, kvm, lio, lvm, snap

petav
(29.07.17 11:07:08 MSK)

7 комментариев

← назад

следующие →

RSS подписка на новые темы