Início / user-1203531

Roman Riabenko's questions

Martin Hope
Roman Riabenko
Asked: 2023-09-16 17:03:16 +0800 CST
  • 6

Eu configurei um túnel SIT 6to4 no MikroTik seguindo o exemplo do Hurricane Electric nos arquivos de ajuda do MikroTik .

Funcionou, mas a conexão com alguns recursos era extremamente lenta e muitas vezes expirava. Por exemplo, as velocidades de download dos servidores padrão durante a atualização e reconfiguração do guix permaneceram em torno de 50 KiB/s e normalmente falharam ao baixar o kernel, provavelmente porque é um pacote grande.

O suporte técnico do corretor de túnel sugeriu que o MTU de 1280 é muito pequeno e 1480 deveria ser usado. Na verdade, se eu alterar o MTU da interface do túnel para esse valor, a velocidade da conexão se tornará normal e contará em MiBs. Não sei por que isso funciona, mas provavelmente porque em algum momento o equipamento de rede não precisa quebrar os pacotes maiores em fragmentos menores, o que exigiria alguma sobrecarga.

Mas me deparo com um problema diferente: as conexões com alguns servidores são interrompidas. guix pulltrava. A execução curl -vem uma URL problemática resulta no tempo limite da negociação TLS ( curl: (28) SSL connection timeout) ou em uma falha da biblioteca de criptografia ( curl: (35) gnutls_handshake() failed: Помилка у функції pull.).

O ping no servidor funciona, mas o ping com uma mensagem do tamanho do MTU ( ping6 -sseguido pelo número de octetos) recebe uma resposta Packet too bigpara o primeiro ping e depois descarta o restante. Uma conexão TCP é bem-sucedida, mas a negociação TLS atinge o tempo limite. A MTU é muito grande para a conexão com este servidor.

RFC 4213 fornece:

Um nó que usa MTU de túnel estático trata a interface do túnel como tendo uma MTU de interface fixa. Por padrão, o MTU DEVE estar entre 1280 e 1480 bytes (inclusive), mas DEVE ter 1280 bytes.

O RFC 6343 tem uma seção sobre "Falha no PMTUD", vinculada ao RFC 2923 , sugerindo voltar ao MTU 1280 para IPv6, a menos que seja possível consertar "o buraco negro do ICMP".

O exemplo de configuração do MikroTik sugere o uso de 1280 para evitar a necessidade de negociação de MTU. Há também clamp-tcp-mssuma configuração que está ativada por padrão:

Controla se o tamanho do MSS deve ser alterado para pacotes TCP SYN recebidos. Quando ativado, um roteador alterará o tamanho do MSS para pacotes TCP SYN recebidos se o tamanho do MSS atual exceder o MTU da interface do túnel (levando em consideração a sobrecarga do TCP/IP). O pacote encapsulado recebido ainda conterá o MSS original e somente após o desencapsulamento o MSS será alterado.

Isso pode explicar por que o ping ocasionalmente me permite enviar mensagens enormes até 65.527 (aparentemente 65.535 menos 8) pelo túnel. No entanto, isso tenta corresponder ao MTU do túnel enquanto preciso determinar o MTU por conexão, que pode ser menor que o MTU do túnel. Como faço isso para não precisar diminuir o MTU do meu túnel?

tunnel
Martin Hope
Roman Riabenko
Asked: 2020-09-29 07:15:42 +0800 CST
  • 6

Estou usando o Windows 10 como convidado em uma máquina virtual no Debian 10.6 "buster" em GNOME Boxes em um laptop com processador Ryzen 5 4500U, que vem com gráficos integrados AMD® Renoir, mas neste laptop ele roda apenas com llvmpipe. Eu tenho ferramentas SPICE instaladas no convidado.

O atraso do ponteiro é perceptível o suficiente para se tornar um pouco irritante. Torna-se pior ao longo do dia após o início do convidado. Basicamente, parece que o ponteiro no convidado fica um pouco atrás do ponteiro na máquina host e acelera um pouco em direção ao local do cursor no host. Não existe esse comportamento com VMs do Linux no meu computador. Não vejo diferença no comportamento do ponteiro quando habilito ou desabilito a opção "Aprimorar precisão do ponteiro" na máquina convidada do Windows 10. Além disso, o ponteiro às vezes "se divide" em dois ponteiros: um para a máquina host e outro para a máquina convidada, vestidos de acordo.

Aqui está a parte da configuração XML da máquina convidada para vídeo:

<video>
  <model type="virtio" heads="1" primary="yes">
    <acceleration accel3d="no"/>
  </model>
  <address type="pci" domain="0x0000" bus="0x00" slot="0x02" function="0x0"/>
</video>

Eu tentei mudar a aceleração para "sim", mas não ajudou.

virtual-machine mouse
Martin Hope
Roman Riabenko
Asked: 2020-09-12 07:45:13 +0800 CST
  • 7

O site oficial tem uma nova versão do BIOS para o meu laptop. O download do site é um arquivo zip, que contém um executável e um README.txt, que instrui a clicar no executável no Windows. Estou executando o Debian "buster". Instalar o Windows parece muito trabalhoso para atualizar o BIOS. Abri o executável com fileroller e extraí todos os arquivos dele para uma unidade flash formatada em FAT32 vazia. Entre todos os arquivos existe um "abobios.bin", que parece promissor. Infelizmente, o laptop não o pega da unidade flash USB na inicialização. Parece não haver nenhuma opção para atualizar o BIOS no próprio BIOS. Existe uma maneira de atualizar o BIOS além de instalar o Windows no meu Debian atualmente instalado?

$ echo `sudo dmidecode --string bios-vendor` `sudo dmidecode --string bios-version`
Insyde Corp. V1.03
$ echo `sudo dmidecode --string baseboard-manufacturer` `sudo dmidecode --string baseboard-product-name` `sudo dmidecode --string baseboard-version`
RO Kona_RN V1.03

Editar : A ferramenta de flash incluída na atualização é Insyde H20FFT (Flash Firmware Tool) versão 2.00.11.00 da Insyde Software Corp.

bios efi
Martin Hope
Roman Riabenko
Asked: 2020-08-20 05:15:48 +0800 CST
  • 9

Estou tentando solucionar problemas de acesso seguro a um site no meu laptop Debian. Quando tento acessar o site no Gnome web (Epiphany), Gnome feeds, urlwatch, ou openssl, ele falha. Gnome web declara que o site não pode ser verificado. Veja a saída opensslabaixo. Mas o Chromium e o Firefox carregam o site sem problemas e declaram que a conexão é segura. Como posso verificar se é um bug no meu sistema, que eu poderia corrigir, ou uma configuração incorreta no site, que o Chromium e o Firefox apenas resolvem de alguma forma?

$ openssl s_client -connect fg.gov.ua:443
CONNECTED(00000003)
depth=0 C = UA, postalCode = 04053, L = Kyiv, street = vul.Sichovykh Striltsiv 17, O = "Deposit Guarantee Fund, State Organisation", OU = IT, CN = *.fg.gov.ua
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 C = UA, postalCode = 04053, L = Kyiv, street = vul.Sichovykh Striltsiv 17, O = "Deposit Guarantee Fund, State Organisation", OU = IT, CN = *.fg.gov.ua
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:C = UA, postalCode = 04053, L = Kyiv, street = vul.Sichovykh Striltsiv 17, O = "Deposit Guarantee Fund, State Organisation", OU = IT, CN = *.fg.gov.ua
   i:C = GB, ST = Greater Manchester, L = Salford, O = Sectigo Limited, CN = Sectigo RSA Organization Validation Secure Server CA
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIHJjCCBg6gAwIBAgIQdMlRgieLFotpxhGUZykkijANBgkqhkiG9w0BAQsFADCB
lTELMAkGA1UEBhMCR0IxGzAZBgNVBAgTEkdyZWF0ZXIgTWFuY2hlc3RlcjEQMA4G
A1UEBxMHU2FsZm9yZDEYMBYGA1UEChMPU2VjdGlnbyBMaW1pdGVkMT0wOwYDVQQD
EzRTZWN0aWdvIFJTQSBPcmdhbml6YXRpb24gVmFsaWRhdGlvbiBTZWN1cmUgU2Vy
dmVyIENBMB4XDTIwMDcxNzAwMDAwMFoXDTIxMTAxNTIzNTk1OVowgakxCzAJBgNV
BAYTAlVBMQ4wDAYDVQQREwUwNDA1MzENMAsGA1UEBxMES3lpdjEjMCEGA1UECRMa
dnVsLlNpY2hvdnlraCBTdHJpbHRzaXYgMTcxMzAxBgNVBAoTKkRlcG9zaXQgR3Vh
cmFudGVlIEZ1bmQsIFN0YXRlIE9yZ2FuaXNhdGlvbjELMAkGA1UECxMCSVQxFDAS
BgNVBAMMCyouZmcuZ292LnVhMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKC
AQEAtIRBuOW3b3qcA8TJOrl6MIwpDHvNBlLMaqDR8CMJtmIiUZJ+og789eTVbJlc
VbjUjOrRXx+3sIVyYeF4tJWnaEzbhDpSzfzvufr0jFphkDWdYu2gzrKbXjQUUmz2
fzcimEqXC1r/rkUspCMdfk6fXscYMgWfP8Wq9ItMYYdlVrQM5W+T2hC3a3gcw2vM
pr/hg1WIph99ZrazZsE9o8ROLR7GHip9Lua7IfJkyjylFr6IIwnM2N8ave9QeoId
agL20KOeWTVnIm5Iqoa9l4C/45u8m/AJsk4FpWyNlMDnZLcNsJbJD/Arrm+z11BD
uf6cpodB0SI4wgaMYlFWblf5cQIDAQABo4IDWjCCA1YwHwYDVR0jBBgwFoAUF9nW
JSdn+THCSUPZMDZEjGypT+swHQYDVR0OBBYEFJh20/maGIe5ZDHiejh3rT8JxzI7
MA4GA1UdDwEB/wQEAwIFoDAMBgNVHRMBAf8EAjAAMB0GA1UdJQQWMBQGCCsGAQUF
BwMBBggrBgEFBQcDAjBKBgNVHSAEQzBBMDUGDCsGAQQBsjEBAgEDBDAlMCMGCCsG
AQUFBwIBFhdodHRwczovL3NlY3RpZ28uY29tL0NQUzAIBgZngQwBAgIwWgYDVR0f
BFMwUTBPoE2gS4ZJaHR0cDovL2NybC5zZWN0aWdvLmNvbS9TZWN0aWdvUlNBT3Jn
YW5pemF0aW9uVmFsaWRhdGlvblNlY3VyZVNlcnZlckNBLmNybDCBigYIKwYBBQUH
AQEEfjB8MFUGCCsGAQUFBzAChklodHRwOi8vY3J0LnNlY3RpZ28uY29tL1NlY3Rp
Z29SU0FPcmdhbml6YXRpb25WYWxpZGF0aW9uU2VjdXJlU2VydmVyQ0EuY3J0MCMG
CCsGAQUFBzABhhdodHRwOi8vb2NzcC5zZWN0aWdvLmNvbTAhBgNVHREEGjAYggsq
LmZnLmdvdi51YYIJZmcuZ292LnVhMIIBfQYKKwYBBAHWeQIEAgSCAW0EggFpAWcA
dQB9PvL4j/+IVWgkwsDKnlKJeSvFDngJfy5ql2iZfiLw1wAAAXNceArmAAAEAwBG
MEQCID6Q5XEksvVz0ljVMfog/BqFK5o01JsVQW2UpFnrj1lzAiAawR6Km293kJ3h
Eh4Su+lnonBz3+cLD/CzFC1cXQLhXQB2AJQgvB6O1Y1siHMfgosiLA3R2k1ebE+U
PWHbTi9YTaLCAAABc1x4Cw0AAAQDAEcwRQIhAP7aecTO1S57pSnARdR7wLYF0zUm
/FZgGvBLR4/bs8yiAiBM+A0miPcT2B1qY3hwA83LyqbTZOEUmb21K/0B4z0XGwB2
AG9Tdqwx8DEZ2JkApFEV/3cVHBHZAsEAKQaNsgiaN9kTAAABc1x4Ct8AAAQDAEcw
RQIgNJzEpbzBvpaXv5AxmjAhcblO1FStCDPUbHxLav5ZzvMCIQDA/3R3G2/i9jD3
vkbhLjIxYmynL/lStRBdshvQV/r0ozANBgkqhkiG9w0BAQsFAAOCAQEAGLxGWkZf
Jz8y1RIMewDTJdW3OWhs0tYpWkdbVyYNUZN2e5Pgn5dmPJDgcF3AE+anNoCgohf3
aV+7x4JMUius/QLu/GH1cSz+to+DvHqE/N8w9oOZOwvAhAkVfTOpyHtDWVVhRWGH
UMtWcl9Jr9JTYk8nDPPSbmLqm7Rc86ZdWcMRwNpgiNVxs0oiR1A2qas3fHHlo01w
sg611jaKHY1Y84IUiDArEhhONJXxYYYSaTnwFAO3gBAq9loPmobnf4WXc51hWsCY
FID/isAye93MZT+ld8/o7sC8p6ImqxjJpwsQP/y2urnoalUoLy0Qg74FQmWEDVsa
UrtX7cbo45eOog==
-----END CERTIFICATE-----
subject=C = UA, postalCode = 04053, L = Kyiv, street = vul.Sichovykh Striltsiv 17, O = "Deposit Guarantee Fund, State Organisation", OU = IT, CN = *.fg.gov.ua

issuer=C = GB, ST = Greater Manchester, L = Salford, O = Sectigo Limited, CN = Sectigo RSA Organization Validation Secure Server CA

---
No client certificate CA names sent
Peer signing digest: SHA256
Peer signature type: RSA-PSS
Server Temp Key: X25519, 253 bits
---
SSL handshake has read 2390 bytes and written 381 bytes
Verification error: unable to verify the first certificate
---
New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384
Server public key is 2048 bit
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 21 (unable to verify the first certificate)
---
---
Post-Handshake New Session Ticket arrived:
SSL-Session:
    Protocol  : TLSv1.3
    Cipher    : TLS_AES_256_GCM_SHA384
    Session-ID: D05774AA93DE22018DD221D4D56BBA7AC8B2C15ED3BE7BC7C75396FCB75F6FA4
    Session-ID-ctx: 
    Resumption PSK: EA673D1A4985E74D6CA74F5105FF311757CF08251515A0C3F92A39362B66C22CD264B61F87F09EAD2DD3355FEA948503
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 300 (seconds)
    TLS session ticket:
    0000 - 09 64 75 0e e1 89 54 b2-b8 43 89 59 36 88 88 cc   .du...T..C.Y6...
    0010 - 18 50 a2 ef 53 9c d8 f7-8f b2 fa e9 89 a5 73 34   .P..S.........s4
    0020 - 07 4b 64 dc 14 d4 dc e4-be 29 c4 a4 99 b8 da 15   .Kd......)......
    0030 - d1 09 c4 6b fc d0 61 c0-59 5e d8 e7 0a 40 31 ca   ...k..a.Y^...@1.
    0040 - 42 2d 00 9b ae fd e3 b1-50 5e 08 04 46 2c a7 b7   B-......P^..F,..
    0050 - 3b 8a 61 28 c1 23 37 5a-05 23 14 d3 45 91 40 d5   ;.a(.#7Z.#..E.@.
    0060 - b9 ae 3d 3c 6b 61 1b 5f-5e 7a 05 1a b9 10 ab 61   ..=<ka._^z.....a
    0070 - 09 b9 08 6c ab 5e 3b f7-15 7a 98 d5 91 b1 7c 7e   ...l.^;..z....|~
    0080 - a8 45 51 e3 74 24 35 40-ba 7c b8 e5 35 8e a4 22   .EQ.t$5@.|..5.."
    0090 - d4 47 63 59 d2 e2 c7 8b-d2 35 46 27 dc 2f 13 51   .GcY.....5F'./.Q
    00a0 - 6b 8f bf ba 16 0b 18 ae-e2 f0 e9 df 5a 79 56 a1   k...........ZyV.
    00b0 - 76 8d 4c 66 ef 16 07 fd-91 b5 5a f7 87 93 e6 b0   v.Lf......Z.....
    00c0 - ed e5 22 2b 26 9e 70 aa-39 4b 4c c0 c9 ff fc 83   .."+&.p.9KL.....
    00d0 - 22 f8 5c 4f 3c 91 04 c3-88 65 2a ec 6b 78 d0 16   ".\O<....e*.kx..

    Start Time: 1597841026
    Timeout   : 7200 (sec)
    Verify return code: 21 (unable to verify the first certificate)
    Extended master secret: no
    Max Early Data: 0
---
read R BLOCK
---
Post-Handshake New Session Ticket arrived:
SSL-Session:
    Protocol  : TLSv1.3
    Cipher    : TLS_AES_256_GCM_SHA384
    Session-ID: 75A45FF3AAA8E24217131F365A8953BEA5FF6D2666A858ECF56F7219F33115DA
    Session-ID-ctx: 
    Resumption PSK: 043BB4F8848D3F069467B3638A887DE50B10A697BDA8D9A18180CC82ACF0D72C67B527AD8ADFC9BAD1DDF08E7C83808F
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 300 (seconds)
    TLS session ticket:
    0000 - 09 64 75 0e e1 89 54 b2-b8 43 89 59 36 88 88 cc   .du...T..C.Y6...
    0010 - c7 09 c9 47 b4 46 29 74-cb ff f6 a1 25 09 73 78   ...G.F)t....%.sx
    0020 - 84 1e 40 a7 40 61 19 39-58 ec 4b 34 20 c9 e7 3f   ..@[email protected] ..?
    0030 - b7 21 1a 30 a7 cb ad c3-e4 53 dd f9 74 b6 4b 08   .!.0.....S..t.K.
    0040 - c9 7f 11 26 a0 77 3f f1-9a ff 58 2a f0 1f aa f9   ...&.w?...X*....
    0050 - 12 52 06 c9 08 25 9c 16-4e f2 f7 43 64 f2 3b 4d   .R...%..N..Cd.;M
    0060 - b1 dc c7 62 94 ce c8 91-1e 66 cb 0d 11 aa 37 3e   ...b.....f....7>
    0070 - 2a 63 14 ad 2d 00 bf 29-09 53 35 fd 33 52 98 5f   *c..-..).S5.3R._
    0080 - 82 5b fd 01 b1 bd 8c 22-81 76 d7 26 32 e7 0e e7   .[.....".v.&2...
    0090 - 9e bd a4 56 bc da 96 75-08 ce e3 76 9c 2d 6a b2   ...V...u...v.-j.
    00a0 - 81 02 70 74 5d e4 92 1a-94 ed 9e db c5 40 68 ff   ..pt]........@h.
    00b0 - 07 f3 f5 69 b5 cb 3b 88-20 7c 17 61 7c 72 be 95   ...i..;. |.a|r..
    00c0 - b9 d1 01 4e 6c 96 b0 4c-a0 30 e1 ae 7f 88 27 81   ...Nl..L.0....'.
    00d0 - 44 1c 7b 7f 23 d8 bc 57-21 df 92 8a af 49 d9 e6   D.{.#..W!....I..

    Start Time: 1597841026
    Timeout   : 7200 (sec)
    Verify return code: 21 (unable to verify the first certificate)
    Extended master secret: no
    Max Early Data: 0
---
read R BLOCK
closed

Editar :

Considerando as respostas, decidi verificar se a validação SSL seria bem-sucedida se o servidor fornecesse a cadeia. A partir das informações sobre o site no Firefox, salvei localmente o certificado intermediário, que o Firefox usou para o site. Com ele, executei com sucesso openssl verifyo certificado do servidor. Concluo que meu sistema possui o certificado raiz necessário. O Firefox provavelmente usa como solução alternativa o certificado intermediário que ele armazenou em cache de um uso anterior em outro lugar.

$ openssl verify -show_chain -untrusted intermediate.pem server.pem
server.pem: OK
Chain:
depth=0: C = UA, postalCode = 04053, L = Kyiv, street = vul.Sichovykh Striltsiv 17, O = "Deposit Guarantee Fund, State Organisation", OU = IT, CN = *.fg.gov.ua (untrusted)
depth=1: C = GB, ST = Greater Manchester, L = Salford, O = Sectigo Limited, CN = Sectigo RSA Organization Validation Secure Server CA (untrusted)
depth=2: C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust RSA Certification Authority

Como observação, descobri que posso usar ssl_no_verify: truena urlwatchconfiguração do trabalho para ignorar a verificação.

Atualização :

Enviei um e-mail para a linha de feedback do site e os indiquei para RFC, conforme sugerido na resposta. O site funciona bem agora.

debian ssl
Martin Hope
Roman Riabenko
Asked: 2020-08-14 22:39:24 +0800 CST
  • 6

Eu lido com uma área de trabalho do Windows 10 (Windows 10 Enterprise 2015 LTSB) que é intencionalmente configurada pelo administrador para permitir que os usuários executem software, mas para não permitir que os usuários instalem software em todo o sistema sem o administrador. Muitos aplicativos são projetados para serem instalados com êxito em tal ambiente, como Chrome, Firefox, Telegram, Viber, WhatsApp etc. Eles são instalados no perfil do usuário e exibidos corretamente no menu Iniciar, associação de arquivos etc. > Aplicativos (ou algo semelhante no meu idioma), todas as opções para desinstalar os aplicativos estão acinzentadas. Como removê-los corretamente sem administrador, incluindo aplicativos, arquivos associados, configuração, itens do menu iniciar, etc.?

windows-10 google-chrome
Martin Hope
Roman Riabenko
Asked: 2020-08-12 22:47:17 +0800 CST
  • 7

Eu regularmente tenho que inserir rótulos no aplicativo de desktop MS Word 365 em documentos e fazer referência cruzada ao seu texto. Eu os aplico às definições legais em contratos, e a referência cruzada garante que os termos sejam usados ​​corretamente em todo o documento.

Aplico rótulos com a faixa de opções: Inserir > Hiperlink > Rótulo ( Вставлення > Посилання > Закладка no meu idioma de interface). É possível abrir a caixa de diálogo para atribuir um rótulo com um atalho de teclado?

Eu costumava fazer referência cruzada com a faixa de opções também: Insert > Hyperlink > Cross-reference > Label ( Вставлення > Посилання > Перехресне посилання > Закладка no meu idioma de interface). Acabei de atribuir um atalho personalizado para abrir o diálogo de referência cruzada nas configurações de atalhos personalizados (na seção de configuração da faixa de opções nas opções do MS Word). Mas ainda tenho que mudar para rótulos sempre que inseri um tipo diferente de referência cruzada (como referência cruzada a um parágrafo) antes. É possível abrir o diálogo e prepará-lo nos rótulos com um único atalho de teclado?

microsoft-word-2019
Martin Hope
Roman Riabenko
Asked: 2020-08-10 23:37:58 +0800 CST
  • 6

Eu removi gnome-online-accountse gnome-online-minersentre outros pacotes que não preciso na minha instalação Debian sid com Gnome 3. Ainda tenho a seção "Contas online" ("Облікові записи в інтернеті" na versão do meu idioma) no centro de controle. Os logotipos estão faltando, mas ainda está lá. Se eu clicar em qualquer uma das opções, uma janela com uma tela de login será carregada. Como posso remover gnome-online-accountscorretamente, para que eu não tenha a seção "Contas online" no centro de controle? É possível ou não é suportado intencionalmente?

Editar: encontrei uma solução, que parece funcionar, que postei como resposta abaixo. Mas apreciarei uma solução, recomendações e explicações mais bem explicadas se é assim que os desenvolvedores esperavam que eu resolvesse o problema.

debian gnome3