divB's questions

Tenho uma conexão SSL com um servidor (owner-api.teslamotors.com) que trava com wget, curl ou openssl s_client. Estou mostrando a versão curl, pois ela fornece a maioria das mensagens de depuração:

# curl -iv https://owner-api.teslamotors.com 
*   Trying 18.203.70.200:443...
* Connected to owner-api.teslamotors.com (18.203.70.200) port 443 (#0)
* ALPN: offers h2,http/1.1
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
*  CAfile: /etc/ssl/certs/ca-certificates.crt
*  CApath: /etc/ssl/certs

Lá ele trava depois de ClientHello. Conexão TCP estabelecida com sucesso (também confirmada com telnet/nc). Outra conexão de rede, incluindo qualquer conexão SSL que eu tentei, funciona. Exceto owner-api.teslamotors.com:443.

Achei esta postagem falando sobre MTU e parecia absurdo. Mas reduzi o MTU do servidor e funcionou! Funciona com qualquer MTU <= 1420.

O servidor se conecta usando Ethernet (MTU 1500) a um roteador Mikrotik e de lá a conexão passa por um túnel WireGuard (MTU 1420). Estou ciente de que isso pode não ser o ideal, pois qualquer pacote IP do servidor >1420 precisará ser fragmentado. No entanto, isso é agnóstico de qualquer protocolo L4. SSL sobre TCP não deve se importar com fragmentação e MTU. No entanto, este host se importa.

Executei uma captura de pacotes na caixa Mikrotik e o tráfego não lista nada de anormal para mim:

O típico handshake TCP Num 1-3, depois ClientHello (Num 4-5) e ServerHello (Num 6-7). Nenhum tamanho de pacote chega perto do MTU e nenhuma outra mensagem ICMP que indicaria problemas com fragmentação etc.

Por comentário, aqui está a saída do tracepath:

# tracepath owner-api.teslamotors.com
 1?: [LOCALHOST]                      pmtu 1500
 1:  XX.XX.56.210                                          0.410ms 
 1:  XX.XX.56.210                                          0.198ms 
 2:  XX.XX.56.210                                          0.138ms pmtu 1420
 2:  XX.XX.56.185                                        151.394ms 
 3:  no reply
 4:  100.100.200.1                                       157.220ms 
 5:  10.75.0.193                                         154.068ms 
 6:  10.75.2.53                                          161.950ms asymm  7 
 7:  decix1.amazon.com                                   152.107ms asymm  8 
 8:  decix2.amazon.com                                   153.068ms 
 9:  no reply
 [...]

Estou realmente perdido, o que diabos está acontecendo aqui?

Por que essa conexão SSL falha?

Configurei o Intel ME (v11.8.92) e uso o MeshCommander para acesso.

O desktop remoto (KVM) funciona bem, desde que eu tenha um monitor externo conectado na porta VGA. Mas se eu desconectar o monitor externo (também com um ciclo de energia), a tela do KVM permanece preta. Às vezes, recebo um único traço piscando bem no começo (onde deveria estar o BIOS).

Isso é normal? E há uma configuração para habilitar o KVM independentemente de o monitor externo estar conectado?

Existe alguma solução não apenas para proxy NTLM, mas para converter HTTP Basic Auth no lado de entrada para NTLM no lado de saída?

Histórico : um servidor interno do SharePoint usando NTLM Auth deve ser acessível por meio de um proxy reverso Apache. O problema é que o NTLM tem estado e o mod_proxy não consegue lidar com isso. Agora, o Apache com mod_proxy poderia apenas fornecer autenticação básica (e autenticar por meio de um arquivo passwd ou similar) e proxy para outro tradutor interno de autenticação básica para NTLM. Isso apenas lê nossas credenciais de autenticação http e as passa para o servidor SharePoint.

Dado um prefixo público /24, anunciado via BGP, 192.0.2.0/24. Dividi esse prefixo em várias redes menores. Eu gostaria de usar de 1 a 2 servidores para o servidor DNS (direto e reverso) que precisa de um IP estático. Como esse IP precisa ir como registro NS para a zona pai, alterar o IP não é simples (e requer suporte do administrador de 2.0.192.in-addr.arpa).

As várias redes são conectadas entre si por meio de links/túneis p2p e OSPF. Uma dessas redes é 192.0.2.208/28 e eu gostaria de usar 192.0.2.212 como servidor DNS. O servidor DNS será uma máquina virtual e eu gostaria de ter flexibilidade para movê-lo para outra rede em um local diferente, digamos 192.0.2.234 em 192.0.2.232/29. Normalmente, isso requer não apenas a alteração do IP, mas também a coordenação com o proprietário de 2.0.192.in-addr.arpa na atualização do registro NS.

Eu estava pensando em escolher um endereço/32 do prefixo, digamos 192.0.2.255/32. Este endereço poderia então ser atribuído a um dispositivo fictício ou como um segundo IP. Mas, a menos que o servidor DNS se torne um roteador (e/ou execute OSPF também), preciso lidar com o roteamento estático, o que também parece um incômodo.

Qual é a melhor solução para este cenário? Quase qualquer outro serviço pode ser endereçado via DNS, portanto o IP em si não é tão crítico. Mas para um servidor DNS é.

Tenho discos de 2x3TB com GPT e um zpool com partição de 2,7TB no primeiro disco (sda4) e 1TB no segundo disco (sdb4).

A razão é que inicialmente ambos os discos tinham apenas 1 TB e eu os substituí sequencialmente por 3 TB. Mas durante o tempo que eu tinha 1x1TB e 1x3TB, usei o restante dos 3TB para uma partição diferente que desejo excluir agora.

Eu uso o ZFS mais recente no Linux (0.6.5.7-8-wheezy). Qual é a maneira correta de redimensionar o pool para os 2,7 TB completos?

autoresizeestá desligado no momento. Esta é a saída atual de lsblke zpool status:

# lsblk
NAME    MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
sda       8:0    0   2,7T  0 disk
├─sda1    8:1    0     1M  0 part
├─sda2    8:2    0  14,5G  0 part
│ └─md0   9:0    0  14,5G  0 raid1 /
├─sda3    8:3    0   4,2G  0 part
│ └─md2   9:2    0   4,2G  0 raid1 [SWAP]
└─sda4    8:4    0   2,7T  0 part
sdb       8:16   0   2,7T  0 disk
├─sdb1    8:17   0     1M  0 part
├─sdb2    8:18   0  14,5G  0 part
│ └─md0   9:0    0  14,5G  0 raid1 /
├─sdb3    8:19   0   4,2G  0 part
│ └─md2   9:2    0   4,2G  0 raid1 [SWAP]
├─sdb4    8:20   0 912,9G  0 part
└─sdb5    8:21   0   1,8T  0 part

# zpool status
  pool: zpradix1imain
 state: ONLINE
status: Some supported features are not enabled on the pool. The pool can
        still be used, but some features are unavailable.
action: Enable all features using 'zpool upgrade'. Once this is done,
        the pool may no longer be accessible by software that does not support
        the features. See zpool-features(5) for details.
  scan: resilvered 687G in 6h2m with 0 errors on Fri Dec 26 18:39:27 2014
config:

        NAME                                                STATE     READ WRITE CKSUM
        zpradix1imain                                       ONLINE       0     0     0
          mirror-0                                          ONLINE       0     0     0
            ata-WDC_WD30EZRZ-00WN9B0_WD-WCC4E7CL5U9D-part4  ONLINE       0     0     0
            ata-WDC_WD30EZRX-00D8PB0_WD-WMC4N0E6K1AW-part4  ONLINE       0     0     0

Como primeira etapa, eu excluiria sdb5 e redimensionaria sdb4 (via gdisk) para 2,7 TB e verificaria novamente a tabela de partições (ambos os discos teriam um layout de partição idêntico).

Mas então?

Com a Routerboard 450G quero configurar as 5 portas Ethernet da seguinte forma:

• ether1: vlan3, sem marcação
• ether2: vlan1, sem marcação
• ether3: vlan2, sem marcação
• ether4: vlan2, não marcado
• ether5: vlan1-vlan3, marcado

Dentro da vlan1, o dispositivo deve ter IP 10.7.1.3/24.

No entanto, quando quero fazer ping na placa do roteador, ela não pode ser acessada. Configurei o aparelho da seguinte forma:

1. Incluir ether1 na comutação:

/interface ethernet switch imprimir
Flags: I - inválido
 # NOME TIPO MIRROR-SOURCE MIRROR-TARGET SWITCH-ALL-PORTS
 0 switch1 Atheros-8316 nenhum nenhum sim

2. Troque todas as portas juntas:

/interface ethernet print
Flags: X - desativado, R - em execução, S - escravo
 # NAME MTU MAC-ADDRESS ARP MASTER-PORT SWITCH
 0 R ether1 1500 E4:8D:8C:18:D5:A1 habilitado nenhum switch1
 1 S ether2 1500 E4:8D:8C:18:D5:A2 habilitado ether1 switch1
 2 S ether3 1500 E4:8D:8C:18:D5:A3 habilitado ether1 switch1
 3 S ether4 1500 E4:8D:8C:18:D5:A4 habilitado ether1 switch1
 4 RS ether5 1500 E4:8D:8C:18:D5:A5 habilitado ether1 switch1

3. Configure as portas 1-4 para remover tags de VLAN e a porta 5 para adicioná-los; definir IDs de VLAN padrão:

/interface ethernet switch port print
Flags: I - inválido
 # NAME SWITCH VLAN-MODE VLAN-HEADER DEFAULT-VLAN-ID
 0 ether1 switch1 seguro sempre tira 3
 1 ether2 switch1 Secure Always-Strip 1
 2 ether3 switch1 Secure Always-Strip 2
 3 ether4 switch1 seguro sempre tira 2
 4 ether5 switch1 add-if-missing seguro 0
 5 switch1-cpu switch1 fallback deixar como está 0

4. Conecte as VLANs. Como pode ser visto, ether2 e ether5 são conectados através de vlan1:

/interface ethernet switch vlan print
Flags: X - desativado, I - inválido
 # TROCAR PORTAS VLAN-ID
 0 switch1 3 ether1
                                                                                            ether5
 1 interruptor1 1 éter2
                                                                                            ether5
 2 interruptor1 2 éter3
                                                                                            ether4
                                                                                            ether5

5. Por fim, adicione o endereço IP a ether2:

/ip addr imprimir
Flags: X - desativado, I - inválido, D - dinâmico
 # INTERFACE DE REDE DE ENDEREÇOS
 0 10.7.1.3/24 10.7.1.0 éter2

A porta 5 está diretamente conectada a um switch gerenciável que gera vlan1-vlan3 marcado. A placa do roteador não pode ser pingada.

Perdi alguma coisa na configuração ou entendi errado o conceito? (No meu entendimento, seria suficiente adicionar o IP ao ether2, pois ele está comutado para vlan1 no ether5)