нат-т в 10-ке тоже вряд ли работает

Должен, в исходниках куча #ifdef IPSEC_NAT_T

Потому что вы не делаете make clean

Должен, в исходниках куча #ifdef IPSEC_NAT_T

то что там есть ifdef - не означает, что оно включено в ядро, и не означает что оно работоспособно

то что там есть ifdef - не означает, что оно включено в ядро, и не означает что оно работоспособно

ну, в sys/conf/NOTES тоже упомянуто, а в конфиг ядра я вписал, конечно

ну, в sys/conf/NOTES тоже упомянуто, а в конфиг ядра я вписал, конечно

вот, например, https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=222160

вот, например, https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=222160

понял, буду планировать апдейт

привет всем! у меня странный вопрос, но все же актуальный. какая контора может предоставить FreeBSD поддержку по аналогии как RedHat предоставляет поддержку для RHEL? сервер базы данных FreeBSD + ZFS + Postgres. увы в openstack-е.

на офф сайте есть список компаний оказывающих коммерческую поддержку https://www.freebsd.org/commercial/

Ну научитесь вы уже пользоваться системой https://svnweb.freebsd.org/ports/head/UPDATING?r1=476013&r2=476012&pathrev=476013

привет всем! у меня странный вопрос, но все же актуальный. какая контора может предоставить FreeBSD поддержку по аналогии как RedHat предоставляет поддержку для RHEL? сервер базы данных FreeBSD + ZFS + Postgres. увы в openstack-е.

#link #job #BSD очень врядли кого то прям готового найдёшь, разве что та же ixsystems? они же в общем как раз больше по хранилкам, а так обычно допиливают и барыжат как своим уже с поддержкой, ну и вольным стрелкам тут вот завели https://www.bsdjobs.com/

Надо транспорт между нодами на принципы Дезрупотра переписать

что это?

жесть конфиг, и это при том, что у нас есть штатный UCL

да кто о нём знает и с кем он совместим...

что это?

самая быстра в индустрии message bus, при написании которой была придумана и доказана пара остроумных алгоритмов. Конечно, речь не идёт о непосредственном использовании этого кода

самая быстра в индустрии message bus, при написании которой была придумана и доказана пара остроумных алгоритмов. Конечно, речь не идёт о непосредственном использовании этого кода

не гуглится просто

не гуглится просто

я уж очень криво транслитерировал. lmax disruptor

Но для ядра оно само по себе не интересно, интересны статьи авторов и идеи там

какую статью рекомендуешь по ней?

коллеги Sep 26 09:27:13 is kernel: sonewconn: pcb 0xfffff8001a3203a0: Listen queue overflow: 1 already in queue awaiting acceptance (1 occurrences)

что-то вот такое стало у меня сыпаться в логи

хотя особо и не менял-то ничего

окромя бинарного апгрейда freebsd-update'ом

11.2-RELEASE-p3

это что?

да, это виртуалке внутри ESXi

стоит уже черт знает сколько, никогда таким не страдала

Пиздец ты спамишь.

да блин, стояла прокси на одной площадке черт знает сколько не падала, вообще ничего вот жаловаться начали, заглянул - часть демонов упала, сквид живой named как-то криво ворочается в мониторинге - сетевые нагрузки стандартные, последний месяц точно вот чешу репу - не пойму

Поставил софтину для распознавания текста, на Linux и на FreeBSD, вижу top'ом что в linux'е используются все процы одновременно, на фре только один под 100 % - от этого время распознавания в 2 раза медленнее на фре. Куда смотреть ?

https://twitter.com/_DiscoverBSD/status/1044546079604297729

какую статью рекомендуешь по ней?

Слушай, я уже не помню, я всё это на конференциях слушал. Можно искать по словам mechanical sympathy — там будет блог, и копать его назад. Это про общие принципы. А конкретно про тонкости самого disruptor — с ходу ничего не посоветую, потому что слушал (вживую) а не читал.

вот, например, https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=222160

Окей, поставил 11. В другом месте, но не важно. В enc0 виден весь трафик, расшифрованный корректно, tcpdump видит внутренее содержание пакетов. Но в в ipfw это всё не появляется, потому что правило deny ip from 192.168.0.0/16 to any не тикает счётчиками. net.inet.ipsec.filtertunnel=1 и net.inet6.ipsec6.filtertunnel=1 поставил, но нет

О, надо ещё enc'овские маски выставить. А если бы enc'а в системе не было? Оно бы работало? Нигде общей картины не нарисовано :-(

да... с общими картинами, нынче как то не весело :(

да... с общими картинами, нынче как то не весело :(

главное, вот про сисцтли для enc в мане, конечно, сказано. А во всяких статьях — нет. И непонятно, если я сделаю enc down, его настройки должны влиять или нет? А то очень неожиданно — включаешь диагностический тул и у тебя файрволл, а значит и nat, отваливается

http://bu7cher.blogspot.com/2015/12/ifenc4-freebsd.html

http://bu7cher.blogspot.com/2015/12/ifenc4-freebsd.html

я вот не могу понять, зачем тогда отдельные сисцтлы про фильтр в айписеке если без интерфейса pfil хуки не исполняются. На что они влияют?

тот sysctl для другого

тот sysctl для другого

А для чего? man ipsec их упоминает. И правильно я понимаю, что без if_enc занатить туннель невозможно, потому что после расшивроаки трафик не попадёт в файрволл?

когда ты получаешь ESP пакет, ip_input пропускает его через файрвол. Если ты считаешь, что расшифрованные пакеты обаладают достаточным доверием, то можешь захотеть, чтобы после расшифровки они не проверялись файрволом. Тогда ты можешь использовать этот sysctl чтобы отключить эту проверку в ip_input.

когда ты получаешь ESP пакет, ip_input пропускает его через файрвол. Если ты считаешь, что расшифрованные пакеты обаладают достаточным доверием, то можешь захотеть, чтобы после расшифровки они не проверялись файрволом. Тогда ты можешь использовать этот sysctl чтобы отключить эту проверку в ip_input.

Т.е. если if_enc — down, и этот sysctl СТОИТ, то я должен видеть расшифрованный и пострипанный пакет в файрволле? Там же спеыиально tunnel в названии

да

Вот тут, например, чувак пишет, что у него всё работает, не упоминая enc, но упоминая pf'овский nat, т.е. файрволл явно видит пакеты после всей обработки https://vs.kiev.ua/2018/03/28/%D1%83%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0-strongswan-%D0%BD%D0%B0-freebsd-c-%D0%BC%D0%B0%D0%BA%D1%81%D0%B8%D0%BC%D0%B0%D0%BB%D1%8C%D0%BD%D0%BE%D0%B9-%D1%81%D0%BE%D0%B2%D0%BC%D0%B5%D1%81/

pf'вский нат работает по-другому, обычно это является проблемой при совместной работой с ipsec

А он не через те же pfil hook'и работает?!

Ясно.

после трансляции он не возвращает пакет обратно в стек, а делает if_output

Ага, трафик без if_enc вижу, осталось файрволл написать что бы nat был, ну уж с этим-то я справлюсь!

Спасибо, конечно, всем, кто сделал доступным FreeBSD у DigitalOcean и Vultr.

pf'вский нат работает по-другому, обычно это является проблемой при совместной работой с ipsec

Никогда не юзал другой нат, никаких проблем не было)

ребята, которые пользуются натом из pf часто страдают извращениями, и хотят транслировать в разные моменты времени. Например, когда пакет попадает в ipsec перед энкапсуляцией, чтоб он был зашифрован с транслированным адресом и т.п.

и очень удивляются почему у них не работает

возможно это пришло из какой-нибудь доки по openbsd pf, но я уже неоднократно встречал такие репорты что ipsec+pf_nat не работает

коллеги Sep 26 09:27:13 is kernel: sonewconn: pcb 0xfffff8001a3203a0: Listen queue overflow: 1 already in queue awaiting acceptance (1 occurrences)

подобное постоянно в виртуалке с KVM

тоже самое с XEN

возможно это пришло из какой-нибудь доки по openbsd pf, но я уже неоднократно встречал такие репорты что ipsec+pf_nat не работает

Не думаю что из-за obsd...

а вот в виртуалке в OVH нет такого. Или нагрузки в ней нет, или там что-то в Опенстеке накручено

коллеги Sep 26 09:27:13 is kernel: sonewconn: pcb 0xfffff8001a3203a0: Listen queue overflow: 1 already in queue awaiting acceptance (1 occurrences)

переполнена очередь ожидания соединений. Нужно либо поднимать лимиты, в софтине, у которой это переполнение случается, либо ограничивать в файрволе попытки соединения

переполнена очередь ожидания соединений. Нужно либо поднимать лимиты, в софтине, у которой это переполнение случается, либо ограничивать в файрволе попытки соединения

Ну вот я по этому айди не могу найти кто

а мне бы пример, как это глобально приподнять, чтоб не заморачиваться

у меня скорее всего нагружен pf и named

netstat -Aan и греп следом никого не показывают Там по сути сквид, нджинкс и намед Нагрузка - никакая, ну 0.3-0.5 максимум Трафика тоже нет особо

искать нужно в момент когда сообщения появляются

через какое-то время, адреса pcb могут меняться

ERROR: S client not available

Адрес меняется только после рестарта бинда, это то что я выяснил за двое суток

Но блин Виртуалке дано 4Г памяти и 4 ядра В бинде три зоны и хинты на корень Памяти свободно более 2 гигов

ну так поди каждый китаец по запросу сделает вот ему и плохеет

посмотри в netstat -Lan

когда ты получаешь ESP пакет, ip_input пропускает его через файрвол. Если ты считаешь, что расшифрованные пакеты обаладают достаточным доверием, то можешь захотеть, чтобы после расшифровки они не проверялись файрволом. Тогда ты можешь использовать этот sysctl чтобы отключить эту проверку в ip_input.

а есть более-менее полный packet flow?

аналогично, выделено куча ресурсов, а вот named начинает вытворять такое

кто сталкивался с чудесами ACPI на серверах в Хетзнер?

поставил 11.2 на ZFS и после рестарта не грузится

сервер типа EX41 (30 TB)

ну так брать IPMI и смотреть

да, заказал

года два назад было подобное. Помогало - риск в Линукс на мин 5 и перезагрузка и тогда Фряха нормально грузилась. Сейчас такое не сработало

http://manpages.org/namedconf/5

tcp-listen-queue integer;

да и вообше зачем нынче байнд?

это же tcp

ДНС же обменивается UDP запросами на 53 порт?

по TCP тоже обменивается

ДНС же обменивается UDP запросами на 53 порт?

ахахаха

ДНС же обменивается UDP запросами на 53 порт?

truncated flag

по TCP только трансфер зон

ага, понял

по TCP только трансфер зон

не только

ничё, вот json для DoH прикрутят и заживём

DoH?

DNS-over-HTTPS

ага, и тут будет юзаться TCP

Как фряху заставить юзать все процессоры сразу

?

проц слишком новый?