Сервер в кармане, или просто о сложном!

Ошибка OpenVPN CRL has expired (просрочен список CRL)

Сразу после обновления OpenVPN до версии 2.4.1(и, соответственно, после рестарта службы), клиенты не смогли подключиться к серверу, а на сервере в логе было что-то вроде:

TLS: Initial packet from [AF_INET]19.10.5.11:51849, sid=ba13f8a4 4c4aec28
VERIFY ERROR: depth=0, error=CRL has expired: CN=client1
OpenSSL: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned
TLS_ERROR: BIO read tls_read_plaintext error
TLS Error: TLS object -> incoming plaintext read error
TLS Error: TLS handshake failed
SIGUSR1[soft,tls-error] received, client-instance restarting

Это ошибка проверки списка отзывов сертификатов (CRL - certificate revoke list).


Поддержка обработки ошибок чтения/записи для серверных дисков

Есть люди, которые считают, что диски серверных серий (какой-нибудь WD RE, Seagate Constellation ES или что-то в этом роде) будет просто крут на десктопе. Большой кеш, серверная серия, дорогой. Если уж диск подходит для сервера, для десктопа это вообще круто? Не всегда.


Программный RAID1 (зеркало) с помощью mdadm

Теги: Linux

На практике, самый вероятный источник проблем с компьютерами, работающими 24х7 - это диски. За 12 лет я столкнулся с двумя вышедшими из строя сетевыми картами на серверах, но диски, даже серверных серий, выходят из строя регулярно. Что WD, что Seagate, что Hitahi. Поэтому вопрос с мотивацией использования зеркального raid1 считаем закрытым.

Почти все материнские платы сейчас заявляют функционал raid. Только если вы точно знаете, зачем вам использовать raid вашей motherboard, делайте это. К тому же, чаще всего это специфические вариации на тему программного raid, только никто-не-знает-как-сделанные. Т.е. не факт, что плохо сделанные. Но не факт, что вы найдете исчерпывающую информацию по решению проблемы. Далее, специальные контроллеры raid. Опять же, если вы знаете, что именно вы хотите, используйте их. Но вы должны понимать, что любое устройство (что материнка, что отдельный контроллер) могут взбрыкнуть и тогда могут быть проблемы с получением данных с дисков массива. Причем у вас могут возникнуть трудности с поиском информации по решению проблемы, т.к. разбирающихся в конкретной железке или линейки оборудования не так велико. 

Одним из наиболее распространенных решений, по которому вы всегда найдете помощь на форумах, является использование программного raid, не привязанного к железу. В случае Linux это raid массив, созданный mdadm.


Меняем название (title) и описание (description) виртуальных машин KVM

Никогда не сталкивались с ситуацией, когда на хосте работают несколько гостевых машин с не очень лаконичными названиями типа vm1, vm2 и т.д.? Командой virsh list --all вы получите например такой вывод:

virsh # list --all
 Id    Name                           State
----------------------------------------------------
 2     vm2                            running
 7     vm5                            shut off
 4     hs9                            shut off
 -     vm1                            shut off
 -     vm3                            shut off
 -     vm4                            shut off

Что за vm1? Что за hs9? А когда вы уточните, что за гость vm1, через день забудете. Или раньше vm1 была файловым сервером, а сейчас это backup-сервер. Надо как-то комментировать названия/выполняемые роли.


Автозапуск виртуальных машин при загрузке хоста KVM

Не все виртуальные машины нужны постоянно, а некоторые, наоборот, обязательно должны стартовать при перезапуске хоста KVM. За автозапуск гостевых машин отвечает команда autostart.


Микротик не отвечает на пинги через WAN, mangle настроен, интернет есть. Что может быть не так?

Теги: Mikrotik

Если вы ищете руководство по настройке dual-wan failover на микротике, то среди задач вы будете решать, как сделать, чтобы при пинге через ISP1 микротик направлял бы ответ через шлюз GW1, а при пинге через ISP2 - соответственно, через GW2.

Штука в том, что даже если все правильно настроено, и NAT работает, и локальные клиенты в сеть ходят, и firewall вроде разрешает пинг снаружи, а снаружи к микротику не обратиться. Не пингуется и все тут.




Последние комментарии