Geek kontra zderzak

Dzisiaj znowu dwa razy (raz pod przychodnią, raz pod dworcem PKP)
zahaczyłem zderzakiem o krawężnik. Ten drugi raz to był akurat o ten jeden
raz za dużo i kawał zderzaka mi się odłamał. Nie mógł tak wisieć (to już
będzie zagadka dla mechanika — czy da się to jeszcze poskładać), więc
trzeba było coś z tym zrobić. Ale co to dla mnie? ;-) Wyciągnąłem
z torby zestaw naprawczy, czyli metrowy patchcord zakończony wtykami RJ-45
(chyba nie krosowany) i przywiązałem to jakoś tak, żeby się trzymało. Jutro
tak jeszcze pojadę do pracy, a po południu do mechanika, niech mi przynajmniej
powie czy i co będzie trzeba kupić.

Pingwinaria, dzień pierwszy.

Wyjechałem z domu rano, dwadzieścia po siódmej. Podjechałem jeszcze na plac
Piastów po kolegę z Bytomia i ruszyliśmy w kierunku Krynicy. Droga była
bezproblemowa i udało się ją pokonać, spokojną jazdą (inaczej tym samochodem
się nie da), w cztery godzinki. Na miejscu jeszcze prawie nikogo poza
organizatorami nie było. Załatwiłem co było do załatwienia i
postanowiłem zwiedzić okolicę…

Na północnym stoku Góry Parkowej, zaraz obok hotelu, leży jeszcze masa
śniegu (około 1.5m), ścieżka też ośnieżona, a ja w wiosennym ubraniu (bez
kurtki, czy swetra, tylko w koszuli flanelowej). I było mi ciepło. Szczególnie
że wdrapywałem się na górę szybkim krokiem, trasą niekoniecznie spacerową
— jeszcze częściowo ośnieżonym i oblodzonym torem saneczkowym. Po drodze
spotkałem kilka wiewiórek, a także stado jeleni (właściwie to łani), które
patrzyły się na mnie jak na jakiegoś idiotę (kto inny w letnich butach i bez
kurtki brodzi w śniegu?) i nawet nie próbowały uciekać. Na górze trochę wiało
(halny), ale i tak było dość ciepło, jednak nie na tyle, żeby długo tam
siedzieć. Było tam trochę tubylców, z jednym z nich, całkiem
sympatycznych, sobie trochę pogadałem. Zainteresował się, czy mi nie zimno,
poopowiadał co interesującego mogę zobaczyć w drodze na dół, pogadaliśmy o
tych łaniach, które tu właściwie oswojone, a kiedyś było ich nawet więcej itd.
itp. Oczywiście rozmowa nie była zupełnie bezinteresowana i pan pokazał mi co
ma na swoim stoisku. Polubiłem go, więc nawet coś kupiłem (trzeba wspierać
lokalny folklor), jakiś kamyczek co ma Wodnikowi szczęście przynosić, nawet
coś utargowałem, a do tego rzemyczek gratis ;-).

Wróciłem akurat na obiad. Wbrew Pingwinaryjnej tradycji, jedzenia było
dobre i dużo (szwedzki stół, na którym niczego nie zabrakło). Potem oficjalne
otwarcie i pierwsze wykłady. Na żadnym nawet nie ziewnąłem, więc całkiem
niezłe. Potem pyszna i obfita kolacja. Po kolacji miałem dylemat, pójść na
wykład polskiego CERTu, czy na basen (czynny tylko do 20:00), na który
przysługuje mi 45 minut dziennie. Wybrałem basen, bo rzadko zdarza mi się
popływać, a jak jest taka okazja, to warto zadbać o formę.

Po basenie wróciłem do pokoju, gdzie akurat odbywało się spotkanie ŚLUGu.
Trochę poudzielałem się w dyskusji, a jednocześnie próbowałem CJC odpalić.
Odpaliłem właściwie przed wyjściem, ale się wyłączył. W kolejnych próbach też,
albo się nie mógł połączyć, albo zaraz po zestawieniu połączenie się
zawieszało i w końcu zrywało. Dostęp do Internetu okazał się fatalny. Dopiero
później, po zakończeniu spotkania zaczęło to jakoś działać, więc mogę napisać
na Joggera to co piszę.

Z dostępem do Sieci było w ogóle ciekawie… Miał być. Jak przyjechałem do
hotelu okazało się, że nie ma, będzie za miesiąc. W pokoju gniazdko
Ethernet było, to podłączyłem HUBa, ale nawet lampka link się nie
zapaliła. Szybko okazało się dlaczego, bo zobaczyłem na korytarzu dziury w
ścianach pod skrzynki, gdzie wystawały kable Ethernet, nawet zakończone
wtyczkami RJ45. Przed obiadem już dwóch panów ładowało tam HUBy i montowało
skrzynki. Po obiedzie już link się świecił, ale adresu po DHCP się nie
dostawało. Przed kolacją już DHCP działało, ale net nie bardzo. A teraz działa
wszystko :-). Ciekawe jak długo…

207.46.250.119

Walczę sobie właśnie z zombie w naszej sieci… To znaczy wyciągam z logów
podejrzane adresy, z których było podejrzanie dużo połączeń SMTP, oglądam na co
się łączą i jak to rzeczywiście są różne MXy, to blokuję port 25 dla tych
komputerów. Standardowa procedura…

Dzisiaj jednak pojawiło się coś ciekawego… niektóre komputery łączą sie na
dziwne adresy IP (bez revDNS, lub z automatycznym revDNS jak np.
z neostrady), co sugerowałoby jakieś P2P na porcie 25 (zdarza się). Jednak na
niektórych z tych IP było normalne SMTP. Sprawdzając co to za adresy (czy
revDNS wygląda na jakiegoś MXa) trafiłem na IP: 207.46.250.119. To co pokazało mi
host 207.46.250.119 poraziło. Uznałem, że jakiś spamer przypisał sobie tyle
nazw, żeby utrudnić wykrycie albo ogłupić filtry. Nawet nie sprawdzałem czy
prosty DNS dla nich działa, założyłem, że nie… Z ciekawości zajrzałem jeszcze
do WHOIS… i szczęka mi opadła. Potem dla pewności sprawdziłem prosty DNS.
Wszystko się zgadza. Po cholerę ci idioci robili coś takiego? Żeby resolvery
na całym świecie się nie nudziły?

A teraz mam problem, czy te kompy co się tam (i nie tylko tam) łączyły są
rzeczywiście zarobaczone, czy to po prostu nowe normalne zachowanie
popularnego oprogramowania…

Radia internetowe… wrr…

W firmie postawiłem firewalla. Tym razem szczelnego, gdzie każde połączenie
ma być pod kontrolą (nie ma regułek pozwalających się łączyć na jakiś port
z dowolną maszyną) a do WWW i pokrewnych używane jest proxy
z uwierzytelnianiem Digest. No i nawet IE sobie jakoś z tym radzi.

Ale w firmie ludzie są słuchać radia. Firma nie opłaca abonamentu, więc
pozostają radia internetowe. Geeki nie mają problemów — słuchają swoich
egzotycznych stacji, najwyżej dadzą adres do przepuszczenia na
firewallu. Gorzej z dziewczynami, które chcą słuchać normalnego radia
— Planeta, albo RMF FM. Te stacje robią wszystko by uprzykrzyć życie
administratorom, a tym samym pozbawić siebie części słuchaczy
w zabezpieczonych sieciach. Pomagają im w tym Microsoft i Macromedia (Real
został wykopany z interesu, widać za mało utrudniał).

Bo przecież nie może być tak, że na stronie jest po prostu URL do
strumienia audio w jakimś sensownym formacie i protokole. Często jest jakaś
aplikacja we Flashu, która używa Media Playera do odtwarzania transmisji.
Oczywiście Media Player czy też ta aplikacja Flash uruchomiony w IE nie umie
już ze skonfigurowanego proxy korzystać. Albo uparcie próbuje
uwierzytelniania Basic (o którym wiadomo, że jest niebezpieczne), albo nie
uwierzytelnia się wcale. Więc trzeba zrobić dziurę do przepuszczenia
odpowiednich adresów bez autoryzacji albo bez proxy. I okazuje się, że nie są
to tylko adresy radia, ale także jakichś plików z Microsoftu. Nie dość że je
sobie musi ściągnąć (czemu nie ma w systemie podstawowych kodeków do
podstawowych formatów, albo czemu radiu używa niestandardowych?), to nie umie
tego zrobić poprawnie. Oprócz Microsoftu oczywiście trzeba odblokować serwery
radia. Ale jakie? Nie ma tak prosto, żeby były jakieś nazwy hostów które
wystarczyłoby sprawdzić w DNS. Strumień jest adresowany numerkiem IP (bez
revDNS), a co! Niech admin zgaduje co to i niech mu się konfiguracja posypie
przy pierwszej zmianie IP (już co najmniej jedna była)! Nie będzie się obibok
obijał!

Na razie jeszcze się w to bawię… ale za którymś razem, jak znowu
koleżanka do mnie przyjdzie, że jej radio z nowu nie działa, to odpowiem jak
na rasowego admina przystało nie da się, albo u mnie działa, gdy
puszczę u siebie jakąś alternatywną stację.

Złośliwości sprzętowe

(z góry przepraszam za masę polskawo-anielskawych słówek ;-))

Ostatnio w firmie zajmujemy się łączami radiowymi. Obecne założenia to szkielet sieci na
urządzeniach Proxim Tsunami 5GHz, i łącza końcowe na 2.4Ghz. Jedno łącze 5GHz
działa już od paru tygodni i jest przez nie podłączona jedna duża sieć
osiedlowa. Niestety działy się z tym różne dziwne rzeczy (zawisało od strony
ethernetu satelity lub stacji bazowej). Upgrade firmware do 2.0 tylko pogorszył
sprawę. Na szczęście pojawiła się wersja 2.0.1, która wydaje się rozwiązywać
problem (przynajmniej na razie).

To był konkretny błąd, który najprawdopodobniej został naprawiony (ale wciąż nie
wiem na czym polegał), jednak pewne felery tych Proximów pozostają bez zmian, a
podczas wymiany firmware dały się mocno we znaki. Po pierwsze czas rebootu.
Urządzenie restartuje się kilka minut, a trzeba je restartować po większości
zmian w konfiguracji. Naprawdę nieprzyjemne. Po drugie — interfejs do
zarządzania przez WWW — nawet dość wygodny, ale jedynie w
przedlądarce z JavaScript. Oczywiście ze standardami W3C ma niewiele wspólnego.

Ze względów bezpieczeństwa adresów access-pointów nie routujemy w świat.
Niestety z routera nie da się tym zarządzać, bo tam nie odpalę graficznej
przeglądarki (wiem, że jak się uprzeć to się da, ale ja nie chcę). Postanowiłem
sobie więc forwardować porty przez SSH. I to nawet działa — dopóki nie
próbuję zmienić jakiegoś parametru. Zmiany robione są przez funkcje JavaScript,
które odwołują się do urządzenia po HTTP, ale z konkretnym IP, czyli nie przez
127.0.0.1 na który mam porty przekierowane. Muszę więc dla każdego urządzenia:
1. przeforwardować port przez SSH i 2. dodać regułkę iptables przekierowującą
odwołania do adresu urządzenia na tak przeforwardowany port. Kupa roboty jak na
interfejs mający ułatwić pracę administratorowi. 😦

Ale te Proximy są i tak lepsze niż AP DLinka (2.4GHz). Ten ostatni też ma interfejs
WWW do zarządzania, jednak nie działający w żadnej Linuksowej przeglądarce. Żeby
zmienić jakiś parametr muszę to badziewie podłączać do Win*. Brrrr…

Najlepiej wypada interfejs WWW switchy DLinka. Też używa JavaScript,
miejscami nawet Java (nawet do wyświetlenia tabelek!), ale można go normalnie
forwardować i działa w Firefoksie. Jest nawet dość wygodny, miejscami może nawet
bardziej niż telnetowy interfejs (bardzo fajny, pełnoekranowy) ze starszych
switchy tej firmy. W jednym (a może nawet nie tylko jednym) switchu mam nawet SSH,
ale połączenie (dokładniej wymiana kluczy) trwa tak długo, że raczej nie będę
używał.

Wracając do AP DLinka — w czwartek skonfigurowałem jeden taki do pary
z odpowiednim urządzeniem Proxima do radiołącza na 2.4GHz. Podłączone w biurze
działało. Wczoraj zamontowali Proxima na kominie, DLinka na dachu w pobliżu.
Było to jak już kończyłem pracę, ale donieśli mi telefonicznie, że to nie
działa. Podobno DLink nie odpowiadał nawet na pingi po ethernecie i
nawet po resecie do ustawieni fabrycznych — tzw.
zgon. Dzisiaj więc skonfigurowałem innego DLinka (tego samego typu) i pojechałem
go podłączyć na tym dachu. Niby wszystko OK, nawet DLink pisze że połączył się z
AP. AP (Proxim) przez jakiś czas pokazuje, że DLink jest podłączony, ale potem
go znika z listy. No i łącze nie działa. Kombinujemy jak możemy,
wyłączamy wszelkie filtry, szyfrowanie itp. i nic. Zadzwoniłem więc do drugiego
admina, żeby spróbował reanimować tego martwego DLinka. Okazało się że
jest sprawny i normalnie odpowiada na domyślnym (fabrycznym) IP.
Poprosiłem o sprawdzenie wersji firmware. Okazało się, że w tym niby
martwym
jest firmware 2.0.7 (piszę z pamięci), a w tym który próbowaliśmy
uruchomić 2.0.3. Kazaliśmy przywieść tamten. Skonfigurowałem, podłączyłem… i
ruszyło :-). Ufff.

Potem jeszcze w firmie trochę walczyliśmy z VLANami. Postanowiliśmy wydzielić
tę nową sieć do osobnego VLANa. Jednak był problem w skonfigurowaniu switchy, bo
nie mogliśmy się połapać na których portach ma być (w grę wchodziło 6 switchy 24
portowych)… nie ma to jak dobry bajzelek ;-). W końcu się
udało i chyba na razie wszystko działa jak należy. Oby jak najdłużej.

P.S. poprzedni wpis dla wybranych zalogowanych

Kto tu jest adminem?

W zapowiedziano mi, że w czwartek dostanę access-pointy i switcha do
skonfigurowania na radiołącze na pewnym kominie w Rudzie Śląskiej. W czwartek
sprzęt przyszedł… o godzinie 15:00 (pracuję do 16:00) i szef powiedział że
muszę to jeszcze tego dnia zrobić. Fajnie… sprzęt, którym nigdy się nie
bawiłem — więc go nie znam, do tego dwóch różnych firm (Proxim i
DLink), a mam go skonfigurować do poprawnego (uwzględniając separację VLANami
itp.) i bezpiecznego działania w godzinę (jak nie będzie działało, to będę się
wdrapywał na komin, żeby poprawiać). Zrobiłem to nawet. Napewno nie optymalnie,
ani nie w pełni bezpiecznie, ale działało.

W piątek dostaliśmy do tego switcha, więc mogliśmy też go skonfigurować i
sprawdzić radiołącze z VLANami. Działało. Na komin nie poszło — widać nie
było to tak pilne. Ale to by było za pięknie, więc pod koniec godzin pracy, po
zwisie innej radiolini szef postanowił to naprawiać. Zrobił upgrade na
access-pointach, po którym siadało wszystko, nawet łącze modemowe do centrali
(po chwilowym odłączeniu AP z radiolini od switcha do którego podłączony był
modem). Jak wychodziłem z pracy (już trochę po 16:00) to niby wszystko działało,
ale szef kontynuował psucie (właściwie naprawianie — przez downgrade
firmware’u do poprzeniej wersji) i jeszcze wieczorem coś trzebabyło przez
telefon ustalać. Dobrze, że przynajmniej nie musiałem więcej osobiście przy tym
grzebać.

Bałem się, że w weekend będę musiał jeździć naprawiać te radiówki, ale na
szczęście nie było to konieczne, więc sobotnia impreza (nie nadająca się do
opisania na tym poziomie) odbyła się praktycznie bez zawodowych zakłóceń.

W poniedziałek w pracy spotkała mnie niespodzianka. Szef przyniósł mi karteczkę
z nazwami i adresami access-pointów ze szkieletu naszej sieci radiowej —
tak jak je skonfigurował po kolejnych zmianach firmware.. Były to
nazwy i adresy zupełnie inne niż ja z drugim adminem ustaliłem i udokumentowałem
w naszych materiałach. Do tego jeden AP miał adres należący do switcha (którego
adresu szef nie zmienił — to switch też ma IP?). No kurde —
kto w tej firmie w końcu jest adminem?

Z jednej strony to nawet fajnie, że sam z tym firmware nie musiałem walczyć i
zajął się tym ktoś inny. Trochę nawet mnie to zaskoczyło, bo ostatnio szef nawet
nie zaglądał do serwerowni, bo prezesowi przecież nie wypada np. restartować
modemów (kiedyś czasem jeździł, bo miał znacznie bliżej niż ja). Z drugiej
jednak strony, to w końcu ja jestem odpowiedzialny za działanie całej
infrastruktury sieci i ja ustalam zasady adresacji, podziału łącza
(przyzwyczaiłem już się do tego, że szef regularni podnosi ponad rozsądny poziom
ograniczenie przepustowości łącza do sieci w której jest podpięty) itp. i raczej
nie powinno tak być, żebym o zmianach dowiadywał się ostatni (przecież mogłem
pół nocy stracić zastanawiając się dlaczego gdzieś pingi nie dochodzą).

Praca, praca, praca…

We wtorek pojechałem do Dąbrowy Górniczej instalować serwerek linuksowy
(katalog udostępniony w sieci lokalnej plu s Neostrada) w pewnej firmie.
Serwerek przygotowałem już wcześniej, ale niezbyt dobrze i kupę czasu straciłem
na walce z tą Neostradą. Okazało się, że pakiet speedtouch w PLD zawiera
sterownik kernelowy, ale dokumentację do sterowników userspace – jednego z
drugim nie dało się pogodzić. Dopiero gdy podłączyłem modem do jakiegoś Windowsa
(błe) i wygooglałem właściwe HOWTO udało mi się to odpalić (na sterowniku
kernelowym). Przy okazji przekonałem się na własne oczy że hotplug jest do d….
Coś takiego jak hotplug jest potrzebne i byłoby to super gdyby działało jak
należy – podobnie do pcmcia-cs. Ale jak po podłączeniu modemu odpalało mój
skrypt do inicjalizacji tegoż kilka razy równolegle, to ja dziękuję.

Serwerek miał też robić backupy udostępnionego katalogu na ZIPa. Wymyśliłem
sobie, że będę tam robił też backup całego systemu i zrobię to tak, żeby się
wszystko odtwarzało prawie bezobsługowo. Pracowałem nad tym dzień wcześniej w
firmie. Nie udało mi się zabootować Linuksa z FATowej (dla przenośności danych z
backupu) partycji na tym ZIPie, więc zrobiłem bootowanie z dodatkowej dyskietki.
Wszystko ładnie działało, nie zdążyłem tylko do końca przetestować odtwarzania
danych. Na miejscu też nie przetestowałem, bo walczyłem z tą Neostradą. A w
końcu się okazało, że nic z takiego kompletnego backupu – poza kopią systemu na
tą dyskietkę ZIP nie wiele wchodzi, a w końcu backup danych jest ważniejszy.

W środe siedziałem normalnie w firmie. W czwartek wyjechałem tylko do jednego
klienta sieci osiedlowej w Zabrzu. Normalnie do klientów tych sieci nie jeżdżę,
ale ten był wyjątkowy – była to firma i ich sieć lokalna była odseparowana od
całej sieci osiedlowej routerkiem linuksowym, oczywiście postawionym przez nas.
Chodziło tylko o aktywowanie internetu w nowym komputerze (inna karta sieciowa),
ale że już za cholerę nie pamiętałem co właściwie było na tym routerku
(instalowany z 2 lata tem), ani jakie tam może być hasło roota, to musiałem tam
pojechać. Pojechałem, zrobiłem, wróciłem. W sumie warte odnotowania tylko
dlatego, że zwykle z biura nie ruszam się dalej niż na serwerownię. Tego samego
dnia dowiedziałem się jeszcze, że w piątek w Dąbrowie na tym serwerku muszę
zrobić jeszcze serwer drukarki dla Windowsów (podobno powinienem już dawno o tym
wiedzieć, bo byłem przy tym jak było to ustalane). Ostatnio robiłem coś takiego
parę lat temu, gdy jeszcze nie było CUPSa, a i samba miała nieco mniejszy
numerek. Wygooglałem jakieś HOWTO na ten temat i poczytałem sobie. Nie wyglądało
na banalną sprawę, ale oczywiście do zrobienia.

W piątek więc znowu do Dąbrowy. Nie z samego rana, więc zdążyłem przynajmniej
pocztę poczytać. Po drodze kumpel z którym jechałem musiał coś w Actionie
załatwić. Dobrze że wziąłem książkę, bo długo tam musiałem czekać. Gdy już
dojechaliśmy na miejsce zabrałem się za robotę i właściwie poszło to bez
problemu. I to nawet w trybie normalnego serwera drukowania, a nie tylko
spooler-only. Dobrze że drukarka była PostScriptowa. Skonfigurowałem klientowi
konta pocztowe na naszych serwerach, zrobiłem jakieś inne drobiazgi których już
nie pamiętam, ale jak zbieraliśmy się do wyjazdu to było już po 15:00 (pracę
normalnie kończę o 16:00). Po drodze jeszcze raz mieliśmy zajrzeć do Actiona, po
obudowę. Zabraliśmy obudowę, jedziemy dalej, gdy byliśmy pod rondem w Katowicach
dzwoni telefon, że jeszcze po coś do Action trzeba wstąpić. Sprowrotem, znowu
czekanie, znowu rondo, gdzie straszny korek… i w firmie byliśmy o 16:15. Nawet
nie tak źle, tyle że ja od rana nic nie jadłem, a do domu jeszcze 45 minut jazdy
tramwajem. Wróciłem głodny i straszliwie zmęczony (właściwie nie wiadomo
czym).

Dobrze że w domu czekał pyszny obiadek – musiałem tylko go sobie odgrzać. Po
obiadku się położyłem, ale nie długo było mi dane leżeć, bo szef dzwoni z firmy,
że jest problem z jedną siecią i mam posprawdzać czy to nic u nas. Sprawdzam
(resztkami sił) i nie wygląda żeby to był router, modemy czy coś innego za co
odpowiadam. Drugi admin też sprawdzał i doszedł do tych samych wniosków. Na 90%
coś w sieci lokalnej. Niestety trochę później znowu mnie telefon wyciąga z łóżka
– mam to zgłosić na Błękitną Linię. Nie sądzę, żeby to była dzierżawka, ale
cóż… szef każe, to się robi. Zgłosiłem, zjadłem kolację i poszedłem spać (dużo
wcześniej niż zwykle, bo około 21:00).

Wczoraj jeszcze dzwonił Tato, że w Katowicach jest jakiś festyn i może nas
zabrać. Umówiliśmy się, że jak będzie ładna pogoda to jedziemy, a dokładniej się
umówimy dzisiaj około 10:00. Gdy dzisiaj zadzwonił ustaliliśmy że jedziemy –
będzie po nas o 11:05. Jednak wcześniej zadzwonił szef, że trzeba coś z tą
niedziałającą siecią zrobić – przepiąć ją na radiolinię. Drugi admin, najpierw
nie odbiera telefonu, potem jest „nieosiągalny”. Muszę sam się tym zająć, a
nawet nie znam do końca aktualną konfigurację tej radiolinii – jej testowaniem
zajmował się raczej ten drugi admin. Skonfigurowałem router i switche, ale
okazało się, że ktoś musi pojechać do firmy i access pointa wpiąć do prądu i
odpowiedniego portu w switchu. Zanim to wszystko się udało załatwić, to było już
dawno po 11:05, a wycieczka nam przepadła, ech… :-(