Лига Сисадминов

Кому не интересно, можно сразу переходить к блоку «как лечить».

Симптомы:

Итак, ранним осенним утром внезапно отвалились почти все сервисы для одного из филиалов. Симптомы: один пинг проходит и дальше «тишина». Иногда может пролететь еще 1 icmp, но редко. При повторном запуске пинга даже одного пакета уже не пролетает, если не выдержать паузу в несколько минут. Отвалились не все сервисы, но большинство.

Та часть схемы сети, которая нас интересует:

Понятно по схеме, что грешить сразу стали на красный ящик WatchGuard Firebox, но на нём явно никаких блокировок в логах не обнаружено. Поэтому коллега пока пускал трафик до самых важных сервисов в обход, а я ставила WireShark на то, что не столь нужно вот-прям-щас.

Что происходит:

Итак, что показал WireShark:

А показал он нам, что после первой же пары request/reply нам прилетело от Watchguard сообщение ICMP redirect (type 5; code 1), в котором сказано примерно следующее «братюнь, да что ты мне своими реквестами отвечаешь, я тут посмотрел – у меня есть более крутой маршрут для этого хоста – шли всё на шлюз 10.77.10.254».

Вот тут и дошло до меня, что ICMP – это не только пинги, но и «Internet Control Message Protocol». Из вики: «ICMP-сообщения с типом 5 используются маршрутизаторами для обновления записей в таблице маршрутизации отправителя». Далее, собственно, request по-прежнему приходит с WatchGuard, а reply уходит на D-Link. При этом, на сервере есть статический маршрут в сеть 10.97.0.0/16 (через 10.77.10.3), а системе строго срать на этот маршрут! Всё потому, что на самом деле при получении сообщения redirect, маршрут на хост (то есть более специфический) добавляется в таблицу маршрутизации на 10 минут. Но route print его не показывает. И не нужно гнать на винду: во всех debian были всё те же симптомы.

Почему это происходит:

Беда Особенность Watchguard, как и микротиков, что Site-to-Site IPSec не является интерфейсом, не участвует в таблице маршрутизации, и, соответственно, маршруты на сеть за поднятым туннелем вы в ней не увидите. На нашем ватче был маршрут 10.0.0.0/8 на 10.77.10.254, так как за D-Link находятся все остальные филиалы (агрегированные по /16 каждый), чтоб не писать маршрут на каждый филиал (их 50, а динамической маршрутизации нет). Из-за особенностей Watchguard получилось так, что на 10.97.0.0/16 маршрута он не видел. Раньше, кстати, всё было ок до последнего обновления прошивки.

Почему некоторые сервисы и все компы были доступны: на них стоял касперский с сетевым модулем, который отбрасывал эти сообщения как небезопасные.

Что было сделано и не помогло:

Попробовали задрать метрику на маршруте 10.0.0.0/8 на WatchGuard – не помогло. Попробовала сделать правило фильтрации по типу ICMP и блочить эти сообщения – не помогло, через это правило трафик с сообщением редиректа не проходил.

Ну и были перечитаны кучи мануалов по отключению редиректа на WatchGuard – ничего рабочего не нашлось.

Как лечить в итоге:

На линухе лечится тремя командами (2 чтоб прям вот сейчас, одна, чтоб прям вообще).

Запрет приёма редиректа:

/sbin/sysctl -w net.ipv4.conf.eth0.accept_redirects=0

Запрет отправки редиректа:

/sbin/sysctl -w net.ipv4.conf.eth0.send_redirects=0

И чтоб вообще:

echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects

Ну и может networking рестартануть, делала машинально.

При этом редиректы продолжают падать, но эффекта не оказывают:

На винде правится параметрами реестра, но эффекта до перезагрузки не оказывает (даже если выключить-включить сетевой интерфейс). Параметр в ветке

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

называется EnableICMPRedirect и выставляется в 0. По некоторым советам гугла (про Windows 2000 простихосподи), добавляла еще EnableICMPRedirects (во множественном числе). НО! После ребута сообщения redirect на машинах с исправленном параметром вообще не регистрируются WIreShark’ом, что меня несколько смутило (а вдруг вернутся?). Ну и ребутать over 100 серваков – такая себе идея.

Так что в итоге убрала маршрут 10.0.0.0/8 и добавила вместо него два:

10.0.0.0/10 и 10.64.0.0/11 – получились все сети от 10.0 до 10.95 включительно, а 97-ая, как видите, не вошла, что нас в принципе устроило. Проблема ушла.

То, что обычно пишут в начале поста:

Предыдущий мой пост на ИТ тематику был более 2 лет назад.

Чуть раньше этого я познакомилась на пикабу с классным чуваком, а полтора года назад мы поженились. Сисадмин и программист – норм сочетание оказалось =)

Я попробовала писать на хабр (мне даже одобрили аккаунт за тот пост), но мне не понравилось – на пикабушечке и аудитория поживее и можно не так цензурить текст.

А ещё наш офис вместе с серверной, которая уже стала мини-ЦОД для компании два раза за два года переехал. Если кому интересно – напишите в комментах, могу сделать пост о том, как происходит такой переезд, что мы планируем на каких этапах и т.д. На идеал не претендуем, происходит та ещё трешанина, но рассказать могу.

Здарова Хабр, не знаю на сколько актуальна сейчас данная тема, но по крайней мере точного решение этой проблемы я так и не нашёл, пришлось как то применять все сразу и в разных порядках. Это своего рода ответ или подробный гайд на тему Pre-boot authentication для Acer ноутбуков.
И так, столкнулся с этой проблемой на своём Acer Nitro 5 и уже было думал нести его в СЦ прежде разгромив ТП Acer и оставив о себе там плохое мнение. А способ решения был очень прост.
1. Отключить ноутбук от питания
2. Отключить батарею на задней крышке, иголкой или скрепкой для лотка сим карт.
3. Вытащить ОЗУ
4. Найти контакты JCMOS1 и замкнуть их
5. Вставить питание в ноутбук
6. Включить его и замыкать спикер в течение 5 секунд
7. Выключаем ноутбук но не перестаём замыкать
Как только ноутбук включиться можно расслабить свои пальчики.
Далее ноутбук будет перезапускатся в течении 5-10 минут (это не нормально, но все же) и после нормального запуска заходим в биос.
Что же мы сделали? Мы сбросили биос а в месте с ним и аварийный код восстановления который появляется после 3х неудачных попыток ввода пароля.
8. Берём этот код и идём на сайт bios-pw.org и вводим там наш аварийный код.
9. Получаем 2 пароля и вводим их в этом же окне где нам биос выдал аварийный код. В моем случае это был первый 12 символьный.

P.S Спасибо магазину @DNS города Саянск за такой геморой с биосом(ведь компания Acer заверила что ноутбуки выходят с завода чистые и без паролей) и спасибо компании @ACER за то что как всегда не можете мне помочь и отправляете в свои СЦ за деньги решать проблемы которые можно решить удалённо ❤️

А ну и ещё хочу пометить что я сам точно не мог поставить пароль на биос а мой ноутбук всегда при мне и кто то пошутить поставить пароль точно не мог😉

Всем привет! Друзья, если сказать, что голову сломал, ничего не сказать. Приехал к родителям, у них делали ремонт примерно год назад и проводили витую пару в стене для подключения интернета. К роутеру линия приходит нормально, но дьявол кроется дальше.

Рядом с роутером установили розетку Schneider Electric ethernet-мама, чтобы соединиться с Lan портом, а в другой комнате такую же, чтобы от неё подключить к компу. То есть получается, Роутер~розетка~стена~розетка~комп.

Тестирую скорость - максимум 90-100mbs, хотя должно быть 300 от провайдера.

1) решил проверить не в сетевой ли карте на компьютере или портах роутера проблема. Кинул провод напрямую, работает, скорость 300. Значит исключаем.

2) думаю, ну может одна из 8 жил перебита при монтаже, проверяю провод RJ-45 тестером. Все проходит проверки, лампочки загораются последовательно от 1-8, значит провода целые!

3) на всякий случай разобрал розетки и снова по схеме B в обеих обжал, все равно не работает как должно.

4) решил тестер проверить, в розетке один провод снял и тестер это видит, значит рабочий.

5) пытался в свойствах адаптера на компьютере принудительно выставить 1Gbs Full Duplex, просто пропадает интернет соединение вообще. В авто возвращается к 100Mbs Full Duplex.

6) проверял маркировку провода - проложен именно Cat-5e.

Я искал информацию в нете, но ничего толкового не нашел. Просто прокладывать новый кабель не вариант, так как это надо бить стенку и снова заниматься ремонтом. Поэтому надеюсь на силу Пикабу найти тот самый коммент, который подскажет, где может таится проблема и как ее можно устранить!

Вспомнилось тут на волне историй про представителей бизнеса, экономящих на скрепках.

Был я молод и неопытен, работал сисадмином в автосалоне. Салон тот принадлежал к крупной и известной сети, поэтому вся работа (CRM, продажи, сервис и так далее) была завязана на внутренние приложения, сервера которых физически находились в центральном офисе. Подключались туда, соответственно, по VPN через интернет.

Канал в интернет у автосалона был по тем временам довольно жирный: прямая оптика от местного провайдера. Одна проблема - канал этот был только один. Я неоднократно предлагал руководству запилить резервный канал хотя бы по воздуху через популярный в те времена WiMAX, цена вопроса - ну от силы тысяч 20 в месяц. Ответ был всегда одинаков: "у нас никогда не было проблем с интернетом, нечего деньгами разбрасываться".

В один прекрасный день наш провайдер что-то не поделил с собственником помещения, где находился его квартальный узел. Собственник обесточил все оборудование, порезал кабели и три дня не пускал в помещение ремонтную бригаду. Доступ в интернет восстановить удалось спустя полдня путем срочной закупки WiMAX оборудования, доступ к внутренним приложения сделали только к середине второго дня из-за проблем согласований с центральным офисом. Убытки исчислялись миллионами.

Как только основной провайдер восстановил свой канал, WiMAX железо было демонтировано и сдано обратно в магазин. Потому что "ну это же один раз такое случилось, снаряд дважды в одну воронку не падает, а железо денег стоит". Моими возражениями подтерлись.

Я оттуда уволился спустя месяц. Через пару месяцев бывшие коллеги рассказали, что автосалон снова наступил на те же грабли - в этот раз по причине залетного экскаватора. А еще через полгода в новостях я прочитал, что салон закрылся по причине неликвидности.