Размышлительное

Jul. 18th, 2025 08:23 am
vitus_wagner: My photo 2005 (Default)
[personal profile] vitus_wagner

Интересно, как испортилось понятие VPN. Почти так же как испортилось понятие телефонный звонок. В наше время, "у меня зазвонил телефон" это почти эквивалентно "спам пришел". А когда-то еще пару-тройку десятилетий назад телефон был средством общения людей, у которых есть не только что сказать друг другу. но и что совместно делать.

Электронная почта, что характерно, испортилась в меньшей степени. Хотя тоже испортилась.

VPN исходно это Virtual Private Network. Способ объединить компьютеры принадлежащие кому-то (человеку, фирме, сообществу), подключенныхе через разных провайдеров и находящиеся в физически разных местах, для того чтобы они могли взаимодействовать между собой. Особенно актуально в связи с тем что интернет тоже испортилися и из peer-to-peer сети превратился в сочетание серверов и фактически терминалов. Поэотому удаленно работать с компьютером, подключенным через другого провайдера, за парой NAT-ов и файрволлов не получается без наложения на общедоступную сеть виртуальной частной.

Но сейчас VPN в масовом сознании это "средство обхода цензуры". А не средство взаимодействия между удаленными компьютерами. Компьютеров в этой модели нет. Есть веб-странички и бразуеры.

X-Post to LJ

Tags:
  • Add Memory
  • Share This Entry

Про хостинг

Jul. 17th, 2025 09:39 am
vitus_wagner: My photo 2005 (Default)
[personal profile] vitus_wagner

Интересно, а у какого хостера в России сейчас имеет смысл покупать VPS?

Требования:

  1. 100Gb места
  2. Чтобы можно было держать почтовый сервер (первичный MX для пары доменов)
  3. Чтобы можно было tun, ipsec, wg и так далее. Т.е. полноценная виртуализация, а не VZ-контейнер.
  4. Все это в пределах 10круб/мес.

Количество ядер, объем памяти и т.д. некритичны пары ядер и пары гигов вполне хватит, php-шные вебсайты мне хостить не надо.

X-Post to LJ

Tags:
  • Add Memory
  • Share This Entry

Скандалы последних лет

Jul. 15th, 2025 09:05 am
Tags:
  • Add Memory
  • Share This Entry

И еще о ssh vpn

Jul. 12th, 2025 07:32 pm
vitus_wagner: My photo 2005 (Default)
[personal profile] vitus_wagner

Разобрался тут, как использовать опцию -w у ssh. Надо будет в рассказку дописать.

Токен %T в LocalCommand вполне работает. А на серверной стороне у команды которая передана в командной строке ssh есть переменная среды SSH_TUNNEL.

Получилось следующее:

  1. На сервере требуется опция PermitTunnel yes и PermitRootLogin yes в глобальном sshd_config и у рута в .ssh/authorized_keys ключи клиентов. Надо их ограничить, чтобы ничего лишнего не делал, прописав там command и прочее
  2. На клиенте в глобальном ssh_config PermitLocalCommand yes
  3. На сервере в /usr/local/bin скриптик sshnetsetup
  4. На клиенте в /usr/local/bin sshnetclient и sshvpn
  5. На клиенте в /etc/ssh файлиk vpn.conf, содержащий следующией настройки

```

 # !/bin/sh
 # Config file for  ssh vpn   

 # DNS name of server to connect to (required)
 SERVER=example.com
 # IP of this computer in VPN (required)
 MY_IP=192.168.217.194
 # IP of server in VPN (required)
 SERVER_IP=192.168.217.193
 # network to route via server (optional)
 NET=192.168.217.128/25
 # Port for dynamic port forwarding (optional)
 SOCKS_PORT=1080

```

SERVER - это имя сервера куда ходить по ssh в открытом интернете. А MY_IP и SERVER_IP - "серые" адреса внутри vpn. SOCKS_PORT - это чтобы не держать отдельной ssh-сессии для ssh -D, NET - это если нам сеть нужна не для обхода блокировок. а как виртуальная частная сеть, объединяющая наши компьютеры, вошедшие в интернет через разных провайдеров. На каждом клиенте для рута генерируется ключевая пара ssh и открытый ключ помещается руту на сервер.

На этом настройка заканчивася. Дальше запускаем sshvpn, оно устанавливает соединение и voila.

Скрипт sshvpn имеет следующий вид:

  #!/bin/sh
  if [ "$(id -u)" -ne 0 ]; then
     sudo "$0"
     exit "$?"
  fi
  if ! [ -f /etc/ssh/vpn.conf ]; then
      echo "No /etc/ssh/vpn.conf found"
      exit 1
  fi
  . /etc/ssh/vpn.conf
  ssh -w "any:any" -o LocalCommand="sshnetclient %T"  ${SOCKS_PORT:+-D "localhost:$SOCKS_PORT" }"$SERVER" sshnetsetup "$MY_IP"

Собственно интересны тут две последние строчки - прочитать конфиг и запустить ssh c кучей параметров из этого конфига. На клиенте в резулаьте выполнится следующий скрипт

#!/bin/sh
. /etc/ssh/vpn.conf
DEVICE="$1"
ip addr add dev "$DEVICE" local "$MY_IP" peer "$SERVER_IP"
ip link set "$DEVICE" up
[ -n "$NET" ] && ip route add "$NET" via "$SERVER_IP"

Он прочитает тот же конфиг и сконфигурирует интерфейс, имя которого ему передано в командной строке через токен %T (см раздел TOKENS в man ssh_config)

На сервере выполняется вот такой скрипт:

#!/bin/sh
client=$1
if  [ -z "$client" ]; then
    client="${SSH_ORIGINAL_COMMAND##* }"
fi
ip addr add 192.168.217.193 peer $client dev $SSH_TUNNEL
ip link set $SSH_TUNNEL up
# now wait until other side would break connection
cat

Он конфигурирует интерфпейс указанный в переменной среды SSH_TUNNEL в переданный ему в командной строке из клиентского sshvpn IP-адрес, а потом запускает команду cat, т.е. ждет ввода на stdin до упора. Пока SIGINT не прилетит. Если в authorized_keys мы пропишем command=/usr/local/bin/sshnetsetup, то параметр $MY_IP sshd в скрипт не передаст. Зато засунет оригинальную команду в SSH_ORIGINAL_COMMAND, откуда этот адрес мы и выкусываем. Особые параноики могут там использовать какой-нибудь sed, чтобы убедиться что ORIGINAL_COMMAND это действительно sshnetsetup ip-address.

При таком сетапе, когда IP-адреса клиентам назначаются явным образом и прописываются на клиентах же в конфиг, нет необходимости что-то делать с динамическим DNS можно всех клиентов статически прописать.

Теперь бы еще разобраться как совместить это дело с SessionType=none (aka -N) и RemoteCommand.

Tags:
  • Add Memory
  • Share This Entry

ssh в качестве виртуальной приватной сети

Jul. 12th, 2025 06:17 pm
vitus_wagner: My photo 2005 (Default)
[personal profile] vitus_wagner

У ssh есть, как известно, ключик -w который позволяет аллоцировать на обоих концах виртуальный сетевой интерфейс и гонять через свое ssh-соединение любой траффик.

К сожалению никакого удобного сервиса, аналогичного тому что есть почти у всех прочих фич ssh вокруг этой опции не сложилось.

Получается следующее

  1. На обоих концах пользователь должен быть рутом, а то будет ошибка device setup failed.
  2. Команды для конфигурирования интерфейа и маршрутов нужно запускать самому, никакого сервиса не предусмотрено.
  3. Предусмотрена возможность передачи имени аллоцированного интерфейса в команды, указанные как LocalCommand и RemoteCommand, но у меня что-то нифига не получилось.

Соответсвенно встает задача как организовать работу по схеме "звезда". Т.е. когда есть n девайсов, которые могут ходить по ssh на некий центральный сервер, и данный сервер должен им устроить полноценную виртуальную сеть, вне зависимости от того, сколько из них и в каком порядке пришли. Полноценную, это значит что они видят не только сервер и выполняющиеся на нем серверные процессы (dovecot, postfix, http-proxy), но и друг друга. Поичем друг друга полноценным способом.

Ну собственно, очевидный вариант - прописать каждому девайсу при его настройке номер tun-интерфейса, который оно должно запрашивать на сервере, а дальше в зависимости от этого номера плясатьj, назначая IP.

Интерфейс у них там по умолчанию point-to-point но можно включить режим ethernet. Правда не совсем понятно есть ли в этом хоть какой-то смысл.

Этот вариант мне не нравится, но сойдет для сельской местности.

Далее, у команды которая выполняется в ssh-сессии может быть переменная вреды SSH_USER_AUTH, указывающая на файлик, где лежит инфрмация о пользовательском ключе. (Чтобы ее включить, в sshd_config напишите ExposeAuthInfo yes) можно взять этот файлик, прочитать его, потом поискать сооответствующий ключ в authorized_keys и найти там последним полем комментарий, который как правило, содержит имя машины, на которой сгенерена ключевая пара. Дальше уже танцевать от имени машины. Это удобно, если все клиенты - линуксовые машины и админ серевра все равно знает их по имени (что, впрочем, необхдимо и для того, чтобы пользователи могли с одной машины к другой обращаться по имени).

Все примерны, которые мне удалось нагуглить в интернете, используют ifconfig. Он у нас вроде как deprecated, хотя в пакет net-tools в trixie поставляется.

Но аналогичных результатов можно добиться и с использованием iproute2.

  ip addr set $address peer $serveraddress dev $device
  ip link set $device up

на клиенте

  ip addr set $serveraddress peer $adddess dev $device
  ip link set $device up

на сервере.

Вообще, видимо, самое логичное - запускать ssh с ключиком -w из скрипта передавая на сервер в параметрах и номер интерфейса и ip-адрес. Это несколько менее удобно чем хранить всю конфигурацию на сервере, но что делать.

Tags:
  • Add Memory
  • Share This Entry

на каждую хитрую жопу всегда найдется свой х.... с винтом

Jul. 11th, 2025 12:43 pm
tima: (Патриот)
[personal profile] tima
На потуги VP (©) покончить с "гражданством по праву рождения" окружной судья Нью Хэмпшира Джозеф Лаплант ответил своим решением: он блокировал решение администрации отменить "право на гражданство по рождению", введенное в Конституцию США 14-ой поправкой, и сертифицировал судебное дело, как "class action case", который распространяется на всю страну и относится к рожденным в США детям тех, чье пребывание в стране на момент принятия решения администрацией VP (©) (20 февраля этого года) было нелегально или не вполне легально, а также к тем, кто на тот момент находился в США на учебе, имея лишь временную визу.

P.S. Если что - упомянутый судья был назначен на свое место Бушем-старшим.
Tags:
  • Add Memory
  • Share This Entry

Некоторые данные по еврейскому вопросу

Jul. 10th, 2025 10:42 am
tima: (Default)
[personal profile] tima
Все мы знаем и помним что случилось 7 октября 2023-го года: примерно 1200 израильтян было убито и примерно 250 живых и мертвых израильтян был похищено в Газу. Помним и ответ Израиля на этот шаг хамаса, приведший к десяткам тысяч погибших жителей Газы (по данным их правительства), миллионы жителей Газы были перемещены внутри ее территории, более миллиона потеряли свои дома. Во время более, чем 630 дней войны в Газе, Израиль потерял сотни своих солдат убитыми, при том, что по данным Израиля примерно 20 израильских заложников все еще могут быть живы и находятся в подземных тоннелях Газы. Но посмотрим как изменилось отношение к Израилю с того рокового момента и начала войны.

До этого трагического момента истории поддержка Конгресса США была практически безоговорочной с подавляющим большинством голосовавшим "за" Израиль. Теперь мнения в правительстве США поляризованы, со всех сторон слышны дебаты по "геноциду, проводимому Израилем". Протесты и демонстрации против действий Израиля прошли в огромном количестве американских университетов. И даже в самом Израиле все не так однозначно, там также определились две большие группы: одна - за войну до полной победы, несмотря ни на что, вторая - за любые меры (вплоть до прекращения оккупации Газы) по освобождению все еще живых заложников. Борьба между этими группами временами доходит почти до рукопашной.

Интересна обстановка по этому вопросу в Англии. Если кто не в курсе, там еще в 1982 году была организована группа Palestine Solidarity Campaign, которая до зверской атаки 7-го октября насчитывала примерно 65 тысяч членов. В данный момент в группе уже более 300 тысяч. И если два года назад активных центров этой группы в Британии было менее 65, то сегодня их количество превышает 100.

По опросу Pew Research Center, уже более 24 стран высказывает откровенно негативное мнение об Израиле, причем в 20 странах более половины населения придерживается отрицательного мнения об Израиле. В числе этих стран: Австралия, Греция, Япония, Испания, Швеция, Голландия, Индонезия, Турция, в которых против Израиля высказывается более 75% (!) опрошенных. И лишь две страны пока что остались "верны" Израилю, показав в этом опросе положительное мнение об Израиле - это Кения и Нигерия.

В Штатах сегодня поддержку Израиль находит лишь у 46% опрошенных (последний опрос Гэллапа) - самый худший показатель за четверть века. Треть опрошенных симпатизирует палестинцам. В 2003 году таких было лишь 13%.

С этим всем надо что-то делать. И под "что-то" я вовсе не поддерживаю политику нынешнего президента в отношении университетов и колледжей. Как мне кажется, это приведет к ровно обратному результату от желаемого.
Tags:
  • Add Memory
  • Share This Entry

Про сервер и блокировки

Jul. 10th, 2025 08:48 am
vitus_wagner: My photo 2005 (Default)
[personal profile] vitus_wagner

Что-то мобильные операторы совсем невзлюбили мой сервер (с проводного Ростелекома из московской квартиры imap и smtp вполне работают).

Теперь уже и на 443 порту все плохо - Фотку кисоньки по вебдав не выложишь - большие POST и PUT запросы по https таймаутятся. Что, кстати, мешает отправлять письма через webmail.Если письмо больше нескольких килобайт, например как нынче любят - с топквотигном, отправка не проходит. Фактически единственное что (пока) работает это ssh. И то только на 22 порту. На 443 уже как-то не очень.

Отдельный квест в этих условиях - почитать почту с нерутованного смартфона. Я этот квест решил, но ход решения, пожалуй, здесь описывать не буду.

Видимо, надо хостинг-провайдера менять. Возможно, на российского. Поскольку есть подозрение что там хостинговый датацентр запретами специально обложен. А для фото кисонек и текущей почты российский провайдер не сильно хуже нероссийского. И с оплатой проще. Или найти какого-нибудь провайдера в стране против которой РКН ничего не имеет - в Бразилии, например или Вьетнаме?

Жалко, конечно что ipv6 так толком и не взлетел. Я тут в мегафоне подключил эту услугу - а шиш. Из трех роутеров только один сумел получить ipv6 адрес - Huawei-вский travel router. Причем он это как-то сам, после чего я полез смотрерть, нельзя ли на других симках это включить. Но ни openwrt на TN MR6400, ни Olax c родной прошивкой не видят ipv6. Насколько я понимаю, там до OpenWRT дело не доходит. Получить какой-то префикс должен QMI-модем с проприетарной прошивкой.

Был бы везде IPv6 можно было бы почту опять держать под кроватью как я на протяжении полутора десятилетий делал. Правда с моим нынешним образом жизни, когда моя квартира по полгода стоит с отключенным электричеством тут тоже есть проблемы.

UPD. У МТС теперь в Тверской области IPv6 есть. Но зато сигнала во всей округе нет.

Tags:
  • Add Memory
  • Share This Entry

Дуракам закон не писан. А писал его кто?

Jul. 9th, 2025 10:09 am
tima: (Мыш)
[personal profile] tima
"Люди привыкли по каждому, даже самому вздорному
поводу прибегать к могущественной помощи закона.
Закон теребили, как комнатную собачку."

"Золотой теленок"
И.Ильф и Е.Петров

В правительстве Астралии готовится новый закон, который должен вступить в силу в декабре этого года. Согласно нему вся молодежь до 16 лет не может иметь никаких эккаунтов ни на каких social media платформах. Таковых сегодня в Австралии насчитывается примерно чуть более миллиона душ.

Беда только в том, что, несмотря на то, что до введения закона в силу осталось менее полугода, никто толком не может понять как будет исполняться этот закон. Например, большинство подростков честно ответило, что имеет эккаунт на YouTube. Правительство понимает ценность этого сервиса и решило не вносить его в "запрещенный" список. Но это означает, что на YouTube в пределах Австралии будут наложены определенные лимиты: что можно показывать детям, а что - нет. То есть как-то надо будет воздействовать на YouTube. Пока что решено за нарушения (какие?!) накладывать штраф в размере до 3 млн австралийских долларов на такие вот разрешенные платформы, но тут вдобавок возникает еще и проблема идентификации пользователей, за обман которых разрешенные платформы отвечать не собираются.

Часть законодателей Австралии (и не только) считает, что YouTube исключать из списка не стоит, потому что три четверти подростков от 10 до 15 лет весьма интенсивно его используют, а на нем чего только не найдешь... YouTube, в свою очередь, заявил Австралии, что они никакая не социальная платформа, а чисто-конкретно streaming сервис, и практически каждые 4 из 5 австралийских учителей используют YouTube в классах, поэтому уж точно YouTube не должен попадать в австралийский "запрещенный" список.

В общем, вопросов возникает много, но лично меня радует, что "процесс пошел". В мае точно такой же закон начал обсуждаться и в Новой Зеландии, а также аналогичные обсуждения уже ведутся и в нескольких штатах США. Доживем ли до момента, когда в метро подростки снова начнут читать книги вместо того, чтобы скролать тиндеры, тиктоки и остальное времяпоглощающее говно.
Tags:
  • Add Memory
  • Share This Entry

American Dream

Jul. 8th, 2025 08:39 am
tima: (Патриот)
[personal profile] tima
Моя семья и мои родители приехали в эту страну из Советского Союза. Мы приехали сюда с двумя чемоданами на нос, у нас не было никаких гарантий трудоустройства, у нас не было дома, у нас не было плана, мы даже толком не говорили по-английски. Единственное, что у нас было точно - вера в то, что, в отличие от той страны, Америка даст нам шанс начать все заново, а нашим детям - пойти дальше нас. Можно сказать, что в итоге нам повезло, а можно сказать, что мы все это заработали, учась и впахивая на нескольких работах одновременно. Нашим детям поначалу было очень непросто, они, как и мы, лишились дома, школы, друзей, всего, что у них было "там". И они никак не могли понять почему и за чем мы уехали. Но они слушали наши советские истории за обеденным столом, и внимали мысль, что приехать в Америку означает получить возможность иметь и без опаски высказывать свое мнение, не боясь знакомой советской реакции называть свою еврейскую фамилию, выбирать свой собственный путь и жить без страха, а значит - быть свободным.

Наш новый мир был свободен от всего, что моим родителям, их родителям и нам пришлось пережить: повседневный нескрываемый и правительственно насаждаемый антисемитизм, государственную цензуру, слежки и аресты, романтизацию бессмысленной работы на заводах и фабриках, выпускавших никому не нужные товары, все эти лозунги "догоним и перегоним!" во время брежневской экономической стагнации, грабительские обмены денег, повальную коррупцию чиновников, которые выполняли приказы "родной и любимой коммунистической партии" и, самое главное, - беспросветную обречёнку впереди. На себе лично приходилось не раз испытать пресс многоуровневых структур запугивания, которые защищали тех, кто обладал властью, заставляя обычных людей молчать, жить в страхе, бедности и вечной дороге в никуда.

Наши дети пошли в простые public американские школы, где они выучили наизусть Pledge of Allegiance, стали смотреть американское ТВ и слушать американское радио, завели друзей-американцев, овладели английским с настоящим бостонским акцентом. Помню, в тот день, когда через пять лет мы все натурализовались, меня пробила мысль:"Мы - настоящие американцы! Мы - смогли! И наши дети смогут еще больше, мы ведь для этого и приехали."

И наши дети пошли дальше, американская мечта сбылась и продолжает сбываться: у одной за плечами Университет Джорджа Вашингтона, за ним Бизнес Школа Коламбии, работа в Хенри Шайн, потом в АмерикэнЭкспресс, затем в Визе и, наконец, собственное предприятие. У другой Университет Мичигана, за ним Университет Массачусеттса, работы в исследованиях рака, научные медицинские исследования, наконец Мастерат в Университете Орегона и работа Lead Registered Nurse в кардиоотделении ICU крупнейшего госпиталя Портланда в Орегоне.

Сегодня, однако, мою американскую гордость грызет чувство предательства, причем не только со стороны лидеров страны, действующих в личных интересах, но и со стороны моих соотечественников-американцев, чье молчание и принятие лжи позволяют процветать опасным процессам, продвигаемым нашими лидерами. Соотечественники-американцы этого не знают, а мы проходили все это на своей шкуре до самого отъезда, и сегодня это в полной мере проходят россияне, которые каждый день видят и слышат как легко власть маскирует все свои действия и их объяснения под моральный обман.

Я обожаю сцену из фильма "K-PAX", где Кевин Спейси в ответ на вопрос:"У вас что - нет законов?" говорит:"У нас нет законов, нет юристов - любое существо Вселенной и без того прекрасно знает разницу между правильным и неправильным." И для меня эта сцена всегда будет напоминанием о парадоксе законов, о том, что иногда выполнение законов становится соучастием в преступлениях, а неподчинение им становится нашим долгом. Скажем, Роза Паркс нарушила закон — и она была права. А охранники нацистских концлагерей, руководители табачных и фармакологических компаний или те же бухгалтеры Enron (можете продолжить список сами) — все они прятались за законом — и они были на стороне зла. Я считаю, что наша человеческая мораль не может прикрываться соблюдением законов. Как мне кажется, она заключается в нашей совести, которая должна уметь отличать добро от зла, а не начинать искать себе оправдание в законодательстве.

Сегодня я, американец, живу в Америке, которую я больше не узнаю, которая с каждым днем становится похожа на то место, откуда моя семья уехала. Вокруг меня целые группы университетов борются за свое существование с федеральным правительством, которое пытается заставить их замолчать. Вокруг меня огромное количество людей, которые ненавидят иммигрантов только потому, что они приезжают в эту страну сегодня, по словам правительства, практически все они поголовно совершают ужасные преступления и отбирают нашу работу, а эти люди приехали сюда "давно", и видимо поэтому преступлений они не совершают и работу ни у кого не отбирают. Вокруг меня разлучают семьи, правда, пока что семьи якобы нелегалов, но правительство уже открыто говорит о "денатурализации" американских граждан, тех, кто этому правительству будет неугоден. А что, если завтра "неугодным" кто-то сочтет меня? Сегодня вокруг меня половина Америки с готовностью, а кто и с радостью, принимает подобное обращение со стороны нашего собственного правительства. Видя все это и имея опыт проживания в другой стране, я хотел бы, чтобы те, кто возмущается нелегальными иммигрантами, задали себе простой вопрос: хотите ли вы жить в стране, в которую люди всеми правдами и неправдами пробираются, или в той, из которой они убегают?

С момента получения Сертификата натурализации я горжусь, что я - американец. Горжусь и буду гордиться всегда. Я изо всех моих сил стараюсь продолжать традиции этой страны, веря, что в этой стране нет ничего невозможного. Для меня быть американцем — значит любить свою страну настолько, чтобы требовать от нее лучшего, и верить, что это лучшее возможно. И будь то таверны моего родного Бостона в 1700-х годах, где зародилась независимость моей страны, будь то Гражданская война, в которой сотни тысяч отдали свои жизни "to make men free", будь то братья Райт, верившие, что они могут летать, будь то ученые, работавшие над тем, чтобы отправить людей на Луну, будь то Мартин Лютер Кинг, сражавшийся с самым могущественным правительством на Земле в битве за равные права для всех граждан, эта страна всегда вдохновляла идею о том, что впереди у нас лучшие дни, и страна эта полна людей, работающих над достижением этого будущего - Американской Мечты.
Tags:
  • Add Memory
  • Share This Entry

There are no earlier entries to display. This page displays only the most recent 1000 entries posted within the last 14 days.

Page generated Jul. 21st, 2025 11:31 pm
Powered by Dreamwidth Studios