Снова в основном для себя, чтобы не забыть (один раз уже забыл, часа два потерял, пока вспомнил).
Сетевухи на чипе X520 (Intel x520-DA, Intel x520-DA2 и т.д.) работают только с интеловскими модулями SFP+, или неродными модулями, прошитыми так, чтобы прикидываться интеловскими.
Не получится использовать просто сторонние модули LRLINK, Mikrotik, tp-link и т.д., при установке модуля получится ошибка
«Запуск устройства не возможен, код 10»
А в диспетчере устройств, напротив сетевухи или порта с установленным SFP+ будет восклицательный знак
Если вынуть модуль, всё станет хорошо.
Так вот, к этим сетевухам можно покупать либо оригинальные модули из списка совместимости (доступно через VPN), либо модули, у которых в прайс-листе продавца будет написано «прошивка Intel» или «совместимый с intel»
Понадобилось перенести виртуалки из ESXi в Hyper-v, и интернет притащил решение Starwind V-to-V Converter.
Программа абсолютно бесплатная, но для скачивания надо заполнить регистрационную форму. Одноразовый e-mail вполне прокатил :). Ссылка на скачивание приходит в почту, по этому не закрывайте окно одноразовой почты до скачивания.
Сама софтина — по сути мастер, и умеет конвертировать виртуальные машины не только из ESXi
На втором шаге ввёл адрес хоста с ESXI, логин и пароль рута на хосте
Конвертер немножко подумал и показал список виртуальных машин
Дальше осталось только выбрать куда тащить машину, и всё пошло поехало.
Перенос машины с диском на 1Тб по 10Гб/сек сети занял 4 часа, включая конвертацию файлов дисков
Мне же надо было утащить виртуалку с Debian Linux 11 из ESXi в Hyper-v.
Я проделал это дважды: сначала сделал тестовую конвертацию работающей машины, а потом уже боевую выключенной.
При конвертации работающей машины, обнаружилось, что из fstab после конвертации исчезли все диски кроме системного. Сами тома никуда не делись и нормально сконвертировались, но их пришлось добавить в fstab вручную и перезагрузиться.
При конвертации выключенной, проблемы с fstab не было.
В обоих случаях, после конвертации необходимо сделать следующее:
Изменить имена сетевых адаптеров в /etc/network/interfaces (если у вас не дебиан, возможно используется другой механизм инициализации сети, но всё равно, имена сетевух сменить надо.
После смены имён сетевушек, я перезагрузился. Можно просто переинициализировать сеть.
Удалить open-vm-tools. После удаления, apt может предложить удалить не нужные пакеты. Так делать не надо, удалится что-нибудь нужное.
выполнить apt update && apt full-upgade -y для обновления системы. Даже если ничего не установится (вдруг у вас обновлённая ОС), проблема с autoremove после этого уйдёт.
Перезагрузить виртуальную машину
Проверить, что установлены модули hyperv, командой lsmod | grep hv
Если модулей нет — установить. В Debian 11 есть.
Аптайм машины после миграции после переезда уже две недели. Всё работает. Ни один сервис, а на машине
электронная почта
несколько сайтов на разных движках
ispmanager
strongswan
не сломался. Единственное, для нормальной работы ispmanager необходимо сохранить ip-адрес при первых запусках. После того как всё заработает, можно поменять.
Для того, чтобы ikev2 без головной боли работал на клиентах, серверу всегда нужен валидный сертификат от реального центра сертификации. Использовать самоподписанные и импортировать CA на всех клиентах то ещё развлечение, по этому
Добавьте запись в DNS, со ссылкой на внешний айпшиник pfsense. Типа vpn.example.com или ещё как-то
Установите в pfSense расширение acme, которое автоматизирует получение бесплатных сертификатов от Let’sEncrypt. Там всё достаточно просто и очевидно.
Получите бесплатный сертификат. Я делал это с проверкой через DNS, что требует добавления текстовой записи вида _acme-challenge.vpn.exmaple.com в DNS
Запомните на будущее, что клиент должен обращаться к серверу только по созданному и указанному в сертификате доменному имени (то самое vpn.example.com)
Авторизация
Для авторизации логично использовать стандартный доменный пароль пользователей, это облегчает жизнь администратору :), но EAP-MSCHAPv2 авторизация не поддерживает прямое обращение к LDAP, т.к. шифрует логин и пароль. Зато шифрованные пароли хорошо поддерживает RADIUS, а Windows умеет в RADIUS, по этому:
Создайте в AD группу, в которую будут входить пользователи VPN. В отличие от LDAP, в pfsense, RADIUS-метод управляет на основе групп, а не на основе контейнеров
Настройте Microsoft NPS по инструкции от NetGate Не забудьте сохранить в блокнот «общий секрет» из мастера — он понадобится при настройке pfSense
В целом, на сайте Netgate есть очень качественный пример настройки, который можно использовать «один в один», но сначала надо подготовить авторизацию через LDAP (из Active Directory).
В Windows для этого ничего делать не надо, кроме создания пользователя для связи, а в pfSense настроить связку с LDAP по вот этой инструкции
Чтобы не морочиться с тем, почему не работает, важно правильно ввести имя пользователя в поле «Bind credentials».
Инструкция рекомендует использовать либо короткую %username%, либо каноническую «CN=username,CN=Users,DC=domain,DC=suffix»
В реальной жизни, работает нотация username@domain.suffx (bob@example.local)
Ещё один важный момент — авторизация в LDAP в актуальном pfSense управляет доступом не на основе групп пользователей, а на основе контейнеров (CN, OU) в вашей доменной структуре, так что доступ получат все пользователи указанного в конфигурации LDAP подразделения (контейнера, CN, OU)
Калужский энергомаш некоторое время производит интересные микрореле: 38.3787(10)
381.3787
И совсем новые 39.3787-20
Не смотря на то, что у последних двух ноги имеют ширину 2.8, они изрядно толстые, по этому, при применении правильных клемм, коммутировать свои 15А они смогут довольно легко.
Так о чём это я. Ах да.
Если под первое (38.3787), можно найти колодку, то под реле с ногами 2.8мм, колодок в продаже нет. Единственное, что нашлось похожего, это итальянский влагозащитный блок от МТА, в который, судя по картинке встанет 381.3787 (то что побольше, вторая картинка)
Только купить этот блок, у вас скорее всего не выйдет (если будете пробовать 0101370 — артикул бокса, 0101371 — артикул крышки)
Реле, повторюсь, удобные именно своими размерами, для впихивания в не характерные для установки места, например в фару мотоцикла 🙂 Но без колодок грустно.
Особенно, с учётом того, что обычные faston-клеммы (они же ножевые) шириной 2.8, расчитаны на кабель до 1мм2 сечением — ни по механике, ни по току это на 30А не тянет ну никак…
Клеммы я подходящие нашёл, у тех же МТА, и их можно купить, «всего лишь» по 50-120р за одну, Одну, Карл! штуку. Называется она F280 WP, и выглядит просто чудесно:
Ну правда, произведение инженерного искусства, на сечение 1.5-2.5 или даже 4-6 мм2
А вот колодок нет. Нет и всё. Если кто-то знает, что они есть, и как их достать — расскажите.
У меня пока ровно одна идея, и то, только для 39.3787-20.
Я нашёл его размерный чертёж:
Расстояние между центрам ног, очень похоже на расстояние между центрами мини-предохранителя, и, как только до меня доедут эти релюхи, я попробую использовать держатели предохранителей, как замену колодке реле.
Но это же колхоз! А как без него? Ещё раз прошу — если кто знает, напишите коментарий в ВК
С Debian 10 и примерно соответствующей ей Ubuntu strongswan закрыт аппармором, через это все инструкции типа «создайте ссылки на сертификаты в /etc/letsencrypt/live/yourdomainnamehere» перестали работать.
Решение чертовски простое, хоть и не очевидное. Надо добавить в /etc/apparmor.d/local/usr.lib.ipsec.charon две строчки:
Изучал рынок управлялок для котлов и прочего. Да, есть прекрасный кситал, который работает, но хотелось
Крепления на din-рейку
Питания 12В (у кситал 24, хоть резервная батарея и на 12В)
Ещё на позапозапрошлом акватерме натыкался на стенд ZONT, у которых это всё есть. Пошёл читать инструкции. Смутился, перечитал Цитирую:
Настройка Термостата производится следующими способами:
● дистанционно в онлайн-сервисе ZONT, доступном из личного кабинета владельца на сайте zont-online.ru;
● дистанционно в приложении ZONT для мобильных устройств (смартфонов и планшетов) на
платформе iOS и Android.
Т.е. устройство управляющее важнейшим элементом инженерных систем загородного дома настраивается только через веб-сервис.
Понятно, что контур безопасности котла не даст выйти ему в аварийный режим, чтобы ты не делал с внешней управлялки, понятно, что нормальный инженер продублирует внешнюю управлялку ручным управлением, если за него это не сделал производитель котла (ремарка, я регулярно натыкаюсь на места, где это не сделано)
Короче, сел думать, хорошо это или плохо…
Как инженер, я считаю что это ну так себе: и с точки зрения безопасности, и с точки зрения «владения устройством»: железка без сервиса бесполезна. Если сервис накроется, что делать пользователю? Хотя, безусловно, приложение удобнее смсок Но параноик внутри меня кричит НЕЕЕЕТ.
А с другой стороны, идея офигенная: продаёшь контроллеры, которые управляются только твоим сервисом, сервис поначалу раздаёшь бесплатно… Вот у тебя напродавалась критическая масса контроллеров, ты рраз и делаешь сервис платным.. Недорогим, но платным. И вуаля, стабильный приток денег гарантирован… И это не ирония, правда круто.
Отжал у дочери довольно старый 11″ ноут Dell с характеристиками: intel Celeron 1.6, 8Gb RAM, SSD 250Gb, и решил сделать из него себе машину для поездок.
вот он 🙂
А почему нет:
Маленький и лёгкий (влезает в небольшую сумку и любой рюкзак)
Состоит в основном из батарейки 🙂
Не очень жалко если что-то случится
Ну конечно, он тормозной — целерон же. Калькулятор переросток.
Изначально была установлена Windows 7, и не смотря на то, что батарея действительно ёмкая и вполне живая (осталось 29Вт*ч из 31), в Windows её хватало на 3-4 часа. И это были очень тяжёлые и медленные часы.
Сидел, думал, как заставить это работать. Таскать в поездки 14″ с i7 не хотелось — дорогой, большой, тяжёлый. Сломаю — жалко, потеряю — жалко. Времена сейчас странные, новый как чугунный мост..
В итоге придумал: поставил связку Debian 11 с LXDE… И ноут реально ожил.
Во-первых батареи стало хватать на 6-7 часов работы. Это важно в поездке. Такой результат, явно, потому, что LXDE меньше нагружает процессор. В винде ноут пыхтел непрерывно, здесь загрузка в среднем держится не выше 30%
Во-вторых, ноут продолжает работать при открытом терминале, телеграмме, клиенте удалённых рабочих столов, 1С-Коннекте и 5-6 вкладках браузера. Да, не стоит одновременно открывать, битрикс24 и ВК, например, но Б24 + гугл + несколько страниц — нормально. В винде затыкалось уже на Б24 🙂
Уже вторую поездку я на нём, и в общем-то мне его хватает под все основные рабочие задачи: общение, Б24, ssh, RDP, подключения к клиентам по anydesk или 1с-коннект.
Безусловно, на нём бестолку пытаться запустить QGIS, или SketchUp в вайне. Даже не пробовал, честно. Но, я и в поездки не работать еду, а отдыхать, а для решения срочных рабочих задач его оказалось достаточно. Более того, в промежутке между прошлой поездкой, и нынешней, я использовал его как рабочий и даже не расчехлял основной ноут: жили в Москве, и дома работал с большого компа.
Короче, рекомендую. Если есть старое барахло, ставьте debian с LXDE, и оно ещё поработает на вашу пользу. Бонусом, научитесь жизни в линукс, сейчас это актуально, как никогда.
