Я люблю OpenVPN за массу возможностей и простоту настройки
Хочешь L2 туннель? А пожалуйста.
Хочешь L3? А пожалуйста.
Надо работать через прокси? А пожалуйста.
Надо отправлять клиентам маршруты и свои DNS? Да вообще нивопрос
Windows? Mac? Linux? Плевать. Работает везде.
Хочешь авторизацию по сертификатам? Нет, надо по логину? Хочешь тащить логин из домена windows? Да без проблем, любой вариант на выбор
Плюсом к этому отсутствие геммороя с PKI клиентских операционок: просто добавь свой CA в конфигурацию, и всё будет работать. Не надо импортировть CA в хранилище клиента. Это просто прекрасно — дал конфиг, работает. Все настройки там
А вот чем плох OpenVPN, это производительность. Он медленный. Просто ужас, какой медленный, в сравнении с ikev2 и wireguard. Но это значит ровно одно — если вам нужен производительный впн: site-to-site какой-нибудь, или просто гонять 1С в тонком клиенте с большими отчётами — выбирайте не openvpn, а если задача быстро развернуть ВПН для доступа в офис, или ещё куда-то — это ваш выбор 🙂
Незадолго до известных событий, пришло время апгрейда моего старого домашнего сервера. Раньше он жил на Micro-ITX платке с распаянным на ней AMD-A6, с 4 дисками и в маленьком корпусе, и тут случилось чудо.
Мне подарили мой любимый мегакорпус Chieftec, древний как Windows 2000, но от этого не менее прекрасный. И началось:
Из заначки были извлечены:
Харды, много хардов, разной степени старости
Мать, с процессором Pentium G (нет, не то, что вы подумали, а встроенная видюха)
4Гб оперативки
Контроллер Adaptec 6405E
И понеслась.
Всё отмыл, пропылесосил и собрал в кучу. Получилось красиво:
внутре диски 🙂
Отдельно хочу отметить, извращённую систему крепления в 3.5″ и 5.25″, которая доставила много хлопот, при запихивании туда дисков 2.5″
На картинке ниже видно адский бутерброд, из перевёрнутого крепления для SSD и стоек материнской платы:
как закрепить диски 2.5″, когда других вариантов нет
Ну а дальше всё просто:
Чтобы не веселиться с загрузкой с mdadm после каждого обновления, и не выносить boot куда-то вне mdadm, системный массив + массив для бэкапов собрал на адаптеке, зеркала для некритичных данных (да, я паранойк, в сервере 4 массива RAID 1) на mdadm, установил Debitan 11. Поставил
самбу — чтобы можно было сливать книжки и фильмы с чего угодно
transmission, которая льёт торренты прямо на сервер и управляется с примитивной веб-морды
mpd — чтобы с сервера играла музыка на самопальный мультирум. Что прекрасно в mpd — так это возможность управлять им со смартфона. Что грустно — это адский гемморой «как заставить его лить звук в spdif конкретной сетевой карты»
minidlna — чтобы смотреть киношки и сериалы с планшетов и телефонов 🙂
И тут случилось то, что случилось, и в сервере поселился NextCloud — маленькое домашнее облако, которое заменило мне Dropbox и гугл.диск.
На этом вобщем-то всё, апгрейд прошёл успешно, всё прекрасно работает.
Если при настройке каталиста, например 3750 серии (также применимо и к 2960G, 2960X, 3560G, 3560X, 4507R-E, и, вероятно, другим железкам) вы воткнёте туда SFP модули не от Cisco (в моём случае это были модули микротик), получится сообщение об ошибке типа какого то из этих:
%PHY-4-UNSUPPORTED_TRANSCEIVER: Unsupported transceiver found in Gi0/48
%GBIC_SECURITY_CRYPT-4-VN_DATA_CRC_ERROR: GBIC in port Gi0/48 has bad crc
%PM-4-ERR_DISABLE: gbic-invalid error detected on Gi0/1, putting Gi0/48 in err-disable state
В веб интерфейсе будет написано что-то вроде «Port disabled, unsupported module»
Официальная
отмазка CISCO: мы можем отвечать за бесперебойную работу оборудования,
только если везде используются наши модули, и не сможем оказать
полноценную поддержку, по-этому использование модулей не-Cisco запрещено
программно 🙂
Но! Всё же можно заставить их работать вместе. Гугл помог мне собрать полноценную инструкцию. Для начала логинимся на коммутатор по telnet Далее вводим следующие команды (>, #, (config)# — приглашения командной строки):
enable // Переходим в привилегированный режим (запросит пароль)
configure // Переходим в режим изменения конфигурации
(config)#no errdisable detect cause gbic-invalid // не переходить в ошибку при подключении не-Cisco модуля
(config)#service unsupported-transceiver // включить поддержку не-Cisco трансиверов :)))
После выполнения последней команды получим подобное предупреждение:
Warning: When Cisco determines that a fault or defect can be traced to the use of third-party transceivers installed by a customer or reseller, then, at Cisco's discretion, Cisco may withhold support under warranty or a Cisco support program. In the course of providing support for a Cisco networking product Cisco may require that the end user install Cisco transceivers if Cisco determines that removing third-party parts will assist Cisco in diagnosing the cause of a support issue.
Далее вводим:
(config)#exit // выходим из конфигурирования
#copy running-config startup-config // сохранить конфигурацию после перезагрузки (без этого шага, после ребута коммутатор снова ополчится на модуль)
Но, в моём случае, пришлось проделать:
#configure // обратно в конфигурацию (config)#errdisable recovery interval 120 // выставляем таймер восстановления порта в две минуты (можно меньше для данного случая, минимальное значение 30сек)
(config)#errdisable recovery cause all // включить восстановление с использованием таймера
(config)#exit // обратно в привилегированный режим
#exit // вываливаемся из привилегий
И через пару минут я выполнил
>show int status
И увидел
Gi1/0/3 connected 1 a-full a-1000 unsupported
Модуль неподдерживается, но работает 🙂
P.S. На одном из двух коммутаторов, мне после всего проделанного пришлось выдернуть и вставить модуль обратно. Поднялось только после этого.
В общем случае, чем ниже частота — тем дальше распространяются радиоволны, при равной мощности, по этому, вне городов, чаще всего оборудование работает на 800-900 чем на 2100-2600
В любом случае, радиоволны высоких частот распространяются строго по прямой от передатчика, и чтобы у нас была хоть какая-то связь, мы должны «видеть» вышку. В данном случае «видеть» — это практически визуально наблюдать вышку. Между нами и вышкой не должно быть холмов, гор или чего-то подобного — рельеф не преодолим для радиоволн. Именно по этому вышки такие высокие.
Вот так связь будетВот так уже не будетВот так, тоже не будет
Ищем вышки. Собираем частоты.
Как правило, недалеко находится две вышки, реже одна. Так или иначе на карте покрытия своего оператора, или прямо на местности мы можем определить ближайшие вышки, и оценить видимость до них
Вот так, по карте покрытия можно примерно определить, где вышка (в примере Yota):
примерное местоположение вышек — красным
Определяем диапазон, в котором работает наша вышка. В этом поможет приложение Netmonitor Lite, доступное в Google Play. Приложение из первой статьи тут уже не поможет, потому что в полном объёме частоты не показывает. Что надо сделать:
Переключить телефон жёстко в нужный нам режим работы 4G, или 3G или 2G (как правило нужны 4G для интернета, 3G — для разговоров и неторопливого интернета, или 2G, чтобы хоть как-то поговорить). Через 4G у пока голос запрещён, по этому одного 4G не хватит для полноценной связи, а в 2G интернет крайне медленный. По этому нас интересуют 4G/3G, либо 2G/3G, либо сразу всё.
Найти место, где телефон хоть как-то ловит. Хоть на одну «палочку»
Запустить приложение и посмотреть, на какой частоте работает наша вышка.
Записать куда-то частоту.
Закрыть приложение, переключить режим работы телефона в следующий диапазон (было 4G, включили 3G, и т.д.), повторить с пункта 3
Подробнее по третьему пункту.
В телефоне надо оставить одну сим-карту, если телефон двух-симочный.
Запустить приложение, на картинке будет что-то вроде:
скриншот главного экрана Networkmonitor Lite
Собственно — обведённое красным тип сети. Частота будет вот такой:
На экране
Частота
Тип сети
G900
900
2G
G1800
1800
2G
GSM
900/1800
2G
U900
900
3G
U2100
2100
3G
WCDMA
2100*
3G
L800
800
4G LTE
L1800
1800
4G LTE**
L2600
2600
4G LTE
L450
450
4G LTE***
* но это не точно :)
** в Московской области нет операторов на LTE 1800
*** никогда такого в телефоне не увидите. Телефонов с доступным LTE450 (band 31) в России не продают, есть только роутеры, с сим-картами Skylink
Если всё получилось у нас есть список частот, под которые подбирать репитер.
Подбираем репитер.
Самое большое веселье в этом всём процессе. Выбор огромный, но большинство заточено под LTE 1800, который есть много где в России, но не в Московской и ближайших к ней областях. Если нашлась сеть L1800 — огромное везение.
Итак, нам предстоит выбрать репитер. На что смотреть? На частоту и тип сети.
Допустим, для примера, у меня в деревне, LTE2600, WCDMA2100 UMTS1800, ну и 2G, конечно, но он меня не интересует.
Следовательно, мне нужен репитер для диапазонов
LTE — 2600
3G — 2100
3G — 1800
Я иду в магазины репитеров (гугл в помощь) и выбираю готовый комплект для этих частот. И тут меня постигает неудача, потому что репитеры будут либо 1800/2100 — что мне не подходит, потому что у меня LTE на 2600, либо 2100/2600, что мне в общем подходит. Но вот репитера на все три частоты я не найду. Более того, фиг найдёшь репитер на 3G1800/LTE2600. Зато легко может попасться комбайн на GSM900/3G2100/LTE2600.
В итоге мой выбор очевиден 2100/2600, или 900/2100/2600. Потому что я получу хотя минимум 3G и 4G LTE, или, бонусом, голос в GSM
Тем кому повезло с LTE 800 или LTE 450 скорее всего репитер не понадобится. Зоны покрытия у этих точек самые здоровые 🙂
Я постараюсь купить репитер комплектом, с уличной антенной, комнатной антенной и кабелями. Скорее всего, я добавлю в заказ дополнительную уличную антенну и антенный ответвитель, чтобы связь была и в доме и на улице…
А вешать всё буду примерно как в этой статье, со всеми грозозащитами и заземлением.
Антенну предназначенную для входного тракта репитера, постараюсь поднять повыше и направить в сторону вышки.
Тема мегасложная, но постарался изложить так, чтобы было понятно.
В качестве альтернативы микротикам, в небольшом доме, может выступить, например, роутер от йоты с внешней антенной.
В принципе, всё также как в предыдущей статье, за исключением того, что сим-карта и точка доступа объединены в одно устройство. На улицу ставиться только внешня LTE-антенна. Антенна обязательно должна быть
секторной (направленной)
MIMO (подключается двумя кабелями)
Выглядит как-то так:
Панельная направленная антенна
Или так
узконаправленная антенна
К роутеру, через антенную грозозащиту (обязательно) подключается два толстых антенных кабеля, и прокладываются до антенны. Кабеля можно купить там же, где и антенну. К кабелям необходимо купить пиг-тейлы, чтобы присоединить их к роутеру (в магазине помогут подобрать правильные)
Всё остальное также как в предыдущей статье, только устройство одно, с внешней антенной.
Мне этот вариант не нравится из-за необходимости тащить толстые и несгибаемые антенные кабели, а также потому что не позволит построить бесшовную wifi-сеть в доме и на участке, но, безусловно, право на жизнь он имеет.
Работать будет (мы так тоже какое-то время жили, после дуршлага :))
Итак, уровень сигнала у вас везде низкий (-100 и меньше), друшлаг на втором этаже не спасает, но где-то на крыше сигнал всё же есть. Если 4G не ловит совсем — скорее всего нормального интернета не будет. Можно попробовать отловить 3G, используя предыдущие статьи, но это паллиатив: ни удалённый рабочий стол, ни телефония через 3G работать не будут. Даже youtube будет подтормаживать.
В любом случае, малой кровью уже не обойтись. Нужен уличный (необязательно) модем с направленной (обязательно) антенной, направленной в сторону ближайшей вышки, мачта (кронштейн) и грозозащита.
И если в предыдущей части, я не советовал микротик, то здесь мы будем строить доступ в интернет именно на их решениях. Потому что тут нам важна не столько простота настроек, сколько надёжность работы и мощность антенны.
Модем и антенна.
Я считаю, что оптимальным решением модем + антенна, в большинстве случаев, будет Mikrotik SXT LTE kit
Поддерживаются все доступные у большой четвёрки диапазоны LTE: 7,20,38
Встроенная мощная секторная антенна.
Уличное исполнение.
PoE-питание (до модема надо тащить только (S)FTP-кабель)
Присоединять модем к домашнему оборудованию можно только (S)FTP-кабелем. Обычная UTP не прокатит — в ней нет экрана, и никакая грозозащита порта вас не спасёт от утраты модема в случае неудачной грозы :).
Оборудование в доме
В доме вам понадобится точка доступа, или несколько (если дом большой) чтобы раздать интернет потребителям. Я рекомендую Mikrotik hAP ac lite, настроенную в режиме точки доступа:
это двухдиапазонная точка доступа 2,4/5GHz
на борту есть порт PoE, которым можно питать модем
все точки доступа микротик могут быть объединены в одну бесшовную беспроводную сеть, без дополнительных контроллеров.
Мачта
В роли мачты подойдёт что угодно:
Специальная стальная/аллюминивая конструкция
Деревянная жердь
кронштейн на стене под самой крышей
Главное условия высота: модем должен оказаться на уровне или выше конька вашего дома. Лучше выше, потому что в этом случае можно выбирать направление на вышку в диапазоне 360 градусов.
Если возможности сделать мачту выше конька нет, необходимо закрепить модем с той стороны дома, где уровень сигнала наилучший.
Грозозащита
Главное в грозозащите — она должа быть. Без грозозащиты, включённый модем, в грозу, будет почти гарантированно испрочен. Короче, я вас предупредил 🙂
Грозозащита состоит из:
Зазмеления
Громоотвода
Модулей защиты уличных кабелей.
Грозозащиты электропитания.
Заземление
Идеальный вариант заземления — выделенный контур заземления выведенный на PE-контакты розеток, и доступный к подключению. Это может быть TT или TN-C-S с повторным заземлением. Главное контур есть и свой. На «землю» приходящую по обычной TN-C-S надежды мало. Если выделенного контура нет, вся остальная защита может не сработать
Громоотвод
В любом случае, необходимо установить рядом с модемом/антенной громоотвод, который надёжно заземлить, соединив его с существующей с землёй. Если контура заземления в доме нет, и вы не планируете его изготовить, как минимум как следует заземлите сам громоотвод.
Защита кабелей и питания
Для соединения модема и домашней точки доступа необходимо применять модуль грозозащиты, например Грозозащита Nag-1.1POE, который обязательно заземлить либо на общий контур, либо если его нет, на заземление громоотвода.
Также, рекомендуется защитить розетку, питающую домашний коммутатор, как минимум вот таким реле напряжения
В прошлой статье мы определяли уровень сигнала, теперь разберём, что делать дальше.
Если уровень сигнала в доме больше -87 (-87…-77), ничего делать не надо, просто вставляйте usb-модем в ноутбук и работайте.
Если уровень сигнала в доме меньше -87, но на улице укладывается в -87, тогда модем необходимо закрепить на окне выходящем на сторону дома с наилучшим сигналом, или на улице, если окон на эту сторону нет.
Если дом двухэтажный — вешать модем на окно стоит на втором этаже (в общем случае на верхнем :))
какой стороной размещать модем к окну — определите по уровню сигнала, в админке роутера
Понято, что подключить модем висящий на окне (или на улице) к компьютеру не получится.. По этому, модем подключаем к любому роутеру с USB-портом (лучше всего подойдут роутеры кинетик, но можно любой другой). Всё, пользуемся интернетом.
Модем, как правило трогать не надо, а вот роутеру, вероятно понадобится настройка. У кинетиков с этим всё просто, и есть готовая инструкция. Для роутеров других производителей, наверняка тоже есть.
Если уровень сигнала изнутри помещения немного не дотягивает до нормы, и интернет тормозит, можно выкрутиться сделав примитивный антенный усилитель из… дуршлага. Вот так
модем надо разместить так, чтобы антенна находилась по центру дуршлага. Антенна, обычно, в дальней от разъёма части модема.
Вешаете штуку на окно, и внезапно получаете пару делений к уровню 🙂
Как бы смешно это не звучало — мы с такой конструкцией провели чуть ли не пять дачных сезонов. Без неё не ловило вовсе, с ней работало. Причём именно с этим дуршлагом и модемом, что на фото. Собрал старых друзей для статьи
Вам могут посоветовать mikrotik вместо кинетика. Не соглашайтесь. В такой конфигурации лучше кинетик: микротик железка не для дома. Я часто (почти всегда) ставлю их в офисы, делаю на них VPN и прочее. Но дружелюбие интерфейса и простота настройки — это не про микротик. Да недороги. Да надёжны. Если знаете как их готовить — ставьте, иначе не надо.
Снова немного поработал на благо медведя. Автомобиля на ходу сейчас нет, по этому, спасибо папе Мансура, ехал пассажиром 🙂
Всем рекомендую мерседесы в 124 кузове 🙂 на заднем сиденье удобно, даже когда на коленях ноут и работаешь всю дорогу.
Отдельно замечу: покрытие сотовой сети у #мегафон на Киевском шоссе оставляет желать лучшего… На трети дороги связи не хватает для стабильного ВПН-соединения
Повесили шкафчик, который будет центром сети для транляций. Маленький такой, 80х60см 🙂 Всё задуманное, по идее должно влезть. Щкаф IP64, ДКС. Отскакивая в сторону, шкафы офиегенные, хотя и не дешёвые.
Вот такой шкаф
Внутри пока бардак: просто убрали туда новый кабель и затащили временные UTP к камерам, через которые вы сейчас смотрите на #медведьмансур.
Выглядит жутковато, но работает
внутренности шкафа
Как потеплеет, облагорожу всё, будет красота и порядок. Сейчас UTP ломается, стяжки рвутся — холодно.
Обратно, отскочу: не покупайте дешёвых стяжек. Даже чёрные, якобы морозостойкие нифига не стойкие 🙂
Сняли пару дохлых камер, подключили одну живую. Теперь можно смотреть из ютьюб на калитку и вход в берлогу.
Сделал временный щиток кухни медведя. Временный он потому что
сделан из того что было. не соблюдены цветовые правила по проводам
недостаточен по функциональности:
нет нормальной отключаемой зоны
нет управления электрическим отоплением
нет правильного разделения на группы.
просто не очень красивый
земля занулена. Позволил себе такое, потому что земля занулена на всём аэродроме. Это неправильно, я знаю. Переделаю в ближайшее время.
При этом, щиток обеспечит безопасность проводки, отключения всего, кроме холодильника. Жить можно 🙂
Домик светится (и греется):
Работы там ещё вал, конечно, так что будет о чём писать 🙂
У меня убунта, но наверняка будет работать в любой другой системе с гномом
Первое, что нам понадобится, для стабильной работы телеги на десктопе в линукс — приложение с официального сайта (telgram.org). Приложение из репозиториев, по каким-то причинам, обновляется редко, и теряет соединение.
ВАЖНО: telegram.org из России недоступен. Используйте Tor, i2p или что-то подобное…
Итак, оно у нас есть — это монолитный исполняемый файл, который мы просто положили куда-то в /opt или папку в домашнем каталоге.
Я, у себя, положил просто в
/home/%username%/telegram/
По умолчанию, современный телеграм хранит данные профиля в
