Дело в том, что и в случае с любой бумажной валютой всё держится на общей договорённости её признавать. Есть доверие — есть ценность бумажки, нет доверия — нет ценности.
Ту статью я читал, понравилась. И я (в который раз) забыл упомянуть, что L2TP+IPsec использует транспортный режим IPsec и не прячет адреса IP, а в туннельном режиме они спрятаны.
Но к топику IPsec никак не применим: он не работает через Socks. Разве что использовать туннель IP-over-TCP, но тогда можно и IP-over-ICMP :)
Возможности L2TP+IPsec требуются настолько редко, что вопросы по его использованию лично у меня вызывают удивление: зачем городить велосипед L2, неужели в туннеле Вам нужен ARP и прочие пакеты канального уровня? Если уж заморачиваться с IPsec, tunnel mode несколько проще.
Совершенно верно. «не очень хорошо» означает всего лишь увеличение служебного трафика. В случае IPv4 это 40 байт заголовков на каждый пакет. При современных каналах IMHO проблема невелика.
Эта замена необходима для squid. squid привязывает cache-peer к ip адресу и не может иметь больше одного cache-peer на адресе 127.0.0.1
На 127.0.0.1 свет клином не сошёлся, берите любой адрес из сети 127.0.0.0/8.
Конечно, в случае сервера в LAN это не существенно, но в общем случае наружу не должно торчать ничего лишнего.
Ещё один момент: squid ради такой задачи — явный overhead, можно взять что-нибудь попроще.
«Не знал» в этом случае означает исключительно «не соизволил проверить».
В *buntu всего лишь в поле пароля рута стоит "!" (в /etc/shadow). При желании его можно заменить на что-нибудь другое :-D, но и это не нужно, достаточно использовать логин по ключу в SSH.
С одной стороны, в статье обозначена проблема.
С другой — все написанное является сугубо гипотетическим. Когда заявляешь «обвинение», стоит озаботиться доказательством.
Дело в том, что для удостоверения того, что отправленный по открытым каналам публичный ключ не подменён при передаче «человеком посередине», и только для этого «надо предпринимать усилия по посылке мне своего приватного ключа.»
1. Не понимаю, на кой на сервере крутится gnome (а тем более Unity). Если уж очень нужен рабочий стол, несколько удобнее запускать его только в сеансе VNC, благо производительности хватает. Но для чего он там может понадобиться, я не понимаю. К примеру, у меня несколько программ запускаются в разных сеансах VNC, при этом никакого рабочего стола нет и ресурсы на него не тратятся. Hint: $ cat .vnc/xstartup
#!/bin/sh
if [ -z "$VNCAPP" ]
then
# Uncomment the following two lines for normal desktop:
# unset SESSION_MANAGER
# exec /etc/X11/xinit/xinitrc
На разных портах работает VNC с разной переменной окружения VNCAPP, когда подключаешься, запускается приложение. Завершил приложение — сеанс закрылся.
2. Переподключение SSH изумительно работает с использованием screen. Всего лишь нужно «покрутить» ~/.bashrc на сервере, а можно и вовсе пользователю назначить шелом скрипт, который будет восстанавливать сеанс screen. Короче: man screen screenrc.
Есть ещё скрипт autossh, но не знаю, насколько он тут будет применим.
3. «Из недостатков такого сетапа стоит ещё отметить почти полную невозможность работы с плейлистами: если возможность загрузить только целиком папку и навигация по этому списку будет только вперёд-назад — и то вслепую. Конкретный файл из папки выбрать можно только в режиме проигрывания одиночного файла.» — плейлист для mplayer — это простой текстовый файл, формируешь этот файл как тебе хочется, затем запускаешь mplayer -playlist generated.txt
Навигация по плейлисту, действительно только вперёд-назад. Произвольный выбор файла только в mplayer-gui (-gnome, -...)
4. «Видеонаблюдение — хотелось бы на сервер завести стрим с камеры, которая будет показывать парковку и так же установить видеоглазок.»
Да хоть mplayer в скрипте. Хотя Motion удобнее, а ZoneMinder так и вовсе не хуже коммерческого софта.
5. Проблема Virtualbox отсутствует в QEMU-KVM. Рекомендую заменить виртуализатор.
6. Накуя на сервере transmission-gtk?!? На сервере transmission-daemon, на компах и андроиде — клиенты. Transmission для того и создан, чтобы работать в режиме клиент-сервер без гуя на сервере.
Последнее.
Пожалуйста, исправьте опечатки. Спелчекер нынче чуть не в каждый браузер встроен. Про «Видиоплеер» ntfs1984 уже давно помянул.
Предварительное чтение «талмудов» — крайне неэффективное занятие. Только «лабораторные работы» быстро дают понимание материала. Документация после этого используется только для справки — уже знаешь, где искать нужное.
Те графические схемы понятны только тому, кто уже хорошо знает внутреннее «устройство» Bacula. Мне при освоении Bacula пришлось потратить два дня, прежде чем в голове сложилась картинка. Поэтому я и написал этот текст — статья предназначена для первого знакомства админа с новой для него системой резервного копирования.
У нас разные критерии нормальности :). Я работаю как раз в сегменте SOHO.
Про «голый» IPSec никто и не говорит, он подходит для соединения двух, максимум трёх точек (дальше сложность становится неприемлимой). Однажды понадобилось соединить две площадки с резервированием — сделал на IPSec+BGP, пришлось потрахаться, чтобы заработали линки 2х2.
IMHO, «ниша» PPTP — дистанционные пользователи с голым Windows, в том числе мобильные и/или за NAT.
Конкретно EoIP на DD-WRT пришлось сделать в одном месте из-за ограниченности бюджета заказчика. (Ничего другое просто не влезало в маршрутизаторы-мыльницы с 2 Мб NVRAM.) Обычно же я предпочитаю OpenVPN и IPSec, в некоторых случаях PPTP.
Очень не хватает фразы «туннели на маршрутизаторах Cisco» в заголовке или в первом абзаце статьи.
Другими словами: в статье хорошо описаны варианты туннелей, которые реализуются на оборудовании Cisco. Все прочие варианты даже не упомянуты, например, Ethernet over IP, OpenVPN,…
Если говорить о преимуществах, многими любимый OpenVPN масштабируется ничуть не хуже IPSec.
В любом linux есть универсальный способ:
в загрузчике в строке с root= добавляйте (в конец) init=/bin/sh
После загрузки ядра получите командную строку шела, где уже и нужно вводить passwd.
Указанный тут single зачастую тоже требует пароль рута.
Но к топику IPsec никак не применим: он не работает через Socks. Разве что использовать туннель IP-over-TCP, но тогда можно и IP-over-ICMP :)
Возможности L2TP+IPsec требуются настолько редко, что вопросы по его использованию лично у меня вызывают удивление: зачем городить велосипед L2, неужели в туннеле Вам нужен ARP и прочие пакеты канального уровня? Если уж заморачиваться с IPsec, tunnel mode несколько проще.
-A FORWARD -o eth1 -p tcp --tcp-flags SYN,RST SYN -m tcp --dport 80 -j TCPMSS --set-mss 10
На 127.0.0.1 свет клином не сошёлся, берите любой адрес из сети 127.0.0.0/8.
Конечно, в случае сервера в LAN это не существенно, но в общем случае наружу не должно торчать ничего лишнего.
Ещё один момент: squid ради такой задачи — явный overhead, можно взять что-нибудь попроще.
В *buntu всего лишь в поле пароля рута стоит "!" (в /etc/shadow). При желании его можно заменить на что-нибудь другое :-D, но и это не нужно, достаточно использовать логин по ключу в SSH.
С другой — все написанное является сугубо гипотетическим. Когда заявляешь «обвинение», стоит озаботиться доказательством.
#!/bin/sh
if [ -z "$VNCAPP" ]
then
# Uncomment the following two lines for normal desktop:
# unset SESSION_MANAGER
# exec /etc/X11/xinit/xinitrc
[ -x /etc/vnc/xstartup ] && exec /etc/vnc/xstartup
[ -r $HOME/.Xresources ] && xrdb $HOME/.Xresources
xsetroot -solid grey
vncconfig -iconic &
x-terminal-emulator -geometry 80x24+10+10 -ls -title "$VNCDESKTOP Desktop" &
x-window-manager &
else
logger daemon.info «Start VNC with $VNCAPP»
xsetroot -solid black
vncconfig -iconic &
x-window-manager &
umask 002
$VNCAPP
sleep 10
vncserver -kill $DISPLAY
fi
На разных портах работает VNC с разной переменной окружения VNCAPP, когда подключаешься, запускается приложение. Завершил приложение — сеанс закрылся.
2. Переподключение SSH изумительно работает с использованием screen. Всего лишь нужно «покрутить» ~/.bashrc на сервере, а можно и вовсе пользователю назначить шелом скрипт, который будет восстанавливать сеанс screen. Короче: man screen screenrc.
Есть ещё скрипт autossh, но не знаю, насколько он тут будет применим.
3. «Из недостатков такого сетапа стоит ещё отметить почти полную невозможность работы с плейлистами: если возможность загрузить только целиком папку и навигация по этому списку будет только вперёд-назад — и то вслепую. Конкретный файл из папки выбрать можно только в режиме проигрывания одиночного файла.» — плейлист для mplayer — это простой текстовый файл, формируешь этот файл как тебе хочется, затем запускаешь mplayer -playlist generated.txt
Навигация по плейлисту, действительно только вперёд-назад. Произвольный выбор файла только в mplayer-gui (-gnome, -...)
4. «Видеонаблюдение — хотелось бы на сервер завести стрим с камеры, которая будет показывать парковку и так же установить видеоглазок.»
Да хоть mplayer в скрипте. Хотя Motion удобнее, а ZoneMinder так и вовсе не хуже коммерческого софта.
5. Проблема Virtualbox отсутствует в QEMU-KVM. Рекомендую заменить виртуализатор.
6. Накуя на сервере transmission-gtk?!? На сервере transmission-daemon, на компах и андроиде — клиенты. Transmission для того и создан, чтобы работать в режиме клиент-сервер без гуя на сервере.
Последнее.
Пожалуйста, исправьте опечатки. Спелчекер нынче чуть не в каждый браузер встроен. Про «Видиоплеер» ntfs1984 уже давно помянул.
В действительности алочка автоматической смены летнего/зимнего времени пропадает, когда в реестре задано
(у Вас задано)
Про «голый» IPSec никто и не говорит, он подходит для соединения двух, максимум трёх точек (дальше сложность становится неприемлимой). Однажды понадобилось соединить две площадки с резервированием — сделал на IPSec+BGP, пришлось потрахаться, чтобы заработали линки 2х2.
IMHO, «ниша» PPTP — дистанционные пользователи с голым Windows, в том числе мобильные и/или за NAT.
Конкретно EoIP на DD-WRT пришлось сделать в одном месте из-за ограниченности бюджета заказчика. (Ничего другое просто не влезало в маршрутизаторы-мыльницы с 2 Мб NVRAM.) Обычно же я предпочитаю OpenVPN и IPSec, в некоторых случаях PPTP.
Другими словами: в статье хорошо описаны варианты туннелей, которые реализуются на оборудовании Cisco. Все прочие варианты даже не упомянуты, например, Ethernet over IP, OpenVPN,…
Если говорить о преимуществах, многими любимый OpenVPN масштабируется ничуть не хуже IPSec.
в загрузчике в строке с root= добавляйте (в конец) init=/bin/sh
После загрузки ядра получите командную строку шела, где уже и нужно вводить passwd.
Указанный тут single зачастую тоже требует пароль рута.