Cam asa arata internetul intr-o tara care foloseste multe, multe proxy-uri sa blocheze tot felul de chestii nedorite de guvern. Si cand ai doi provideri de internet detinuti de mai mult sau mai putin de un singur grup de oameni inruditi :)
… e prost si exagerat de scump.
Da sa incep cu inceputul: daca vrei internet, te duci sa semnezi contract cu ce operator vrei tu, ca oricum primesti doar DSL care e pe infrastructura lui Deutsche Telekom si merge dupa cum ai norocol de zona. De la prost la foarte prost.
Unde stau acu, cea mai buna viteza de o poti avea este 16Mbps/1Mbps (down/up). A durat o luna si un pic pana s-a facut instalarea efectiva. Care instalare a constat in vizita unui om de le Telekom (ca asa se zice la ei, ca deja sunt germani…) sa lege doua cacaturi de fire la alte doua cacaturi de fire si uite asa sa ajungi pana la un DLSAM.
Modemul DSL a venit cu instructiuni din alea de configurare din 3 pasi: bagat in priza, conectat sarma de DSL, bagat user/pass si gata. Ai internet. Dar nu. Ca dupa ce a venit ala, a mai durat cateva ore pana cand cineva probabil a mai butonat ceva in DLSAM/BRAS sa ajunga conexiunea la providerul ales, in cazul asta 1&1. Care zice lumea ca e cel mai bun dintre toate ofertele proaste pe care le ai la dispozitie.
Setup modem: 20min (pana am gasit plicul cu user si parola).
Legat doua fire: o luna si un pic.
Treaba asta se intampla vineri, undeva pe dupa-masa a mers internetul. Pana luni dupa-masa. Dupa care pula.
Noroc cu prieteni nemti care sa sune la suport, ca astia engleza nu prea sprechanesc deloc, doar asa prin restaurante ca-ti vor banii. Dupa nenumarate apeluri la suport, se pare ca vineri o sa vina cineva sa vada ce si cum si dupa aia mai vedem. Pentru ca desi linia e sincronizata in DLSAM, se pare ca nimeni nu e capabil sa spuna de ce mortii lor nu se autentifica modemul sa am internet.
Si vineri se uita lumea, nu inseamna ca o sa si fixeze, desi io sper.
Si acu cu internetul: pentru doar 20EUR luna primesti 16Mbps/1Mbps cu limita la maxim 100GB pe luna. Care s-ar putea micsora daca isi pune DTAG mintea ca vor sa-i lasa pe prosti doar cu 75GB pe luna, ca e mai ieftin sa vinzi conexiuni limitate decat sa investesti infrastructura.
La jumatatea anului 2013 in Germania, cea mai jmechera tara din UE, situatia cu internetul e cam cum era prin Romania in 1998-2000 cand Romtelecom avea monopol si se pisa pe toata lumea. Numai ca la astia e mai rau ca nu ii lasa nimeni pe altii sa-si faca retele de comunicatii separate. Doar DTAG are voie.
Postul asta il scriu de pe laptop care e lagat la un telefon cu cartela prepaid de date care la care platesc 15EUR/1GB. de date. Si doar seara si un pic dimineata, ca in timpul zilei e cu treaba plecat telefonul :(
Si uite asa ma plimba ca vita prin Berlin toata ziua fara vre-un scop anume, neputand sa fac nimic util pentru ca asa e cand e monopol: se fixeaza problemele cand vrea pula alora care au monopol. Si nu se grabeste nimeni, ma mir cum de inca n-au facut reclamatie ca-i deranjam de prea multe ori cu telefoanele sa-i intrebam cand mortii lor au de gand sa fixeze problema.
DTAG = Deutsche Telekom = Telekom pentru evitarea confuziilor.
A aparut vSphere 5.1 Update 1.
Si de ce nu, sa fac si eu update. Ca luna Aprilie a fost luna de update-uri (BIOS, ESXi, routere, switch-uri FC etc). Long overdue un pic, da inca putin si gata, ajung la zi cu planurile.
Eh, data trecuta, de la 5.0 la 5.1 upgrade-ul s-a facut usor, a durat totul vreo 3-4 ore in total cu download de software, instalat, migrat masini virtuale, reboot servere fizice etc.
De la 5.1 la 5.1 Update 1 – e cu cantec, de aseara ma tot screm cu el :(
Saptamana trecuta a fost promulgata faimoasa lege “Big Brother” sau 82/2012 cum o s-o stie avocatii :)
Ieri am citit-o si eu (are 6 pagini) si e cam frectie la picior de lemn. Nu zice aproape nimic nou din ce nu se intampla si pana acum si nici nu vine apocalipsa.
Pe scurt:
Toate aceste informatii trebuie stocate intr-o baza de date si distruse in mod sigur dupa 6 luni. Adica un cron-job zilnic care sa faca un DELETE $stuff FROM $table WHERE DATE > $CURRENT_DATE – 6 months (sau ceva de genul). Ce inseamna sau ce nu inseamna sters securizat probabil ramane la latitudinea operatorului cat de liable vrea sa fie daca dupa ce da DELETE se mai gaseste sau nu ceva pe disc care n-ar trebui sa fie acolo. Desi cred ca o sa fie bine, ca oricum sunt useless datele alea si nu ajuta pe nimeni un dump de netflow (poti gasi direct pe internet, nu tre sa risti parnaia spargand un server pentru asta).
Pentru toti crizatii si specialistii in securitate wannabe care-si dau cu parerea sa se afle in treaba:
Articolul 1, alineatul 3:
Prezenta lege se aplica doar datelor generate sau prelucrate ca urmare a unei comunicatii ori a unui serviciu de comunicatii si nu se aplica in ceea ce priveste continutul comunicarii sau informatiilor consultate in timpul utilizarii unei retele de comunicatii electronice, in aceste cazuri fiind aplicabile prevederile Codului de procedura penala, precum si cele ale legilor speciale in materie.
Da, deci e interzis in mod explicit inregistrarea continutului SMS-urilor, e-mailurilor, a ce site-uri a vizitat utilizatorul si asa mai departe. Asa ca toata lumea inapoi la treaba, nu-i nimic de vazut aici.
Si o chestie foarte interesanta trecuta in lege: toate cheltuilelie cu punerea in picioare a sistemelor de retinere a datelor sunt deductibile. Parca vad c-o sa-si ia toti hard disk-uri de 1TB cu 5000EUR bucata :))
Adica ultima versiune a produselor Check Point pentru securitate de perimetru. Cel putin azi, 26/06/2012.
Zilele astea a trebuit sa tin niste prezentari de Check Point la niste oameni, din care una batut in cap de beat. Eu ma dau cu Check Point de prin 2004 si am ajuns sa-l cunosc destul de bine, mi-am dat si cateva examene de control, sa fie acolo, ca nu se stie :)
De obicei nu prea ma omor p’aci sa scriu de produsele cu care lucrez, insa R75.40 merita si el cateva randuri pentru ca dupa ce l-am frecat in ultima saptamana am ajuns la concluzia ca e pe undeva la 70-75% din ce ar trebui sa fie un firewall UTM performant, capabil si care sa aiba o interfata de management mai mult decat decenta. Restul de firewall-uri sunt undeva mult mai jos, si da, m-am dat cu destul de multe.
Ce stie sa faca foarte bine:
Ce suge:
Ca si concluzie, tind sa cred ca sunt pe drumul cel bun pentru un firewall pentru enterprise.
am ajuns la concluzia ca e cazul sa am si eu un laptop personal pe care sa-l folosesc. si cu concluzia asta a trebuit sa-mi fac o lista de cerinte pe care sa le indeplineasca laptopul:
Eh, si aici e beleua maxima: in afara de ultrabook-uri facute de firme obscure, gen Asus nu gasesc nimic mai normal. Toata lumea a innebunit cu 1366*768 rezolutie, care arata de tot rahatul.
De vreo cateva luni bune, ma tot uit asa cu jind la un MacBook Air de 13.3″ care guess what: e usor, are rezolutie buna, are vreo 4GB RAM si SSD de 256GB, si DisplayPort. Da e scump cu spume, vreo ~1350EUR in DutyFree.
Astia de la Dell au baut gaz, si dupa ce nu stiu cati ani au scos laptopuri drepte si care aratau bine, acum le-au rotunjit pe toate, le-au facut mari, si plasticul ala de pe langa ecrane ocupa asa mult loc, sunt inalte, parca zici ca’s d’alea de 20mil din hypermarket.
So, unde sa ma uit dupa un laptop mic, dragut si care sa nu coste o mana si’un picior ?
Primii mail acu de la CloudFlare cum ca mai nou blogul este si IPv6 ready, ca mi-au pus ei AAAA record pentru ipv6.imacandi.net.
So, cand o merge, ca acum cam sughita, stiinta prezenta pe blog va fi disponibila si pe IPv6.
… sau mai bine zis cum sa te uiti ca prostu la monitor si sa zici ca nu e adevarat.
Setup simplu: Exchange 2010 SP2 UR1 (UR=Update Rollup), Windows 2008 R2 SP1 puse pe ESXi 5.0U1. 2 servere: un mailbox si un CAS.
Mai acu ceva vreme a iesit UR2 pentru Exchange 2010 SP2. Pe care l-am instalat cu succes si fara dude pe serverul pe care se afla mailboxurile. Dupa vreo ~ saptamana sau cam asa, am zis ca daca tot nu s-a intamplat nimic, hai sa-l pun si pe CAS, sa fie si ala fericit sa vad ca e totul bine pe o pereche de servere pana sa-l instalez si pe restul.
Cum pe mine ma apuca treaba asta numai noaptea, am dat install si am asteptat, si am asteptat, m-am dus prin oras, am mancat, m-am plimbat cu bicicleta si cand m-am intors se tot instala. M-am uitat io asa prin event viewer, am gasit niste mesaje de oroare destul de interesante.
Partea insa foarte interesanta a fost cand am observat ca nexam trafic IPv4 intre Exchange si DC-uri. Si conexiunile deja stabilite. Orice altceva canci. Nada. m-am frecat un pic in cap si am zis ca WTF, nu se poate. Pana la urma am zis ca ‘what can go wrong’ si am dat disable si enable la placa de retea, a dat semne ca s-a instalat si minuntea de UR, a zis ca vrea reboot, i-am dat, am vazut c’a rebootat si m-am dus la nani ca mi-era incredbil de somn.
A doua zi, SMS ca ‘nu merge OWA, da eroare’. A doua zi eram la 100km distanta de un computer de pe care puteam sa ma leg sa fixez jucaria. Anyway, am ajuns acasa, am sapat, am vazut ce eroare da, m-am pus sa dezinstalez UR-ul, l-am dezinstalat si pe ala de dinainte ca se pare ca se futuse si installerul de Windows si lua ce vroia el la dezinstalat, rebootat de cateva ori, si dat din nou sa instalez UR sa vad ce si cum.
Bineinteles ca s’a instalat pana pe la cap cand a inceput .NET optimizerul sa mai faca niste chestii si iar canci conectivitate IPv4. aia de IPv6 mergea de n-avea aer, numai ca dintr-un motiv care-mi scapa mie, in cazul asta, Exchange-ul isi doare foarte tare numai IPv4, asa ca am facut ce facusem si data trecuta, enable/disable la placa de retea, s-a deztepenit (cu mentiunea ca acu a dat mai putine mesaje de oroare), reboot si surpriza: merge OWA.
Singurul lucru diferit e ca pe CAS am pus direct UR2 versus alalalt server care avea UR1 pus si pe care am pus si UR2. Cred ca e o buba prin ce rahat face CAS-ul de se blocheaza asa tembel.
Si uite asa ajungi sa injuri pe toata lumea la doua dimineata cand se intampla lucruri care n-ar tebui sa aiba absolut nicio legatura una cu alta.
Deci da, cand instalezi un patch la ceva care nici macar n-are treaba cu sistemul de operare, mai nou poti ramane fara conectivitate IPv4 pentru conexiuni noi. Ain’t computers fucking predictable ?
Ieri am primit jucarie noua:
SSH@NetIron MLX-4 Router#show module
Module Status Ports
M1 (left): NI-MLX-MR Management Module Active
M2 (right): NI-MLX-MR Management Module Standby (Ready State)
F1: NI-X-HSF Switch Fabric Module Active
F2: NI-X-HSF Switch Fabric Module Active
F3:
S1: NI-MLX-10Gx8-M 8-port 10GbE (M) Module CARD_STATE_UP 8
S2: NI-MLX-1Gx20-SFP 20-port 1GbE-100FX Module CARD_STATE_UP 20
S3: NI-MLX-1Gx20-GC 20-port 10/100/1000 Copper Module CARD_STATE_UP 20
S4:
Are Cisco feel, se configureaza la fel cu cateva mici exceptii cosmetice. Face zgomot ca un GSR :))
Din cand in cand, ca orice sysadmin care se respecta, mai fac si update de soft pe ici pe colo, sa fiu trendy si in ton cu moda :)
In weekend, pentru ca eram sub influenta vinului, ma gandeam io asa ca trebuie sa fac update la JUNOS de pe un stack de EX4200, ca asta de rula acum ii expira suportul saptamana viitoare. M-am uitat, am citit, am gasit versiunea care trebuie si zic luni dimineata ii dau in cap.
Teoria, testata data trecuta, e ca in versiunile noi de JUNOS au fixat upgrade-ul stack-urilor pe EX4200 si pot sa-l fac hitless pentru serverele din spate. Bine, asta ca s-a prin si ESXi cum sa trateze pierderea link-urilor intr-un mod graceful asa :)
Eh, downloadez io 11.4R2.14 ca tot e recomandata de JTAC sa ruleze pe switch-urile astea si-i dau sa instaleze si sa rebooteze. Dupa ce am apasat Enter mi-am adus aminte ca e un pic gresita treaba si ca trebuia sa-i spun si pe ce membru sa faca asta. Si uite asa s-au instalat si rebootat amandoua switch-urile in acelasi timp. Buba e ca de cateva versiuni incoa a crescut timpul de instalare, ca se pune de doua ori: o data pe partitia normala si o data pe una de backup si in caz ca da cu oroare, sa ai de unde sa butezi pana o repari pe ailalta. Si uite asa m-am uitat io 10-15min pana au pornit alea si a luat-o iar totu din loc.
Noroc ca era de dimineata si nu era lumea prea treaza sa se prinda ca a picat stuff pe acolo :)
Asa, azi am vrut sa repet operatia, da de data asta pe o pereche de routere care functioneaza de capul lor. So, oprit frumos serviciile pe unul din routere sa nu flapeze stuff pe acolo, instalat OS frumos, inchis sesiunea de SSH, plecat putin la plimbare, intors, pornit sesiune de SSH din nou si dat reboot.
Dat reboot la alalalt router si nu intelegeam de ce ma-sa buteaza cu aceeasi versiune de OS. Cand n-a mai mers conexiunea la internet mi-a picat fisa. In cap. L-am rebootat pe singuru bun.
Am scos un “Futu-i”, asteptat sa buteze, sa incarce cele 2 tabele globale de IPv4, sa se stabilizeze shit-ul, sa-l rebutez pe ala care trebuia, sa-i activez din nou configuratia, sa astept sa incarce si ala stuff si ce mai face el, sa las lucrurile sa se linisteasca un pic si sa-l actualizez si pe ala care trebuie si sa-l mai rebutez o data :)
Morala cre’ca e sa nu mai fac stuff pisat pe mine de somn. Azi am cascat pana la pranz. Noroc ca la intalnirea de dimineata aia care nu trebuiau sa ma vada scriau pe flipchart cu spatele. M-as fi intins pe mocheta de somn ce-mi era.
Cre’ca trebuie sa-mi fac todo list pe care sa notez ce anume trebuie sa scrie la prompt cand dau comenzi, ca cine stie ce rahat se intampla data viitoare.