ОколоITшный дыбр #22
... Строили очередной IPSec-тоннель с очередным контрагентом из бывшей союзной республики. И вот ведь какая засада. Когда при IKE-обмене его сторона является Initiator, а моя Responder, то всё замечательно. Если же я Initiator, а он Responder, то возникают какие-то совсем странные ошибки из серии "не могу распарсить такой-то пакет". Никакого NAT-а нигде нет, с двух сторон "честные" IPшники. У меня StrongSWAN, у него Cisco ASA. Пробовали и IKEv1, и IKEv2, и разные шифры, похрен.
Причем, судя по дампам, там по дороге есть нечто, что портит эти самые UDP:500 пакеты. То ли Firewall, то ли балансировщик какой-то, то ли IPS / IDS / DPI / ALG или ещё какая-нибудь жопа в этом духе. Мне и самому было бы интересно разобраться, но с той стороны у "инженера" квалификация никакая, да и разница в часовых поясах ни разу не стимулирует. Пришлось тупо подставлять костыли, чтобы IPSec всегда инициировался бы с той стороны.
Особенно забавно, что когда IKE уже установлен и согласован, я могу без проблем со своей стороны стартовать любой дочерний тоннель (IPSEC Security Association), даже если до тех пор он не был инициирован. Ну явно какая-то хрень со стороны там лезет в работу протокола, причем похоже, что она установлена в их же сети. Вот именно с таким столкнулся в своей практите впервые.
... Наткнулся на исследование, в котором утверждается, что якобы NginX под нагрузкой вносит меньшую латентность, нежели HAProxy. Уж не знаю насколько оно беспристрастное, поскольку опубликовано в блоге всё того же NginX-а. Но если действительно так, то грустно. Лично мне намного больше нравятся healtcheck-и, мониторинг и диагностика у HAProxy, нежели у NginX-а. С другой стороны, 85 тысяч запросов в секунду... у меня такой аццкой мясорубки-то даже рядом никогда не стояло.
... Не помню, писал уже про это или нет. Шел 2021-й год, а некоторые программные продукты (например, тот же TeamCity или даже OpenSSL) до сих пор не умеют хавать закрытые SSH-ключи в формате RFC4716. Им нужен формат PEM. Чтобы сконвертировать из одного в другой, можно скастовать заклинание "ssh-keygen -p -f id_rsa -m PEM". Типа, мы меняем пароль с пустого на пустой, но при этом также ssh-keygen перекодирует в другой формат. Кроме этих двух перечисленных бывает ещё формат PKCS8. Нужно больше разных форматов богу форматов!
... Энное количество времени тому назад, когда я активно знакомился с девушками, сразу обращал внимание на три вещи. Первая: курит ли она. Если да, сразу нафиг. Вторая: насколько длинные / крашеные ногти на руках. Если длинные и крашены в яркие кислотные цвета, тоже сразу нафиг. А третья, есть ли у неё iPhone. Если есть, и при этом куплен на свои (или тем паче кредитные) деньги, то тоже сразу нафиг. Потому что наличие огрызка в большинстве случаев является признаком недалёкого ума.
Недавно появился ещё один такой весьма яркий "пробник": салфетка из микрофибры с логотипом Apple за 20 баксов. Подробнее можете почитать вот тут. Очень удобно, на самом деле. Если вы видите у кого-нибудь такую салфетку, либо он(а) просит подарить ему/ей оную, значит с вероятностью 99% перед вами эталонный долбо*б либо ТП. Спасибо, фруктовая компания.
Всем работающих тоннелей и нормальных дешевых салфеток по баксу за штучку.