ОколоITшный дыбр #38
... Господин nixxl опубликовал весьма занятное наблюдение. Возможна ситуация, когда у тебя достаточно свежий DNS-сервер / ресолвер (например, BIND 9.18), а у каких-нибудь мурзилок слишком тухлый до такой степени, что ещё не знает про существование EDNS. В таком случае у тебя на сети не будут ресолвиться доменные имена этих мурзилок от слова "совсем" из-за несовместимости DNS-серверов (твоего и их).
Пока что в состав стабильного Debian-а ("bullseye") входит Bind 9.16, который ещё снисходительно относится к тухлым серверам без EDNS и таки включает обратную совместимость со второй попытки. Но вот в дистибутиве Ubuntu 22.04 LTS ("Jammy") уже упакован Bind 9.18, из которого такая обратная совместимость выкорчевана с корнем.
Поэтому если у вас не открываются какие-то сайты, а у соседа Васи открываются, возможно что вы вляпались как раз в подобные неприятности. Что до меня, то сам я на практике с таковым до сих пор не сталкивался, хотя у самого в лавке давным-давно бегает Bind 9.18, который уже "злой и строгий". Но на всякий случай взял на заметку.
... Судя по рассылкам от ЦБ в подчинённые организации наблюдается какая-то нездоровая активность российских позорных надзорных органов. Похоже, что в июне собираются наглухо заблокировать IPSec / OpenVPN / Wireguard на этих ихних ТСПУ / DPI. Что-то мне подсказывает, что в очередной раз эпично обо... облажаются примерно как с телеграмом, но крови у всех попьют от души. А покамест имеет смысл поискать и заранее развернуть у себя какие-нибудь решения, которые умеют хорошо мимикрировать под HTTPS наподобие udp2raw. Если у вас есть ещё какие-нибудь годные аналоги на примете, черканите пожалуйста в комментариях.
... Из дома чё-то не открывается https://play.google.com/ . Опять что ли его сломали? Или и не чинили? Но приложения на андроидофонах вроде обновляются нормально.
... Не прошло и столетия, как Google Authenticator наконец-то научили бэкапить 2FA-токены в облако. Но вот шифровать их при этом пока что не осилили. Смешно, но Яндекс.Ключ умеет и то, и другое с незапамятных времён. Тот редкий случай, когда отечественное изделие таки лучше импортного.
... Каждый раз когда иду настраивать циски после длительного перерыва, постоянно наступаю на одни и те же грабли. Что мало прописать разрешенный VLAN для порта, надо его ещё отдельно явно объявить. И каждый раз трачу кучу времени в попытках выяснить почему ничего не работает. Сцуки, это ж надо было сделать такой контринтуитивный интерфейс.
Всем работающих DNS и IPSec.