Хроники костылестроения #2
... Таки закончил / собрал свой новый сервер. Даже работает (тьфу-тьфу) и даже как было задумано. С удаленным управлением посредством MeshCommander и VNC-консолью через Intel AMT. Не супер-удобно, конечно, но реально оно мне нужно не особо сильно часто. Особенно порадовало, что поскольку на матплате имеется спецразъем для подключения LCD-матриц, то не надо городить всякие заглушки в Display Port для того чтобы работал удаленный рабочий стол. И ещё отрадно, что поскольку там никакой механизьма Java, а обычный HTML + VNC, то должно хватить надолго без необходимости занятия некрофилией, как это происходит с некоторыми популярными BMCшками наподобие Aten-овских.
Больше всего проблем доставило "нестандартное" питание материнской платы: она хочет от 15 до 36 Вольт. И у неё нет штатных контактов для запуска ATX-ового блока питания, поэтому пришлось городить примерно вот такой огород.
Нашел "промышленный" блок питания на напряжения +5, +12, +24 вольта. От него запитал матплату и через релюшки жесткие диски. Чтобы значит они не крутились когда матплата отдыхает. Но когда начал испытывать конструкцию, выяснилось что жестким дискам не хватает мощности по линии +12 вольт по причине того, что линия +5 вольт оказалась недогруженной. Теоретически, можно было бы прикрутить какой-нибудь условный кипятильник чтобы потреблял +5 вольт, но я поматерившись вкорячил в корпус ещё один блок питания на +12 вольт, от которого подвел напряжение на жесткие диски. С тех пор работает нормально.
Вид сзади. Не очень презентабельно получилось, конечно. По корпусу пришлось конкретно пройтись дрелью-напильником. Маску для матплаты конечно можно было бы взять на какой-нибудь барахолке, но мне уже сильно лень всё это разбирать. Ещё плохо то, что по задумке создателей этого корпуса в штатном режиме горячий воздух должен был удаляться вот через ту перфорацию сверху вентилятором блока питания. Но у меня БП без вентиляторов, и эту перфорацию пришлось перекрыть, ибо внутри не хватало места. Верхнюю крышку же вандалить совсем не хотелось. В качестве хоть какого-то выхода из ситуации прицепил на стяжки мелкий вентилятор чтобы просто воздух перемешивал. Засунул вовнутрь термопару. Вроде температура внутри закрытого собранного корпуса в самой горячей точке не превышает 40 градусов, так что наверное и хрен бы с ней.
Готовое решение выглядит как-то так. Жаль конечно, сгорел мой 24-портовый гигабитный PoE-шник. Пришлось поставить неуправляемый 8-портовый 100-мегабитный D-Link из закромов. Пока, думаю, хватит, а там видно будет.
... Зажужжал вентилятор в моем "основном" неттопе. Купил новый. Вроде PartNumber точно такой же, ан нет. Четыре еле заметных циферки мелким шрифтом в конце таки отличались. На посадочное место новый вентилятор-то встает, но разъем USB3 не дает ему полностью прижаться к плате. И корпус неттопа из-за этого не закрывается. Пришлось опять колхозить. Интересно, на сколько процентов я тем самым снизил КПД этого вентилятора.
... Прикрутил на свой OpenWRT-роутер утилитку, про которую уже писал раньше, и теперь как белый человек продолжаю смотреть ТыТрубу. Но раньше у меня телек "сидел" в одном L2-сегменте с неттопом, а теперь пришлось их разнести по разным VLANам. Чтобы у утилитки была возможность читать транзитный трафик. Спустя пару недель я осознал, что отвалился DLNA и я больше не могу зырить на телеке скачанные с торрентов фильмы (лоша-а-а-ара). А там жы ж обнаружение идет посредством Multicast-ового SSDP, который через L3-роутер не проходит, застревает.
Полез разбираться как делать маршрутизацию Multicast-а в OpenWRT и шаманить с TTL, ибо телек шлёт SSDP-пакеты с TTL=1. Разобрался. Но потом выяснилось, что этот ср**ый Samsung в принципе отказывается коммуницировать с устройствами не в своей подсести, хоть и прекрасно "видит" их. Мать-мать-перемать! Пошел дальше ковыряться с IP-адресацией, навесил себе на комп дополнительный IPшник из того же диапазона, где "сидит" телеящик, включил на роутере ARP Proxy. Заработало. Чем бы дитя не тешилось, лишь бы не руками. Ну ладно, лишний раз в iproute2 и nftables поупражнялся, тоже полезно. Мож когда-нибудь доберусь чтобы наконец свежекупленную приставку к телеку прикрутить, гыгыгыгы.
... У рoскoмпoзoра очередное осеннее обострение. Загнобил OpenVPN в сторону зарубежных хостов. Но некоторые российские сети тоже зацепило, один из наших разработчиков таки попал под раздачу. Причем, блокируется почему-то пока что только UDP-вариант, и только в момент установления соединения (TLS Handshake). То есть, например, можно начать ломиться на OpenVPN-сервер с одного провайдера, потом переключиться на другого, и всё будет работать (до следующего rekey), при том что заблокировано оно на обоих. Похоже, что они идентифицируют протокол по TLS ACK, по-другому я объяснить такой эффект не могу.
В качестве экстренного костыля было задействовано вот такое (спасибо тов. rustedowl за наводку). Плохо то, что оно by design ломает Path MTU Discovery и тем самым добавляет энное количество проблем, но в целом вполне себе работает. Ещё радует, что можно его инсталлировать рядом со штатным OpenVPN-сервером и запустить одновременно "старый" и "новый" вариант удаленного доступа. Хотя вот директива "fragment" должна одновременно либо присутствовать, либо отсутствовать и на клиенте, и на сервере; так что тут совсем уж без рукоблудия тоже не обойтись, но это решаемо.
Вообще конечно очень плохо себе представляю как дальше жить работать если всерьёз начнут гнобить OpenVPN. Понятно, что в плане обеспечения связности между техническими площадками я дико изъ**нусь, но что-нибудь придумаю. А вот что делать с сотрудниками, большинство которых "сидит" под виндой, не знаю. Можно конечно попробовать пересадить их на StrongSWAN / IPSec, который активно давить пока ещё не решаются. Но оно тоже такое...
... В процессе прогулок по городу был обнаружен вот такой домик для Ктулху. А может там внутри аквариум с инопланетными рыбками?
Вообще конечно в Химках можно легко постапок-фильмы снимать. Для этого достаточно просто выйти из дома. А всего-то другая сторона МКАДа.
Всем удачных решений и прочных гладких костылей.