The Apple Geek » network

Добавление статического маршрута при запуске системы через StartupItems

ctrld — Tue, 06 Sep 2011 16:05:56 +0000

Понадобилось мне при запуске OS X добавить статический маршрут. И всё бы хорошо, но сколько не бился – всё без толку, испытываю очередной вариант, перезапускаю сервер, проверяю – маршрута нет.

Уже начал думать, что в Lion поменялись механизмы работы с StartupItems. Но тут в Console.app заметил сообщение “add net 10.0.0.0: gateway 192.168.98.9: Network is unreachable” и всё стало на свои места.

Всё дело в том, что сетевые интерфейсы подымаются не сразу (что при DHCP, что при ручной установке адреса), а для добавления статического маршрута шлюз должен быть доступен. Добавил в скрипт задержку 10 секунд перед выполнением команды route – и всё получилось.

При прописывании StartupItems я отталкивался от статьи “Disabling file access time updates using noatime in OS X” – она первая мне попалась под руку.

StartupItems

Создаю каталог для нового StartupItem

$ sudo mkdir /Library/StartupItems/ctrld_boot

Делаю описание скрипта (без него работать не будет)

$ sudo vim  /Library/StartupItems/ctrld_boot/StartupParameters.plist
{
	Description = "Ctrld Boot Script";
	Provides = ("ctrld_boot");
	OrderPreference = "None";
	Messages =
	{
		start = "Starting ctrld Boot Script";
		stop = "Stoping ctrld Boot Script";
		restart = "Restarting ctrld Boot Script";
	};
}

Пишу скрипт (обратите внимание на sleep 10 – не будет работать, замените 10 секунд, например, на 20):

$ sudo vim /Library/StartupItems/ctrld_boot/ctrld_boot
#!/bin/sh
. /etc/rc.common
case "$1" in
start)
	ConsoleMessage "Starting ctrld Boot: adding static route"
	sleep 10
	route add -net 10.0.0.0 -netmask 255.0.0.0 192.168.98.9
	;;
esac
exit 0

Делаю скрипт исполняемым:

$ sudo chmod 755 /Library/StartupItems/ctrld_boot/ctrld_boot

Перезапускаюсь – работает.

LaunchDaemons

Если бы не задержка с активацией интерфейсов, то можно было бы сделать запуск и через механизм LaunchDaemons.

$ cd /Library/LaunchDaemons

Создаю plist:

$ sudo vim me.ctrld.route.plist



    
        Label
        me.ctrld.route
        ProgramArguments
        
            route
            add
			-net
			10.0.0.0
			-netmask
			255.0.0.0
			192.168.98.9
        
        RunAtLoad

Выставляю права (они и так нормальные):

$ sudo chmod 644 me.ctrld.route.plist

Этот способ я продемонстрировал для полноты, как можно выполнить нужную операцию при старте системы.

Настройка syslog-сервера на OS X для приёма сообщений TimeCapsule

ctrld — Wed, 31 Aug 2011 14:47:44 +0000

Дано: OS X – одна штука, Time Capsule – одна штука.

Нужно: писать сообщения syslog от TimeCapsule в syslog сервера.

На TimeCapsule (впрочем, как и на AirPort Express/Extreme) настройка элементарна:

Но в syslog “из коробки” эти сообщения не попадают.

Что делать?

Рецепты нашёл на SuperUser и на Shortcut.

Нужно отредактировать конфигурацию launchd для запуска syslogd.

Преобразую plist в приспособленный для редактирования вид xml:

$ sudo plutil -convert xml1 \
	/System/Library/LaunchDaemons/com.apple.syslogd.plist

Добавляю фрагмент в конце файла, выделенный жирным текстом:

$ sudo vim \
	/System/Library/LaunchDaemons/com.apple.syslogd.plist

	    
	        SockPathMode
	        438
	        SockPathName
	        /var/run/syslog
	        SockType
	        dgram
	    
	    NetworkListener
	    
	        SockServiceName
	        syslog
	        SockType
	        dgram

Преобразую plist к предыдущему формату binary1:

$ sudo plutil -convert binary1 \
	/System/Library/LaunchDaemons/com.apple.syslogd.plist

Правлю конфигурацию syslog для отправки сообщений в файл AirPort.log:

$ sudo vim /etc/syslog.conf
#local0.*                       /var/log/appfirewall.log
local0.*                        /var/log/AirPort.log

Не забываю создать лог-файл:

$ sudo touch /var/log/AirPort.log

Перезапускаю syslog:

$ sudo launchctl unload \
	/System/Library/LaunchDaemons/com.apple.syslogd.plist
$ sudo launchctl load \
	/System/Library/LaunchDaemons/com.apple.syslogd.plist

Проверяю, что syslog стал слушать по сети:

$ sudo lsof -i:514
COMMAND  PID USER   FD   TYPE             DEVICE SIZE/OFF NODE NAME
launchd    1 root   55u  IPv4 0xffffff800cb05d60      0t0  UDP *:syslog
launchd    1 root   74u  IPv6 0xffffff800bb94920      0t0  UDP *:syslog
syslogd 2348 root    5u  IPv4 0xffffff800cb05d60      0t0  UDP *:syslog
syslogd 2348 root    6u  IPv6 0xffffff800bb94920      0t0  UDP *:syslog

Проверяю поступление сообщений, переподключив iPhone по WiFi:

$ tail -f  /var/log/AirPort.log
Aug 31 17:20:43 ... 80211: Disassociated with station 7c:c5:37:70:d3:9f
Aug 31 17:20:44 ... 80211: Rotated TKIP group key.
Aug 31 17:20:53 ... 80211: Associated with station 7c:c5:37:70:d3:9f
Aug 31 17:20:53 ... 80211: Authenticating station 7c:c5:37:70:d3:9f to RADIUS.
Aug 31 17:20:53 ... 80211: Installed unicast CCMP key for supplicant 7c:c5:37:70:d3:9f

Для “контрольного в голову” захожу в Console.app и выбираю нужный лог:

Работает. Замечательно.

Я всё это делал с OS X Lion Server, но должно работать и на обычном OS X.

Решение проблемы синхронизации OmniFocus по WebDAV с OS X Lion Server

ctrld — Mon, 29 Aug 2011 14:32:12 +0000

Mac – замечательная вещь. Отличное железо, отличная операционная система. Просто работаешь, не задумываясь ни о чём. Но как только нужно сделать шаг в сторону или копнуть на хоть на пару сантиметров вглубь, как начинается такие сложности, что уже и не рад красотам и тоскливо вспоминаешь о Linux.

Итак, дана простейшая задача – нужно синхронизировать базу OmniFocus по WebDAV с OS X Lion Server, установленным на Mac mini Server.

С первого взгляда ничего особенного. В сервере заявлена поддержка WebDAV, копаясь в настройках общего доступа к каталогам я видел галочку включения WebDAV. Что ещё нужно? Ткнул в пару кнопок, всё заработало, ты счастлив и имеешь ещё один повод посмотреть свысока на бедных пользователей Unix – им-то приходится повозиться.

Но нет. Тыканья-тыканьями, а вот какой URL вводить в Omnifocus для доступа к WebDAV? Пока не зашёл в консоль и не заглянул в файл /etc/apache2/httpd_webdavsharing.conf, я не мог догадаться до “очевиднейшего” URL https://server.domain.com/webdav/.

Следующий этап заключался в поисках полного URL к нужной мне папке. Тоже не составило особого труда – Finder/Go/Connect to Server, ввод URL, взгляд на расшаренные папки.

Создание отдельного каталога для синхронизации, ввод URL в настройках OmniFocus – всё очевидно:

Нажатие кнопки Sync провозглашает начало тёмных веков: “Unable to synchronize database with server”…

Попытка переименования каталога приводит к ошибке:

Не думайте, я не первый год за консолью. chmod 777 на родительский каталог был выставлен после первой неудачной попытки, но ничего не изменилось.

Чтение логов Apache (tail -f /var/log/apache2/*log) показало любопытные строки (а именно код 502 Bad gateway):

"MOVE /webdav/ctrld/Sync/untitled%20folder/ HTTP/1.1" 502 256 "-" "WebDAVFS/1.9.0 (01908000) Darwin/11.2.0 (x86_64)"
"PROPFIND /webdav/ctrld/Sync/._untitled%20folder HTTP/1.1" 404 233 "-" "WebDAVFS/1.9.0 (01908000) Darwin/11.2.0 (x86_64)"

Увеличение LogLevel до debug:

$ sudo vim /etc/apache2/httpd.conf
#LogLevel warn
LogLevel debug
$ sudo apachectl restart

Повтор попытки – логи не говорят ни о чём.

Задумчивость, попытки найти варианты решения в Google. Сообщение в форуме Omnigroup “Lion Server for WebDav” порадовало: “Its a no go for now. It looks like some sort of permissions issue but they are aware of it and are working on it.”

Приступ ностальгии по Linux. Достал рабочую конфигурацию WebDAV со своего Ubuntu Server. Модифицировал и вставил её в конец httpd_webdavsharing.conf (да, именно этот файл включается в sites/0000_any_443_.conf, что даёт шансы на доступ к WebDAV по https). Само собой, вы должны использовать свои данные, а не копировать мои:

$ sudo vim /etc/apache2/httpd_webdavsharing.conf
DavLockDB /var/tmp/DavLock
Alias /secretplace /Users/ctrld/Sync

	DAV On
	AuthType Digest
	AuthName "UserWebDAV Gateway"
	Require valid-user

Здесь тоже было сказано много лестных слов об Apache для Mac (было убито минут 15 на попытки понять, почему сервер не стартует), но эту часть я опущу.

Не забыл поставить разрешение, дающее право записи для Apache (правильные права несколько другие, но ради простоты я сделал именно так):

$ chmod 777 ~/Sync

Рестарт Apache

$ sudo apachectl restart

Настройка нового URL в OmniFocus:

Нажатие на Sync, и всё заработало (конечно же, производится аутентификация пользователя, это само собой разумеется):

"PUT /secretplace/OmniFocus.ofocus/...client-write-in-progress-... HTTP/1.1" 201 311 "-" "OmniFocus/77.75.9 Darwin/10.7.2"
"MOVE /secretplace/OmniFocus.ofocus/...client-write-in-progress-... HTTP/1.1" 201 289 "-" "OmniFocus/77.75.9 Darwin/10.7.2"

OmniFocus на Mac работает, настроил iPhone – и здесь всё в порядке.

Задача решена. Но помните – ручные правки конфигов не приветствуются в OS X Server. Любое обновление Server.app может привести к потере ручных изменений. Поэтому сохраняйте копию конфига и будьте готовы восстановить его, если синхронизация перестанет работать.

Как временное решение данный рецепт вполне подходит. Посмотрим, будет ли исправлена ошибка в очередном обновлении Server.app. Кстати, подскажите, как открыть Bug Report в Apple?

Получение http-заголовков с помощью curl

ctrld — Tue, 16 Aug 2011 04:48:51 +0000

Для анализа заголовков, возвращаемых web-серверами я обычно использовал консольный браузер lynx, которого нет штатно в OS X:

$ lynx -head -dump http://theapplegeek.ru
HTTP/1.1 200 OK
Server: nginx
Date: Sat, 13 Aug 2011 17:38:54 GMT
Content-Type: text/html; charset=UTF-8
Connection: close
Vary: Accept-Encoding
Last-Modified: Sat, 13 Aug 2011 17:32:16 GMT
Vary: Cookie,Accept-Encoding
X-Pingback: http://theapplegeek.ru/xmlrpc.php

Его приходится доустанавливать, например, через Homebrew.

Только что, прочитав статью “Invaluable command line tools for web developers” взял на вооружение отличную замену – curl, который есть в OS X:

$ curl -I theapplegeek.ru
HTTP/1.1 200 OK
Server: nginx
Date: Sat, 13 Aug 2011 17:43:02 GMT
Content-Type: text/html; charset=UTF-8
Connection: keep-alive
Vary: Accept-Encoding
Last-Modified: Sat, 13 Aug 2011 17:32:16 GMT
Vary: Cookie,Accept-Encoding
X-Pingback: http://theapplegeek.ru/xmlrpc.php

А вот очень изящная команда для нахождение внешнего IP-адреса:

$ curl ifconfig.me

Раньше я выполнял команду, которую тяжело запомнить:

$ dig +short myip.opendns.com @resolver1.opendns.com

Полезно.

Настройка iSCSI на Ubuntu 11.04 и подключение его к Mac OS X 10.6

ctrld — Thu, 09 Jun 2011 11:31:56 +0000

Надоело мне всё время подключать к Macbook Pro внешний диск по USB, и я решил попробовать подключить его по сети с рабочей станции под Ubuntu 11.04. NFS/SMB применять не хочется, мне нужен полноценный диск с HFS+, поэтому вспомнил об iSCSI.

Для настройки со стороны Ubuntu я воспользовался инструкцией “Using iSCSI On Ubuntu 10.04 (Initiator And Target)“.

Итак, есть компьютер с Ubuntu 11.04. В него я вставил диск SATA 500 GB. Данные с него мне не нужны, поэтому считаю, что он чистый (не пытайтесь повторить это на диске с нужными данными, они в процессе будут уничтожены). Ubuntu и Macbook Pro подключены в одну сеть гигабитными портами.

Настройка iSCSI Target на Ubuntu 11.04

В терминологии iSCSI Target – это сервер, а Initiator – клиент. На Ubuntu буду настраивать Target.

Идентифицирую диск, который я вставил (также можно посмотреть в GParted):

$ sudo lshw -C disk
*-disk:2
     description: ATA Disk
     product: WDC WD5000KS-00M
     vendor: Western Digital
     physical id: 0.0.0
     bus info: scsi@6:0.0.0
     logical name: /dev/sdc
     version: 07.0
     serial: WD-WMANU1192001
     size: 465GiB (500GB)
     capabilities: gpt-1.00 partitioned partitioned:gpt
     configuration: ansiversion=5 guid=a02ee5be-dd7a-4ec8-a4e7-60b4f1e530a4

Logical name – /dev/sdc.

Для iSCSI можно использовать образ в виде файла в существующей файловой системе, но меня больше интересует LVM, так как доступ будет быстрее. Ставлю утилиты:

$ sudo aptitude install lvm2

Сканирую доступные Volume Groups на физических дисках, их у меня нет:

$ sudo vgscan
  Reading all physical volumes.  This may take a while...
  No volume groups found

Рекомендуется сделать доступными ранее сконфигурированные volume groups:

$ sudo vgchange -a y

Создаю раздел на весь диск для LVM, предварительно удалив другие разделы на диске. Внимание – это опасно, ваши данные будут уничтожены, думайте, перед тем, как это сделать. Запускаю fdisk на мой свежеустановленный диск /dev/sdc (повторяю – двойное внимание).

Список существующих разделов:

$ sudo fdisk /dev/sdc
Command (m for help): p

Disk /dev/sdc: 500.1 GB, 500107862016 bytes
255 heads, 63 sectors/track, 60801 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x00000000

   Device Boot      Start         End      Blocks   Id  System
/dev/sdc1               1       60802   488386583+  ee  GPT

Не обращаю внимание на надпись

WARNING: GPT (GUID Partition Table) detected on '/dev/sdc'! The util fdisk doesn't support GPT. Use GNU Parted.

У меня был раздел GPT, он мне не нужен, удаляю его (тройное внимание):

Command (m for help): d1
Selected partition 1

Создаю primary partition на весь размер диска:

Command (m for help): n
Command action
   e   extended
   p   primary partition (1-4)
p
Partition number (1-4): 1
First cylinder (1-60801, default 1):
Using default value 1
Last cylinder, +cylinders or +size{K,M,G} (1-60801, default 60801):
Using default value 60801

Command (m for help): p
   Device Boot      Start         End      Blocks   Id  System
/dev/sdc1               1       60801   488384001   83  Linux

Записываю таблицу разделов

Command (m for help): w
The partition table has been altered!

Появилось устройство /dev/sdc1:

$ ls -al /dev/sdc*
brw-rw---- 1 root disk 8, 32 2011-06-09 12:53 /dev/sdc
brw-rw---- 1 root disk 8, 33 2011-06-09 12:53 /dev/sdc1

Создаю LVM Physical volume на первом разделе

$ sudo pvcreate /dev/sdc1
Physical volume "/dev/sdc1" successfully created

Создаю Volume Group vg0:

$ sudo vgcreate vg0 /dev/sdc1
  Volume group "vg0" successfully created

Смотрю, сколько места доступно:

$ sudo pvscan
  PV /dev/sdc1   VG vg0   lvm2 [465.76 GiB / 465.76 GiB free]
  Total: 1 [465.76 GiB] / in use: 1 [465.76 GiB] / in no VG: 0 [0   ]

Создаю Logical Volume:

$ sudo lvcreate -L465G -n storage_lun1 vg0
The link /dev/vg0/storage_lun1 should had been created by udev but it was not found. Falling back to direct link creation.
Logical volume "storage_lun1" created

С LVM закончено. Если бы понадобилось создать раздел 20 GB для iSCSI в виде файла, то:

$ mkdir /storage
$ dd if=/dev/zero of=/storage/lun1.img bs=1024k count=20000

Ставлю пакет для iSCSI Target:

$ sudo aptitude install iscsitarget

Разрешаю запуск:

$ sudo vim /etc/default/iscsitarget
ISCSITARGET_ENABLE=true

Конфигурирую без всяческого тюнинга. Обратите внимание – в статье на howtoforge говорится о конфигурационных файлах /etc/ietd.conf и /etc/initiators.allow, но они реально находятся в /etc/iet.

$ sudo vim /etc/iet/ietd.conf
Target iqn.2011-06.me.ctrld.udev:storage.lun1
        IncomingUser username password
        OutgoingUser
		Lun 0 Path=/dev/vg0/storage_lun1,Type=fileio
        Alias LUN1

Конечно же, Target name и IncomingUser нужно поменять. Формат Target name такой: qn.yyyy-mm.[:identifier], я брал домен udev.ctrld.me, а номер – по месяцу и году.

Для файла-образа было бы так:

	Lun 0 Path=/storage/lun1.img,Type=fileio

Конфигурирую доступ от Initiator’а к Target’у, для простоты разрешаю доступ из всей моей подсети 192.168.98.0/24

$ sudo vim /etc/iet/initiators.allow
ALL 192.168.98.0/24

Стартую Target:

$ sudo service iscsitarget start

Проверка работы iSCSI Target на Ubuntu, установка iSCSI Initiator

Чтобы на OS X не задумываться, работает ли iSCSI или нет, проверяю сначала его работу на Ubuntu. Более подробно – на howtoforge.

$ sudo aptitude install open-iscsi
$ sudo vi /etc/iscsi/iscsid.conf
node.startup = automatic

Рестартую open-iscsi (он стартовал при установке)

$ sudo service open-iscsi restart

И рестартую Target:

$ sudo service iscsitarget restart

Смотрю, доступен ли Target на 192.168.98.8. Не забывайте, что доступ должен быть разрешён в /etc/iet/initiators.allow и target должен быть описан в /etc/iet/ietd.conf. С самого начала у меня ничего не получилось, так как я правил файлы в /etc, а нужно было использовать в /etc/iet.

$ sudo iscsiadm -m discovery -t st -p 192.168.98.8
192.168.98.8:3260,1 iqn.2011-06.me.ctrld.udev:storage.lun1

Всё правильно.

$ sudo iscsiadm -m node
192.168.98.8:3260,1 iqn.2011-06.me.ctrld.udev:storage.lun1

Вручную произвожу аутентификацию (указываю username и password, сконфигурированные для lun):

$ sudo iscsiadm -m node --targetname "iqn.2011-06.me.ctrld.udev:storage.lun1" --portal "192.168.98.8:3260" --op=update --name node.session.auth.authmethod --value=CHAP
$ sudo iscsiadm -m node --targetname "iqn.2011-06.me.ctrld.udev:storage.lun1" --portal "192.168.98.8:3260" --op=update --name node.session.auth.username --value=username
$ sudo iscsiadm -m node --targetname "iqn.2011-06.me.ctrld.udev:storage.lun1" --portal "192.168.98.8:3260" --op=update --name node.session.auth.password --value=password

Делаю login:

$ sudo iscsiadm -m node --targetname "iqn.2011-06.me.ctrld.udev:storage.lun1" --portal "192.168.98.8:3260" --login

Если получили ошибку, то перепроверьте параметры, может пароль указан неправильно

Logging in to [iface: default, target: iqn.2011-06.me.ctrld.udev:storage.lun1, portal: 192.168.98.8,3260]
iscsiadm: Could not login to [iface: default, target: iqn.2011-06.me.ctrld.udev:storage.lun1, portal: 192.168.98.8,3260]:
iscsiadm: initiator reported error (19 - encountered non-retryable iSCSI login failure)

А вот что выдаётся в случае успешного подключения:

Logging in to [iface: default, target: iqn.2011-06.me.ctrld.udev:storage.lun1, portal: 192.168.98.8,3260]
Login to [iface: default, target: iqn.2011-06.me.ctrld.udev:storage.lun1, portal: 192.168.98.8,3260]: successful

В dmesg можно посмотреть, какое устройство используется:

[11084.522649] scsi12 : iSCSI Initiator over TCP/IP
[11085.529288] scsi 12:0:0:0: Direct-Access     IET      VIRTUAL-DISK     0    PQ: 0 ANSI: 4
[11085.529600] sd 12:0:0:0: Attached scsi generic sg8 type 0
[11085.529928] sd 12:0:0:0: [sdh] 975175680 512-byte logical blocks: (499 GB/465 GiB)
[11085.530118] sd 12:0:0:0: [sdh] Write Protect is off
[11085.530122] sd 12:0:0:0: [sdh] Mode Sense: 77 00 00 08
[11085.530368] sd 12:0:0:0: [sdh] Write cache: disabled, read cache: enabled, doesn't support DPO or FUA
[11085.533666]  sdh: unknown partition table
[11085.533992] sd 12:0:0:0: [sdh] Attached SCSI disk

В моём случае это /dev/sdh. Ничего на Ubuntu делать больше не буду (а так можно было бы в fdisk создать разделы и подмонтировать их), перехожу к OS X, отлогиниваюсь:

$ sudo iscsiadm -m node --targetname "iqn.2011-06.me.ctrld.udev:storage.lun1" --portal "192.168.98.8:3260" --logout

Настройка iSCSI Initiator на Mac OS X 10.6

Штатно iSCSI в Mac OS X 10.6 не поддерживается, нужно ставить сторонние драйвера. Я использовал бесплатный globalSAN iSCSI initiator, нужно указать свои контактные данные и ссылка на софт придёт по email. Придётся перезагрузиться (sic!):

После установки появляется Preference Pane в System Preferences:

Unlock, жму “+”. Можно выбрать Target и указать все данные, но я для пробы выбрал Portal. После ввода сервера показываются все сконфигурированные там устройства:

Для простоты прописываю Alias, Error Detection ставлю “Header only”, iSCSI Options не меняю

Ввожу параметры аутентификации:

Выбираю соединение и жму Connect. Если всё в порядке, то индикаторы загорятся зелёным (Connected):

и появится сообщение, говорящее, что на подключённом диске нет таблицы разделов:

Запускается Disk Utility, наш iSCSI диск – “IET Virtual Disk”. Закладка Partition, выбираю нужное количество разделов, имя, применяю:

Всё, диск готов и доступен к использованию:

Скорость записи по гигибитному подключению – 300 Mbps

Чтение – 360 Mbps:

Есть пока непонятные провалы, но трафик даже в их пределах есть. Буду смотреть, как ведёт себя эта конфигурация.

Настройка IPv6 на Mac OS X для доступа к ресурсам IPv6 в Интернет

ctrld — Sun, 05 Dec 2010 17:55:21 +0000

Адреса IPv4 заканчиваются. По состоянию на 30 ноября в мире их осталось 2.73% и это количество закончится через 3 месяца. Пора готовиться к переходу на IPv6. Мои мысли по этому вопросу вы можете почитать в статье «IPv6: что год грядущий нам готовит».

Крайне маловероятно, что ваш провайдер предлагает подключение на адресах IPv6. Да и ресурсов IPv6 достаточно мало. Начать эксперименты можно, построив бесплатный туннель на брокера туннелей IPv6 Hurricane Electric. В этой схеме вы будете ходить на ресурсы IPv4 напрямую, а на IPv6 — через туннель.

Минус в том, что туннель строится с заранее описанного в заявке адреса, и если он динамический, то для построения туннеля вам придётся каждый раз обновлять конфигурацию на HE. К счастью, это можно делать автоматически перед запуском туннеля, но нужно писать скрипт.

Туннель может работать через NAT, производимый Airport Express/Extreme/Time Capsule, и, возможно другими маршрутизаторами.

Для начала нужно зарегистрироваться на Hurricane Electic IPv6 Tunnel Broker.

После регистрации создаём туннель («Create Regular Tunnel»):

В поле «IPv4 endpoint (your side of the tunnel)» нужно указать внешний адрес, с которого будет устанавливаться туннель. Например, на внешнем интерфейсе Time Capsule у меня стоит постоянный адрес 94.45.55.146, а Mac, с которого я строю туннель, имеет адрес 192.168.98.10. В этом поле нужно указать 94.45.55.146, а не 192.168.98.10.

Для подсказки в поле «You are viewing from IP» показывается ваш внешний адрес. У меня там стоит 2001:470:1f14:fee::2, так как я пишу статью c уже настроенным IPv6.

Ещё из списка «Which Server Is Closest to you» нужно выбрать сервер, к которому время отклика лучше. Географическая близость не при чём. Для примера, если вы находитесь в Киеве, то необязательно сервер из Киева будет ближе сервера из Франкфурта. Ваш провайдер может иметь каналы в Германию, но не иметь пиринга с UA-IX. Позапускайте ping на указанные сервера и выберите лучший для вас.

Я получил такой туннель:

Для получения конфигурации из выпадающего списка «Example IPv6 Tunnel Configurations by OS» выберите NetBSD/Mac OS X (если вы дочитали до этого момента, то вы и так знаете, что Mac OS X построена на базе BSD):

Я использую слегка модифицированную версию (подставьте ваши значения из конфигурации туннеля):

$ sudo ifconfig gif0 tunnel Client_IPv4_address Server_IPv4_address
$ sudo ifconfig gif0 inet6 Client_IPv6_address alias
$ sudo ifconfig gif0 inet6 Client_IPv6_address Server_IPv6_address prefixlen /64
$ sudo route -n add -inet6 default Server_IPv6_address

Эта конфигурация рассчитана на прямое подключение, когда на интерфейсе вашего компьютера прописан внешний IP-адрес, который вы указали при создании туннеля. В моём случае ноутбук ходит через NAT и на интерфейсе стоит адрес 192.168.98.10. Поэтому я изменил первую команду. Моя конфигурация такова:

$ sudo ifconfig gif0 tunnel 192.168.98.10 216.66.84.46
$ sudo ifconfig gif0 inet6 2001:470:1f14:fee::2 alias
$ sudo ifconfig gif0 inet6 2001:470:1f14:fee::2 2001:470:1f14:fee::1 prefixlen /64
$ sudo route -n add -inet6 default 2001:470:1f14:fee::1

Если всё прошло без ошибок, то интерфейс gif0 у вас будет в состоянии UP:

$ ifconfig gif0
gif0: flags=8051&ltUP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
	tunnel inet 192.168.98.10 --> 216.66.84.46
	inet6 fe80::225:bcff:fedc:ddae%gif0 prefixlen 64 scopeid 0x2
	inet6 2001:470:1f14:fee::2 --> 2001:470:1f14:fee::1 prefixlen 128

Дефолтовый маршрут IPv6 будет идти через gif0:

$ netstat -rn -f inet6
default	2001:470:1f14:fee::1            UGSc           gif0

Обратите внимание на то, что два стека (IPv4 и IPv6) работают независимо. К ресурсам IPv4 вы будете обращаться через IPv4 default route, а к ресурсам IPv6 — через IPv6 default route. При поднятом туннеле IPv6 вы будете полноценно работать со всеми привычными сайтами и протоколами.

Проверяем (не забудьте, что нужно использовать ping6/traceroute6, а не ping/tracecoute):

$ ping6 ipv6.google.com
PING6(56=40+8+8 bytes) 2001:470:1f14:fee::2 --> 2a00:1450:8007::68
16 bytes from 2a00:1450:8007::68, icmp_seq=0 hlim=57 time=53.959 ms
16 bytes from 2a00:1450:8007::68, icmp_seq=1 hlim=57 time=53.507 ms

Трасса:

$ traceroute6 ipv6.google.com
traceroute6 to ipv6.l.google.com (2a00:1450:8007::63) from 2001:470:1f14:fee::2, 64 hops max, 12 byte packets
 1  ctrld-2.tunnel.tserv11.ams1.ipv6.he.net  51.220 ms  48.980 ms  48.551 ms
 2  gige-g2-20.core1.ams1.he.net  42.653 ms  43.184 ms  50.666 ms
 3  pr61.ams04.net.google.com  43.669 ms  45.181 ms  77.431 ms
 4  2001:4860::1:0:8  44.318 ms  50.518 ms  43.950 ms
 5  2001:4860::1:0:11  113.400 ms
    2001:4860::1:0:10  57.398 ms  58.136 ms
 6  2001:4860::2:0:48d  56.788 ms
    2001:4860::2:0:48c  51.554 ms
    2001:4860::2:0:48d  53.205 ms
 7  2001:4860:0:1::c7  57.076 ms  51.348 ms
    2001:4860:0:1::c9  59.842 ms
 8  2a00:1450:8007::63  51.139 ms  51.923 ms  51.441 ms

Для вас может стать сюрпризом, что при доступе через IPv4 DNS не всегда выдают ответы по адресам IPv6. Например, если запросить Google IPv4 DNS о записи AAAA для google.com, то вы получите «No AAAA»:

$ dig @8.8.8.8 google.com aaaa
;; AUTHORITY SECTION:
google.com.		600	IN	SOA	ns1.google.com. dns-admin.google.com. 1435074 7200 1800 1209600 300

А если то же самое запросить через IPv6, то ответ будет получен:

$ dig @2001:470:20::2 google.com aaaa
;; ANSWER SECTION:
google.com.		300	IN	AAAA	2a00:1450:8005::68

Это логично, так как популярные операционные системы могут запрашивать запись AAAA даже при отсутствии подключения IPv6 и, получив правильный ответ, не смогут подсоединится к ресурсу. Доказать предметно я не могу, нужно исследовать вопрос, но факт есть факт. Можно почитать статью “Улучшаем жизнь пользователей с IPv6 и SCTP”, там есть информация к размышлению.

Поэтому для завершения настроек нужно сконфигурировать резолвинг через DNS-сервер IPv6, который указан в информации по туннелю.

$ sudo vim /etc/resolv.conf
nameserver 2001:470:20::2
# nameserver 8.8.8.8

Это не совсем правильный метод. Во-первых при любом изменении сетевой конфигурации resolv.conf перетрётся и там снова будет DNS, указанный в настройках через GUI или же адрес, полученный по DHCP. А во-вторых при опускании туннеля IPv6 система будет использовать указанный адрес, через IPv4 он будет недоступен, и вы окажетесь без Интернет. Поэтому помните об этой особенности и при необходимости подправьте resolv.conf.

Кстати, мой блог The Apple Geek работает и на IPv6:

$ traceroute6 theapplegeek.ru
traceroute6 to theapplegeek.ru (2001:470:1f08:1120::2) from 2001:470:1f14:fee::2, 64 hops max, 12 byte packets
 1  ctrld-2.tunnel.tserv11.ams1.ipv6.he.net  51.299 ms  49.283 ms  49.060 ms
 2  gige-g2-20.core1.ams1.he.net  42.792 ms  44.847 ms  42.974 ms
 3  10gigabitethernet1-4.core1.lon1.he.net  50.552 ms  51.724 ms  50.053 ms
 4  gige-gbge0.tserv5.lon1.ipv6.he.net  55.614 ms  55.965 ms  57.411 ms
 5  ctrld-1-pt.tunnel.tserv5.lon1.ipv6.he.net  50.898 ms  56.757 ms  51.128 ms

Пока тяжело назвать это стабильным решением, за сутки туннель на мой сервер один раз падал и пришлось его подымать вручную. Но «дорогу осилит идущий».

Полезные ресурсы

Продолжить изучение IPv6 можно например, чтением «IPv6 Essentials». Теперь вы можете испытывать IPv6 на практике, а не изучать чистую теорию.

Узнать свой IPv6-адрес можно на сайте WhatIsMyIPv6.net.

Если вы зайдёте на сайт Kame.net через IPv6, то черепашка затанцует.

Посмотреть текущее состояние IPv6 по миру можно в отчёте «Global IPv6 Deployment Progress Report», который поддерживается Hurricane Electric. В нём приводится списки популярных сайтов, поддерживающих IPv6. Интересно то, что в TOP50 присутствует единственный домен в зоне .ru, и это торрент-трекер ipv6.nnm-club.ru.

В заключение

Я показал, как строить туннель вручную командами в терминале для случая постоянного IP-адреса. Автоматический старт рассмотрю в отдельной статье.

Если у вас динамический адрес, то перед подключением вам нужно зайти в настройки туннеля и поменять клиентский адрес:

Для определения внешнего адреса можно зайти на WhatIsMyIP.com или же, что гораздо удобнее, можно внести в .bashrc алиас myip:

$ vim .bashrc
alias myip="dig +short myip.opendns.com @resolver1.opendns.com"

$ myip
94.45.55.146

Для автоматизации изменения динамического адреса пригодится информация:

Please use the format:

https://ipv4.tunnelbroker.net/ipv4_end.php?ipv4b=$IPV4ADDR&pass=$MD5PASS&user_id=$USERID&tunnel_id=$GTUNID

WHERE:
$IPV4ADDR = The new IPv4 Endpoint
set ipv4b='AUTO' if you want to set the variable to the requesting client's IP address.
set ipv4b='your_public_ipv4_address' if you want to manually provide the address.
$MD5PASS = The MD5 Hash of your password
Try echo -n 'yourpassword' | md5sum if you need to produce the MD5 Hash of your password
$USERID = The UserID from the main page of the tunnelbroker (not your username)
$GTUNID = The Global Tunnel ID from the tunnel_details page

Your IPv4 endpoint must be pingable. If you are blocking ICMP, please allow 66.220.2.74 through your firewall.

P.S. Кто там говорил про то, что я ударился в популизм в ущерб гиковости? ;-)

Bonjour Browser

ctrld — Wed, 10 Nov 2010 12:29:37 +0000

Нравится мне компания Shortcut.ru. Приятно и познавательно почитать статьи Кирилла Воронина и его специалистов.

Недели две назад Кирилл показал полезный инструмент – Bonjour Browser:

Если вы ещё не читаете shortcut.ru, то очень рекомендую добавить RSS в ваш RSS-reader.

Выгрузка файла на FTP-сервер с помощью curl

ctrld — Thu, 04 Nov 2010 12:16:40 +0000

curl – мощная утилита для обмена файлами. Я постоянно пользуюсь ею для списывания файлов через консоль, но только вчера обнаружил, что она может использоваться и для выгрузки файлов.

С помощью такой команды можно передать файл testfile.zip на FTP-сервер ftp.domain.com под пользователем user с паролем password:

$ curl --upload-file testfile.zip ftp://user:password@ftp.domain.com/

Можно выяснить среднюю скорость выгрузки:

curl --upload-file testfile.zip ftp://user:password@ftp.domain.com/ --silent \
	--write-out "Time: %{time_total}\nSize: %{size_upload}\nUpload speed: %{speed_upload}\n"

В секции –write-out возможны такие переменные:

url_effective. The URL that was fetched last. This is most meaningful if you’ve told curl to follow location: headers.
http_code. The numerical response code that was found in the last retrieved HTTP(S) or FTP(s) transfer. In 7.18.2 the alias response_code was added to show the same info.
http_connect. The numerical code that was found in the last response (from a proxy) to a curl CONNECT request. (Added in 7.12.4)
time_total. The total time, in seconds, that the full operation lasted. The time will be displayed with millisecond resolution.
time_namelookup. The time, in seconds, it took from the start until the name resolving was completed.
time_connect. The time, in seconds, it took from the start until the TCP connect to the remote host (or proxy) was completed.
time_appconnect. The time, in seconds, it took from the start until the SSL/SSH/etc connect/handshake to the remote host was completed. (Added in 7.19.0)
time_pretransfer. The time, in seconds, it took from the start until the file transfer was just about to begin. This includes all pre-transfer commands and negotiations that are specific to the particular protocol(s) involved.
time_redirect. The time, in seconds, it took for all redirection steps include name lookup, connect, pretransfer and transfer before the final transaction was started. time_redirect shows the complete execution time for multiple redirections. (Added in 7.12.3)
time_starttransfer. The time, in seconds, it took from the start until the first byte was just about to be transferred. This includes time_pretransfer and also the time the server needed to calculate the result.
size_download. The total amount of bytes that were downloaded.
size_upload. The total amount of bytes that were uploaded.
size_header. The total amount of bytes of the downloaded headers.
size_request. The total amount of bytes that were sent in the HTTP request.
speed_download. The average download speed that curl measured for the complete download.
speed_upload. The average upload speed that curl measured for the complete upload.
content_type. The Content-Type of the requested document, if there was any.
num_connects. Number of new connects made in the recent transfer. (Added in 7.12.3)
num_redirects. Number of redirects that were followed in the request. (Added in 7.12.3)
redirect_url. When a HTTP request was made without -L to follow redirects, this variable will show the actual URL a redirect would take you to. (Added in 7.18.2)
ftp_entry_path. The initial path libcurl ended up in when logging on to the remote FTP server. (Added in 7.15.4)
ssl_verify_result. The result of the SSL peer certificate verification that was requested. 0 means the verification was successful. (Added in 7.19.0)

Штатный curl, идущий в поставке Mac OS X 10.6, поддерживает такие протоколы:

$ curl -V
curl 7.19.7 (universal-apple-darwin10.0) libcurl/7.19.7 OpenSSL/0.9.8l zlib/1.2.3
Protocols: tftp ftp telnet dict ldap http file https ftps
Features: GSS-Negotiate IPv6 Largefile NTLM SSL libz

Рекомендую почитать man curl – это может пригодиться. К curl также есть API к разнообразным языкам программирования – PHP, Perl, Python, и т.д. Так что использовать утилиту можно – была бы необходимость.

Работа с WiFi из командной строки (airport)

ctrld — Thu, 29 Jul 2010 06:49:04 +0000

Из подборки на superuser.com я освежил для себя подзабытую команду airport, с помощью которой можно работать с WiFi-подсистемой.

Утилита находится в дебрях фреймворка Apple80211:

/System/Library/PrivateFrameworks/Apple80211.framework/Versions/A/Resources/airport

Для упрощения работы можно сделать алиас:

$ vim ~/.bash_profile
alias ap='/System/Library/PrivateFrameworks/Apple80211.framework/Versions/A/Resources/airport'

Сканирование сетей:

$ /System/Library/PrivateFrameworks/Apple80211.framework/Versions/A/Resources/airport -s
SSID    BSSID             RSSI CHANNEL HT CC SECURITY (auth/unicast/group)
XXXXXXX 00:00:00:00:00:a6  -65       2  N IL WPA(PSK/AES,TKIP/TKIP) WPA2(PSK/AES,TKIP/TKIP)
YYYYYYY 00:00:00:00:00:ab  -34       7  Y AT WPA2(PSK/AES/AES)

SSID – service set identifier. Имя, которое идентифицирует беспроводную сеть
BSSID – basic service set identifier. В большинстве случаев это идентификатор Access Point и является её MAC-адресом
RSSI – Received signal strength indication. Мощность сигнала. Чем больше значение, тем сигнал мощнее (в примере сигнал сети YYYYYYY сильнее XXXXXXX).
CHANNEL – канал, на котором работает сеть. Для информации – в 802.11g есть всего три неинтерферирующих канала, поэтому если вокруг много активно работающих сетей, то будет наблюдаться снижение скорости и сбои в работе.
HT – я так и не нашёл, что это такое.
CC – страна, определяет частотный диапазон и конфигурируется для Access Point. IL – Израиль, AT – Австрия.
SECURITY (auth/unicast/group) – технология защиты, обмен ключами, шифрование.

Информация по текущей сети:

$ /System/Library/PrivateFrameworks/Apple80211.framework/Versions/A/Resources/airport -I
     agrCtlRSSI: -37
     agrExtRSSI: 0
    agrCtlNoise: -89
    agrExtNoise: 0
          state: running
        op mode: station
     lastTxRate: 145
        maxRate: 144
lastAssocStatus: 0
    802.11 auth: open
      link auth: wpa2-psk
          BSSID: 00:00:00:00:00:ab
           SSID: XXXXXXXXXXXX
            MCS: 15
        channel: 7

Почти все параметры говорят сами за себя (кроме lastTxRate и maxRate, которые я не могу объяснить внятно). Меня интересуют два параметра:

agrCtlRSSI – мощность сигнала, чем выше, тем лучше
agrCtlNoise – шум, чем меньше, тем лучше

Отключение от сети

$ sudo /System/Library/PrivateFrameworks/Apple80211.framework/Versions/A/Resources/airport -z

Немного деталей о сетевой активности iPhone

ctrld — Thu, 10 Jun 2010 16:18:06 +0000

Учитывая достаточно активное потребление трафика на iPhone, я решил посмотреть, с какими сервисами он взаимодействует.

Задумано-сделано. Вариантов захватить трафик через GPRS у меня, конечно же, нет, поэтому я упростил себе задачу, отключив Cellular Data (iOS 4) и дав iPhone соединяться с Интернет только через WiFi. Внешний интерфейс WiFi-точки я подключил к компьютеру под Ubuntu через который дальше обеспечивается доступ в Интернет.

Для дальнейшего упрощения задачи я решил не анализировать детально трафик, а ограничиться просмотром хостов, к которым iPhone обращается. Тяжело найти человека, который в здравом уме в сетевых приложениях будет использовать обращение по IP-адресам, а не по именам (предполагаем, например, смену хостинговой компании или географическую балансировку нагрузки), поэтому для анализа достаточно посмотреть запросы/ответы DNS.

Я собрал данные используя tshark за полтора часа работы iPhone после его перезагрузки и нахождении его в заблокированном состоянии. Включены сервисы: Mobile Me (все – почта, календарь, адресная книга, Find My iPhone), Google Mail Exchange (только почта).

  2  15.647539 DNS Standard query A aosnotify.mac.com
  3  15.651564 DNS Standard query AAAA aosnotify.mac.com
  4  15.672783 DNS Standard query response A 17.250.248.82

Доступ к Apple Online Service (MobileMe) для календарей/контактов/etc

 23  17.275523 DNS Standard query TXT push.apple.com
 28  17.301644 DNS Standard query response TXT ("count=50")

Регистрация для получения push-нотификаций.

 26  17.289761 DNS Standard query TXT sandbox.push.apple.com
 29  17.315179 DNS Standard query response TXT ("count=10")

Скорее всего регистрация на sandbox для разработчиков (у меня на iPhone установлен девелоперский профиль)

 30  17.367851 DNS Standard query A 38-courier.push.apple.com
 31  17.375139 DNS Standard query AAAA 38-courier.push.apple.com
 33  17.394461 DNS Standard query response CNAME 38.courier-push-apple.com.akadns.net A 17.149.36.73 A 17.149.36.97 A 17.149.36.226 A 17.149.37.44 A 17.149.36.115 A 17.149.36.174 A 17.149.36.86 A 17.149.36.65
 32  17.387095 DNS Standard query A 9-courier.sandbox.push.apple.com
 34  17.398505 DNS Standard query AAAA 9-courier.sandbox.push.apple.com
 35  17.413188 DNS Standard query response CNAME 9.courier-sandbox-push-apple.com.akadns.net A 17.149.34.67 A 17.149.34.68 A 17.149.34.74 A 17.149.34.65 A 17.149.34.72 A 17.149.34.73 A 17.149.34.75 A 17.149.34.77

Подписка на потоки push-сообщений, детали нужно изучать отдельно. Взаимодействие строится по порту 5223/tcp

 64  18.046396 DNS Standard query A fmip.me.com
 67  18.057170 DNS Standard query AAAA fmip.me.com
 68  18.095476 DNS Standard query response CNAME fmip.me.com.edgekey.net CNAME e3381.b.akamaiedge.net A 92.123.177.205

Подписка на сервис Find My iPhone, взаимодействие по https.

179  29.440446 DNS Standard query A sync.me.com
180  29.447291 DNS Standard query AAAA sync.me.com
182  29.483431 DNS Standard query response CNAME sync.me.com.edgekey.net CNAME e3381.b.akamaiedge.net A 92.123.177.205

Доступ к данным в MobileMe для синхронизации по https

210  32.648537 DNS Standard query A mail.me.com
211  32.656911 DNS Standard query AAAA mail.me.com
212  32.674195 DNS Standard query response A 17.148.16.42 A 17.148.16.43 A 17.148.16.44 A 17.148.16.45 A 17.148.16.46

Соединение с IMAPs сервисом MobileMe – дальше получение почты будет в рамках этого соединения (на протяжении полутора часов идёт регулярный обмен данными).

231  34.002401 DNS Standard query A m.google.com
232  34.014934 DNS Standard query AAAA m.google.com
237  34.027938 DNS Standard query response CNAME mobile.l.google.com A 74.125.43.193
238  34.086932 DNS Standard query response CNAME mobile.l.google.com

Соединение с https сервиса Google Mail (Google Exchange) – дальше получение почты будет в рамках этого соединения.

571 2757.413042 DNS Standard query A 0.pool.ntp.org
572 2757.438746 DNS Standard query response A 72.14.183.39 A 66.79.167.34 A 209.68.147.66

Раз в час – синхронизация времени.

В общем ничего непредсказуемого, на “левые” хосты iPhone не соединяется, всё в рамках заявленного.