Zone of alienation

Вообще, конечно идеальная схема снабжения деревенского дома интернетом должна выглядеть так:

Точка доступа в режиме бриджа, висящая напротив устья печи (так она с гарантией покроет более-менее все места, где может возникнуть желание устроиться с ноутбуком или планшетом, и более того - и сама точка доступа, и источник бесперебойного питания к ней окажутся внутри отапливаемого помещения (сейчас у меня точка доступа она же LTE модем висит на стене неотапливаемой терраски, спасибо хоть на внутренней) и LTE-модем в уличном исполнении с ethernet-интерфейсом, питанием по POE и внешней антенной децибел на 25, выставленной на шесте метров на пять над крышей.

Беда в том, что такие модемы (а они в продаже есть) стоят довольно дорого. Правда, если модем торчит над крышей. то можно над ним прикрутитть имеющуюся внешнюю антенну. Она по-моему правда всего децибелл на 12. Еще при этом почти во все такие модемы встраивают свой wi-fi модуль, который в данном сетапе, вероятно лишний. Если что и может покрыть, то садовые скамейки на участке. Потому как от дома его экранирует шиферная крыша. Шифер очень хорошо глушит что wi-fi, что сотовый сигнал, неоднократно в этом убеждался. Поэтому сейчас у меня антенна висит на первом этаже, ниже шифера. Хотя подними я ее хотя бы на уровень второго эатажа, прием станет лучше. Но надо не просто на уровень второго этажа, а чтобы шифер между антенной и базовой станцией не попал.

Точку доступа вообще говоря необязательно держать в режиме бриджа. Можно в режиме роутера, будет отдельная сетка между основным роутером и модемом, примерно как бывает, если usb-свисток воткную в usb-порт обычного дешевого роутера. Тут зависит от того, что за прошивка в самом модеме, можно ли ей доверять.

Недостаток этого решения заключается в том что LTE-модемы с POE и эзернетом стоят заметнро дороже тревел-роутеров и даже устройств вроде Tlink TL MR150 или OLAX MC-60 (которому и UPS не нужен, правда POE-инжектором в отличие от 9-вольтового UPS он работать не умеет).

X-Post to LJ

Интересную идею подкинули в комментах к предыдущему посту. Организовать таки работу нескольких точек доступа с хэндовером/роамингом.

Если повесить TL MR3020 на середине южной стены дома, то он хорошо покроет не только запечное пространство на первом, но и район изголовья кровати на втором этаже. Розетка на этой стене есть. И есть даже полочка, куда можно положить точку доступа.

Правда, придется на это дело выделить какой-нибудь повербанк - кратковременные перерывы в подаче электричества у нас там случаются. Но повербанки в хозяйстве все равно есть, (как и M3020), И можно таскаемый с собой сапгрейдить на умеющий USB-C и могущий при необхдимости подкортмить ноутбук, а предыдущий пустить на UPS для точки доступа.

Часа на два-три его хватит, а на большее не хватит холодильников. Поэтому если свет отключится более чем на 2-3 часа, все равно придется заводить генератор.

Можно было бы конечно (и с точки зрения конфигурации железа даже лучше) прикуипить точку доступа с POE, благо свободный порт POE-инжектора есть в 9v UPS питающем основной роутер. Но что-то у меня есть сомнения, что доступные по осмысленной цене точки доступа с POE договорятся с этим роутером по поводу 802.11r. Зато такие точки доступа обычно сдизайнены под крепление к стене или потолку, чего нельзя сказать о MR-3020.

Преимущества этого решения по сравнению с натыкиванием везде где нужно ethernet-розеток - через это будут работать не только ноутбуки, но и планшеты, смартфоны и Катин макбук. Недостатки - надо дотащить eltanin (Иринин ноутбук) до Савеловского рынка чтобы там пофиксили wifi. Или не до савеловского, а до какого-нибудь компетентного специалиста по Windows - есть подозрение что там проблема не в железе, а в драйверах. (впрочем где ж такого взять-то? Их и до 2022 года в России было днем с фонарем не сыскать, а теперь и те разъехались) И еще Артур будет ныть, что ему интернет медленный. Это у него чисто психологическое. Если не провод, то медленнее. А что там все равно дальше 15 км радиоканала (LTE), это из комнаты не видно.

X-Post to LJ

Повесили там занавески на терраске, поменяли шины на машине на летние (они там хранятся) и собрали водопровод. О занавесках на террасе Ирина мечтала уже по-моему лет пять, года два назад их сшили, но поскольку в прошлом году мы там не жили, то и не повесили. Теперь вот повесили.

Опробовали в боевом режиме перепрошитый ТL MR3020. Работает.

Еще реализовали одну забавную задумку - выгрузку-загрузку колес через окно второго этажа при помощи веревки и блока. Дело в том что окно выходит прямо на стоянку, а через дверь это нужно таскать колеса вокруг всего дома до входной двери, а потом через весь дом, а потом по винтовой лестнице.

А если вкрутить в оконную раму шуруп с кольцом, и к нему привесить блок, то посредством 12мм веревки все замечательно опускается-поднимается. Но нужно два человека - один на верху веревку тягает, второй внизу либо отцепляет груз от крюка, либо наоборот стропит и привешивает. Сначала я думал, что понабодится каую-нибудь балку в окно вывесить, но шины и ящик с инструментом замечателно поднимаются-опускаются так, с блоком прикрученным непосредственно к стене.

Перепрошить этот роутер по TFTP после вчерашнего неудачного sysupgrade удалось. Правда, почему-то openwrt 24.10 не увидел USB-модема "Мегафон М150-4". Старая версия - видела. Подозреваю что потому, что раньше девайс 05c6:f009 был в базе usb-modeswitch, а теперь нету. А может быть я неправильный ядерный модуль поставил. Но вроде модуль грузится, значит девайс своим считает. Тем не менее ethernet-интерфейс не появляется.

Более другие модемы, например ZTE - видит. Но ZTE у меня залочен на билайн. А надо мегафон. Есть еще старый PPP-шный мегафоновский модем, но он 3g.

Upd разобрался. Для этого потребовалось воткнуть модем в ноутбук, у которого стоит близкая версия ядра (в openwrt 6.6,73 в ноутбуке 6.12.12), Оказывается в 6-х ядрах сильно попилили на мелкие кусочки драйвер cdc_ether. И я сходу не тот ядерный модуль поставил. Оказыается для этого USB ID правильный драйвер rndis, который лежит в пакете kmod-usb-net-rndis. Стоило поставить этот пакет, и все заработало.

Надо придумать более гибкую схему бекапа своей VPS.

До сих пор она у меня бэкапилась так - четыре раза в сутки просто rsync-алась файловая система VPS с неким каталогом на десктопе. А дальше уже на внешние диски бэкапился десктоп, rsnapshot-ом в три уровня как положено. Не каждый день, правда, но достаточно регулярно.

Засада в том, что эта схема не работает, когда десктоп выключен (или неисправен). А за последние годы, с начала пандемии ковида это случается регулярно. Уезжаю в деревню, обесточиваю квартиру и все. Некому четыре раза в сутки скачивать с VPS изменения.

Видимо, нужна схема, позволяющая бэкапить VPS сразу на внешний диск. Ппичем чтобы конфиг при этом на внешнем диске и лежал, т.е. при втыкании этого диска в любой из ноутбуков можно было забэкапить не только ноутбук, но и VPS-ку. Объемы изменений там довольно маленькие, по 4G должно справляться.

Правда там еще с ключами разобраться придется. С какими именно ключами ssh пускают на vps рутом чтобы можно было rsync-ать файловую систему. Сейчас из доступных мест эти ключи есть только на бэкапах десктопа.

X-Post to LJ

Всех для кого это праздник - с днем Космонавтики.

А моей бабушке, Валентине Георгиевне сегодня бы исполнилось 98 лет.

Помнится, еще давно-давно, лет чуть ли не 30 назад хитрый Толченов шифровал бэкапы gpg (или тогда еще pgp была?) собственным отрыкрым ключом. Т.е. запуститься бэкап мог в отсутствии админа, а вот для восстановления нужен был приватный ключ и админ с пассфразой.

В наше время когда бэкапы зачастую делаются на всякие s3 и прочие cloud services криптографиеская защита бэкапа еще более актуальна.

И тут возникает мысль шифровать бэкап открытым ключом ssh. А программа восстановления из бэкапа чтобы понимала протокол ssh-agent.(естественно на самом деле бэкап шифруется случайным симметричным сессиононным ключом, а уже тот с помощью RSA или с помощью общего ключа, выработанного на открытом ключе реципиента и приватном от эфемерной ключевой пары Cм описание EnveloedData )

Т.е. получается полностью прозрачная схема - при бэкапе используется содержимое authorized_keys админа(ов). А при восстановлении, если кто-то из тех чьи ключи были использованы при шифровании, заходит выполнять команду восстановления по ssh с agent forwarding, то ему даже и задуматься не придется о том, что бэкап расшифрован. А вот любому другому - хрен.

Правда, воспользоваться форматом cms не удастся. Ибо у нас тут не сертификаты x509, а ключи ssh, которые идентифицируются в агенте немножко по-другому. Ну так формат нарисовать дело нехитрое.

X-Post to LJ

Upd*: Как отметил tanriol ничего не получится. Нет в протколе ssh-agent команды session key decrypt. У gpg-агента есть, но у него с форвардингом сложности.

Тут при оченедном обсуждении мессенждеров vikarti_anantra задала вопрос: "А что сложно свой сервер поднять?".

Сложно. Для тех для кого адмнистрирование юникс-систем не является основной работой, поднять сервер и сконфигурировать на нем пяток нужных сервисов - занятие и правда не простое. Другой вопрос, что уже давно можно было бы, если бы существовал хоть какой консенсус на тему того, что на таком сервере должно быть, следать коробку "все в одном", настраивать которую было бы не сложнее, чем типичный Wi-Fi роутер. А с ними вроде народ в массе своей справляется. И чтобы можно было в течение нескольких минут накатить этот образ на виртуалку на любом VPS-хостинге.

Что собственно, нужно от точки присутствия в интернете? Предполагается что это может быть не только личная точка присутствия, но и семейная или небольшой группы единомышлинников, вроде мастерской группы LRPG.

1. Сервер электронной почты на пару десятков аккаунтов. При этом чтобы почту с него принимали во всяких gmail-ах (а это, увы, moving target), и чтобы была какая-никакая защита от спама. graylisting+spamassassin вполне хватает по моему опыту.
2. Веб-интерфейс к этой почте. А то вдруг придется доступаться из какого-нибдуь интернет кафе, где ничего кроме браузера не предусмотрено.
3. Сервер федерированного мессенжера (matrix или jabber).
4. К нему тоже web-интерфейс (element)
5. turn-сервер, как совершенно необходимая вещь для голосовых и видеозвонокв через matrix/jabber
6. CalDAV/CardDAV сервер
7. Возможность выложить файл для последующего скачивания. Я в общем обхожусь для этого webdav. Хотя возможно web-based файл-менеджер не помешал бы. В принципе этого уже достаточно для того чтобы сделать сколь угодно навороченный статический web-сайт, благо локальных генераторов сайтов, запускаемых на ноутбуке/рабочей станции существует море. Поэтому пока вам не нужно на сайте комментирование, ничего более другого и не нужно.
8. Фотогалерея. Она отдельно, потому что фотграфируют нынче в основном смартфонами и планшетами, следовательно фотографии должны попадать на сайт непосредственно с мобильного устройства, и минимально обрабатываться уже на сервере.
9. Средства администрирования. Должны позволять завести нового юзера всего предыдущего, заблокировать/удалить старого, сменить пароль. Возможно стоит жестко требовать наличия единого пароля для всего перечисленного, а возможно и нет. Возможно, тот же инструмент должен менеджить authorized_keys для доступа по ssh. Тут, правда, стоит подумать о соотношении системных пользователей и пользователей веб-сервисов (по-моему не должны совпадать). Там же должна быть кнопочка для установки апдейтов.
10. Автомат для обновления сертификатов Let's Encrypt
11. DNS-сервер. Дело в том, для значительной части вышеприведенных сервисов нам понадобятся специальные (SRV, TXT) записи в DNS. Да, и электронной почты это тоже касается. Без TXT-записи _dmarc никто почту принимать с вашего домена не будет. Опять же openpgp-ключи так публиковать можно. Но в общем стоит исходить из того, что именно этот сервер будет первичным DNS вашего домена. Тогда все этои нетривилаьные DNS-записи можно будет автоматизировать.

Можно еще поставить туда прокси/VPN, если юрисдикция хостера не совпадает с юрисдикцией домашней машины, но мы пока этот вопрос рассматривать не будем. На худой конец можно ssh -D использовать.

В принципе, прикрутить ко всему этому хозяйству простенькую web-панель в стиле LuCI, чтобы можно было просто галочками по списку включать-выключать все сервисы, не так уж и сложно.

Для решения перечисленных задач нужно

1. dovecot (в дистрибутиве)
2. postfix (в дистрибутиве)
3. ciderwebmail (по-моему в Debian еще не попала версия, которую я год назад патчил на предмет русских имен папок )
4. matrix-synapse (надо брать из бэкпортов, там он заметно новее)
5. element-web (в дистрибутиве нет, но есть отдельный репозиторий с пакетами
6. coturn (в дистрибутиве)
7. radicale (в дистрибутиве)
8. Какой-нибудь web-сервер чтобы все вышеперчисленные интерфейсы проксировать. nginx сойдет, но apache лучше (оба в дистрибутиве)
9. acme-tiny (в дистрибутиве)
10. bind9 (в дистрибутиве.)

Остальное надо писать, но его довольно немного. В основном скрипты для администрирования. Учитывая что почти у всех сервисов которые нам нужны, свои заморочки насчет хранения паролей. Насчет галерей и CMS я просто не очень в курсе что нынче бывает, и как его задеплоить так, чтобы не бояться взлома при отсутствии квалифицированного администрирования.

Деплоймент этой штуки выглядит так:

1. Регистрируем домен.
2. Покупаем VPS-ку
3. Накатываем на VPS-ку образ системы (лично я всегда rsync-ом обходился, но возможны варианты вроде загрузочного ISO-образа)
4. Заходим в эту VPS-ку по HTTP. Указываем домен и IP-адрес выданный хостером. Жмем кнопку "обновить сертификаты"
5. Заходим туда по HTTPS, меняем пароли, загружаем ssh-ключи и проверяем соответветсвие списка включенных сервисов требуемому.
6. Правим в настройках DNS регистратора адрес первичного DNS, указывая вот на этот сервер, и настраиваем вторичный DNS.
7. Пинаем хостера чтобы разрешил слать и принимать почту с этой VPS-ки

Вместо п 2 и 3 можно поставить raspberry pi, и на нее накатить аналогичный образ. Правда перспективы запинывания домашнего провайдера, чтобы разрешил слать/получать почту мне кажутся несколько менее радужными. Зато порыться в вашем почтовом ящике без вашего ведома ни одна спецслужба не сможет - они будут вынуждены прийти к вам домой и предъявить ордер на обыск.

X-Post to LJ