Dataaja95:n verkko ja virtualisointiprojektit

[dataaja95]

Rupesimpa tässä asentelemaan freeipaa rockylinuxilla varustettuun virtuaaliin, asennus alkaa oikein hyvin, mutta loppupuolella heittää tällaista virhettä.

2023-08-21T17:09:08Z DEBUG The ipa-server-install command failed, exception: CalledProcessError: CalledProcessError(Command ['/bin/systemctl', 'start', 'httpd.service'] returned non-zero exit status 1: 'Job for httpd.service failed because the control process exited with error code.\nSee "systemctl status httpd.service" and "journalctl -xeu httpd.service" for details.\n')
2023-08-21T17:09:08Z ERROR CalledProcessError(Command ['/bin/systemctl', 'start', 'httpd.service'] returned non-zero exit status 1: 'Job for httpd.service failed because the control process exited with error code.\nSee "systemctl status httpd.service" and "journalctl -xeu httpd.service" for details.\n')
2023-08-21T17:09:08Z ERROR The ipa-server-install command failed. See /var/log/ipaserver-install.log for more information
ja httpd:n errorlogikertoo näin
[Mon Aug 21 20:09:08.736037 2023] [ssl:emerg] [pid 5685:tid 5685] SSL Library Error: error:0688010A:asn1 encoding routines::nested asn1 error
[Mon Aug 21 20:09:08.736049 2023] [ssl:emerg] [pid 5685:tid 5685] SSL Library Error: error:0688010A:asn1 encoding routines::nested asn1 error (Field=version, Type=PKCS8_PRIV_KEY_INFO)
[Mon Aug 21 20:09:08.736061 2023] [ssl:emerg] [pid 5685:tid 5685] SSL Library Error: error:1E08010CECODER routines::unsupported (No supported data to decode. Input type: DER, Input structure: type-specific)
[Mon Aug 21 20:09:08.736072 2023] [ssl:emerg] [pid 5685:tid 5685] SSL Library Error: error:1E08010CECODER routines::unsupported (No supported data to decode. Input type: DER, Input structure: PrivateKeyInfo)
[Mon Aug 21 20:09:08.736083 2023] [ssl:emerg] [pid 5685:tid 5685] SSL Library Error: error:1E08010CECODER routines::unsupported (No supported data to decode. Input type: DER)
[Mon Aug 21 20:09:08.736095 2023] [ssl:emerg] [pid 5685:tid 5685] SSL Library Error: error:068000A8:asn1 encoding routines::wrong tag
[Mon Aug 21 20:09:08.736107 2023] [ssl:emerg] [pid 5685:tid 5685] SSL Library Error: error:0688010A:asn1 encoding routines::nested asn1 error
[Mon Aug 21 20:09:08.736118 2023] [ssl:emerg] [pid 5685:tid 5685] SSL Library Error: error:068000A8:asn1 encoding routines::wrong tag
[Mon Aug 21 20:09:08.736129 2023] [ssl:emerg] [pid 5685:tid 5685] SSL Library Error: error:0688010A:asn1 encoding routines::nested asn1 error (Type=RSAPrivateKey)
[Mon Aug 21 20:09:08.736141 2023] [ssl:emerg] [pid 5685:tid 5685] SSL Library Error: error:068000A8:asn1 encoding routines::wrong tag
[Mon Aug 21 20:09:08.736152 2023] [ssl:emerg] [pid 5685:tid 5685] SSL Library Error: error:0688010A:asn1 encoding routines::nested asn1 error (Type=PKCS8_PRIV_KEY_INFO)
[Mon Aug 21 20:09:08.736165 2023] [ssl:emerg] [pid 5685:tid 5685] AH02311: Fatal error initialising mod_ssl, exiting. See /etc/httpd/logs/error_log for more information
[Mon Aug 21 20:09:08.736184 2023] [ssl:emerg] [pid 5685:tid 5685] AH02564: Failed to configure encrypted (?) private key ::1:443:0, check /var/lib/ipa/private/httpd.key
AH00016: Configuration Failed
Tuo logissa mainittu httpd.key on olemassa logissa mainitussa kansiossa. rpm mailma itselleni tuntemattomampi kuin debianpohjaiset, missäköhän ihmeessä vika voisi olla, nopealla googletuksella mitään järkevää ei tullut vastaan.

 

[SamCer]

Onhan hostname asetettu FQDN-muodossa hosts- ja hostname-tiedostoissa (host.domain.test)?

 

[dataaja95]

Onhan hostname asetettu FQDN-muodossa hosts- ja hostname-tiedostoissa (host.domain.test)?

Jep, ongelma oli juuri tämä ja hostnamen korjauksella freeipa lähti toimimaan, pitää dokumentoida tästälähtien kaikki mitä ollaan säädetty milekin virtuaalille, muistikuvissani säädin hostnamet kuntoon.

 

[dataaja95]

Hieman mietintää proxmoxin ha-klusterista ja sen verkottamisesta. Virallisessa dokumentaatiossa sanotaan, että tuolle olisi hyvä määrittää oma verkkoliitäntänsä, mutta onko sen nopeudella väliä, ilmeisesti perus gigainen portti riittää hyvin, vai aiheuttaako virtuaalikoneiden failover ja siirto nodelta toiselle sen verran raskaampaa liikennettä, että portin olisi hyvä olla 10gbps. Klusterin tiedostojärjestelmäksi toteutetaan ceph, jolla on oma storageverkkonsa, joten kuvittelisin itse klusteriverkon liikenteen olevan hyvin minimaalista, korkeintaan solmujen tiedoksiantoa toisilleen, että hengissä ollaan.

 

[Algron28]

Hieman mietintää proxmoxin ha-klusterista ja sen verkottamisesta. Virallisessa dokumentaatiossa sanotaan, että tuolle olisi hyvä määrittää oma verkkoliitäntänsä, mutta onko sen nopeudella väliä, ilmeisesti perus gigainen portti riittää hyvin, vai aiheuttaako virtuaalikoneiden failover ja siirto nodelta toiselle sen verran raskaampaa liikennettä, että portin olisi hyvä olla 10gbps. Klusterin tiedostojärjestelmäksi toteutetaan ceph, jolla on oma storageverkkonsa, joten kuvittelisin itse klusteriverkon liikenteen olevan hyvin minimaalista, korkeintaan solmujen tiedoksiantoa toisilleen, että hengissä ollaan.

Proxmoxin foorumilla muistaakseni julistettiin 10G:n nimeen mutta käytännön toimivuus riippuu varmaan kuinka paljon siirtoa oikeasti tulee. Omasta mielestä tuon kahdennus on paljon tärkeämpi pointti verkkovikoja ja verkon uudelleenkäynnistyksiä varten.

 

[dataaja95]

Mielenkiintoista, Zabbixissa lisäämällä templaten hostigroupille, esim virtuaalikoneet, johon hostit kuuluvat ei template tule hosteille voimaan, mutta lisäämällä template suoraan hosteille niin homma toimii oikein kauniisti. Eikö grouppien pitäisi nimenomaan helpottaa templatejen kanssa kikkailua, ettei samoja templateja tarvitse säätää joka hostille erikseen. Hostien tai serverin logeissa ei näy mitään järkevää, ikään kuin hostit eivät ymmärtäisi koko templaten olemassa oloa jos sen lisää pelkästään ryhmään jossa hostit ovat.

 

[dome]

Mielenkiintoista, Zabbixissa lisäämällä templaten hostigroupille, esim virtuaalikoneet, johon hostit kuuluvat ei template tule hosteille voimaan, mutta lisäämällä template suoraan hosteille niin homma toimii oikein kauniisti. Eikö grouppien pitäisi nimenomaan helpottaa templatejen kanssa kikkailua, ettei samoja templateja tarvitse säätää joka hostille erikseen. Hostien tai serverin logeissa ei näy mitään järkevää, ikään kuin hostit eivät ymmärtäisi koko templaten olemassa oloa jos sen lisää pelkästään ryhmään jossa hostit ovat.

Host groupeissa ei ole mitään ”magiaa”, ei templatejen eikä muidenkaan tietojen osalta. Ne on hyödyllisiä käytännössä vain esimerkiksi hakuja tehtäessä. Templaten ei siis nykyisellä toiminnallisuudella kuulukaan periytyä vaikka se osana host groupia onkin, vaikka toki loogisesti ajateltuna näin voisi kuvitella.

Itse teen host groupien kaltaisia ylätason templateja ja linkitän muita templateja niihin. Tällöin kaikki tuota ylätason templatea käyttävät hostit perivät uudet linkitetyt templatet automaattisesti.

 

[dataaja95]

Ok, lähinnä mietin uusien hostien lisäämistä, voiko tosiaan olla näin, että joudun lisäämään jokaiselle hostille templatet käsin. Eihän tuossa toki mitään, mutta perusvirtuaalille kuitenkin templatet ovat aina suhteellisen samat. Jotenkin automaattisesti oletin, että lisäämällä kaikki hostit hostgrouppiin johon lisään templatet ne periytyisivät hosteille.

 

[dome]

Ok, lähinnä mietin uusien hostien lisäämistä, voiko tosiaan olla näin, että joudun lisäämään jokaiselle hostille templatet käsin. Eihän tuossa toki mitään, mutta perusvirtuaalille kuitenkin templatet ovat aina suhteellisen samat. Jotenkin automaattisesti oletin, että lisäämällä kaikki hostit hostgrouppiin johon lisään templatet ne periytyisivät hosteille.

Joo tuo on vähän epälooginen ja et ole ainut joka siihen on kompastunut. Mutta tosiaan em. template kikalla työn määrä on käytännössä sama kuin jos templatet periytyisi host groupista.

Jos käsityö ei nappaa niin auto registration on toki aina myös vaihtoehto ja tutustumisen arvoinen noin muutenkin, jos ei ole tuttu.

 

[wapsi]

SAN/Ceph-verkolle on iso suositus, että on oma, dedikoitu verkko ja kapasiteetti (verkkokortit/-portit + kytkin, tai kytkimen ei välttämättä tarvitse homelab-ympäristössä olla dedikoitu, koska VLAN:llakin onnistuu eriyttäminen). Sama pätee myös iSCSI-ratkaisuihin. Kannattaa myös huomioida, että kun rakennat Cpeh-klusterin kolmella noodilla, niin se kestää vain yhden noodin offlinessa ja ohjeet usein suosittelevat neljän noodin minimiä. 10G-verkko on suositus, mutta saattaa se toimia ihan hyvin kevyessä käytössä myös 1G-verkossakin. Ainut, että jos pitkään yksi noodi on alhaalla ja kun se tulee takaisin online, niin se synkkaus nykytilanteeseen saattaa olla hidasta 1G-verkon kanssa. Lisäksi Cephin kanssa kannattaa olla dedikoidut levyt, niin että Ceph "valtaa" koko levyn, eikä erillistä partitiota (vähän sama skenaario kuin ZFS:n kanssa).

Itse olen myös joutunut vähän raapimaan päätä Cephin kanssa kun Proxmoxia on päivitellyt. Ceph päivitetään erikseen, se ei päivity automaattisesti Proxmoxin mukana, vaan pitää tehdä siis hallitusti erikseen.

Muuten Ceph on mielestäni tosi hienosti ja hyvin integroitu Proxmoxin web-käyttöliittymään. Sieltä näkee status-tiedot, kuorman jne. Lisäksi Cephin käyttöönotto Proxmoxin web-hallinnalla on todella suoraviivainen toimenpide vs. käsin jos Linuxin komentoriviltä ceph-komennoilla alkaa samaa tekemään. Toki kannustan myös tekemään sen käsin, koska siinä oppii Cephin toiminnasta paljon enemmän kun Proxmox ei tee sitä kaikkea automaattisesti "konepellin alla".

 

[dome]

Kannattaa myös huomioida, että kun rakennat Cpeh-klusterin kolmella noodilla, niin se kestää vain yhden noodin offlinessa ja ohjeet usein suosittelevat neljän noodin minimiä.

En tunne cephiä, mutta uskaltaisin väittää että 3 ja 4 nodella vikasietoisuus on sama, eli yksi node voidaan menettää ilman, että enemmistö on kateissa. 5 nodella kaksi voi kadota ja silti on vielä enemmistö jäljellä. Jos olen väärässä niin mielenkiintoista kuulla miten tuo toimii käytännössä.

 

[wapsi]

En tunne cephiä, mutta uskaltaisin väittää että 3 ja 4 nodella vikasietoisuus on sama, eli yksi node voidaan menettää ilman, että enemmistö on kateissa. 5 nodella kaksi voi kadota ja silti on vielä enemmistö jäljellä. Jos olen väärässä niin mielenkiintoista kuulla miten tuo toimii käytännössä.

Joo, olet oikeassa. Kolmella noodilla on brain splitin uhka suurempi ja sen vuoksi monet suosittelee väh. neljää noodia.

 

[dataaja95]

Löysimpä oikein mukavan templaten jolla valvoa linuxilla kaatuneita palveluita

GitHub - MogiePete/zabbix-systemd-service-monitoring: Simple Zabbix Template to discover, monitor, and alert on systemd services.

Simple Zabbix Template to discover, monitor, and alert on systemd services. - MogiePete/zabbix-systemd-service-monitoring

github.com

Ilmeisesti pystyn blacklistaamaan palveluja joiden kaatumista ei huomioida hostikohtaiseen tiedostoon, mutta pystynkö tekemään tuon massapäivityksenä zabbixin päästä jollain discoveryitemillä kaikille hosteille kerralla. Tietenkin, jos on heittää parempaa templatea palveluiden valvontaan sekin on oikein jees.

 

[dome]

Löysimpä oikein mukavan templaten jolla valvoa linuxilla kaatuneita palveluita

GitHub - MogiePete/zabbix-systemd-service-monitoring: Simple Zabbix Template to discover, monitor, and alert on systemd services.

Simple Zabbix Template to discover, monitor, and alert on systemd services. - MogiePete/zabbix-systemd-service-monitoring

github.com

Ilmeisesti pystyn blacklistaamaan palveluja joiden kaatumista ei huomioida hostikohtaiseen tiedostoon, mutta pystynkö tekemään tuon massapäivityksenä zabbixin päästä jollain discoveryitemillä kaikille hosteille kerralla. Tietenkin, jos on heittää parempaa templatea palveluiden valvontaan sekin on oikein jees.

Linuxien kanssa kannattaa käyttää zabbix-agent2, tukee natiivisti systemd valvontaa ilman erilisiä skriptejä: Systemd monitoring and integration with Zabbix. Filtteröinti onnistuu hostikohtaisesti (tai templatesta tulevalla defaultilla) macroilla.

 

[SamCer]

Jos sulla on useampi servu käskyn alla, niin suosittelen tutustumaan Ansibleen. Itellä alko kasvamaan käyrä otsaan jo ihan pelkästään viiden virtuaalikoneen + kahden hostin jälkeen kun pitäis tarkistaa ja asentaa päivitykset... Ansiblellä riittää yksi käsky ja koko farmi alkaa tutkimaan onko päivityksiä tullut ja jos on niin ne asennetaan Playbookin ohjeistuksen mukaan.

Oma tietous Ansiblestä on vasta luokkaa "pikkuvarpaan kynsi on dipattu aiheeseen" , mutta huomaan jo nyt sen edut vs. ssh/scriptaus/bash_alias.

Jossain vaiheessa ois tarkoitus et kaikki itse virt. koneet saisin Ansiblen playbooksien alle, niin kaikki säädöt virt.koneisiin tapahtuis vain yhdestä paikkaa plus tietoturvakin varmaan nousis, kun ois vain yks controlleri, jonka kautta ois pääsy muihin servuihin. Controlleriin ssh pääsy ois tietenki rajattu vain Yubikeyn + PIN-koodin taakse. Toi siis on vain se haave taso johon ois tarkoitus päästä jossain vaiheessa.

 

[dataaja95]

ok, asentelin tuon zabbixin uudemman agentin, mutta miten templatet joissa käytetään skriptejä, esim olen käyttänyt linuxhostien kanssa erästä templatea hostien valvontaan joka perustuu skripteihin, onko tämä vanhentunut tapa ja uudemman agentin kanssa menee suurinosa templateista uusiksi. VOin heittää linkkiä templateen kunhan löydän sen.

 

[dome]

ok, asentelin tuon zabbixin uudemman agentin, mutta miten templatet joissa käytetään skriptejä, esim olen käyttänyt linuxhostien kanssa erästä templatea hostien valvontaan joka perustuu skripteihin, onko tämä vanhentunut tapa ja uudemman agentin kanssa menee suurinosa templateista uusiksi. VOin heittää linkkiä templateen kunhan löydän sen.

Ei, agent2 on pitkälti drop-in replacement vanhalle. Tukee ihan yhtä lailla custom itemeitä UserParameter:llä.

 

[dataaja95]

Rupesimpa säätämään systemdagent2 templatea, tarkoitus on ignoroida tietyt palvelut jotka ovat kuolleita ja tuohan onnistuu oikein kivasti templaten makrolla. En vain tahdo saada tuota toimimaan, makrossa siis lukee näin.
{$SYSTEMD.NAME.SERVICE.NOT_MATCHES}
Ja tuo teksti on korvattu tällä
systemd-fsck-root\.service|systemd-pstore\.service|zabbix-agent\.service|resolvconf-pull-resolved\.service|systemd-rsync\.service|systemd-zfs-import-cache\.service|systemd-e2scrub_reap\.service

Kuitenkin edelleen saan ilmoituksia palveluista, vaikka niiden pitäisi olla ignoroitu, olen poistanut templaten hosteilta ja lisännyt sen uudelleen, ei vaikutusta.

 

[dataaja95]

Jos sulla on useampi servu käskyn alla, niin suosittelen tutustumaan Ansibleen. Itellä alko kasvamaan käyrä otsaan jo ihan pelkästään viiden virtuaalikoneen + kahden hostin jälkeen kun pitäis tarkistaa ja asentaa päivitykset... Ansiblellä riittää yksi käsky ja koko farmi alkaa tutkimaan onko päivityksiä tullut ja jos on niin ne asennetaan Playbookin ohjeistuksen mukaan.

Oma tietous Ansiblestä on vasta luokkaa "pikkuvarpaan kynsi on dipattu aiheeseen" , mutta huomaan jo nyt sen edut vs. ssh/scriptaus/bash_alias.

Jossain vaiheessa ois tarkoitus et kaikki itse virt. koneet saisin Ansiblen playbooksien alle, niin kaikki säädöt virt.koneisiin tapahtuis vain yhdestä paikkaa plus tietoturvakin varmaan nousis, kun ois vain yks controlleri, jonka kautta ois pääsy muihin servuihin. Controlleriin ssh pääsy ois tietenki rajattu vain Yubikeyn + PIN-koodin taakse. Toi siis on vain se haave taso johon ois tarkoitus päästä jossain vaiheessa.

Kiitokset vinkistä ja tuo on perehtymislistalla myös, vaikuttaa oikein mukavalta ja jotain playbookkeja jo tutkiskelinkin. ALkaa virtuaaleja ja himmeleitä olemaan jo sen verran, että pakko tuo on pistää tulille.
Edittiä
Näyttäisi siltä, että makron nimi pitää jättää ennalleen ja arvot syöttää erilliseen kenttään.

 

[dataaja95]

Onkohan mikrotikillä kätevää tapaa poistaa yksittäisiä portteja vlanista tuhoamatta koko vlania, Porttien lisääminen onnistuu oikein kivasti näin
[admin@MikroTik] /interface/bridge/vlan> add bridge=bridge tagged=ether24,ether23 vlan-ids=70 comment=testi
Mutta entä poistaminen. onnistuuko se jotenkin kätevästi.

 

[dataaja95]

Aloimpa tässä säätämään erästä proxmoxserveriä lähettämään meiliä backuppien virheistä ja muistakin tärkeistä tapahtumista, mutta nähtävästi en saa hommaa toimimaan, logien perusteella vastaanottava meiliserveri hylkää meilin, koska proxmox yrittää lähettää sitä väärälllä osoitteella, Logit kertovat näin. Olen määrittänyt meiliosoitteen jolla serveri lähettää meilit proxmoxin asetuksiin datacenter > options email from address kohdan alle ja saman osoitteen myöskin rootille.


2023-09-03T21:32:17.117567+03:00 node1 postfix/smtp[91086]: EA818102394: to=<admin@domain.fi>, relay=xxx.domain.fi[xxxxxxxxxx]:587, delay=0.16, delays=0/0/0.14/0.01, dsn=5.7.1, status=bounced (host xxxxxx.domain.fi[xxxxxxx] said: 554 5.7.1 <>: Sender address rejected: Access denied (in reply to RCPT TO command))
2023-09-03T21:32:17.131243+03:00 node1 postfix/qmgr[91061]: EA818102394: removed
Tämän ohjeistuksen mukaan menin

Configure Proxmox email notifications using Postfix SMTP relayhost

How to set up email alerts on Proxmox VE 6. Configure Postfix for SMTP relay and create a sasl_passwd file with username and password for SMTP authentication. Update Proxomox Datacenter email address and mail aliases for system emails and set up email alerts for Proxmox backup jobs.

techlabs.blog

 

[jad]

Aloimpa tässä säätämään erästä proxmoxserveriä lähettämään meiliä backuppien virheistä ja muistakin tärkeistä tapahtumista, mutta nähtävästi en saa hommaa toimimaan, logien perusteella vastaanottava meiliserveri hylkää meilin, koska proxmox yrittää lähettää sitä väärälllä osoitteella, Logit kertovat näin. Olen määrittänyt meiliosoitteen jolla serveri lähettää meilit proxmoxin asetuksiin datacenter > options email from address kohdan alle ja saman osoitteen myöskin rootille.


2023-09-03T21:32:17.117567+03:00 node1 postfix/smtp[91086]: EA818102394: to=<admin@domain.fi>, relay=xxx.domain.fi[xxxxxxxxxx]:587, delay=0.16, delays=0/0/0.14/0.01, dsn=5.7.1, status=bounced (host xxxxxx.domain.fi[xxxxxxx] said: 554 5.7.1 <>: Sender address rejected: Access denied (in reply to RCPT TO command))
2023-09-03T21:32:17.131243+03:00 node1 postfix/qmgr[91061]: EA818102394: removed
Tämän ohjeistuksen mukaan menin

Configure Proxmox email notifications using Postfix SMTP relayhost

How to set up email alerts on Proxmox VE 6. Configure Postfix for SMTP relay and create a sasl_passwd file with username and password for SMTP authentication. Update Proxomox Datacenter email address and mail aliases for system emails and set up email alerts for Proxmox backup jobs.

techlabs.blog

Niin kuin virheilmoituskin sanoo: 'Sender address rejected.' Mikähän lienee lähettäjäosoitteena ? Myös sillä voi olla vaikutusta, että yritätkö lähettää autentikoituna vai anonyyminä meilin tuolle relaylle.

Edit. Jaah, näkyy tuolla ohjeessa olevan ainakin autentikointi ohjeistettuna. Mutta tosiaan josen väärin arvaa, niin tuossa virheilmossa pitäisi olla lähettäjäosoite <> merkkien välissä. Eli jääkö lähettäjäosoite nyt jostain syystä tyhjäksi.

 

[dataaja95]

Niin kuin virheilmoituskin sanoo: 'Sender address rejected.' Mikähän lienee lähettäjäosoitteena ? Myös sillä voi olla vaikutusta, että yritätkö lähettää autentikoituna vai anonyyminä meilin tuolle relaylle.

Edit. Jaah, näkyy tuolla ohjeessa olevan ainakin autentikointi ohjeistettuna. Mutta tosiaan josen väärin arvaa, niin tuossa virheilmossa pitäisi olla lähettäjäosoite <> merkkien välissä. Eli jääkö lähettäjäosoite nyt jostain syystä tyhjäksi.

Lähettäjäosoite näyttäisi jäävän tyhjäksi ja postfix hylkää meilin.

 

[jad]

Lähettäjäosoite näyttäisi jäävän tyhjäksi ja postfix hylkää meilin.

Onko ongelma nyt proxmox vai postfix ? Saatko testimeilin lähtemään ?

echo "this is a test email" | mail -s "test email" alerts@domain.com -a "FROM:alerts@domain.com"

 

[jad]

Postfixin rewrite taioista saattaisi tässä kohtaa olla apua:

Forcing the from address when postfix relays over smtp

I'm trying to get email reports from our AWS EC2 instances. We're using Exchange Online (part of Microsoft Online Services). I've setup a user account specifically for SMTP relaying, and I've setup

serverfault.com

 

[dataaja95]

Onko ongelma nyt proxmox vai postfix ? Saatko testimeilin lähtemään ?

echo "this is a test email" | mail -s "test email" alerts@domain.com -a "FROM:alerts@domain.com"

CLientin logia
testimeilin lähetyksen jälkeen, meili ei edelleenkään lähde, eli samaan ongelmaan törmää edelleen.
2023-09-04T08:36:41.211820+03:00 node1 postfix/smtp[520152]: 0F1B2100A3A: to=<admin@domain.fi>, orig_to=<root@localbackup.harrastenurkka.fi>, relay=server.domain.fi[xxxxxxxxxx]:587, delay=0.15, delays=0/0/0.13/0.01, dsn=5.7.1, status=bounced (host server.domain.fi[xxxxxxxx] said: 554 5.7.1 <>: Sender address rejected: Access denied (in reply to RCPT TO command))
2023-09-04T08:36:41.222296+03:00 node1 postfix/qmgr[91061]: 0F1B2100A3A: removed
Ja vastaanottavan meiliserverin logit
2023-09-04T08:36:41.203834+03:00 server postfix/submission/smtpd[136138]: NOQUEUE: reject: RCPT from lähettävä-ip.bb.dnainternet.fi[lähettävä-ip]: 554 5.7.1 <>: Sender address rejected: Access denied; from=<> to=<sysadmin@domain.fi> proto=ESMTP helo=<localbackup.domain.fi>
2023-09-04T08:36:41.216970+03:00 server postfix/submission/smtpd[136138]: disconnect from lähettävä-ip.bb.dnainternet.fi[xxxxxxxx] ehlo=2 starttls=1 mail=1 rcpt=0/1 data=0/1 rset=1 quit=1 commands=6/8

 

[jad]

CLientin logia
testimeilin lähetyksen jälkeen, meili ei edelleenkään lähde, eli samaan ongelmaan törmää edelleen.
2023-09-04T08:36:41.211820+03:00 node1 postfix/smtp[520152]: 0F1B2100A3A: to=<admin@domain.fi>, orig_to=<root@localbackup.harrastenurkka.fi>, relay=server.domain.fi[xxxxxxxxxx]:587, delay=0.15, delays=0/0/0.13/0.01, dsn=5.7.1, status=bounced (host server.domain.fi[xxxxxxxx] said: 554 5.7.1 <>: Sender address rejected: Access denied (in reply to RCPT TO command))
2023-09-04T08:36:41.222296+03:00 node1 postfix/qmgr[91061]: 0F1B2100A3A: removed
Ja vastaanottavan meiliserverin logit
2023-09-04T08:36:41.203834+03:00 server postfix/submission/smtpd[136138]: NOQUEUE: reject: RCPT from lähettävä-ip.bb.dnainternet.fi[lähettävä-ip]: 554 5.7.1 <>: Sender address rejected: Access denied; from=<> to=<sysadmin@domain.fi> proto=ESMTP helo=<localbackup.domain.fi>
2023-09-04T08:36:41.216970+03:00 server postfix/submission/smtpd[136138]: disconnect from lähettävä-ip.bb.dnainternet.fi[xxxxxxxx] ehlo=2 starttls=1 mail=1 rcpt=0/1 data=0/1 rset=1 quit=1 commands=6/8

Vastaanottavan palvelimen postfix lienee kunnossa ja saat sen kautta läheteltyä sähköpostia muualta ?

Lähetystä voit debuggailla puhumalla smtp:tä suoraan lähettävältä palvelimelta relaylle.
Luo ensin auth:

echo -ne "\0user\0password" | base64

Sitten yhteys auki openssl:llä:

openssl s_client -starttls smtp -connect vastaanottava.domain.fi:587

Ja sitten vähän chattia:

EHLO harrasteserveri.fi
AUTH PLAIN base64 autentikointistring
MAIL FROM: root@harrasteserveri.fi
rcpt to: vastaanottaja@domain.fi
DATA
From: root@harrasteserveri.fi
Subject: Kokkeilu

Haloo, onko valoo ?
.
quit

Kannattaa pasteilla nämä rivi kerrallaan ja ihmetellä, että mitä palvelin vastaa. Subjectin jälkeen tosiaan yksi tyhjä rivinvaihto ja meilin lopetus yksinäisellä pisteellä.
Tämän pitäisi mennä perille kunhan osoitteet on kohdillaan. Jos onnistuu, niin sen jälkeen voitkin kokeilla mitä tapahtuu kun jätät MAIL FROM pois tai käytät jotain väärää lähettäjäosoitetta. Tällä ainakin pääset testaamaan sen, että saatko vastaanottavan pään logeihin samanlaisen virheilmoituksen aikaiseksi.

 

[dataaja95]

Vastaanottavan palvelimen postfix lienee kunnossa ja saat sen kautta läheteltyä sähköpostia muualta ?

Lähetystä voit debuggailla puhumalla smtp:tä suoraan lähettävältä palvelimelta relaylle.
Luo ensin auth:

echo -ne "\0user\0password" | base64

Sitten yhteys auki openssl:llä:

openssl s_client -starttls smtp -connect vastaanottava.domain.fi:587

Ja sitten vähän chattia:

EHLO harrasteserveri.fi
AUTH PLAIN base64 autentikointistring
MAIL FROM: root@harrasteserveri.fi
rcpt to: vastaanottaja@domain.fi
DATA
From: root@harrasteserveri.fi
Subject: Kokkeilu

Haloo, onko valoo ?
.
quit

Kannattaa pasteilla nämä rivi kerrallaan ja ihmetellä, että mitä palvelin vastaa. Subjectin jälkeen tosiaan yksi tyhjä rivinvaihto ja meilin lopetus yksinäisellä pisteellä.
Tämän pitäisi mennä perille kunhan osoitteet on kohdillaan. Jos onnistuu, niin sen jälkeen voitkin kokeilla mitä tapahtuu kun jätät MAIL FROM pois tai käytät jotain väärää lähettäjäosoitetta. Tällä ainakin pääset testaamaan sen, että saatko vastaanottavan pään logeihin samanlaisen virheilmoituksen aikaiseksi.

Vastaanottavan serverin postfix on kunnossa ja pystyn sen kautta vastaanottamaan ja lähettämään meiliä oikein hyvin. Ongelmaksi vain on muodostunut tuo yksi proxmoxserveri, joka yrittää lähettää väärällä osoitteella meilinsä, osoitehan pitäisi olla sysadmin@domain.fi, mutta masiina lähettää logien mukaan osoitteella root@localbackup.domain.fi
ja tämä tietenkin blokataan, koska ei sallittujen lähettäjien luettelossa.
Edittiä
Kokeilujen perusteella jos lähettäjäpään osoite on oikein meili menee kauniisti läpi, kuten kuuluukin, jos se on väärin saadaan sama virheilmoitus kuin logeissa ja konsoliin tulostuu myös
554 5.7.1 <root@domain.fi>: Sender address rejected: Access denied

 

[dataaja95]

Postfixin rewrite taioista saattaisi tässä kohtaa olla apua:

Forcing the from address when postfix relays over smtp

I'm trying to get email reports from our AWS EC2 instances. We're using Exchange Online (part of Microsoft Online Services). I've setup a user account specifically for SMTP relaying, and I've setup

serverfault.com

Eipä valitettavasti ollut apua tästä, joko osoitteena pysyy tiukasti root@localbackup.domain.fi, tai vaihtoehtoisesti yrittää lähettää tyhjällä osoitteella
Kokeilin myös tätä ohjetta samalla lopputuloksella. Alkaa tuntua, että ongelma olisi lähettävän pään postfixin konfiguraatiossa

https://www.cyberciti.biz/tips/howto-postfix-masquerade-change-email-mail-address.html

 

[dataaja95]

Nyt proxmox yrittää lähettää joko osoitteella root@harrastenurkka.fi tai from kentässä on pelkästään tyhjää. EN ymmärrä kyllä yhtään tämän toimintalogiikkaa

 

[jad]

Nyt proxmox yrittää lähettää joko osoitteella root@harrastenurkka.fi tai from kentässä on pelkästään tyhjää. EN ymmärrä kyllä yhtään tämän toimintalogiikkaa

Kyllähän nyt vastustaa. Onko sinulla /etc/mailname tiedostossa localbackup.domain.fi vai domain.fi ? Mailnamea vaihtamalla osa ongelmasta saattaa ratketa. Tuon ylläolevan ohjeen avulla kun kokeilit lähettäjän rewriteä smtp_generic_maps:lla, niin varmaan seurasit ohjetta sen verran tarkasti, että ajoit postmap:n /etc/postfix/generic tiedostolle.

Kokeilepa seuraavaksi muokata tiedostoa /etc/postfix/master.cf Sieltä löytyy tämän näköisiä rivejä:

rewrite   unix  -       -       y       -       -       trivial-rewrite
bounce    unix  -       -       y       -       0       bounce
defer     unix  -       -       y       -       0       bounce
trace     unix  -       -       y       -       0       bounce
verify    unix  -       -       y       -       1       verify
flush     unix  n       -       y       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
proxywrite unix -       -       n       -       1       proxymap
smtp      unix  -       -       y       -       -       smtp
relay     unix  -       -       y       -       -       smtp

Lisää trivial-rewrite perään -v (verbose) Samoin

smtp      unix  -       -       y       -       -       smtp

voit lisätä perään -v. Huomaa, että tiedoston alkupäässä on myös smtp alkuinen rivi:

smtp      inet  n       -       y       -       -       smtpd

Tähän ei tarvitse koskea smtpd on meilien vastaanottaja ja sitähän et tällä proxmox myllyllä tekemässä. Luonnollisestikin tämän editoinnin jälkeen sudo postfix reload

Nuo -v:t saa aikaiseksi sen, että syslogiin tallentuu huikea määrä dataa ja sieltä saattaisi löytyä syy siihen, miksi tuo generic rewrite ei toimi.
Likimain kaikkiin noihin postfixin käyttämiin "aliohjelmiin" voi tuon -v:n lisätä, mutta kannattaa tutkailla yksi kerrallaan, ettei tule informaatiähkyä siitä logiin kertyvästä datamäärästä.

Pieni tietoturvahuomautus tuon smtp -v:n käytöstä. Syslogiin tallentuu käytetty sasl käyttäjätunnus ja salasana, joten soveltuu vain kotilabratesteihin, tai vaihtoehtoissti pitää muistaa siivota syslogia.

Itse proxmox ei itselleni kovin tuttu ole. Onko tuo lähettäjäosoite ainoa lähetettäviin sähköposteihin liittyvä asetus ? Vai onko jossain Mahdollisuus määritellä myös lähetystapa. (sendmail, smtp, jotain muuta)

 

[dataaja95]

Kyllähän nyt vastustaa. Onko sinulla /etc/mailname tiedostossa localbackup.domain.fi vai domain.fi ? Mailnamea vaihtamalla osa ongelmasta saattaa ratketa. Tuon ylläolevan ohjeen avulla kun kokeilit lähettäjän rewriteä smtp_generic_maps:lla, niin varmaan seurasit ohjetta sen verran tarkasti, että ajoit postmap:n /etc/postfix/generic tiedostolle.

Kokeilepa seuraavaksi muokata tiedostoa /etc/postfix/master.cf Sieltä löytyy tämän näköisiä rivejä:

rewrite   unix  -       -       y       -       -       trivial-rewrite
bounce    unix  -       -       y       -       0       bounce
defer     unix  -       -       y       -       0       bounce
trace     unix  -       -       y       -       0       bounce
verify    unix  -       -       y       -       1       verify
flush     unix  n       -       y       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
proxywrite unix -       -       n       -       1       proxymap
smtp      unix  -       -       y       -       -       smtp
relay     unix  -       -       y       -       -       smtp

Lisää trivial-rewrite perään -v (verbose) Samoin

smtp      unix  -       -       y       -       -       smtp

voit lisätä perään -v. Huomaa, että tiedoston alkupäässä on myös smtp alkuinen rivi:

smtp      inet  n       -       y       -       -       smtpd

Tähän ei tarvitse koskea smtpd on meilien vastaanottaja ja sitähän et tällä proxmox myllyllä tekemässä. Luonnollisestikin tämän editoinnin jälkeen sudo postfix reload

Nuo -v:t saa aikaiseksi sen, että syslogiin tallentuu huikea määrä dataa ja sieltä saattaisi löytyä syy siihen, miksi tuo generic rewrite ei toimi.
Likimain kaikkiin noihin postfixin käyttämiin "aliohjelmiin" voi tuon -v:n lisätä, mutta kannattaa tutkailla yksi kerrallaan, ettei tule informaatiähkyä siitä logiin kertyvästä datamäärästä.

Pieni tietoturvahuomautus tuon smtp -v:n käytöstä. Syslogiin tallentuu käytetty sasl käyttäjätunnus ja salasana, joten soveltuu vain kotilabratesteihin, tai vaihtoehtoissti pitää muistaa siivota syslogia.

Itse proxmox ei itselleni kovin tuttu ole. Onko tuo lähettäjäosoite ainoa lähetettäviin sähköposteihin liittyvä asetus ? Vai onko jossain Mahdollisuus määritellä myös lähetystapa. (sendmail, smtp, jotain muuta)

Mielenkiintoista, tiedostoa /etc/mailname ei ole olemassa, olisiko tämä ongelman juuri syy ja mitäs tuonne pitäisi laittaa.

 

[jad]

Mielenkiintoista, tiedostoa /etc/mailname ei ole olemassa, olisiko tämä ongelman juuri syy ja mitäs tuonne pitäisi laittaa.

Tässä tietysti voi olla distrokohtaisia eroja. Debianissa postfixin main.cf sisältää rivin:

myorigin = /etc/mailname

Yhtä hyvin tuo voisi olla myorigin = domain.fi. Mutta jos main.cf tuota mailnamea käyttää, niin sisältönä yksi ainoa rivi, jolla lukee haluttu domain. Eli sinun tapauksessasi nyt varmaan:

domain.fi

 

[dataaja95]

Jahas, näemmä mikrotikin routerOS versiolla 7.11 crs326:lla vlanit lakkasivat toimimasta, foorumien mukaan vanhemmalla softaversiolla eli 7.10:llä vlanit toimivat, mutta saako tuota ladattua mistään.
Edittiä, resetoimalla kytkin ja määrittämällä vlanit uudelleen homma lähti toimimaan. Mielenkiintoista koska konffi ennen resettiä ja resetin jälkeen on täysin sama.

 

[dataaja95]

hmmmm, mitenköhän proxmoxilla onnistuisi tagattujen vlanien luonti, untaggedit onnistuvat oikein hyvin, mutta tagged tuottaa ongelmia. Nähtävästi vlan pakettia ei ole asennettu ja yritettäessä asentaa haluttaisiin poistaa pve manager ja muutakin tärkeää softaa. Ilmeisesti tagattujen vlanien luontiin ovat ihan omat kuvionsa proxmoxympäristössä.

 

[Algron28]

hmmmm, mitenköhän proxmoxilla onnistuisi tagattujen vlanien luonti, untaggedit onnistuvat oikein hyvin, mutta tagged tuottaa ongelmia. Nähtävästi vlan pakettia ei ole asennettu ja yritettäessä asentaa haluttaisiin poistaa pve manager ja muutakin tärkeää softaa. Ilmeisesti tagattujen vlanien luontiin ovat ihan omat kuvionsa proxmoxympäristössä.

Eikös se ole ihan interface.<vlan numero> tyylillä?

 

[dataaja95]

Vlanit ovat lisätty /etc/network/interfaces tiedostoon esim näin, käsitykseni mukaan tämän pitäisi olla oikein
# klusteribridge
auto vmbr2
iface vmbr2 inet manual
auto vmbr2.30
iface vmbr2.30 inet static
address 192.168.4.3/24
bridge-ports bond4
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes
bridge-vids 2-4094


ip link kertoo vlanista näin
17: vmbr2.30: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT group default qlen 1000
link/ether a0:36:9f:2e:55:6a brd ff:ff:ff:ff:ff:ff

Ilmeisesti proxmoxin konffi pitäisi olla kunnossa, näin olettaisin tutkimusteni perusteella..

 

[dataaja95]

Lopputulos kuitenkin tuolla vlankonfiguraatiolla on se, että en pysty pingaamaan samassa vlanissa olevia koneita, eli jokin konffi proxmoxin päässä on nyt virheellinen.,

 

[Juki]

Kannattaa koittaa niin, että nuo rivit on vähän eri järjestyksessä (vmbr2.30 alle voi vielä lisätä gateway jos haluaa muuallekin yhteyksiä)
Ja kytkinporteissa (bond) pitää tietysti olla asetukset kunnossa että VLAN tägit kulkee mukana.

auto vmbr2.30
iface vmbr2.30 inet static
    address 192.168.4.3/24

auto vmbr2
iface vmbr2 inet manual
    bridge-ports bond4
    bridge-stp off
    bridge-fd 0
    bridge-vlan-aware yes
    bridge-vids 2-4094

 

[dataaja95]

Kannattaa koittaa niin, että nuo rivit on vähän eri järjestyksessä (vmbr2.30 alle voi vielä lisätä gateway jos haluaa muuallekin yhteyksiä)
Ja kytkinporteissa (bond) pitää tietysti olla asetukset kunnossa että VLAN tägit kulkee mukana.

auto vmbr2.30
iface vmbr2.30 inet static
    address 192.168.4.3/24

auto vmbr2
iface vmbr2 inet manual
    bridge-ports bond4
    bridge-stp off
    bridge-fd 0
    bridge-vlan-aware yes
    bridge-vids 2-4094

Ok, ilmeisesti bondattuihin portteihin vlantagien lisääminen menee ihan heittämällä konffiin esim
auto bond4 30

 

[Juki]

Hyviä esimerkkejä löytyy:

Network Configuration - Proxmox VE

pve.proxmox.com

 

[dataaja95]

Hyviä esimerkkejä löytyy:

Network Configuration - Proxmox VE

pve.proxmox.com

Ja sehän lähti toimimaan, ilmeisesti aijemmalla konfiguraatiolla interface oli tägätty kaikkiin vlaneihin ja nyt proxmoxin wikin mukaan se tägättiin vain esim vlaniin 30, Tai näin ainakin päättelen koska aijemmassa konffissa luki
bridge-vlan-aware yes
bridge-vids 2-4094

 

[dataaja95]

Tulipa testattua opnsensellä multiwania, hienosti osasi vaihtaa testiyhteydelle pääyhteyden mennessä alas. Testiyhteytenä oli perus androidpuhelin kytkettynä usb:llä palomuuriin, olen kyllä tykästynyt opnsenseen, hyvä palomuuridistribuutio

 

[dataaja95]

Kannattaisi heti antaa virtuaalikoneille riittävästi resursseja eikä kikkailla jollakin gigatavun rammilla varsinkin kun on kyse postgresqlserveristä. Tarkoitus oli asentaa postgresql ja powerdns samalle serverille, mutta powerdns:n käynnistyminen tökkäsi heti virheilmoitukseen tietokannan taulujen käyttöoikeusongelmista. Lisäämällä koneelle toinen giga rammia, ongelma ratkesi, mutta jäin miettimään ongelman aiheuttajaa, ilmeisesti powerdnsn tietokannan cachetus ei onnistunut rammin loppuessa, ilmoitus kuitenkin viittaa heti käyttöoikeusongelmiin, joka hämäsi itseäni todella paljon
2023-10-26T17:21:03.929231+03:00 server01 pdns_server[1317]: PDNSException while filling the zone cache: Database error trying to retrieve all domains:Fatal error during query: select domains.id, domains.name, records.content, domains.type, domains.master, domains.notified_serial, domains.last_check, domains.account from domains LEFT JOIN records ON records.domain_id=domains.id AND records.type='SOA' AND records.name=domains.name WHERE records.disabled=false OR $1: ERROR: permission denied for table domains

 

[ztec]

Chatcontrol etenee, mutta jotain edistystä on tapahtunut:
Historic agreement on #ChatControl: European Parliament wants to safeguard secure encryption | European Pirate Party

Suunniteltu turvallisuus: Internet-palvelujen ja -sovellusten on oltava rakenteeltaan ja oletusarvoisesti turvallisia, jotta nuoria voidaan suojella hyväksikäytöltä. Muiden käyttäjien estäminen ja ilmoittaminen on oltava mahdollista. Vain käyttäjän pyynnöstä hän saa olla julkisesti tavoitettavissa ja nähdä muiden käyttäjien viestejä tai kuvia. Käyttäjiltä olisi pyydettävä vahvistus ennen yhteystietojen tai alastonkuvien lähettämistä.

Translated with www.DeepL.com/Translator (free version)

 

[dataaja95]

Chatcontrol etenee, mutta jotain edistystä on tapahtunut:
Historic agreement on #ChatControl: European Parliament wants to safeguard secure encryption | European Pirate Party

En ole vielä lukenut tuota chatcontrollakipakettia, mutta vaikuttaa huomattavasti paremmalta versiolta kuin ehdotettu kielletään e2e krypto kokonaan.

 

[dataaja95]

Sitten hieman powerdns kysymyksiä, tarkoituksenani on konffailla master ja slave powerdns:n serveri tulille mutta homma ei oikein tahdo luonnistua, masterin konffissa lukee nyt näin
launch=gpgsql
gpgsql-host=xxxxxx
gpgsql-user=powerdns
gpgsql-password=salasana
gpgsql-dbname=powerdns
gpgsql-dnssec=yes
allow-axfr-ips=slaveserverinip
daemon=yes
disable-axfr=no
guardian=yes
local-address=0.0.0.0
local-port=53
log-dns-details=on
loglevel=4
log-dns-details=yes
log-dns-queries=yes
log-timestamp=yes
master=yes
version-string=powerdns
also-notify=slaveserverinip
ja slaveserverin konffissa lukee näin

launch=gpgsql
gpgsql-host=xxxxxx
gpgsql-user=powerdns
gpgsql-password=salasana
gpgsql-dbname=powerdns
gpgsql-dnssec=yes
slave=yes
master=no
slave-cycle-interval=60
allow-notify-from=masterserverinip
allow-axfr-ips=masterserverinip
superslave=yes
Slaveserverin supermasters taulukkoon tietokannassa olen määrittänyt masterserverin ip:n dnsserverin nimen esim ns1.testizone.fi ja salaisen avaimen jota tarvitaan synkronointiin, ilmeisesti tätä samaa konfiguraatiota ei tarvitse määrittää masterserverin supermasters tauluun, mutta mistä palvelimet silloin tietävät toistensa salaiset avaimet joiden avulla zonejen siirtäminen slaveserverille voi onnistua. Useamman ohjeen avulla olen tätä yrittänyt saada toimimaan
Esim näillä

Configure DNS Master Slave replication in PowerDNS | How to

Configure DNS Master-Slave replication in PowerDNS with help from our in-house Experts. Click here and read all about it today.

bobcares.com

configure master and slave with powerdns version 4.2

Short description I'm running two machines with PowerDNS, one being the master (SQL) and one being the slave (SQL). The problem is, that every domain added on master NS is not added on slave dns s...

serverfault.com

Lopputuloksena masterserveri ei saa slavepalvelimeen yhteyttä, pdns_control notify testizone.fi ilmoittaa, timeout error, error from remote in receive resource temporary unavailable
Palomuureista ovat avattu tarvittavat portit, joten niiden eipitäisi olla esteenä. Poikkeuksena toki tuohon ohjeeseen, että käytössä on nyt postgresql eikä mariadb.

 

[dataaja95]

Mielenkiintoista, heti kun dns serverin wireguard on päällä pdns_control notify testizone.fi aiheuttaa virheen
timeout error, error from remote in receive resource temporary unavailable
Otettaessa wireguard pois päältä pdns_control notify komento menee läpi ja ilmoittaa add queue eli zonet on lisätty jonoon. Kuitenkin tuo wireguard on ainoa yhteys ulos tästä verkosta, mutta miksi ilman wireguardia pdns_control notify antaa virheen ja wireguardin kanssa ei.

 

[dataaja95]

Jahas, routerOS versiolla 7.12 vlanit lakkasivat toimimasta, ennen päivitystä homma toimi ja nyt samalla konfiguraatiola liikenne vlanista nettiin ei kulje mihinkään, miten pystyn päivittämään routerOS:n release candidateversioon /set channel=testing ilmoittaa että käytössä olisi uusin versio, eli 7.12 olettaisin, että betoissa tällaiset ongelmat korjattaisiin nopeasti. Saatanan saatana, tällaisia vikoja ei saisi ilmentyä kuitenkin niin perusjuttuja kuin olla ja voi.

 

[dataaja95]

Jahas, näyttäisi siltä, että routerOS 7.11 ja 7.12 vlanit ovat totaalisesti hajalla

VLAN issue with 7.11 and 7.12 - MikroTik

forum.mikrotik.com

vanhempaa firmwarea kehiin ja /system/package/downgrade pelasti päivän.

MikroTik

MikroTik makes networking hardware and software, which is used in nearly all countries of the world. Our mission is to make existing Internet technologies faster, more powerful and affordable to wider range of users.

mikrotik.com