HP T5520 jako router.

Ostatnimi czasy parę osób nabyło HP Compaq T5520, czyli cienkiego klienta od HP. Sprzęt używany, niedrogi, bezszelestny. W moim przypadku wykorzystany został jako domowy routerek (plus parę usług – taki router na sterydach).

HP T5520

Źródło: strona producenta.

Instalacja

Do instalacji systemu jak zwykle – przynajmniej na razie, bo niedługo przechodzę na liveCD Debiana do takich celów – postanowiłem skorzystać z Knoppiksa. Wersja 5.x na kluczu USB – teraz praktycznie innego nie używam, ani nośnika, ani liveCD. Uruchomienie bez problemu – BIOS widzi klucz jako dysk.

Pierwsze co rzuciło się w oczy po uruchomieniu konsole, to problemy z grafiką – jakieś białe prostokąty zamiast wpisywanego tekstu. Po chwili dołączyło do tego zawieszenie systemu. Ponieważ Zal też coś pisał w tym temacie (freezy na Ubuntu 9.10 Server Edition), a podobne problemy już widywałem, postanowiłem skorzystać z dwóch rzeczy – wyłączenia acpi oraz wywołania knoppiksa bez uruchamiania Xów (w międzyczasie dla pewności sprawdziłem pamięć memtestem – jeden przebieg):

knoppix 2 acpi=off noapic

Faktycznie, pomogło. Chciałem zainstalować Lenny’ego, więc kolejnym krokiem instalacja debootstrapa, bo debootstrap domyślnie dostępny w Knoppiksie nie zna czegoś takiego jak Lenny. Szybkie apt-get update zakończyło się błędami i widocznymi komunikatami o braku pamięci. Cóż, 110 MB i brak swap to nie jest to, co tygrysy lubią najbardziej, szczególnie, że w knoppiksowym sources.list wpisów jest masa. W każdym razie jeśli ktoś ma możliwość utworzenia swapa na czas instalacji i uruchamiania Knoppiska, to polecam (oczywiście nie na flashu). Po wywaleniu części wpisów (w zasadzie został tylko Lenny i security), debootstrap zainstalował się bez problemu.

Od tego momentu było z górki – tradycyjna instalacja debootstrapem, chroot, doinstalowanie kernela i gruba. Jedyne na co zwrócić uwagę, to urządzenie, dla którego grub robi wpisy root. Ponieważ pendrive z Knoppiksem widziany był jako /dev/sda, to pendrive na którego robiona jest instalacja widoczny był jako /dev/sdb. Po reboocie i wyjęciu pendrive’a z Knoppiksem oczywiście się to zmieni, więc IIRC trzeba było dostosować wpis root (hd0,0). Tak sobie myślałem, co będzie się działo po podpięciu dysków twardych via USB, ale okazało się, że inteligentnie do kopt zostały dodane parametry określające root po UUID (root=UUID=8112bf09-1083…). Nie wiem, czyja to dokładnie zasługa (chyba gruba), ale miłe. Kiedyś tak nie było IIRC.

Wymagane miejsce

Po instalacji, z wszystkimi bajerami typu wajig, tshark, standardowym dystrybucyjnym kernelem itd. system zajął około 350 MB (po wyczyszczeniu cache pakietów z paczek pobranych na czas instalacji). Raczej dużo, jeśli komuś zależy na miejscu. Mi nie zależało, bo i tak jedyny zbędny pendrive, jakiego miałem (znaleziony, zresztą), ma pojemność 2GB. Niemniej, na 256 MB by się nie zmieścił, tak po prostu, za to na 512 MB – bez problemu powinien się dać zainstalować.

Po totalnym dopieszczeniu systemu, skopiowaniu – pewnie nadmiarowych – danych itd. Zajęte jest 580MB. Niby dużo, ale spokojnie i zupełnie bez stresu da się zejść do 512 MB, bo największe pakiety wg wajig sizes to:

vim-runtime                 22,812     installed
wireshark-common 38,332     installed
linux-image-2.6.26-1-486 58,292     installed

Poza tym, irssi, nmap, mutt, centerim, tor, apt-cacher i parę innych pakietów też specjalnie potrzebne do działania routera nie są. 😉

Klucz USB jako dysk

Jak wspomniałem, jako napęd podstawowy został wybrany flash (w formie pendrive’a, ale to nieistotne). Po pierwsze, jest on bezgłośny, po drugie, brak elementów mechanicznych oznacza, że ma szansę być bardziej niezawodny (a niezawodność w przypadku routera i dostępu do internetu jest dość istotna, szczególnie, jeśli administrujemy tym zdalnie). Poza tym, łatwo zrobić i odtworzyć backup całości (na tyle, by połączył się z siecią). Z drugiej strony, jeśli chodzi o niezawodność, to dysk twardy wpięty po taśmie można monitorować przy pomocy S.M.A.R.T. Wtedy przewagi flasha nie ma, ale tak się składa, że w tym sprzęcie raczej po USB, a nie po taśmie podłącza się dyski. Niby można coś w środku po taśmie, ale musiałby być to laptopowy IDE, a takich nie mam, no i nie bardzo da się to ładnie umocować…

Użycie flasha wymusza parę zmian w stosunku do domyślnej instalacji. Przede wszystkim należy ograniczyć liczbę zapisów na dysk z uwagi na żywotność. Czyli system plików bez journala. Stanęło ext2. Do tego opcja noatime, oraz montowanie w trybie tylko do odczytu (ro). Mam nadzieję, że starczy – nie bawiłem się bardziej systemami na flashu, więc liczę na uwagi od ludzi z większym doświadczeniem.

/tmp montowany jako tmpfs, a /var po instalacji skopiowany na zwykły dysk (cache pakietów dla apt-cacher tam jest). Czemu cały /var, a nie tylko /var/cache? Cóż, tak było prościej. Z jednej strony wiem, jest to uzależnianie się od działania tego dysku, z drugiej chciałem mieć także logi, a na dopiszczanie niespecjalnie miałem czas.

Opcje montowania i inne zmiany w systemie plików

Ostatecznie najważniejsze wpisy we /etc/fstab wyglądają tak:

UUID=8112bf09-1083-...  /  ext2  ro,defaults,noatime  0  1
tmpfs  /tmp tmpfs  defaults  0  0

Wiem, z opcjami dla /tmp można by się bardziej postarać, ale okazało się, że niektóre pakiety przy instalacji wymagają uruchomienia z tego katalogu (w sumie jak o tym teraz myślę, to powinienem błąd zgłosić), więc noexec nie bardzo dawał radę. Poza tym, symlink /var do katalogu na dysku twardym, podobnie z /home. Dla świętego spokoju, mając na względzie problemy z Knoppiksem, zdecydowałem się także na swap w pliku na dysku twardym (256 MB).

Z mniej oczywistych rzeczy – po uruchomieniu z takimi opcjami system nie wstał. Dokładniej, nie wstała sieć. Okazało się, że zapomniałem (bliższe prawdy: nie pomyślałem) o /etc/network/run, które także musi być dostępne do zapisu. Rozwiązaniem było mkdir /dev/shm/network i podlinkowanie /etc/network/run tamże.

Szybkość

Sama maszyna jest wyraźniej żwawsza od poprzedniego PII 266 MHz z 64 MB RAM. Szczególnie widać to na operacjach typu instalacja pakietów, które nie trwają wieków. Jakiegoś dokładniejszego benchmarku nie przewiduję, cieszę się jedynie, że moje obawy co do niewielkiej ilości cache procesora (cache size: 64 KB) okazały się nieuzasadnione. Prędkość dysków po USB jest zadowalająca:

zwykły dysk:
Timing cached reads:   230 MB in  2.02 seconds = 114.09 MB/sec
Timing buffered disk reads:   88 MB in  3.03 seconds =  29.06 MB/sec

klucz USB:
Timing cached reads:   226 MB in  2.00 seconds = 112.74 MB/sec
Timing buffered disk reads:   78 MB in  3.02 seconds =  25.85 MB/sec

Wszystko to z wpiętym modemem Sagem F@st 800, który zapewnia połączenie z siecią telefoniczną. Póki co, w ciągu kilkudniowych testów, nie zanotowałem żadnych problemów ze stabilnością modemu na tym chipsecie.

Energooszczędność

Trochę rozbieżności już było, bo na jednym zdjęciu wydawało mi się, że na zasilaczu jest 3,33A (przy 12V), ale zostałem sprostowany w komentarzach w którymś wpisie, że jest 3,5A (inna osoba miała 3,3A). Wygląda na to, że zasilacze nie są oryginalne – na urządzeniu jest 3,33A, natomiast na zasilaczu mam 3,5A. Nie przeszkadza to w żaden sposób, a jak wspominałem, sprzęt nie jest nowy. Tyle, jeśli chodzi o maksymalny pobór prądu. Oczywiście jeśli nie podłączamy dysków wymagających osobnego zasilania. Myślę, że jest to mniej, niż średni pobór dotychczasowej maszyny (zwykły PC).

Podsumowanie i TODO

Zabrakło na pewno testu wpływu sprzętowego akceleratora operacji AES z wykorzystaniem padlock-aes. Nie miałem czasu przebudować openssl, a z tego co wyczytałem, debianowy domyślnie nie ma wsparcia dla tego modułu (mimo, że moduł w jądrze jak najbardziej istnieje i ładuje się bez problemu). Przy okazji postaram się potestować jego wpływ na obciążenie systemu przez encfs oraz tor (to będzie trudne, bo niezauważalne jest). Wtedy także poważniejsze testy wydajności dysków (głównie porównanie wpływu encfs, także wydajność zapisu). Nie przeniosłem też wszystkich usług, przede wszystkim zabrakło czasu/ochoty na przeniesienie leafnode – lokalnego serwera (a raczej proxy NNTP), który miał spory wpływ na I/O dysku. W sumie i tak z niego nie korzystam chwilowo…

Jak już pisałem, z modemem problemów nie ma, maszynka ma blisko 3 dni uptime (tylko tyle, bo były kontrolne restarty, kolosalnych uptime nie będzie, bo UPS brak) i pracuje stabilnie i bezproblemowo jak dotychczas.

T5520 na pewno jest ciekawą i niedrogą alternatywą dla małych systemów z architekturami innymi niż x86 (i GNU/Debian Lenny pracuje na niej bez problemu i bez modyfikacji). Maszynka mała, nie żrąca wiele prądu i pasywna, więc idealnie nadawałaby się na wyniesiony router, ale wady w takim zastosowaniu to tylko jeden interfejs sieciowy, brak PoE (chociaż dało by się przerobić – zasilanie to tylko 12V) i brak klasycznych slotów PCI i miniPCI (jest jeden PCI w środku, ale tylko low profile i nie da się przykręcić śledzia). Oczywiście, można stosować karty na USB.

Jako typowy NAS też nie do końca – brak miejsca na dyski w środku, brak możliwości korzystania ze S.M.A.R.T. Oczywiście znowu da się to obejść podłączając dyski na USB i robiąc softraid.

Jako media center – znowu brak dysku, filmy nie wiem czy pójdą. Natomiast do odtwarzania muzyki w domu czy biurze powinno się nadawać idealnie (robiąc jednocześnie za NAS i router).

I w sumie uniwersalność (chociaż niby jak coś jest do wszystkiego, to jest do niczego), przy niewielkich rozmiarach, poborze prądu i cenie jest największą zaletą. Ja z zakupu jestem zadowolony – za grosze mam stosunkową wydajną maszynkę, robiącą za router, miniNAS, prywatnego shella, a wszystko bezproblemowo na najlpopularniejszej architekturze (x86). W tej chwili nawet z paczki wszystko, łącznie z kernelem.

UPDATE: Sprzęt spokojnie powinien się dać wykorzystać jako odtwarzacz muzyki (mp3, ogg, flac, aac, radio internetowe). Sposób na muzykę (sterowanie zdalnie z kompa, da się pilota zaprząc pewnie do MPD z pomocą LIRC, scrobbling) pod Linuksem opisałem tu. Co prawda nie jestem audiofilem i nie testowałem jakości dźwięku z wbudowanej karty, ale na innym sprzęcie i najtańszej karcie USB radio internetowe działa OK (po podłączeniu do wieży). Jakby ktoś zrobił na tym media center, to chętnie poznam uwagi.

Usunięcie blokady portu 25 w Neostradzie.

Świat się nie zawalił. Narzekań specjalnych nie było, trochę psioczenia niektórych adminów (oj, nie wszyscy się przygotowali, nie wszyscy). Operacja się udała, więc pora na informację, jak zacną skądinąd blokadę wyłączyć.

Rano ten wpis wyglądał inaczej (i ta wersja niedługo wróci), ale z tego co wiem, polityka informowania na infolinii TP jest taka, że się nie da, więc na razie trzymajmy się tej wersji, bo z pewnych względów jest ona słuszna. Myślę, że oryginalna wersja powróci w okolicy Mikołajków.

Na wstępie uwaga: tak naprawdę wcale nie musisz tej blokady (i nie powinieneś – zobacz poprzednie wpisy, w których opisane są przyczyny jej wprowadzenia) wyłączać. O wiele lepszym rozwiązaniem jest zmiana konfiguracji czytnika poczty. No ale załóżmy, że skonfigurowałeś to komuś, komu za ChRL nie wytłumaczysz, jak zmienić konfigurację, a sam nie masz dostępu do tego systemu (pozdrawiam rodaków za granicą). Albo masz beznadziejny soft pisany na zamówienie, który wysyła maile na porcie 25 (bez uwierzytelniania, ciekawe, który admin serwera pocztowego przyjmuje taki syf z puli Neostrady). Co wtedy?

Póki co, postaraj się przekonfigurować czytnik poczty. Jeśli nie, zajrzyj za kilka dni…

Na wstępie uwaga: tak naprawdę wcale nie musisz tej blokady (i nie powinieneś – zobacz poprzednie wpisy, w których opisane są przyczyny jej wprowadzenia) wyłączać. O wiele lepszym rozwiązaniem jest zmiana konfiguracji czytnika poczty. No ale załóżmy, że skonfigurowałeś to komuś, komu za ChRL nie wytłumaczysz, jak zmienić konfigurację, a sam nie masz dostępu do tego systemu (pozdrawiam rodaków za granicą). Co wtedy?

Wtedy wystarczy zmiana loginu do usługi Neostrada. Na stronie TPSA zawarty jest dokładny opis możliwych ustawień poziomów ochrony przy pomocy loginu. Jak widać, możliwe w tej chwili są trzy warianty:

  1. „goły” login, czyli zablokowane porty „wirusowe” oraz 25,
  2. dodanie prefiksu „PODSTAWOWY-” do loginu – blokowane porty „wirusowe”, odblokowany port 25,
  3. dodanie prefiksu „BEZ_OCHRONY-” do loginu – odblokowane porty „wirusowe”, oraz port 25.

Aby odblokować wysyłkę poczty, wystarczy dodać prefix „PODSTAWOWY-„. Wpuszczanie wirusów nie ma sensu, szczególnie, jeśli użytkownikiem komputera jest ktoś, kto – mając do dyspozycji obrazkowe insturkcje – nie umie zmienić portu, na którym wysyłana jest poczta.

Jak widać, trzeba mieć zdalny dostęp do routera (albo założyć, że osoba, która nie umie zmienić portu poradzi sobie routerem, w co wątpię), albo zdalny dostęp do konfiguracji modemu (pod Windows to chyba tylko jakiś zdalny pulpit wchodzi w grę, ale wtedy lepiej zmienić port).

Kolejna niefajna sprawa, to fakt, że jeśli pomylimy się przy zmianie loginu (uwaga na wielkość liter, ma znaczenie!), to trwale odetniemy się od routera. Dlatego zmiana portu wysyłania poczty wydaje się znacznie lepszą, prostszą, bezpieczniejszą i korzystniejszą dla wszytkich opcją.

Wolność słowa w Chinach – możesz pomóc.

Jak można się było spodziewać, chińskie władze wzięły się za tor, czyli usługę anonimizującą pozwalającą na ominięcie państwowego firewalla, a tym samym na obejście cenzury i na dostęp między innymi do nieprawomyślnych – bo nie zatwierdzonych przez władze – informacji. W chwili obecnej blokowanych jest ok. 80% węzłów tora. Każdy może, w prosty i nie wymagający wielkich środków sposób, pomóc w walce z chińską cenzurą – poniżej przepis.

Na wstępie zaznaczę, że węzły tora dzielą się na kilka typów, z czego dwa nie grożą niczym nieciekawym osobom, które je prowadzą. Sprawdziłem to empirycznie prowadząc węzeł pośredniczący przez 4 miesiące przy konfiguracji opisanej w mini konfiguracji tora. Aby pomóc Chińczykom wymagana jest inna konfiguracja, ale także ona nie pozwala na nawiązywanie połączeń bezpośrednich, więc nie ma najmniejszych obaw, że ktoś coś zrobi nawiązując połączenie z naszego adresu IP i będziemy ciągani po sądach. Przy okazji – węzeł działa na słabym łączu 1024/256 kbit i słabym sprzęcie (PII 266 MHz, 64 MB RAM). Nie zauważyłem spowolnienia działania sieci czy odczuwalnego zwiększenia zużycia zasobów.

Aby pomóc Chińczykom musimy utworzyć tak zwany bridge-node, czyli węzeł mostkowy (brr, brzydkie tłumaczenie). Działa on tak, że przyjmuje połączenia przychodzące, a następnie przekazuje je do kolejnych węzłów (tylko i wyłącznie do kolejnych węzłów, nigdy bezpośrednio do celu). Jest o tyle pożyteczny, że nie jest widoczny na liście serwerów tora, a dane o nim są udostępniane zainteresowanym dopiero po wysłaniu maila na specjalny adres (dla zainteresowanych dokładny opis procedury uzyskiwania informacji o bridge-nodes.

Do rzeczy. Cała konfiguracja dla bridge-node składa się z 4 linii:

SocksPort 0ORPort 443               # port na którym nasłuchujemyBridgeRelay 1            # włączenie trybu bridge-nodeExitpolicy reject *:*    # blokada bezpośrednich połączeń wychodzących

Ja polecam – szczególnie posiadaczom słabszych łącz – na dodanie ograniczenia prędkości przesyłanych danych:

RelayBandwidthRate 20 KBytesRelayBandwidthBurst 30 KBytes

Trzeba też pamiętać o tym, by port na którym nasłuchujemy był dostępny z zewnątrz (publiczne IP lub przekierowanie na routerze). Zaleca się używanie popularnych portów (80, 443, itp.) – trudniej będzie je wychwycić i zablokować. Polecam też przeczytanie mojego poprzedniego wpisu na temat tora. Dotyczy co prawda innej konfiguracji, ale jest opisana część opcji.

Źródła: artykuł na heise-online, blog projektu tor, opis bridge-nodes na stronie projektu.

UPDATE: Tor posiada wersje dla większości systemów operacyjnych: OS X, Windows oraz Linuksa. tu możesz pobrać tora, a tu, dla wymagających tu więcej opcji. Jeśli chodzi o Linuksa, to zapewne znajduje się w repozytorium pakietów, z którego korzystasz.

UPDATE2: Nieco przydługi, ale ciekawy opis konfiguracji przekaźnika tora (dead link). Chyba głównie dla Windows przydatne – jakieś klikania opisane. 😉