Příspěvky

331

Hardware / Re:Sběr binárních dat na slabém HW

« kdy: 25. 05. 2014, 02:36:17 »

Jak moc to potřebuješ mít bezpečný? U tohodle řešení si teď nejsem jistej, jestli by nestačilo uživateli dostatečně rychle mačkat ^C aby se dostal do shellu...
Robustnější řešení by bylo dát do inittabu něco na způsob "/bin/su - config /path/to/my_ingenious_app"

Mate pravdu, zkousel jsem hned po prihlaseni drzet Ctrl+C a okamzite X spadly a dostal jsem se do terminalu.

Podle vasi rady jsem do /etc/inittab pridal radek:

Kód: [Vybrat]

app:2345:once:/bin/su config -c /usr/local/bin/mojeapp

a v /usr/local/bin/mojeapp mam:

Kód: [Vybrat]

#!/bin/bash
startx
java -jar /usr/local/bin/program.jar
killall Xorg
exit

Po nabootovani se spusti X a ukaze se prihlaseny terminal (v X) na uzivatele config. Moje java aplikace se ale nespusti. Jakmile napisu do X terminalu exit, nebo zmacknu Ctrl+D, vypise se chyba javy, ze nebezi X.
A sputit primo java app z inittab nemuzu, protoze mi nebezi X. Pokud ve skriptu /usr/local/bin/mojeapp mam startx &, spadne to hned vcetne chyboveho vypisu javy a vubec se nedostanu do terminalu.

Jeste jsem zkousel spoustet java app pomoci startx, /usr/local/bin/mojeapp:

Kód: [Vybrat]

#!/bin/bash
startx "java -jar /usr/local/bin/program.jar" -- :0
exit

Jenze to spadne na "xterm: /usr/bin/xterm: bad command line option -a"
Neprojde nic s pomlckou, ani 'startx mc -a" -- :0'. Naopak vse bez pomlcky funguje: 'startx mc" -- :0'

Nevite, jak to nejlepe vyresit? Me uz v tuto dobu dochazeji napady.

Take mi prijde zbytecne mit trvale spustene X, kdyz se aplikace pouzije jednou a pak v idelanim pripade jen parkrat za rok, nebo vubec. Castecne se mi to povedlo vyresit zapisem v inittab:

Kód: [Vybrat]

kb:2345:kbrequest:/bin/su config -c /usr/local/bin/mojeapp

pak se normalne nabootuje do textoveho rezimu a kdyz uzivatel zmackne Alt+sipkaNahoru, spusti se dany prikaz.

Nechapu proc se bojite Swingu. Je to perfektne proverena technologie a v posledni verzi (po Jave 6u10) nema zadne podstatne vady. Tak proc se tomu branit?

Ja se Swingu nebojim, par aplikaci jsem v nem uz taky napsal.
Ale pokud jste zkousel Javu FX, je o hodne lepsi. U noveho projektu se mi FX zda jako lepsi volba. Ale kvuli mnou vyse popsanym problemum asi nakonec budu muset skoncit u Swingu...

332

Hardware / Re:Sběr binárních dat na slabém HW

« kdy: 24. 05. 2014, 18:41:45 »

Tak jsem odzkousel (zatim ve virtualu) minimalni instalaci Debianu a Xorg.
Mam uzivatele "config", ktery ma na konci ~/.bashrc

Kód: [Vybrat]

startx
exit

a v ~/.xsession

Kód: [Vybrat]

#!/bin/bash
java -jar mojeapp.jar

System nabehne normalne do textoveho rezimu. Kdyz se prihlasi uzivatel config, nastartuje X server a jedna aplikace v Jave. Zadna dekorace oken, proste nic. Jakmile uzivatel aplikaci zavre, automaticky se odhlasi. Jednoduche a funkci, jsem spokojeny.


Mam ale dotaz ohledne Javy. Rad bych napsal GUI v Java FX, protoze ve Swingu uz imho nema moc vyznam psat nove programy.
Jak je to s Javou FX na linuxu? Pokud jsem dobre googlil (a zkousel), tak OpenJDK 7 neumi Java FX aplikace spustit. OpenJDK 8 jeste neni v distribucich a ani jsem ji nezkousel.

Nejlepsi by bylo pouzit original Oracle Javu. Jenze v jejich licenci jsem nasel:

A. COMMERCIAL FEATURES. You may not use the Commercial Features for running Programs, Java applets or applications in your internal business operations or for any commercial or production purpose, or for any purpose other than as set forth in Sections B, C, D and E of these Supplemental Terms. If You want to use the Commercial Features for any purpose other than as permitted in this Agreement, You must obtain a separate license from Oracle.

To bude asi trochu problem, ja bych rad tu krabicku s aplikaci prodaval...

Zkousel jsem v Eclipse s Oracle javou 7 vygenerovat jar, je v nem 15MB velka knihovna jfxrt.jar, ale kdyz vysledne jarko spustim pod openjdk7, nejde to. A navic zahrnuta Oracle knihovna by muj problem nevyresila. Asi by bylo nutne pouzit OpenJDK8.

Kód: [Vybrat]

martin@martin:/tmp$ /usr/lib/jvm/java-7-oracle/bin/java -jar jfx.jar 
martin@martin:/tmp$ /usr/lib/jvm/java-7-openjdk-amd64/jre/bin/java -jar jfx.jar 
Exception in thread "main" java.lang.reflect.InvocationTargetException
	at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
	at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:57)
	at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
	at java.lang.reflect.Method.invoke(Method.java:606)
	at org.eclipse.jdt.internal.jarinjarloader.JarRsrcLoader.main(JarRsrcLoader.java:58)
Caused by: java.lang.RuntimeException: java.lang.UnsatisfiedLinkError: Invalid URL for class: jar:rsrc:jfxrt.jar!/com/sun/glass/utils/NativeLibLoader.class
	at com.sun.javafx.tk.quantum.QuantumToolkit.startup(QuantumToolkit.java:284)
	at com.sun.javafx.application.PlatformImpl.startup(PlatformImpl.java:127)
	at com.sun.javafx.application.LauncherImpl.launchApplication1(LauncherImpl.java:163)
	at com.sun.javafx.application.LauncherImpl.access$000(LauncherImpl.java:47)
	at com.sun.javafx.application.LauncherImpl$1.run(LauncherImpl.java:115)
	at java.lang.Thread.run(Thread.java:744)
Caused by: java.lang.UnsatisfiedLinkError: Invalid URL for class: jar:rsrc:jfxrt.jar!/com/sun/glass/utils/NativeLibLoader.class
	at com.sun.glass.utils.NativeLibLoader.loadLibraryFullPath(NativeLibLoader.java:145)
	at com.sun.glass.utils.NativeLibLoader.loadLibraryInternal(NativeLibLoader.java:88)
	at com.sun.glass.utils.NativeLibLoader.loadLibrary(NativeLibLoader.java:31)
	at com.sun.glass.ui.Application.loadNativeLibrary(Application.java:74)
	at com.sun.glass.ui.Application.loadNativeLibrary(Application.java:81)
	at com.sun.glass.ui.gtk.GtkPlatformFactory$1.run(GtkPlatformFactory.java:28)
	at com.sun.glass.ui.gtk.GtkPlatformFactory$1.run(GtkPlatformFactory.java:25)
	at java.security.AccessController.doPrivileged(Native Method)
	at com.sun.glass.ui.gtk.GtkPlatformFactory.<clinit>(GtkPlatformFactory.java:25)
	at java.lang.Class.forName0(Native Method)
	at java.lang.Class.forName(Class.java:190)
	at com.sun.glass.ui.PlatformFactory.getPlatformFactory(PlatformFactory.java:20)
	at com.sun.glass.ui.Application.Run(Application.java:104)
	at com.sun.javafx.tk.quantum.QuantumToolkit.startup(QuantumToolkit.java:274)
	... 5 more
martin@martin:/tmp$

Na notebooku pro vyvoj pouzivam instalator od webupd8.org. Je i verze primo pro Debian. Podle obsahu balicku, by se mela na ARM stahnout ARM verze.

Jenze pri instalaci balicku je nutne odsouhlasit Oracle licenci k Jave. Ale ja bych potreboval Javu mit predinstalovanou.

Jak nejlepe problem s Javou vyresit?

• Dat tam Oracle Java 8, ale co s licenci? Pujde to prodavat?
• Zkusit OpenJDK 8.
• Napsat to ve starem Swingu.

A nereste prosim vhodnost Javy. Vsechno v ni pisu, mam ji rad a pouziju ji. EOF

333

Hardware / Re:Sběr binárních dat na slabém HW

« kdy: 23. 05. 2014, 16:59:27 »

Základní rozdíl mezi PUT a POST je že PUT má být idempotentní zatímco POST nemusí (a většinou není). Jestli ta data dostane ke zpracování skript nebo cokoliv jiného je úplně jedno.

Diky, to jsem nevedel. Ted mi zase vychazi lepsi PUT :-)
Pokud se data nepodari odeslat, ulozi se na SD kartu a pak se poslou znova.

Vice info: http://home.zcu.cz/~kkapusna/pages/HTTP.html

334

Hardware / Re:Sběr binárních dat na slabém HW

« kdy: 23. 05. 2014, 16:50:13 »

Jinak ale v praxi ti to muze byt celkem jedno - kdyz to pouzijes blbe, tak to jenom nebude podle specifikace semantiky http, ale to ti muze byt celkem fuk, pokud je to pro interni ucely...

Ja vim, melo by to byt jedno. Jen me zajimalo nejspravnejsi reseni. Necham tam POST a bude vyreseno.
Jedno mnou postavene zarizeni (mam ho doma) posila namerena data na server pres GET a take to funguje. Ale spravne by mel byt GET jen na ziskavani dat. Uz jen treba kvuli obnove F5 v prohlizeci, POST kazdy prohlizec nedovoli znova odeslat, GET ano.

Asi by ses mel podivat do dmesg, jak se klavesnice hlasi. Pokud se nepletu, nektere biosy usb klavesnici nejak preonaci, aby vypadala jako "legacy". Ale nejsem si tim ted vubec jisty, snad to nekdo vi lip...

Ja jsem zkousel jenom virtualbox.
Toho se prave bojim, ze se kazda klavesnice/mys na kazdem pocitaci hlasi jinak.
Neexistuje nejaky univerzalni zpusob, jak zakazat klavesnice, mysi a vystupy z grafiky? Proste uzivateli co nejvic znesnadnit vstup do systemu.
Samozrejme tam bude potreba prihlaseni, takze kdyz nekdo pripoji klavesnici a namacka  rm- rf /, nic se nestane.

335

Hardware / Re:Sběr binárních dat na slabém HW

« kdy: 23. 05. 2014, 14:36:43 »

Trochu jsem si ujasnil, co vsechno potrebuji a mam nekolik dalsich dotazu:

1) Pro nahravani dat na server pouzit HTTPS POST, nebo PUT?

2) Puvodne jsem chtel WiFi router s USB TL-WR842ND za 890 Kc (8MB flash a 32MB RAM).
Jenze do 8MB flash skoro nic nedam a potreboval bych vice RAM na ukladani souboru. S 32MB bych mohl ukladat vzdy cca 1 minutu a pak bych musel odesilat na server.

Doma u televize mam Androidi prehravac Minix Neo X5 mini s Androidem a chodi vyborne.
Na eBay jsem nasel nejlevnejsi za 925 Kc. Ma dual-core 1,5GHz ARMv7 procesor, 1GB DDR3 RAM a 4GB flash.
V linuxu asi nepujde 3D akcelerace grafiky, ale to me vubec nevadi.

Linux mi spotrebuje cca do 50MB RAM (na OpenWrt se bezne vejdu do 10MB) a do zbytku muzu ukladat data. Ve srovnani s 32MB u wifi routeru je to rozdil. Do integrovanych 4GB flash si dam system a jeste mi kolik GB zustane volnych.

Porad jsem resil, jak uzivateli zpristupnit nastaveni. Puvodne jsem chtel mit na SD karte maly (radove jednotky MB) oddil s FAT32 a txt soubor s natavenim, jako to ma malina. Tady je HDMI, takze tam muze bezet nastavovaci TUI/GUI aplikace.

Je rozumna volba, koupit TV prehravac misto wifi routeru? Podle me ano.

Pokud bych nechtel pouzivat HDMI (na 100% tam bude SSH), tak by bylo dobre zakazat USB klavesnice a mysi. Stejne by je nikdo nemel pouzivat. Zkousel jsem na PC v Lubuntu do /etc/modprobe.d/ pridat blacklist na hid, usbhid a hid_generic moduly, ale po restartu klavesnice a mys porad funguje. Nasel jsem jenom par navodu pres xinput, ale to bude asi jen pro X a musi se hledat konkterni zarizeni klavesnice.
Jak v linuxu zakazat USB klavesnice a mysi?

336

Hardware / Re:ARM počítač s linuxovou distribucí a HW akcelerací

« kdy: 22. 05. 2014, 22:35:55 »

no a nebo se na to muzete divat tak, ze ceska posta neopravnene zadrzuje zasilky a s falesnym oduvodnenim vymaha jejich "castku za ulozeni v celnim skladu" a "poplatek za celni zastoupeni". Jeste jsem zapomnel na zasilani nevyzadane posty / SPAM - kdy rovnou poslou papiry na plnou moc
Ale ono je jednodussi ukazat prstem na jendu, ten je jenom jeden, ze jo

Ja to vidim jeste jinak.
Objednal jste si zbozi nad 22€, nebo 150€ a doufal ve stesti, ze vas celnici nevyhmatnou. S tim ale musite pocitat.
Jenze stesti se nekonalo a nez abyste zaplatil dan, radeji se k tomu nechcete znat.

Ja jsem byl za "spam" s plnou moci rad, nikdo me ho nenutil podopsat, ale ja ho rad podepsal. Nemam cas/naladu nekde jezdit a neco vyrizovat. Takhle to posta (logicky ne zadarmo) udelala za me.

337

Hardware / Re:Sběr binárních dat na slabém HW

« kdy: 15. 05. 2014, 18:40:58 »

Monitoring je hodně široký pojem, to bys asi musel nějak líp specifikovat. Ale zase: fakt bych v tom nehledal složitosti, čím jednodušší cestou v tomhle prostředí půjdeš, tím líp. Např. možná bude stačit si uvědomit, že když krabička posílá data, tak žije. Co víc bys chtěl monitorovat?

Nějakou podobnou cestou bys v případě nouze mohl jít taky - krabička by se jednou za čas zeptala, jestli na ní nechceš přistoupit a v případě že jo, někam by ti vytvořila ssh tunel (zpětnej - takže bys na ni ty vidět nepotřeboval, spojení by šlo na server).

To zni rozumne, zarizeni bude ukladat vzdy treba 5 minut data do RAMdisku a pak je posle na server pres HTTPS (jmeno a heslo, certifikaty jsou zbytecne).
Pokud nebude server odpovidat (treba vypadne internet), ulozi se soubor z ramdisku na sd kartua posle se pozdeji. Takze v idealnim stavu se na sd kartu nebude nikdy zapisovat.
Tim se zbavim problemu, jak se na serveru dostane do databaze info o novych souborech, poresi to webova aplikaci pri nahrani.

Zaroven s nahranim se krabicka zepta, jestli ma zapnout vzdaleny pristup. Pokud server odpovi ano, krabicka nahodi ssh tunel. Takze do max. 5 minut budu mit ssh.
Monitoring asi poradne omezim - krabicka posila data, je ok. Krabicka si asi bude delat svou vnitrni statistiku a pokud dojde k problemu, posle data opet pres HTTPS na server (treba nejaky json s daty).

338

Hardware / Re:Sběr binárních dat na slabém HW

« kdy: 15. 05. 2014, 17:43:11 »

Z jakého důvodu by měl být server chudák nebo by z toho neměl mít souborový systém radost? Máš vůbec představu o výkonu dnešních počítačů?

Pokud by ti nakonec vadily ty spousty souborů, tak je můžeš ukládat do stromové struktury adresářů nebo případně úlohou z cronu periodicky spojovat do jednoho.

1 soubor kazdou minutu * 4 zarizeni * 60 minut * 24 hodin = 5 760 souboru za den
za mesic * 30 = 172 800 souboru
pro sto zarizeni uz to bude 17 280 000 souboru za mesic o velikost v radech kB na kus. Co jsem kdy pracoval s malymi soubory, vzdy to bylo pomale.

Spojovat se bohuzel bez relativne velkeho vykonu nedaji, nejde jenom o "useknuti", kazdy soubor ma svuj "zacatek a ukonceni". Nebo jak to rict :-)

Ještě jeden dobrej fígl, ktrej by se mohl hodit, je nastavit tomu uživateli speciální shell - program, kterej přečte data ze stdin a někam je uloží. Když pak někdo získá přístup ke krabiččce, nemůže nic víc než ukládat soubory. Nemůže se ani přihlásit na server.

To zni zajimave.

No ja bych mozna zvolil nejake standardni (=stare) reseni.
Treba scp?
SSH muzes nastavit i aby pouzival vypocetne nenarocne sifrovani (RC4, blowfish), pokud Ti nejde o nejake super zabezpeceni.

100% by stacilo.


Ja vlastne potrebuju jen prenos souboru a nejaky monitoring. Jak to lepe resit, nez pomoci VPN? Kopirovani na server neni problem to je klient->server spojeni, porad se mi nejvic libi HTTP POST, budu tak mit rovnou v databazi prehled o souborech (nemusim monitorovat ftp adresar, udela si to aplikaci pri nahravani souboru).
Na monitoring bych asi musel mit SSH tunel. Neni uz lepsi VPN?
A kdyz se neco podela, bez vpn se nedostanu do krabicek na ssh. Verjenou ip mit krabicky nebudou. Takze mit dlasi tunel na ssh?

Ja na VPN netrvam, byl to jen napad.

339

Sítě / Re:Stovky zařízení přes OpenVPN nebo IPsec?

« kdy: 15. 05. 2014, 17:31:50 »

Sry,
ale ten dotaz zni jak kdyby nekdo kdo ma u turris na starosti ziskavani dat, najednou vypl sledovani simpsnu a narychlo resil jak vlastne s tech routru dostat data na server, a jak jim sem tam poslat aktualizace.
 
Ja ti nevim proc to delat tak strasne slozite. Nevim proc by server mel videt na krabicky prijde mi to jako blbost, preci bohate staci kdyz se krabicka dovola serveru, a pak v spojeni si muzes posilat zpravy sem tam jak se ti zliby, nekdo tu psal ze mezi krabickou a serverem muze byt cokoliv, a proto na svet prisli websokety pres ktere protahas uplne vsechno. A zabezpecit se to da taky, ssl baseauth ci si navrhnout nejakej vlastni protokol pod tim.

Co vlastne zbiras za data a kolik toho bude.

Opravdu nejde o Turris. S CZ.NIC nemam nic spolecneho :-D
Jasne, puvodne jsem chtel taky jen kopirovaci protokol (jako FTP). Ale kdyz se takhle neco podela, mam u VPN se do krabicky pripojit pres SSH. Taky muzu mit Nagios, Monit proste cokoliv na sledovani. Ono se hodi prehled o siti a vedet, kde co prestalo fungovat driv, nez si zakaznik zacne stezovat.
Verejnou IP fakt nemuzu mit pro kazdou krabicku, navic wifi router za 800Kc by mel problem, kdyby se 200 lidi snazilo pripojit soucasne na ssh.

Rikejme tomu treba "raw data", na funkci to nema vlic. Nedaji se nijak komprimovat a je jich zhruba do 1MB/min. A to 4x na kazde krabicce.

Totální overengineering a šílenost, totálně nespolehlivé. Proč proboha FTP (notoricky problémové s firewally), navrch to ještě zkombinujem s nějakou VPN, ideálně taky notoricky problémovou s firewally, ideální nějaký IPSec, kde aby člověk dvě kompatibilní implementace hledal tak Keplerovým teleskopem. Krom toho, to mrhání výkonem. Na takovou blbost by při normálním návrhu jinak stačila X let stará šunka, na několik set tunelů bude quad-core málo.

IPsec jsem uz zavrhnul. S OpenVPN jsem zatim vzdy prolezl i tim nejvic restriktivnim firewallem. OpenVPN ma jeden TCP, nebo UDP port. V ramci VPN tunelu uz pak neni problem s porty u FTP.
Jako ze jaka sunka? Misto routeru za 800Kc a spotrebou 5W tam mam hodit pocitac za 1500Kc (ve sberne mozna zadarmo) se spotrebou 50W?
Takze na sifrovany vpn tunel musim mit quad-core, ale na sftp, https, ftps a jine sifrovane prenosy souboru ne?

340

Hardware / Re:Sběr binárních dat na slabém HW

« kdy: 15. 05. 2014, 13:58:38 »

Zni to zajimave, dokonce jsem nasel nejaky port ZeroMQ na OpenWrt.

Vidim v mem pripade zasadni problem. Musel bych mit velky soubor a ten chtit posilat. Ja ale soubor nemam. Mam souvisly stream dat (cca 1MB/min), ktery mi generuje jiny program a zapisuje ho na disk do souboru. Ja maximalne muze nastavit vytvareni novych soubou kazdych par minut, abych se vesel do RAM.

Takze asi nakonec budu mit 1 soubor na jednu minutu, ktery se bude ukladat do RAM disku. Po skonceni souboru, se zacne novy a stary se posle pres FTP/ HTTP POST/ ... na server. Pokud se to nepovede, odlozi se na SD kartu a zkusi se to pozdeji.
Chudak server, kdyz mu kazdou minutu dorazi stovky souboru (cca 4 soubory na jednu krabicku). Souborovy system bude mit z tisicu souboru velkou radost. Ale ukladat binarni data do MySQL se mi porad zda jako nesmysl, radeji ulozim do db nazev souboru a nejaka metadata.

341

Hardware / Re:Sběr binárních dat na slabém HW

« kdy: 15. 05. 2014, 13:10:48 »

Cachovani do RAM je zajimavy napad, urcite by se hodne usetril zapis na kartu. Skoda jen, ze mam jen 32MB RAM. Ale ve vetsine pripadu by to mohlo stihat odesilat po internetu.

MQTT jsem neznal, urcite se na nej podivam. Klientska cast v Pythonu pro OpenWrt by mohla byt relativne jednoducha.

342

Sítě / Re:Pripojeni stovek zarizeni k serveru. OpenVPN, nebo IPsec?

« kdy: 15. 05. 2014, 12:45:35 »

>> Několik set krabiček? To je ve vaší vlastní síti, nebo různě rozházené po internetu za devatero naty a devatero firewally?
Presne tak, krabicky budou v ruznych sitich s ruznymi firewally.

>> já to používám právě pro podobné krabičky i jinak: přiděluji krabičce veřejnou IPv6 adresu, pak se na ni dostanu odkudkoliv.
Zajimave reseni, takhle jsem predtim vubec neuvazoval.
Takze na centralnim serveru mate IPv6 a pomoci VPN dostanete sestky ke koncovym krabickam?

Ja se zatim nejvic priklanim k OpenVPN. Uz jen ta vyhoda s firewally. V nejhorsim pripade rozjedu tunel na TCP 443 a proloze to absolutne vsude.
Zabezpeceni je taky ok. Urcite se driv nebo pozdeji najde chytrak, ktery se k OpenWrt krabicce pres RS-232 pripoji a bude se snazit delat bordel. Proto se mi nelibi PSK klice.

343

Hardware / Re:Sběr binárních dat na slabém HW

« kdy: 15. 05. 2014, 12:27:39 »

Presne tak, rad bych poslepoval jiz exitujici programy.
Nechci se podcenovat, ale ftp, samba nfs, ... jsou mnohem lepsi a lety overenejsi protokoly, nez ja ted u kafe vymyslim. :-)

Ja potrebuju v realnem case sbirat data, ale na server mohou dorazit klidne i s 12 hodinovym zpozdenim (dele ne). Problem je, ze na danych lokalitach neni extra rychle pripojeni k internetu. Navic behem dne byva dost casto zpomalene praci uzivatelu. Proto s nejvetsi pravdepodobnosti nepujde, jak jsem puvodne zamyslel data primo ukladat na sitovy disk. Takhle se data muzou ukladat na kartu a v noci se pres FTP odesilat (co se behem dne nestihne). 
Dalsi problem, kdyz na par minut chcipne internet, byl bych bez dat.

Uvazoval jsem o male USB ctecce microSDHC karet a do toho za 120Kc 8GB kartu.
Pokud by ji bylo nutne jednou za rok vymenit, snad by se to dalo prezit. Cenove urcite, horsi ta prace s tim :-(

Jak to delaji treba dnes tolik oblibene kamery v autech? Ty imho taky neustale od zacatku do konce ve smycce prepisuji sd kartu. Jak dlouha tam karta vydrzi?

Nemate zkusenosti s zivotnosti sd karet? Kdyz budu cca 12 hodin denne zapisovat 4 soubory kazdy cca 1MB/minutu, za jak dlouho bude karta na vyhozeni?

344

Sítě / Stovky zařízení přes OpenVPN nebo IPsec?

« kdy: 15. 05. 2014, 02:44:33 »

Ahoj,
nedavno jsem na rootu resil, jak sbirat data z nekolika set krabicek. Nakonec jsem se rozhodl pro FTP. FTP prenos bude zabezpeceny VPN tunelem, ten potrebuji i kvuli sprave a monitoringu krabicek (ssh, nagios,...).

Nejradeji bych pouzival pro overovani krabicek jmeno a heslo misto certifikatu (vim, certifikat je lepsi). Kazda krabicka musi musi dostat vzdy stejnou neverejnou IP, aby ji bylo mozno vzdalene ovladat/monitorovat.
Vsechny krabicky musi videt na server a server na krabicky. Krabicky se mezi sebou nesmi videt. To by nemel byt problem poresit pres iptables.
Databazi uzivatelsky jmen a hesel mam v MySQL. Rad bych ji proto propojil s VPN. Take bych mel rad v db IP adresy krabicek prirazene ke jmenum/heslum.
Krabicky budou mit vsechny OpenWrt.

Ted resim problem, jakou vybrat VPN. Zatim jsem vzdy na vsech serverech pouzival OpenVPN s certifikaty k plne spokojenosti.
Ale ted se chci certifikatum vyhnout.
Overovani jmenem a heslem z MySQL by melo byt bez problemu.

Problem bude s pevnou IP pro klienty. Nasel jsem hodne navodu pomoci client-config-dir.
Do konfiguraku serveru se da: "client-config-dir /etc/openvpn/staticclients"
a kazdy klient pak ma svuj soubor s nastavenim:

Kód: [Vybrat]

$cat /etc/openvpn/staticclients/uzivatelskeJmenoTestovacihoKlienta1
ifconfig-push 10.20.30.123 255.255.255.0

Asi to bude fungovat, ale ja chci mit IP v databazi.
Dalsi co jsem nasel, je nastavit OpenVPN, aby se overovala proti FreeRADIUSu, ktery si taha jmena a hesla z MySQL. Komplikovane, ale asi funkcni. Zatim se mi to zda jeko nejlepsi reseni.

Take jsem dost uvazoval o IPsec. S IPsec mam zkusenosti pouze jako klient, IPsec server jsem nikdy nenastavoval.
Myslite, ze je na to, co popisuji misto OpenVPN lepsi pouzit IPsec?

Trochu jsem googlit info o IPsec v linuxu a mam v tom poradny zmatek. Nasel jsem racoon, strongswan a openswan. Nikde poradne srovnani vyhod/nevyhod co pouzit.

Musim tedy pouzit  L2TP/IPSec? IPsec na sifrovani a L2TP na tunel?
Chapu dobre, za IPsec pouziva bud certifikaty, nebo sdileny PSK klic?
Co jsem googlil, tak by melo jit spojit XL2TPD + FreeRADIUS + MySQL - takze budu tahat databazi jmen a hesel uzivatelu z MySQL (to chci). Jak ale poresim jmeno/heslo u IPsec? To budu muset kazde krabicce generovat certifikaty? Spolecne heslo se mi zda jako absolutni nesmysl, vhodny pouze pro domaci VPN...
Pevnou IP klientovi by mohlo jit dat pomoci radiusu (Framed-IP-Address).
Kdyz vidim v tutorialech na IPsec nastavovani PPP, vzpominam na nastavovani dial-upu. Priserna syntaxe a nastaveni pppd je porad stejna :-(

Jak je na tom IPsec s pruchodem NATy? Asi spatne. OpenVPN ma jeden TCP, nebo UDP port. IPsec ma vice portu a IP protokolu.

Co vybrat?

Na OpenVPN vidim jediny problem: nastaveni pevne IP pro klienta z databaze (ale to mozna taky pujde).
Na IPsec vidim vice nevyhod, nez vyhod. Mozna proto, ze mu nerozumim. Ale rad se necham presvedcit o opaku a zacnu se o IPsec vice zajimat.

Zatim se mi nejvic libi kombinace OpenVPN + FreeRADIUS + MySQL.

345

Software / Re:RTSP stream do 30min souborů

« kdy: 12. 05. 2014, 00:45:36 »

Funkcni reseni s ffmpeg:

Kód: [Vybrat]

$ ffmpeg -i rtsp://:@192.168.123.10:8554/live0.264 -vcodec copy \
-map 0:0 -f segment -segment_time 10 -segment_format mp4 \
"kamera_1_-_`date +"%Y-%m-%d_%H-%M-%S"`_%03d.mp4"

a pada z toho: "kamera_1_-_2014-05-12_00-29-02_001.mp4", "kamera_1_-_2014-05-12_00-29-02_002.mp4", ...