两起投诉

两起投诉

今天一大早就进行了两起投诉,响应很快,结果很满意。

投诉1:深圳电信光纤改造

在以前的一篇文章中吐槽了深圳电信的网络,后来恰逢深圳电信年末大优惠,再加上比较了其他两家运营商的宽带网络,最后还是选择了电信的光纤改造(费用理所当然地也上升了)。改造后的网络确实快了很多,而且一根光纤搞定上网、IPTV 和电话,实际上整个布线都比以前清爽了,这个还是可以给电信点个赞的!

然而发现了一个不太好的地方。光猫默认居然是一个内网地址!内网地址,能相信吗? 感觉深圳电信默认将光纤网用户划入一个大局域网。平时如果仅仅是上网就没有任何影响,但是像我这样需要和外部客户互相通信的情况,就会受影响,客户无法访问我的网络资源。以前ADSL没有这个问题,都是默认外网地址。

我个人感觉是因为电信的IPv4地址池可能比较紧张,因此采用了局域网方式组网。可以理解这是不得不为的困窘措施,未来如果广泛部署IPv6,就不会有地址问题。考虑到ADSL能给公网地址,难道我要退回去吗?实在太让人纠结了。 思考再三,于是拨打 10000 号电话进行投诉,说明了目前的情况以及需要外网地址的原因。

客服小妹的服务态度非常之好,转到相关技术处理人员后,非常干脆地就修改了配置,重启光猫之后获得了外网地址。给深圳电信的客服人员点赞!

投诉2: outlook系列服务器拒接邮件

这实际上是老问题了,有我们本身配置的问题,也有SPF设置方面的问题。修改了这些配置后,公司服务器向Gmail、Yahoo等邮箱发送email都没有遇到问题,唯独向outlook系列(包括hotmail等)服务器发邮件时,总是被拒接,原因也很简单,直接将我们的IP地址屏蔽了,信息如下:

Diagnostic-Code: smtp; 550 5.7.1 Unfortunately, messages from [xxx.xxx.xxx.xxx] weren't sent. Please contact your Internet service provider since part of their network is on our block list (AS3140).

我们是良民,没干什么坏事啊,怎么就拉黑了呢? 一怒之下,找到以下地址递交资料进行投诉:
https://support.microsoft.com/en-us/getsupport?oaspworkflow=start_1.0.0.0&wfname=capsub&productkey=edfsmsbl3&ccsid=636554612673022658

很快收到了回复,outlook确认了相关信息,并承诺48小时之内将我们从名单中删除。

今天天气晴朗,阳光明媚!

清除Putty主机指纹

清除Putty主机指纹

最近修改了主机上的公钥,结果导致Putty无法登录到主机,仔细检查后发现Putty还在使用原有的主机指纹,因此删除原有的记录即可(Putty似乎可以改进一下,重新提示用户是否保存或者修改,不是更合理吗?)。

删除方法比较简单,直接打开注册表,找到以下目录:

HKEY_CURRENT_USER\Software\SimonTatham\PuTTY\SshHostKeys

然后删除对应的主机记录即可。

企业VPN设置的注意事项

企业VPN设置的注意事项

公司建立了自己的VPN网络用于内部系统接入和管理,出于成本和部署简化的考虑,采用了相对比较简单的PPTP-VPN方案。服务端采用Debian 8系统,客户端就直接是windows和Linux自带的PPTP拨号软件。由于是私有的网络,因此在配置上可以尽量简化、统一,去掉一些没有必要的协商环节。

Debian服务端配置

服务端只保留一种协议(即MS-CHAP v2),同时强制要求MPPE-128bit加密(Microsoft Point-to-Point Encryption-微软点对点加密术)。在“/etc/ppp/pptpd-options”文件中,设置以下值即可:

refuse-pap
refuse-chap
refuse-mschap

require-mschap-v2
require-mppe-128

Windows客户端配置

以Windows自带的拨号网络配置为例。直接指定为“PPTP”的VPN类型,要求数据必须加密,同时协议部分只保留MS-CHAP v2即可。如下图所示。

Windows VPN拨号设置
Windows VPN 拨号设置

Linux客户端配置

与Windows客户端的配置基本一致,只是需要单独指示出MPPE-128bit加密方式,如下图所示。

Linux VPN 客户端配置
Linux VPN 客户端配置
设置SPF记录

设置SPF记录

最近发现的一个问题,如果邮件没有 SPF 记录,某些邮件服务器可能会过滤为垃圾邮件甚至直接拉入黑名单,比如 outlook 的服务器。相对而言,gmail 服务器要聪明很多,似乎在没有 SPF 记录的情况下,会反查MX记录及IP地址并进行匹配检验。

SPF的全称是:Sender Policy Framework, 由RFC7208文档定义详细规格。具体细节就不介绍了,基本意思就是让接收方的邮件服务器对发送者的域名和IP地址等进行检查。

在Linode的DNS管理中,仅仅添加MX记录是不够的,需要单独添加一条TXT记录,如图所示:

添加SPF的DNS记录
添加SPF的DNS记录

根据RFC7208的定义,可以进行很细致的控制。如果想省事,就如上图一样,设置一条”-all”的记录即可:

v=spf1 mx -all
Bootstrap 4!

Bootstrap 4!

最近真是好消息不断,经过多年的开发,bootstrap v4终于发布了,可喜可贺!

我们一直在关注这个版本,其中一些特性非常有吸引力,值得为此升级。我们的产品管理系统、网站等各方面都应用了bootstrap。悲剧性的事情是bootstrap当年推出v3后,过早地放弃了对v2的支持,同时变动实在太大,导致我们目前同时使用了v2和v3两个版本,一直困扰我们的维护工作。

而随着v4版本的推出,我们有机会统一内部的使用情况,将网站、软件产品管理系统的bootstrap都升级到v4的版本。当然,工作量估计非常巨大。

关于V4版本发布的细节,请参考以下文章:

http://blog.getbootstrap.com/2018/01/18/bootstrap-4/

DigitalOcean 免费升级

DigitalOcean 免费升级

早上开始工作时,收到了DO的邮件,非常惊喜。DO更新了各项套餐,增加了一些新套餐,也对老套餐进行了免费升级,真是良心企业。比如原有的“$10/mo”套餐,内存从1G升级到2G,存储从30G SSD升级为50G SSD。

不过默认情况下不会自动升级,需要手工对droplet进行resize。另外需要注意的是,可以只升级CPU和Memory,如果disk也同时升级到更高容量的话,则不支持降级回原有容量。

resize操作非常简单,请参考官方文档:

https://www.digitalocean.com/community/tutorials/how-to-resize-your-droplets-on-digitalocean

联通4G

联通4G

最近办了个联通“3元不限量”套餐的4G卡,主要是觉得“不限量套餐”用起来放心,不用去担心流量问题。这个套餐基本费用是每月5元月租,每天3元流量费用(不使用不付费,网速4G,不限量),接电话不要钱,打电话也非常便宜,我很满意。老实说,如果不是号码迁移成本太高太繁琐,我都想注销原来的移动号码。

今年家里宽带有些慢。蛇口电信太操蛋了,不给ADSL用户升级(以前是加钱升级,现在加钱也不行),强迫要升级到百兆光纤,当然费用也大大升级,我觉得不能忍,因此蛇口电信把家里的宽带退回到十几年前的状态,即1Mbps。蛇口真是个奇葩一样的地方,垄断居然在改革开放的发源地明目张胆。水、电、有线电视、电信都只有招商一家选择,其他企业都进不来。我去问了联通、移动的宽带,一听到蛇口的地址,都只摇头,无法接入。

然而技术的进步还是让人惊喜。昨天忽然想到手机可以做wifi热点,查了联通的说明(似乎没有禁止手机热点),于是测试一下网速,请看下图:

联通4G网速
联通4G网速

很惊喜!很意外!我要为联通4G打call!

家里的宽带没降速之前,上传速度也不过区区500Kbps,下载速度也仅仅12Mbps。蛇口电信,你让人说你什么好?忍了十几年,明年绝对不再续约了!

网站启用IPv6应注意的事项

网站启用IPv6应注意的事项

网站支持IPv6的步骤比较简单,基本上目前常用的软件,例如Apache、Postfix、dovecot等,都已经支持IPv4和IPv6双栈,只要服务商的设备提供IPv4和IPv6连接,这些软件本身无需为IPv6做特别配置。

需要注意的是服务商处的DNS配置。如果DNS配置不全面,某些服务器在鉴权时会拒绝接受来自IPv6地址的消息。例如gmail服务器在收到 email 消息时,会鉴定DNS和IPv6地址是否匹配,如果不匹配,则视为垃圾邮件直接拒绝,可以看到如下错误警示:

Our system has detected that this 550-5.7.1 message does not meet IPv6 sending guidelines regarding PTR records 550-5.7.1 and authentication.

下面以Linode中的配置做简单介绍(对DO而言也基本如此)。假设IPv4地址是“1.2.3.4”,IPv6地址是“1:2:3:4::5:6”,域名是“demo.com”。

Reverse DNS

Linode 为每个节点分配的DNS名默认是类似的成员名,例如“1234.members.linode.com”。在 Linux 系统 ping 域名”demo.com”时,首先显示的是”1234.members.linode.com”,然后才是跳转到”demo.com”。某些服务应用会认为是PTR错误。在linode中需要设置“ reverse DNS”记录,将节点的DNS名直接指定为“demo.com”。

具体措施请参考linode的在线文档

如果同时支持IPv4和IPv6,上述文档里指导的操作需要单独操作两次,分别指定IPv4地址和IPv6地址。

MX 记录

另外一个需要注意的是 MX 记录,即邮件服务器记录。如果我们将 MX 记录设置为“mail.demo.com”,那么在DNS的A和AAAA记录中,要分别对“mail.demo.com”设置IPv4和IPv6地址,例如以下DNS记录结果:

mail.demo.com. 300 IN AAAA 1:2:3:4::5:6
mail.demo.com. 300 IN A 1.2.3.4

仅仅指定一个地址,对端有可能以域名和地址不匹配为由拒绝消息请求。

TTL

Linode 默认的TTL是3600秒,建议修改为300秒。TTL 太长太短都不好,要根据自己的实际情况调整,以方便自己网络部署、同时又不增加太多网络负担为准则。