DimaM Опубликовано 11 сентября, 2017 · Жалоба В 08.09.2017 в 13:36, Agent2006 сказал: Имхо, NAT 1:1 имел бы больший смысл в следующей реализации: 1. Под NAT 1:1 выделяется пул белых IP-адресов. 2. Конкретный серый IP натится в конкретный белый IP - такая своеобразная статика только для тех абонентов, кому она нужна. 3. Было бы очень здорово, если бы такую привязку можно было осуществлять через RADIUS. п.1 вы же сами у себя этот пул выделяете п.2 ограничение есть, но imho некритичное, если хотите выдать конкретный белый, просто выдавайте абоненту серый адрес не какой попало, ему же все равно какой у него будет серый, для скат-6 это упрощается до чет/нечет п.3 можно конечно В 09.09.2017 в 00:12, Urs_ak сказал: Если стоит ENTRY в разрыв. Что нужно чтобы получить/потестировать функционал BRAS ? Попросить Complete лицензию на тест, можно тестировать не на всех абонентах, а выделить 1-2, остальные будут тестированием не затронуты Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Agent2006 Опубликовано 11 сентября, 2017 · Жалоба 5 часов назад, DimaM сказал: п.2 ограничение есть, но imho некритичное, если хотите выдать конкретный белый, просто выдавайте абоненту серый адрес не какой попало, ему же все равно какой у него будет серый, для скат-6 это упрощается до чет/нечет К сожалению, не всё так просто. У нас исторически сложилось, что серые адреса выдавались абонентам последовательно. Поэтому для того, чтобы сейчас абоненту выдать "правильный" серый адрес (который, как я понимаю, должен подойти под "неблокирующий алгоритм диспетчеризации в DPI"), этот серый IP нужно забрать у другого абонента. Честно говоря, такой алгоритм выдачи "статики" не выглядит простым и прозрачным (в данный момент используем пачку SE100, на которых в конфигах руками прописываем статику и на абонента навешивается политика nat 1:1). Тем более, что, как я понял, в случае со СКАТ-10 и выше, алгоритм получится сложнее чем чет/нечет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DimaM Опубликовано 11 сентября, 2017 · Жалоба 12 минут назад, Agent2006 сказал: К сожалению, не всё так просто. В это мире все обычно непросто :) В любом случае все это временные схемы, т.к. когда захотите выдавать своим абонентам IPv6, вопрос с маршрутизацией белых адресов все равно придется решать. PS у нас уже запрашивают поддержку NAT64, видимо хотят забыть про "проблемы" с IPv4 вовсе Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Agent2006 Опубликовано 11 сентября, 2017 · Жалоба 35 минут назад, DimaM сказал: В любом случае все это временные схемы, т.к. когда захотите выдавать своим абонентам IPv6, вопрос с маршрутизацией белых адресов все равно придется решать. Будем решать проблемы по мере их поступления. :) В данный момент не стоит задача выдать абонентам IPv6. Более актуально было бы избавиться от пачки SE100. Была надежда обойтись малой кровью перейдя на СКАТ - ждали только NAT 1:1. Но, видно, не судьба... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
demon19 Опубликовано 26 сентября, 2017 · Жалоба подскажите, как обновить этот файлик: -rw-r--r--. 1 root root 3292938 Фев 21 2017 asnum.bin есть новые AS и они появились после февраля этого года... В городской трафик не попадает одна сетка Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sacrament Опубликовано 26 сентября, 2017 · Жалоба Подскажите почему СКАТ может не перенаправлять на страницу блокировки при своем списке блокировок. Вроде как в логе вижу что были заблокированные url, но редиректа на страничку не происходит. black_list_redirect=http://мойдомен/access/blockpage.html custom_url_black_list=http://мойдомен/access/url_list.dic Список также пробовал и вручную создать и скопировать в /var/lib/dpi/blcustom.bin Не работает хоть тресни. Скат стоит в разрыв. Техподдержка тупо забила, уже 5 дней висит кейс и 4 дня с прошлого ответа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 26 сентября, 2017 · Жалоба У меня перенаправляет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 26 сентября, 2017 · Жалоба 2 часа назад, dvk1927 сказал: подскажите, как обновить этот файлик: -rw-r--r--. 1 root root 3292938 Фев 21 2017 asnum.bin есть новые AS и они появились после февраля этого года... В городской трафик не попадает одна сетка Тут читайте. https://vasexperts.ru/wiki/doku.php?id=statistics_asn&s[]=as2bin Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DimaM Опубликовано 28 сентября, 2017 · Жалоба В 26.09.2017 в 05:42, Sacrament сказал: Список также пробовал и вручную создать и скопировать в /var/lib/dpi/blcustom.bin Не работает хоть тресни. А сконвертировать его не забыли? Не слышал, чтобы у кого-то не работало. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
demon19 Опубликовано 29 сентября, 2017 (изменено) · Жалоба В 26.09.2017 в 11:36, snvoronkov сказал: Тут читайте. https://vasexperts.ru/wiki/doku.php?id=statistics_asn&s[]=as2bin обновлялся за год он не раз, автономку сети выделили недавно, и ип соответсвено тоже недавно были к ней привязаны. видимо придется через локал ее добавить. потому как обновление самого СКАТа не приводит к обновлению этого файла... Изменено 29 сентября, 2017 пользователем dvk1927 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 29 сентября, 2017 · Жалоба 2 часа назад, dvk1927 сказал: видимо придется через локал ее добавить. потому как обновление самого СКАТа не приводит к обновлению этого файла... Там много еще чего не обновляется вообще. Или обновляется крайне редко. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mechanic Опубликовано 27 октября, 2017 · Жалоба скат запущен на сервере с сетевушками SNR-X520 технологически система стояла с медными sfp 1G, сейчас сервер переместили в другое место и потребовалось поставить оптические sfp 1G удивительным образом с этими sfp система не поднимает dna0,dna1 интерфейсы, в логах есть немного сообщений Oct 27 18:05:09 skat NetworkManager[1968]: ifcfg-rh: Acquired D-Bus service com.redhat.ifcfgrh1 Oct 27 18:05:09 skat NetworkManager[1968]: <info> Loaded plugin ifcfg-rh: (c) 2007 - 2008 Red Hat, Inc. To report bugs please use the NetworkManager mailing list. Oct 27 18:05:09 skat NetworkManager[1968]: ifcfg-rh: parsing /etc/sysconfig/network-scripts/ifcfg-eth0 ... Oct 27 18:05:09 skat NetworkManager[1968]: ifcfg-rh: read connection 'System eth0' Oct 27 18:05:09 skat NetworkManager[1968]: ifcfg-rh: parsing /etc/sysconfig/network-scripts/ifcfg-dna1 ... Oct 27 18:05:09 skat NetworkManager[1968]: ifcfg-rh: warning: NM_CONTROLLED was false but HWADDR or SUBCHANNELS was missing; device will be managed Oct 27 18:05:09 skat NetworkManager[1968]: ifcfg-rh: error: addresses Oct 27 18:05:09 skat NetworkManager[1968]: ifcfg-rh: parsing /etc/sysconfig/network-scripts/ifcfg-lo ... Oct 27 18:05:09 skat NetworkManager[1968]: ifcfg-rh: parsing /etc/sysconfig/network-scripts/ifcfg-eth2 ... Oct 27 18:05:09 skat NetworkManager[1968]: ifcfg-rh: read connection 'System eth2' Oct 27 18:05:09 skat NetworkManager[1968]: ifcfg-rh: parsing /etc/sysconfig/network-scripts/ifcfg-eth1 ... Oct 27 18:05:09 skat NetworkManager[1968]: ifcfg-rh: read connection 'System eth1' Oct 27 18:05:09 skat NetworkManager[1968]: ifcfg-rh: parsing /etc/sysconfig/network-scripts/ifcfg-dna0 ... Oct 27 18:05:09 skat NetworkManager[1968]: ifcfg-rh: warning: NM_CONTROLLED was false but HWADDR or SUBCHANNELS was missing; device will be managed Oct 27 18:05:09 skat NetworkManager[1968]: ifcfg-rh: error: addresses Oct 27 18:05:09 skat NetworkManager[1968]: ifcfg-rh: parsing /etc/sysconfig/network-scripts/ifcfg-eth3 ... Oct 27 18:05:09 skat NetworkManager[1968]: ifcfg-rh: read connection 'System eth3' если вернуть медные Sfp все грузится как пофиксить ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sacrament Опубликовано 28 октября, 2017 · Жалоба 13 часов назад, Mechanic сказал: скат запущен на сервере с сетевушками SNR-X520 технологически система стояла с медными sfp 1G, сейчас сервер переместили в другое место и потребовалось поставить оптические sfp 1G удивительным образом с этими sfp система не поднимает dna0,dna1 интерфейсы, в логах есть немного сообщений Oct 27 18:05:09 skat NetworkManager[1968]: ifcfg-rh: Acquired D-Bus service com.redhat.ifcfgrh1 Oct 27 18:05:09 skat NetworkManager[1968]: <info> Loaded plugin ifcfg-rh: (c) 2007 - 2008 Red Hat, Inc. To report bugs please use the NetworkManager mailing list. Oct 27 18:05:09 skat NetworkManager[1968]: ifcfg-rh: parsing /etc/sysconfig/network-scripts/ifcfg-eth0 ... Oct 27 18:05:09 skat NetworkManager[1968]: ifcfg-rh: read connection 'System eth0' Oct 27 18:05:09 skat NetworkManager[1968]: ifcfg-rh: parsing /etc/sysconfig/network-scripts/ifcfg-dna1 ... Oct 27 18:05:09 skat NetworkManager[1968]: ifcfg-rh: warning: NM_CONTROLLED was false but HWADDR or SUBCHANNELS was missing; device will be managed Oct 27 18:05:09 skat NetworkManager[1968]: ifcfg-rh: error: addresses Oct 27 18:05:09 skat NetworkManager[1968]: ifcfg-rh: parsing /etc/sysconfig/network-scripts/ifcfg-lo ... Oct 27 18:05:09 skat NetworkManager[1968]: ifcfg-rh: parsing /etc/sysconfig/network-scripts/ifcfg-eth2 ... Oct 27 18:05:09 skat NetworkManager[1968]: ifcfg-rh: read connection 'System eth2' Oct 27 18:05:09 skat NetworkManager[1968]: ifcfg-rh: parsing /etc/sysconfig/network-scripts/ifcfg-eth1 ... Oct 27 18:05:09 skat NetworkManager[1968]: ifcfg-rh: read connection 'System eth1' Oct 27 18:05:09 skat NetworkManager[1968]: ifcfg-rh: parsing /etc/sysconfig/network-scripts/ifcfg-dna0 ... Oct 27 18:05:09 skat NetworkManager[1968]: ifcfg-rh: warning: NM_CONTROLLED was false but HWADDR or SUBCHANNELS was missing; device will be managed Oct 27 18:05:09 skat NetworkManager[1968]: ifcfg-rh: error: addresses Oct 27 18:05:09 skat NetworkManager[1968]: ifcfg-rh: parsing /etc/sysconfig/network-scripts/ifcfg-eth3 ... Oct 27 18:05:09 skat NetworkManager[1968]: ifcfg-rh: read connection 'System eth3' если вернуть медные Sfp все грузится как пофиксить ? Если не ошибаюсь - только через техпод. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
uk2558 Опубликовано 31 октября, 2017 · Жалоба Так-с, господа, где, если не тут - как будет / не будет блокировать СКАТ неправославный VPN ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 31 октября, 2017 · Жалоба 19 минут назад, uk2558 сказал: Так-с, господа, где, если не тут - как будет / не будет блокировать СКАТ неправославный VPN ? gre или что-то еще ? Белые списки верноподданных скат вполне сможет обработать. Openvpn тоже вполне сигнатуру имеет... Решение-то законодательно простое - хотишь впн в хз куда - ставь себе ревизор. Решение-то о блокировке запрещенной информации на территории РФ. Кто караулит? - ревизор. А так - хоть завпнься. И скат тут не при делах. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
uk2558 Опубликовано 31 октября, 2017 · Жалоба Согласно пояснением РКН , оператор обязан с 1.11 блокировать а) ресурсы , которые предоставляют VPN или услуги анонимазейра б) сами туннели о_0 !? Или я что то неправильно понял ? Допустим только вариант а), вопрос тогда к производителям СКАТ , будет ли осуществляться блокировка данных ресурсов ( по ip ?!) ? Это не новый функционал за Овер 100500 юаней? Или тут механизм как у реестра запрещённых ? Про вариант б) даже думать не хочу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 31 октября, 2017 · Жалоба 14 минут назад, uk2558 сказал: Согласно пояснением РКН , оператор обязан с 1.11 блокировать а) ресурсы , которые предоставляют VPN или услуги анонимазейра б) сами туннели о_0 !? Или я что то неправильно понял ? Допустим только вариант а), вопрос тогда к производителям СКАТ , будет ли осуществляться блокировка данных ресурсов ( по ip ?!) ? Это не новый функционал за Овер 100500 юаней? Или тут механизм как у реестра запрещённых ? Про вариант б) даже думать не хочу. Будет в реестре - посмотрим. Почти любой ДПИ могёт по протоколам блочить, особенно Скат. Сначала запретите в реестре, затем посмотрим, как это будет выглядеть. Причем РКН должен не обьяснять, а помещать в реестр. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimic Опубликовано 20 декабря, 2017 · Жалоба Коллеги, подскажите по поводу политики по-умолчанию. На данный момент ни L2, ни L3 BRAS не ввели, то есть авторизации абонентов никакой нет. Все "неизвестные" ip пролетают насквозь, соответственно. Есть ли способ по-умолчанию их блокировать без добавления известных используемых собственных сетей в профиль блокировки? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bigmazy Опубликовано 21 декабря, 2017 · Жалоба В 20.12.2017 в 07:38, Dimic сказал: Коллеги, подскажите по поводу политики по-умолчанию. На данный момент ни L2, ни L3 BRAS не ввели, то есть авторизации абонентов никакой нет. Все "неизвестные" ip пролетают насквозь, соответственно. Есть ли способ по-умолчанию их блокировать без добавления известных используемых собственных сетей в профиль блокировки? через CoA + default profile в котором прописываете блокировку 6 услуга и ограничение полосы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimic Опубликовано 22 декабря, 2017 · Жалоба 5 часов назад, Bigmazy сказал: через CoA + default profile в котором прописываете блокировку 6 услуга и ограничение полосы. Спасибо, но я написал, что пока компонент BRAS не задействован. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mechanic Опубликовано 25 января, 2018 · Жалоба dipui через nginx кто-нить прикручивал ? вроде все прописал, запустил, но кроме скрина о настройке оборудования нечего нет да и тот нормально не конфигурится- не видит ipfixreceiver Отсутствует соединение или доступ к файлу конфигурации.[id=1] Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MrNv Опубликовано 8 февраля, 2018 · Жалоба кто знает в CG-NAT по умолчанию чему равен lifetime_flow ? и в логах как расшифровать 2 и 3 значение [ERROR ][000688230593730275][042DB7AE5A94858C] nat : tcp : too many connections Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
start200 Опубликовано 13 марта, 2018 · Жалоба А кто нибудь вообще использует по существу опцию CG-NAT ? Который день пытаюсь скофигурировать данный сервис в оболочке СКАТа(версия комплит, FastDPI Ctrl 7.4), но увы не получается. То ли руки не оттуда растут, то ли логика сыровата еще у них. С тех поддержкой который день вялотекущем режиме переписываюсь, но результатов нет. Из других источников понял, что на сети должен быть реализован двойной nat, первый в серой адресации, а дальше уже на СКАТ. В чем в такой связке смысл, пока не понимаю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DimaM Опубликовано 16 марта, 2018 · Жалоба В 14.03.2018 в 02:34, start200 сказал: А кто нибудь вообще использует по существу опцию CG-NAT ? Не меньше 100 операторов Проверьте что у вас при подключении вход/выход на платформе не перепутаны, in_dev должен смотреть в сторону абонентов Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iMPoSsibLe_iT Опубликовано 21 марта, 2018 · Жалоба Коллеги,а кто-нить знает как с ними можно связаться дабы узнать подробности? Зашёл на их сайт vasexperts.ru. Там указан номер (звонил по коду 812). Позвонил, попытался позадавать вопросы(в частности о стоимости поддержки),а мне девушка говорит что представляет компанию ИТ-Град и СКАТ DPI они не занимаются. Честно признаться я слегка под впечатлением. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...