Irka-kefirka

Согласен 100 процентов. Сколько бы подписан сертификат не был, но его валидность определяется 3 факторами. 1) Сроком истечения. 2) Кошерным удостоверяющим центром, выдавшим сертификат. 3) Собственно адресом ресурса, который этот сертификат подтверждает. И если первые 2 пункта мы спокойно реализуем, то 3-й... Так что ставьте самоподписанный, и рассказывайте абонам что не стоит боятся и добавлять в исключения сомнительный траф))))) Ну а в случае с HSTS так ваще, наверное, никакой сертификат не поможет   А кстати, никто не в курсе, насколько надо быть крутым, чтобы юзать HSTS? Я имею ввиду, чтоб разрабы браузеров включали тебя в свой код для перехода в https при первом подключении? Это от количества трафа через твой ресурс зависит? Или надо быть супер-пупер интернет-банком? Прост интересуюсь для расширения кругозора.

Тема не горящая, просто глюк webmin. Кто-то может уже видел что-то подобное? (см. скриншот)

Вот полный лог что происходит в нетапе в момент смены тарифа. Смена происходит на адресе 10.0.0.105 https://yadi.sk/d/YMNeAhol3GjWHg

Может урфа-клиент валится ? Бывало... Там-же клиент-сервер, клиент прётся к биллингу, и вдрюг ему не удалось попасть, ipfw или еще чего с маршрутизацией помешало... Ну и рфв логи достаточны, на стороне клиента. урфа не используется

Сегодня ночью сделаю подробные логи, пока все на старом биллинге крутится

дебаг прицепил, а разве нетап ведет rfw-debug.log? В смысле палится? Ну поставил новую я имел в виду debug.txt

Вообщем имеем FreeBSD 9.2, шейпим с помощью ipfw (в таблице 1 адреса которым шейпится входящая скорость, в таблице 2 исходящая). Биллинг версии 5.3.003. Поставил фрю 10.3 64 бит, биллинг до 5.3.004. Конфиги не менял, подсунул старые, при запуске ядро корректно заполняет таблицы, но при попытке сменить тариф у кого-нить происходит отвал биллинга (перестает отвечать на запросы). В дебаге старого биллинга нашел такую строчку при попытке смены тарифа выполняется комманды RemoteFirewallManager: fw@127.0.0.1: executing rule [table 1 delete 10.0.0.108/32] RemoteFirewallManager: fw@127.0.0.1: executing rule [table 2 delete 10.0.0.108/32] ... RemoteFirewallManager: fw@127.0.0.1: executing rule [table 1 add 10.0.0.108/32 18] RemoteFirewallManager: fw@127.0.0.1: executing rule [table 2 add 10.0.0.108/32 18] То есть корректно происходит удаление и добавление адреса с новыми параметрами В логах нового биллинга такого нет. Но он же корректно создает таблицы при старте, и при событии "Включение/Выключение интернета" корректно удаляет и добавляет адреса в таблице. Есть у кого какие мысли?

Спасибо. вариант с ZapretService отпадает сам собой

Вообщем хочу настроить ZapretService bgpd.conf ! hostname zapret password access log file /var/log/quagga/bgp.log ! router bgp 65000 bgp router-id 10.0.0.3 redistribute kernel route-map bgp network 10.0.0.0/8 neighbor 10.0.0.2 remote-as 65000 neighbor 10.0.0.2 next-hop-self ! ip prefix-list bgp seq 99 deny 0.0.0.0/0 le 8 ip prefix-list bgp seq 100 permit 0.0.0.0/0 le 32 ! route-map bgp permit 1 match ip address prefix-list bgp ! line vty ! Настройки BGP на кутеке router bgp 65000 bgp router-id 10.0.0.2 network 10.0.0.0/8 neighbor 10.0.0.3 remote-as 65000 neighbor 10.0.0.3 next-hop-self ! мне спецы с ZapretService сказали что этого будет достаточно для получения маршрутов В дебаге кутека постоянно вот такая вещь которая меня смущает. не совсем пойму о чем речь %Jan 03 07:22:53 2006 BGP: 10.0.0.3-Outgoing [DECODE] NLRI: Invalid Unicast NLRI(0.0.0.0/32) %Jan 03 07:22:53 2006 BGP: 10.0.0.3-Outgoing [FSM] State: Established Event: 28 %Jan 03 07:22:53 2006 BGP: 10.0.0.3-Outgoing [ENCODE] Msg-Hdr: Type 3 %Jan 03 07:22:53 2006 BGP: %BGP-3-NOTIFICATION: sending to 10.0.0.3 3/10 (UPDATE Message Error/Invalid Network Field.) 0 data-bytes %Jan 03 07:22:53 2006 BGP: 10.0.0.3-Outgoing [FSM] State Change: Established(6)->Idle(1) полный дебаг bgp-сессии с кутека в аттаче. Ваши предложения, спецы? debug.txt

Здесь всё просто - смотрим файлы на флешке, удаляем конфигурационный файл, в моём случае startup.cfg, и перезагружаемся.Профит. В моем случае Boot Menu запаролено. Можно ли как-ниб. сбросить пароль для входа в Boot Menu? Я уже общалсе с теххподдержкой кутеков по этом поводу когда бутменю запоролено. Они сказали - в данном случае никак

Наверное у вышестоящего, я ради эксперимента полностью всю сеть отключал вместе с брасом, просто роутером коннектился напрямую к вышестоящему и проблема не решалась. Перед праздником связывался кстати с Ростиком, они клялись что на интерфейсе с нами у них MTU 1500.

Помогло, спасибо. Есть предположения почему раньше такого не было? MTU у всех по умолчанию был 1500 и все работало? Я так понимаю надо копать в сторону вышестоящего провайдера? И можно ли решить проблему не меняя настройки роутеров у абонентов по всей сети?

У всех абонов в сети проблема с вифи? Врядли

Что имеем. Имеем сеть локальную, которая натится через пул белых адресов. Имеем свою AS с BGP сессией с Ростиком. При попытке зайти в play market с любого мобильного устройства выдает "Время ожидания истекло" (см. скриншот). Грешил на наши днс, но попробовав гугловские проблема не решилась. Грешил на нашу AS, но и эта причина отпала (отключил всю нашу подсеть, соединился напрямую через точку терминации с Ростиком без BGP сессии, вообще отключил все наше оборудование от соединения с ростелекомом, просто роутер вай-фай и все, тоже самое, ошибка подключения). Через Wi-Fi упорно не хочет соединяться с Play Market. У других операторов в нашем городе такой проблемы нет. Какие будут предложения?

Я аж прям залился горючими слезами...Как раз тока тока закончил решать ВСЕ вышеперечисленные вопросы. А ведь уже 3 года работаем.

Угу. Пробовал. Воть хоть убейся. В конфиг вручную записал ему новое место, все равно при инициализации кеша создает его в дефолтном каталоге. И даже параметры не дает поменять

Не работает. Прав ему хватает проверил сто раз

Неожидано кальмар стал дичайше тупить. Без объяснения причин. Я его использую для фильтрации РКН. Сема FreeBSD+ipfw+squid. Cache.log забит такими вот сообщениями "2016/10/20 14:33:10 kid1| FD 28, 10.0.0.1 [stopped, reason:Listener socket closed job1]: (53) Software caused connection abort". Кто нибудь сталкивался уже с дикими тормозами сквида? И еще вопрос дополнительный. Squid не дает создать кэш нигде кроме как в папке по умолчанию /var/squid/cache. Это нормально или у меня лыжи не едут?

Выключите STP там, где оно не нужно. Можете сегментировать сеть. D-link, например, не рекомендовал больше то ли 8 то ли 10 в сегменте с STP держать. Теоретически оно сейчас нигде не нужно. Колец пока нет (они планируются в дальнейшем). Выключил везде STP, сеть больше не колбасит от перестроения. Знатоки STP поясните почему такая колбаса была? Ведь корневой мост был указан. По идее при включении коммутатора он должен же от соседей получить адрес корня и не парится и не колбасить сеть. Или я чего-то не понимаю? Повторюсь, сильно не бейте, я в этом не особо силен.

Вот то и оно что настроены приоритеты. На свичах доступа приоритет по умолчанию 32768, на свиче агрегации 16384. так что я думаю, что особо толку нет его в 0 менять...Может еще какие предложения будут?

Спасибо за совет. Сегодня попробую. Тему пока не закрываю, вдруг не поможет...

Коммутаторов уже около 90. Древовидная топология, избыточных связей нет, но в будущем планируется закольцовывать отдельные участки

Я тоже так думаю про дерево. Оборудование QTECH 2800, а как сделать так чтоб вся сеть не клалась при этом? В STP я тож не силен.

С недавних пор стала проявляться вещь, что при добавлении нового коммутатора доступа начинаются жуткие завихрения в сети (растут пинги, трафик в сети резко возрастает), а потом через несколько минут все успокаивалось. В некоторых случаях, после подключения коммутатора, сеть ваще падала. В какую сторону начать копать. Просьба сильно не бить, в железках особо пока еще не разбираюсь

Точно через один, ведь он у нас один и есть. Заглушка пока стандартная кальмаровская