dengus

Error 500

Все равно не понимаю, надо или не надо слать им свои адреса. На данный момент у меня все туннели работают. А ведь есть у меня и динамические адреса за натами, их же не напишешь. В интернете про это вообще никто не пишет, кроме статейки на хабре с кучей бесполезных коментов.

Оператор связи прислал информацию о законодательных ограничениях в отношении информационно-телекоммуникационных сетей и информационных ресурсов (VPN-сервисы и анонимайзеры) со ссылкой https://digital.gov.ru/ru/events/47846/ Статья от 17 октября 2023 года, в которой указано, что Да, мы, как и другие используют туннели для соединения офисов между городами. В прошлом году я сталкивался с тем, что множество моих туннелей L2TP с IPSEC попросту не подключались. Запросы в ТП ОПСОСОВ (Билайн, Мегафон) не дал ответа, так как с их стороны блокировок не было. Отключения были на оборудовании, подключенном к мобильным сетям: МТС, Билайн, Мегафон и стационарном Ростелеком. С тех пор перешел на другие туннели, либо отключил IPSEC и проблем не возникает. Но помимо туннелей имеем еще и собственный OpenVPN сервер для подключения удаленных сотрудников. Тьфу три раза работает без нареканий. Опсос, который прислал инфу говорит мы не причем, раз мы не предоставляем услуги каналов связи либо VPN, то идите туда (по ссылке). Другой опсос говорит, что вас там вообще не примут, так как вы как юрлицо для них никто, а они только от операторов связи принимают заявки. Отсюда вопрос - надо ли вообще заморачиваться если все и так работает? Или ждать возможного отключения и срочно искать другие способы подключения? Спасибо

1. неизвестно, доступа к камерам нет 2. неизвестно, логопасы админов известны мне и прову. Одна камера умеет отображать текущие авторизации, но только по web, rtsp и onvif - нет) 3. техническая возможность со слов монтажников есть, в чердачном шкафу место есть, но реализовать нельзя. Предлагал поставить микротик в качестве шлюза для обеих камер - отказали. 4. инжекторы, какие неизвестно 5. абонентский коммутатор доступа, к нему квартиры, наши две камеры и еще наши два офиса. перепробовал все что можно и кодеки h264, h265 и потоки от 1 мегабита до 6 мегабит и разрешение от 720р до максимального и потоки основной/дополнительный перегрев думаю исключается, так как отвалы стабильно и летом и зимой... хотя сегодня минус 20 с лишним и камеры еще не отваливались, а вчера было минус 5-10 и раз десять перезагружал...

Это реализуется с помощью KVM, но вы получите одну мышь/клавиатуру и один монитор. И опять же KVM подключаются к серверам/регикам собственными кабелями. Придется ставить в непосредственной близости со стойкой, а переключать, бегая к ней ) Лучше и дешевле поставить 6 мышей. Подписать каждую мышь и найти взглядом на столе нужную и взять в руки быстрее и удобнее, а если мыши прямо под каждым монитором, то вообще удобно. Хотя возможно еще поставить комп с монитором и подключить ко всем регикам и дать возможность смотреть любые камеры. Но тут надо думать о лицензиях, антивирусе, запрете косынки и интернетов )) Хотя даже 6 мышей с удлинителями USB выйдут не дешево. USB удлинитель ATEN UCE260 / UCE260-AT-G под 12 тысяч стоит )) А таких надо 6 штук Ну или если стойка с региками в одном помещении с постом охраны, то беспроводными можно. Но все равно выбирать надо, не все мыши на таком расстоянии работают нормально. И Вы не сказали регики в стойке скольки-канальные? Может охране проще поставить 32 канальный регик без диска и без POE и подключить все основные тревожные камеры, которыми им дать доступ смотреть детальнее? И всего делов - будет еще один моник и одна мышь.

Пров поставил нам пару камер Topvision IPC20SF300 для контроля улицы, к каждой подведен медный интернет 20мегабит (да, дофига, но меньше нет) с публичными IP у каждой камеры без натов и шлюзов. У камер с завидной регулярностью отваливается трансляция видео. Камеры с разными прошивками и даже морда веб-интерфейса разная. Одну камеру пров перепрошивал, потом даже заменил на такую-же новую. С камер забираю потоки только по RTSP. И только один поток. Через интернет от камеры до регистратора порядка 12 хопов, задержка 35мс. Камеры в одном городе, мы в другом. Провайдер клянется и божится, что у него такие камеры сотнями стоят и работают без нареканий. У меня же эта камеры могут то ни разу в день, то могут по десятку раз в день перестать отдавать видеопоток. Ни Onvif, ни RTSP, причем звук (там есть микрофоны) отдается, даже когда видео отваливается. Одна камера при этом бывает искажает видеопоток: может отзеркалить/исказить цвета/покрыться полосами. Приходится долго и мучительно (веб-интерфейс у них дико тормозит) лезть и ребутить камеру. Пробовал: менять регистраторы: hikvision, dahua, zoneminder менять разрешение/поток способ: ONVIF (оба потока), либо RTSP (основной или дополнительный) стандартные порты web и rtsp на другие город нахождения регистратора, на тот, где присутствует камера и провайдер. Хопов при этом 6 и задержка менее 1мс. По барабану! Камеры перестают отдавать видеопоток. В веб интерфейсе камер видео в момент отваливания также не отображается ни в каком потоке, звук при этом есть. Аналогичным образом там же к тому же провайдеру я попробовал пробросить также свои камеры hiwatch и dahua с такими же задержками и они... внезапно... ни разу не отваливаются. Я понимаю, что камеры говно, но других пров не дает и клянется, что сотнями стоят и никто не жалуется.

В китайских PTZ с большими зумами все плохо с позиционированием. Да, дешево, за камеру 12-15 тысяч руб., но вот после перезагрузки в сохраненные позиции они возвращаются с точностью до десятков градусов )) Сам гуглил тему, когда искал пару камер для контроля номеров, остановился на Hikvision iDS-TCM203-A/R/2812(B) и Hikvision iDS-TCM203-A/R/0832(В) (разница только в объективах). Навскидку наверное 99% читаемых номеров распознаются. Засветки номеров никогда нет. Даже, когда подрядчики повесили гирлянды новогодние и шлейф от одной из них висит прямо перед камерой и светит своими светодиодами прямо в камеру ))

не понимаю стёба. в далеких нулевых, когда еще микротиков не было, первый линк сразу на 20 км и поднят был. На тарелках Супрал 1,2м с облучателями Бестер на точках D-Link 2100, перепрошитых на Блюбокс в самодельных корпусах с подогревом с самодельным poe на dc-dc преобразователях. Работало за полярным кругом несколько лет на улице. Еще пробовал точки доступа Сompex, потом уже заменил на Микротики. Линки еще были и 1км и 3 км и 5км. Антенны и самодельные биквадраты и фирменные панельки Trendnet и D-Link. Кабельные сборки использовал готовые. Все прекрасно работало и обеспечивало как минимум 30 мегабит. В том числе и в качестве канала, объединившего множество городских пионернетов и удаленных сетей в общей сложности более 1500 хостов. Потом появился ADSL и xDSL и wifi более не понадобился, хотя скорости были меньше.

Был бы wifi на таком расстоянии, то без проблем настроил-бы. Опыт поднятия wifi линков до 20км на микротиках и не только уже есть, а тут LTE.

причем тут феррари? доходчиво написал, что модем МТС, стоявший под железной крышей принимал трафик со скоростью выше в неимоверных условиях неотапливаемого чердака, где летом под 70 градусов, чем вынесенная над этой же крышей SXT в прямой видимости вышки БС без единого препятствия на пути сигнала.

но ведь народ ведется, я повелся. Хотел новых технологий в лице LTE6, а по факту лучше не стало. Проверено и в городе и за городом, причем за городом вышка такая, что в городе такой скорости никогда не было. Но это еще и на модеме прекрасно ловилось до 60 мегабит. А на SXT-LTE6 всего 30 мегабит )) Развели

Тогда LTE6, LTE12, LTE18 это чистой воды маркетинг лишь бы продать. А никто нигде не делает приписки, что не покупайте это - работать не будет.

Я почему-то думал, что это опсосонезависимое решение. Тогда втопку этот LTE6

Достал из коробки SXT LTE6, включил, вставил симку (МТС для ноутбука ) и настроил. Вроде все работает, но точно чего нет - так это агрегации. В Primary Band B3, а в CA Band пусто. Сие проблема оператора или надо еще какие донастройки делать?

В качестве теста пробовал разные туннели l2tp, eoip. По факту eoip самый производительный по скорости передачи трафика. Может на него перейти? Наоборот ospf поверх rtsp c vrrp поверх l2tp. Но это чисто эксперимент, собранный на стенде. В реальности такой реализации я не встречал. RTSP кольцо внутри бриджей микротиков, широковещание внутрь кольца не попадает. Так как RSTP кольцо находится внутри l2tp с ipsec могу предположить, что BDPU пакеты провайдерских коммутаторов в цепи не будут влиять на работу дерева, также и наоборот - BDPU пакеты не выйдут на уровень провайдера и порты не заблокируются. Могу предположить, что также в отличие от физических линков между коммутаторами сложно указать стоимости маршрутов, тонкие настройки рассылки BDPU. Ввиду разных провайдеров и нестабильности скорости каналов между роутерами, так как каналы подняты через Интернет. И все-таки в реальности почему так не делается?

Странного придумалось. Два микротика в одном офисе, два в другом офисе в другом городе. Все подключены к разным провайдерам. В самих офисах для резервирования шлюза в локальных сетях попарно связаны через VRRP, включены RSTP bridge для подключения локальных коммутаторов. Подняты два канала l2tp между офисами. Поднят OSPF. В случае падения канала, OSPF перестраивает маршруты. Занимает 5-20 секунд. Меняем каналы на EOIP, с двух сторон на микротиках эти каналы соединяем отдельными бриджами с RSTP, дополнительно соединив микротики в офисах физически через ethernet интерфейсы в этих бриджах. Получаем STP кольцо из четырех маршрутизаторов. Аналогично локальным сетям связываем микротики попарно включением VRRP. Меняем маршрутизацию на статическую. Технически все прекрасно работает. Отрубаем одного провайдера, STP переключает на другой канал. Задержка в виде потери одного-двух пакетов при переключении. Клиенты ничего не замечают. На самом деле офисов больше и везде поднят OSPF, просто факультативно стало интересно сменить резервирование с L3 на L2 уровень, и что даже работает быстрее OSPF. Ожидать ли подвоха от схемы?

Спасибо, пошел разбираться. На HP Procurve включением bpdu-protection на абонентских портах блокирует порт на время при обнаружении. Смотрю теперь в сторону Ubiquiti.

Сеть с ядром на двух CCR и зоопарком коммутаторов HP, D-LINK, Ubiquiti. Везде поднят rstp, Root bridge назначен на основной CCR на бридже сетевых интрефейсов, смотрящих в коммутаторы распределения. На коммутаторах распределения и абонентских bridge priority назначены. Внутри бриджей на обоих CCR заведены VLAN. Пользователи подключаются к нетегированным портам на коммутаторах доступа. К тегированным портам доступа не имеют. Надо ли на портах бриджей CCR и коммутаторов распределения включать защиту BDPU guard (filter)?

Вот аккурат 30 декабря пару новых таких настраивал. Конфиги из коробки на них голые, если честно даже не помню есть ли на них ip-адреса на каких-либо интерфейсах. Насколько помню, там ни бриджей нет ни правил файрволла. Ether12 и Ether1 в бридже? IP-адреса назначены?

С двух сторон маршрутизаторы. Между ними туннель eoip. Ipsec для пущего, но не обязательно. На маршрутизаторах сбриджевать туннели с портами в коммутаторы офисов. Теперь какой будет посередине коммутатор вообще пофиг.

Пока выбор между MIKROTIK CCR1016-12G с тестовой производительностью 501,8 мегабит с 25 правилами файерволла мелкими пакетами и MIKROTIK CCR1036-12G-4S, где, при тех же условиях, уже 1561,4 мегабита. По цене разница полтора раза. Ввиду того, что будет настраиваться VRRP для failover потребуется два маршрутизатора. По сравнению с CCR1009, где даже блок питания дублирован, в случае VRRP не критично.

А как насчет CCR1009-7G-1C ? Порты без коммутатора напрямую к процессору. Вот только про IPSEC ни слова нигде не пишут.

ах, да.. заметил, спасибо.   Жаба не душит, но в пределах разумного конечно. По-хорошему конечно вообще не забыть про отказоустойчивость. Сейчас это на vrrp с участием RB3011 и RB2011 в качестве резерва. Но еще бы прокачивать гигабитный трафик между vlan'ами

Помогите подобрать маршрутизатор на ядро сети с аппаратной поддержкой IPSEC для туннелей до 100 мегабит и маршрутизацией локального трафика между vlan'ами до гигабита. Стоит RB3011UiAS, но аппаратную поддержку IPSEC только обещают в бета-прошивке, к тому же нормально трафик не прокачивает. 9-12 ядерные ccr?

Почитал каменты - такое ощущение, что тут люди предлагают вайфай сети в космических масштабах за космические же деньги. Во-первых для чего нужен wifi? Если для гостей, то вообще вопрос авторизации. Либо поднимать свой сервис по смс авторизации либо отдать на сторонний сервис. Лучше провайдеру разрешите свои точки поставить и забудьте про гемор с обслуживанием гостевого wifi. Если wifi для арендаторов/собственников ТЦ, то тут юридические вопросы легализации субпровайдерства. Если wifi для работников ТЦ, то почему же на Unifi не сделать? Все достаточно незаурядно. Шкаф с POE коммутаторами, шлюзом, сервером управления CK. Тут при подборе точек доступа и коммутаторов не попутать возможности по питанию Passive POE или 802.3, а то купите точки подешевле Unifi AP с питанием 24вольта, и коммутаторы, например UniFi Switch 8-60W будут с 802.3 и придется использовать комплектные инжекторы. Нюанс однако. Хотя конечно-же никто не запрещает вообще коммутатор без POE. Кабели от коммутаторов до каждой ТД. В UNMS все настраиваете и радуетесь. Роуминг работает из коробки. Можно конечно еще дешевле, даже на Mikrotik'ах, но вот если бы Микротик свой capsman сделал таким же удобным, как UNMS.