Jump to content
Калькуляторы

sirmax

VIP
  • Content Count

    2126
  • Joined

  • Last visited

4 Followers

About sirmax

  • Rank
    Доцент
  • Birthday 06/26/1980

Контакты

  • ICQ
    0
  • Skype
    sirmax123

Информация

  • Пол
    Мужчина

Город

  • Город
    Kharkov

Recent Profile Visitors

6244 profile views
  1. Я (пока) не осилил BPF но похоже без этого никак скоро будет Исходную задачу запуска 2 копий dhcp-helper решил через костыль с бриджом в бридж засунул оригинальный интерфейс и на него перенес ip адрес в него же виртуальную езернет-пару (veth), второй конец - в неймспейс, там и вторая копия helper но степень костыльности зашкаливает - это совсем не то что я хотел
  2. Эти правила не работают. Более того в сокет dhcpd залетает не только его трафик и он грузит процессор если стоит на шлюзе. Как и релей от isc. По этой причине есть альтернативные реализации и одну из них я дебагаю, собственно и вопрос о ней. Несколько лет назад тут была моя же тема об этой проблеме.
  3. Это не просто ip, это udp. Другой вопрос что да, к конкретно isc-dhcpd и редею от них же есть вопросы.
  4. DST nat подразумевает получателя А пакет DHCP это src 0.0.0.0 dst 255.255.255.255 (как минимум первый) Можно такое корректно натить? по-моему нет С нетграфом не выйдет так как линукс Это и есть релей агент (сейчас на 67/68 как и положено). НО он цепляется на ВСЕ интерфейсы и потом внутри себя анализирует с какого интерфейса пришел пакет и есть ли он в списке "разрешенных" Соответвенно запустить 2 копии на одном сервере не выйдет - только на разных портах. Вторая копия, обновленная, не работает как ожидалось и нужна отладка. Запустить на живых клиентах - и сломать многим интернет не вариант Хочу запустить на другом порту собранный с логами и дебагом dhcp-helper (который имплементация dhcp-relay), и перенаправить часть траффика (например из офисного влана) и исследовать. Что там может не работать мне не ясно совершенно - и по тому интересно нйти
  5. С целью дебага хочу "отмиррорить" все запросы с 67/68 порта на другой порт? (проблема в dhcp-helper не работает новая сборка, откатил на старую, но на тестовом окружении не воспроизводится) Так неткат видет запросы nc -ul 0.0.0.0 67 O(�Z�'�$��c�Sc52 ... (пример того что увидел неткат) А вот ак не видет (не только неткат -сначала пробовал с релеем, думал что-то не то с ним, неткат только для проверки) iptables -t nat -I PREROUTING -i eth101 -p udp -m udp --dport 67 -j REDIRECT --to-ports 1067 nc -ul 0.0.0.0 1067 Тспдамп запросы естественно видит с оригинальным портом до редиректа Счетчики правила ростут Устроит вариант с "скопировать" пакет - нужно проверять работу на реальном траффике так как клиенты разные Вариант "сдампать и проиграть трааффик на лабе" оставлю как последний шанс. Вариант с перебросом на ifb тоже не работает (но тут я не уверен насчет броадкастов) tc filter add dev eth101 parent 1: prio 1 protocol ip u32 match ip protocol 17 0xFF match ip dport 68 0xFFFF action mirred egress redirect dev ifb0 tc filter add dev eth101 parent 1: prio 1 protocol ip u32 match ip protocol 17 0xFF match ip dport 67 0xFFFF action mirred egress redirect dev ifb0 tc filter add dev eth101 parent 1: prio 1 protocol ip u32 match ip protocol 17 0xFF match ip sport 68 0xFFFF action mirred egress redirect dev ifb0 tc filter add dev eth101 parent 1: prio 1 protocol ip u32 match ip protocol 17 0xFF match ip sport 67 0xFFFF action mirred egress redirect dev ifb0
  6. Хочу иметь поддержку максимально тупых свитчей, без релея   Сеть мультивендорная, что б не сказать «зоопарк» и дальше будет больше
  7. Да уж озарило верное слово ;) работает - не трогай, но почему не переделать если и так переделывать. Вопрос про dhcp на 40к интерфейсов открыт для меня
  8. С 443 порта по-моему будут проблемы, если на 8081 голый http Если редиректить на порт в SSL то браузеры будут ругаться на сертефикат Не очень понятно какой выхлоп даст идея
  9. Доброго времени суток! Появилась идея сделать конфигурацию Vlan-Per-User Вопрос - есть ли опыт настройки скажем 40К интерфейсов на линуксе? какие проблемы ожидать? В целом идея в том что б вешать второй тег на аггрегации и на линуксе иметь что то вроде eth0.10.20 в сторону клиента Пока это мысли вслух, порассуждать о возможных проблемах.
  10. Можно приправить ospf что б если один упадёт работать не перестало. Ну это все если контролируете оба конца обоих линков.
  11. нет ну что за странные желания? Это ж микротик там все из коробки святое. хотя если отбросить юмор я б покупал пожалуй только микротик если б можно было свои пакеты писать взамен или в дополнение к вендорским. У меня конечно пукан пригорает местами от ограничений.
  12. А можете рассказать подробнее? Я пока смог только относительно старые релизы openwrt собрать. Производительность ещё не успел проверить
  13. Грибы норм) мне просто метароутер интересен. Понятно что тут это костыль ради костыля