[shodan_x]

Так оутдор у них не очень давно появился вроде как.... хотя может и ошибаюсь.

Кстати линки далеко не лучшего качества.

Особенно вспоминается SXT которую обязательно надо дополнительно гермитизировать.

Как и в целом вафель не отличается качеством.

Тот-же QRT2, пока один канал не отключешь, классические 802.11 клиенты чувствуют себя менее комфортно в плохих условиях приема.

В плане вафеля и вообще аутдора есть определенное, неистребимое желание попробовать Юбиквити.

 

А вот роутеры микротик делает отличные.

Изменено 20 декабря, 2015 пользователем shodan_x

[NiTr0]

сори за офтоп, но точно будет тупить?

ну "счастливые владельцы" этих поделок говорят, что таки тупит.

 

ssh! брут?! УВОЛИТЬ к хренам такого админа надо, незамедлительно!!! Нефиг светить SSH портом куда не следует, и подвергать сеть потенциальной опасности!

ну если одмин не в силах придумать пароль сложнее "123456" - то да, уволить. у нормальных админов обычно пароль 10-12 символов, с lowercase/uppercase/цифрами/спецсимволами.

 

и да, доступ к оборудованию должен быть из любого места, а не только изнутри сети. по той простой причине, что админ не обязан 24 часа в сутки 365 дней в году находиться в серверной, но должен иметь возможность экстренно посмотреть причину проблем, если что-то упало.

 

Читаем повторно и вдумчиво мой преведущий пост, до полного просветления.

да-да, включить fastpath, превратив роутер в свич :)

 

NiTr0 - вы как явный спец по микротикам должны-бы были понять еще на этапе знакомства с их продукцией, что они ее делают специально для красноглазиков... хотя-бы по тем простым признакам что большая(а раньше вся) часть линейки выполненна в виде отдельных плат.

нет, их делают для обычных сохо хомяков, решивших что они админы. винбокс, управление через веб-морду, корявый и убогий cli, отсутствие элементарных средств диагностики проблем (в этом плане функционал на уровне прочих сохо мыльниц), и отсутствующая как класс техподдержка.

 

Вы же судя по знанию нюансов поднятия BGP на микроте, пытались применить его для хорошего шлюза

к счастью, у меня в хозяйстве только один микротик, на мелкой сетке, без бгп и прочего, достался по наследству, и живет пока лишь потому что руки не дойдут его выпилить и заменить более предсказуемым и адекватным решением.

[shodan_x]

да-да, включить fastpath, превратив роутер в свич :)

Прослежевается полное непонимания сути слова "включить". Ну да ладно фиг с ним...

Да и говорил я ТСу не об этом, а о избавлении от анализа контента или апгрейде.

Вам же конкретно пытался донести, что волшебные настройки есть и вы тут не правы.... ну тоже фиг с ним, вы человек сложный, я это вижу, читаете только то что хотите а не то что пишут....

 

их делают для обычных сохо хомяков, решивших что они админы

Задачи, еще раз задачи... они у всех разные. Для сведения админ и сетевик, это несколько разные по задачам должности. Мне вот иметь кучу микротов вокруг не мешает держать дохренища крупнейших ресурсов рунета. И админом я завусь совсем не из за того что микротики применяю у ряда работодателей и дома. Для меня мелкие сетевые задачи скорее нежелательная побочная нагрузка, с которой указанные железки справляются на раз-два!

Ненадо путать теплое с мягким.

Изменено 20 декабря, 2015 пользователем shodan_x

[nuclearcat]

Задачи, еще раз задачи... они у всех разные. Для сведения админ и сетевик, это несколько разные по задачам должности. Мне вот иметь кучу микротов вокруг не мешает держать дохренища крупнейших ресурсов рунета. И админом я завусь совсем не из за того что микротики применяю у ряда работодателей. Для меня мелкие сетевые задачи скорее нежелательная побочная нагрузка, с которой указанные железки справляются на раз-два!

Ненадо путать теплое с мягким.

"держать дохренища" это еще ровно ничего не значит. Можно например провода от серверов по понедельникам протирать.

Если вы отметились какими-то заслугами, например статьей о решении hiload задач и т.п. - это да, уважуха.

[shodan_x]

Снабжать конкурентов ценной инфой о хайлоаде, извольте, мне платят не за это.

 

Провода протирать по понидельникам, это задача сетевиков :)

Изменено 20 декабря, 2015 пользователем shodan_x

[nuclearcat]

Н-да. Учитывая то, что немалое количество людей здесь выступало на конференциях и писало статьи, вы себя выставили не в лучшем свете, абсолютным непониманием сути вопроса.

Да и судя во всему, вы даже не в курсе таких конференций и даже никогда не смотрели выступления. Думаю ваши пара нагугленных трюков яйца выеденного не стоят, потому как реальные специалисты свободно делятся ноухау, зарабатывая дополнительные контракты и солидный профит, и совершенно не беспокоятся, что после их выступления конкуренты их заборют.

Ибо во первых знания позволяют разрабатывать новые knowhow очень быстро, во вторых реально серьезные технологии даже после выступления не так просто воспроизвести, и проще обратиться к выступающему с предложением выполнить задачу, чем пытаться повторить проделанную им работу.

[thodin]

Купил тут для забавы несколько микротиков..

Ну что я могу сказать - если покупаешь что-то за СВОИ деньги, имея некоторый опыт за плечами (т.е. еще помнится, на КАКИХ отстойных железках гонялся тот же OSPF 15 лет назад и какие были глюки, в том числе у циски), можно сказать, что ничего страшного нет.

 

Парочку fullview он тянет, гигабит (CCR) перемалывает, мал-мала firewall тоже умеет, даже ipsec поднять получилось.

Всегда было интересно посмотреть на этот holy war (mikrotik vs all) изнутри, но ничего особенного я не увидел.

 

Обычный инструмент.. Свои плюсы, свои минусы.. Мой цисковод покрутил его с неделю и сказал что за такие деньги - "годно".

А про тазики с x86 вообще говорить не хочется, особенно в свете ipsec :(

[thodin]

PS. БУ с ebay имеет проблему - когда отсылаешь железку сразу по месту инсталляции, то в итоге велик шанс получить кучу всяких косяков от предыдущего владельца. Иногда затраты на разгребание этих проблем делают такую покупку уже не очень удачной.

[nuclearcat]

thodin - даже новую железку нельзя отсылать сразу по месту инсталляции. На любом железе, Микротик, Cisco, Juniper, может оказаться "неудачная" версия софта для какой-то конкретной задачи. И по моему опыту с новым железом как раз велика вероятность отказа в первый месяц, а с б/у обычно опасность только в DoA. Конечно если железо слишком б/у - то там и конденсаторы, и прочие болячки будут вылезать.

Микротики обычно ставят при совсем уж нищете, когда приходится считать каждую копейку. И хотя на первый взгляд оно и хорошо, работает оно более-менее только уж при совсем простейших задачах. Если надо скажем тупо пророутить десятку и разбросать по нескольким линкам обычными роутами - можно. Но даже на такой простейшей задаче на CCR одному из местных админов микротик вылился в проплешину на бороде - микротик молча ронял в случайный момент гиговые линки на 100 мбит до ручного передергивания порта или ребута. А если начинается еще OSFP, IPSEC - можно словить немало лулзов, достаточно почитать темы на форуме. Из моего собственного опыта - намертво зависающий форвардинг траффика на бридже из-за включенного RSTP.

Из совсем недавнего, микротик недавно уложил весь vlan, с какого-то перепугу начал спуфить IP серверов, с маком отличавшимся от своего только в последнем октете. Я так и не понял, что это было, но ребут вылечил проблему. То ли в микротике есть zero day в ssh и его проломили до уровня системы (на самом микротике все логировалось, никаких изменений в конфиге не было), то ли это очередной баг.

[nuclearcat]

Это конечно по HDD, но здесь очевидно, что если покупать скажем железо годичной давности, при ожидаемом сроке эксплуатации год-два - вероятность отказа при высоких нагрузках - ощутимо ниже.

source: http://storagemojo.com/2007/02/19/googles-disk-failure-experience/

[myst]

Микротики обычно ставят при совсем уж нищете, когда приходится считать каждую копейку

НУ вот это тоже не совсем так. У меня куча филиалов по всей стране именно по 10-20 рабочих мест. Когда я это дело разворачивал, достаточно много копий было сломано в попытках ответить на вопрос какие железки ставить что бы 60 "сисадминов" половина из которых в глаза консоль не видели и при попытке посчитать маску подсети в обморок падают могли с этим делом управляться.

В итоге альтернативы микротику нет от слова вообще. И дело совершенно не в цене.

 

А вот попытка поставить микротики в центр для терминации VPN это да, глупая затея от которой в итоге отказались. Тот же AHx2 На 70-100 мегабитах ipsec+nat+qos умирает с процессором в полку. Про приколы с количеством префиксов в рт я уже рассказывал.

 

Собственно по этому я считаю что CCR ну просто не нужная железка. Даже от вопиющей нищеты лучше подкопить и взять что-то более вменяемое БУ, оно в конечном итоге дешвле выйдет.

[nuclearcat]

myst, отсутствие толкового технического персонала - это тоже нищета, только другого характера. Я кстати тоже с этим сталкиваюсь, что проще купить микротики и мириться с их глюками, чем обучить рядовых арабских саппортеров работать с cli.

Чую надо написать winbox для Cisco :)))

Второй вариант - делать систему так, что от местного техперсонала не требуется вообще лезть в настройки устройств.

[thodin]

thodin - даже новую железку нельзя отсылать сразу по месту инсталляции.

Всю жизнь так и делаем - иначе нет времени, да и пересылка оборудования в/из РФ иногда рискует превратиться в жуткий квест с таможней/гебней/и т.д.

 

На любом железе, Микротик, Cisco, Juniper, может оказаться "неудачная" версия софта для какой-то конкретной задачи.

А в чем проблема перелить софт на месте? Уж консоль то организовать не проблема.

 

И по моему опыту с новым железом как раз велика вероятность отказа в первый месяц, а с б/у обычно опасность только в DoA. Конечно если железо слишком б/у - то там и конденсаторы, и прочие болячки будут вылезать.

Активно вылезает знаменитая битая RAM циско (у нас несколько боксов уже отметились) из их проблеммного периода, битые порты (которые при первичной диагностике выглядят нормально), травмы у плат (виснем через полчаса работы, привет!), и т.д.

 

Микротики обычно ставят при совсем уж нищете, когда приходится считать каждую копейку.

Ну если деньги чужие - то да, чего их считать... А когда требования заранее известны и там нет пресловутых тысяч префиксов в OSPF, то зачем платить больше? Когда надо немного BGP/mpls - получается вполне себе. А чаще всего именно это и требуется. Кто еще умеет mpls из дешевого?

 

IPSEC - можно словить немало лулзов, достаточно почитать темы на форуме.

Форумы про mikrotik читать неинтересно, там общий технический уровень катастрофически низок и не очень понятно, кто виноват - софт/железо/или человек.

IMHO если уж совсем невмоготу - вендор сидит в соседней стране и до него добраться всяко проще. Времена, когда в Cisco по знакомству собирали для тебя custom IOS давно прошли..

 

Из моего собственного опыта - намертво зависающий форвардинг траффика на бридже из-за включенного RSTP.

Ой если я начну свой опыт про Cisco рассказывать..

 

То ли в микротике есть zero day в ssh и его проломили до уровня системы (на самом микротике все логировалось, никаких изменений в конфиге не было), то ли это очередной баг.

А кто-то в наше время выставляет ssh в открытый мир? IMHO уже года 4 назад это стало совершенно невозможно делать - на такие порты льются потоки дерьма и первое что делается на любой железке - отрезается доступ к ней отовсюду, кроме trusted network/ip.

[myst]

myst, отсутствие толкового технического персонала - это тоже нищета, только другого характера. Я кстати тоже с этим сталкиваюсь, что проще купить микротики и мириться с их глюками, чем обучить рядовых арабских саппортеров работать с cli.

Не, это местная специфика. Набирать толковый персонал на год - смысла не имеет, а после переделок толковый персонал вобщем-то и не нужен. У меня отдел - 4 человека, мы вполне себе справляемся с огромным количеством управляшки, админы лишь вносят изменения которые четко и однозначно регламентированы.

В итоге, держать десятки проф. сетевиков, десятки проф. сисадминов просто мысла нету. Вообще.

 

Чую надо написать winbox для Cisco :)))

Винбокс а***нен. Это я вам как ярый поклонник консоли говорю. Нет больше гуйни настолько удобной, легкой и главное на 95% повторяющей дерево CLI.

 

Второй вариант - делать систему так, что от местного техперсонала не требуется вообще лезть в настройки устройств.

Ну и опять же это невозможно в силу объективных обстоятельств. Почти все города страны, почти все провайдеры, почти все технологии подключения итд... Я вот если честно даже не представляю КАК бы мы это попытались сделать на циске...

 

А кто-то в наше время выставляет ssh в открытый мир?

А в чем проблема выставить ssh в открытый мир? ,)

[nuclearcat]

А в чем проблема перелить софт на месте? Уж консоль то организовать не проблема.

В том, что любая серьезная задача сначала тестируется в лабе, а потом уже накатывается на месте.

Даже перепрошивка софта может вылится в кучу проблем, например в C3560 в 12-й версии софта не работали хеши паролей из 15 при downgrade, а в свитчах с ios 15 идущих с завода не работали нормально PBR в "цепочке". Причем проблема возникала с переменным успехом, возможно зависело от ревизии железа.

 

Ну если деньги чужие - то да, чего их считать... А когда требования заранее известны и там нет пресловутых тысяч префиксов в OSPF, то зачем платить больше? Когда надо немного BGP/mpls - получается вполне себе. А чаще всего именно это и требуется. Кто еще умеет mpls из дешевого?

SRX100/2x0 говорят, лично не сталкивался

 

Ой если я начну свой опыт про Cisco рассказывать..

Да, там своих тараканов хватает, но они ходят строем, т.е. все решаемо и воспроизводимо, а не как в микротике, в одной версии руку пришили назад, но нога начала отваливатся. Плюс базовые функции обычно работают безупречно.

 

А кто-то в наше время выставляет ssh в открытый мир? IMHO уже года 4 назад это стало совершенно невозможно делать - на такие порты льются потоки дерьма и первое что делается на любой железке - отрезается доступ к ней отовсюду, кроме trusted network/ip.

Когда такая железка как раз из той самой бедности выступает шлюзом для админов.

[thodin]

А в чем проблема выставить ssh в открытый мир? ,)

Если есть понимание, как избавиться от всех связанных с этим проблем - то все ok. Начиная с банального потока дерьма, измеряемого круглогодичными десятками мегабит (умников, которые сканируют и подбирают пароли - по всему миру навалом) и кончая необходимостью вести жесткий password audit, чтобы недайбоже кто-то его не пролюбил (даже без всякой злой мысли).

[myst]

А в чем проблема выставить ssh в открытый мир? ,)

Если есть понимание, как избавиться от всех связанных с этим проблем - то все ok. Начиная с банального потока дерьма, измеряемого круглогодичными десятками мегабит (умников, которые сканируют и подбирают пароли - по всему миру навалом) и кончая необходимостью вести жесткий password audit, чтобы недайбоже кто-то его не пролюбил (даже без всякой злой мысли).

Ды все просто, я просто на радиусе блокирую словарные пароли и пароли менее 10 символов + всего несколько точек входа. За 4 года ни одного эксцесса.

А то что брутят... да хай себе брутят. За время плановой смены паролей они все равно их не подберут. Десятки мегабит при гигабитных каналах нынче уже совсем не актуальны.

[thodin]

В том, что любая серьезная задача сначала тестируется в лабе, а потом уже накатывается на месте.

Звиняйте барин, кучу задач в лабе не проверишь. Это на словах все так красиво, а по факту "лаба" означает десяток простых задач, которые испробовали на курсах в студенческом возрасте.

Все проблемы как раз с нестандартными ситуациями, которые всплывают постфактум. Лаба хороша, если железка новая, а если ты с ней уже второй пуд соли доел - то какие тут лабы..

 

Даже перепрошивка софта может вылится в кучу проблем, например в C3560 в 12-й версии софта не работали хеши паролей из 15 при downgrade, а в свитчах с ios 15 идущих с завода не работали нормально PBR в "цепочке". Причем проблема возникала с переменным успехом, возможно зависело от ревизии железа.

Настоящие джедаи имеют в критичных местах консольный сервер. PBR для тупых свитчей? Господь от таких извратов миловал.

 

SRX100/2x0 говорят, лично не сталкивался

Как раз из свежего :)

http://recode.net/2015/12/18/who-hid-a-secret-back-door-in-junipers-security-gear/

 

Да, там своих тараканов хватает, но они ходят строем, т.е. все решаемо и воспроизводимо, а не как в микротике, в одной версии руку пришили назад, но нога начала отваливатся. Плюс базовые функции обычно работают безупречно.

Если от циски требуются только базовые функции, то зачем тогда за нее столько платить? А если tac полгода чинит что-нибудь типа ISDN-to-ISDN call failure, как было во времена 72й платформы - становится уже не смешно, ибо бизнес идет под откос.

К отсутствию глюков привыкла, мне кажется, молодежь, которая только открывает чудный дивный мир. Те, кто видел рассвет - одинаково плохо относятся ко всему. От аплинков постоянно валятся письма "ой, мы обосрались", хотя никакого микротика у них нет.

 

Когда такая железка как раз из той самой бедности выступает шлюзом для админов.

Но зачем на ней открытый всему миру ssh??

[nuclearcat]

myst - у микротика уже были приколы с ssh, и судя по всему реализован он там весьма криво. Я после этого случая буду вырубать ssh на микротиках вообще, и лучше поставлю что-то мелкое с линуксом для шлюзования. Ибо получить какой-нить rootkit в кишках микротика, который потом еще и не выкорчуешь (т.к. рутового доступа нет) - крайне неприятная перспектива.

[myst]

myst - у микротика уже были приколы с ssh, и судя по всему реализован он там весьма криво. Я после этого случая буду вырубать ssh на микротиках вообще, и лучше поставлю что-то мелкое с линуксом для шлюзования. Ибо получить какой-нить rootkit в кишках микротика, который потом еще и не выкорчуешь (т.к. рутового доступа нет) - крайне неприятная перспектива.

А ну так это, на тупиковых филиальных железках доступ вообще не нужен извне, а в центре естественно что-то по-адекватнее чем микротик для ssh/vpn. В моем случае это ASR и виртуалки на дебиане.

[thodin]

Ды все просто, я просто на радиусе блокирую словарные пароли и пароли менее 10 символов + всего несколько точек входа. За 4 года ни одного эксцесса.

Вы не поняли. Вот взял Ваш инженер и пролюбил где-то пароль на ssh. Простейший способ - из-за простоты доступа зашел на роутер с малопонятного компьютера в отпуске.

Или использовал его на каком-то ресурсе, чтобы меньше паролей запоминать. За всеми не уследишь.

Но в дополнение к этому еще и ключ/сертификат на VPN пролюбить - это куда как сложнее.. Тоже личный опыт, если что :)

 

А то что брутят... да хай себе брутят. За время плановой смены паролей они все равно их не подберут. Десятки мегабит при гигабитных каналах нынче уже совсем не актуальны.

Бывают места, где только 10 мегабит и есть.. Через спутник ;)

Залогиниться же на железку, где куча сессий открыта от интернет-подонков, не всегда получается.. В самый ответственный момент.

[nuclearcat]

Настоящие джедаи имеют в критичных местах консольный сервер. PBR для тупых свитчей? Господь от таких извратов миловал.

PBR "на тупых свитчах" как раз делается на wirespeed, и в этом его преимущество, т.к. когда это ферма из десятка HTTP/HTTPS балансеров, попытка сделать это по другому (через "умный роутер") - выльется в очень солидные суммы и неоптимальную конфигурацию, только потому как кому-то кажется правильным делать PBR исключительно на роутерах.

 

Как раз из свежего :)

http://recode.net/20...-security-gear/

типичный для вас подход, отсутствие даже минимума внимания к прочитанному. SRX != ScreenOS.

 

Звиняйте барин, кучу задач в лабе не проверишь. Это на словах все так красиво, а по факту "лаба" означает десяток простых задач, которые испробовали на курсах в студенческом возрасте.

Все проблемы как раз с нестандартными ситуациями, которые всплывают постфактум. Лаба хороша, если железка новая, а если ты с ней уже второй пуд соли доел - то какие тут лабы..

У кого как. Если клиент для меня очень важен, то я делаю полную симуляцию его задачи, чтобы на месте не было никаких факапов и судорожных перезаливок софта. В таких случаях решение должно начать работать без запинок ровно с момента включения питания.

[myst]

Вы не поняли. Вот взял Ваш инженер и пролюбил где-то пароль на ssh. Простейший способ - из-за простоты доступа зашел на роутер с малопонятного компьютера в отпуске.

Да от человеческого фактора никто не убережет. Зная аутентификационные данные на железки получить доступ можно кучей способов.

Бывают места, где только 10 мегабит и есть.. Через спутник ;)

Ну по этому я и говорю что точек входа всего несколько и они находятся под наблюдением.

[thodin]

PBR "на тупых свитчах" как раз делается на wirespeed, и в этом его преимущество, т.к. когда это ферма из десятка HTTP/HTTPS балансеров, попытка сделать это по другому (через "умный роутер") - выльется в очень солидные суммы и неоптимальную конфигурацию, только потому как кому-то кажется правильным делать PBR исключительно на роутерах.

Не совсем понятна цель такой схемы, если честно. Свитч, который валит трафик на кучу боксов, не зная, живы они или нет?

 

типичный для вас подход, отсутствие даже минимума внимания к прочитанному. SRX != ScreenOS.

Это я к тому, что в любом софте может оказаться все что угодно и у Джунипера косяки тоже бывают. Конкретый SRX100 нафиг не нужен, ибо его придется изучать, а иметь б/у зоопарк никакого желания нет.

 

У кого как. Если клиент для меня очень важен, то я делаю полную симуляцию его задачи, чтобы на месте не было никаких факапов и судорожных перезаливок софта. В таких случаях решение должно начать работать без запинок ровно с момента с момента включения питания.

Э.. Мне теперь покупать STP за миллионы баксов? :) Я же говорю - это все для простых задач. Или я как-то должен запириться с десятком компаний в Голландии, чтобы понять, как будет BGP жить в такой ситуации? :) Найти какой-нибудь Alcatel неведомый, чтобы проверить, как с ним mpls поднимется? :)

Еще чаще бывает, что конечная конфигурация складывается уже после установки железки на место - ибо всего заранее не предусмотришь..

 

Да от человеческого фактора никто не убережет. Зная аутентификационные данные на железки получить доступ можно кучей способов.

А как? Ну вот украли у меня пароль на ssh - что с ним дальше делать, если ssh закрыт?

[myst]

А как? Ну вот украли у меня пароль на ssh - что с ним дальше делать, если ssh закрыт?

Закрыт простите как? ACL? Или же выключен полностью?