[RN3DCX]

Кто нибудь из присутствующих юзает в продакшене Carbon Reductor на ESXI'е ?

Интересует практика работы с виртуальной среде. Есть ли глюки?

[purecopper]

Работает так же как и на голом железе. Но в случае пропусков поддержка говорит "Ну у вас же виртуализация, чо вы хотели".

А так выделяете отдельный интерфейс под прием зеркало и делаете vmdirectpath i/o и всё ок.

[RN3DCX]

purecopper, пасибо!

А то прям жаба душит, выделить отдельный сервант под эту задачу...

[purecopper]

Только вот проблем с пропусками это не решит.

[RN3DCX]

Это из-за того, что продукт корявый или из-за виртуальной среды?

[purecopper]

Сама идея фильтрации на зеркале - отстой :)

[RN3DCX]

Это факт!

[rdc]

кто мешает включить ревизор транзитом, а всё остальное зеркалом?

[YuryD]

кто мешает включить ревизор транзитом, а всё остальное зеркалом?

Это рано или поздно вылезет наружу. Не надо делать идиотами проверяющих..

[Avanta-telecom]

у меня и на отдельном серваке пропуски, уже неделю с ТП бъемся. по началу под 4000-5000 пропусков за сутки в ЛК надзора, но в большенстве скринов заглушки, в чем причина не понятно, но были и скрины пропусков. Может кто, что знает про это ???

[purecopper]

Лучший вариант, которого добьётесь - периодически 3-4 пропуска в день.

[ichthyandr]

у меня и на отдельном серваке пропуски, уже неделю с ТП бъемся. по началу под 4000-5000 пропусков за сутки в ЛК надзора, но в большенстве скринов заглушки, в чем причина не понятно, но были и скрины пропусков. Может кто, что знает про это ???

дропы есть на интерфейсе, принимающее зеркало? Трафика сколько у вас?

[Avanta-telecom]

дропов нет, чисто все. трафик 500 мег. зеркало сменил на TX пропусков до 50-70 в день упало. так же в большенстве заглушки, но есть и скрины. Сегодня еще интергацию по блокировки по IP с Mikrotik сделал. Сервак нагружается по CPU 1-3%

[Avanta-telecom]

После вчерашних манипуляций получил следующее:

03.02.2017 0:36 302426 https://bkolimp.kg/betting, 104.16.43.254, GET ФНС 200

03.02.2017 0:36 302426 https://bkolimp.kg/betting, 104.16.47.254, GET ФНС 200

03.02.2017 0:36 302426 https://bkolimp.kg/betting, 104.16.44.254, GET ФНС 200

03.02.2017 0:36 302426 https://bkolimp.kg/betting, 104.16.46.254, GET ФНС 200

03.02.2017 0:36 302426 https://bkolimp.kg/betting, 104.16.45.254, GET ФНС 200

03.02.2017 0:37 303121 https://www.casinobordeaux.com/?lang=en,'>https://www.casinobordeaux.com/?lang=en, 104.16.27.158, GET ФНС 200 С: https://www.casinobordeaux.com/ (104.16.27.158)

03.02.2017 0:37 303121 https://www.casinobordeaux.com/?lang=en,'>https://www.casinobordeaux.com/?lang=en, 104.16.29.158, GET ФНС 200 С: https://www.casinobordeaux.com/ (104.16.29.158)

03.02.2017 0:37 303121 https://www.casinobordeaux.com/?lang=en,'>https://www.casinobordeaux.com/?lang=en, 104.16.31.158, GET ФНС 200 С: https://www.casinobordeaux.com/ (104.16.31.158)

03.02.2017 0:37 303121 https://www.casinobordeaux.com/?lang=en,'>https://www.casinobordeaux.com/?lang=en, 104.16.28.158, GET ФНС 200 С: https://www.casinobordeaux.com/ (104.16.28.158)

03.02.2017 0:37 303121 https://www.casinobordeaux.com/?lang=en,'>https://www.casinobordeaux.com/?lang=en, 104.16.30.158, GET ФНС 200 С: https://www.casinobordeaux.com/ (104.16.30.158)

03.02.2017 0:37 301359 https://www.bkolimp.kg/, 104.16.43.254, GET ФНС 200

03.02.2017 0:37 301359 https://www.bkolimp.kg/, 104.16.47.254, GET ФНС 200

03.02.2017 0:37 301359 https://www.bkolimp.kg/, 104.16.45.254, GET ФНС 200

03.02.2017 0:37 301359 https://www.bkolimp.kg/, 104.16.46.254, GET ФНС 200

03.02.2017 0:37 301359 https://www.bkolimp.kg/, 104.16.44.254, GET ФНС 200

 

только HTTPS в отчете. это не полный список. но и 36 записей за 10 часов это прогресс.

 

вот ответ от ТП только что:

>>> пролезает только https с чем это связано ?

Сейчас мы экстренно дописываем ранее экспериментальный модуль фильтрации по SNI, в виду нового способа проверки доступности ресурсов АС Ревизор-ом. Для простых абонентов достаточно блокировки DNS-спуфингом.

Изменено 3 февраля, 2017 пользователем Avanta-telecom

[Avanta-telecom]

Добились желаемого результата )) !!!Мониторинг не выявил нарушений!!! ура (минус одна головная боль)

[hsvt]

На +\- пару недель :), как добились, поставили недавнее обновление новость о котором сегодня прилетела с рассылки?

[Avanta-telecom]

мне сегодня не прилетало ничего ... там совокупность манипуляций была. и в конце модуль SNI ТП прилепила и все в 0 пошло.

Изменено 9 февраля, 2017 пользователем Avanta-telecom

[Avanta-telecom]

На +\- пару недель :), как добились, поставили недавнее обновление новость о котором сегодня прилетела с рассылки?

сцкна.... 1 пролетел сегодня

[Stiler]

У нас с продуктом никогда таких проблем не возникало. Вроде ТП всегда решает все вопросы. Бывают пропуски, но ребята помогают разобраться в чем проблемы. Расскажите, как решили вопрос?

[Avanta-telecom]

ТП помогала, и сам эксперементировал с зеркалом. помогло изменение порта с которого бралось зеркало. проблема была, что ревизор получал ответ 200 быстрее чем от редуктора перенаправление.

[Andrei]

у меня и на отдельном серваке пропуски, уже неделю с ТП бъемся. по началу под 4000-5000 пропусков за сутки в ЛК надзора, но в большенстве скринов заглушки, в чем причина не понятно, но были и скрины пропусков.

Это при установленном Carbon на вируталке?

[Alex/AT]

Увы, зеркало = высокая вероятность пропуска что на виртуалке, что на железе. Любой удачный дроп или задержка пакета = пропуск.

 

Имхо с появлением "ревизора" и требования фильтрации 100% трафика (а не 99.99...) этот режим работы своё отжил. Теперь только транзит.

[RN3DCX]

задал вопрос техподдержке:

 

Добрый день!
Подскажите, штатно по версии разработчика Carbon Reductor фильтрует на зеркале.
Можно ли в частном порядке переделать данную схему на фильтрацию транзитного трафика?

 

Доброго времени суток. Такая схема работы не предусмотрена. Возможно в отдалённой перспективе, при невозможности фильтровать методом зеркала - переделаем, пока в планах такая задача не стоит.

[Saab95]

Увы, зеркало = высокая вероятность пропуска что на виртуалке, что на железе. Любой удачный дроп или задержка пакета = пропуск.

 

Имхо с появлением "ревизора" и требования фильтрации 100% трафика (а не 99.99...) этот режим работы своё отжил. Теперь только транзит.

 

Нормально все работает на зеркале. У транзита тоже много проблем, о которых любят умалчивать.

Если сеть нормально работает, зеркало идет из правильного места, ревизор подключен через отдельный роутер - пропусков не будет.

[YuryD]

Увы, зеркало = высокая вероятность пропуска что на виртуалке, что на железе. Любой удачный дроп или задержка пакета = пропуск.

 

Имхо с появлением "ревизора" и требования фильтрации 100% трафика (а не 99.99...) этот режим работы своё отжил. Теперь только транзит.

 

Нормально все работает на зеркале. У транзита тоже много проблем, о которых любят умалчивать.

Если сеть нормально работает, зеркало идет из правильного места, ревизор подключен через отдельный роутер - пропусков не будет.

 

У транзита проблем меньше, всё зависит от трафика. Если кто вдруг решил, что его зеркакльные коммутаторы способны нормально зеркалировать, обратитесь к сорму. Мною было экспериментально выяснено, что не все мои дорогие коммутаторы способны зеркалить точно, без пропусков, и рспансессий немного умеют, а еще и не с некольких портов сразу зеркалить не умеют. Получал ата-та.