myth Опубликовано 5 марта, 2018 · Жалоба 1 час назад, ytil сказал: 1. как проверить работу vlan, трафик должен быть полностью изолирован по идее, но абоненты пингуют друг друга без проблем по L3, через цепочку FORWARD 1 час назад, ytil сказал: 2. при работе с фаерволом с интерфейсом влан работать как с обычным интерфейсом? Да 1 час назад, ytil сказал: самый главный вопрос, на маршрутизаторе нужно создавать все используемые в сети вланы? да. 1 час назад, ytil сказал: Что будет с пакетом от этого абонента когда он дойдет до маршрутизатора на котором 203 влана нет? подропается Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ytil Опубликовано 5 марта, 2018 (изменено) · Жалоба 11 минут назад, myth сказал: по L3, через цепочку FORWARD поподробнее пожалуйста, по L2 трафик полностью изолирован у абонов? Изменено 5 марта, 2018 пользователем ytil Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 5 марта, 2018 · Жалоба трассировка все расскажет Если между абонентскими ip появится ip vpn концентратора, то да, связность по l3 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 6 марта, 2018 · Жалоба 21 час назад, myth сказал: это разве плохо? Сколько ещё объяснять что это нарушает приватность? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ytil Опубликовано 6 марта, 2018 · Жалоба @myth @Ivan_83 а не знаете как ведут себя vlanы в схеме с ospf? их дублировать как-то надо на всех машрутизаторах? кто сталкивался? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 6 марта, 2018 · Жалоба ospf кагбэ выше по модели OSI находится. 5 часов назад, Ivan_83 сказал: Сколько ещё объяснять что это нарушает приватность? в таком случае любой днс нарушает приватность ибо прослушиваем на 146% где угодно по пути следования пакета Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ytil Опубликовано 6 марта, 2018 · Жалоба @myth если находится выше по модели ОСИ значит трафик прозрачно пройдет до нужного маршрутизатора? Поясните пожалуйста Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stalker86 Опубликовано 6 марта, 2018 · Жалоба OSPF ничего не знает про вланы, от слова совсем. а вланам вообще пофиг что там бегает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 6 марта, 2018 · Жалоба 6 часов назад, ytil сказал: если находится выше по модели ОСИ значит то, что ниже пройдено и выполняется Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlKov Опубликовано 7 марта, 2018 · Жалоба В 05.03.2018 в 12:45, ytil сказал: по идее надо полностью добавлять в конфиг, так не заработало. #vlan201 create bundle template vlan201 set iface idle 0 set iface enable tcpmssfix set iface up-script "/usr/abills/libexec/linkupdown mpd up" set iface down-script "/usr/abills/libexec/linkupdown mpd down" set ipcp dns 8.8.8.8 set ipcp ranges 10.10.0.213 ippool pool1 create link template vlan201 P set link action bundle vlan201 set pppoe iface vlan201 set link enable incoming #vlan202 create bundle template vlan202 set iface idle 0 set iface enable tcpmssfix set iface up-script "/usr/abills/libexec/linkupdown mpd up" set iface down-script "/usr/abills/libexec/linkupdown mpd down" set ipcp dns 8.8.8.8 set ipcp ranges 10.10.0.213 ippool pool1 create link template vlan202 P set link action bundle vlan202 set pppoe iface vlan202 set link enable incomin Совершенно не нужно. Просто надо "выше" создать шаблон PPPoE Вот кусок моего рабочего конфига. Добавьте туда ваши up/down скрипты (у меня радиус авторизация), и всё будет путём. pppoe_server: create bundle template P set iface idle 0 set iface disable proxy-arp set iface enable tcpmssfix set ipcp yes vjcomp set ipcp dns xxx.xxx.xxx.xxx #локальный адрес и пул адресов для клиентов set ipcp ranges 172.16.0.4/32 ippool pool1 #создаем шаблон для линков create link template PPPoE pppoe #количество создаваемых линков по данному шаблону set link max-children 5000 # set pppoe mac-format unformatted # #загружаем настройки авторизации по протоколу RADIUS load radius #настраиваем шаблон линка set link action bundle P set link enable multilink set link yes acfcomp protocomp #настраиваем параметры аутентификации. set link disable pap eap set link enable chap chap-msv1 chap-msv2 chap-md5 #настраиваем пинг keep_alive set link keep-alive 60 120 #принимать с любым именем службы set pppoe service "*" # #какие интерфейсы будут принимать запросы на установление сессии # vlan410 create link template vlan410 PPPoE set pppoe iface vlan410 set link enable incoming # vlan519 create link template vlan519 PPPoE set pppoe iface vlan519 set link enable incoming # # vlan767 create link template vlan767 PPPoE set pppoe iface vlan767 set link enable incoming .... etc для каждого vlan # Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ytil Опубликовано 7 марта, 2018 · Жалоба @AlKov круто!, попробую Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ytil Опубликовано 7 марта, 2018 · Жалоба не сочтите за бездарность,а помогите советом Сейчас у меня 2 сервера доступа работают в паре, и авторизация между ними балансируется. Если на я на одном из них настрою vlanы, та балансировки уже не будет получается. И что будет с трафиком от vlanов если этот сервер просто упадет? Как нужно настроить второй сервер чтобы была какая-то отказоустойчивость? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 7 марта, 2018 · Жалоба 3 минуты назад, ytil сказал: Если на я на одном из них настрою vlanы, та балансировки уже не будет получается почему? pppoe балансируется сам Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ytil Опубликовано 7 марта, 2018 · Жалоба 5 минут назад, myth сказал: почему? pppoe балансируется сам а как нужно настроить порты маршрутизатор <- > коммутатор? например 1-ый порт от роутера с vlan будет транковым для 201 и 202 влана которые на нем настроены а второй порт для роутера без влан каким должен быть, чтобы если 1-ый упал то абоненты этого не почувствовали? получается тоже транковым для 201 и 202? если так, то: 1. что происходит с default vlan при попадании на транковый порт? 2. при создании транкового порта нужно ли добавлять в него 1-ый vlan? заранее спасибо :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 7 марта, 2018 · Жалоба я бы 1 влан не использовал для передачи клиентского трафика. Пусть в нем оборудование своей жизнью живет. STP там ходит всякое, итд Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ytil Опубликовано 7 марта, 2018 · Жалоба @myth а что будет если роутер с вланами упадет? соседский роутер тут не поможет, на нем то vlanы не настроены Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 7 марта, 2018 · Жалоба Я так больше не могу. Читай матчасть. Как в армии все должно быть. ОДИНАКОВО. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 7 марта, 2018 · Жалоба 1 час назад, myth сказал: Я так больше не могу. Читай матчасть. Как в армии все должно быть. ОДИНАКОВО. ++ Я в таких вариях - типа несколько nas и несколько nat - просто поднял ебгп внутри. А pvst-кольцо, скорее асимметричный цветок - ну есть у меня, и работает. И охренеть!, но правда всё от киско, pvst. Сходимость в лепестках - охрененна, максимум - один пинг при разрыве выпадает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 11 марта, 2018 · Жалоба В 3/6/2018 в 13:20, Ivan_83 сказал: Сколько ещё объяснять что это нарушает приватность? какая к чертям приватность с андроидами, соц. сетями и прочим. кроме таргетированой рекламы для обычного среднестатистического хомячка это ну ничем не грозит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 11 марта, 2018 · Жалоба 9 часов назад, myst сказал: какая к чертям приватность с андроидами, соц. сетями и прочим. кроме таргетированой рекламы для обычного среднестатистического хомячка это ну ничем не грозит. Ещё раз. То что вы там не моетесь и дома в гономесах не только ходите но и в кровати спите не означает что все такие же. Но вы упорно настаиваете что раз вы такие то давайте и в магазинах будем сметану на развес гономесами черпать и в поликниках нефик стерильностью страдать, деды жили а мы чем хуже!? Есть люди и организации где нет такого бардака. Есть отдельные устройства отдельных лиц/организаций где нет зондов. Вот таких людей/организации вы и подставляете. Или у вас в договоре написано что вы всё сливаете гуглу поэтому не оказываете услуг никому, кроме "среднестатистических хомяков"? В нормальном мире для адекватных людей такое это факап. Такой же факап как то что некоторые провайдеры сливают все хттп заголовки каким то упырям-типа рекламщикам, ничем не лучше и не хуже. Но упыри хотя бы платят, а вы как дурачки за бесплатно подставляете тех кто вам платит. И ради чего? Экономии на двух серверах типа атомов с бсд/линукс и анбоунд? Вы точно провайдер а не сраный пионер на виндовом трафик инспекторе? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 12 марта, 2018 · Жалоба 15 часов назад, Ivan_83 сказал: Ещё раз. То что вы там не моетесь и дома в гономесах не только ходите но и в кровати спите не означает что все такие же. Но вы упорно настаиваете что раз вы такие то давайте и в магазинах будем сметану на развес гономесами черпать и в поликниках нефик стерильностью страдать, деды жили а мы чем хуже!? Есть люди и организации где нет такого бардака. Есть отдельные устройства отдельных лиц/организаций где нет зондов. Вот таких людей/организации вы и подставляете. Или у вас в договоре написано что вы всё сливаете гуглу поэтому не оказываете услуг никому, кроме "среднестатистических хомяков"? В нормальном мире для адекватных людей такое это факап. Такой же факап как то что некоторые провайдеры сливают все хттп заголовки каким то упырям-типа рекламщикам, ничем не лучше и не хуже. Но упыри хотя бы платят, а вы как дурачки за бесплатно подставляете тех кто вам платит. И ради чего? Экономии на двух серверах типа атомов с бсд/линукс и анбоунд? Вы точно провайдер а не сраный пионер на виндовом трафик инспекторе? Ещё раз курсивом (если вы читать не умеете или как баба между строк читаете) "обычного среднестатистического хомячка" такого рода приватность ну нахрен не вперлась, НЕ хомячек и тот кому есть что "скрывать" и свои ДНС поднимет, и выделенную подсеть купит с преферансом и полисингами. У вас походу запущенный синдром вахтера. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 12 марта, 2018 · Жалоба 2 часа назад, myst сказал: Ещё раз курсивом (если вы читать не умеете или как баба между строк читаете) "обычного среднестатистического хомячка" такого рода приватность ну нахрен не вперлась, НЕ хомячек и тот кому есть что "скрывать" и свои ДНС поднимет, и выделенную подсеть купит с преферансом и полисингами. У вас походу запущенный синдром вахтера. Обычному среднестатистическому хомяку горячая вода нахрен не впёрлась, а кому надо и бойлер поставить могут и в кастрюльке нагреть. Я с вас фигею. Вам отвалили бабла за доступ в инет, вы же даёте доступ и заодно без предупреждения сливаете кто куда ходит хмырям из гугла. Кто вам дозволил решать за ваших клиентов нужна им приватность или нет!? Для справки. Синдром вахтёра это когда всё запретить и никуда не пущать. Я же тут ратую за приватность, и как минимум соблюдение и уважение к приватности клиентов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 13 марта, 2018 · Жалоба 13 часов назад, Ivan_83 сказал: Кто вам дозволил решать за ваших клиентов нужна им приватность или нет!? Именно! Это как раз к вам и вопрос. Почему вы за клиента это решаете? 13 часов назад, Ivan_83 сказал: Синдром вахтёра это когда всё запретить и никуда не пущать. Именно ваш случай. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 13 марта, 2018 · Жалоба 5 часов назад, myst сказал: Именно! Это как раз к вам и вопрос. Почему вы за клиента это решаете? Ты щас серьёзно или тролишь? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 13 марта, 2018 · Жалоба таким образом, ты на 146% уверен в том, что по пути следования пакета к корневым днс какой-нибудь Эр-Телеком его не отзеркалит и не отправит кому надо? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...