[myth]

1 час назад, ytil сказал:

1. как проверить работу vlan, трафик должен быть полностью изолирован по идее, но абоненты пингуют друг друга без проблем

по L3, через цепочку FORWARD

 

1 час назад, ytil сказал:

2. при работе с фаерволом с интерфейсом влан работать как с обычным интерфейсом?

Да

1 час назад, ytil сказал:

самый главный вопрос, на маршрутизаторе нужно создавать все используемые в сети вланы?

да.

1 час назад, ytil сказал:

Что будет с пакетом от этого абонента когда он дойдет до маршрутизатора на котором 203 влана нет?

подропается

[ytil]

11 минут назад, myth сказал:

по L3, через цепочку FORWARD

поподробнее пожалуйста, по L2 трафик полностью изолирован у абонов?

Изменено 5 марта, 2018 пользователем ytil

[myth]

трассировка все расскажет

 

Если между абонентскими ip появится ip vpn концентратора, то да, связность по l3

[Ivan_83]

21 час назад, myth сказал:

это разве плохо?

Сколько ещё объяснять что это нарушает приватность?

[ytil]

@myth @Ivan_83 а не знаете как ведут себя vlanы в схеме с ospf? их дублировать как-то надо на всех машрутизаторах? кто сталкивался?

[myth]

ospf кагбэ выше по модели OSI находится.

 

5 часов назад, Ivan_83 сказал:

Сколько ещё объяснять что это нарушает приватность?

в таком случае любой днс нарушает приватность

 

ибо прослушиваем на 146% где угодно по пути следования пакета

[ytil]

@myth если находится выше  по модели ОСИ значит трафик прозрачно пройдет до нужного маршрутизатора? Поясните пожалуйста

[stalker86]

OSPF ничего не знает про вланы, от слова совсем.
а вланам вообще пофиг что там бегает.

[myth]

6 часов назад, ytil сказал:

если находится выше  по модели ОСИ значит

то, что ниже пройдено и выполняется

[AlKov]

В 05.03.2018 в 12:45, ytil сказал:

по идее надо полностью добавлять в конфиг, так не заработало.

#vlan201      
      create bundle template vlan201
      set iface idle 0
      set iface enable tcpmssfix
      set iface up-script "/usr/abills/libexec/linkupdown mpd up"
      set iface down-script "/usr/abills/libexec/linkupdown mpd down"
      set ipcp dns 8.8.8.8
      set ipcp ranges 10.10.0.213 ippool pool1
      create link template vlan201 P
      set link action bundle vlan201
      set pppoe iface vlan201
      set link enable incoming

#vlan202      
      create bundle template vlan202
      set iface idle 0
      set iface enable tcpmssfix
      set iface up-script "/usr/abills/libexec/linkupdown mpd up"
      set iface down-script "/usr/abills/libexec/linkupdown mpd down"
      set ipcp dns 8.8.8.8
      set ipcp ranges 10.10.0.213 ippool pool1
      create link template vlan202 P
      set link action bundle vlan202
      set pppoe iface vlan202
      set link enable incomin

 

Совершенно не нужно. Просто надо "выше" создать шаблон PPPoE

Вот кусок моего рабочего конфига. Добавьте туда ваши up/down скрипты (у меня радиус авторизация), и всё будет путём.

pppoe_server:

    create bundle template P
    set iface idle 0
    set iface disable proxy-arp
    set iface enable tcpmssfix
    set ipcp yes vjcomp
    set ipcp dns xxx.xxx.xxx.xxx
#локальный адрес и пул адресов для клиентов
    set ipcp ranges 172.16.0.4/32 ippool pool1
#создаем шаблон для линков
    create link template PPPoE pppoe
#количество создаваемых линков по данному шаблону
    set link max-children 5000
#
    set pppoe mac-format unformatted
#
#загружаем настройки авторизации по протоколу RADIUS
    load radius
#настраиваем шаблон линка
    set link action bundle P
    set link enable multilink
    set link yes acfcomp protocomp
#настраиваем параметры аутентификации.
    set link disable pap eap
    set link enable chap chap-msv1 chap-msv2 chap-md5
#настраиваем пинг keep_alive
    set link keep-alive 60 120
#принимать с любым именем службы
    set pppoe service "*"
#
#какие интерфейсы будут принимать запросы на установление сессии
# vlan410
    create link template vlan410 PPPoE
    set pppoe iface vlan410
    set link enable incoming
# vlan519
    create link template vlan519 PPPoE
    set pppoe iface vlan519
    set link enable incoming
#
# vlan767
    create link template vlan767 PPPoE
    set pppoe iface vlan767
    set link enable incoming

 

.... etc для каждого vlan
#

[ytil]

@AlKov круто!, попробую

[ytil]

не сочтите за бездарность,а помогите советом

 

Сейчас у меня 2 сервера доступа работают в паре, и авторизация между ними балансируется. Если на я на одном из них настрою vlanы, та балансировки уже не будет получается. И что будет с трафиком от vlanов если этот сервер просто упадет? Как нужно настроить второй сервер чтобы была какая-то отказоустойчивость?

[myth]

3 минуты назад, ytil сказал:

Если на я на одном из них настрою vlanы, та балансировки уже не будет получается

почему?

 

pppoe балансируется сам

[ytil]

5 минут назад, myth сказал:

почему?

 

pppoe балансируется сам

а как нужно настроить порты маршрутизатор <- >  коммутатор? 

например 1-ый порт от роутера с vlan будет транковым для 201 и 202 влана которые на нем настроены

а второй порт для роутера без влан каким должен быть, чтобы если 1-ый упал то абоненты этого не почувствовали? получается тоже транковым для 201 и 202?

если так, то:

1. что происходит с default vlan при попадании на транковый порт? 

2. при создании транкового порта нужно ли добавлять в него 1-ый vlan?

 

заранее спасибо :)

[myth]

я бы 1 влан не использовал для передачи клиентского трафика. Пусть в нем оборудование своей жизнью живет. STP там ходит всякое, итд

[ytil]

@myth а что будет если роутер с вланами упадет? соседский роутер тут не поможет, на нем то vlanы не настроены 

[myth]

Я так больше не могу. Читай матчасть. Как в армии все должно быть. ОДИНАКОВО.

[YuryD]

1 час назад, myth сказал:

Я так больше не могу. Читай матчасть. Как в армии все должно быть. ОДИНАКОВО.

++  Я в таких вариях - типа несколько nas и несколько nat - просто поднял ебгп внутри. А pvst-кольцо, скорее асимметричный цветок - ну есть у меня, и работает. И охренеть!, но правда всё от киско, pvst. Сходимость в лепестках - охрененна, максимум - один пинг при разрыве выпадает.

[myst]

В 3/6/2018 в 13:20, Ivan_83 сказал:

Сколько ещё объяснять что это нарушает приватность?

какая к чертям приватность с андроидами, соц. сетями и прочим. кроме таргетированой рекламы для обычного среднестатистического хомячка это ну ничем не грозит.

[Ivan_83]

9 часов назад, myst сказал:

какая к чертям приватность с андроидами, соц. сетями и прочим. кроме таргетированой рекламы для обычного среднестатистического хомячка это ну ничем не грозит.

Ещё раз.

То что вы там не моетесь и дома в гономесах не только ходите но и в кровати спите не означает что все такие же.

Но вы упорно настаиваете что раз вы такие то давайте и в магазинах будем сметану на развес гономесами черпать и в поликниках нефик стерильностью страдать, деды жили а мы чем хуже!?

 

Есть люди и организации где нет такого бардака.

Есть отдельные устройства отдельных лиц/организаций где нет зондов.

Вот таких людей/организации вы и подставляете.

Или у вас в договоре написано что вы всё сливаете гуглу поэтому не оказываете услуг никому, кроме "среднестатистических хомяков"?

 

В нормальном мире для адекватных людей такое это факап.

Такой же факап как то что некоторые провайдеры сливают все хттп заголовки каким то упырям-типа рекламщикам, ничем не лучше и не хуже. Но упыри хотя бы платят, а вы как дурачки за бесплатно подставляете тех кто вам платит.

И ради чего? Экономии на двух серверах типа атомов с бсд/линукс и анбоунд?

Вы точно провайдер а не сраный пионер на виндовом трафик инспекторе?

[myst]

15 часов назад, Ivan_83 сказал:

Ещё раз.

То что вы там не моетесь и дома в гономесах не только ходите но и в кровати спите не означает что все такие же.

Но вы упорно настаиваете что раз вы такие то давайте и в магазинах будем сметану на развес гономесами черпать и в поликниках нефик стерильностью страдать, деды жили а мы чем хуже!?

 

Есть люди и организации где нет такого бардака.

Есть отдельные устройства отдельных лиц/организаций где нет зондов.

Вот таких людей/организации вы и подставляете.

Или у вас в договоре написано что вы всё сливаете гуглу поэтому не оказываете услуг никому, кроме "среднестатистических хомяков"?

 

В нормальном мире для адекватных людей такое это факап.

Такой же факап как то что некоторые провайдеры сливают все хттп заголовки каким то упырям-типа рекламщикам, ничем не лучше и не хуже. Но упыри хотя бы платят, а вы как дурачки за бесплатно подставляете тех кто вам платит.

И ради чего? Экономии на двух серверах типа атомов с бсд/линукс и анбоунд?

Вы точно провайдер а не сраный пионер на виндовом трафик инспекторе?

Ещё раз курсивом (если вы читать не умеете или как баба между строк читаете) "обычного среднестатистического хомячка" такого рода приватность ну нахрен не вперлась, НЕ хомячек и тот кому есть что "скрывать" и свои ДНС поднимет, и выделенную подсеть купит с преферансом и полисингами. У вас походу запущенный синдром вахтера.

[Ivan_83]

2 часа назад, myst сказал:

Ещё раз курсивом (если вы читать не умеете или как баба между строк читаете) "обычного среднестатистического хомячка" такого рода приватность ну нахрен не вперлась, НЕ хомячек и тот кому есть что "скрывать" и свои ДНС поднимет, и выделенную подсеть купит с преферансом и полисингами. У вас походу запущенный синдром вахтера.

Обычному среднестатистическому хомяку горячая вода нахрен не впёрлась, а кому надо и бойлер поставить могут и в кастрюльке нагреть.

Я с вас фигею.

Вам отвалили бабла за доступ в инет, вы же даёте доступ и заодно без предупреждения сливаете кто куда ходит хмырям из гугла.

Кто вам дозволил решать за ваших клиентов нужна им приватность или нет!?

 

Для справки.

Синдром вахтёра это когда всё запретить и никуда не пущать.

Я же тут ратую за приватность, и как минимум соблюдение и уважение к приватности клиентов.

[myst]

13 часов назад, Ivan_83 сказал:

Кто вам дозволил решать за ваших клиентов нужна им приватность или нет!?

Именно! Это как раз к вам и вопрос. Почему вы за клиента это решаете?

13 часов назад, Ivan_83 сказал:

Синдром вахтёра это когда всё запретить и никуда не пущать.

Именно ваш случай.

[Ivan_83]

5 часов назад, myst сказал:

Именно! Это как раз к вам и вопрос. Почему вы за клиента это решаете?

Ты щас серьёзно или тролишь?

[myth]

таким образом, ты на 146% уверен в том, что по пути следования пакета к корневым днс какой-нибудь Эр-Телеком его не отзеркалит и не отправит кому надо?