Перейти к содержимому
Калькуляторы

PPPoe/l2tp сервер на 200-300 подключений

59 минут назад, ixi сказал:

Если они в одном бродкаст домене, отброшен не будет. Самый простой вариант, почему не работает 4 -- неправильная маска, или другой сегмент, опять же.

 

Исправляюсь, вспомнил ту ситуацию более точно -- возможно на неё повлиял бридж. Но проверял точно, независимо от TTL были доступны одновременно все микротики 

 

 

блин. нету там никакого броадкаст домена.

разные части сети. маршрутизаторы. магистрали. разные города.

вы часто видели у провайдеров, чтоб трафик проходящий через 3 маршрутизатора был в одном броадкаст домене?

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, LostSoul сказал:

Нормальная реализация проекта ТС именно так и делается. 

Пользователь выкидывает старую железку и ему выдают новую. 

Преднастроенную  сотрудниками сервиса.

дадада :) при этом - конкурент предлагает ровно то же самое, только у него еще и ничего покупать не надо, все искаропки работает с железкой пользователя, и цена ниже, а бонусом - N месяцев в подарок при подключении услуги или еще какая плюшка. и дешевле к тому же. угадайте, к кому понесет деньги клиент? :)

потому не ровняйте реалии вашего пионернета в глуши, где интернет на оленях развозят и конкурентов ноль целых хрен десятых, с цивилизованным миром.

 

51 минуту назад, ixi сказал:

Для программы-минимум тоннели вообще не нужны. Залез в веб-морду, на айпишник клиента открыли соответствующие проброшенные порты.

ок, залезьте на мой 10.20.30.40, выданный мне провайдером, и сделайте чтобы я мог смотреть камеру отовсюду. что, не выходит, серый адрес? грусть-печаль...

 

51 минуту назад, ixi сказал:

Как сервер/железяка будет залезать на камеру клиента за натом и на случайном айпишнике?

внезапно - по пптп/л2тп туннелю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, ixi сказал:

Для программы-минимум тоннели вообще не нужны. Залез в веб-морду, на айпишник клиента открыли соответствующие проброшенные порты.

это все для сложных случаев.

когда всякие там 4g с серым IP.

а при подключении внешнего ip  перестает действовать безлимит и трафик по 0.25р/ мегабайт.

или когда интернет из экономии тырится из wifi соседнего киоска :-)

 

 

 

 

9 минут назад, NiTr0 сказал:

внезапно - по пптп/л2тп туннелю.

решение  от 5-класников , вчера замутивших крутого провайдера на своем настольном компе с виндой и traffic inspector

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

25 минут назад, NiTr0 сказал:

ок, залезьте на мой 10.20.30.40, выданный мне провайдером, и сделайте чтобы я мог смотреть камеру отовсюду. что, не выходит, серый адрес? грусть-печаль... 

Вы пропустили последний комментарий, про необходимость железки на стороне камеры.

 

34 минуты назад, NiTr0 сказал:

внезапно - по пптп/л2тп туннелю.

Или не пропустили.

 

26 минут назад, LostSoul сказал:

это все для сложных случаев. 

когда всякие там 4g с серым IP. 

Это и есть случай ТС-а. если там статичный белый, вопроса не возникнет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Только что, ixi сказал:

Вы пропустили последний комментарий, про необходимость железки на стороне камеры.

На самом деле большинство дешевых китайских камер имеют на борту linux.

Поэтому у нас есть прошивки с поддержкой нашего "облачного сервиса" для большинства наиболее популярных китайских моделей, собранных на платах от XM  ( hi3516cv300 и подобное )

Только востребовано такое крайне редко , в случае если на объекте всего одна камера.

В ином случае ставится NVR и доступ нужен уже не на камеру, а на NVR.

 

 

 

 

3 минуты назад, ixi сказал:

Или не пропустили.

Для L2TP есть NAT-T режим обхода кривых нат, не поддерживающих трансляцию ESP.  Используются только 500/UDP 4500/UDP и 1723/TCP   ( 4500 - транспортный порт )

 

Но наш собственный протокол, работающий через абсолютно все, начиная от GRE ( лучший вариант ) и заканчивая http и dns запросами , если больше ничего не пролезло.

 

Кстати могу рассказать реальный случай , попалась как-то не запароленная WiFi точка в пятерочке , а мне срочно надо было там камеру на пару дней подключить ( пока наши дуболомы кабель дотянут )

 

так вот у них там в пятерочке какой-то глубокий DPI используется , в результате которого ssh и туннели ssh работают  ( на весь мир )  , а любой sstp  / openvpn или иной туннельный протокол подвешенный в интернете на порт 22 блокируется через несколько килобайт сессии.

 

Но наш роутер с своей прошивкой пробил его на автодетекте  через ssh туннель :-)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

58 минут назад, LostSoul сказал:

решение  от 5-класников , вчера замутивших крутого провайдера на своем настольном компе с виндой и traffic inspector

ну да, то ли дело напарить некротик за 100500 денег, который умеет божественный eoip или sstp :)

клиенту тащемта пофигу - ему главное чтобы работало. и оно таки работает везде - ну кроме мест, где интернет на оленях доставляют в картонных коробках.

 

25 минут назад, ixi сказал:

Вы пропустили последний комментарий, про необходимость железки на стороне камеры.

дык любой сохо роутер умеющий в пптп/л2тп. ценой баксов в 10.

вот только без белого ип, выданного провом, и без туннеля на какой-либо впн сервис настроить на нем проброс портов - какбы можно но бесполезно, пробрасывать-то некуда.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, NiTr0 сказал:

ну да, то ли дело напарить некротик за 100500 денег, который умеет божественный eoip или sstp :)

если бы вы больше молчали и слушали ,  то давно поняли бы  что зрелые полноценные специалисты не страдают фанатизмом в пользу какого-то одного решения или вендора. А для каждого проекта выбирают наиболее подходящий инструмент и технологию.

 

 

1 час назад, NiTr0 сказал:

клиенту тащемта пофигу - ему главное чтобы работало. и оно таки работает везде - ну кроме мест, где интернет на оленях доставляют в картонных коробках.

Из тех протоколов , что поддерживают типовые стандартные мыльницы у PPTP наихудшие шансы на то, что соединение сможет установится.

Его рубят чаще всего.

Наилучшие у sstp - так как он по https порту работает.

 

Но ни то ни другое не годно для задач передачи мультимедийных данных в реальном времени.

И ни то  ни другое не пригодно для туннелирования в реальных российских глубинках.

Смотреть 3G камеры через PPTP это всё равно что в тайгу на жигулях ехать вместо УАЗа или ГАЗона

 

 

1 час назад, NiTr0 сказал:

дык любой сохо роутер умеющий в пптп/л2тп. ценой баксов в 10.

Опять, опять из вас брызжет идиотизм и двойные стандарты.

 

Там где на 100% достаточно обычного микротика вы предлагаете собирать вундер-софт-роутер , лишь бы обосрать микротик.

 

А вот там , где в связи я тяжестью возложенной задачи типовые решения не годятся и работают плохо - предлагаете типовую говно мыльницу с pptp.

 

В отличии от вас, я ценю свое время.   И если бы такую задачу можно было решить с помощью pptp / l2tp / sstp  не стал бы изобретать велосипед.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 часа назад, NiTr0 сказал:

угадайте, к кому понесет деньги клиент? :)

Мне не надо угадывать - у меня сервис 5 лет успешно работает.

Вы меня уже учили тут делать софт-роутеры,  проектировать сети , ну теперь для смеха поучите меня маркетингу - как услуги придумывать и продавать.

 

мамку щи варить когда учить будете?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 hours ago, LostSoul said:

Наилучшие у sstp - так как он по https порту работает.

 

Что-то сразу припомнился "VPN для бедных мужчин". :) Я имею ввиду ppp over ssh

 

:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

15 часов назад, LostSoul сказал:

Поэтому у нас есть прошивки с поддержкой нашего "облачного сервиса" для большинства наиболее популярных китайских моделей, собранных на платах от XM  ( hi3516cv300 и подобное ) 

Если вы готовы передать их вместе с сервисом ТС-у, то спорить не о чем, замечательное решение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

14 часов назад, LostSoul сказал:

Из тех протоколов , что поддерживают типовые стандартные мыльницы у PPTP наихудшие шансы на то, что соединение сможет установится.

Его рубят чаще всего.

да никто вменяемый его не рубит из провайдеров (мы же не о пионерии типа подключения через хотспот соседской кафешки?). рукожопы-пионеры - вполне могут недокрутить хелпер, но не более, и решается это руганью с техподдержкой.

ибо де-факто энтерпрайз стандарт.

 

14 часов назад, LostSoul сказал:

Но ни то ни другое не годно для задач передачи мультимедийных данных в реальном времени.

И ни то  ни другое не пригодно для туннелирования в реальных российских глубинках.

никакого реального времени там нет - это первое, задержки даже в 10 секунд, как и выпадения нескольких кадров в час, никто не заметит.

ну а про российские глубеня, где интернет буряты на оленях в коробках развозят - то отдельный разговор, и ТС вроде как не на них ориентируется.

 

14 часов назад, LostSoul сказал:

А вот там , где в связи я тяжестью возложенной задачи типовые решения не годятся и работают плохо - предлагаете типовую говно мыльницу с pptp.

вот только пичаль в том, что мыльница у абона уже есть. а волшебный некротик за 100500 денег его надо убедить купить. и если после этого у клиента будет видео хоть немного лагать (потому что интернет буряты в коробках возят, и коробки по дороге теряют) - угадайте с трех раз, кто в этом будет виноват? :)

 

ну и да, pptp вполне себе прекрасно работает даже на линках с потерями при элементарном отключении packet reordering.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@NiTr0 

pptp это энтерпрайз-стандарт? где? ни разу ни один заказчик не давал доступ по pptp (обычно это всякие cisco anyvpn, ipsec-и различных вариаций с вендорскими нашлёпками, иногда openvpn, pptp ни разу не предлагали)

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, NiTr0 сказал:

да никто вменяемый его не рубит из провайдеров

Все давно уже поняли, что ничего крупнее локалхоста вы не админили.

Но ради тех новичков, которые возможно будут читать ваш самоуверенный бред, приходится тратить время и комментировать вашу ахинею.

 

Все строго наоборот.

У мелких пионернетов с их тазами на линуксах или микротиками PPTP не режется - так как в OS Linux на которых они собраны nat gre helper module включен "из каробки" .

 

Строго наоборот обстоит дело у большинства крупных провайдеров-чемпионов и в филиалах разных мега-телекомах.

На их крупных и дорогих вендорских железках модуль gre nat helper не включен по умолчанию и часто не включается.

Делается это не чтоб нагадить пионерам, пытающимся гонять PPTP , а банально 1) не знают что это и зачем 2) забыли 3) из соображений стабильности 4) из соображений снижения нагрузки на control plane.

А для тех кто недоволен и своими жалобами мог бы повлиять на ситуацию у поддержки и маркетинга есть стандартный ответ "Подключите услугу внешнего IP-адреса"

 

 

1 час назад, NiTr0 сказал:

никакого реального времени там нет - это первое,

Сорву для вас покровы.

Огромное количество людей использует IP-камеры в режиме интеркома/домофона.

И ожидать по 10 секунд каждый ответ собеседника их не устраивает от слова совсем.

Через нашу систему ( при нормальной работе каналов интернет без перегрузки у камеры и у мобильного пользователя ) задержки не превышают обычно 50-60мс

( камера - интернет - наш ближайший узел распределенной сети доступа -- интернет -  клиент )

 

1 час назад, NiTr0 сказал:

вот только пичаль в том, что мыльница у абона уже есть.

Новая мыльница стоит 1800-2500р

Командировка специалиста из Москвы, умеющего настраивать pptp, в зависимости от места, стоит от 5000р до 250000р ( в зависимости от региона и населенного пункта )

Угадайте, что выберет клиент, если он не умеет настраивать pptp сам?

 

И с чего вы собственно взяли, будто "мыльница уже есть" ?

Даже если она теоретически и есть, то чаще всего не в том месте , куда монтажнику удобно свети провода от камер видеонаблюдения.

Так как вменяемый монтажник видеонаблюдения вешает внезапно металлический шкаф в труднодоступном для чужих месте , с видеорегистратором и блоком бесперебойного питания внутри.

 

Халтурщиков , протянувших 8 кооксальных проводов человеку прямо на письменный стол в кабинете частного дома на рублевке я ,конечно, тоже видел.

Ну это такой же как вы товарищ,  из примеров "каким быть нельзя".

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, NiTr0 сказал:

гадайте с трех раз, кто в этом будет виноват? :)

Я не могу угадать что случится в ваших бредовых влажных фантазиях , по следующим причинам

 

1) для обсуждаемого тут проекта мы не используем железо Mikrotik.   Не из-за каких то его недостатков, а лишь из-за слабой доступности в магазинах за пределами МКАД  ( и в ее пределах тоже )

 

2) Наше устройство , представляющее из себя "зонд" с преднастроенным "из коробки" статическим внешним IP-адресом  не требует чтоб его устанавливали в качестве главного или транзитного роутера.   Оно запросто ставится "сбоку"  как второй роутер / дополнительная точка доступа. И гонять через него трафик приставки никто не заставляет. 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, s.lobanov сказал:

pptp это энтерпрайз-стандарт? где?

практически везде, где есть windows server, удаленный доступ к нему организовывают через пптп. немного реже - всякие там цисковпн и т.п., и практически никогда - л2тп.

 

59 минут назад, LostSoul сказал:

Строго наоборот обстоит дело у большинства крупных провайдеров-чемпионов и в филиалах разных мега-телекомах.

угу, во влажных фантазиях пионеров, не осиливших в pptp/gre helpers :)

 

1 час назад, LostSoul сказал:

Огромное количество людей использует IP-камеры в режиме интеркома/домофона.

и при этом - смотрят в камеру через стороннего прова, находясь за много километров от дома. круглосуточно смотрят, чтобы посетителя не пропустить, да. или посетитель звонит им на мобильный, чтобы это самое огромное количество людей посмотрело в свою айпи-камеру.

ох уж эти пионеры-фантазеры :)

 

1 час назад, LostSoul сказал:

Даже если она теоретически и есть, то чаще всего не в том месте , куда монтажнику удобно свети провода от камер видеонаблюдения.

какому монтажнику, вы о чем?

человек предлагает СЕРВИС, который позволит владельцу айпи камеры смотреть в свою камеру (или несколько камер) со своего смартфона отовсюду, а не только со своего дивана.

в каком месте вы увидели здесь монтажика?

и да, внезапно, чтобы посмотреть в айпи камеру со смартфона даже с дивана - таки нужна какая-то мыльница.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, NiTr0 сказал:

угу, во влажных фантазиях пионеров, не осиливших в pptp/gre helpers :)

на cisco asr1k nat на большинстве версий режет pptp (хоть при включенном, хоть при выключенном ALG), а asr1k используют-таки операторы в РФ. В Украине наверное поменьше, не знаю

 

3 минуты назад, NiTr0 сказал:

практически везде, где есть windows server, удаленный доступ к нему организовывают через пптп. немного реже - всякие там цисковпн и т.п., и практически никогда - л2тп.

ну хз, видимо мы взаимодействовали с разными энтерпрайзами...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

On 2/10/2019 at 11:49 AM, NiTr0 said:

сам радиус на pyrad

Он у вас в продакшене работает? А расскажите про нагрузку? Смотрел свое время на него,не решился в продакшн прикрутить. C джангой вязали?

Изменено пользователем zdutpdzi

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, zdutpdzi сказал:

Он у вас в продакшене работает? А расскажите про нагрузку? Смотрел свое время на него,не решился в продакшн прикрутить. C джангой вязали?

нет, в проде пока абиллс, но я не думаю что радиус даст сколь-либо ощутимую нагрузку (протокол-то довольно примитивный). и на том же абиллсе все в базу упирается, при всей кривости кода.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

12 minutes ago, NiTr0 said:

радиус даст сколь-либо ощутимую нагрузку

да я собственно и хотел узнать,где потолок,python все-таки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

перл/пыха5 ничем не лучше по производительности - а биллинги на них таки есть :)

 

у питона скорее загвоздка в многопоточности (вернее, ее отсутствии) - придется multiprocessing крутить для серьезных нагрузок, ну или с twisted заморачиваться если совсем уж по феншую (т.к., думается, основную часть времени там будут жрать именно скл запросы)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 13.02.2019 в 13:04, NiTr0 сказал:

практически везде, где есть windows server, удаленный доступ к нему организовывают через пптп. немного реже - всякие там цисковпн и т.п., и практически никогда - л2тп.

image.thumb.png.d7eb9126f70a0d51d7601b77661f3849.png

 

В  80% случаев адекватные клиенты ставят для таких целей микротик и весь vpn разруливают на нем.

Оставшиеся 20% ставят какое-нибудь дно типа зюксель кинетик гига и делают на нем ipsec  или l2tp туннели.

Бронтозавров , поднимающих pptp на Windows сервере последний раз видел году в 2000ом примерно.

Примерно рядом с Microsoft ISA и первым ADSL в москве от комстар  и "точка-ру" для корпоратов.

 

 

 

В 13.02.2019 в 13:04, NiTr0 сказал:

угу, во влажных фантазиях пионеров, не осиливших в pptp/gre helpers :)

Админы мамкиного компа на улицу не выходят видимо.

Иначе бы знали , что при перемещении по городу pptp во многих местах не работает даже через тех ОПСОС, через которых оно работает обычно.

Связано ли это с совпадаением "более 1 gre сессии на один внешний IP из пула"  или просто попаданием на железку в кластере на которой забыли включить gre-хелпер  хз.

 

 

 

В 13.02.2019 в 13:04, NiTr0 сказал:

ох уж эти пионеры-фантазеры :)

Да  , нужно быть пионером с сильно извращенной фантазией , чтоб думать что кто-то станет ставить IP-камеру в режиме домофна ради того чтоб принимать видеозвонки сидя при этом в том же помещении.

 

Люди внезапно вообще ставят камеры и видеодомофоны  как раз для того, чтоб видеть и слышать что происходит на обьекте -  дистанционно.

А домофон с видео , ставят как раз для того чтоб "никто не догадался что они не дома".

Ну пионеру, за которого вопросы безопасности решают мамка с папкой это непонятно.

Пионер камеры ставит чтоб перед однокласниками похвастаться. 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 13.02.2019 в 13:04, NiTr0 сказал:

человек предлагает СЕРВИС, который позволит владельцу айпи камеры смотреть в свою камеру (или несколько камер) со своего смартфона отовсюду, а не только со своего дивана.

Вы просто очень далекий от реальной жизни и реальной работы пионер.

Ковыряющийся в линуксах ради хобби, а не зарабатывая денег.

 

Мне с первых же слов ТС было понятно , что он делает сервис для установщиков видео наблюдения, а не конечных пользователей.

И ниже сам ТС про это писал тоже.

 

 

 

В 11.02.2019 в 23:23, Zusk сказал:

2. Я не провайдер, не VPN, не для клубнички.. все точка... это только для видеонаблюдения (регистраторы и камеры)

..

4. Сайта не будет... это только для своих монтажников (и так хватит людей...) 

 

 

В 13.02.2019 в 13:04, NiTr0 сказал:

какому монтажнику, вы о чем?

человек предлагает СЕРВИС, который позволит владельцу айпи камеры смотреть в свою камеру (или несколько камер) со своего смартфона отовсюду, а не

Человек ничего не предлагает.

А хочет сделать для своих знакомых/партнеров и.т.п.   приватный сервис ,  позволяющий монтажникам настраивать доступ к китайским камерам видеонаблюдения не через китайское нестабильно работающее облако,  а через то, которое будет контролировать он сам.

 

Ради этого, он не обладая нужными техническими знаниями и навыками этот сервис пытается сконструировать и консультируется в данной теме про оборудование.

 

Главная цель - избавить его знакомых монтажников видеонаблюдения от постоянных претензий со стороны клиентов, что "камера которую вы поставили нестабильно показывает/опять отвалилась".

В 99% -- это новые монтажи и новые "мыльницы".

 

И естественно что монтажнику проще принести с собой преднастроенную мыльницу с специальной оптимизированной под задачу прошивкой ( в том  числе с пробивающим любые файрволы и устойчивым к высоким потерям пакетов комплектом сетевых протоколов и заранее преднастроенным внешним IP )  чем разбираться что за интернет имеется на месте , пройдет ли через него pptp , настраивать это гребанное pptp а потом все равно слушать мат от клиента когда народ на дачи приехал и 3g стало плохо работать с потерями.

 

У нас как правило в любой не совсем обычной ситуации монтажник просто включает коробку в любой доступный интернет ( 4g свисток, имеющийся ethernet роутер , или wifi  )  а дальше звонит нам в поддержку и мы разбираемся и настраиваем там по месту резервирование через 2-3 канала , оптимальные параметры протокола, мониторинг нужных портов и внутренних IP, мониторинг напряжения питания от БП с аккамулятором , если он есть  и так далее.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

7 часов назад, zdutpdzi сказал:

. C джангой вязали?

теперь мне уже интересно, что там есть под джангу для радиуса? :-)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 13.02.2019 в 15:57, LostSoul сказал:

У мелких пионернетов с их тазами на линуксах или микротиками PPTP не режется - так как в OS Linux на которых они собраны nat gre helper module включен "из каробки" .

По дефолту просто собран, в виде модуля, когда тюнил конфиг ядра, пересобрал с автозагрузкой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 часов назад, LostSoul сказал:

В  80% случаев адекватные клиенты ставят для таких целей микротик и весь vpn разруливают на нем.

Оставшиеся 20% ставят какое-нибудь дно типа зюксель кинетик гига и делают на нем ipsec  или l2tp туннели.

Никогда не трахал мозг с впн и просто пробрасывал 3389 наружу, часто на какой то другой порт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.