Перейти к содержимому
Калькуляторы

PPPoe/l2tp сервер на 200-300 подключений

2 минуты назад, Ivan_83 сказал:

Никогда не трахал мозг с впн и просто пробрасывал 3389 наружу, часто на какой то другой порт.

Так VPN нынче не для этого.

Там теперь всякие фискальники и ЕГАИС с хитрыми привязками к адресам и.т.п.

и их на одно торговое предприятие может быть много

А на кассу в общем случае по RDP не очень и зайдешь - там производственный процесс без остановки

если только терминальный сервис патчить в windows и входить в фоне другим пользователем.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 часов назад, LostSoul сказал:

В  80% случаев адекватные клиенты ставят для таких целей микротик и весь vpn разруливают на нем.

:рукалицо: сразу видно пионера, для которого энтерпрайз - это подвальчик "у Ашота", у которого целый некротик купили по совету пионеродмина...

в энтерпрайзе (ну том, где сотни филиалов и десятки тысяч рабочих мест) некротиками (как и прочими длинками и зухелями) даже и не пахнет. максимум - радиомост там, где кабель никак (типа козлового крана), и то только из-за практически полного отсутствия альтернатив от топ-3 (циска/джунипер/экстрим).

 

6 часов назад, LostSoul сказал:

А домофон с видео , ставят как раз для того чтоб "никто не догадался что они не дома". 

дадада, и постоянно "не дома" пырятся в экран камеры чтобы видеть кто пришел :рукалицо:

 

6 часов назад, LostSoul сказал:

теперь мне уже интересно, что там есть под джангу для радиуса? :-)

прямыми руками вяжется любой питон радиус-сервер, хоть pyrad хоть еще что. не, можно конечно и с фрирадиусом увязать, но смысла с этого ноль целых хрен десятых (радиус - нересурсоемкая вещь).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 минуты назад, NiTr0 сказал:

:рукалицо: сразу видно пионера, для которого энтерпрайз - это подвальчик "у Ашота"

 

Накатал тут для доморощенного линуксоида-кулхацкера  целую методичку по определению уровня офисного админа по применяемым технологиям.

Но решил не метать бисер зря.

Поэтому, "студент" , просто запомни - если ты видишь офисного админа настраивающего pptp на сервере --- это как специалист полное дно.

От него, до способного нормально поднять туннели на микротик - пропасть в 2-3 квалификационные ступеньки.

 

( исключения по ситуации бывают, говорит про базу )

 

ещё характерные черты безграмотного пионера-аникейшика , кроме pptp

1) настройка на компьютере team viewer  для последующей удаленной поддержки и вообще использование team viewer без клинических показаний к этому

2) настройка конфигурации tcp-ip вручную где надо и где не надо

3) хватит пока и двух....

 

 

29 минут назад, NiTr0 сказал:

дадада, и постоянно "не дома" пырятся в экран камеры чтобы видеть кто пришел :рукалицо:

дурик, на домофоне кнопка есть . 

А на некоторых даже не одна.

Сейчас несколько таких включаем ,  на воротах для проездов к арендаторам.

 

image.thumb.png.1e0d96d4b80d0074de3e12c8908ee6c2.png

 

А еще, в ПО для видеокамер ( внезапно для пионеров ) есть тревожная сигнализация и видеоаналитика.

И если кто-то трется в "желтой зоне" детектора более положенного времени ( не прошел мимо ) , то смартфон начинает вибрировать привлекая внимание

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

35 минут назад, NiTr0 сказал:

это подвальчик "у Ашота", у которого целый некротик купили по совету пионеродмина...

Это счастье, когда купили микротик.  Можно спокойно жить.

Сегодня с одной новой заезжающей кафешкой среднего уровня клиентом мучились пол дня , так как он вместо того чтоб поменять 5-портовый микротик на 10-портовый  решили временно обойтись второй 5-портовой мыльницей , которая начала виснуть после каждого кольцевания сети.

А кольцевали они ее весь день.

Микротику понятное дело ничего не было, как работал так и работал.   Длинк умирал намертво.

К вечеру уже почти утвердился в желании подарить им 10портовый микротик в подарок.

 

 

40 минут назад, NiTr0 сказал:

прямыми руками вяжется любой питон радиус-сервер, хоть pyrad хоть еще что. не, можно конечно и с фрирадиусом увязать, но смысла с этого ноль целых хрен десятых (радиус - нересурсоемкая вещь).

понятно, вы про какую=то другую джангу.

я про cms-админку на питоне.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 hours ago, LostSoul said:

понятно, вы про какую=то другую джангу.

я про cms-админку на питоне.

Нормально pyrad вяжется с джангой. Я не знаю,что это за cms-админка на питоне,про которую вы говорите,мы про фреймворк под названием джанго говорим (да,у него есть встренная админка).

Вопрос тут больше про производительность. Питон все-таки. Но может еще раньше и в базу упереться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

9 часов назад, LostSoul сказал:

Поэтому, "студент" , просто запомни - если ты видишь офисного админа настраивающего pptp на сервере --- это как специалист полное дно.

От него, до способного нормально поднять туннели на микротик - пропасть в 2-3 квалификационные ступеньки.

дно - это если горе-пионер путает подвальчик "у Ашота" с энтерпрайзом.

 

9 часов назад, LostSoul сказал:

Это счастье, когда купили микротик.  Можно спокойно жить.

Сегодня с одной новой заезжающей кафешкой среднего уровня клиентом мучились пол дня , так как он вместо того чтоб поменять 5-портовый микротик на 10-портовый  решили временно обойтись второй 5-портовой мыльницей , которая начала виснуть после каждого кольцевания сети.

А кольцевали они ее весь день.

об чем и речь - весь "энтерпрайз" налицо, к другому пионера не даже подпускали :)

 

9 часов назад, LostSoul сказал:

дурик, на домофоне кнопка есть . 

А на некоторых даже не одна. 

угу, и чудо-софт, который работает и с произвольными tcp портами проброшенными через нат, и на перегруженном 3g (где 300-500мс пинг получить - легко, а скорость - от силы пару мегабит, при этом падает намного ниже)...

 

9 часов назад, LostSoul сказал:

понятно, вы про какую=то другую джангу.

я про cms-админку на питоне.

понятно, вы джангу видели так же как и энтерпрайз - на картинке :)

 

5 часов назад, zdutpdzi сказал:

Вопрос тут больше про производительность. Питон все-таки. Но может еще раньше и в базу упереться.

сам радиус-протокол примитивный же. аккаунтинг - сотню запросов в секунду обработать вообще не проблема (там по сути 1 апдейт строчки в базе, + возможно инсерт в табличку детализованной статистики), а это при интервале аккаунтинга пускай даже минуту - 6 тыс. онлайн. авторизация - даже если биллинг будет жевать ее секунду (как абиллс), ничего страшного не случится, в конце концов - пачка запросов авторизации таки большая редкость. при этом если нормально подойти (не как в абиллсе) - авторизация не такая уж и ресурсоемкая задача.

 

не, для "больших" биллингов на 20-50-100 тыс. онлайна оно мож и станет критичным, мож даже и twisted не поможет, но для мелких с расчетным онлайном до 10к - я думаю что вполне вытянет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, NiTr0 сказал:

об чем и речь - весь "энтерпрайз" налицо, к другому пионера не даже подпускали :)

 

Перед тобой, юный школьник , уже 4 раза метали бисер.

Что для каждой задачи - свое оборудование.

Но ты слеп , глух и необучаем.

Поэтому, считай дальше, что маленькое кафе это "ентерпрайз".

 

4 раза перед тобой метали бисер.....   что на видеокамеру в мухосранск мы ставим TP-Link с Openwrt потому что его в мухосранксе запасной потом купить быстрее и проще.

4 раза метали бисер, что в московское кафе у Ашота ( и не очень )  ставим микротик разной степени паршивости , потому что надежно работает, не виснет от кольцевания, шикарно управляется и мониторится из Zabbix , хорошо  взаимодействует с дешевыми ИБП или PowerBank , потому что умеет получать питание c POE-коммутатора от нашего узла по кабелю, и еще и каскадировать POE через 5 порт на точку доступа , и потому что есть единая линейка железок любого размера, количества портов, цены и форм-фактора  , по одинаковому API цепляемого в биллинг и мониторинг....

 

4 раза метали бисер , что на маленькое отдельное от остальной сети здание с 3-4 организациями среднего размера и парой внешних BGP-каналов ставим что-нибудь вроде RB1100 две штуки , аплинки включаем "крест накрест" через ethernet bypass , а клиентам тянем 2 кабеля.  И таким образом при выходе из строя любой одной железки или канала все продолжает работать.

 

4 раза метали бисер что в "ентерпрайз"  ставим Cisco Catalyst ME  ( и не потому что оно лучше , а просто для респектабельности ) 

 

4 раза метали бисер, что на доступ в многоквартирных домах ставим DLink DES-3200 , так как там адекватная технология авторизации клиентов на порту подключения и продаются они по цене "картошки".

 

 

Но жырный троль все прыгает , брызгает слюной и никак не успокоится.

Давай я буду в дальнейшем сюда ссылку давать,  чтоб ты поменьше подпрыгивал?

 

 

 

1 час назад, NiTr0 сказал:

угу, и чудо-софт

к этому нету чудо-софта.  Он SIP.

В качестве чудо софта идет asterisk и какой-нибудь CSipSimple с стороны абонента.

Или аппаратный видеотелефон на столе на рецепшене.

А уникальность указанного изделия в том , что в ней китайцы специально по моему заказу реализовали функционал  "жмкаем кнопочки 1-8 в одно прикосновение , и сразу же идет вызов по extention 101-108 "  без нажатия каких-то дополнительных кнопок В , Dial и так далее.

А на нижнюю светящуюся красным кнопку мы проезд для  экстренных служб навернём.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, LostSoul сказал:

4 раза метали бисер, что в московское кафе у Ашота ( и не очень )  ставим микротик разной степени паршивости , потому что надежно работает, не виснет от кольцевания, шикарно управляется и мониторится из Zabbix , хорошо  взаимодействует с дешевыми ИБП или PowerBank , потому что умеет получать питание c POE-коммутатора от нашего узла по кабелю, и еще и каскадировать POE через 5 порт на точку доступа , и потому что есть единая линейка железок любого размера, количества портов, цены и форм-фактора  , по одинаковому API цепляемого в биллинг и мониторинг....

повторюсь - ваше кафе "у Ашота" к энтерпрайзу не имеет никакого отношения, как и вы. и вас с вашими некротиками и прочими мыльничками из любого энтерпрайза погонят ссаными тряпками взашей при любом их упоминании в проектной документации (дада, бурят на оленях, крутящий проводки по наитию принятых накануне мухоморов - это не про энтерпрайз).

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 часа назад, NiTr0 сказал:

повторюсь - ваше кафе "у Ашота" к энтерпрайзу не имеет никакого отношения, к

так это вы , в режиме своего толстого троллинга и передергивания фраз собеседника , перевели тему с "клиентов-юрлиц" до большого ентерпрайза.

Это вы со своим большим и толстым троллингом начали тут галлюцинировать про гирлянды из микротиков, хотя вам десяток раз было сказано что ниша микротик в нашей сети это мосты p2p , абонентское CPE , хотспоты для публичного WiFi ,  и иногда пограничный роутер для изолированной части сети на 3-4 средних клиента ( rb1100 , rb4011 ) .

То , будто мы ставим mikrotik для крупных клиентов - ваши выдумки.

А вот то, что они сами ( их штатные админы )  , а так же организации, занимающиеся обслуживанием всяких торговых систем и платформ ставят микротики - это чистая правда.

Потому что надо быть вообще полным кретином , чтоб зная о существовании микротика поднимать vpn на Windows сервере.

Это примерно так же глупо , как скажем делать офисное рабочее место из роутера.

 

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 часа назад, NiTr0 сказал:

и вас с вашими некротиками и прочими мыльничками из любого энтерпрайза погонят ссаными тряпками взашей при любом их упоминании в проектной документаци

дурачина, ты простофиля - всё что можно про тебя сказать.

Скорее всего , ты их тех кто просиживает жизнь за компьютером вообще не выходя в реальный мир.

И вылезал из дома последний раз 10-15 лет назад.

Зайди в любой датацентр.   

Почитай таблички на шкафах. 

Посмотри какое оборудование там стоит.

В 30% - 60% шкафов любых крупных компаний ты увидишь Mikrotik.

Из мест, где лично своими глазами и настраивал  Mikrotik :   минстрой ,  росатом , роскомнадзор , несколько коммерческих банков , МФЦ нескольких крупных городов московской области.  Во всех этих случаях решение о покупке Mikrotik и выборе модели принималось до меня, ко мне обращались за помощью в вопросах вызывающих сложности.

 

Ваше отрицание очевидного, что микротик давно уже теснит "известные бренды"  даже в самом крупном бизнесе - никак не изменит этого факта.

 

И да, провайдер , работающий с топовым сегментом клиентов пока не может себе такое позволить. 

Потому что могут не понять.

А вот из того что бизнес покупает себе сам - микротик уже прочно занял нишу роутера для задач, в которых допустима  небольшая экономия.

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, LostSoul сказал:

так это вы , в режиме своего толстого троллинга и передергивания фраз собеседника , перевели тему с "клиентов-юрлиц" до большого ентерпрайза.

нет, это вы энтерпрайз (где пптп живее всех живых) свели к подвалам "у Ашота" (в котором вы таки поставили некротик - и от того он стал Ынтырпрайзом).

 

1 час назад, LostSoul сказал:

В 30% - 60% шкафов любых крупных компаний ты увидишь Mikrotik.

ДТЭК очевидно - недостаточно крупная компания. потому что некротиком там и не пахнет, нигде - ни в шкафах, ни в офисах, ни даже в филиалах на пару десятков компов.

а все по одной простой причине: никакого SLA и никакого саппорта. ну т.е. встала сеть раком - и хрен его знает кто виноват и что делать (ну можно конечно пионеродминов, которые мышкой клац-клац, подрючить - да только толку с этого не будет), а бабки-то теряются.

напомнить как там в том году некротики ломали через дырень, нет - ДЫРЕНЬ? или позабыли?

 

1 час назад, LostSoul сказал:

Из мест, где лично своими глазами и настраивал  Mikrotik :   минстрой ,  росатом , роскомнадзор , несколько коммерческих банков , МФЦ нескольких крупных городов московской области.  Во всех этих случаях решение о покупке Mikrotik и выборе модели принималось до меня, ко мне обращались за помощью в вопросах вызывающих сложности. 

теперь понятно, почему в последние годы регулярно что-то падает/горит/взрывается :) лепят из гуана пулю - а потом удивляются, что ж этот сохо дешман не работает-то как ожидалось :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, NiTr0 сказал:

никакого SLA и никакого саппорта. ну т.е. встала сеть раком - и хрен его знает кто виноват и что делать

В нормальной компании есть конкретное ответственное лицо с именем и фамилией.

Именно оно отвечает за то чтоб все работало, а так же наличие запасного плана что и как делать, если работать перестанет.

SLA и саппорт нужны только ссыкливым безграмотным "ИТ-директорам" сидящим не на своем месте, чтобы прикрыть жопу и было на кого свалить ответственность.

Ну и для попилов и откатов ещё.

 

 

3 минуты назад, NiTr0 сказал:

напомнить как там в том году некротики ломали через дырень, нет - ДЫРЕНЬ? или позабыли?

 

 У вас такой круг общения - мамкиных  домашних школьников кульхацкеров.

Вот у них и "дырень".

Среди моего окружения практически ничего и никому через "дырень" не сломали.

В 2-3 случаях ломанул какой-то робин-гуд и закрыл внешние подключения файрволом  ( там где они по недоразумению или выборочному разгильяйству был открыт )

В всех 2-3 случая вопрос был исправлен за несколько минут - конфигурация востановлена из бекапа , прошивка обновлена.

Это ДЫРЕНЬ о которой вы говорите , заняла на свое устранение лишь 4-5 минут времени скучающего дежурного админа.

 

А теперь давайте сравним и посчитаем , сколько минут перегружается после обновления прошивки Mikrotik , а сколько какой-нибудь Cisco ASR

 

 

 

 

7 минут назад, NiTr0 сказал:

  

теперь понятно, почему в последние годы регулярно что-то падает/горит/взрывается :) лепят из гуана пулю - а потом удивляются, что ж этот сохо дешман не работает-то как ожидалось :)

если набирать таких как вы - все работает одинаково хреново.

Хороший же специалист, поставленный в безвыходное положение , сумеет из любого говна сделать конфетку.

А при наличии полномочий - просто выберет оптимальное решение.

Без фанатизма и крайней ненависти к шпротам и микротикам.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, LostSoul сказал:

Именно оно отвечает за то чтоб все работало, а так же наличие запасного плана что и как делать, если работать перестанет.

ок, обнаружили ДЫРЕНЬ в некротике. саппорта - нет. когда патч ждать - неизвестно. "ответственное лицо" рвет волосы во всех местах, потому что сделать не может ни-че-го, а убытки (исчисляемые десятками, если не сотнями тысяч долларов за час простоя) - будут вычитать из его зарплаты в ближайшие лет 200.

 

3 минуты назад, LostSoul сказал:

SLA и саппорт нужны только ссыкливым безграмотным "ИТ-директорам" сидящим не на своем месте, чтобы прикрыть жопу и было на кого свалить ответственность.

нет, SLA нужно для того, чтобы производитель либо прислал патч, либо - возместил убыток, причиненный жопорукостью его индусов.

если нет ни того ни другого - это самое что ни на есть сохо, где никто ни за что не отвечает, и каждый кто купил дешман - е**тся сам с его глюками и дырами как может.

потому, повторюсь, в нормальном энтерпрайзе некротиками и не пахнет. и пионеров, которые предлагают купить сохо какаху и потом свалить гемор по ее поддержке в сколь-либо работоспособном состоянии на головы админов компании - гонят сразу взашей ссаными тряпками.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

10 минут назад, NiTr0 сказал:

нет, это вы энтерпрайз (где пптп живее всех живых) свели к подвалам "у Ашота" (в котором вы таки поставили некротик - и от того он стал Ынтырпрайзом).

 

Тот крупный бизнес , который вы тут пытаетесь называть ентерпрайсом ,  PPTP на сервере не поднимал НИКОГДА в обозримом настоящем прошлым и будущим.

В таком бизнесе для решения любой задачи приглашается системный интегратор , который принесет свое решение за много-много капусты.

И никогда в жизни таким решением не было включение PPTP на Windows Server.

 

PPTP исходно включали маленькие и средние лавки ашот и ашот+  

Вот вам и ответили , что те за те последние 15-20 что вы просидели дома , времена изменились , и те кто так делали ранее - давно перестали.

 

 

2 минуты назад, NiTr0 сказал:

"ответственное лицо" рвет волосы во всех местах,

Он ничего нигде не рвет , у него просто все работало как работало.

А проблемы пионеров , не дружащих с элементарным здравым смыслом и выставившим критические для них роутеры прямо голой жопой в интернет - никакой саппорт не поможет.

Что будет делать саппорт cisco с взломанной циской на 100500 портов , с которой взломщик удалил конфигурацию на 100500 сложных acl и vlan и оставил кукиш с маслом?

Если у горе-админов вроде вас не было ни резервной копии конфигурации?

Да ничего саппорт не сделает.   выразит свои соболезнования, в лучшем случае.

 

перекладывать свою ответственность на кого то,  и тратить на это деньги работодателя --- любимое занятие лузеров и неудачников

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

45 минут назад, NiTr0 сказал:

либо - возместил убыток

и как, есть примеры возмещения убытков в России хоть кому-то и за что-то?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 часа назад, NiTr0 сказал:

напомнить как там в том году некротики ломали через дырень, нет - ДЫРЕНЬ? или позабыли?

Чисто отвлеченно - вспомните заодно про ДЫРЕНЬ в каталистах в том же году. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 часа назад, LostSoul сказал:

Тот крупный бизнес , который вы тут пытаетесь называть ентерпрайсом ,  PPTP на сервере не поднимал НИКОГДА в обозримом настоящем прошлым и будущим.

а я хоть где-то говорил, где именно поднимается пптп?

я написал лишь одно - пптп де-факто энтерпрайз стандарт. а то что пионеры типа вас от него бугуртят потому что нат не могут настроить для пптп - так это проблема пионеров.

 

3 часа назад, LostSoul сказал:

Он ничего нигде не рвет , у него просто все работало как работало. 

дада, то-то пионеры с некротиками бегали в мыле, когда ихние сохо поделки начали ломать, а фиксов на дырявую роутерось не было :) "все работало как работало", да :)

 

3 часа назад, LostSoul сказал:

А проблемы пионеров , не дружащих с элементарным здравым смыслом и выставившим критические для них роутеры прямо голой жопой в интернет - никакой саппорт не поможет.

т.е. некротики нужно вообще от интернета отключать? годный "ынтырпрайз", чо.

 

3 часа назад, LostSoul сказал:

Что будет делать саппорт cisco с взломанной циской на 100500 портов , с которой взломщик удалил конфигурацию на 100500 сложных acl и vlan и оставил кукиш с маслом?

Если у горе-админов вроде вас не было ни резервной копии конфигурации? 

Да ничего саппорт не сделает.   выразит свои соболезнования, в лучшем случае.

пионер с некротиками даже не догадывается, что в энтерпрайзе никто ручками вланы с ацлями на цисках не конфигурит - это не подвал "у ашота", и никто в здравом уме обезьянью работу по проброске влана через 30-50 свичей (при общем кол-ве их в несколько тысяч) не делает, и штат таких вот обезьянок держать (с учетом стоимости ошибок) обойдется намного дороже, чем купить NMS за много-много денег.

 

потому, повторюсь, не пытайтесь рассказывать о том, что вы видели лишь на картинках. ваши пионерские фантазии на предмет того, "как это делают в энтерпрайзе", выглядят довольно глупо.

 

а саппорт как минимум определит дыру, через которую поломали, даст рекомендации по временному ее прикрытию не в ущерб требуемому функционалу, и даст сроки исправления. ситуации, когда критикал багу с висом системы от частых ssh коннектов фиксят более 4 лет, в энтерпрайзе не встретишь. а вот в сохо типа некротика - легко.

 

3 часа назад, LostSoul сказал:

перекладывать свою ответственность на кого то,  и тратить на это деньги работодателя --- любимое занятие лузеров и неудачников

взваливать на себя (пускай даже во влажных фантазиях) ответственность за индусский кривокод, убытки от которого компании выльются в сумму на несколько порядков большую, чем покупка нормального не сохо оборудования - удел пионеров, которые даже стоимость простоя своей пионерсети оценить не могут.

 

12 минут назад, jffulcrum сказал:

Чисто отвлеченно - вспомните заодно про ДЫРЕНЬ в каталистах в том же году. 

"дырень" зацепила ископаемые EOS раритеты + свичи доступа/агрегации где какбы все зарезано по самое немогу. в отличие от некротика - где была и дырень в вебфиге, и дырень в винбоксе.

 

к слову, не в курсе в какой там версии втихаря пофиксили remote code execution в pptp сервере? в 5.26 она точно есть,  в свежих - вроде нет, а вот ботнеты шерстят 1723 порты регулярно - т.е. явно не только 5.26 зацепило...

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

14 часов назад, NiTr0 сказал:

а я хоть где-то говорил, где именно поднимается пптп? 

я написал лишь одно - пптп де-факто энтерпрайз стандарт. а то что пионеры типа вас от него бугуртят потому что нат не могут настроить для пптп - так это проблема пионеров. 

 

Да , именно это и говорил.

На что и ответили тебе, что там где 15 лет назад офисные админы поднимали PPTP на Windows Server уже давно в 80% случаев стоит микротик , в 20% какой-нибудь зюксель кинетик.

 

 

 

В 13.02.2019 в 13:04, NiTr0 сказал:

практически везде, где есть windows server, удаленный доступ к нему организовывают через пптп. немного реже - всякие там цисковпн и т.п., и практически никогда - л2тп.

 

 

 

 

14 часов назад, NiTr0 сказал:

дада, то-то пионеры с некротиками бегали в мыле, когда ихние сохо поделки начали ломать, а фиксов на дырявую роутерось не было :) "все работало как работало", да :)

Это твоего круга общения пионеры :-)

Среди моего круга общения таких нету.

Потому что если я вижу что горе-админ у Ашота не может грамотно настроить микротик , то мы возьмем и настроим его сами,  не доводя до беды.

А если у Ашота админ типа тебя ( самоуверенный безграмотный выскочка )  и хочет обязательно накосячить сам , то мы найдем как прикрыть его от беды незаметно.

 

Вот как раз позавчера лично вышел на хозяина и обьяснил что нужно вместо убогой dlink мыльницы расширить mikrotik с 5 до 10-портового варианта,  за которым мы будем приглядывать.  И был услышан и понят.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

14 часов назад, NiTr0 сказал:

т.е. некротики нужно вообще от интернета отключать? годный "ынтырпрайз", чо.

Для той "дырени" ,про которую ты тут брызгаешь слюной,  достаточно было просто оставить конфигурацию по умолчанию (  закрыты любые подключения с WAN ).

Это для совсем убогих пионеров.

Для пионеров продвинутых достаточно было ограничить диапазоны IP откуда были бы разрешены подключения по http / ssh / api.

Для продвинутых с извращениями - можно было сменить стандартные порты на нестандартные.

 

А если твои друганы клиенты выставили свои микротики голой сракой в интернет , а ты на это стоял и равнодушно смотрел --- ты получил достойный тебя результат.

И самым лучшим было бы если бы они сделали правильные выводы и ушли к другому аплинку , который проявит к ним больше внимания и адекватный подход ( с учетом уровня подготовки конкретного клиента )

 

 

14 часов назад, NiTr0 сказал:

пионер с некротиками даже не догадывается, что в энтерпрайзе никто ручками вланы с ацлями на цисках не конфигурит - это не подвал "у ашота", и никто в здравом уме обезьянью работу по проброске влана через 30-50 свичей (при общем кол-ве их в несколько тысяч) не делает, и штат таких вот обезьянок держать (с учетом стоимости ошибок) обойдется намного дороже, чем купить NMS за много-много денег.

Мамкиного доморощенного пионера-эксперта видно сразу.

Когда на буровой платформе посреди океана отвалиться связь с центральным офисом и его NMS , то тут же немедленно будут останавливать добычу и глушить все технологические процессы.

Зачем? ну эксперт-кульхацкер сказал что так надо в ентерпрайсе :-)

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

14 часов назад, NiTr0 сказал:

а саппорт как минимум определит дыру, через которую поломали, даст рекомендации по временному ее прикрытию не в ущерб требуемому функционалу, и даст сроки исправления. ситуации, когда критикал багу с висом системы от частых ssh коннектов фиксят более 4 лет, в энтерпрайзе не встретишь. а вот в сохо типа некротика - легко.

Я так и представлю себе , дежурный вертолет с мигалками и самолетом-дозаправщиком , летящий за полярный круг , чтоб эксперты могли срочно снять и выпаять из поломанного каталиста флешку , произвести восстановление удаленных следов и определить через какую же дыру его поломали...

пиши дальше фантастику ,  пионер.

 

Максимум , на что может расчитывать ентерпрайс заплатив нехилое бабло -- это поставку другого такого же "подменного" коммутатора на замену сдохшего за определенное количество часов/рабочий дней.  Это в случае аппаратной поломки.

Любые гарантии в случае взлома дает не производитель , а только системный интегратор выполнивший проектирование, монтаж и установку под ключ, и осуществляющий в дальнейшем платную поддержку не УСТРОЙСТВА ,  а платную поддержку информационно-технологического комплекса заказчика.

И всё это с кучей оговорок , что заказчик без 15 согласований и экспертиз даже пукнуть в серверной не может,  не то чтоб самим хоть что-то переключить, настроить или поменять.

 

 

 

14 часов назад, NiTr0 сказал:

взваливать на себя (пускай даже во влажных фантазиях) ответственность за индусский кривокод, убытки от которого компании выльются в сумму на несколько порядков большую, чем покупка нормального не сохо оборудования - удел пионеров, которые даже стоимость простоя своей пионерсети оценить не могут.

Опять шизофрения,  да?
Индусский говнокод как раз в cisco и тому подобном.
Где многие ошибки не фиксятся не то чтоб годами - десятилетиями.
 
В микротике весь код латвийский.  Они до вывода программеров в индию не доросли ещё :-)
 
Ни один нормальный управленец не кладет все яйца в одну корзину.
Подстраховка на важных направлениях есть и будет всегда.
В дополнение к публичному каналу -  приватный L2.
В дополнение к оптоволокну и микротику - спутниковый vsat терминал и циско.
В дополнение к IP-телефонии -  аварийные e1 , ptsn и мобилы.
А вместо одного крутейщего коммутатора "с поддержкой и гарантией " просто три отдельных коммутатора в трех разных отделах,  способных взять на себя функции друг друга при аварии.
 
А ссыкливый безмозглый идиот , купит один дорогой навороченный шкаф с "поддержкой"  и после банкротства компании будет рассказывать, что "cisco все компенсирует"
 
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

14 часов назад, NiTr0 сказал:

"дырень" зацепила ископаемые EOS раритеты + свичи доступа/агрегации где какбы все зарезано по самое немогу. в отличие от некротика - где была и дырень в вебфиге, и дырень в винбоксе.

 

к слову, не в курсе в какой там версии втихаря пофиксили remote code execution в pptp сервере? в 5.26 она точно есть,  в свежих - вроде нет, а вот ботнеты шерстят 1723 порты регулярно - т.е. явно не только 5.26 зацепило...

 

Так вот она, картинка твоего круга общения то и складывается.

Это дятлы , выставившие во внешний мир webfig и winbox  , и использующие в 2019 году pptp.

Среди моих партнеров, клиентов, поставщиков - таких нету.  Я избегаю иметь дело с неадекватными людьми.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

10 часов назад, LostSoul сказал:

Вот как раз позавчера лично вышел на хозяина и обьяснил что нужно вместо убогой dlink мыльницы расширить mikrotik с 5 до 10-портового варианта,  за которым мы будем приглядывать.  И был услышан и понят.

весь уровень вашего "ынтырпрайза" :рукалицо:

 

10 часов назад, LostSoul сказал:

Для пионеров продвинутых достаточно было ограничить диапазоны IP откуда были бы разрешены подключения по http / ssh / api.

пичаль для пионеров в том, что "ограничить диапазоны ип"  (если в настройках сервиса, как это обычно пионеры делают, а не в файрволе белые списки крутить) нихрена не поможет :) ну недоделали индусы, бывает - на то оно и сохо :)

 

10 часов назад, LostSoul сказал:

Я так и представлю себе , дежурный вертолет с мигалками и самолетом-дозаправщиком , летящий за полярный круг , чтоб эксперты могли срочно снять и выпаять из поломанного каталиста флешку , произвести восстановление удаленных следов и определить через какую же дыру его поломали...

:рукалицо: опять влажные фантазии пионеров, которые видели энтерпрайз только на картинках...

netflow (который в обязательном порядке у любого энтерпрайза хранится - подвалы "у Ашота" к таковому ессно не относятся), стенды, honeypot'ы вендора, уведомление клиентов о проблеме в момент ее обнаружения - да нахрен надо, возьмем говносохо без какого-либо вменяемого саппорта, и будем ежедневно листать ихний форум с воплями хомяков "аааа помогите неработает", выступающий в роли единственной техподдержки, чтобы не упустить очередную ДЫРЕНЬ

 

10 часов назад, LostSoul сказал:

В микротике весь код латвийский

халва, халва...

индус за 5-10 баксов в час будет говнокодить. латыша на такой рейт еще поискать надо - хотя может криворукого студента и удастся найти...

10 часов назад, LostSoul сказал:

А вместо одного крутейщего коммутатора "с поддержкой и гарантией " просто три отдельных коммутатора в трех разных отделах,  способных взять на себя функции друг друга при аварии.

дадада, патч-корды сами в соседний отдел переползут и переткнутся, а заодно и несколько серверных стоек в соседний отдел телепортируются... ох уж эти пионеры с ихней неуемной фантазией :)

 

10 часов назад, LostSoul сказал:

Это дятлы , выставившие во внешний мир webfig и winbox  , и использующие в 2019 году pptp.

вот только пичаль для пионеров в том, что vpnfilter - он не только снаружи, он и изнутри ломал шлакотики. да-да, из интрасети с зараженных клиентских роутеров. не, можно конечно огородиться отовсюду, оставив один-единственный выделенный эзернет порт для подключения специального компа с винбоксом - но одмин некротика будет вынужден при этом жить в серверной рядом с этим портом, как раб на галере.

 

ну и да, пионер, обмазывающийся некротиками, так и не понял, что дырень в реализации пптп - это не проблема пптп, а проблема некротика. и не факт, что в горячо любимом пионером sstp или еще какой проприетарной кривой ни с чем не совместимой шляпе нет точно такой же дырени - просто ее пока не успели наковырять. в конце концов - писано одними и теми же индусами :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

8 часов назад, NiTr0 сказал:

весь уровень вашего "ынтырпрайза" :рукалицо:

 

Жирного троля в 6 раз тыкают носом, что у нас есть и киоски с шаурмой, и офисы по 2000-4000 метров.

Жырный троль опять скочет, подпрыгивает, и строит из себя клоуна.

 

 

8 часов назад, NiTr0 сказал:

(если в настройках сервиса, как это обычно пионеры делают, а не в файрволе белые списки крутить)

Где делают ваши кореша-пионеры нам неведомо.

 

У нас соответствующие ACL описаны в соответствующих секциях щаблонов  ansible.

Из шаблонов набраны профили , профили применяются к группам железок.

 

Факты говорят сами за себя - ни один из коллективов, где была нормально поставлена работа управленцем в прямыми руками от ДЫРЕНЕЙ не пострадал.

Ни от дыреней в каталистах, ни в микротиках, ни в линуксах ни в чем то ещё.

Потому что есть есть элементарный комплекс мер по обеспечению защищенности информационных систем.

Те кто эти элементарные меры соблюдает - спокойно работает .

Те кто надеяться на всемогущую поддержку  , срочный выпуск обновлений  и компенсацию собственной косорукости за счет производителя инструмента - за них все решит естественный отбор.

Они вместо работы сидят на форумах и толсто троллят 24/7

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

8 часов назад, NiTr0 сказал:

netflow (который в обязательном порядке у любого энтерпрайза хранится - подвалы "у Ашота" к таковому ессно не относятся), стенды, honeypot'ы вендора, уведомление клиентов о проблеме в момент ее обнаружения - да нахрен надо, возьмем говносохо без какого-либо вменяемого саппорта,

Вам уже 7 раз писали, почему мы, как провайдер , для включения малых и средних  клиентов выбираем микротик.

Потому что есть есть устройства разной емкости, производительности и стоимости с единым интерфейсом к NMS , системе мониторинга ,  развитым инструментарием для автоматизированной удаленной диагностики - таких как запуск и трансляция PCAP с любого интерфейса на центральную станцию через стандартное API ( и в том числе с фильтрами на уровне ASIC для снижения нагрузки на CPU и сеть ) , и многое , многое другое чего нету в "обычном SOHO".

Что использование единой OS на широкой линейке железок упрощает нам отладку ситуаций на стендах.

Но зачем это все 7 раз слышать, если проще сказать что ваши знакомые пионеры строят гирлянды по 20 мыльниц с выставлением webfig в свободный доступ, а значит так делают все?

 

Ставить свой бизнес в зависимость от скорости реакции "производителя инструментов" , у которого софт пишут даже не свои сотрудники а какие-то нанятые обезьяны из индии - могут только только конченные нитры.

 

 

8 часов назад, NiTr0 сказал:

дадада, патч-корды сами в соседний отдел переползут и переткнутся, а заодно и несколько серверных стоек в соседний отдел телепортируются... ох уж эти пионеры с ихней неуемной фантазией :)

ты совсем читать и думать не умеешь?

Русским языком написали что резервируются ЛЮДИ а не патчкорды или сервера.

Девочки из комнаты 1 умеют продавать кактусы , и немного розы и елки , если прижмет.

Девочки из команаты 2 умеют продавать розы, и немного кактусы и елки, если прижмет.

Девочки из комнаты 3 умеют продавать елки , и немного кактусы и розы , если прижмет.

 

И так строится ЛЮБОЙ бизнес. 

Никогда  и никто не вешает успех или крах компании на один единственный коммутатор "с гарантией и поддержкой"

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

9 часов назад, NiTr0 сказал:

вот только пичаль для пионеров в том, что vpnfilter - он не только снаружи, он и изнутри ломал шлакотики. да-да, из интрасети с зараженных клиентских роутеров. не, можно конечно огородиться отовсюду, оставив один-единственный выделенный эзернет порт для подключения специального компа с винбоксом - но одмин некротика будет вынужден при этом жить в серверной рядом с этим портом, как раб на галере.

Бугага.   Про такие вещи как управляющий vlan ваши пионеры не слышали, да?

То что клиентские блоки адресов нужно добавлять в trusted host  это вы сами придумали, или те самые пионеры рассказали?

 

Да, в trusted host, внезапно , добавляются конкретные IP рабочих ( ну и возможно домашних ) возможных мест пребывания административно-технического персонала.

А на эти самые рабочие места , из любой точки мира без проблем организовывается RDP / vnc  сессия .

Для меня никакой проблемы не составляет , даже находясь в пробке за рулем , мгновенно подключится по rdp к офисному или домашнему рабочему месту и просмотреть нужную мне информацию.

 

И повторю в 5 раз главное - если у ваших пионеров клиенские роутеры в интрасети получили заражение каким-то вирусом , то это конкретный косяк ваших пионеров , которым было до лампочки пока их безграмотные ( такие же как они сами ) клиенты подключались с недостаточно безопасными настройками оборудования.

 

Я не ленюсь снять трубку, позвонить клиенту ВОВРЕМЯ и объяснить вероятные последствия кривизны настройки его железа.

И после того, как клиент меня услышал , и если вдруг не принял меры -  безболезненно его отключить или частично фильтрануть трафик при первых признаках заражения.

 

Да, по статистике , абсолютными лидерами по числу таких блокировок ( вирусного трафика, исходящего от клиента ) являются именно крутые офисные клиенты с кучей новых дорогих маршрутизаторов по цене авто  "с платной поддержкой" .

От клиентов с таким же числом рабочих мест, но сидящих на Mikrotik  вирусный флуд прилетает десятки раз реже.

Для корпоративного  админа применение Mikrotik в 4 случаях из 5 -- это знак квалификации, наличия мозга и ответственности за свою работу.

 

А покупка железок с поддержкой , при стоимости поддержки по цене 3 железок , это  "Зачем знать географию? Извозчик довезет. "

Типичный Нитро-метрофанушка-стайл.

 

 

 

 

 

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.