Jump to content
Калькуляторы

PPPoe/l2tp сервер на 200-300 подключений

2 минуты назад, Ivan_83 сказал:

Никогда не трахал мозг с впн и просто пробрасывал 3389 наружу, часто на какой то другой порт.

Так VPN нынче не для этого.

Там теперь всякие фискальники и ЕГАИС с хитрыми привязками к адресам и.т.п.

и их на одно торговое предприятие может быть много

А на кассу в общем случае по RDP не очень и зайдешь - там производственный процесс без остановки

если только терминальный сервис патчить в windows и входить в фоне другим пользователем.

 

 

Share this post


Link to post
Share on other sites
6 часов назад, LostSoul сказал:

В  80% случаев адекватные клиенты ставят для таких целей микротик и весь vpn разруливают на нем.

:рукалицо: сразу видно пионера, для которого энтерпрайз - это подвальчик "у Ашота", у которого целый некротик купили по совету пионеродмина...

в энтерпрайзе (ну том, где сотни филиалов и десятки тысяч рабочих мест) некротиками (как и прочими длинками и зухелями) даже и не пахнет. максимум - радиомост там, где кабель никак (типа козлового крана), и то только из-за практически полного отсутствия альтернатив от топ-3 (циска/джунипер/экстрим).

 

6 часов назад, LostSoul сказал:

А домофон с видео , ставят как раз для того чтоб "никто не догадался что они не дома". 

дадада, и постоянно "не дома" пырятся в экран камеры чтобы видеть кто пришел :рукалицо:

 

6 часов назад, LostSoul сказал:

теперь мне уже интересно, что там есть под джангу для радиуса? :-)

прямыми руками вяжется любой питон радиус-сервер, хоть pyrad хоть еще что. не, можно конечно и с фрирадиусом увязать, но смысла с этого ноль целых хрен десятых (радиус - нересурсоемкая вещь).

Share this post


Link to post
Share on other sites
2 минуты назад, NiTr0 сказал:

:рукалицо: сразу видно пионера, для которого энтерпрайз - это подвальчик "у Ашота"

 

Накатал тут для доморощенного линуксоида-кулхацкера  целую методичку по определению уровня офисного админа по применяемым технологиям.

Но решил не метать бисер зря.

Поэтому, "студент" , просто запомни - если ты видишь офисного админа настраивающего pptp на сервере --- это как специалист полное дно.

От него, до способного нормально поднять туннели на микротик - пропасть в 2-3 квалификационные ступеньки.

 

( исключения по ситуации бывают, говорит про базу )

 

ещё характерные черты безграмотного пионера-аникейшика , кроме pptp

1) настройка на компьютере team viewer  для последующей удаленной поддержки и вообще использование team viewer без клинических показаний к этому

2) настройка конфигурации tcp-ip вручную где надо и где не надо

3) хватит пока и двух....

 

 

29 минут назад, NiTr0 сказал:

дадада, и постоянно "не дома" пырятся в экран камеры чтобы видеть кто пришел :рукалицо:

дурик, на домофоне кнопка есть . 

А на некоторых даже не одна.

Сейчас несколько таких включаем ,  на воротах для проездов к арендаторам.

 

image.thumb.png.1e0d96d4b80d0074de3e12c8908ee6c2.png

 

А еще, в ПО для видеокамер ( внезапно для пионеров ) есть тревожная сигнализация и видеоаналитика.

И если кто-то трется в "желтой зоне" детектора более положенного времени ( не прошел мимо ) , то смартфон начинает вибрировать привлекая внимание

 

Share this post


Link to post
Share on other sites
35 минут назад, NiTr0 сказал:

это подвальчик "у Ашота", у которого целый некротик купили по совету пионеродмина...

Это счастье, когда купили микротик.  Можно спокойно жить.

Сегодня с одной новой заезжающей кафешкой среднего уровня клиентом мучились пол дня , так как он вместо того чтоб поменять 5-портовый микротик на 10-портовый  решили временно обойтись второй 5-портовой мыльницей , которая начала виснуть после каждого кольцевания сети.

А кольцевали они ее весь день.

Микротику понятное дело ничего не было, как работал так и работал.   Длинк умирал намертво.

К вечеру уже почти утвердился в желании подарить им 10портовый микротик в подарок.

 

 

40 минут назад, NiTr0 сказал:

прямыми руками вяжется любой питон радиус-сервер, хоть pyrad хоть еще что. не, можно конечно и с фрирадиусом увязать, но смысла с этого ноль целых хрен десятых (радиус - нересурсоемкая вещь).

понятно, вы про какую=то другую джангу.

я про cms-админку на питоне.

 

Share this post


Link to post
Share on other sites
4 hours ago, LostSoul said:

понятно, вы про какую=то другую джангу.

я про cms-админку на питоне.

Нормально pyrad вяжется с джангой. Я не знаю,что это за cms-админка на питоне,про которую вы говорите,мы про фреймворк под названием джанго говорим (да,у него есть встренная админка).

Вопрос тут больше про производительность. Питон все-таки. Но может еще раньше и в базу упереться.

Share this post


Link to post
Share on other sites
9 часов назад, LostSoul сказал:

Поэтому, "студент" , просто запомни - если ты видишь офисного админа настраивающего pptp на сервере --- это как специалист полное дно.

От него, до способного нормально поднять туннели на микротик - пропасть в 2-3 квалификационные ступеньки.

дно - это если горе-пионер путает подвальчик "у Ашота" с энтерпрайзом.

 

9 часов назад, LostSoul сказал:

Это счастье, когда купили микротик.  Можно спокойно жить.

Сегодня с одной новой заезжающей кафешкой среднего уровня клиентом мучились пол дня , так как он вместо того чтоб поменять 5-портовый микротик на 10-портовый  решили временно обойтись второй 5-портовой мыльницей , которая начала виснуть после каждого кольцевания сети.

А кольцевали они ее весь день.

об чем и речь - весь "энтерпрайз" налицо, к другому пионера не даже подпускали :)

 

9 часов назад, LostSoul сказал:

дурик, на домофоне кнопка есть . 

А на некоторых даже не одна. 

угу, и чудо-софт, который работает и с произвольными tcp портами проброшенными через нат, и на перегруженном 3g (где 300-500мс пинг получить - легко, а скорость - от силы пару мегабит, при этом падает намного ниже)...

 

9 часов назад, LostSoul сказал:

понятно, вы про какую=то другую джангу.

я про cms-админку на питоне.

понятно, вы джангу видели так же как и энтерпрайз - на картинке :)

 

5 часов назад, zdutpdzi сказал:

Вопрос тут больше про производительность. Питон все-таки. Но может еще раньше и в базу упереться.

сам радиус-протокол примитивный же. аккаунтинг - сотню запросов в секунду обработать вообще не проблема (там по сути 1 апдейт строчки в базе, + возможно инсерт в табличку детализованной статистики), а это при интервале аккаунтинга пускай даже минуту - 6 тыс. онлайн. авторизация - даже если биллинг будет жевать ее секунду (как абиллс), ничего страшного не случится, в конце концов - пачка запросов авторизации таки большая редкость. при этом если нормально подойти (не как в абиллсе) - авторизация не такая уж и ресурсоемкая задача.

 

не, для "больших" биллингов на 20-50-100 тыс. онлайна оно мож и станет критичным, мож даже и twisted не поможет, но для мелких с расчетным онлайном до 10к - я думаю что вполне вытянет.

Share this post


Link to post
Share on other sites
1 час назад, NiTr0 сказал:

об чем и речь - весь "энтерпрайз" налицо, к другому пионера не даже подпускали :)

 

Перед тобой, юный школьник , уже 4 раза метали бисер.

Что для каждой задачи - свое оборудование.

Но ты слеп , глух и необучаем.

Поэтому, считай дальше, что маленькое кафе это "ентерпрайз".

 

4 раза перед тобой метали бисер.....   что на видеокамеру в мухосранск мы ставим TP-Link с Openwrt потому что его в мухосранксе запасной потом купить быстрее и проще.

4 раза метали бисер, что в московское кафе у Ашота ( и не очень )  ставим микротик разной степени паршивости , потому что надежно работает, не виснет от кольцевания, шикарно управляется и мониторится из Zabbix , хорошо  взаимодействует с дешевыми ИБП или PowerBank , потому что умеет получать питание c POE-коммутатора от нашего узла по кабелю, и еще и каскадировать POE через 5 порт на точку доступа , и потому что есть единая линейка железок любого размера, количества портов, цены и форм-фактора  , по одинаковому API цепляемого в биллинг и мониторинг....

 

4 раза метали бисер , что на маленькое отдельное от остальной сети здание с 3-4 организациями среднего размера и парой внешних BGP-каналов ставим что-нибудь вроде RB1100 две штуки , аплинки включаем "крест накрест" через ethernet bypass , а клиентам тянем 2 кабеля.  И таким образом при выходе из строя любой одной железки или канала все продолжает работать.

 

4 раза метали бисер что в "ентерпрайз"  ставим Cisco Catalyst ME  ( и не потому что оно лучше , а просто для респектабельности ) 

 

4 раза метали бисер, что на доступ в многоквартирных домах ставим DLink DES-3200 , так как там адекватная технология авторизации клиентов на порту подключения и продаются они по цене "картошки".

 

 

Но жырный троль все прыгает , брызгает слюной и никак не успокоится.

Давай я буду в дальнейшем сюда ссылку давать,  чтоб ты поменьше подпрыгивал?

 

 

 

1 час назад, NiTr0 сказал:

угу, и чудо-софт

к этому нету чудо-софта.  Он SIP.

В качестве чудо софта идет asterisk и какой-нибудь CSipSimple с стороны абонента.

Или аппаратный видеотелефон на столе на рецепшене.

А уникальность указанного изделия в том , что в ней китайцы специально по моему заказу реализовали функционал  "жмкаем кнопочки 1-8 в одно прикосновение , и сразу же идет вызов по extention 101-108 "  без нажатия каких-то дополнительных кнопок В , Dial и так далее.

А на нижнюю светящуюся красным кнопку мы проезд для  экстренных служб навернём.

 

Share this post


Link to post
Share on other sites
2 часа назад, LostSoul сказал:

4 раза метали бисер, что в московское кафе у Ашота ( и не очень )  ставим микротик разной степени паршивости , потому что надежно работает, не виснет от кольцевания, шикарно управляется и мониторится из Zabbix , хорошо  взаимодействует с дешевыми ИБП или PowerBank , потому что умеет получать питание c POE-коммутатора от нашего узла по кабелю, и еще и каскадировать POE через 5 порт на точку доступа , и потому что есть единая линейка железок любого размера, количества портов, цены и форм-фактора  , по одинаковому API цепляемого в биллинг и мониторинг....

повторюсь - ваше кафе "у Ашота" к энтерпрайзу не имеет никакого отношения, как и вы. и вас с вашими некротиками и прочими мыльничками из любого энтерпрайза погонят ссаными тряпками взашей при любом их упоминании в проектной документации (дада, бурят на оленях, крутящий проводки по наитию принятых накануне мухоморов - это не про энтерпрайз).

 

Share this post


Link to post
Share on other sites
3 часа назад, NiTr0 сказал:

повторюсь - ваше кафе "у Ашота" к энтерпрайзу не имеет никакого отношения, к

так это вы , в режиме своего толстого троллинга и передергивания фраз собеседника , перевели тему с "клиентов-юрлиц" до большого ентерпрайза.

Это вы со своим большим и толстым троллингом начали тут галлюцинировать про гирлянды из микротиков, хотя вам десяток раз было сказано что ниша микротик в нашей сети это мосты p2p , абонентское CPE , хотспоты для публичного WiFi ,  и иногда пограничный роутер для изолированной части сети на 3-4 средних клиента ( rb1100 , rb4011 ) .

То , будто мы ставим mikrotik для крупных клиентов - ваши выдумки.

А вот то, что они сами ( их штатные админы )  , а так же организации, занимающиеся обслуживанием всяких торговых систем и платформ ставят микротики - это чистая правда.

Потому что надо быть вообще полным кретином , чтоб зная о существовании микротика поднимать vpn на Windows сервере.

Это примерно так же глупо , как скажем делать офисное рабочее место из роутера.

 

 

 

 

Share this post


Link to post
Share on other sites
3 часа назад, NiTr0 сказал:

и вас с вашими некротиками и прочими мыльничками из любого энтерпрайза погонят ссаными тряпками взашей при любом их упоминании в проектной документаци

дурачина, ты простофиля - всё что можно про тебя сказать.

Скорее всего , ты их тех кто просиживает жизнь за компьютером вообще не выходя в реальный мир.

И вылезал из дома последний раз 10-15 лет назад.

Зайди в любой датацентр.   

Почитай таблички на шкафах. 

Посмотри какое оборудование там стоит.

В 30% - 60% шкафов любых крупных компаний ты увидишь Mikrotik.

Из мест, где лично своими глазами и настраивал  Mikrotik :   минстрой ,  росатом , роскомнадзор , несколько коммерческих банков , МФЦ нескольких крупных городов московской области.  Во всех этих случаях решение о покупке Mikrotik и выборе модели принималось до меня, ко мне обращались за помощью в вопросах вызывающих сложности.

 

Ваше отрицание очевидного, что микротик давно уже теснит "известные бренды"  даже в самом крупном бизнесе - никак не изменит этого факта.

 

И да, провайдер , работающий с топовым сегментом клиентов пока не может себе такое позволить. 

Потому что могут не понять.

А вот из того что бизнес покупает себе сам - микротик уже прочно занял нишу роутера для задач, в которых допустима  небольшая экономия.

 

 

 

Share this post


Link to post
Share on other sites
1 час назад, LostSoul сказал:

так это вы , в режиме своего толстого троллинга и передергивания фраз собеседника , перевели тему с "клиентов-юрлиц" до большого ентерпрайза.

нет, это вы энтерпрайз (где пптп живее всех живых) свели к подвалам "у Ашота" (в котором вы таки поставили некротик - и от того он стал Ынтырпрайзом).

 

1 час назад, LostSoul сказал:

В 30% - 60% шкафов любых крупных компаний ты увидишь Mikrotik.

ДТЭК очевидно - недостаточно крупная компания. потому что некротиком там и не пахнет, нигде - ни в шкафах, ни в офисах, ни даже в филиалах на пару десятков компов.

а все по одной простой причине: никакого SLA и никакого саппорта. ну т.е. встала сеть раком - и хрен его знает кто виноват и что делать (ну можно конечно пионеродминов, которые мышкой клац-клац, подрючить - да только толку с этого не будет), а бабки-то теряются.

напомнить как там в том году некротики ломали через дырень, нет - ДЫРЕНЬ? или позабыли?

 

1 час назад, LostSoul сказал:

Из мест, где лично своими глазами и настраивал  Mikrotik :   минстрой ,  росатом , роскомнадзор , несколько коммерческих банков , МФЦ нескольких крупных городов московской области.  Во всех этих случаях решение о покупке Mikrotik и выборе модели принималось до меня, ко мне обращались за помощью в вопросах вызывающих сложности. 

теперь понятно, почему в последние годы регулярно что-то падает/горит/взрывается :) лепят из гуана пулю - а потом удивляются, что ж этот сохо дешман не работает-то как ожидалось :)

Share this post


Link to post
Share on other sites
1 минуту назад, NiTr0 сказал:

никакого SLA и никакого саппорта. ну т.е. встала сеть раком - и хрен его знает кто виноват и что делать

В нормальной компании есть конкретное ответственное лицо с именем и фамилией.

Именно оно отвечает за то чтоб все работало, а так же наличие запасного плана что и как делать, если работать перестанет.

SLA и саппорт нужны только ссыкливым безграмотным "ИТ-директорам" сидящим не на своем месте, чтобы прикрыть жопу и было на кого свалить ответственность.

Ну и для попилов и откатов ещё.

 

 

3 минуты назад, NiTr0 сказал:

напомнить как там в том году некротики ломали через дырень, нет - ДЫРЕНЬ? или позабыли?

 

 У вас такой круг общения - мамкиных  домашних школьников кульхацкеров.

Вот у них и "дырень".

Среди моего окружения практически ничего и никому через "дырень" не сломали.

В 2-3 случаях ломанул какой-то робин-гуд и закрыл внешние подключения файрволом  ( там где они по недоразумению или выборочному разгильяйству был открыт )

В всех 2-3 случая вопрос был исправлен за несколько минут - конфигурация востановлена из бекапа , прошивка обновлена.

Это ДЫРЕНЬ о которой вы говорите , заняла на свое устранение лишь 4-5 минут времени скучающего дежурного админа.

 

А теперь давайте сравним и посчитаем , сколько минут перегружается после обновления прошивки Mikrotik , а сколько какой-нибудь Cisco ASR

 

 

 

 

7 минут назад, NiTr0 сказал:

  

теперь понятно, почему в последние годы регулярно что-то падает/горит/взрывается :) лепят из гуана пулю - а потом удивляются, что ж этот сохо дешман не работает-то как ожидалось :)

если набирать таких как вы - все работает одинаково хреново.

Хороший же специалист, поставленный в безвыходное положение , сумеет из любого говна сделать конфетку.

А при наличии полномочий - просто выберет оптимальное решение.

Без фанатизма и крайней ненависти к шпротам и микротикам.

 

 

Share this post


Link to post
Share on other sites
1 минуту назад, LostSoul сказал:

Именно оно отвечает за то чтоб все работало, а так же наличие запасного плана что и как делать, если работать перестанет.

ок, обнаружили ДЫРЕНЬ в некротике. саппорта - нет. когда патч ждать - неизвестно. "ответственное лицо" рвет волосы во всех местах, потому что сделать не может ни-че-го, а убытки (исчисляемые десятками, если не сотнями тысяч долларов за час простоя) - будут вычитать из его зарплаты в ближайшие лет 200.

 

3 минуты назад, LostSoul сказал:

SLA и саппорт нужны только ссыкливым безграмотным "ИТ-директорам" сидящим не на своем месте, чтобы прикрыть жопу и было на кого свалить ответственность.

нет, SLA нужно для того, чтобы производитель либо прислал патч, либо - возместил убыток, причиненный жопорукостью его индусов.

если нет ни того ни другого - это самое что ни на есть сохо, где никто ни за что не отвечает, и каждый кто купил дешман - е**тся сам с его глюками и дырами как может.

потому, повторюсь, в нормальном энтерпрайзе некротиками и не пахнет. и пионеров, которые предлагают купить сохо какаху и потом свалить гемор по ее поддержке в сколь-либо работоспособном состоянии на головы админов компании - гонят сразу взашей ссаными тряпками.

Share this post


Link to post
Share on other sites
10 минут назад, NiTr0 сказал:

нет, это вы энтерпрайз (где пптп живее всех живых) свели к подвалам "у Ашота" (в котором вы таки поставили некротик - и от того он стал Ынтырпрайзом).

 

Тот крупный бизнес , который вы тут пытаетесь называть ентерпрайсом ,  PPTP на сервере не поднимал НИКОГДА в обозримом настоящем прошлым и будущим.

В таком бизнесе для решения любой задачи приглашается системный интегратор , который принесет свое решение за много-много капусты.

И никогда в жизни таким решением не было включение PPTP на Windows Server.

 

PPTP исходно включали маленькие и средние лавки ашот и ашот+  

Вот вам и ответили , что те за те последние 15-20 что вы просидели дома , времена изменились , и те кто так делали ранее - давно перестали.

 

 

2 минуты назад, NiTr0 сказал:

"ответственное лицо" рвет волосы во всех местах,

Он ничего нигде не рвет , у него просто все работало как работало.

А проблемы пионеров , не дружащих с элементарным здравым смыслом и выставившим критические для них роутеры прямо голой жопой в интернет - никакой саппорт не поможет.

Что будет делать саппорт cisco с взломанной циской на 100500 портов , с которой взломщик удалил конфигурацию на 100500 сложных acl и vlan и оставил кукиш с маслом?

Если у горе-админов вроде вас не было ни резервной копии конфигурации?

Да ничего саппорт не сделает.   выразит свои соболезнования, в лучшем случае.

 

перекладывать свою ответственность на кого то,  и тратить на это деньги работодателя --- любимое занятие лузеров и неудачников

 

 

Share this post


Link to post
Share on other sites
45 минут назад, NiTr0 сказал:

либо - возместил убыток

и как, есть примеры возмещения убытков в России хоть кому-то и за что-то?

 

Share this post


Link to post
Share on other sites
3 часа назад, NiTr0 сказал:

напомнить как там в том году некротики ломали через дырень, нет - ДЫРЕНЬ? или позабыли?

Чисто отвлеченно - вспомните заодно про ДЫРЕНЬ в каталистах в том же году. 

Share this post


Link to post
Share on other sites
3 часа назад, LostSoul сказал:

Тот крупный бизнес , который вы тут пытаетесь называть ентерпрайсом ,  PPTP на сервере не поднимал НИКОГДА в обозримом настоящем прошлым и будущим.

а я хоть где-то говорил, где именно поднимается пптп?

я написал лишь одно - пптп де-факто энтерпрайз стандарт. а то что пионеры типа вас от него бугуртят потому что нат не могут настроить для пптп - так это проблема пионеров.

 

3 часа назад, LostSoul сказал:

Он ничего нигде не рвет , у него просто все работало как работало. 

дада, то-то пионеры с некротиками бегали в мыле, когда ихние сохо поделки начали ломать, а фиксов на дырявую роутерось не было :) "все работало как работало", да :)

 

3 часа назад, LostSoul сказал:

А проблемы пионеров , не дружащих с элементарным здравым смыслом и выставившим критические для них роутеры прямо голой жопой в интернет - никакой саппорт не поможет.

т.е. некротики нужно вообще от интернета отключать? годный "ынтырпрайз", чо.

 

3 часа назад, LostSoul сказал:

Что будет делать саппорт cisco с взломанной циской на 100500 портов , с которой взломщик удалил конфигурацию на 100500 сложных acl и vlan и оставил кукиш с маслом?

Если у горе-админов вроде вас не было ни резервной копии конфигурации? 

Да ничего саппорт не сделает.   выразит свои соболезнования, в лучшем случае.

пионер с некротиками даже не догадывается, что в энтерпрайзе никто ручками вланы с ацлями на цисках не конфигурит - это не подвал "у ашота", и никто в здравом уме обезьянью работу по проброске влана через 30-50 свичей (при общем кол-ве их в несколько тысяч) не делает, и штат таких вот обезьянок держать (с учетом стоимости ошибок) обойдется намного дороже, чем купить NMS за много-много денег.

 

потому, повторюсь, не пытайтесь рассказывать о том, что вы видели лишь на картинках. ваши пионерские фантазии на предмет того, "как это делают в энтерпрайзе", выглядят довольно глупо.

 

а саппорт как минимум определит дыру, через которую поломали, даст рекомендации по временному ее прикрытию не в ущерб требуемому функционалу, и даст сроки исправления. ситуации, когда критикал багу с висом системы от частых ssh коннектов фиксят более 4 лет, в энтерпрайзе не встретишь. а вот в сохо типа некротика - легко.

 

3 часа назад, LostSoul сказал:

перекладывать свою ответственность на кого то,  и тратить на это деньги работодателя --- любимое занятие лузеров и неудачников

взваливать на себя (пускай даже во влажных фантазиях) ответственность за индусский кривокод, убытки от которого компании выльются в сумму на несколько порядков большую, чем покупка нормального не сохо оборудования - удел пионеров, которые даже стоимость простоя своей пионерсети оценить не могут.

 

12 минут назад, jffulcrum сказал:

Чисто отвлеченно - вспомните заодно про ДЫРЕНЬ в каталистах в том же году. 

"дырень" зацепила ископаемые EOS раритеты + свичи доступа/агрегации где какбы все зарезано по самое немогу. в отличие от некротика - где была и дырень в вебфиге, и дырень в винбоксе.

 

к слову, не в курсе в какой там версии втихаря пофиксили remote code execution в pptp сервере? в 5.26 она точно есть,  в свежих - вроде нет, а вот ботнеты шерстят 1723 порты регулярно - т.е. явно не только 5.26 зацепило...

 

Share this post


Link to post
Share on other sites

 

14 часов назад, NiTr0 сказал:

а я хоть где-то говорил, где именно поднимается пптп? 

я написал лишь одно - пптп де-факто энтерпрайз стандарт. а то что пионеры типа вас от него бугуртят потому что нат не могут настроить для пптп - так это проблема пионеров. 

 

Да , именно это и говорил.

На что и ответили тебе, что там где 15 лет назад офисные админы поднимали PPTP на Windows Server уже давно в 80% случаев стоит микротик , в 20% какой-нибудь зюксель кинетик.

 

 

 

В 13.02.2019 в 13:04, NiTr0 сказал:

практически везде, где есть windows server, удаленный доступ к нему организовывают через пптп. немного реже - всякие там цисковпн и т.п., и практически никогда - л2тп.

 

 

 

 

14 часов назад, NiTr0 сказал:

дада, то-то пионеры с некротиками бегали в мыле, когда ихние сохо поделки начали ломать, а фиксов на дырявую роутерось не было :) "все работало как работало", да :)

Это твоего круга общения пионеры :-)

Среди моего круга общения таких нету.

Потому что если я вижу что горе-админ у Ашота не может грамотно настроить микротик , то мы возьмем и настроим его сами,  не доводя до беды.

А если у Ашота админ типа тебя ( самоуверенный безграмотный выскочка )  и хочет обязательно накосячить сам , то мы найдем как прикрыть его от беды незаметно.

 

Вот как раз позавчера лично вышел на хозяина и обьяснил что нужно вместо убогой dlink мыльницы расширить mikrotik с 5 до 10-портового варианта,  за которым мы будем приглядывать.  И был услышан и понят.

 

 

Share this post


Link to post
Share on other sites
14 часов назад, NiTr0 сказал:

т.е. некротики нужно вообще от интернета отключать? годный "ынтырпрайз", чо.

Для той "дырени" ,про которую ты тут брызгаешь слюной,  достаточно было просто оставить конфигурацию по умолчанию (  закрыты любые подключения с WAN ).

Это для совсем убогих пионеров.

Для пионеров продвинутых достаточно было ограничить диапазоны IP откуда были бы разрешены подключения по http / ssh / api.

Для продвинутых с извращениями - можно было сменить стандартные порты на нестандартные.

 

А если твои друганы клиенты выставили свои микротики голой сракой в интернет , а ты на это стоял и равнодушно смотрел --- ты получил достойный тебя результат.

И самым лучшим было бы если бы они сделали правильные выводы и ушли к другому аплинку , который проявит к ним больше внимания и адекватный подход ( с учетом уровня подготовки конкретного клиента )

 

 

14 часов назад, NiTr0 сказал:

пионер с некротиками даже не догадывается, что в энтерпрайзе никто ручками вланы с ацлями на цисках не конфигурит - это не подвал "у ашота", и никто в здравом уме обезьянью работу по проброске влана через 30-50 свичей (при общем кол-ве их в несколько тысяч) не делает, и штат таких вот обезьянок держать (с учетом стоимости ошибок) обойдется намного дороже, чем купить NMS за много-много денег.

Мамкиного доморощенного пионера-эксперта видно сразу.

Когда на буровой платформе посреди океана отвалиться связь с центральным офисом и его NMS , то тут же немедленно будут останавливать добычу и глушить все технологические процессы.

Зачем? ну эксперт-кульхацкер сказал что так надо в ентерпрайсе :-)

 

 

Share this post


Link to post
Share on other sites
14 часов назад, NiTr0 сказал:

а саппорт как минимум определит дыру, через которую поломали, даст рекомендации по временному ее прикрытию не в ущерб требуемому функционалу, и даст сроки исправления. ситуации, когда критикал багу с висом системы от частых ssh коннектов фиксят более 4 лет, в энтерпрайзе не встретишь. а вот в сохо типа некротика - легко.

Я так и представлю себе , дежурный вертолет с мигалками и самолетом-дозаправщиком , летящий за полярный круг , чтоб эксперты могли срочно снять и выпаять из поломанного каталиста флешку , произвести восстановление удаленных следов и определить через какую же дыру его поломали...

пиши дальше фантастику ,  пионер.

 

Максимум , на что может расчитывать ентерпрайс заплатив нехилое бабло -- это поставку другого такого же "подменного" коммутатора на замену сдохшего за определенное количество часов/рабочий дней.  Это в случае аппаратной поломки.

Любые гарантии в случае взлома дает не производитель , а только системный интегратор выполнивший проектирование, монтаж и установку под ключ, и осуществляющий в дальнейшем платную поддержку не УСТРОЙСТВА ,  а платную поддержку информационно-технологического комплекса заказчика.

И всё это с кучей оговорок , что заказчик без 15 согласований и экспертиз даже пукнуть в серверной не может,  не то чтоб самим хоть что-то переключить, настроить или поменять.

 

 

 

14 часов назад, NiTr0 сказал:

взваливать на себя (пускай даже во влажных фантазиях) ответственность за индусский кривокод, убытки от которого компании выльются в сумму на несколько порядков большую, чем покупка нормального не сохо оборудования - удел пионеров, которые даже стоимость простоя своей пионерсети оценить не могут.

Опять шизофрения,  да?
Индусский говнокод как раз в cisco и тому подобном.
Где многие ошибки не фиксятся не то чтоб годами - десятилетиями.
 
В микротике весь код латвийский.  Они до вывода программеров в индию не доросли ещё :-)
 
Ни один нормальный управленец не кладет все яйца в одну корзину.
Подстраховка на важных направлениях есть и будет всегда.
В дополнение к публичному каналу -  приватный L2.
В дополнение к оптоволокну и микротику - спутниковый vsat терминал и циско.
В дополнение к IP-телефонии -  аварийные e1 , ptsn и мобилы.
А вместо одного крутейщего коммутатора "с поддержкой и гарантией " просто три отдельных коммутатора в трех разных отделах,  способных взять на себя функции друг друга при аварии.
 
А ссыкливый безмозглый идиот , купит один дорогой навороченный шкаф с "поддержкой"  и после банкротства компании будет рассказывать, что "cisco все компенсирует"
 
 

Share this post


Link to post
Share on other sites
14 часов назад, NiTr0 сказал:

"дырень" зацепила ископаемые EOS раритеты + свичи доступа/агрегации где какбы все зарезано по самое немогу. в отличие от некротика - где была и дырень в вебфиге, и дырень в винбоксе.

 

к слову, не в курсе в какой там версии втихаря пофиксили remote code execution в pptp сервере? в 5.26 она точно есть,  в свежих - вроде нет, а вот ботнеты шерстят 1723 порты регулярно - т.е. явно не только 5.26 зацепило...

 

Так вот она, картинка твоего круга общения то и складывается.

Это дятлы , выставившие во внешний мир webfig и winbox  , и использующие в 2019 году pptp.

Среди моих партнеров, клиентов, поставщиков - таких нету.  Я избегаю иметь дело с неадекватными людьми.

 

Share this post


Link to post
Share on other sites
10 часов назад, LostSoul сказал:

Вот как раз позавчера лично вышел на хозяина и обьяснил что нужно вместо убогой dlink мыльницы расширить mikrotik с 5 до 10-портового варианта,  за которым мы будем приглядывать.  И был услышан и понят.

весь уровень вашего "ынтырпрайза" :рукалицо:

 

10 часов назад, LostSoul сказал:

Для пионеров продвинутых достаточно было ограничить диапазоны IP откуда были бы разрешены подключения по http / ssh / api.

пичаль для пионеров в том, что "ограничить диапазоны ип"  (если в настройках сервиса, как это обычно пионеры делают, а не в файрволе белые списки крутить) нихрена не поможет :) ну недоделали индусы, бывает - на то оно и сохо :)

 

10 часов назад, LostSoul сказал:

Я так и представлю себе , дежурный вертолет с мигалками и самолетом-дозаправщиком , летящий за полярный круг , чтоб эксперты могли срочно снять и выпаять из поломанного каталиста флешку , произвести восстановление удаленных следов и определить через какую же дыру его поломали...

:рукалицо: опять влажные фантазии пионеров, которые видели энтерпрайз только на картинках...

netflow (который в обязательном порядке у любого энтерпрайза хранится - подвалы "у Ашота" к таковому ессно не относятся), стенды, honeypot'ы вендора, уведомление клиентов о проблеме в момент ее обнаружения - да нахрен надо, возьмем говносохо без какого-либо вменяемого саппорта, и будем ежедневно листать ихний форум с воплями хомяков "аааа помогите неработает", выступающий в роли единственной техподдержки, чтобы не упустить очередную ДЫРЕНЬ

 

10 часов назад, LostSoul сказал:

В микротике весь код латвийский

халва, халва...

индус за 5-10 баксов в час будет говнокодить. латыша на такой рейт еще поискать надо - хотя может криворукого студента и удастся найти...

10 часов назад, LostSoul сказал:

А вместо одного крутейщего коммутатора "с поддержкой и гарантией " просто три отдельных коммутатора в трех разных отделах,  способных взять на себя функции друг друга при аварии.

дадада, патч-корды сами в соседний отдел переползут и переткнутся, а заодно и несколько серверных стоек в соседний отдел телепортируются... ох уж эти пионеры с ихней неуемной фантазией :)

 

10 часов назад, LostSoul сказал:

Это дятлы , выставившие во внешний мир webfig и winbox  , и использующие в 2019 году pptp.

вот только пичаль для пионеров в том, что vpnfilter - он не только снаружи, он и изнутри ломал шлакотики. да-да, из интрасети с зараженных клиентских роутеров. не, можно конечно огородиться отовсюду, оставив один-единственный выделенный эзернет порт для подключения специального компа с винбоксом - но одмин некротика будет вынужден при этом жить в серверной рядом с этим портом, как раб на галере.

 

ну и да, пионер, обмазывающийся некротиками, так и не понял, что дырень в реализации пптп - это не проблема пптп, а проблема некротика. и не факт, что в горячо любимом пионером sstp или еще какой проприетарной кривой ни с чем не совместимой шляпе нет точно такой же дырени - просто ее пока не успели наковырять. в конце концов - писано одними и теми же индусами :)

Share this post


Link to post
Share on other sites
8 часов назад, NiTr0 сказал:

весь уровень вашего "ынтырпрайза" :рукалицо:

 

Жирного троля в 6 раз тыкают носом, что у нас есть и киоски с шаурмой, и офисы по 2000-4000 метров.

Жырный троль опять скочет, подпрыгивает, и строит из себя клоуна.

 

 

8 часов назад, NiTr0 сказал:

(если в настройках сервиса, как это обычно пионеры делают, а не в файрволе белые списки крутить)

Где делают ваши кореша-пионеры нам неведомо.

 

У нас соответствующие ACL описаны в соответствующих секциях щаблонов  ansible.

Из шаблонов набраны профили , профили применяются к группам железок.

 

Факты говорят сами за себя - ни один из коллективов, где была нормально поставлена работа управленцем в прямыми руками от ДЫРЕНЕЙ не пострадал.

Ни от дыреней в каталистах, ни в микротиках, ни в линуксах ни в чем то ещё.

Потому что есть есть элементарный комплекс мер по обеспечению защищенности информационных систем.

Те кто эти элементарные меры соблюдает - спокойно работает .

Те кто надеяться на всемогущую поддержку  , срочный выпуск обновлений  и компенсацию собственной косорукости за счет производителя инструмента - за них все решит естественный отбор.

Они вместо работы сидят на форумах и толсто троллят 24/7

 

 

Share this post


Link to post
Share on other sites
8 часов назад, NiTr0 сказал:

netflow (который в обязательном порядке у любого энтерпрайза хранится - подвалы "у Ашота" к таковому ессно не относятся), стенды, honeypot'ы вендора, уведомление клиентов о проблеме в момент ее обнаружения - да нахрен надо, возьмем говносохо без какого-либо вменяемого саппорта,

Вам уже 7 раз писали, почему мы, как провайдер , для включения малых и средних  клиентов выбираем микротик.

Потому что есть есть устройства разной емкости, производительности и стоимости с единым интерфейсом к NMS , системе мониторинга ,  развитым инструментарием для автоматизированной удаленной диагностики - таких как запуск и трансляция PCAP с любого интерфейса на центральную станцию через стандартное API ( и в том числе с фильтрами на уровне ASIC для снижения нагрузки на CPU и сеть ) , и многое , многое другое чего нету в "обычном SOHO".

Что использование единой OS на широкой линейке железок упрощает нам отладку ситуаций на стендах.

Но зачем это все 7 раз слышать, если проще сказать что ваши знакомые пионеры строят гирлянды по 20 мыльниц с выставлением webfig в свободный доступ, а значит так делают все?

 

Ставить свой бизнес в зависимость от скорости реакции "производителя инструментов" , у которого софт пишут даже не свои сотрудники а какие-то нанятые обезьяны из индии - могут только только конченные нитры.

 

 

8 часов назад, NiTr0 сказал:

дадада, патч-корды сами в соседний отдел переползут и переткнутся, а заодно и несколько серверных стоек в соседний отдел телепортируются... ох уж эти пионеры с ихней неуемной фантазией :)

ты совсем читать и думать не умеешь?

Русским языком написали что резервируются ЛЮДИ а не патчкорды или сервера.

Девочки из комнаты 1 умеют продавать кактусы , и немного розы и елки , если прижмет.

Девочки из команаты 2 умеют продавать розы, и немного кактусы и елки, если прижмет.

Девочки из комнаты 3 умеют продавать елки , и немного кактусы и розы , если прижмет.

 

И так строится ЛЮБОЙ бизнес. 

Никогда  и никто не вешает успех или крах компании на один единственный коммутатор "с гарантией и поддержкой"

 

Share this post


Link to post
Share on other sites
9 часов назад, NiTr0 сказал:

вот только пичаль для пионеров в том, что vpnfilter - он не только снаружи, он и изнутри ломал шлакотики. да-да, из интрасети с зараженных клиентских роутеров. не, можно конечно огородиться отовсюду, оставив один-единственный выделенный эзернет порт для подключения специального компа с винбоксом - но одмин некротика будет вынужден при этом жить в серверной рядом с этим портом, как раб на галере.

Бугага.   Про такие вещи как управляющий vlan ваши пионеры не слышали, да?

То что клиентские блоки адресов нужно добавлять в trusted host  это вы сами придумали, или те самые пионеры рассказали?

 

Да, в trusted host, внезапно , добавляются конкретные IP рабочих ( ну и возможно домашних ) возможных мест пребывания административно-технического персонала.

А на эти самые рабочие места , из любой точки мира без проблем организовывается RDP / vnc  сессия .

Для меня никакой проблемы не составляет , даже находясь в пробке за рулем , мгновенно подключится по rdp к офисному или домашнему рабочему месту и просмотреть нужную мне информацию.

 

И повторю в 5 раз главное - если у ваших пионеров клиенские роутеры в интрасети получили заражение каким-то вирусом , то это конкретный косяк ваших пионеров , которым было до лампочки пока их безграмотные ( такие же как они сами ) клиенты подключались с недостаточно безопасными настройками оборудования.

 

Я не ленюсь снять трубку, позвонить клиенту ВОВРЕМЯ и объяснить вероятные последствия кривизны настройки его железа.

И после того, как клиент меня услышал , и если вдруг не принял меры -  безболезненно его отключить или частично фильтрануть трафик при первых признаках заражения.

 

Да, по статистике , абсолютными лидерами по числу таких блокировок ( вирусного трафика, исходящего от клиента ) являются именно крутые офисные клиенты с кучей новых дорогих маршрутизаторов по цене авто  "с платной поддержкой" .

От клиентов с таким же числом рабочих мест, но сидящих на Mikrotik  вирусный флуд прилетает десятки раз реже.

Для корпоративного  админа применение Mikrotik в 4 случаях из 5 -- это знак квалификации, наличия мозга и ответственности за свою работу.

 

А покупка железок с поддержкой , при стоимости поддержки по цене 3 железок , это  "Зачем знать географию? Извозчик довезет. "

Типичный Нитро-метрофанушка-стайл.

 

 

 

 

 

 

 

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now