Ivan_83 Опубликовано 27 февраля, 2019 · Жалоба 1 час назад, LostSoul сказал: udev привязка по vendor id + post-up скрипт. не на этом, на этом мопед встроенный В опенврт с мопедами боль в виде костыля - шелскрипт, который чатится с мопедом через утилиту. У меня оно бывает что никак на пропажу линка не реагирует, потом до ребута или пока в гуе не перезапустишь так и не подключается само. Написать нормальный ncm/cdce демон мне что то лень/руки не дошли :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 27 февраля, 2019 · Жалоба 1 час назад, Ivan_83 сказал: шелскрипт, который чатится с мопедом через утилиту. Я не знаю кто там у вас чатится. По умолчанию из коробки везде stick прошивка , определяется как cdc_ethernet сетевуха, выдает по DHCP какой-нибудь там адрес типа 192.168.8.2 на сторону роутера , сам модем вебморду на своем 192.168.8.1 держит ( подсеть бывает и другой, от модели и оператора зависит ) Вот дальше делаем один запрос курлом, проверяем код ответа - и готово. Ну , нажимаем кнопку "подключиться" в вебе. А вы раз чатитесь, то наверное в hilink перешили? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 27 февраля, 2019 · Жалоба @LostSoul Это в Stick модем изображает PPP/AT девайс, роутер с вебмордой он изображает в Hilink. В Hilink из коробки шли модемы у Билайна. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 27 февраля, 2019 · Жалоба 43 минуты назад, jffulcrum сказал: Это в Stick модем изображает PPP/AT девайс, роутер с вебмордой он изображает в Hilink. В Hilink из коробки шли модемы у Билайна. Про hilink поправка принимается. А вот что касается "модемной" прошивки, вместо "роутерной" я такого уже лет 10 не видел. Все что я покупал мтс, билайн, мегафон, теле2 ( а у меня тут коллекция ~ из 30 модемов, так как все их нужно проверять при выпуске новой версии прошивок для нашего vpn-сервиса ) - все из коробки были как "роутер". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 27 февраля, 2019 · Жалоба @LostSoul В ящике валяются megafon 100-4, 150-2, МТС какой-то 4G - все Stick, я их не перешивал. Кстати, Win10 в прошлом году научилась с ними работать без дашбордов, и даже разблокирование SIM по PIN умеет делать в своем интерфейсе. SD карта тоже работает. Никакое говно с эмулируемого CD ставить больше не надо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 27 февраля, 2019 · Жалоба 20 минут назад, jffulcrum сказал: В ящике валяются megafon 100-4, 150-2, МТС какой-то 4G - все Stick, я их не перешивал. я тоже не перешивал , но все они у меня из коробки работают как hilink возможно у меня на windows 7 уже стоит системный сервис, аналогичный линуксовому usb-modeswitch , который переключает на автомате. На openwrt он так же стоит. ( ну собственно, отключить CDC и включить com-порты через at команды это не мешает ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 27 февраля, 2019 · Жалоба 5 часов назад, LostSoul сказал: А вы раз чатитесь, то наверное в hilink перешили? Я как раз hilink не люблю, мне бы хотелось чтобы все операции делал опенврт, я ему больше доверяю. ppp тоже не хочется. http://netlab.dhis.org/wiki/ru:hardware:huawei:e3272 моё 2 часа назад, jffulcrum сказал: В ящике валяются megafon 100-4, 150-2, МТС какой-то 4G - все Stick, я их не перешивал. Кстати, Win10 в прошлом году научилась с ними работать без дашбордов, и даже разблокирование SIM по PIN умеет делать в своем интерфейсе. вин7 умеет сама нормально свисток подключать, без всякого мусора, там служба wwan для этого. Скриншоты по линку выше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 27 февраля, 2019 · Жалоба 8 минут назад, Ivan_83 сказал: Я как раз hilink не люблю, мне бы хотелось чтобы все операции делал опенврт, я ему больше доверяю. а мне наоборот кажется, что чем больше сведено к православному ethernet и tcp-ip, тем лучше. особенно если вам нужно решить задачу одновременной работы интернет, голоса и смс через один модем, заодно отслеживать еще cell id и уровень сигнала и.т.п. ++ вел работы по интегрированию своего VPN клиента непосредственно в прошивку usb свистика, но не доделал. ( доделал только с полновесным 4g роутером с дисплеем и АКБ ) То есть у меня фактически LTE 4G роутер который любом месте и по любому аплинку сразу мой белый IP через туннель по dhcp выдает. а как руки дойдут и USB свисток такой сделаю. ( который вместо 192.168 маршрутизируемые белые IP на роутер выдают ) Затея встала сразу как операторы перестали лоченные модемы по 600-800р продавать. при цене за свисток в 2500 сразу как то выгоднее оказалось на отдельный роутер это ставить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 28 февраля, 2019 · Жалоба 11 часов назад, Ivan_83 сказал: вин7 умеет сама нормально свисток подключать С 3372 уже не получалось так у меня, нужно было как минимум тулзу переключения режима с 4PDA запускать. А в Win10 и APN уже не спрашивается, она сама по SIM узнает оператора и подтягивает настройки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 28 февраля, 2019 · Жалоба 7 минут назад, jffulcrum сказал: С 3372 уже не получалось так у меня, нужно было как минимум тулзу переключения режима с 4PDA запускать. эта тулза бывает в виде системного сервиса в винде. про него и забываешь уже даже. в ветке на ixbt брал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 28 февраля, 2019 · Жалоба 11 часов назад, LostSoul сказал: а мне наоборот кажется, что чем больше сведено к православному ethernet и tcp-ip, тем лучше. Ну вот я мопед хочу превратить в медиаконвертер, я не хочу чтобы он натил или ещё что то делал, хочу чтобы он был тупой как адсл в бридже. 11 часов назад, LostSoul сказал: особенно если вам нужно решить задачу одновременной работы интернет, голоса и смс через один модем, заодно отслеживать еще cell id и уровень сигнала и.т.п. Ну уровень там через какие то AT можно узнать, смс вроде тоже так же читаются/шлются, но мне это не шибко интересно. 31 минуту назад, jffulcrum сказал: С 3372 уже не получалось так у меня, нужно было как минимум тулзу переключения режима с 4PDA запускать. А в Win10 и APN уже не спрашивается, она сама по SIM узнает оператора и подтягивает настройки. По моей ссылке сходи, там нужно правильную конфигурацию выставить через AT, чтобы мопед сразу определялся как мопед с кардридером а не как инсталяционный цд и тп. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 28 февраля, 2019 · Жалоба 1 час назад, Ivan_83 сказал: По моей ссылке сходи, там нужно правильную конфигурацию выставить через AT, чтобы мопед сразу определялся как мопед с кардридером а не как инсталяционный цд и тп. не во всех модемах(прошивкках) эту правильную конфигурацию можно засейвить как стартап. поэтому и требуется использование в линуксе usb-modeswitch , а на винде либо "фирменной программы от оператора" либо ее аналога Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 28 февраля, 2019 · Жалоба 3 часа назад, LostSoul сказал: не во всех модемах(прошивкках) эту правильную конфигурацию можно засейвить как стартап. Может быть, у меня с 3272 и 3372 проканало. Прошивку шил под ncm с 4пда какую то. А реально есть hilink прошивки которые белый IP от оператора могут по dhcp отдать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 28 февраля, 2019 · Жалоба 49 минут назад, Ivan_83 сказал: А реально есть hilink прошивки которые белый IP от оператора могут по dhcp отдать? я конкретно так не пробовал. но например , модемы Motorola , те что акадо на docsis ставило - они пока с головной станцией не сцепились отзывались на 192.168.1.1 и на нем веб-админку и лог давали. а после соединения переключались в режим бриджа и уже реальный IP на комп давали. Технически, думаю , нету проблем сделать так же. в моем же случае выдается наш собственный белый IP который роутится через многоточечный туннель. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 2 марта, 2019 · Жалоба В 26.02.2019 в 16:07, LostSoul сказал: бред укуренной обезьяны сие , даже комментировать бессмысленно. О том, какая с L2TP реально существует проблема и как ее решать написано выше. халва, халва :) пионер даже не в курсе, что не через всякий нат с одного серого сорс ип два туннеля на два разных внешних ип пролезут - но с умным видом тут разглагольствует о том, какой он ынтырпрайз у Ашота строил :) В 26.02.2019 в 16:07, LostSoul сказал: Если ты не понял за 7 раз выше, то не поймешь никогда. это вы никогда энтерпрайз не видели, потому натягиваете реалии своей шаурмячной "у Ашота" на крупный бизнес. вот только, повторюсь, пичаль для пионера в том, что крупный бизнес - на то он и крупный бизнес, что в нем работает не полтора сотрудника, которые при сдохшем сохо роутере пойдут полы мыть или толчки драить пока студент замену привезет на оленях. В 26.02.2019 в 16:07, LostSoul сказал: Тебе выше написали , какой вариант работает , а какой вариант нет. ну да, высунуть голой жопой в интернет рдп - работает, чо :) до первого червя :) В 26.02.2019 в 16:07, LostSoul сказал: ты вторую неделю ведешь здесь дискуссию , с человеком который консультирует безопасников многих крупных компаний. ох уж эти пионеры-сказочники :) они и безопасников "газпрома" консультируют, и Ашотам роутеры настраивают, и при этом - сутками на наге свои байки рассказывают :) В 26.02.2019 в 16:17, LostSoul сказал: Белый IP в роуминге сохранен, роуминг какой страны? через какого опсоса? или речь о вашем "внутреннем роуминге", который нифига не роуминг? В 26.02.2019 в 16:17, LostSoul сказал: Зайди в любой крупный сетевой магазин , посмотри на оборудование и перестань сношать нам мозг. :рукалицо: ваш "крупный бизнес" закупает оборудование поштучно в магазинах? грю же - не судите об энтерпрайзе по шаурменным, которые вы обслуживаете. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 2 марта, 2019 · Жалоба 4 минуты назад, NiTr0 сказал: халва, халва :) пионер даже не в курсе, что не через всякий нат с одного серого сорс ип два туннеля на два разных внешних ип пролезут - но с умным видом тут разглагольствует о том, какой он ынтырпрайз у Ашота строил :) Басню про мартышку и очки почитай. Может догадаешься, что дело тут вовсе не в NAT Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 2 марта, 2019 · Жалоба В 26.02.2019 в 20:09, LostSoul сказал: Есть определенные сегменты и задачи , где цена отказа связи очень высока. Но там и коммутаторы ставят реального индустриального исполнения. пионер даже не знает что такое индастриал, чем он отличается от энтерпрайза и куда ставится :рукалицо: намекаю: никто индастриал в кондиционируемой серверной ставить не будет. даже если это серверная банка, где процессинговые сервера. почему - сами думаю догадаетесь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 2 марта, 2019 · Жалоба 5 минут назад, NiTr0 сказал: это вы никогда энтерпрайз не видели повторяй перед зеркалом по 15 раз в день. Пусть это будет основой твоей бессмысленной жизни. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 2 марта, 2019 · Жалоба 3 минуты назад, LostSoul сказал: Басню про мартышку и очки почитай. Может догадаешься, что дело тут вовсе не в NAT ну-ну, пионер, расскажи, в чем же дело тут на самом деле, если подключение без ната, как и подключение через железку умеющую full cone nat, прекрасно работает, а подключение через обычный туполинк - нет? :) про высшие материи типа tcpdump'а который показывает отсутствие пакетов от второго туннельного сервера на клиенте за натом - думаю, и говорить не стоит, пионер это не осилит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 2 марта, 2019 · Жалоба 6 минут назад, NiTr0 сказал: до первого червя :) 27 лет трудового стажа в ИТ и телекоме жду , пока ни разу не дождался. Нету этого "первого червя" . Ни в моем предприятии, ни у тех кого я консультирую. А вот кучу клоунов и идиотов, поставивших раком работу своего предприятия из-за излишних мер безопасности, с которыми не смогли совладать -- видел сотни. Сделавших абсолютно уникальные и сложные пароли на каждый чих и не сумевших их сохранить. Переместивших все сервисы на нестандартные порты и не сумевших потом зайти на оборудование в разумный срок. Поднявших бессмысленные туннели через которые все глючило, в критический момент зайти не получилось. Поднявших бессмысленный IPSEC переставший работать. Потому что есть тупая обезьяна, прочитавшая на заборе что "туннель безопаснее". А есть специалист, оценивающий реальные модели угроз и сопоставляющий возможный ущерб от червя ( и его вероятность ) с возможным ущербом от мер борьбы с червем ( и их вероятность ). 5 минут назад, NiTr0 сказал: ну-ну, пионер, расскажи, в чем же дело тут на самом деле, если подключение без ната, как и подключение через железку умеющую full cone nat, прекрасно работает, а подключение через обычный туполинк - нет? :) Тебе , не только написали в чем дело, но и дали конкретные ссылки. Понятно, что для тебя осознать как работает IPSEC IKE и развернуть в своем воображении на 180 градусов из ситуации "один сервер и два клиента за одним NAT " в ситуацию "два сервера и один клиент за одним NAT" , сложнее чем макаке доказать теорму Ферма. Зачем ты тут пришел сюда скакать-то? 13 минут назад, NiTr0 сказал: сами думаю догадаетесь. Мне не нужно гадать. В серверных банков я переодически бываю. И стоит там то, что напишу я. ( не всегда, но чаще 50% случаев ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 3 марта, 2019 · Жалоба В 02.03.2019 в 18:41, LostSoul сказал: Нету этого "первого червя" . Пока нет, а если будет то поплохеет не только рдп серверу, ибо там тлс и много чего используются и другими компонентами в системе. Мне тоже кажется что нет смысла рдп во что то ещё заворачивать, если только им не пользуются дебилы у которых админ:11 и ещё 100500 учоток с такими же паролями для удосбтва. Но это претензия не к рдп а к админам. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 3 марта, 2019 · Жалоба 17 минут назад, Ivan_83 сказал: Пока нет, а если будет то поплохеет не только рдп серверу Ну на самом деле на Windows XP бывало по моему , DOS на службу терминалов. Процессор она жрать начинала. Решилось просто установкой обновлений. Тут же смысл какой - рабочее место с Windows это просто терминальная станция, на которой нету ничего кроме браузера и putty. Приватный rsa ключ ssh . даже если его украсть - привязан к исходному IP на всех целевых серверах и защищен кодовым словом при запуске. Если это будет именно червь, то маловероятно что он в таком сценарии сумеет что-то сделать до обнаружения. ( так как отдельно перехват клавиатуры или отдельно перехват трафика ничего не дает ) если же это будет целенаправленная атака на заказ... сомневаюсь что VPN тут сильно поможет. Маловероятно, чтоб желание взломать нас на заказ совпало с свежей 0-day уязвимостью в RDP. Может быть кто-то конечно живет с большим "листом ожидания" куда пойти срочно вломится командой хакеров высокого уровня, как только взломают RDP. Но опять таки у банков, в которых мне доходилось изучать подобные точки входа, они не на видном месте и там ни на первый, ни на второй ни на третий взгляд не поймешь куда попал. Ну и для мест повышенной защищенности рулят "железные" токены , а так же всякий port knocking , двухфакторная и трехфакторная авторизация и.т.п. Помню, была история, мне один раз проломили песочницу под Linux через vnc . Там был словарный, но не типовой пользователь и пароль как у блондинки. А после входа было тестовое приложение, запущенное в chroot под Wine под обычным пользователем c uid=100 и закрытой для данного id сетевой коммуникацией через iptables. Я его "на минутку" запустил и забыл. Сделать там, правда, червь или хацкер так ничего и не смог, но следов оставил. Сам пользователь нигде не был засвечен в email и.т.п , из чего я пришел к выводу что vncserver как-то палит возможные логины. Ущерба, естественно было ноль. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 11 марта, 2019 · Жалоба В 26.02.2019 в 23:09, LostSoul сказал: 3) Ни один вменяемый ИТ-руководитель не выберет установку Циско за миллион в филиал или отдел, если час простоя основной системы связи в отделе стоит меньше 100.000р . Такими участками бизнеса может быть какой-то процессинговый центр, логистический склад , управление энергетикой, транспортом , производством. Ну, был у меня случАй. Пригласили посмотреть что там с киской коллекторского агенства произошло. Всё честно - тонкие клиенты на столах, народ крепкого вида и по языку продвинутый. ладно, консольник и бук с собой был. В консоли вижу - ипсек не поднимается, пароля нету. Звонят в столицу по спецканалам, дают мне трубку - прошу пароль хотя-бы не енейбл, логи почитать. "А у нас программист-настройщик уволился, и мы его найти не можем". И это коллекторы всея страны. Извинился, и благополучно убежал. Максимум, что они смогли - самолётом киску прислать, заранее настроенную уволившимся программистом. Дело было в смене внешнего ip от их местного провайдера(ipsec понятно лёг). Киска - обычная мфу, замена на преднастроенную не помогла. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 11 марта, 2019 · Жалоба В 02.03.2019 в 20:41, LostSoul сказал: И стоит там то, что напишу я. ( не всегда, но чаще 50% случаев ) В серверных местных филиалов банков - нет ничего сакрального. И даже их сисадминов нету, от слова вообще в городе. В нескольких филиалах, дверь в микросерверную моим ремонтникам открывает сам директор филиала, с охраной естественно. Там скучно и тесно, даже микротиков нету. Мои бойцы даже щёки надувают, а чего это у вас пропуска в гусиной фабрике, если меня в большую часть банков даже без паспорта пропускают :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 15 мая, 2019 · Жалоба В 24.02.2019 в 00:37, NiTr0 сказал: пионер считает, что высунутый голой жопой в дикий интернет RDP сервер не поломают в течение жизни пионера И жизнь, что характерно, не продлилась долго - https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708 . Кстати, патчи вышли и для 2003, если еще есть среди нас некроложцы https://support.microsoft.com/ru-ru/help/4500705/customer-guidance-for-cve-2019-0708 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...