[Ivan_83]

1 час назад, LostSoul сказал:

udev привязка по vendor id + post-up скрипт.

не на этом, на этом мопед встроенный

В опенврт с мопедами боль в виде костыля - шелскрипт, который чатится с мопедом через утилиту.

У меня оно бывает что никак на пропажу линка не реагирует, потом до ребута или пока в гуе не перезапустишь так и не подключается само.

Написать нормальный ncm/cdce демон мне что то лень/руки не дошли :)

[LostSoul]

1 час назад, Ivan_83 сказал:

шелскрипт, который чатится с мопедом через утилиту.

Я не знаю кто там у вас чатится.   По умолчанию из коробки везде stick прошивка ,  определяется как cdc_ethernet сетевуха,   выдает по DHCP какой-нибудь там адрес типа 192.168.8.2  на сторону роутера , сам модем вебморду на своем 192.168.8.1  держит   ( подсеть бывает и другой, от модели и оператора зависит )

Вот дальше делаем один запрос курлом, проверяем код ответа - и готово.

Ну , нажимаем кнопку "подключиться" в вебе.

А вы раз чатитесь, то наверное в hilink перешили?

 

[jffulcrum]

@LostSoul Это в Stick модем изображает PPP/AT девайс, роутер с вебмордой он изображает в Hilink.  В Hilink из коробки шли модемы у Билайна.

[LostSoul]

43 минуты назад, jffulcrum сказал:

Это в Stick модем изображает PPP/AT девайс, роутер с вебмордой он изображает в Hilink.  В Hilink из коробки шли модемы у Билайна.

Про hilink поправка принимается.

А вот что касается "модемной" прошивки, вместо "роутерной"  я такого уже лет 10 не видел.

Все что я покупал мтс, билайн, мегафон, теле2   ( а у меня тут коллекция ~ из 30 модемов, так как все их нужно проверять при выпуске новой версии прошивок для нашего vpn-сервиса )  - все из коробки были как "роутер".

 

[jffulcrum]

@LostSoul В ящике валяются megafon 100-4, 150-2, МТС какой-то 4G - все Stick, я их не перешивал. Кстати, Win10 в прошлом году научилась с ними работать без дашбордов, и даже разблокирование SIM по PIN умеет делать в своем интерфейсе. SD карта тоже работает. Никакое говно с эмулируемого CD ставить больше не надо.

[LostSoul]

20 минут назад, jffulcrum сказал:

В ящике валяются megafon 100-4, 150-2, МТС какой-то 4G - все Stick, я их не перешивал.

я тоже не перешивал , но все они у меня из коробки работают как hilink

возможно у меня на windows 7 уже стоит системный сервис, аналогичный линуксовому usb-modeswitch   , который переключает на автомате.

На openwrt он так же стоит.

( ну собственно, отключить CDC и включить com-порты через at команды это не мешает )

 

[Ivan_83]

5 часов назад, LostSoul сказал:

А вы раз чатитесь, то наверное в hilink перешили?

Я как раз hilink не люблю, мне бы хотелось чтобы все операции делал опенврт, я ему больше доверяю.

ppp тоже не хочется.

http://netlab.dhis.org/wiki/ru:hardware:huawei:e3272

моё

 

2 часа назад, jffulcrum сказал:

В ящике валяются megafon 100-4, 150-2, МТС какой-то 4G - все Stick, я их не перешивал. Кстати, Win10 в прошлом году научилась с ними работать без дашбордов, и даже разблокирование SIM по PIN умеет делать в своем интерфейсе.

вин7 умеет сама нормально свисток подключать, без всякого мусора, там служба wwan для этого.

Скриншоты по линку выше.

[LostSoul]

8 минут назад, Ivan_83 сказал:

Я как раз hilink не люблю, мне бы хотелось чтобы все операции делал опенврт, я ему больше доверяю.

а мне наоборот кажется, что чем больше сведено к православному ethernet и tcp-ip, тем лучше.

особенно если вам нужно решить задачу одновременной работы интернет, голоса и смс через один модем, заодно отслеживать еще cell id и уровень сигнала и.т.п.

 

++ вел работы по интегрированию своего VPN клиента непосредственно в прошивку usb свистика, но не доделал.

 

( доделал только с полновесным 4g роутером с дисплеем и АКБ )

То есть у меня фактически LTE 4G роутер который  любом месте и по любому аплинку сразу мой белый IP через туннель по dhcp выдает.

а как руки дойдут и USB свисток такой сделаю.

( который вместо 192.168 маршрутизируемые белые IP на роутер выдают )

 

Затея встала сразу как операторы перестали лоченные модемы по 600-800р продавать.

при цене за свисток в 2500 сразу как то выгоднее оказалось на отдельный  роутер это ставить.

 

 

[jffulcrum]

11 часов назад, Ivan_83 сказал:

вин7 умеет сама нормально свисток подключать

С 3372 уже не получалось так у меня, нужно было как минимум тулзу переключения режима с 4PDA запускать. А в Win10 и APN уже не спрашивается, она сама по SIM узнает оператора и подтягивает настройки. 

[LostSoul]

7 минут назад, jffulcrum сказал:

С 3372 уже не получалось так у меня, нужно было как минимум тулзу переключения режима с 4PDA запускать.

эта тулза бывает в виде системного сервиса в винде. про него и забываешь уже даже.

в ветке на ixbt брал.

 

[Ivan_83]

11 часов назад, LostSoul сказал:

а мне наоборот кажется, что чем больше сведено к православному ethernet и tcp-ip, тем лучше.

Ну вот я мопед хочу превратить в медиаконвертер, я не хочу чтобы он натил или ещё что то делал, хочу чтобы он был тупой как адсл в бридже.

 

11 часов назад, LostSoul сказал:

особенно если вам нужно решить задачу одновременной работы интернет, голоса и смс через один модем, заодно отслеживать еще cell id и уровень сигнала и.т.п.

Ну уровень там через какие то AT можно узнать, смс вроде тоже так же читаются/шлются, но мне это не шибко интересно.

 

31 минуту назад, jffulcrum сказал:

С 3372 уже не получалось так у меня, нужно было как минимум тулзу переключения режима с 4PDA запускать. А в Win10 и APN уже не спрашивается, она сама по SIM узнает оператора и подтягивает настройки. 

По моей ссылке сходи, там нужно правильную конфигурацию выставить через AT, чтобы мопед сразу определялся как мопед с кардридером а не как инсталяционный цд и тп.

[LostSoul]

1 час назад, Ivan_83 сказал:

По моей ссылке сходи, там нужно правильную конфигурацию выставить через AT, чтобы мопед сразу определялся как мопед с кардридером а не как инсталяционный цд и тп.

не во всех модемах(прошивкках) эту правильную конфигурацию можно засейвить как стартап.

поэтому и требуется использование в линуксе usb-modeswitch  , а на винде либо "фирменной программы от оператора" либо ее аналога

 

[Ivan_83]

3 часа назад, LostSoul сказал:

не во всех модемах(прошивкках) эту правильную конфигурацию можно засейвить как стартап.

Может быть, у меня с 3272 и 3372 проканало.

Прошивку шил под ncm с 4пда какую то.

 

А реально есть hilink прошивки которые белый IP от оператора могут по dhcp отдать?

[LostSoul]

49 минут назад, Ivan_83 сказал:

А реально есть hilink прошивки которые белый IP от оператора могут по dhcp отдать?

я конкретно так не пробовал.

но например , модемы Motorola ,  те что акадо на docsis ставило - они пока с головной станцией не сцепились  отзывались на 192.168.1.1 и на нем веб-админку и лог давали.

а после соединения переключались в режим бриджа и уже реальный IP на комп давали.

Технически, думаю , нету проблем сделать так же.

в моем же случае выдается наш собственный белый IP который роутится через многоточечный туннель.

 

 

 

[NiTr0]

В 26.02.2019 в 16:07, LostSoul сказал:

бред укуренной обезьяны сие , даже комментировать бессмысленно. 

 

О том, какая с L2TP реально существует проблема и как ее решать написано выше.

халва, халва :) пионер даже не в курсе, что не через всякий нат с одного серого сорс ип два туннеля на два разных внешних ип пролезут - но с умным видом тут разглагольствует о том, какой он ынтырпрайз у Ашота строил :)

 

В 26.02.2019 в 16:07, LostSoul сказал:

Если ты не понял за 7 раз выше,  то не поймешь никогда.

это вы никогда энтерпрайз не видели, потому натягиваете реалии своей шаурмячной "у Ашота" на крупный бизнес.

вот только, повторюсь, пичаль для пионера в том, что крупный бизнес - на то он и крупный бизнес, что в нем работает не полтора сотрудника, которые при сдохшем сохо роутере пойдут полы мыть или толчки драить пока студент замену привезет на оленях.

 

В 26.02.2019 в 16:07, LostSoul сказал:

Тебе выше написали , какой вариант работает , а какой вариант нет.

ну да, высунуть голой жопой в интернет рдп - работает, чо :) до первого червя :)

 

В 26.02.2019 в 16:07, LostSoul сказал:

ты вторую неделю ведешь здесь дискуссию , с человеком который консультирует безопасников многих крупных компаний.

ох уж эти пионеры-сказочники :) они и безопасников "газпрома" консультируют, и Ашотам роутеры настраивают, и при этом - сутками на наге свои байки рассказывают :)

 

В 26.02.2019 в 16:17, LostSoul сказал:

Белый IP в роуминге сохранен,

роуминг какой страны? через какого опсоса? или речь о вашем "внутреннем роуминге", который нифига не роуминг?

 

В 26.02.2019 в 16:17, LostSoul сказал:

Зайди в любой крупный сетевой магазин , посмотри на оборудование и перестань сношать нам мозг.

:рукалицо: ваш "крупный бизнес" закупает оборудование поштучно в магазинах?

грю же - не судите об энтерпрайзе по шаурменным, которые вы обслуживаете.

[LostSoul]

4 минуты назад, NiTr0 сказал:

халва, халва :) пионер даже не в курсе, что не через всякий нат с одного серого сорс ип два туннеля на два разных внешних ип пролезут - но с умным видом тут разглагольствует о том, какой он ынтырпрайз у Ашота строил :)

Басню про мартышку и очки почитай.

Может догадаешься, что дело тут вовсе не в NAT

 

[NiTr0]

В 26.02.2019 в 20:09, LostSoul сказал:

Есть определенные сегменты и задачи , где цена  отказа связи очень высока.

Но там и коммутаторы ставят реального индустриального исполнения.

пионер даже не знает что такое индастриал, чем он отличается от энтерпрайза и куда ставится :рукалицо:

намекаю:  никто индастриал в кондиционируемой серверной ставить не будет. даже если это серверная банка, где процессинговые сервера. почему - сами думаю догадаетесь.

[LostSoul]

5 минут назад, NiTr0 сказал:

это вы никогда энтерпрайз не видели

повторяй перед зеркалом по 15 раз в день. Пусть это будет основой твоей бессмысленной жизни.

 

[NiTr0]

3 минуты назад, LostSoul сказал:

Басню про мартышку и очки почитай.

Может догадаешься, что дело тут вовсе не в NAT

ну-ну, пионер, расскажи, в чем же дело тут на самом деле, если подключение без ната, как и подключение через железку умеющую full cone nat, прекрасно работает, а подключение через обычный туполинк - нет? :)

 

про высшие материи типа tcpdump'а который показывает отсутствие пакетов от второго туннельного сервера на клиенте за натом - думаю, и говорить не стоит, пионер это не осилит.

[LostSoul]

6 минут назад, NiTr0 сказал:

до первого червя :)

27 лет трудового стажа в ИТ и  телекоме жду  , пока ни разу не дождался.

Нету этого "первого червя" . Ни в моем предприятии, ни у тех кого я консультирую.

А вот кучу клоунов и идиотов,  поставивших раком работу своего предприятия из-за излишних мер безопасности, с которыми не смогли совладать -- видел сотни.

Сделавших абсолютно уникальные и сложные пароли на каждый чих и не сумевших их сохранить.

Переместивших все сервисы на нестандартные порты и не сумевших потом зайти на оборудование в разумный срок.

Поднявших бессмысленные туннели через которые все глючило,  в критический момент зайти не получилось.

Поднявших бессмысленный IPSEC  переставший работать.

 

Потому что есть тупая обезьяна, прочитавшая на заборе что "туннель безопаснее".

А есть специалист, оценивающий реальные модели угроз и сопоставляющий возможный ущерб от червя ( и его вероятность ) с возможным ущербом от мер борьбы с червем ( и их вероятность ).

 

 

 

5 минут назад, NiTr0 сказал:

ну-ну, пионер, расскажи, в чем же дело тут на самом деле, если подключение без ната, как и подключение через железку умеющую full cone nat, прекрасно работает, а подключение через обычный туполинк - нет? :)

Тебе , не только написали в чем дело, но и дали конкретные ссылки.

Понятно, что для тебя осознать как работает  IPSEC IKE и  развернуть в своем воображении на 180 градусов из ситуации "один сервер и два клиента за одним NAT " в ситуацию "два сервера и один клиент за одним NAT"  , сложнее чем макаке доказать теорму Ферма.

Зачем ты тут пришел сюда скакать-то?

 

 

13 минут назад, NiTr0 сказал:

сами думаю догадаетесь.

Мне не нужно гадать. В серверных банков я переодически бываю. 

И стоит там  то, что напишу я.    ( не всегда, но чаще 50% случаев )

 

 

[Ivan_83]

В 02.03.2019 в 18:41, LostSoul сказал:

Нету этого "первого червя" .

Пока нет, а если будет то поплохеет не только рдп серверу, ибо там тлс и много чего используются и другими компонентами в системе.

Мне тоже кажется что нет смысла рдп во что то ещё заворачивать, если только им не пользуются дебилы у которых админ:11 и ещё 100500 учоток с такими же паролями для удосбтва. Но это претензия не к рдп а к админам.

[LostSoul]

17 минут назад, Ivan_83 сказал:

Пока нет, а если будет то поплохеет не только рдп серверу

Ну на самом деле на Windows XP бывало по моему , DOS на службу терминалов.

Процессор она жрать начинала.  Решилось просто установкой обновлений.

 

Тут же смысл какой - рабочее место с Windows это просто терминальная станция, на которой нету ничего кроме браузера и putty.

Приватный rsa ключ ssh . даже если его украсть - привязан к исходному IP на всех целевых серверах и защищен кодовым словом при запуске.

Если это будет именно червь, то маловероятно что он в таком сценарии сумеет что-то сделать до обнаружения.

( так как отдельно перехват клавиатуры или отдельно перехват трафика ничего не дает )

если же это будет целенаправленная атака на заказ...   сомневаюсь что VPN тут сильно поможет.

Маловероятно, чтоб желание взломать нас на заказ совпало с свежей 0-day уязвимостью в RDP.

Может быть кто-то конечно живет с большим "листом ожидания" куда пойти срочно вломится командой хакеров высокого уровня, как только взломают RDP.

Но опять таки у банков, в которых мне доходилось изучать подобные точки входа, они не на видном месте и там ни на первый, ни на второй ни на третий взгляд не поймешь куда попал.

Ну и для мест повышенной защищенности рулят "железные" токены , а так же всякий port knocking , двухфакторная и трехфакторная   авторизация и.т.п.

 

 

 

 

Помню, была история, мне один раз проломили песочницу под Linux через vnc .

Там был словарный, но не типовой пользователь и пароль как у блондинки.

А после входа было тестовое приложение, запущенное в chroot под Wine под обычным пользователем c uid=100 и закрытой для данного id сетевой коммуникацией через iptables.

Я его "на минутку" запустил и забыл.

Сделать там, правда, червь или хацкер так ничего и не смог, но следов оставил.

Сам пользователь нигде не был засвечен в email и.т.п , из чего я пришел к выводу что vncserver как-то палит возможные логины.

Ущерба, естественно было ноль.

 

 

[YuryD]

В 26.02.2019 в 23:09, LostSoul сказал:

3) Ни один вменяемый ИТ-руководитель не выберет установку Циско за миллион в филиал или отдел, если час простоя основной системы связи в отделе стоит меньше 100.000р   . Такими участками бизнеса может быть какой-то процессинговый центр, логистический склад , управление энергетикой, транспортом  , производством.

 Ну, был у меня случАй. Пригласили посмотреть что там с киской коллекторского агенства произошло. Всё честно - тонкие клиенты на столах, народ крепкого вида и по языку продвинутый. ладно, консольник и бук с собой был. В консоли  вижу - ипсек не поднимается, пароля нету. Звонят в столицу по спецканалам, дают мне трубку - прошу пароль хотя-бы не енейбл, логи почитать. "А у нас программист-настройщик уволился, и мы его найти не можем". И это коллекторы всея страны. Извинился, и благополучно убежал. Максимум, что они смогли - самолётом киску прислать, заранее настроенную уволившимся программистом. Дело было в смене внешнего ip от их местного провайдера(ipsec понятно лёг). Киска - обычная мфу, замена на преднастроенную не помогла.

[YuryD]

В 02.03.2019 в 20:41, LostSoul сказал:

И стоит там  то, что напишу я.    ( не всегда, но чаще 50% случаев )

 В серверных местных филиалов банков - нет ничего сакрального. И даже их сисадминов нету, от слова вообще в городе. В нескольких филиалах, дверь в микросерверную моим ремонтникам открывает сам директор филиала, с охраной естественно. Там скучно и тесно, даже микротиков нету. Мои бойцы даже щёки надувают, а чего это у вас пропуска в гусиной фабрике, если меня в большую часть банков даже без паспорта пропускают :)

[jffulcrum]

В 24.02.2019 в 00:37, NiTr0 сказал:

пионер считает, что высунутый голой жопой в дикий интернет RDP сервер не поломают в течение жизни пионера

И жизнь, что характерно, не продлилась долго - https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708 . Кстати, патчи вышли и для 2003, если еще есть среди нас некроложцы https://support.microsoft.com/ru-ru/help/4500705/customer-guidance-for-cve-2019-0708