[Хомячок Навального]

согдасно последней инструкции оставили 185 и письмо в никуда на ndr@rkn.gov.ru

 

2 минуты назад, bike сказал:

Их мурзилка -

 

За чем Вам стучаться в Nat, сами когда надо подключатся. 

еще бы сказали когда, и не повесткой в суд

[Andrei]

5 минут назад, bike сказал:

Обратите внимание, ПО на стороне ЦМУ не является маршрутизатором, расположено за межсетевым экраном и NAT трансляцией, поэтому установка сес-сии может быть инициирована только со стороны ЦМУ, соединение устанавливается на 179 порт с порта из диапазона >1024. Большая просьба учиты-вать данную информации при конфигурировании сессии BGP и фильтров (ACL) на Вашей стороне.

 neighbor 185.224.228.193 remote-as 65002
 neighbor 185.224.228.193 description RKN
 neighbor 185.224.228.193 ebgp-multihop 255
 neighbor 185.224.228.193 update-source 188.130.171.1
 neighbor 185.224.228.193 soft-reconfiguration inbound
 neighbor 185.224.228.193 prefix-list DENY-ANY-PREFIXES in

ip prefix-list DENY-ANY-PREFIXES seq 10 deny 0.0.0.0/0 le 32

Что такое passive в терминологии quagga - я хз.

[korsakik]

XML же уже не обязательно заполнять, уже есть веб форма, и для инцидентов. Или я чего-то не понимаю?

[YuryD]

9 минут назад, Andrei сказал:

 neighbor 185.224.228.193 remote-as 65002
 neighbor 185.224.228.193 description RKN
 neighbor 185.224.228.193 ebgp-multihop 255
 neighbor 185.224.228.193 update-source 188.130.171.1
 neighbor 185.224.228.193 soft-reconfiguration inbound
 neighbor 185.224.228.193 prefix-list DENY-ANY-PREFIXES in

ip prefix-list DENY-ANY-PREFIXES seq 10 deny 0.0.0.0/0 le 32

Что такое passive в терминологии quagga - я хз.

 Это не к квагга, в вашем фиреволле разрешите им к вам стучаться до статуса establ

[Andrei]

2 минуты назад, YuryD сказал:

в вашем фиреволле разрешите им к вам стучаться до статуса establ

У меня это и не закрыто. С другими нейборами все устанавливается и работает. Кроме РКН.

[igor_v]

Устанавливать соединение надо с ip 77.95 .132.140. Посмотрите tcpdump есть ли запросы с 77.95 .132.140

[Andrei]

11 минут назад, igor_v сказал:

Устанавливать соединение надо с ip 77.95 .132.140. Посмотрите tcpdump есть ли запросы с 77.95 .132.140

tshark -i vlan150 -f "host 188.130.171.1 and host 77.95.132.140"
Capturing on 'vlan150'
  1   0.000000 188.130.171.1 -> 77.95.132.140 TCP 74 6988→179 [SYN] Seq=0 Win=14600 Len=0 MSS=1460 SACK_PERM=1 TSval=86520288 TSecr=0 WS=512
  2   0.997991 188.130.171.1 -> 77.95.132.140 TCP 74 [TCP Retransmission] 6988→179 [SYN] Seq=0 Win=14600 Len=0 MSS=1460 SACK_PERM=1 TSval=86520538 TSecr=0 WS=512
  3   3.001989 188.130.171.1 -> 77.95.132.140 TCP 74 [TCP Retransmission] 6988→179 [SYN] Seq=0 Win=14600 Len=0 MSS=1460 SACK_PERM=1 TSval=86521039 TSecr=0 WS=512
  4   7.005990 188.130.171.1 -> 77.95.132.140 TCP 74 [TCP Retransmission] 6988→179 [SYN] Seq=0 Win=14600 Len=0 MSS=1460 SACK_PERM=1 TSval=86522040 TSecr=0 WS=512
  5  15.022000 188.130.171.1 -> 77.95.132.140 TCP 74 [TCP Retransmission] 6988→179 [SYN] Seq=0 Win=14600 Len=0 MSS=1460 SACK_PERM=1 TSval=86524044 TSecr=0 WS=512
  6  31.037990 188.130.171.1 -> 77.95.132.140 TCP 74 [TCP Retransmission] 6988→179 [SYN] Seq=0 Win=14600 Len=0 MSS=1460 SACK_PERM=1 TSval=86528048 TSecr=0 WS=512

В обратную сторону тишина.

[igor_v]

Тогда только в  ndr писать, что не видите от них запросов на установление  bgp сессии.

[Andrei]

Я им написал, что настройки сделаны. В ответ тишина.

Один раз неделю назад звонила девушка оттуда, но уже после окончания нашего рабочего дня (Москва же считает, что вся страна работает по московскому времени), но компа у меня под рукой не было чтобы сверить настройки. Обещала перезвонить. И тишина.

[Хомячок Навального]

8 часов назад, korsakik сказал:

XML же уже не обязательно заполнять, уже есть веб форма, и для инцидентов. Или я чего-то не понимаю?

в письме требуют именно xml

[guеst]

7 часов назад, Andrei сказал:

Я им написал, что настройки сделаны. В ответ тишина.

Один раз неделю назад звонила девушка оттуда, но уже после окончания нашего рабочего дня (Москва же считает, что вся страна работает по московскому времени), но компа у меня под рукой не было чтобы сверить настройки. Обещала перезвонить. И тишина.

по короткому опыту общения, я понял, что у них там много "нод" с которыми можно настраивать bgp peer и они должны на каждой отдельно настраивать подключение к нам. У меня сначала была 185.224.228.67 с md5 - не взлетело. Девушка попросила переделать на 185.224.228.81 c md5 - тоже не взлетело. После попросила переделать на 77.95.132.140 без md5 - и вот с этим сейчас есть контакт.

 

При общении она на фразу, что давайте я вышлю на email логи ошибок, она мне сказала, что ей некогда читать наши email, типа давайте голосом сейчас всё быстро сделаем )))

 

....и да, тоже звонила сначала после окончания рабочего дня )

Изменено 17 марта, 2021 пользователем guеst

[IgorKy]

17 часов назад, bike сказал:

+1

Ещё одно ФИ в сторону РКН - забивают лог флапами сессии.

ага.... сессия поднята.. работает... но в логах:

Скрытый текст

RP/0/RSP0/CPU0:Mar 17 08:35:16.660 SAMT: tcp[449]: %IP-TCP-3-BADAUTH : Invalid MD5 digest from 185.224.228.69:47234 to 87.x.x.x:179 for vrf:default (0x60000000)
RP/0/RSP0/CPU0:Mar 17 08:39:17.660 SAMT: tcp[449]: %IP-TCP-3-BADAUTH : Invalid MD5 digest from 185.224.228.69:47234 to 87.x.x.x:179 for vrf:default (0x60000000)
RP/0/RSP0/CPU0:Mar 17 08:43:18.660 SAMT: tcp[449]: %IP-TCP-3-BADAUTH : Invalid MD5 digest from 185.224.228.69:47234 to 87.x.x.x:179 for vrf:default (0x60000000)
RP/0/RSP0/CPU0:Mar 17 08:47:19.660 SAMT: tcp[449]: %IP-TCP-3-BADAUTH : Invalid MD5 digest from 185.224.228.69:47234 to 87.x.x.x:179 for vrf:default (0x60000000)
RP/0/RSP0/CPU0:Mar 17 09:20:57.663 SAMT: tcp[449]: %IP-TCP-3-BADAUTH : Invalid MD5 digest from 185.224.228.69:47234 to 87.x.x.x:179 for vrf:default (0x60000000)

 

Изменено 17 марта, 2021 пользователем igorky

[baronzzz]

17 часов назад, korsakik сказал:

84957481318

 

Сослался на то, что у нас трафик закупается по дорогой цене, лишних мегабутов нету, если надо - делайте к нам присоединение прямое тогда отдадим.

Да они и сами сказали что много у кого "не поддерживает оборудование снмп и нетфлоу", я выбрал вариант свой, трафик дорогой, возможности нету.

Оно в целом так, без прекрас.

 

 

Звякнул в эту пРекрасную организацию, прошёл авторизацию и аутентификацию. Соединили с специалистом.
Пообщались, подправили ошибки и вуаля, сессия поднялась:

[hsvt]

Если кому интересно, то сегодня тоже наконец Established появился, но подсмотрел тут в конфигах, что нужно ttl 255 было указать.

 

Вот пример для JunOS если кому то нужно.

 

group external_peers {
    type external;
    neighbor 77.95.132.140 {
        description CMU_SSOP;
        multihop {
            ttl 255;
        }
        local-address X.X.X.X;
        hold-time 180;
        passive;
        import [ CMU_SSOP_IN_ps bogus-reject ];
        family inet {
            unicast;
        }
        inactive: family inet6 {
            unicast;
        }
        export CMU_SSOP_OUT_ps;
        peer-as XXXXX;
        graceful-restart {
            disable;
        }
    }
}

По телефону так же звонили два раза, технически ничего подсказать не могли, первый раз отправили на doc@noc.gov.ru, оттуда уже на ndr@noc.gov.ru и тут тишина.

 

В маршрутных картах отдавать\принимать нужно что-то, есть какая то информация?

Изменено 17 марта, 2021 пользователем hsvt

[xamza]

8 минут назад, hsvt сказал:

Если кому интересно, то сегодня тоже наконец Established появился, но подсмотрел тут в конфигах, что нужно ttl 255 было указать.

 

Вот пример для JunOS если кому то нужно.

 

group external_peers {
    type external;
    neighbor 77.95.132.140 {
        description CMU_SSOP;
        multihop {
            ttl 255;
        }
        local-address X.X.X.X;
        hold-time 180;
        passive;
        import [ CMU_SSOP_RKN_IN_ps bogus-reject ];
        family inet {
            unicast;
        }
        inactive: family inet6 {
            unicast;
        }
        export CMU_SSOP_OUT_ps;
        peer-as XXXXX;
        graceful-restart {
            disable;
        }
    }
}

По телефону так же звонили два раза, технически ничего подсказать не могли, первый раз отправили на doc@noc.gov.ru, оттуда уже на ndr@noc.gov.ru и тут тишина.

 

В маршрутных картах отдавать\принимать нужно что-то, есть какая то информация?

 

Добрый день, спасибо , а что вы отдаете и принимаете ? (import и export ) или пока непонятно ?

[hsvt]

4 минуты назад, xamza сказал:

Добрый день, спасибо , а что вы отдаете и принимаете ? (import и export ) или пока непонятно ?

Пока не понятно :)

 

show configuration policy-options policy-statement CMU_SSOP_IN_ps
term reject_all {
    from {
        route-filter 0.0.0.0/0 through 0.0.0.0/32;
    }
    then reject;
}



show configuration policy-options policy-statement CMU_SSOP_OUT_ps
term deny-any {
    then reject;
}

 

Изменено 17 марта, 2021 пользователем hsvt

[Mechanic]

а почта на ndr@noc.gov.ru уходит ?

ответы от них хоть кто-то получал ?

<ndr@rkn.gov.ru>: host mx3.rkn.gov.ru[87.226.213.204] refused to talk to me:
    554-mx3.rkn.gov.ru 554---- THE FEDERAL SERVICE FOR SUPERVISION OF
    COMMUNICATIONS, INFORMATION TECHNOLOGY, AND MASS MEDIA --- 554-
    Secured Mail Server mx3.rkn.gov.ru 554- We do not authorize the use of
    this system to transport unsolicited, and/or bulk e-mail (Reject). 554

погуглил, встречаются такие же проблемы, только как пофиксить?

[korsakik]

9 часов назад, Mechanic сказал:

а почта на ndr@noc.gov.ru уходит ?

ответы от них хоть кто-то получал ?

<ndr@rkn.gov.ru>: host mx3.rkn.gov.ru[87.226.213.204] refused to talk to me:
    554-mx3.rkn.gov.ru 554---- THE FEDERAL SERVICE FOR SUPERVISION OF
    COMMUNICATIONS, INFORMATION TECHNOLOGY, AND MASS MEDIA --- 554-
    Secured Mail Server mx3.rkn.gov.ru 554- We do not authorize the use of
    this system to transport unsolicited, and/or bulk e-mail (Reject). 554

погуглил, встречаются такие же проблемы, только как пофиксить?

последние 2 дня порталы то работают то нет. Скорее это временные проблемы

почта живая 100%

Изменено 18 марта, 2021 пользователем korsakik

[buryalex]

Добрый день,

пытаюсь подать сведения через XML. При подаче получаю ошибку - Error: Ошибка инициализации сессии загрузки: Ошибка обращения к ПИРС.

Это проблема с xml или система не работает ?

 

[m.pudikov]

13 часов назад, Mechanic сказал:

а почта на ndr@noc.gov.ru уходит ?

ответы от них хоть кто-то получал ?

<ndr@rkn.gov.ru>: host mx3.rkn.gov.ru[87.226.213.204] refused to talk to me:
    554-mx3.rkn.gov.ru 554---- THE FEDERAL SERVICE FOR SUPERVISION OF
    COMMUNICATIONS, INFORMATION TECHNOLOGY, AND MASS MEDIA --- 554-
    Secured Mail Server mx3.rkn.gov.ru 554- We do not authorize the use of
    this system to transport unsolicited, and/or bulk e-mail (Reject). 554

погуглил, встречаются такие же проблемы, только как пофиксить?

Уходит гарантированно с gmail.com и не уходит с Яндекс.ДляДоменов и mail.ru. Такая ситуация уже не первый год, фиксить НИКТО это не будет. Позиция РКН в этой ситуация излагается в конце их писем и запросов "Просим принять во внимание, что в связи политикой конфиденциальности почтового сервера, письма, направленные в адрес Управления с общедоступных почтовых серверов, могут быть отклонены почтовым сервером Управления. В связи с этим просим в обязательном порядке проверять поступление письма по телефону". 

[Стич]

1 час назад, m.pudikov сказал:

Уходит гарантированно с gmail.com и не уходит с Яндекс.ДляДоменов и mail.ru. Такая ситуация уже не первый год, фиксить НИКТО это не будет. Позиция РКН в этой ситуация излагается в конце их писем и запросов "Просим принять во внимание, что в связи политикой конфиденциальности почтового сервера, письма, направленные в адрес Управления с общедоступных почтовых серверов, могут быть отклонены почтовым сервером Управления. В связи с этим просим в обязательном порядке проверять поступление письма по телефону".

У меня в декабре была ситуация, что письма с моего почтового сервера ихний сервер отбивал.

Пошел на центральный сайт rkn(https://rkn.gov.ru/treatments/ask-question/) и оформил официальное обращение от частного лица типа отбивают почту.

С местного РКН сразу трезвонить начали зачем же вы так нас обидели теперь вам официальный ответ давать обязаны.

Потом сами позвонили и с гордостью заявили что почта не доходит по причине того что IP моего почтовика в базе SORBS.net.

Вытащил его оттуда всё заработало.

На мой вопрос какого хрена ваш почтовик принимает решения на основе данных зарубежного ресурса с сомнительной репутацией сказали ну у нас так устроено.

Официальный ответ был проблему устранил сам жалобщик. Вот такой бля суверенный интернет.

 

Изменено 18 марта, 2021 пользователем Стич

[Rivia]

2 hours ago, buryalex said:

Добрый день,

пытаюсь подать сведения через XML. При подаче получаю ошибку - Error: Ошибка инициализации сессии загрузки: Ошибка обращения к ПИРС.

Это проблема с xml или система не работает ?

 

Вероятно из-за этого:

<?xml version="1.0" encoding="utf-8"?>
<tns:ACT221 xmlns:tns="http://noc.gov.ru/pirs-schema/1.00" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://noc.gov.ru/pirs-schema/1.00">

 

[hRUst]

56 минут назад, Стич сказал:

У меня в декабре была ситуация, что письма с моего почтового сервера ихний сервер отбивал.

Пошел на центральный сайт rkn(https://rkn.gov.ru/treatments/ask-question/) и оформил официальное обращение от частного лица типа отбивают почту.

С местного РКН сразу трезвонить начали зачем же вы так нас обидели теперь вам официальный ответ давать обязаны.

Потом сами позвонили и с гордостью заявили что почта не доходит по причине того что IP моего почтовика в базе SORBS.net.

Вытащил его оттуда всё заработало.

На мой вопрос какого хрена ваш почтовик принимает решения на основе данных зарубежного ресурса с сомнительной репутацией сказали ну у нас так устроено.

Официальный ответ был проблему устранил сам жалобщик. Вот такой бля суверенный интернет.

 

 

было то же самое, только вот в sorbs наш сервер замечен в 17 году был, а РКН все равно

[alibek]

57 минут назад, Стич сказал:

Вытащил его оттуда всё заработало.

Интересно, если этого не делать, что было бы в итоге?

Признались бы в официальном ответе, что используют буржуйские списки?

[bqd]

Коллеги, вы осознаете, что мы вынуждены своими руками строить газенвангены?

И я тоже вынужден под страхом даже не штрафов, (штрафы там копеечные пока), а административного давления от своего начальства, на которое давит их начальство, на которое давит администрация, которая не в теме и вникать не будет (мы не оператор связи), но ведь туда приходят официальные письма из РКН и надо исполнять. Не исполнишь - найдем того кто исполнит и пойдешь нахер. Да, я ни разу не дартанян. Такое же малодушное ссыкло.

Тем не менее, как мне кажется, - это тот редкий случай когда перфекционизм не очень уместен

понимаю, что трудно, но надо себя заставлять

Нам приказали настроить БГП и НСДИ - мы настроили и отчитались. Все.

Не работает - так и чудесно. Лучше чтоб никогда не заработало.

Проявлять излишнее рвение - приближать всеобщую жопу

А то получается газенвагены построили, а евреи не дохнут. Не порядок, надо на форуме спросить Васю, у него дохнут как положено

Уж простите за аналогию

 

про заполнение XML-ей опытом делиться полезно. Ведь от нас требуется корректное заполнение

А корректную работу БГП и НСДИ пока не требуют. Требуют только чтоб было хоть как то настроено.