Andrei Опубликовано 5 мая, 2021 · Жалоба 9 часов назад, 1076 сказал: Кто - то разобрался , как Квагге это сказать : neighbor 185.224.228.193 transport connection-mode passive Квагга ругается что такой комманды не знает . neighbor 185.224.228.193 passive Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
karas_v Опубликовано 7 мая, 2021 · Жалоба В 16.03.2021 в 19:04, korsakik сказал: Тогда соболезную, тоже мучаюсь, на нетфлоу и снимп у меня "нет технической возможности", это в ЦМУ одобрили, бгп пока обязаловка. Добрый день. Подскажите какое у Вас оборудование, что позволило указать "нет технической возможности". И как это отобразили в уведомлении - забили в один из столбцов xls файла или оставили эти столбцы пустыми, а указание на техническую возможность написали в тексте письма? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
at0m1x Опубликовано 7 мая, 2021 (изменено) · Жалоба Доброе утро господа! Возможно стоило создать новую тему, но мне кажется моя проблема как-то связана с подключением BGP к ЦМУ. Проблема заключается в следующем: после поднятия BGP сессии с ЦМУ в логах кваги стали появляться сообщения о попытках подключения к демонам BGPD и Zebra по телнету. У нас конечно отключено удаленное подключение к этим службам, но сам факт настораживает, т.к. это началось сразу после подключения к ЦМУ, до этого подобных проблем вообще никогда не возникало и подобных попыток замечено не было. IP адреса, с которых производятся попытки подключения, принадлежат зарубежным хостинг-провайдерам. Может у кого-то уже наблюдалось подобное? Изменено 7 мая, 2021 пользователем at0m1x Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hRUst Опубликовано 7 мая, 2021 · Жалоба А зачем они у вас торчат наружу, вместо localhost? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bolik Опубликовано 17 мая, 2021 · Жалоба On 4/12/2021 at 6:36 PM, finkler said: Коллеги, а кто подключился по MD5 паролю, в логах ругань не замечали ? tcp[205]: %IP-TCP-3-BADAUTH : Invalid MD5 digest from 185.224.228.XX:50225 to XX.XX.XX.XX:179 for vrf:default (0x60000000) похоже на firewall посередине и TCP sequence randomization, с нашей стороны понятно firewall-а нет. дада, у меня так же. Смогли как-то побороть? Сообщения в логах с периодичностью примерно 1 раз в минуту. Ощущение что их квага не вставляет MD5 хеш в какой-то пакет раз в минуту, но BGP сессия порваться не успевает. Все логи в этом мусоре, оставлять так конечно не хочется. РКН даже подампили со своей стороны - говорят проблему не видят. А делать сессию без аутентификации совсем не хочется. Спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xamza Опубликовано 18 мая, 2021 · Жалоба В 17.03.2021 в 17:12, hsvt сказал: Пока не понятно :) show configuration policy-options policy-statement CMU_SSOP_IN_ps term reject_all { from { route-filter 0.0.0.0/0 through 0.0.0.0/32; } then reject; } show configuration policy-options policy-statement CMU_SSOP_OUT_ps term deny-any { then reject; } Добрый день, удалось поднять пир с РКН на джуне? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
StalkerRU Опубликовано 18 мая, 2021 · Жалоба Всем привет, вопрос офтоп, но по теме предоставления сведений по AS. Постановление Правительства РФ от 29 октября 2019 г. № 1385 Согласно п.4 данного Постановления собственник или иной владелец технологической сети связи, имеющие номер автономной системы, должны в течение 45 дней со дня получения ими такого номера направить в ФСБ заявление о начале взаимодействия с уполномоченными органами. Не могли бы вы поделиться опытом решения данного вопроса? есть ли какая-то установленная форма заявления? Чем грозит несвоевременное направление заявления? Не нашли ответ в интернете, спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Jora_Cornev Опубликовано 18 мая, 2021 · Жалоба 4. Собственник или иной владелец технологической сети связи, имеющие номер автономной системы, не позднее 45 дней со дня получения ими такого номера подают в орган федеральной службы безопасности заявление о начале взаимодействия с уполномоченными органами (далее - заявление). Скорее всего речь идёт о СОРМ'е, который должен быть установление через 3 месяца после подачи заявления. а кстати вопрос, как РКН может узнать об AS если их явно об это мне уведомить? ведь пока вроде нет нормы сообщять об имеющихся присоединениях? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 19 мая, 2021 · Жалоба 6 часов назад, Jora_Cornev сказал: речь идёт о СОРМ нетъ 6 часов назад, Jora_Cornev сказал: а кстати вопрос, как РКН может узнать об AS если их явно об это мне уведомить? ведь пока вроде нет нормы сообщять об имеющихся присоединениях? от аплинков например, или из открытых источников. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Стич Опубликовано 19 мая, 2021 (изменено) · Жалоба 8 часов назад, Jora_Cornev сказал: а кстати вопрос, как РКН может узнать об AS если их явно об это мне уведомить? ведь пока вроде нет нормы сообщять об имеющихся присоединениях? В базе RIPE они рылись причем местные сотрудники которые слово AS и RIPE недавно услышали, но всё равно не поняли. Причем доходило до смешного в поиске набирали город выскакивало куча ссылок на разные объекты где это слово встречалось, а они думали что у одной организации куча AS. Изменено 19 мая, 2021 пользователем Стич Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
StalkerRU Опубликовано 19 мая, 2021 · Жалоба 9 часов назад, Jora_Cornev сказал: Скорее всего речь идёт о СОРМ'е, который должен быть установление через 3 месяца после подачи заявления Это касается только операторов связи? или всех владельцев AS ? Мы используем AS для себя, не являемся оператором связи... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 19 мая, 2021 · Жалоба всех владельцев AS 9 минут назад, StalkerRU сказал: Мы используем AS для себя, не являемся оператором связи... в законе исключений не сделано Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Jora_Cornev Опубликовано 19 мая, 2021 · Жалоба Цитата Скорее всего речь идёт о СОРМ 3 часа назад, Andrei сказал: нетъ тогда о каких технических средствах идёт речь: планом мероприятий по внедрению технических средств (далее - план), в котором указывается в том числе срок ввода в эксплуатацию таких технических средств. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Rivia Опубликовано 19 мая, 2021 · Жалоба 2 hours ago, Jora_Cornev said: тогда о каких технических средствах идёт речь: планом мероприятий по внедрению технических средств (далее - план), в котором указывается в том числе срок ввода в эксплуатацию таких технических средств. Как ранее бывало - зависит от того что захотят местные гбшники, может быть согласуют предоставление им доступа к различным данным без установки сорма (как ранее бывало с мелкими операторами). В любом случае узнать вы можете только у них, да и в целом вопрос - каковы санкции за невыполнение (у оператора связи могут отобрать лицензию за невыполнение лиц. требований; что могут стребовать с владельца техн. сети?) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 19 мая, 2021 · Жалоба 1 час назад, Rivia сказал: каковы санкции за невыполнение КоАП 13.42-46, 19.7.10 Очень быстро штрафы становятся шести-семизначными Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 19 мая, 2021 · Жалоба 3 часа назад, Jora_Cornev сказал: тогда о каких технических средствах идёт речь: планом мероприятий по внедрению технических средств (далее - план), в котором указывается в том числе срок ввода в эксплуатацию таких технических средств приказ 221 не имеет отношения к СОРМу Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Стич Опубликовано 19 мая, 2021 (изменено) · Жалоба @StalkerRU Я думаю проще использовать private AS, ну если найдете провайдера который так вас подключит. Федералы нет, а вот местечковые вполне могут. Кстати так можно уводить клиентов с AS от федералов Изменено 19 мая, 2021 пользователем Стич Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Хомячок Навального Опубликовано 20 мая, 2021 · Жалоба вот и полетели первые косяки с НСДИ... 20.05.2021 ориентировочно с 07:00 (МСК) При работе через dns-сервера 195.208.4.1 и 195.208.5.1 наблюдается существенная задржка отвтов на запросы # dig -t a rt.ru @195.208.5.1 ;; ANSWER SECTION: rt.ru. 137 IN A 87.226.162.178 ;; AUTHORITY SECTION: rt.ru. 514 IN NS ns8-cloud.nic.ru. rt.ru. 514 IN NS ns1.rostelecom.ru. rt.ru. 514 IN NS ns2.rostelecom.ru. rt.ru. 514 IN NS ns4-cloud.nic.ru. rt.ru. 514 IN NS ns4-l2.nic.ru. rt.ru. 514 IN NS ns8-l2.nic.ru. ;; Query time: 3351 msec ;; SERVER: 195.208.5.1#53(195.208.5.1) ;; WHEN: Thu May 20 13:38:43 YAKT 2021 ;; MSG SIZE rcvd: 191 ------------------------------------------------ # dig -t a rt.ru @8.8.8.8 ;; ANSWER SECTION: rt.ru. 421 IN A 87.226.162.178 ;; Query time: 102 msec ;; SERVER: 8.8.8.8#53(8.8.8.8) ;; WHEN: Thu May 20 13:40:39 YAKT 2021 ;; MSG SIZE rcvd: 50 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 20 мая, 2021 · Жалоба Мдя.. Разница в десятки раз: dig -t a rt.ru @195.208.5.1 ; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> -t a rt.ru @195.208.5.1 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10401 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 6, ADDITIONAL: 0 ;; QUESTION SECTION: ;rt.ru. IN A ;; ANSWER SECTION: rt.ru. 30 IN A 87.226.162.178 ;; AUTHORITY SECTION: rt.ru. 331 IN NS ns8-l2.nic.ru. rt.ru. 331 IN NS ns2.rostelecom.ru. rt.ru. 331 IN NS ns4-l2.nic.ru. rt.ru. 331 IN NS ns8-cloud.nic.ru. rt.ru. 331 IN NS ns4-cloud.nic.ru. rt.ru. 331 IN NS ns1.rostelecom.ru. ;; Query time: 728 msec ;; SERVER: 195.208.5.1#53(195.208.5.1) ;; WHEN: Thu May 20 11:13:55 2021 ;; MSG SIZE rcvd: 180 dig -t a rt.ru @1.1.1.1 ; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> -t a rt.ru @1.1.1.1 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1882 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;rt.ru. IN A ;; ANSWER SECTION: rt.ru. 50 IN A 87.226.162.178 ;; Query time: 31 msec ;; SERVER: 1.1.1.1#53(1.1.1.1) ;; WHEN: Thu May 20 11:14:05 2021 ;; MSG SIZE rcvd: 39 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Хомячок Навального Опубликовано 20 мая, 2021 · Жалоба вымутил прямой телефон техников в ЦМУ ССОП - сказали заведут заявку и посмотрят, что у них случилось. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Хомячок Навального Опубликовано 20 мая, 2021 · Жалоба вроде выровнялось чуток Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
finkler Опубликовано 27 мая, 2021 · Жалоба В 17.05.2021 в 16:18, Bolik сказал: дада, у меня так же. Смогли как-то побороть? Сообщения в логах с периодичностью примерно 1 раз в минуту. Ощущение что их квага не вставляет MD5 хеш в какой-то пакет раз в минуту, но BGP сессия порваться не успевает. Все логи в этом мусоре, оставлять так конечно не хочется. РКН даже подампили со своей стороны - говорят проблему не видят. А делать сессию без аутентификации совсем не хочется. Спасибо! Да, мы отловили эти сообщения, с их стороны летят пакеты раз в час, два - без MD5 подписи. Это TCP Keepalive пакеты, подозреваю, что это не демон маршрутизации ( Bird, Quagga), а сам сервак периодически шлет их для проверки живости TCP-соединения и вот эти TCP Keepalive как раз не подписаны MD5. Скидывали им собранные дампы, бесполезно - отписки, что все норм с их стороны, а на повторные запросы игнор. Да и что они ответят, что поделие из палок кто-то напилил, получил бабло и свалил в неизвестность. Либо забить на сообщения в логах, либо если совсем напрягает, перейти как большинство на сессию без MD5. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bolik Опубликовано 27 мая, 2021 · Жалоба 4 hours ago, finkler said: Да, мы отловили эти сообщения, с их стороны летят пакеты раз в час, два - без MD5 подписи. Это TCP Keepalive пакеты, подозреваю, что это не демон маршрутизации ( Bird, Quagga), а сам сервак периодически шлет их для проверки живости TCP-соединения и вот эти TCP Keepalive как раз не подписаны MD5. Скидывали им собранные дампы, бесполезно - отписки, что все норм с их стороны, а на повторные запросы игнор. Да и что они ответят, что поделие из палок кто-то напилил, получил бабло и свалил в неизвестность. Либо забить на сообщения в логах, либо если совсем напрягает, перейти как большинство на сессию без MD5. Вчера поклирил сессию с ними на одном маршрутизаторе (сообщения в логах были) - пока тишина. А на другом маршрутизаторе после того как сессия упала и поднялась 11 дней назад - сообщений так и нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
IgorKy Опубликовано 28 мая, 2021 · Жалоба с 24.05 тоже гадства этого нету... может починили чего Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Вова72 Опубликовано 28 мая, 2021 · Жалоба Добрый день! Коллеги подскажите чем с технической стороны вопроса может обернутся подключение по BGP к ЦМУ ССОП? То что можно зафильтровать все анонсы от них это понятно, но возможна ли ситуация что они проанонсируют нашу ASN куда-то ещё и у нас всё рухнет? И ещё вопрос, в памятке от РКН есть рекомендация "переключить сессию в passive" в данном форуме я видел пример настройки BGP:neighbor 185.224.228.193 transport connection-mode passive можете мне объяснить как работает пассивный режим? Спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...