[Andrei]

9 часов назад, 1076 сказал:

Кто  -  то  разобрался , как  Квагге  это  сказать :

 

neighbor 185.224.228.193 transport connection-mode passive

 

Квагга  ругается  что  такой  комманды  не  знает  .

 

 

 

 

 neighbor 185.224.228.193 passive

 

[karas_v]

В 16.03.2021 в 19:04, korsakik сказал:

Тогда соболезную, тоже мучаюсь, на нетфлоу и снимп у меня "нет технической возможности", это в ЦМУ одобрили, бгп пока обязаловка.

Добрый день. Подскажите какое у Вас оборудование, что позволило указать "нет технической возможности". И как это отобразили в уведомлении - забили в один из столбцов xls файла или оставили эти столбцы пустыми, а указание на техническую возможность написали в тексте письма?

[at0m1x]

Доброе утро господа! Возможно стоило создать новую тему, но мне кажется моя проблема как-то связана с подключением BGP к ЦМУ. Проблема  заключается в следующем: после поднятия BGP сессии с ЦМУ в логах кваги стали появляться сообщения о попытках подключения к демонам BGPD и Zebra по телнету. У нас конечно отключено удаленное подключение к этим службам, но сам факт настораживает, т.к. это началось сразу после подключения к ЦМУ, до этого подобных проблем вообще никогда не возникало и подобных попыток замечено не было. IP адреса, с которых производятся попытки подключения, принадлежат зарубежным хостинг-провайдерам. Может у кого-то уже наблюдалось подобное?

Изменено 7 мая, 2021 пользователем at0m1x

[hRUst]

А зачем они у вас торчат наружу, вместо localhost?

[Bolik]

On 4/12/2021 at 6:36 PM, finkler said:

Коллеги, а кто подключился по MD5 паролю,  в логах ругань не замечали ?

 

 

tcp[205]: %IP-TCP-3-BADAUTH : Invalid MD5 digest from 185.224.228.XX:50225 to XX.XX.XX.XX:179 for vrf:default (0x60000000)

 

 

похоже на firewall посередине и TCP sequence randomization, с нашей стороны понятно firewall-а нет.

дада, у меня так же. Смогли как-то побороть? Сообщения в логах с периодичностью примерно 1 раз в минуту.

Ощущение что их квага не вставляет MD5 хеш в какой-то пакет раз в минуту, но BGP сессия порваться не успевает. Все логи в этом мусоре, оставлять так конечно не хочется. РКН даже подампили со своей стороны - говорят проблему не видят. 

А делать сессию без аутентификации совсем не хочется. Спасибо! 

[xamza]

В 17.03.2021 в 17:12, hsvt сказал:

Пока не понятно :)

 

show configuration policy-options policy-statement CMU_SSOP_IN_ps
term reject_all {
    from {
        route-filter 0.0.0.0/0 through 0.0.0.0/32;
    }
    then reject;
}



show configuration policy-options policy-statement CMU_SSOP_OUT_ps
term deny-any {
    then reject;
}

 

 

Добрый день, удалось поднять пир с РКН на джуне? 

[StalkerRU]

Всем привет, вопрос офтоп, но по теме предоставления сведений по AS.

Постановление Правительства РФ от 29 октября 2019 г. № 1385

Согласно п.4 данного Постановления собственник или иной владелец технологической сети связи, имеющие номер автономной системы, должны в течение 45 дней со дня получения ими такого номера направить в ФСБ заявление о начале взаимодействия с уполномоченными органами. Не могли бы вы поделиться опытом решения данного вопроса? есть ли какая-то установленная форма заявления? Чем грозит несвоевременное направление заявления? Не нашли ответ в интернете, спасибо!

[Jora_Cornev]

4. Собственник или иной владелец технологической сети связи, имеющие номер автономной системы, не позднее 45 дней со дня получения ими такого номера подают в орган федеральной службы безопасности заявление о начале взаимодействия с уполномоченными органами (далее - заявление).

Скорее всего речь идёт о СОРМ'е, который должен быть установление через 3 месяца после подачи заявления.

 

а кстати вопрос, как РКН может узнать об AS если их явно об это мне уведомить? ведь пока вроде нет нормы сообщять об имеющихся присоединениях?

[Andrei]

6 часов назад, Jora_Cornev сказал:

речь идёт о СОРМ

нетъ

 

6 часов назад, Jora_Cornev сказал:

а кстати вопрос, как РКН может узнать об AS если их явно об это мне уведомить? ведь пока вроде нет нормы сообщять об имеющихся присоединениях?

от аплинков например, или из открытых источников.

[Стич]

8 часов назад, Jora_Cornev сказал:

а кстати вопрос, как РКН может узнать об AS если их явно об это мне уведомить? ведь пока вроде нет нормы сообщять об имеющихся присоединениях?

В базе RIPE они рылись причем местные сотрудники которые слово AS и RIPE недавно услышали, но всё равно не поняли.

Причем доходило до смешного в поиске набирали город выскакивало куча ссылок на разные объекты где это слово встречалось, а они думали что у одной организации куча AS.

 

Изменено 19 мая, 2021 пользователем Стич

[StalkerRU]

9 часов назад, Jora_Cornev сказал:

Скорее всего речь идёт о СОРМ'е, который должен быть установление через 3 месяца после подачи заявления

Это касается только операторов связи? или всех владельцев AS ?
Мы используем AS для себя, не являемся оператором связи... 

[Andrei]

всех владельцев AS

9 минут назад, StalkerRU сказал:

Мы используем AS для себя, не являемся оператором связи... 

 в законе исключений не сделано

[Jora_Cornev]

Цитата

Скорее всего речь идёт о СОРМ

3 часа назад, Andrei сказал:

нетъ

тогда о каких технических средствах идёт речь: планом мероприятий по внедрению технических средств (далее - план), в котором указывается в том числе срок ввода в эксплуатацию таких технических средств.

[Rivia]

2 hours ago, Jora_Cornev said:

тогда о каких технических средствах идёт речь: планом мероприятий по внедрению технических средств (далее - план), в котором указывается в том числе срок ввода в эксплуатацию таких технических средств.

Как ранее бывало - зависит от того что захотят местные гбшники, может быть согласуют предоставление им доступа к различным данным без установки сорма (как ранее бывало с мелкими операторами). В любом случае узнать вы можете только у них, да и в целом вопрос - каковы санкции за невыполнение (у оператора связи могут отобрать лицензию за невыполнение лиц. требований; что могут стребовать с владельца техн. сети?)

[jffulcrum]

1 час назад, Rivia сказал:

каковы санкции за невыполнение

КоАП 13.42-46, 19.7.10

Очень быстро штрафы становятся шести-семизначными

[Andrei]

3 часа назад, Jora_Cornev сказал:

тогда о каких технических средствах идёт речь: планом мероприятий по внедрению технических средств (далее - план), в котором указывается в том числе срок ввода в эксплуатацию таких технических средств

приказ 221 не имеет отношения к СОРМу

[Стич]

@StalkerRU 

Я думаю проще использовать private AS, ну если найдете провайдера который так вас подключит.

Федералы нет, а вот местечковые вполне могут. Кстати так можно уводить клиентов с AS от федералов

Изменено 19 мая, 2021 пользователем Стич

[Хомячок Навального]

вот и полетели первые косяки с НСДИ...

 

20.05.2021 ориентировочно с 07:00 (МСК)

При работе через dns-сервера 195.208.4.1 и 195.208.5.1
наблюдается существенная задржка отвтов на запросы

# dig -t a rt.ru @195.208.5.1

;; ANSWER SECTION:
 rt.ru.                  137     IN      A       87.226.162.178

 ;; AUTHORITY SECTION:
 rt.ru.                  514     IN      NS      ns8-cloud.nic.ru.
 rt.ru.                  514     IN      NS      ns1.rostelecom.ru.
 rt.ru.                  514     IN      NS      ns2.rostelecom.ru.
 rt.ru.                  514     IN      NS      ns4-cloud.nic.ru.
 rt.ru.                  514     IN      NS      ns4-l2.nic.ru.
 rt.ru.                  514     IN      NS      ns8-l2.nic.ru.

 ;; Query time: 3351 msec
;; SERVER: 195.208.5.1#53(195.208.5.1)
 ;; WHEN: Thu May 20 13:38:43 YAKT 2021
 ;; MSG SIZE  rcvd: 191

 ------------------------------------------------

 # dig -t a rt.ru @8.8.8.8

;; ANSWER SECTION:
 rt.ru.                  421     IN      A       87.226.162.178

 ;; Query time: 102 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
 ;; WHEN: Thu May 20 13:40:39 YAKT 2021
 ;; MSG SIZE  rcvd: 50

 

[Andrei]

Мдя..

Разница в десятки раз:

 

dig -t a rt.ru @195.208.5.1

; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> -t a rt.ru @195.208.5.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10401
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 6, ADDITIONAL: 0

;; QUESTION SECTION:
;rt.ru.                         IN      A

;; ANSWER SECTION:
rt.ru.                  30      IN      A       87.226.162.178

;; AUTHORITY SECTION:
rt.ru.                  331     IN      NS      ns8-l2.nic.ru.
rt.ru.                  331     IN      NS      ns2.rostelecom.ru.
rt.ru.                  331     IN      NS      ns4-l2.nic.ru.
rt.ru.                  331     IN      NS      ns8-cloud.nic.ru.
rt.ru.                  331     IN      NS      ns4-cloud.nic.ru.
rt.ru.                  331     IN      NS      ns1.rostelecom.ru.

;; Query time: 728 msec
;; SERVER: 195.208.5.1#53(195.208.5.1)
;; WHEN: Thu May 20 11:13:55 2021
;; MSG SIZE  rcvd: 180

 

 

 

dig -t a rt.ru @1.1.1.1

; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> -t a rt.ru @1.1.1.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1882
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;rt.ru.                         IN      A

;; ANSWER SECTION:
rt.ru.                  50      IN      A       87.226.162.178

;; Query time: 31 msec
;; SERVER: 1.1.1.1#53(1.1.1.1)
;; WHEN: Thu May 20 11:14:05 2021
;; MSG SIZE  rcvd: 39

 

[Хомячок Навального]

вымутил прямой телефон техников в ЦМУ ССОП - сказали заведут заявку и посмотрят, что у них случилось.

[Хомячок Навального]

вроде выровнялось чуток

[finkler]

В 17.05.2021 в 16:18, Bolik сказал:

дада, у меня так же. Смогли как-то побороть? Сообщения в логах с периодичностью примерно 1 раз в минуту.

Ощущение что их квага не вставляет MD5 хеш в какой-то пакет раз в минуту, но BGP сессия порваться не успевает. Все логи в этом мусоре, оставлять так конечно не хочется. РКН даже подампили со своей стороны - говорят проблему не видят. 

А делать сессию без аутентификации совсем не хочется. Спасибо! 

Да, мы отловили эти сообщения, с их стороны летят пакеты раз в час, два - без MD5 подписи. Это TCP Keepalive пакеты, подозреваю, что это не демон маршрутизации ( Bird, Quagga), а сам сервак периодически шлет их для проверки живости TCP-соединения и вот эти TCP Keepalive как раз не подписаны MD5.

Скидывали им собранные дампы, бесполезно - отписки, что все норм с их стороны, а на повторные запросы игнор. Да и что они ответят, что поделие из палок кто-то напилил, получил бабло и свалил в неизвестность. Либо забить на сообщения в логах, либо если совсем напрягает, перейти как большинство на сессию без MD5. 

[Bolik]

4 hours ago, finkler said:

Да, мы отловили эти сообщения, с их стороны летят пакеты раз в час, два - без MD5 подписи. Это TCP Keepalive пакеты, подозреваю, что это не демон маршрутизации ( Bird, Quagga), а сам сервак периодически шлет их для проверки живости TCP-соединения и вот эти TCP Keepalive как раз не подписаны MD5.

Скидывали им собранные дампы, бесполезно - отписки, что все норм с их стороны, а на повторные запросы игнор. Да и что они ответят, что поделие из палок кто-то напилил, получил бабло и свалил в неизвестность. Либо забить на сообщения в логах, либо если совсем напрягает, перейти как большинство на сессию без MD5. 

Вчера поклирил сессию с ними на одном маршрутизаторе (сообщения в логах были) - пока тишина.

А на другом маршрутизаторе после того как сессия упала и поднялась 11 дней назад - сообщений так и нет.

[IgorKy]

с 24.05 тоже гадства этого нету... может починили чего

[Вова72]

Добрый день!

Коллеги подскажите чем с технической стороны вопроса может обернутся подключение по BGP к ЦМУ ССОП?

То что можно зафильтровать все анонсы от них это понятно, но возможна ли ситуация что они проанонсируют нашу ASN куда-то ещё и у нас всё рухнет?

 

И ещё вопрос, в памятке от РКН есть рекомендация "переключить сессию в passive" в данном форуме я видел пример настройки BGP:
neighbor 185.224.228.193 transport connection-mode passive

можете мне объяснить как работает пассивный режим?

Спасибо!