[Ivan_83]

В 07.09.2020 в 17:04, flif сказал:

Если серьёзно, то бордер на линкусе/фряхе неплохая штука, однако это решение требует постоянной поддержки, если что то неожиданно накернулось - нужен весьма недешёвый спец для того что бы воскресить, которому надо ежемесячно платить.

Тут вон есть некий Влад, удалённо за деньги все сделает, думаю весьма адекватные.

Но в целом если у вас нет денег на спеца, там гденить 50-80 для региона и 100+ для столицы, то у вас какой то не серьёзный бизнес.

 

В 07.09.2020 в 17:04, flif сказал:

А уж если вы выросли из микротика, и хотелось бы всё таки начать продавать большие объёмы услуг с хорошим качеством то велком Juniper MX 80/204 (Border) + СКАТ(BRAS + NAT), это прям топчек сетап, у самого нет, но у коллег работает очень классно))))

Слюни осталось только подобрать :))))

В целом видимо ваш уровень - настроить готовую железку по инструкциям. Не думали что это же даёт потолок по зарплате?)

 

 

15 часов назад, nickD сказал:

Вы для начала задумайтесь над тем что микротик это древний linux который пилят с десяток эстонских парней, а затем натягивают это на самое дешёвое железо.

А другие любители на это железо потом опенврт накатывают и оно начинает лучше работать :))))

На самом деле я помню как будучи чисто виндусятником пускал слюни на микротики, году в 2007, тогда было круто админить линукс в коробке мышкой через винбокс.

Чем мыкротык подкупает подросшее поколение - ума не приложу :) Наверное опенврт всё ещё слишком сложно :)

 

15 часов назад, TriKS сказал:

Но вы путаете сетевого специалиста и эникея. А потом возникают темы: как найти петлю в сегменте на тупарях, ищу уже месяц, все никак.... Спецы деградируют....

Справедливости ради тут 15 лет назад все темы такие были :)

Ещё было про раздачу инета трафик инспектором :)))

Были и классные статьи как перепаять D-Link 1008 так чтобы он изолировал порты, как спаять грозащиту и прочее...

[straus]

7 минут назад, Ivan_83 сказал:

будучи чисто виндусятником пускал слюни на микротики, году в 2007

Когда микротики появились - на то время это был прорыв. Ими вполне можно было пользоваться.

 

8 минут назад, Ivan_83 сказал:

Наверное опенврт всё ещё слишком сложно

Для совсем ленивых сделали X-WRT, это та же Open-WRT, но с полной web-надстройкой. Но сейчас кажется X-WRT уже накрылась медным тазом.
 

[TriKS]

6 часов назад, Ivan_83 сказал:

Справедливости ради тут 15 лет назад все темы такие были :)

Ещё было про раздачу инета трафик инспектором :)))

Были и классные статьи как перепаять D-Link 1008 так чтобы он изолировал порты, как спаять грозащиту и прочее...

Это да. Но справедливости ради - 15 лет назад небыло ютуба. Небыло обилия информации.  Сейчас все что нужно начинающему - просто в гугле найти статьи, посмотреть пару плейлистов на ютубе и вуаля. Если что-то не понятно - ищешь, даже на инглише. И инглишь знать не нужно, прям в браузере переводчик воткнул и переводи себе. ВСИО.  Думать - не надо. Просто гугли и делай копипасту :)) Вот такой век нынешних програмистов и сетевых инженеров )))

[jffulcrum]

12 часов назад, straus сказал:

Когда микротики появились - на то время это был прорыв. Ими вполне можно было пользоваться.

Какой прорыв, умоляю. Были уже mon0wall, pfsense, у которых то же самое, но через браузер. И OpenWRT, кстати, уже тоже был.

 

6 часов назад, TriKS сказал:

15 лет назад небыло ютуба. Небыло обилия информации.  Сейчас все что нужно начинающему - просто в гугле найти статьи, посмотреть пару плейлистов на ютубе и вуаля. Если что-то не понятно - ищешь, даже на инглише.

Видеогайдов да, не было. Но были Рус-Линукс, Bog BOS, Лиссяра - по их мануалам не сосчитать сколько по стране проектов сделано было, тысячи их. Года так до 2016 еще попадалось наследство.

[nemo_lynx]

Забыли про вот это https://ru.wikipedia.org/wiki/Vyatta

[jffulcrum]

1 час назад, nemo_lynx сказал:

Забыли про вот это https://ru.wikipedia.org/wiki/Vyatta

публичным релизом оно приплыло году так в 2007-м, это не 15 лет

[nemo_lynx]

2 минуты назад, jffulcrum сказал:

публичным релизом оно приплыло году так в 2007-м, это не 15 лет

В 2005-м. А сейчас 2020...

[jffulcrum]

ключевое слово публичным

[NiTr0]

В 07.09.2020 в 17:04, flif сказал:

Бордер c БГП должен быть в режиме fastpath, нат в fasttrack на establ/related/untrack, BRAS отдельная железка.

зачем? пушо криворучки не осилили нормально софт под железку запилить? :)

 

В 07.09.2020 в 17:04, flif сказал:

Микротики прямым текстом, как и другие производители, пишут в вики что "ЧУВАКИ, НЕ ЮЗАЙТЕ КОНТРЭК ОДНОВРЕМЕННО С FV!!!!!" 

почему у меня на линукс тазиках никаких проблем нет с этим? :) и почему вундервафля за 3 килобакса, без фуллвью, сдувается пот смешных 4 гбит на нате + шейпе? а, ну да, забыл, надо было 6 килобаксов выкинуть чтобы 4 гбита отнатить и отшейпить...

 

В 07.09.2020 в 17:04, flif сказал:

Если серьёзно, то бордер на линкусе/фряхе неплохая штука, однако это решение требует постоянной поддержки, если что то неожиданно накернулось - нужен весьма недешёвый спец для того что бы воскресить, которому надо ежемесячно платить.

а некротик если не работает - то все, сливай воду.

сегодня столкнулся с например с тем, что не удаляет dynamic записи для адрес листов и для simple queue для клиентов, авторизующихся по радиусу. и более того, не обновляет их. в итоге симпл при смене ип режет скорость хренпоймикому, и не режет тому кому надо. в саппорт обращаться смысла нет (писал им уже о том, что некротик по дхцп в 6.45 отправляет на радиус произвольный запрошенный пользователем ип, не из пула - закончилось ничем, в стиле "а вы точно уверены что раньше было не так? а отправьте нам supout.rif. ой, что-то он криво сгенерился, а отправьте еще раз. а точно-точно было не так? а сбросьте лог радиуса. а сбросьте лог радиуса старой версии и supout.rif...."

 

 

[Ivan_83]

В 09.09.2020 в 01:06, straus сказал:

Когда микротики появились - на то время это был прорыв. Ими вполне можно было пользоваться.

Да, и железки кажется были чуть лучше того что длинки всякие в мыльницы пихали, и обилие настроек поражало воображение вендузятника :)

Казалось что вот оно, супер мега энтерпрайз за дёшего и все умеет :)

 

19 часов назад, TriKS сказал:

Это да. Но справедливости ради - 15 лет назад небыло ютуба. Небыло обилия информации.  Сейчас все что нужно начинающему - просто в гугле найти статьи, посмотреть пару плейлистов на ютубе и вуаля. Если что-то не понятно - ищешь, даже на инглише. И инглишь знать не нужно, прям в браузере переводчик воткнул и переводи себе. ВСИО.  Думать - не надо. Просто гугли и делай копипасту :)) Вот такой век нынешних програмистов и сетевых инженеров )))

Тут проблема в том, что как только у тебя возникают проблемы/желания сложнее самых простых то всё становится сильно грустно в выдаче.

Те грубо говоря сантехника и электрика из тебя сделают, а вот квантовый компьютер ты не построишь с этими интернетами :)

[Saab95]

В 08.09.2020 в 09:34, TriKS сказал:

Торч? Ух какая вешь. Хорошо что вспомнили. Как в торче развернуть пакет и глянуть в его кишки? Ну там заголовки, дст маки\ИП\ опции ДХЦП? А? Никак? Удобно говорите? :)))

Если это канал в сторону оператора, зачем там смотреть маки, опции? IP адреса источника будет достаточно для понимания какие сети надо забанить. Вы бы хоть между строк читали, прежде чем ответ написать.

[TriKS]

42 минуты назад, Saab95 сказал:

Если это канал в сторону оператора, зачем там смотреть маки, опции?

Потому что тут обсуждается свич АГРЕГАЦИИ, блеать.

[nemo_lynx]

1 минуту назад, TriKS сказал:

Потому что тут обсуждается свич АГРЕГАЦИИ, блеать.

Вы оперируете устаревшими понятиями. Во вселенной Мэтра нет доступа, агрегации, ядра и т.п. Там есть только Микротики. На каждую функцию сети, на каждый вид сервиса - отдельный микрот. Нет, лучше 2. Нет, лучше по стопке сразу.

[Saab95]

8 минут назад, TriKS сказал:

Потому что тут обсуждается свич АГРЕГАЦИИ

Разве нельзя L3 трафик агрегировать в центре, не тащя туда кучу вланов? Тогда и смотреть маки не надо?

[nemo_lynx]

3 минуты назад, Saab95 сказал:

Разве нельзя L3 трафик агрегировать в центре, не тащя туда кучу вланов? Тогда и смотреть маки не надо?

Поддерживаю!!! Маки - это вообще зло (наркотические растения, если что). Микротики ведь шлют IP-пакеты по проводам в голом виде, без всяких там рудиментных маков и прочих всяких устаревших езернетов.

[TriKS]

3 часа назад, Saab95 сказал:

Разве нельзя L3 трафик агрегировать в центре, не тащя туда кучу вланов? Тогда и смотреть маки не надо?

Ок, в центре. Абон не авторизуется по первому пакету DHCP. В чем бида? Абона рвет постоянно, потому как абонский DHCP клиент не хавает респонс с продлением лизы(но это я выяснил tcpdump'ом, а ты чем? поедешь с ноутом?). Как увидеть? А? Дубликаты маков на абонустройствах как ловить? А? Да-да. сети есть разные, в том числе и с тупарями. Тока не ссы мне в уши, что все это устаревшие технологии. Передовая, мля, технология - создать 100500 DHCP серверов в каждом влане - вот передовая технология ipoe %)

3 часа назад, Saab95 сказал:

Разве нельзя L3 трафик агрегировать в центре

Нельзя. У нас центры - разные, я тебе напомню просто. Вдруг ты запамятовал :)

Изменено 10 сентября, 2020 пользователем TriKS

[Saab95]

В 10.09.2020 в 19:33, TriKS сказал:

Абон не авторизуется по первому пакету DHCP. В чем бида? Абона рвет постоянно, потому как абонский DHCP клиент не хавает респонс с продлением лизы(но это я выяснил tcpdump'ом, а ты чем? поедешь с ноутом?). Как увидеть? А? Дубликаты маков на абонустройствах как ловить? А? Да-да. сети есть разные, в том числе и с тупарями.

Что мешает авторизовать абонента на ближайшем к нему роутере, а в центре лишь вешать блокировку и ограничение скорости? Тогда указанных проблем не будет.

 

В 10.09.2020 в 19:33, TriKS сказал:

Нельзя. У нас центры - разные, я тебе напомню просто. Вдруг ты запамятовал :)

У нас тоже нет единого центра сети (вернее он есть, там биллинг и т.п. стоит), а абонентский трафик идет через ближайший канал интернета. И вся авторизация вынесена как вы пишите на 100500 DHCP серверов, а биллинг лишь отправляет команды при подключении абонента, что бы создать 100501 DHCP сервер, и ограничения скорости + блокировки на все микротики, которые к внешним каналам подключены. При этом полное резервирование и защита от выхода из строя биллинга - если команды ушли, абоненты будут работать даже при отсутствующем биллинге. А если делать так как все любят через радиус - так и трястись вокруг него.

[TriKS]

1 час назад, Saab95 сказал:

Что мешает авторизовать абонента на ближайшем к нему роутере

Так даже на ближайшем не авторизиоует. Шо дальше?

1 час назад, Saab95 сказал:

вернее он есть, там биллинг и т.п. стоит

Пропала связь с биллингом, шо дальше?

1 час назад, Saab95 сказал:

если команды ушли,

Команды не ушли и биллинг пропал, шо делать?

1 час назад, Saab95 сказал:

если делать так как все любят через радиус

Надо уметь готовить правильный борщ, а не заливать кипятком Ролтон.

[Saab95]

22 часа назад, TriKS сказал:

Так даже на ближайшем не авторизиоует. Шо дальше?

Тогда все абонент без интернета, а в вашей схеме как когда ближайший коммутатор к абоненту сломался?

 

22 часа назад, TriKS сказал:

Пропала связь с биллингом, шо дальше?

Да ничего, у всех продолжит работать, лишь в личный кабинет зайти не выйдет.

 

22 часа назад, TriKS сказал:

Команды не ушли и биллинг пропал, шо делать?

Ничего не делать - все будет работать как и прежде.

[TriKS]

3 часа назад, Saab95 сказал:

Тогда все абонент без интернета, а в вашей схеме как когда ближайший коммутатор к абоненту сломался? 

Так я поменяю коммутатор - и работает. А ты хоть 2 микротика рядом поставь и окропииводой - а абон не авторизиоует я и хоть всрись. Шо делать? Торч показывает тока поверхностную дичь без кишочков то.

3 часа назад, Saab95 сказал:

Да ничего, у всех продолжит работать, лишь в личный кабинет зайти не выйдет.

Да? И свежевключенный в розетку роутер тоже заработает?

3 часа назад, Saab95 сказал:

Ничего не делать - все будет работать как и прежде.

Тока если абон дернет роутер, то уже останется без инета. Да? Ну или там счёт пополнит, а его вдруг не пускает, шо робыть, бать?

Изменено 18 сентября, 2020 пользователем TriKS

[Saab95]

14 часов назад, TriKS сказал:

Так я поменяю коммутатор - и работает. А ты хоть 2 микротика рядом поставь и окропииводой - а абон не авторизиоует я и хоть всрись. Шо делать? Торч показывает тока поверхностную дичь без кишочков то.

Ну и микротик поменять можно - все вернется на свои места. На коммутаторе вообще никаких средств диагностики нет, а торч микротика это лишь для первичной диагностики, далее сниффером уже можно смотреть что там и как идет, в том числе с перенаправлением на любой IP.

 

14 часов назад, TriKS сказал:

Да? И свежевключенный в розетку роутер тоже заработает?

Да, потому что привязки по маку нет, микротик выдаст во влан абонента (в сторону ПОН) на запрос о получении адреса тот адрес, который к нему привязан. Все абонентские адреса хранятся на микротиках. А биллинг лишь их меняет.

 

14 часов назад, TriKS сказал:

Тока если абон дернет роутер, то уже останется без инета. Да? Ну или там счёт пополнит, а его вдруг не пускает, шо робыть, бать?

Уже писал что на микротиках есть все настройки для авторизации абонентов - он при перезапуске своего роутера снова получит IP адрес. Вот если счет пополнит когда был в минусе, а биллинг не работает - то ясно дело в интернет не выйдет. Но тут можно уже в центре разрешить всем доступ отключив лишь одном правило файрвола.

 

Про радиус тут простое сравнение - при радиусе запросы и ответы идут при каждой авторизации абонента, а при статике достаточно один раз команды отправить и больше ничего не делать - насколько тут уменьшиться нагрузка на биллинг?

[TriKS]

51 минуту назад, Saab95 сказал:

Ну и микротик поменять можно - все вернется на свои мест

Поменял, не работает, шо дальше? Надо глянуть в кишки пакета и все станет ясно. Но торча не могет.

53 минуты назад, Saab95 сказал:

, далее сниффером уже можно смотреть что там и как идет, в 

Как называется снифер в микротыке?

54 минуты назад, Saab95 сказал:

Но тут можно уже в центре разрешить всем доступ отключив лишь одном правило файрвола.

И в этот момент настанет шара шарная для всех? )))

55 минут назад, Saab95 сказал:

Про радиус тут простое сравнение - при радиусе запросы и ответы идут при каждой авторизации абонента, а при статике достаточно один раз команды отправить и больше ничего не делать - насколько тут уменьшиться нагрузка на биллинг? 

А если развернуть радиус на брасе прям. А? Ну да, микротык же не могет такое. Были попытки с юзерменеджером, но это все костыльный костыль. Ага. Ну т.е. биллинг, радиус - это сущности разные. Вдруг вы не в курсе )))

[straus]

Тема напоминает автомобильный форум с темой про ВАЗ.
 

[Saab95]

20 часов назад, TriKS сказал:

Поменял, не работает, шо дальше? Надо глянуть в кишки пакета и все станет ясно. Но торча не могет.

Это вы по своему опыту такое проходили? За много лет работы с сетями, не сталкивался с таким. Да и сам разговор в другую сторону ушел, дело было про выбор железа.

 

20 часов назад, TriKS сказал:

Как называется снифер в микротыке?

Так и называется. Он может сам пакеты принимать (по разным классификаторам), сохранять в памяти и показывать краткую информацию. Для полного разбора он может себе на диск скинуть дамп, потом его перетащить на свой комп и уже через вайршак смотреть. Другой вариант настроить редирект пакетов, то есть микротик будет пропускать данные как обычно, а копию заголовков, или пакетов с заданными параметрами фильтров, пересылать на комп админа, а он уже в реальном времени будет все анализировать. Возможно ваш линукс так может, а вот коммутаторы - нет.

 

20 часов назад, TriKS сказал:

А если развернуть радиус на брасе прям. А? Ну да, микротык же не могет такое. Были попытки с юзерменеджером, но это все костыльный костыль. Ага. Ну т.е. биллинг, радиус - это сущности разные. Вдруг вы не в курсе )))

И будет все в одном. Как многие любят купят б/у многоядерный сервер, накатят виртуалку и туда биллинг, радиус, сервер доступа, блокировку сайтов, фтп еще и 1с до кучи, а после не могут найти проблему почему все глючит. А остановка сервера парализует всю работу.

 

Наверное не зря в старых учебниках по сетям всегда рисовали все компоненты сети отдельными серверами.

[TriKS]

25 минут назад, Saab95 сказал:

За много лет работы с сетями, не сталкивался с таким.

Норм ответ. Сразу видно профи :) что, даже с тплинками не сталкивались с корявым dhcp ? ))))

25 минут назад, Saab95 сказал:

показывать краткую информацию

У меня все.

25 минут назад, Saab95 сказал:

Возможно ваш линукс так может, а вот коммутаторы - нет. 

А зачем коммутатору снифать трафик? Он в принципе не должен заглядывать далее L2(если речь о L2). А остальной трафик легко снимается на брасе. Что вы на свиче снифать собрались? И зачем? Докиньте себе влан клиента и смотрите. На совсем худой конец на свичах есть зеркалирование порта. Вдруг вы не в курсе.

25 минут назад, Saab95 сказал:

И будет все в одном. Как многие любят купят б/у многоядерный сервер, накатят виртуалку и туда биллинг, радиус, сервер доступа, блокировку сайтов, фтп еще и 1с до кучи, а после не могут найти проблему почему все глючит. А остановка сервера парализует всю работу. 

Это в вашем мире так. В моём мире ставят разннсенные кластера с учётом обхода split brain. Это для важных бизнес процессов. А для всякого говна хватит и одного)))

Изменено 20 сентября, 2020 пользователем TriKS