[Belize]

Здравствуйте, коллеги.

 

Прошу совета. Ситуация такая.

 

Имеется сеть на 11 тысяч абонентов. Недавно получили LIR и PA сеть /18.

 

УФСБ с прошлой осени напрягает установить СОРМ. Договорились с вышестоящим провайдером использовать их оборудование СОРМ.

Согласовали с УФСБ. Прокинули канал от УФСБ до нашей сети. И вот встала задача сделать так чтоб этот самый СОРМ заработал.

 

Radius запросы-ответы победили, прогнав их через петлю с сормовской коробкой. И упёрлись в NAT... УФСБ надо однозначно знать

соответствие логина - "белого" IP-адреса.

 

Попробовали такие варианты:

Первый вариант: Сделать всё красиво - использовать динамическое выделение "белых" IP-адресов. Попробовали внедрить.

Оказалось билинг UTM5 cовсем не годится для этой задачи: пуляет трафик не в того юзера, начинает зависать, падать каждые 2 часа.

C freeradius-ом подружить так, чтоб выполнялось всё что надо - тоже не вышло.

 

Второй вариант: Согласно требованиям, оборудование СОРМ должно стоять до того места где делается NAT. Возможно было бы вынести

свои натилки вместе bgp бордером на площадку аплинка, но эта схема откровенно "колхозная", ни о каком резервировании каналов не

может быть и речи. Плюс такой момент - на сормовской коробке видно соответствие логина-"серого" IP и УФСБ затребовало "хранить

где-то соответствие серого-белого адресов в таблице NAT". Честно говоря, не представляю как обрабатывать эту информацию: как извлекать

еще более менее понятно, а вот где её хранить, какие там будут объемы и как привязывать это к СОРМ совсем туммано.

 

Третий вариант: выдать каждому абоненту по "белому" адресу сейчас рассматривается. Тут возникают новые вопросы. Отправляли в RIPE план

освоения адресного пространства на 3 года вперед. План писался честно и по нему через 3 года будут использованы 14 тысяч адресов из 16.

Если сейчас выдать каждому абоненту по "белому" адресу, то через 3 года понадобится 30 тысяч адресов. Если через полгода начать просить

у RIPE еще сеть /18, то как они к этому отнесутся? Могут ли быть проблемы из-за нарушение плана освоения? Выдадут ли в итоге еще сеть, если

обосновать грамотно?. Какие еще проблемы могут быть?

 

Ну и конечно есть еще варианты с покупкой своего оборудования СОРМ или своего вменяемого билинга.

Заранее спасибо за помощь.

[Magnum72]

Стукни в аську помогу

[bitbucket]

Если через полгода начать просить у RIPE еще сеть /18, то как они к этому отнесутся?

Если аргументируете необходимость такого блока - должны дать. Но со скрипом.

Хотя на 11к абонов 16к адресов - а не жирно ли ? вам для счаться надо /21 на динамический пулл

вообще-то и будет счастье как вам, так и юзерам.

[Belize]

Если аргументируете необходимость такого блока - должны дать. Но со скрипом.

Хотя на 11к абонов 16к адресов - а не жирно ли ? вам для счаться надо /21 на динамический пулл

вообще-то и будет счастье как вам, так и юзерам.

Спасибо за ответ. Динамические пулы - это первое что проверили, очень хотелось их внедрить. Не вышло. /21 мало, вчера около 6 сессий было в пике. Так что не жирно, ведь 16к это на 3 года движения вперед :-)

 

[bitbucket]

Так что не жирно, ведь 16к это на 3 года движения вперед :-)

Сейчас сетки выдают на 1 год.

[leveler]

Лучше, пока не стало совсем поздно, смените биллинг. )

[mt6561]

Если сейчас выдать каждому абоненту по "белому" адресу, то через 3 года понадобится 30 тысяч адресов. Если через полгода начать просить

у RIPE еще сеть /18, то как они к этому отнесутся?

Если грамотно просить - все выдадут и проблем не будет. Обращайтесь =)

[Ura]

А не пробовали 2-3-4-... точки съема выгрузить в одну физическую 2-3-4-...мя vlan-ами?

 

[Digital Man]

СОРМ спецификации

[No_name]

Я офигеваю. На 11т рыл легко можно поставить сорм только за счет своих средств, причем не напрягаясь. Нафик вам эти заморочки? Вы или в минус работаете или у вас не правильная ценовая политика что приходится извращаться с чужим сормом?

[Галушко Дмитрий]

Я офигеваю. На 11т рыл легко можно поставить сорм только за счет своих средств, причем не напрягаясь...

У ФСБ несколько иное мнение...

[DSC]

У ФСБ несколько иное мнение...

Что вы имеете в виду?

Изменено 19 мая, 2009 пользователем DSC

[Andrei]

Что вы имеете в виду?

Наверное имеется ввиду, что расходы на материально-техническое обеспечение СОРМ по федеральному закону об ОРД являются расходным обязательством бюджета РФ.

[ksm]

Что вы имеете в виду?

Наверное имеется ввиду, что расходы на материально-техническое обеспечение СОРМ по федеральному закону об ОРД являются расходным обязательством бюджета РФ.

уже нет.

[ilia_2s]

Что вы имеете в виду?

Наверное имеется ввиду, что расходы на материально-техническое обеспечение СОРМ по федеральному закону об ОРД являются расходным обязательством бюджета РФ.

уже нет.

А это почему?

[Andrei]

уже нет.

Что поменялось? Пожалуйста сразу со ссылкой на нормативный правовой акт.

[Галушко Дмитрий]

Стукни в аську помогу

И ответ на стуки в асю - молчание...

[San]

Если не можете обойтись без натов, то на съемник трафа нужно подавать логи радиуса, кидайте их через зеркало отдельным вланом.

[grfmaniak]

Первый вариант: Сделать всё красиво - использовать динамическое выделение "белых" IP-адресов. Попробовали внедрить.

Оказалось билинг UTM5 cовсем не годится для этой задачи: пуляет трафик не в того юзера, начинает зависать, падать каждые 2 часа.

Мы реализовали именно так. Динамический пул белых адресов, биллинг - Lanbilling.

 

[Belize]

Если не можете обойтись без натов, то на съемник трафа нужно подавать логи радиуса, кидайте их через зеркало отдельным вланом.

Так и сделали, с радиусом проблем нет, запросы и ответы оседают на съемнике. Но. Вот на съемнике осело что абонент pupkin подключился и получил адрес 10.x.x.x. А когда pupkin хулиганит в интернете и пишет гадости про чиновников на форумах, то там "светится" белый адрес из натовского пула. Потому УФСБ и требует таблицу соответствий "серого"/"белого" адресов.

[San]

Так соответствие адресов - формальность. Дайте соответствие адресов, вот эта подсеть натится туда, а эта - сюда. В итоге требования выполнили, выполнили, и даже поспособствовали проведению мероприятий.

Хотя на самом деле основная задача всей этой канители - однозначная идентификация пользователя. По идее, установив время нахождения и зная пул адресов все должно сложится. Веди переговоры и ищите решение совместно, там тоже люди...

Изменено 29 мая, 2009 пользователем San