[Saab95]

Единственный правильный способ аутентификации абонента - должен 1) не напрягать абонента лишними действиями 2) максимально исключать подделку. Сим-карта этому удовлетворяет. Логин-пароль, с которым можно коннектиться из любой точки сети - нет.

 

Вы только с кабельной сетью работали? Сколько у вас радиоустройств в сети?

[Ivan_83]

Как DHCP сервер может решить вопрос с маршрутизацие хостроутов?

Сам по себе никак, нужен некоторый программный комплекс, как минимум релей агенты которые будут локально модифицировать таблицы маршрутизации и добавлять арп анонсы.

 

DHCP не работает без какой нибудь подсети. Садитесь два.

Если по инструкциям для чайников от вендоров настраивать то действительно ничего не работает :)

[Sonne]

Вы не понимаете потому что это не технический вопрос, а организационный, точнее вопрос бизнеса. Операторы связи работают чтобы удовлетворять потербности клиентов и приносить деньги владельцам, а не для того чтобы сумашедшие админы имели полный котроль.

Это - не вопрос бизнеса Это - вопрос отсутствия какого-либо представления о информационной безопасности.

Повторяюсь, если руки и голова из нужного места растут - привязка абона к определенной базе никоим образом не будет влиять на удобство работы монтажника, перестраивающего антенны по базам. Потому как управление этим всем хозяйством находится у саппорта в виде настроек в биллинге, который собссно и руководит монтажанами. Если этого нет - да, приходится сеть превращать в помойку.

 

Еще раз. В данном конкретном случае клиенту УЖЕ продана услуга МОБИЛЬНОГО доступа. Клиент может взять свой модем в комнатном исполнении и поехать на дачу в другой город. Это называется Мобильный WIMAX. Вы пытаетесь свое ограниченное убогое квадратно-гнездовое знание натянуть на реальность.

 

Условия задачи заданны внешними факторами бизнеса. Вместо того чтобы решать поставленную задачу вы пытаетесь доказать что у заказчика неправильный бизнес. Вам не советы на форумах писать нужно, а лечиться от параноии.

[Sonne]

Как DHCP сервер может решить вопрос с маршрутизацие хостроутов?

Сам по себе никак, нужен некоторый программный комплекс, как минимум релей агенты которые будут локально модифицировать таблицы маршрутизации и добавлять арп анонсы.

 

Все верно, краткое название - костыли.

[NiTr0]

В данном конкретном случае клиенту УЖЕ продана услуга МОБИЛЬНОГО доступа. Клиент может взять свой модем в комнатном исполнении и поехать на дачу в другой город. Это называется Мобильный WIMAX. Вы пытаетесь свое ограниченное убогое квадратно-гнездовое знание натянуть на реальность.

Еще раз. В WiMax клиентская станция идентифицируется X.509 сертификатом. Который подделать таки сложно. В отличие от мака вайфай устройства, о котором и речь. Далее, вайфай - ни о какой мобильности в типовом применении у ISP речи не идет. Речь не о ваймаксе же тут.

 

Условия задачи заданны внешними факторами бизнеса. Вместо того чтобы решать поставленную задачу вы пытаетесь доказать что у заказчика неправильный бизнес.

Условие задачи - предоставить абоненту услугу с максимальными удобствами, при этом - минимизировать затраты на поиск и устранение кулхацкеров, пользующихся вашей услугой на халяву. Если вы этого не понимаете - то да, у вас неправильный бизнес.

 

Все верно, краткое название - костыли.

Да-да, и ppp демон, поднимающий туннели - костыли, ведь туннель должен святым духом подниматься :)

[Sonne]

В данном конкретном случае клиенту УЖЕ продана услуга МОБИЛЬНОГО доступа. Клиент может взять свой модем в комнатном исполнении и поехать на дачу в другой город. Это называется Мобильный WIMAX. Вы пытаетесь свое ограниченное убогое квадратно-гнездовое знание натянуть на реальность.

Еще раз. В WiMax клиентская станция идентифицируется X.509 сертификатом. Который подделать таки сложно. В отличие от мака вайфай устройства, о котором и речь. Далее, вайфай - ни о какой мобильности в типовом применении у ISP речи не идет. Речь не о ваймаксе же тут.

 

В моем вопросе речь именно про WiMAX. Если бы CPE поддерживали пртокол PPPOE, то задачу можно было бы реализовать за 10 минут. Это демонстрация ситуации по теме топика, когда DHCP не может внятно решить задачу. Настоящий профессионал всегда понимает ограничение инструмента и способе сказать - для этой задачи этот метод непригоден.

 

Вы же как клон Сааба везде пихаете одну и ту же концепцию. Только Сааб в отличии от вас на каждый вопрос может предложить какое нибудь решение и привести конфиг. От его критиков чаще всего даже название вендора не дождешься

[Ivan_83]

Все верно, краткое название - костыли.

Давай тебе интригаторы продадут тоже самое, но в красивой упакове и за много денег, чтобы оно перестало быть костылём :)

 

Настоящий профессионал всегда понимает ограничение инструмента и способе сказать - для этой задачи этот метод непригоден.

А инструменты/методы стало быть делают боги.

[Sonne]

Условие задачи - предоставить абоненту услугу с максимальными удобствами, при этом - минимизировать затраты на поиск и устранение кулхацкеров, пользующихся вашей услугой на халяву. Если вы этого не понимаете - то да, у вас неправильный бизнес.

 

Повторюсь, нет никаких кулхацкеров, это плод вашей парноии. Взяв чужой пароль абонент банально не сможет подключиться т.к. стоит ограничение сессии. Кроме того клиентский CPE запаролен уникальным паролем. На порядок больше вреда наносят плохонастроенные клиентские WiFi c дырявым доступом.

 

Я могу списать вашу паранойю на тяжелую действительность украинских провайдеров. В 90% случаев какого то обсирания наших услуг или мелких махинаций со стороны соотечественников выясняется что имеем дело с хохлом. Совершенно неважно за белых он или за красных, так то политота тут не причем! Первый абонент переданный на суд в Черногории был Олександр!

[NiTr0]

Это демонстрация ситуации по теме топика, когда DHCP не может внятно решить задачу

Решить задачу предоставления услуги - может. Решить задачу отсылки биллингу логина-пароля - таки да, не может (точно так же, как PPPoE не может решить проблему передачи клиенту статических маршрутов либо аутентификацию по сертификату/смарт-карте вместо логина-пароля). Впрочем, учитывая, что логин-пароль либо клиентский сертификат проверяется на АР (они надеюсь увязаны с биллингом, т.е. сверяется соответствие MAC и учетки?) - вам всего-то остается исходя из мака выдавать DHCP лизу, ну и роутить трафик на нужную AP...

 

От его критиков чаще всего даже название вендора не дождешься

Предлагал уже accel-ppp. Или джунипер, который могет так же. Не заметили?

[Diamont]

Первый абонент переданный на суд в Черногории был Олександр!

А за что его так? Вы таки себе противоречите...то нет кулхацкеров, то суды над хохлами.

Кстати, в Украине гораздо чаще встречаются провы с ипое. Зачастую даже со статическим белым адресом. Прогресс!

Изменено 24 сентября, 2014 пользователем Diamont

[Sonne]

Первый абонент переданный на суд в Черногории был Олександр!

А за что его так? Вы таки себе противоречите...то нет кулхацкеров, то суды над хохлами.

Кстати, в Украине гораздо чаще встречаются провы с ипое. Зачастую даже со статическим белым адресом. Прогресс!

 

Це ж европа. Все построено на доверии, дорогое оборудование дается бесплатно, интернет оплачивается по счету в кредит. Некоторым становится интересно что будет если не заплатить. В смысле денег ничего даже хакать не надо, просто не платишь и все.

[Ivan_83]

Кстати, в Украине гораздо чаще встречаются провы с ипое. Зачастую даже со статическим белым адресом. Прогресс!

Это он так отыгрывается: у него на весь провайдер аплинк меньше гига а на украине в каждой хате гиг :)

[Sonne]

Почему попытка использовать DHCP для поднятия сессий это костыли?

 

Костыль, это такое уродливое прсипособление, которое позволяет ходить если нога отвалилась.

 

Протоколы типа ppptp или pppoe изначально ориентированны на установку сессий. В них заложен механизм создания интерфейса, аунтентификации и что более важно - кипалайвы. Они по умолчанию и без всякого геморроя поддерживают маршрутизацию /32 сетей.

 

DHCP же создан для совсем других целей - выдавать IP адреса в плоской сети. Поддерживать и анонсировать сети /32 там можно лишь с помощью костылей.

 

Что будет если у абонентов стоят свежевыданные адреса, а BRAS ребутнулся? Каким бы способом не были сделаны анонсы в роутинге, они потеряются, потому что в DHCP не предусмотрен контроль состояния. Это не представляет никакой проблемы в кабельных сетях, но уже создает трудности в фиксированных радиосетях. В мобильном радио же вообще эту технологию использовать невозможно. Именно поэтому в мобильном WIMAX используются туннели, ибо это единственный способ обеспечить хендовер абонента ( читай его IP) между разными базами. И там сделано по уму, т.е. при падении туннеля DHCP процесс принудительно перезапускается.

 

Какой единственно верный способ обеспечить редистрибуцию хостроутов? Это что то типа опции redistribute ARP, когда появление MAC-IP записи в сети приводит к возникновению сетевого маршрута. Подозреваю что именно это научили делать accel-ppp. Это хорошо, однако же это остается костылем потому что нет RFC, стандарта который могли бы освоить говноделы типа Dlink или Mikrotik.

 

В сухом остатке получается что DHCP вообще как бы не причем.

[Sonne]

Касаемо accel-ppp

 

Re: PPPoE performance - trying accel-ppp

Options

‎05-26-2014 01:00 PM

 

Accel-ppp is a nice software and the only alternative to rp-pppoe for linux.

It runs quite well on x86, but it was not made thinking on mips/big-endian plataforms. So it still have some bugs.

 

Another forum member (@paszczus) was having a hard time trying to make accel-ppp stable on his ERL/ERPro.

He may be able to give you more info on that.

 

For now I'm testing another solution for ER as a pppoe server, I will create a topic about this later today.

 

 

Re: PPPoE performance - trying accel-ppp

Options

‎05-26-2014 01:44 PM

 

Yeah. Right now there is no more memory leak but it`s still unstable. I am writing with accel-ppp author about that but it looks like right now he don`t have time to fix that. He made many fixes for mips (EdgeRouter) in past week but as i said it`s still unstable and it can`t be used on production. For me it is working with 140 sessions for a 10 hours, max was 24 hours. Maybe author will fix that and we will be able to use it as we want it.

[NiTr0]

Протоколы типа ppptp или pppoe изначально ориентированны на установку сессий. В них заложен механизм создания интерфейса, аунтентификации и что более важно - кипалайвы.

"Кипалайвы" собссно есть и в DHCP сессии. Как и тайм-аут.

 

Они по умолчанию и без всякого геморроя поддерживают маршрутизацию /32 сетей.

/32 поддерживается и в DHCP - как в виде /32 + статик маршрута на брас (минус - не все сохо роутеры адекватно работают, % 80-90 переваривает), так и ip unnumbered с proxyarp.

 

DHCP же создан для совсем других целей - выдавать IP адреса в плоской сети. Поддерживать и анонсировать сети /32 там можно лишь с помощью костылей.

Прекрасно все анонсируется на самом деле. Если надо.

 

Что будет если у абонентов стоят свежевыданные адреса, а BRAS ребутнулся? Каким бы способом не были сделаны анонсы в роутинге, они потеряются, потому что в DHCP не предусмотрен контроль состояния. Это не представляет никакой проблемы в кабельных сетях, но уже создает трудности в фиксированных радиосетях.

А ровно ничего не будет. Абонент перестанет работать пока у него не истечет лиза/пока сервер не отправит ему NAK. Точно так же на PPPoE туннель будет висеть пока не потеряется сколько-то алайв пакетов.

 

Какой единственно верный способ обеспечить редистрибуцию хостроутов? Это что то типа опции redistribute ARP, когда появление MAC-IP записи в сети приводит к возникновению сетевого маршрута. Подозреваю что именно это научили делать accel-ppp.

Нет. Это создание /32 маршрута на клиента через интерфейс девайса после предоставления ему IP адреса радиусом. И не важно, что за девайс - джун/циска либо софтроутер.

 

Это хорошо, однако же это остается костылем потому что нет RFC, стандарта который могли бы освоить говноделы типа Dlink или Mikrotik.

1) длинк не производит брасы. Вообще.

2) На т.зв. dual access тоже нет RFC. Длинк - осилил. Микротик - не очень...

 

Касаемо accel-ppp

Брас с accel-ppp 1.7.3:

 

# uptime
01:01:24 up 407 days
# free
            total         used         free       shared      buffers
Mem:       3888560      1609480      2279080            0            4

500+ МБ отожрал snmpd, accel-ppp - 127МБ VSZ (сколько реально из 127МБ - хз, busybox только общий объем выделенной памяти говорит, в кишках вывода /proc копаться лень)

 

ЧЯДНТ?

[Sonne]

Протоколы типа ppptp или pppoe изначально ориентированны на установку сессий. В них заложен механизм создания интерфейса, аунтентификации и что более важно - кипалайвы.

"Кипалайвы" собссно есть и в DHCP сессии. Как и тайм-аут.

 

Очень сильное утверждение, ссылку на стандарт приведете?

Только мы о кипалайвах сессии, которой как известно в DHCP не бывает.

 

Касаемо accel-ppp

Брас с accel-ppp 1.7.3:

 

# uptime
01:01:24 up 407 days
# free
            total         used         free       shared      buffers
Mem:       3888560      1609480      2279080            0            4

500+ МБ отожрал snmpd, accel-ppp - 127МБ VSZ (сколько реально из 127МБ - хз, busybox только общий объем выделенной памяти говорит, в кишках вывода /proc копаться лень)

 

ЧЯДНТ?

 

Вы освоили и применяете узкое решение в одной специфической конфигурации. И вместо того чтобы понять ограничения в других задачах начинаете учить жизни.

 

Я принципиально держу X86 машины в центральном датацентре с гарантированным питанием, кондиционированием и круглосуточной дежурной сменой. Это очень дорого в городе, где 2 месяца в году бывает стабильно до +40 и IT. На базовых станциях оборудование находится порой в очень тяжелых условиях. Я предпочитаю там ставить дешевые но достаточно надежное железо с малым потреьлением типа микротиков, потому что когда приходит молния - одинаково сгорает любое железо.

[NiTr0]

Очень сильное утверждение, ссылку на стандарт приведете?

Только мы о кипалайвах сессии, которой как известно в DHCP не бывает.

lcp timeout = lease time

lcp interval = refresh interval

Нет рефрешей (нет LCP) - лиза истекает (туннель ложится). 100% аналогия в общем-то.

 

Вы освоили и применяете узкое решение в одной специфической конфигурации. И вместо того чтобы понять ограничения в других задачах начинаете учить жизни.

Вы же писали, что accel-ppp нестабилен? А у меня аптайм более года... ЧЯДНТ?

 

Я принципиально держу X86 машины в центральном датацентре с гарантированным питанием, кондиционированием и круглосуточной дежурной сменой. Это очень дорого в городе, где 2 месяца в году бывает стабильно до +40 и IT. На базовых станциях оборудование находится порой в очень тяжелых условиях. Я предпочитаю там ставить дешевые но достаточно надежное железо с малым потреьлением типа микротиков, потому что когда приходит молния - одинаково сгорает любое железо.

nano-itx плата с каким-то целероном 1007U/1017U (ну или с атомом) чудесно оттерминирует и отроутит пожалуй поболее гигабита на б/у i82571 (которые продаются за копейки), а несколько сот мбит и на встройке прожует. Кондиционирование ей нафиг не надо. Потребление - пару десятков ватт от силы.

Мы лет 10 назад проходили чердачное размещение л3 оборудования, в общем-то проблем с писюками не было особо. При том, что собиралось это все на тот момент из подручного хлама, который люди фактически выбрасывали. И каких-то года 3 назад сняли с крыши брас (pentium E5300 или E5700 - не помню, 65Вт), стоявший там в целях резервирования (т.к. резервный маршрут до части сети лежал через другого прова, который не давал qinq, тупо 1 влан предоставил).

[Sonne]

Очень сильное утверждение, ссылку на стандарт приведете?

Только мы о кипалайвах сессии, которой как известно в DHCP не бывает.

lcp timeout = lease time

lcp interval = refresh interval

Нет рефрешей (нет LCP) - лиза истекает (туннель ложится). 100% аналогия в общем-то.

 

Ссылку на RFC! По комбинации dhcp lcp ничего даже не гуглится, а все ссылки идут на LCP. LCP если что это LINK CONTROL PROTIOCOL a part of PPP.

[Sergeylo]

DHCP'шные интервалы - счёт часов, в некоторых конфигурциях - суток. Нормальный конфиг - 24 часа аренды, 12 часов на обновление. "Учащённые" запросы - 6/3 часов, ещё поверю. Менее - уже фанатизм.

[Saab95]

У нас время аренды адреса 5 минут. Бывает что глючные роутеры с кривыми прошивками после окончания аренды так и продолжают сидеть со старым адресом, когда уже давно должны были другой получить. Однако если взять и потушить клиентский порт, то после включения адрес все же они перезапрашивают.

[NiTr0]

Ссылку на RFC! По комбинации dhcp lcp ничего даже не гуглится, а все ссылки идут на LCP. LCP если что это LINK CONTROL PROTIOCOL a part of PPP.

Повторюсь:

lcp timeout прямая аналогия lease time

lcp interval прямая аналогия refresh interval

 

DHCP'шные интервалы - счёт часов, в некоторых конфигурциях - суток. Нормальный конфиг - 24 часа аренды, 12 часов на обновление.

Кто вам помешает обновление поставить в 30-60 секунд, а лизу на 3-5 минут? Или и того меньше? Религия запрещает, что ли?

Не обновилась лиза в течение 5 минут - все, клиент умер, закрываем сессию.

[pppoetest]

Однако если взять и потушить клиентский порт, то после включения адрес все же они перезапрашивают.

Ага, в особенности это делают микротики, из-за которых прошлось городить костыль на нетваче, потому что перезапрашивать оно не хотить :D

[Saab95]

Ага, в особенности это делают микротики, из-за которых прошлось городить костыль на нетваче, потому что перезапрашивать оно не хотить :D

 

Микротики в качестве клиентских роутеров без проблем перезапрашивают адреса, проверялось неоднократно.

[pppoetest]

Клиент - секстант(1) без бриджа, в езернет выдает адреса с дхцп этой микры, на wlan висит dhcp клиент, с другой стороны на секстанте(2) бридж wlan/lan, при передергивании lan секстанта(2), на первом клиент на wlan лизу не перезапрашивает.

ЧЯДНТ?

[Negator]

А я соглашусь с Sonne.Кулхацкеры как вы выражаетесь плод ваших фантазий. За несколько лет работы я их не встречал. Подмену pppoe сервера видел 1 раз. Это было случайностью. Абонент воткнул модем от стрима в нашу сеть. Подмен dhcp специально поднятых не видел ни разу, как и остальных действий кулхацкеров. Видел только колхозы за роутером. Да и те в общагах. Энтузиастов очень мало, сотые доли процента. Даже если они получат интернет нахаляву-провайдер не пострадает, а порой найдет ценных сотрудников на работу. В остальном-сессионная модель работы с dhcp это костыли. Да, их можно заставить работать, иногда хорошо, но по факту это костыль. Протокол dhcp не такой и простой на первый взгляд, особенно если рассматривать продления аренды. Да, можно накрутить костыли на каждый чих, но к бизнесу и к удобству предоставления услуги для пользователя это малоприменимо. Если конкурентов нет, или почти нет, то можно и поиграться админу. Не спорю, сам такой. Но если есть бизнес с конкуренцией - не до игр.