[NiTr0]

Если он установит одни пакеты, а после ему потребуется что-то еще - значит нужно перезагружать оборудование

Вы, как обычно, несете бред с невозмутимым видом. Ознакомились бы с вопросом бегло что ли...

[myst]

Коллеги, я как и вы считаю сааба местным жалким клоуном. Но, в данном случае он прав.

Опыт эксплуатации огромной сети, на микротиках, показал что сочетание регламентов + консольных команды + винбокса - идеальна.

Более 60 админов (большинство уровня хелпдеска) освоило эту конструкцию без проблем.

[pppoetest]

Да вопросы как раз таки не к железу, ибо кто его попробовал, знает куда ставить можно, а куда не стоит. Сами его ставим местами. Вопросы к этому толкачу, который иногда выдает перлы достойные мемориза.

[Saab95]

Да вопросы как раз таки не к железу, ибо кто его попробовал, знает куда ставить можно, а куда не стоит. Сами его ставим местами. Вопросы к этому толкачу, который иногда выдает перлы достойные мемориза.

 

А мы его везде ставим и проблем не знаем. Заодно можно любую услугу поверх него предоставлять, что с другим оборудованием практически не возможно.

[pppoetest]

А мы его везде ставим и проблем не знаем.

***ывают именно эти мантры. То что вы проблем не знаете это еще не значит что этих проблем нет. Или не ***ите если знаете, или молчите если не знаете. Как в соседней ветке про оверхед в туннелях.

[uk2558]

Коллеги, я как и вы считаю сааба местным жалким клоуном. Но, в данном случае он прав.

Опыт эксплуатации огромной сети, на микротиках, показал что сочетание регламентов + консольных команды + винбокса - идеальна.

Более 60 админов (большинство уровня хелпдеска) освоило эту конструкцию без проблем.

Milecom !?

[Ivan_83]

Вот тут категорически не соглашусь, винбокс одна из самых удобных гуевин конфигурации которые я видел. Почти у всего остального ынтырпрайза гуйня это адов ад на жабе или флеше.

Ну если так сравнивать, но я видел приличный гуй в DFL от длинка, жава скрипт был но ставить дополнительно ничего не пришлось.

 

Как вы себе представляете в вебморде открыть 10 графиков, при этом производя манипуляции с настройками, наблюдать за изменениями?

pfSence или любой аналогичный дистр тоже умеют графики, даже сохо роутеры с прошивками от вендора умеют.

И графики на любителя.

 

Гораздо интереснее вопрос безопасности протокола это винбокса и наличие закладок/дырок в тиках

[MaStEr-Xmoder]

Дело привычки. Если всю жизнь использовать wrt, то переход на МТ будет со скрежетом. С цисок на МТ быстро адаптируются. Видимо квалификация специалиста в способности работать с любым железомм проявляется.

 

За МТ плюс в готовности и к работе иж коробки тптинки шить надо и строить род задачу. Затраты времени ьоольше. И в случае выхода из строя

Дольшеконфиг восстанавливать. Зы. С телефона нет возможности редактировать нормально псто. Все в слепую.

[pawel40]

Дело привычки. Если всю жизнь использовать wrt, то переход на МТ будет со скрежетом. С цисок на МТ быстро адаптируются. Видимо квалификация специалиста в способности работать с любым железомм проявляется.

 

За МТ плюс в готовности и к работе иж коробки тптинки шить надо и строить род задачу. Затраты времени ьоольше. И в случае выхода из строя

Дольшеконфиг восстанавливать. Зы. С телефона нет возможности редактировать нормально псто. Все в слепую.

А можно собрать 1 раз прошивку на openwrt с нужным конфигом.

[Saab95]

А можно собрать 1 раз прошивку на openwrt с нужным конфигом.

 

Можно, только зачем такие извращения, когда уже есть все готовое?

[pawel40]

А можно собрать 1 раз прошивку на openwrt с нужным конфигом.

 

Можно, только зачем такие извращения, когда уже есть все готовое?

Антон мне тебя сколько раз посылать?

[NiTr0]

Можно, только зачем такие извращения, когда уже есть все готовое?

А зачем извращения с сырым "готовым", с плясками с буном вокруг "правильных настроек" и "правильных прошивок" (в которых одно лечится другое калечится), если можно один раз собрать стабильный девайс и забыть о проблемах?

[nuclearcat]

+1

Я сейчас сделал свой централизованный демон для openwrt, и провайдеры управляют точками у клиентов через него, через модный web2.0/ajax. Система спокойно работает за NAT.

Кстати... вот как зайти на микротик который включили где-то за NAT-ом? Скажем через 3G модем с езером.

Без всяких трахомудий с VPN, ибо у меня к примеру на одном прове ~600 точек на демоне висит, все взлетает полностью автоматически, с минимальной нагрузкой, и еще к тому же все собирает статистику(типа телеметрии) с клиентов.

[s.lobanov]

тунель чем хуже вашего способа взаимодействия? принципиальной разницы нет.

[nuclearcat]

s.lobanov - когда я прошиваю точку своей прошивкой, у меня модем долбится по дефолту на демона. И настраивать вручную на нового клиента ничего не надо, он автоматом туда коннектится, и вытягивает общие для всех точек настройки. Что немаловажно, расход памяти на ssl сессию минимален, у туннеля же создается интерфейс. Если с демоном я спокойно потяну 5к-10к юзеров, то с туннелями это под большим вопросом.

Что еще немаловажно - даже если я и настрою туннель, эпопея не закончится, мне надо будет где-то держать все эти 600 точек в удобоваримом виде, с их данными (местоположение, дилер, юзернейм клиента). Есть конечно dude, но он и многое не умеет, и мой интерфейс реселлеры и саппорт освоили гораздо лучше, чем dude. Самое главное - туда можно в любой момент внести изменения по пожеланию клиентов.

Скажем захотел провайдер, чтобы полный сброс точки выполнялся хитрым нажатием кнопки резет (а по обычному нажатию резета - сбросит только пароль от локального веб-интерфейса) - сделал за час, централизованно разослал частичный апдейт, все точки автоматически проапдейтились. Причем т.к. апдейт частичный - он абсолютно устойчив к броскам питания во время апдейта, вероятность "окирпичивания" почти нулевая

А микротик? Вот что вам дали в этом бинарном блобе - то и кушайте.

[s.lobanov]

Я тоже не фанат микротика, но аргумент относительно туннелей не обоснован. Типа при 10к устройствах нет денег(или что?) на терминатор туннелей управления. Про блоб тоже не аргумент. Все тут пользуются cisco и прочей проприетарщиной и живут как-то.

[MaStEr-Xmoder]

Дело привычки. Если всю жизнь использовать wrt, то переход на МТ будет со скрежетом. С цисок на МТ быстро адаптируются. Видимо квалификация специалиста в способности работать с любым железомм проявляется.

 

За МТ плюс в готовности и к работе иж коробки тптинки шить надо и строить род задачу. Затраты времени ьоольше. И в случае выхода из строя

Дольшеконфиг восстанавливать. Зы. С телефона нет возможности редактировать нормально псто. Все в слепую.

А можно собрать 1 раз прошивку на openwrt с нужным конфигом.

Народ сейчас крайне ленивый. Например один провайдер при закупке МТ просит инструкциию по его настройке. Проходить обучение платное влом. максимально переложить всю работу на других, вот девиз современных успешных предпринимателей. Можно сделать своё решение на врт и отдебажить до идеала, но оценит ли это клиент, большой вопрос. И доказывать что тплинк за 500р стал тплинком за 1500р не меняя внешний вид с потерей гарантии сложно.

[nuclearcat]

Я тоже не фанат микротика, но аргумент относительно туннелей не обоснован. Типа при 10к устройствах нет денег(или что?) на терминатор туннелей управления. Про блоб тоже не аргумент. Все тут пользуются cisco и прочей проприетарщиной и живут как-то.

Ну таким же способом можно дать аргумент "Типа при 10к устройств нет денег на специально обученного мужика для выездов?".

Вы теоретизируете - "что можно было бы туннелями", но реально ничего подобного не делали. И хочу вас уверить, при попытке практического применения вы столкнетесь с массой граблей. Плюс, глупо тратить деньги на концентратор для туннелей, если это можно не делать.

 

Мое же решение уже сделано, это не из разряда чистой теории, оно работает на нескольких провайдерах, и внедряется(инсталлируется) низкоквалифицированным персоналом, причем с очень высокой скоростью инсталляции. На старте я обьявил конкурс, кто для бета-теста поставит больше всех точек - получит специальную скидку на софт. Один из провайдеров установил 200 точек за день. Ибо там просто невозможно напортачить, все автоматизировано.

И еще пример:

Инсталлер пришел к клиенту, установил точку. У точки есть ssid с паролем по умолчанию, НО! интернет не будет работать, только интерфейс управления роутером, до того момента, пока SSID/пароль не сменят. Достаточно чтобы инсталлер настроил инет и продиагностировал возможные проблемы, и в то же время безопасно.

Сделать такое на микротике? Я вас умоляю, уморитесь скрипты писать, не говоря о том, что хотя микротик и прост, но для низкоквалифицированного персонала нужен еще более простейший веб-интерфейс с checklist, красными и зелеными кнопочками - что работает и нет (статус WAN порта, скорость, стадия подключения pppoe или получения IP через DHCP, текущий установленный юзернейм, кнопка для перезапуска инет-соединения). Скорость работы, эффективность работы техперсонала повышается в разы, если им дать в руки правильные инструменты.

Ах да... я забыл. Стоимость самых дешевых TP-Link около $15 в рознице _здесь_, Mikrotik SOHO на их сайте (т.е. не учитывая местную таможенную очистку и налоги) - $45. Если у вас есть лишние $30000+ на точки для юзеров, я за вас рад :)

[myst]

Коллеги, я как и вы считаю сааба местным жалким клоуном. Но, в данном случае он прав.

Опыт эксплуатации огромной сети, на микротиках, показал что сочетание регламентов + консольных команды + винбокса - идеальна.

Более 60 админов (большинство уровня хелпдеска) освоило эту конструкцию без проблем.

Milecom !?

Нет, вообще к телекому отношения не имеем.

[Saab95]

Микротик может быть настроен на схему, когда получает IP от оператора, поднимает туннель в центр и предоставляет услуги абонентам. Все работает автоматически, при этом монтажники только подключают питание и канал интернета, дальше оборудованием занимаются уже другие люди.

[nuclearcat]

Микротик может быть настроен на схему, когда получает IP от оператора, поднимает туннель в центр и предоставляет услуги абонентам. Все работает автоматически, при этом монтажники только подключают питание и канал интернета, дальше оборудованием занимаются уже другие люди.

У точки как минимум должна быть персонификация - либо введение пары логин-пароль для pppoe (и это должно делаться максимально быстро и удобно, без нажимания кучи кнопок и мышевозения по 10 минут), либо должно привязываться как-то по DHCP. У меня эта операция полностью автоматизирована. После инсталляции не нужны "другие люди", интернет работает, данные от точки поступают в базу.

Плюс на микротик надо заливать обновленную прошивку И как минимум дефолтный конфиг - что делается в основном вручную. Если для ssh худо-бедно скрипты можно написать, то для начального подключения нужен mac-telnet, а его "от производителя" в природе просто нет.

Опять же, обновление теоретически возможных подобных скриптов на микротике - крайне ненадежная и сложная вещь, исключительно по причине "велосипедного скриптинга"(при наличии кучи языков программирования и скриптинга - изобрели свой корявый), кастрированного во многих функциях.

 

У меня система автоматически проверяет наличие pppoe в сети, если pppoe в наличии - генерирует автоматически юзернейм и пароль (отталкиваясь от серийного номера устройства в flash). Кроме того алгоритм автоматической генерации юзернейма-пароля может быть модицифирован, salt для генерации пароля может быть считан из PPPoE тега ServiceID. Если PPPoE отсутствует - проверяем наличие DHCP, там тоже свой алгоритм.

И это реально необходимо, т.к. есть клиенты кто напрямую работает с pppoe провайдера, а если у кого на крыше точка ходит по PPPoE, а точка в доме берет с точки на крыше DHCP.

В Микротике такой сценарий создать просто нереально, начиная с того, что он не дает возможности вручную разбирать тег PPPoE PADO.

 

Другой нюанс с туннелями, авторизация:

В Микротике если не давать доступа юзерам вообще, ограничивается возможность диагностики со стороны юзера. Т.е. если инет отвалился, саппорт ровно ничего не может попросить юзера, только остается ехать технарям. Если же доступ давать - то юзер может считать скрипты и получить кучу другой информации. В микротике нет поддержки крипто-функций (асимметричной и симметричной криптографии), т.е. сгенерить автоматически и криптостойко пароль-логин невозможно ВООБЩЕ. Следовательно такие туннели - или "ручная работа" или огромная дырень в безопасности.

[MaStEr-Xmoder]

Микротик может быть настроен на схему, когда получает IP от оператора, поднимает туннель в центр и предоставляет услуги абонентам. Все работает автоматически, при этом монтажники только подключают питание и канал интернета, дальше оборудованием занимаются уже другие люди.

У точки как минимум должна быть персонификация - либо введение пары логин-пароль для pppoe (и это должно делаться максимально быстро и удобно, без нажимания кучи кнопок и мышевозения по 10 минут), либо должно привязываться как-то по DHCP. У меня эта операция полностью автоматизирована. После инсталляции не нужны "другие люди", интернет работает, данные от точки поступают в базу.

Плюс на микротик надо заливать обновленную прошивку И как минимум дефолтный конфиг - что делается в основном вручную. Если для ssh худо-бедно скрипты можно написать, то для начального подключения нужен mac-telnet, а его "от производителя" в природе просто нет.

Опять же, обновление теоретически возможных подобных скриптов на микротике - крайне ненадежная и сложная вещь, исключительно по причине "велосипедного скриптинга"(при наличии кучи языков программирования и скриптинга - изобрели свой корявый), кастрированного во многих функциях.

 

У меня система автоматически проверяет наличие pppoe в сети, если pppoe в наличии - генерирует автоматически юзернейм и пароль (отталкиваясь от серийного номера устройства в flash). Кроме того алгоритм автоматической генерации юзернейма-пароля может быть модицифирован, salt для генерации пароля может быть считан из PPPoE тега ServiceID. Если PPPoE отсутствует - проверяем наличие DHCP, там тоже свой алгоритм.

И это реально необходимо, т.к. есть клиенты кто напрямую работает с pppoe провайдера, а если у кого на крыше точка ходит по PPPoE, а точка в доме берет с точки на крыше DHCP.

В Микротике такой сценарий создать просто нереально, начиная с того, что он не дает возможности вручную разбирать тег PPPoE PADO.

 

Другой нюанс с туннелями, авторизация:

В Микротике если не давать доступа юзерам вообще, ограничивается возможность диагностики со стороны юзера. Т.е. если инет отвалился, саппорт ровно ничего не может попросить юзера, только остается ехать технарям. Если же доступ давать - то юзер может считать скрипты и получить кучу другой информации. В микротике нет поддержки крипто-функций (асимметричной и симметричной криптографии), т.е. сгенерить автоматически и криптостойко пароль-логин невозможно ВООБЩЕ. Следовательно такие туннели - или "ручная работа" или огромная дырень в безопасности.

Помоему вы отклонились от темы. Автор топика просил разовое решение для туннеля. А не решение уровня оператора.

Ваше решение внедряется на уровне Ген. Директора провайдера, а не на форуме :)

В случае автора проще взять Микротик и без лишних заморочек поднять туннель. даже без обновления прошивки 951-2n эта настройка займет минут 5. Если до этого работать приходилось только с длинк-тплинк на стоковых прошивках, будет немного сложнее. Но в целом такой переход воспринимается очень позитивно. ВРТ решения, по личному опыту, вызывают отторжение за счет мудрености и потребности в вычитывании форумов и тонн мануалов, чтобы получить нужный результат.

[Saab95]

У точки как минимум должна быть персонификация - либо введение пары логин-пароль для pppoe (и это должно делаться максимально быстро и удобно, без нажимания кучи кнопок и мышевозения по 10 минут), либо должно привязываться как-то по DHCP. У меня эта операция полностью автоматизирована. После инсталляции не нужны "другие люди", интернет работает, данные от точки поступают в базу.

Плюс на микротик надо заливать обновленную прошивку И как минимум дефолтный конфиг - что делается в основном вручную. Если для ssh худо-бедно скрипты можно написать, то для начального подключения нужен mac-telnet, а его "от производителя" в природе просто нет.

Опять же, обновление теоретически возможных подобных скриптов на микротике - крайне ненадежная и сложная вещь, исключительно по причине "велосипедного скриптинга"(при наличии кучи языков программирования и скриптинга - изобрели свой корявый), кастрированного во многих функциях.

 

У микротика есть серийный номер или мак на первом сетевом порту, вот вам и персонификация. Обычно все оборудование поступает к оператору, который подготавливает его к работе и уже отдает на установку, поэтому никакие сложности с мак-телнет не существуют. Кроме всего можно удаленно из центра сети попасть на только что подключенный микротик и произвести все настройки с нуля. Попробуйте такое сделать с вашими прошивками.

[nuclearcat]

:) Как вы удаленно попадете из центра, если роутер включен за неподконтрольным вам NAT?

Мой роутер цепляется по DHCP, соответственно достаточно запустить DHCP сервер, чтобы получить. Да и собственно самое главное - для меня не проблема прикрутить opensource mac-telnet реализацию, или написать собственный. Как раз я в доработке своего решения не ограничен...

А вот вам наврядли удастся поправить что-то в "кишках" роутера. Например у аппаратного свича Atheros есть несколько фич, например port-security и управляемый mac learning. У меня на них пока только планы, но я это смогу сделать, а в случае микротика можно даже и не мечтать, о том, чтобы реализовали полный доступ к фичам чипа.

[ChargeSet]

ЕМНИП CWMP есть в openwrt. Это автоматически дает ему преимущество перед routeros. Парируй, раб винбокса