24 декабря Архивач восстановлен после серьёзной аварии. К сожалению, значительная часть сохранённых изображений и видео была потеряна. Подробности случившегося. Мы призываем всех неравнодушных помочь нам с восстановлением утраченного контента!
В тред призываются бородатые (и не очень) одмины, их адепты и прочие сетевики.
Сремся на тему Cisco vs. [Juniper, Foundry, Ericsson, &c], обжимаем кабеля молотком, вытаскиваем дохых мышей из своих стареньких серверов, кидаемся Д-Линками на "кто дальше".
>>1823768 ну давай поясни мне за сети: Как реализовать бомжовое резервирование? место (1): — роутер zyxel в него воткнут ростелеком (белый ip) и модем мтс (с инетом за 100р) ddns анонс настроен на hldns.ru — сервер 1с заходим через терминалы
место (2): короче от сюда терминалом заходим, и когда белый айпи всё норм когда серый не пашет/
>>1824809 > подробнее Аптайм у датацентра явно будет 99%, там не рубанут електричество или ещё чего. > как у вас сделано У меня ростелеком оптика и местнопров оптика у обоих белый айпи. Ну и на ноип доменное имя. >>1824815 Решит если будет белый, мы даже одно время пользовались такой услугой на 3г модеме. Только они потом убрали эти услугу.
>>1824809 >расскажите тогда как у вас сделано Собственная AS. Несколько провайдеров с BGP. Резервируй, балансируй, воруй, убивай, еби гусей. ... PROFIT.
Добрый вечер двачавчане, я здесь редкий гость - простите не по сленгу. В общем поясните за дудос, так-то я знал уже в целом что это такое, но давеча захотелось устроить ликбез по этой теме т.к. в скором времени вполне возможно придётся с этим столкнуться, прочел разного с разных источников в общем счёте на дюжину, и наблюдая что новой информации от них всё меньше, а один назревший еще в самом начале вопрос остаётся неясным, начинает нервировать однако, в общем сам вопрос: есть аппаратная часть ддоса - это нагрузка на сетевое оборудование на фильтрацию пакетов и прочими правилами по которым они оприходуются, и нагрузка вызываемая проскочившими в самом так сказать обрабатываемом процессе через самого разношерстного вида уязвимости. А есть получается предел пропускной способности соединения? И вот как этот предел соотносится с разными величинами? Вернее, вот наглядный пример: правильно ли я понимаю что если ко мне идёт медь 5e, значит ли это что любой конгломерат Антона Сидорова (90mbps) и Петьки Иванова(60mbps) может флудом забить мою 100mbps линию и ей не поможит не латвийсий роутор ни параноидальный порядок на сервере, пока я не обмотаюсь трипл-соединениями оптоволокна и т.д.? Или я долбоеб что сравниваю эл. провод с трубопроводом и надо было всё же качать какую-нибудь книгу о сетевых технологиях чтобы не избегать стыдных вопросов на анонимных бордах? Спасибо за внимание, и заранее еще одно спасибо если не пошлете нахуй)
>>1826630 Ты понял все верно. Дудоса бывает три вида:
1. Объемный. Это когда на целевой адрес/подсеть просто заливают рандомного мусорного трафика больше, чем емкость аплинка жертвы. Обычно достигается всякими UDP-амплификациями. 2. Пакетный. Это когда в сторону жертвы ниливают over9000 мелких пакетов. Это создает повышенную нагрузку на роутеры, фаерволы, iptables-ы и прочую сетевую логику. В случае латвийского роутера даже относительно небольшое количество паразитного трафика может привести к дропам легитимного, или даже к полному окукливанию мыльницы. 3. Layer-7. Это атака на прикладной протокол. Например куча левых GET-ов на веб-сервер.
С первым типом ты не можешь сделать совершенно ничего. Со вторым тоже тяжко - нужно менять/оптимизировать инфраструктуру. С третьим типом борятся всякими настройками на сервере, "более лучшими" серверами, специальными аплайнсами, софтом и т.д.
Так же на рынке есть несколько контор, которые могут защитить тебя и твой сервис от дудоса (с разной степенью эффективности).
Отдельным пунктом стоит отметить еще один вид дудоса - термоядерный. Это дудос с огромных ботнетов IoT (роутеры, камеры, холодильники, тостеры), который характеризуется лютейшими объемами: сотни гигабит (да, анон, именно гигабит) и сотни миллионов пакетов в секунду. Такой дудос в состоянии сложить пополам сферического оператора и всяких провайдеров вдсок и прочего говна. Он даже в состоянии вызывать проблемы у ёба-магистральных операторов, и обычно приводит к тому, что атакуемый адрес отправляется в блекхол.
>>1826630 >Сидорова (90mbps) и Петьки Иванова(60mbps) может флудом забить мою 100mbps линию и ей не поможит не латвийсий роутор ни параноидальный порядок на сервере, пока я не обмотаюсь трипл-соединениями оптоволокна и т.д.? Правильно, самый тупой тип атаки UDP флуд, это как раз ебошит по физической пропускной спосбности. Защититься от него собственными силами - никак. Схемы защиты от такой хни только не палить свой IP а трафик на него гонять через антиддос сервисы, типа клоудвлейра. Единственное, чтобы полностью положить линию на 100Мб/с, нужно туда не 150 а 300-500Мб/с захуячить
>>1827159 >Со вторым тоже тяжко - нужно менять/оптимизировать инфраструктуру. Можно правила ловушки настраивать, по которым IP нападающих будут добавляться в списки блокируемых нахуй. Это относительно просто делается, главное найти общее у пакетов дудосеров. L7 фильтром детектим ИП с которого идет атака, и заносим его в список блокировки отрабатываемом фаерволом перым, чтобы оно ни на сервер не попадало, ни по правилам фаера остальным не бегало. В 99% случаем это сработает.
>>1828009 Нет, первые физику перегружают, возможности интерфэйса, ты можешь не пустить их дальше, но не можешь сделать так, чтобы ты перестал их получать, а при перегрузки пропускной способности интерфэйса этого достаточно. Единственный способ защиты от udp флуда это прятаться за клоудфлейром и ему подобными.
>>1827490 >Можно правила ловушки настраивать, по которым IP нападающих будут добавляться в списки блокируемых нахуй Вопрос в том, в 100-мегабитный канал могут налить пакетов в два раза больше, чем латвийская мыльница в состоянии переварить своим мипсом на 400-600 МГц. И тогда совершенно похуй, что ты там за правила будешь ваять, у тебя все-равно будут дропы всего трафика. > L7 фильтром детектим ИП с которого идет атака L7 детектить нужно по L7, а не по IP, так как они обычно идут так же с ботнетов.
>>1828009 > видишь, что насыпают слишком много - блокнул - и делов-то? Ага. Блокнул и похуй, да? А как быть с тем, что легитимные пакеты дропаются в очереди на PE-роутере, так как весь твой трафик не помещается в интерфейс? Блокнул, такой, ненужный трафик и сидишь гадаешь, хули сайт так тупит, что аж открывается по минуте через раз.
Не стесняйтесь задавать свои ответы, я - тут уже в одном треде пояснял по хардкору.
>>1828023 >клоудфлейром Они, кстати, неплохи. Еще OVH может терпеть термоядерные атаки. Но оба - дорого, и клауды не делают защиту транзита. Есть варинты существенно дешевле и не намного хуже.
Спасибо за прояснения. Буду рад если кто распишет про это подробней: "Единственное, чтобы полностью положить линию на 100Мб/с, нужно туда не 150 а 300-500Мб/с захуячить" ибо это существенно обнадеживает, т.е. при 150 будут задержки, а при 300 уже начнут пакеты не доходить? На счёт клоудфраера и т.п. я не знаю, думаю что мне не подойдет из-за дополнительного пинга (сервер игровой) да и сомнения берут что за 20$/мес. будут с улыбкой гигабитную атаку принимать. Щас думаю что как вариант протянуть оптоволокно 500мб +белая статика (живу в дс) за 1.7 т.р./мес и прикупить агрегат который мог бы это дело колопатить, если конечно есть такие и не особо дороже ~10 т.р. на счёт этого тоже что посоветуете? RB750Gr3 на сколько злые атаки хватит при грамотной фильтрации? Просто, понимаете, одно дело когда тобой могут манипулировать любой обиженный школьник со своим сраным генератором флуда или когда для того чтобы тобой манипулировать придется объединять хаб на 5-10 срущих компов или заказывать атаки, что по сути будет случаться по большим праздникам батхёрта конкурентов и наврятли будет долго длится, хочется то быть тру админом, а не каким-то там страдальцем недотёпой, вот.
>>1828604 >150 будут задержки, а при 300 уже начнут пакеты не доходить? Дропы пакетов будут как только объем трафика сравняется со скоростью подключения. На PE роутере никто из операторов для тебя не будет пилить резиновые очереди и ждать пока пакет можно будет впихнуть в интерфейс, бёрст (это тот объем сверх скорости подключения, который таки-попадет в буфер и подождет доставки) обычно составляет 0.1 от скорости, то есть буфер на 100 милисекунд. При дудосе, короче, не спасет. Просто при 150 у тебя будет теряться 30 процентов легитного трафика, и это хоть и боль, но признаки жизни будут. А при 300 теряться будет 80 процентов легитных пакетов - и это полный пиздец. >На счёт клоудфраера и т.п. я не знаю, думаю что мне не подойдет из-за дополнительного пинга (сервер игровой) Для начала ты не очень хорошо себе представляешь текущие реалии задержек в интернетах. Если антидудос-провайдер присутствует на больших пиринговых точках, то пинг существенно не вырастет. С клаудфлэром в этом смысле грустно, да. >сомнения берут что за 20$/мес. будут с улыбкой гигабитную атаку принимать Гигабит - это пыль для любого антидудос-провайдера. Если ему неудобен гигабит, то от него надо бежать не оборачиваясь. Другой вопрос по тарификации. У некоторых контор (куратор, например) тарифицируется грязный трафик, и от этого гигабита охуеешь первым ты, а они будут с улыбкой его принимать. У других контор тарифицируется только чистый трафик (например дудос-гвард), и тут уже вопрос насколько этот твой гигабит им портит коммит. >Щас думаю что как вариант протянуть оптоволокно 500мб +белая статика (живу в дс) за 1.7 т.р./мес и прикупить агрегат который мог бы это дело колопатить, если конечно есть такие и не особо дороже ~10 т.р За эти деньги - пекарня с нормальными сетевухами и софт-роутер на никсах (pfsense/vyos в зависимости от предпочтений бсд/линукс) >RB750Gr3 на сколько злые атаки хватит при грамотной фильтрации? Если тебе дорого то, что ты собрался делать, ставить латвийскую мыльницу в продакшен не стоит. Конкретно эта мыльница не выдаст 500 мегабит даже относительно большими пакетами, на IMIX (якобы золотой стандарт тестирования) будет мегабит 200-300. Плюс рандомные глюки.
>>1828665 Так, извини если туплю - правильно ли я тебя понял, что в моем случае лучше купить мать с 2x гигабитным портом, туда проц, на проц охлаждение, рядом плашку озу, и еще надыбать чем запитать, ось будет на флешке. Положить в картонный гроб, и это будет под VyOS лучше любого по этой цене готового гроба от вендоров? Если так то конечно очень даже не плохо, хотя я и не люблю работать с бу рынком, но не слишком ли это круто для 500мб? если разве что совсем не из г и палок собрать. А есть решения чтобы пристроить подобную вещь в уже стоящую убунту? Просто дело в том что уже есть машинка на 1230v5 раскочегаренным до 4.5 Ггц, и для приложения хватает пока с знатным запасом.
>>1828794 Аппаратный роутинг - недешевое занятие. Вместо дорогущей матери с двумя нормальными никами можно взять двух-четырехпортовый ник пот PCIe. Можешь легко впендюрить в убунту лишнюю карточку, но тогда не будет удобных cli/gui, но если сам сдюжишь iptables, то норм. Лично я не люблю строить комбайны, так как разные задачи должны минимально влиять друг на друга. Например если тебе нужно ребутнуть бубунту, то аутэдж будет по всему, а если все сервисы отдельно, то и манипулировать ими можно по минимуму затрагивая остальное. Когда мало железа, я предпочитаю виртуализацию. Точнее я ее всегда предпочитаю, но это уже другая история.
>>1828604 >т.е. при 150 будут задержки В твоем случае зивисит от фазы луны, точнее от того, сколько качков качает торренты в твоем подъезде/доме/группе домов что из этого выбрать зависит от степени убогости сетки твоего прова в твоём районе, ты можешь существенные проблемы увидеть и на 16 Мб/с трафика при канале сотке. И не слушай долбаеба который тут про PE-роутеры загоняет. >Щас думаю что как вариант протянуть оптоволокно 500мб +белая статика Насколько я пони оптика за 500 это у нас гпон от мтс? Я не селен в этом их гпоне, но насколько я понимаю передача гпоном немного увеличивает пинги, вряд ли сильно, что-нибудь на уровне чуть менее чем вайфаев или радиомостов. >и прикупить агрегат который мог бы это дело колопатить Если это гпон, то нет. Что дадут, тем пользоваться и будешь. Другое просто работать не будет, лол. Если не гпон, то тащем та обычные домашние говномыльницы справлятся на ура, если они тупо натят и нихуя больше. >если конечно есть такие и не особо дороже ~10 т.р. Братюнь с таким бюджетом тебе хватит аж на няшные роутеры от UBNT, насколько помню их средняки типа EdgeRouter Lite что то за 500 метров трафика перемалывали играючи. Ибо аппаратные ускорения во все поля. Там как раз твоя любимая VyOS допиленная вроде и стоит. >RB750Gr3 на сколько злые атаки хватит при грамотной фильтрации? 20-30 Мб/с наверно он выдержит. >хочется то быть тру админом, а не каким-то там страдальцем недотёпой На самом деле никому ты нахуй не нужен. Самое страшное какой нибудь бдалбаеб малолетний попробует робко задудосить через впн, а ты вручную забанишь три долбоебовых ойпишнега глянув в логи роутера и на этом всё закончится. Точно тебе говорю, так и будет. И не будет никакого ЙОБА дудоса, просто потому что инжинегры твоего провайдера тоже не просто так на работе хуи пинают, скорее всего ддос твой ебнут задолго на подходе до тебя. >>1828794 >А есть решения чтобы пристроить подобную вещь в уже стоящую убунту? Я у мамы не силен в линухах, но помоему это iptables называется. Можно через страшную настройку виртуальной сети на виртуалке ебаться, но это скорее ебял ради ебли.
>>1829144 >слушай долбаеба который тут про PE-роутеры загоняет. Очередной придурок, который хочет поспорить? В прошлом треде таких двое было и оба сбежали, поджав хвосты. Ну тогда начнем. >бла-бла-бла домашний интернет Идея крутить коммерческие сервисы на домашнем интернете - мягко говоря, сомнительна. Нужно хотя бы переходить на b2b тарифы с SLA, чтобы твой трафик хотя бы раскрасили и пустили вперед торрентов Васяна-соседа. >ты можешь существенные проблемы увидеть и на 16 Мб/с Очень плохая музыка. Такое бывает настолько редко, что прямо даже смысла это обсуждать нет. Сейчас 10G уже упало в цене так, что его не ставят только совсем отбитые нищуки. Нужно просто не пользоваться их услугами, а у остальных уровень oversubscription достаточно приемлемый, и если ты не в студенческой общаге, то все у тебя будет работать нормально >гпон, пинги как на вайфае ват? > няшные роутеры от UBNT, 500mbit, аппаратное ускорение аппаратного ускорения iptables нет ни в одной мыльнице (10k - это в убиках будет именно мыльница). Аппаратно ускоряют NAT, или port-to-port форвардинг. Показатели при этом рисуют самые идеальные: без микса настроек и для 1500-х пакетов. В реальности же все это начинает пукать в лужу уже на 50-80 мегабитах. >просто потому что инжинегры твоего провайдера тоже не просто так на работе хуи пинают ЛОЛД. Инжинегры провайдера от дудоса "защищают" тремя способами: 1. Если объем трафика не создает им проблем на аксессе, то вообще забивают на тебя хуй. Потом ты пытаешься к ним пробиться через две линии ТП, и там уже дудос кончится сам собой. 2. Если объем трафика создает им проблемы на аксесе/агрегации, то либо раскрасят после NATов твой трафик в минимальный класс, либо (что более вероятно) нахуй заблочат атакуемый порт, или весь IP. В обоих случаях твой сервис окажется недоступен. 3. Если объем трафика создает проблемы на бордере, то твой IP расходится по апстримам с блекхолом и до свидания связность. При этом не нужен дудос на 10-20-100 гигов, достаточно испортить им коммит на каналах (особенно действенно в конце месяца). >скорее всего ддос твой ебнут задолго на подходе до тебя Только если ты пользуешься услугами антидудос контор. In real life одни школьники постоянно и успешно дудосят других школьников. Школьников тут можно заменить на стримеров, киберкотлет, магизины, хайпы, да похуй на кого. Если бы ISP были такие охуительно добрые и боролись с дудосом забесплатно, не было бы рынка антидудос. > Можно через страшную настройку виртуальной сети на виртуалке ебаться, но это скорее ебял ради ебли. Нит. Это не ебля, это - возможность. И в этом нет ничего сверхсложного.
Хардач, есть две сычевальни: расстояние между ними чуть меньше 200 метров, видимость не очень прямая - на пути 3.5 дерева. Радиомост запилить получится? Деревья сильно мешать будут? И в сторону какого железа смотреть, чтоб не слишком ёбисто - не на 20км всё-таки связь нужна.
>>1829863 Ubnt Nanostaion Loco M2. Или любые аналогичные точки, главное не на 5 ггц, а на 2.4. Можно даже 1.9, но там и оборудование дороже и проблемы с радиочастотными организациями.
Должны пробить на таком-то расстоянии. Но вообще деревья - это не очень приятно, особенно в сезон листьев.
>>1829886 Должно пробить. Airgrid (у него усиление чуть лучше, но не суть) пробивал стенку в пол-кирпича нормально на пролёте в 2 километра. Говнороутеры дома пробивают бетонные капитальные стены, а тут три дерева и секторные антенны. Можешь купить в днсе, попробовать и сдать обратно, главное не коцать внешний вид. Потом купить по нормальной цене.
Раз уж принес свое говно, рассказывай что умеет. Сколько очередей на порт, есть ли железные фильтры, распихивать в классы только по готовым меткам может или как, в роутинг умеет, почему такой аптайм, аплинки 40/100 бывают?
И самое интересное: Как саппорт, как ценник, почему не EX/QFX/38/45/Nexus?
>>1834180 >Как саппорт, как ценник, почему не EX/QFX/38/45/Nexus? Саппорт, к счастью не приходилось проверять насколько он хорош. Проплаченной техподдержки нет. Купили его еще до того как я пришел работать, и поставили НЕНАСТРОЕННЫМ блиать, как и всё остальное в этой сети, до меня, лол. Потому вопрос почему именно он и за сколько его покупали покрыт мраком.
Приоритизацию на нем не настраива, так что ничего про это не скажу. Тут аплинки в 10 раз жирнее пиковых нагрузок, так что и без QoS всё хорошо.
Используется как обычный L3: внейтренняя маршрутизация, dhcp forwarding (option 82), acl, STP. Имеет Cisco like CLI. В общем кроме глючности прошивки версий 4.X (пиздец полный, терял настройки вланов после ребута), и 10гигабитных аплинков ничем не примчальный L3 (к счастью)
>>1834120 Двачую иначе опять говно получится, всё в одну стойку загнать взять 48портовые коммутаторы. >>1822778 (OP)
Анон подскажи раутер или связку Юсб + раутер к которому можно подрубить 4Г Мимо антенну, чтоб выжать максимума и потом с улицы по витой паре + poe всё это в офис на файрвол. Нагрузка человек 10.
>>1829799 >Такое бывает настолько редко, что прямо даже смысла это обсуждать нет. Не видел, а значит не было нихуя такого и вообще такого нисущиствует. Святые хуи из преисподней, с кем я, блядь, на одной борде сижу. >Сейчас 10G уже упало в цене так, что его не ставят только совсем отбитые нищуки. При чем тут 10G вообще? Ты 10Гиг на дом кидать будешь? Охуел совсем что ли? Ты чем это говно агрегировать потом будешь, фантазер мамкин? >аппаратного ускорения iptables нет ни в одной мыльнице Когда в фразе: >>роутеры от UBNT, 500mbit, аппаратное ускорение ты найдешь слово iptables тогда поговорим, а пока ты только хуйню спорол.
>ват? Ну, это зависит от того, чего ты там не понял. >без микса настроек и для 1500-х пакетов. Видишь ли, производительность самого обычного ER Lite 1000 Kpps и, такая хуяня, считается она на 64 битных пакетах. Ты б прежде чем очередную хуйню сморозить сходил бы на сайт почтать, там уже, блядь, несколько лет вся инфа висит, да ещё и с описанием методолологии тестирования. >ЛОЛД. Дольше можно было не читать, потому что там градус хуеты запредельный просто. Ну да так уж и быть отвечу тебе. >Если объем трафика не создает им проблем на аксессе Ты точно уверен, что представляешь себе что такое аксесс? Похоже нет, потому что если бы представлял, то наверно засунул бы этот пункт в самый конец. Но то хуйня, ты вот лучше расскажи, как ддос абонента вызывает проблемы только на аксессе. >ты пытаешься к ним пробиться через две линии ТП Неистово лолировал. Ты хоть понимаешь, что это хуйня будет размером с МГТС? >и там уже дудос кончится сам собой. За каким хером нужно делать ддос который закончится через минут этак через десять? >Если объем трафика создает им проблемы на аксесе/агрегации, то либо раскрасят после NATов твой трафик в минимальный класс, либо (что более вероятно) нахуй заблочат атакуемый порт, или весь IP. А давай ты всем расскажешь чем им такая блокировка/приоретизация поможет. >одни школьники постоянно и успешно дудосят других школьников А на двачах аноны в друг друга говном кидаются и дальше то что? >Если бы ISP были такие охуительно добрые и боролись с дудосом забесплатно, не было бы рынка антидудос. Ты не понимаешь сути.(с) Вся хуета в том, что сегодня имея канал в 100Мб/с а это нихуя не редкость уже можно захерачить кому-нибудь где-то 8 Гб/с. >Это не ебля, это - возможность. Ну ок. Дает то эта возможность тебе что? Ну кроме возможности анальной ебли, конечно. >И в этом нет ничего сверхсложного. Опять таки. В этом предложении: >> Можно через страшную настройку виртуальной сети на виртуалке ебаться, но это скорее ебял ради ебли. нет ни слова про сложность настройки.
>>1835814 >Не видел Видел. Но сейчас такого нет у приличных провайдеров. У пионернетов - да, может и на 5 мегабитах затываться гирлянда микротиков, у провайдеров такого давно нет. >Ты 10Гиг на дом кидать будешь? Если у меня там 100+ абонов, то буду. Билайн так делает, эртелеком так делает, и только васян с мейлацей НИВЕРИТ. >Ты чем это говно агрегировать потом будешь Не поверишь, но свитчами, блядь, аггрегации. Теми, которые на 24/32/48 sfp+ >ты найдешь слово iptables Мудак не понимает как фильтрует пакеты линукс? Он это делает при помощи iptables. А в убиках форк vyatta, а vyatta это линукс. Впрочем после твоего >Я у мамы не силен в линухах Смысла обсуждать тонкие материи кагбэ нет. >производительность самого обычного ER Lite 1000 Kpps >up to 1 million packets per second Сферический идеальный случай в вакууме? Как только ты навесьшь 10 правил, 5 натов и 3 очереди, МУЛЬЁН внезапно превратится в 100k? Или во сколько? >. Ты б прежде чем очередную хуйню сморозить сходил бы на сайт почтать Читал я эту телегу еще хер знает когда, когда планировали на этой мыльнице вайфай в офисе делать. В разделе про тестирование с фаерфолом у них написано: >IP forwarding and firewall features were enabled, but connection tracking features were disabled. Охуительный stateless фаервол, защитит тебя от дудоса, анон, инфа 100%. Все эти характеристики (в том числе и ололо-независимые тестирования) пишутся на самых мягких, никому ненужных настройках, и не приведи аллах что-нибудь "лишнее" включитьво время тестирования. Микрот, вон, на фаст-пасе тоже гигабиты переваривает, а на 90-мегабитах домашнего энторнета заваливается в полку. >Ты точно уверен, что представляешь себе что такое аксесс? CCNP JNSIS-SP (через месяц досдаюсь на JNSIP-SP) Думаю, что представляю это себе достаточно хорошо. >как ддос абонента вызывает проблемы только на аксессе Переливает линк от агрегации в сторону абонентского свитча. Так как у людей обычно чем ближе к абоненту, тем Уже линк, то переливаться они начинают именно в том порядке, в котором я их приводил. >Ты хоть понимаешь, что это хуйня будет размером с МГТС Провайдеров много разных, и размеров тоже они разных, но классическая схема одна на всех: оператор ЗЦ, саппорт, инженер. До первого инженера нужно побороть две линии ТП. Что не так, что тебе не понравилось, при чем тут МГТС? У них как-то по-другому? >За каким хером нужно делать ддос который закончится через минут этак через десять Для начала за 10 минут хуй ты через них пробьешься. Ну и ты себе не представляешь насколько подавляющее большинство дудосов длится считанные минуты (и повторяется раз в полчаса, например, и длится это от пары часов до пары дней). >А давай ты всем расскажешь чем им такая блокировка/приоретизация поможет. Как-то уровень твоей компетенции с каждым вопросом все ниже и ниже. Если этот трафик ходит по сети в самом низком приоритете, то при полке на интерфейсе он будет дропаться из очереди первым, не мешая при этом прохождению трафика других абонентов и сервисов. Ровно по этой же причине ты можешь смотреть IPTV, пока торрент-клиент кладет твой канал в полку. Если ты не понимаешь как работает QoS - пойди почитай что-нибудь. Если они ленивые и поблочат атакуемый адрес, то, очевидно весь этот дудос трафик будет умирать не доходя до агрегаций, аксессов и абонентов. >и дальше то что? Дальше то, что твое утверждение не имеет ничего общего с реальностью. Ты говорил, что ISP всех победят и никаких дудосов до тебя не дойдет, а в реальности доходят, и без проблем, потому что ситуацию с реальностью я описал, только вот ты в нее не веришь почему-то, в твоем диванном мире золотые ISP бесплатно забарывают дудосы для всех и каждого. >Ты не понимаешь сути.(с) Вся хуета в том Я прекрасно понимаю специфику, и я уверен на 99.999%, что понимаю ее лучше тебя, так как я в этой сфере работаю. 80 к 1 это уже нужно иметь хороший пул амплификаторов, удобного абузоустойчивого хостера без RPF-check, и все это не так просто, как ты себе представляешь. > Дает то эта возможность тебе что? Я в том посте говорил что это дает. Разделение задач по серверам. Если какая-нибудь макака уронит убунту с приложением, то хоть роутер останется живой. И вообще тема виртуализации, и того что она дает - она за бортом данной дискуссии, как я и говорил ранее. >нет ни слова про сложность настройки. Имплаинг, что "страшная настройка" "на виртуалке ебаться" "ебля ради ебли" все эти эпитеты должны характеризовать элементарные операции, в которых нет сложностей? Почему тогда они страшные, почему с ними ебля?
Твоя проблема в том, что ты хотел трухануть своими познаниями среди школьников мейлача, а напоролся на бородатого дядьку, который знает сильно больше тебя. И ты теперь пытаешься спорить про сети и дудосы с сертифицированным сетевиком, который работает как раз с дудосом.
>>1836641 Как предлагаешь порты пробрасывать? Пойдешь МТС-овские GGSN/SGSN ковырять? "Посоны, мне тут чуть-чуть надо... CG-NAT отключить, порты, там, пробросить. Ну дайте консоль, ну чё вы как не люди".
>>1822778 (OP) Анон, выручай. Я вот полный нуб в этом. Есть один кабель интернета, на 100мб/c. Задача: Подключить 20 ПК в единую сеть, ну и раздать на каждый комп интернет. Погуглив, выяснил, что нужен свитч. Далее выяснил, что нужен свитч 3 уровня. Но далее я выяснил, что там нет НАТа, и что я не смогу использовать 1 Ip для всех компов.
Кароче, я долбоеб, как мне раздать интернета на 20 ПК, объедение их еще и в локалку?
Я не уверен что пишу в тот тред, но другого я не нашел, а здесь вроде знающие аноны сидят, может подскажете что. ДС2, Твой интернет (они теперь перешли к Ростелекому, но технологии остались те же, инет по телевизионным сетям через модемы), модем Thomson tcm471. К нему подключен роутер Xiaomi Miwifi 3 с прошивкой от Padavan ( это от Asus вроде, до этого стояла родная и проблема была). Так же подключал валяющиеся дома Tp-Link 741 и 842, проблему это не решило. Проблема, периодически, примерно раз в минуту, иногда чаще, иногда реже, скачет пинг от 100 до 3000-4000. Скачет и через кабель, и через wifi. Раньше ее не было, буквально полгода назад все было норм, стоял Tp-Link 842. Так же, почему то у провайдера есть проблема с обновлением mac адреса привязки, они добавили новый mac но ноут не подсоединяется, то есть mac внесли, ноут с этим маком подключен, но разрешения ему система не дает. Приходится на ноуте менять mac на старый, который так же прописан во всех роутерах. Так же специалист поддержки говорил что то насчет того, что некое устройство у меня дома постоянно запрашивает ip адрес, поэтому я всем подключенным устройствам прописал постоянные ip адреса через настройки роутера. При подключении ноута напрямую к модему,и изменении его mac адреса проблема с пингом не наблюдается. 1 - Как можно проследить ситуацию с "постоянным запросом ip адресов" 2 - все 3 роутера одновременно сломаться не могли, возможно ли что вина в самом модеме, в специфичной ошибке, которая не дает ошибок при подключении напрямую, но при подключении к роутеру начинаются проблемы. 3 - куда вообще можно копать? В гугле порылся, в основном советуют менять каналы wi fi (но моя проблема и с LAN соединением) ссылка на статистику пинга яндекса в консоли http://pastebin.com/EK0viY9d
Пиздец дебилы, мама я хуею - "ПРОСТО ЗОБАНЬ ОЙПИШНИКИ АТАКУЮЩИХ ХУЛЕ ТАКОГО ТО СЛОЖНАВА"
Ничего, что для обработки пакета - ЛЮБОГО СУКА ПАКЕТА, ДАЖЕ ЕСЛИ ТЫ ЕГО ДРОПАЕШЬ\РЕДЖЕКТИШЬ\ОТПРАВЛЯЕШЬ В ТАРПИТ - нужно потратить процессорное время? Суть дудоса в том, чтобы оборудование - фаерволы\роутеры - были не в состоянии справляться с объемом пакетов. Учитывая, что как правило фаервол обычного говнопользователя с белым айпи это роутер уровня дырлинк с В ЛУЧШЕМ СЛУЧАЕ арм процем, в худшем - ебаные мипсели.
>>1837634 Какой бизнес блять? Нужно помочь решить проблему, живя в помойке. Сам я, как написал, ничего не понимаб в этом. И ХОЧУ выяснить. Гугл выдает ебанутые результаты, опрос различных знакомых так же дает различные результаты. Кто-то говорит, мол надо брать роутер+свитч 2го уровня, другие советуют просто купить свитч л3. Ну или сделать сервер-свитч. Но я понятия не имею, что лучше сделать. Дай пример роутеров, и свитчей, которые могут подойти для этой задачи.
Чтобы объеденить 20 пекарен нужен считч. Любой, блядь. Чтобы выпустить их в иторнет с одного айпишника нужен NAT. В NAT могут роутеры. Роутер можно купить или собрать из говна и палок на x86. Насколько нужно быть безруким, чтобы не смочь это все загуглить?
>>1837986 >Так же специалист поддержки говорил что то насчет того, что некое устройство у меня дома постоянно запрашивает ip адрес >я всем подключенным устройствам прописал постоянные ip адреса через настройки роутера. >МАМ У МЕНЯ СЕТЬ ЛАГАИТ
Поясняю специально для тебя.
Если у тебя к провайдеру идет один канал, до твоего роутера, то "прописывать всем устройствам постоянные адреса" это прост пиздец. Потому что в нормальном режиме (режиме роутера блядь, пикрилейтед) твой роутер в сети провайдера выглядит как один-единственный клиент на твоем айпи, все "запросы айпи адреса" будут от твоих беспроводных\проводных устройств идти ТОЛЬКО в твой роутер, на котором крутится dhcp сервак, который выдает внутренние айпи-адреса всей твоей локалочке. Твой маршрутизатор своим красным тырфейсом смотрит в сеть провайдера и иногда, периодически, в зависимости от настроек оборудования провайдера, запрашивает dhcp-лизы - если у провайдера ipoe подключение, а не йоба-тырнет через впн. Это нормальное поведение. Так что 1) или ты очень тупой и что-то сделал совсем не так (например, поставил роутер в режим бриджа %%беспроводной точки доступа лол) или 2) первая линия провайдера очень тупая или 3) и ты, и первая линия очень тупые.
>>1838140 И даже это может не иметь значения, если тебе заливают аплинк (у сферического посетителя этого ИТТ треда ведь один аплинк, правда?). В этом случае ты хоть кластер фаерволов на четырехпроцессорных ксеонах вхуячь, легче не станет.
>>1838241 > Посоветуй свитч Повторяю: любой. Но, принимая во внимание твою полную несостоятельность уточню, что количество портов в нем должно превышать количество компьютеров, которые ты хочешь подключить. >роутер ASR1001, заебал ты. Что тебе от него нужно, и какой бюджет?
>>1838331 Сука, долбоеб, как же бесишь ты. Тебе сказали, блядь, всё. Нахуя ты спрашиваешь про то, что вообще не впитываешь? Ты понимаешь что такое управляемый L2, и что он может делать? И зачем это нужно в твоем случае? НЕТ? НУ А НАХУЯ ТЫ ЕГО СЮДА ТАЩИЩЬ?
>>1838217 Если бы он сказал ваш роутер да, но он сказал какое то устройство, я решил что провайдер может иметь доступ к инфе роутера, что ты агришься анончик? "то "прописывать всем устройствам постоянные адреса" это прост пиздец." - прописал, это как то совсем печальный процесс? У меня ведь не кафешка, ну 5-10 адресов добавил, мне не сложно было попробовать. У меня стоит режим роутера как у тебя на картинке. Я вообще после перепрошивки его не ковырял, прописал клон мак адреса и все. Я откровенной хуйни точно не делал в общем, обычно все всегда из коробки работает, без лишней хуйни, а сейчас я пытаюсь решить вопрос с инетом. " 2) первая линия провайдера очень тупая" - как это проверить? Почему при прямом подключении все нормально работает, а при роутере начинается ад? Я был у 2 друзей, они живут в 5-7 км от меня, у них тот же провайдер, модемы тп-линк и зухел, у них пинг стабилен. В общем, спасибо что попытался мне помочь, хоть у тебя это нихуя и не вышло.
>>1838480 >>1838217 http://pastebin.com/RrZUPYBQ Я рискнул добавить сюда лог роутера, может тебя что нибудь зацепит и ты пояснишь по хардкору? Меня особенно смутила строчки Feb 7 00:29:52 MI-3: Hardware NAT/Routing: Enabled, IPoE/PPPoE offload [WAN]<->[LAN/WLAN] Feb 7 00:29:52 MI-3: Hardware NAT/Routing: IPv4 UDP flow offload - ON Feb 7 00:29:52 MI-3: Hardware NAT/Routing: IPv6 routes offload - OFF Feb 7 00:29:52 DHCP WAN Client: starting on eth2.2 ... Feb 7 00:29:52 DHCP WAN Client: bound (eth2.2), IP: xx.xxx.xx.xxx, GW: xx.xxx.x.x, lease time: 86400 Feb 7 00:29:52 MI-3: WAN up (eth2.2) Кстати говоря, он только что просто отвалился, инета не было вообще, wifi есть а инета нет. После этого я снял лог, и мне кажется как раз эти строчки говорят о его переподключении к WAN. Поправь если ошибаюсь.
>>1837986 Подключаешься напрямую, видишь, что такой проблемы нет, выкидываешь свое китайговно. Что тебе еще нужно-то? >постоянный запрос Ip адресов dhcp на wan интерфейсе отруби, поставь статику или вообще ничего не ставь, если по впопоуе подрубают. >>1837502 Нужен роутер и любой свитч. >>1838372 Возьми себе CRS125-24G, который будет работать и как роутер и как свитч и не еби нам тут мозги. >>1838503 Ну и на кой хуй нам твои логи загрузки роутера? > мне кажется Крестится надо. >говорят о его переподключении к WAN О подключении после ребута.
>>1838517 А с чего он вообще переподключался, может скажешь? Это же не весь лог, над ним еще строчки есть, говорю же инет тупо пропал. Причем забавно, что на моем телефоне инет был, именно в тот момент, когда комп подключенный через wifi говорил что соединение есть а инета нет. Помоги анончик, прошу, взгляни на полный лог по ссылке и используя свои зания скажи, действительно ли мой роутер такое говно и нужно идти и купить что то другое.
>>1838530 >роутер такое говно Для этого не надо заходить в лог. Это и так ясно. >А с чего он вообще переподключался Он у тебя перезагрузился, а не переподключился.
>>1838534 Нет, ну обосрать каждый может, ты хоть объясни почему. У меня же не один роутер так себя ведет, а целых 3. Не мог он перезагрузиться, соединение то было на соседнем устройстве, и интернет был 100%
>>1838539 >Не мог он перезагрузиться А по логу инициализация, как после перезагрузки. Тебе нужен лог с нормальной привязкой ко времени, ибо возможно к тебе в лог тупо ничего не упало. >ты хоть объясни почему Понятия не имею. >У меня же не один роутер так себя ведет Ну например: >на моем телефоне инет был, именно в тот момент, когда комп подключенный через wifi говорил что соединение есть а инета нет Явно не вина провайдера или модема твоего.
По хорошему: Прописать статику на wan Узнать адрес модема и можешь ли ты его пингануть, дабы проверить есть ли такая хуйня с пингами до него. Попробовать выставить скорость порта в 10мбит фулл\халф дуплекс для теста на wan интерфейсе роутера, если такое вообще на этой хуйне возможно. Проверить\заменить кабель до модема.
>>1838548 Там есть все. Он даже хуй сосет и жрать готовит.
>>1838566 Оформил, 3 числа должен был приехать. Вчера звонил, сказали "Заявка оформлена, странно что он не приехал, тут даже комментариев нет завтра приедет и вам позвонят" короче нет никого нихуя, пидоры. Опять звонить не хочу, тупо заебало. Тем более видимо проблема с роутером, раз у меня пинг на него скачет?
>>1838567 Ниможит быть, у тебя же виликолепный хуеми. >>1838568 >Тем более видимо проблема с роутером Ну а я тебе о чем. Кстати, ради интереса отруби кабель от модема и проверь пинги до роутера при таком варианте. >>1838575 >Есть все, только мешать фичи нельзя. Ему все-все явно нужно не будет. Как роутер с кучей портов нормально проработает. >И в 100 мегабит он не сможет. Кокая ахуительная история.
>>1838578 >Кокая ахуительная история У меня дома 2011 с таким же процессором. speedtest кладет его в полку на 80 примерно мегабит. У тебя есть что противопоставить?
>>1838578 Отключил устройства по кабелю, пинг не изменился, но перед этим произошла охуительная вещь. У меня стоял режим n only, я попробовал включить b/g/n. Роутер нахуй сбросил все, тему интерфейса, пароль на вафлю поставил как пароль от админки и все. бомбануло знатно. Чуть позже пропингую роутер без подключения к wan. Роутер с браком? Что еще можно изучить?
>>1838590 >80 примерно мегабит. А гигабит там для красоты видать. Впрочем если у тебя провайдер настолько ебанутый, что юзает l2tp с йобашифрованием, то может быть, в каких-то других случаях проблема явно не в мокротике. >У тебя есть что противопоставить? Один 2011 вполне себе тянул ~300 пользователей и ~200 мегабит например. >>1838598 >В этом случае мокротык - далеко не лучший вариант Под его задачи - один из лучших. Для 20и юзеров и сотки много не надо. Твои хейтурские потуги тут не к месту.
>>1838630 Спасибо, посмотрю. Но если не смогу его достать, то вариант с роутером и простым свитчем л1 все же рабочий? Кабель из роутера можно воткнуть в любой пот свитча, и все будет работать?
>>1838691 Да, рабочий. Да, можно. Да, будет работать. Но до первого падения от нагрузки или до первой проблемы, когда какой-то хуй будет выжирать весь канал. Не будет возможности - бери эджроутер, который выше советовали, неплохое решение с дружественным интерфейсом и нужными функциями на всякий случай.
>>1838630 >А гигабит там для красоты видать Гигабит он впринципе сроутить не сможет, так как у него линк от свитч-чипа до проца всего гиг. > l2tp pppoe. Но на голом ip такие же результаты. >проблема явно не в мокротике С чего такие выводы? >Один 2011 вполне себе тянул ~300 пользователей и ~200 мегабит например. А че ж не 1000 пользователей и 800 мегабит? В твои показатели поверить можно только на fast-path "безничего".
>>1838719 >pppoe. Но на голом ip такие же результаты. При всем уважении, ты тут уже перетолстил, либо у тебя руки совсем не из того места растут. >С чего такие выводы? Наверное потому что у меня 951 и 2011 такой хуйни не показывали? >>1838742 Нагушок, плиз, причем тут сааб вообще?мне и своих лавров хватает, зачем мне чужие >хомячков Сказал тот, кто не осилил настройку мокротика и получил 80 мегабит, обоссаться просто. >>1838750 А я и не про свитч.
>>1838758 > ты тут уже перетолстил Инкапсуляция в pppoe - практически бесплатная операция по сравнению со всякими шифрованными pptp/l2tp >951 и 2011 такой хуйни не показывали? Какой хуйни? А какую показывали? На каком конфиге? На фаст-пасе то они бойко лопатят трафик - это да, ну в пределах гигабита. Как только вмешивается stateful firewall, NAT или неприведиаллах шейпер, то производительность куда-то девается внезапно.
>>1838758 Перешел на тариф 75 мегабит. Теперь на спидтесте нет полки, только изредка показывает 100, обычно 80. Раньше было 100 мегабит и ровная полка. 17 правил, 15 натов, 17 маршрутов.
>>1838775 >то производительность куда-то девается внезапно. А для этого, внезапно, берутся варианты попроизводительнее. >>1838788>>1838789 Пикрелейтед. Мог бы и сразу рассказать. Возьми себе хекс третьей ревизииИ будет у тебя два микротика, прям как по заветам сааба, бггг, 2017 год на дворе в конце концов, не 12ый.
>>1838802 >А для этого, внезапно, берутся варианты попроизводительнее. Я в курсе. А вот свидетели великого микротика - нет. Они всерьез думают, что можно на 600-мегагерцовом мипсе адекватно роутить-натить-полисить 100 мегабит на 20 машин. >Возьми себе хекс третьей ревизии Спасибо, с меня достаточно мокротыков.
>>1838826 >А вот свидетели великого микротика - нет. Я, например, знаю, что можно уперется в производительность железа, секрет полишинеля бля. >Они всерьез думают, что можно на 600-мегагерцовом Можно, если не предъявлять к нему слишком завышенных требований в этом, нужно ведь понимать необходимое и достаточное. Ты ведь не думаешь, если он такую хуйню спрашивает тут, то он осилит хитровыебанные конфигурации, которые выжрут все ресурсы. Это всяко лучше, чем он поставит дженерик домашний роутер или говнотуполинк, согласись.
>>1838841 > Это всяко лучше Нит. По дефолту мокротык отвечает своим DNS-форвардером на всех интерфейсах. И на-отличненько участвует в амплифицированных дудосах. Не раз закрывал эту хуету людям после жалоб, что ЭНТОРНЕТ ЛАГАИТ. И 100 мегабит NAT - это уже на грани для rb2011, и чуть не тот профиль пакетов, или одна лишняя галочка в веб-морде и пойдут просадки. Некоторые жденерик домашние роутеры имеют аппаратный оффлоад NAT, и вот они как раз подойдут местному гуманитарию как нельзя лучше. Не говоря уж о том, что с первого раза в веб-морде мокротыка может охуеть даже видавший виды, не то что ньюфаг, который не знает как и чем соединять компы в локалку и выпускать в интернет.
>>1839087 >По дефолту мокротык отвечает своим DNS-форвардером на всех интерфейсах Одна строчка в конфиге или галка в вебмордекоторая по умолчанию снята вроде давно уже >И 100 мегабит NAT - это уже на грани для rb2011 Я тебе уже рассказывал про нат на 2011. Так что не надо тут. Без хитровыебанного и нагруженного фаерволла все потянет. >Не говоря уж о том, что с первого раза в веб-морде мокротыка может охуеть По мануалам основные настройки выполнит даже обезьяна. Не говоря уж про квиксет. На стандартном конфиге ему нужно будет просто прописать реквизиты для wan и все будет сразу работать.
>>1839087 >>1839323 Вот вам обратная связь от простого юзера. Хуй топящий за мокропсиха для простых задач прав - настраивать там для того чтобы просто работало - как нехуй нахуй. Кучу прочих настроек, в которых сейчас не разбираюсь считаю преимуществом. Т.к. по дефолту мне в них лезть и знать не нужно, но если вдруг возникнет необходимость, то смогу освоить и применить. Алсо понравилось деление wifi канала на три подканала, или как это правильно называется. После вечноглючащего zyxel vivo мокропсих для меня как мана небесная.
>>1839343 >Вы тут нагрузку на роутеры в мегабитах меряете что-ли? Ну как бы да, сколько сможет прокачать в той или иной ситуации. Этот хуй нахуевертил всякой хуеты и удивляется, что не прокачивает сотку, а железо загружено в шишку. >>1839344 Спасибо, мы в курсе.
>>1839323 > Без хитровыебанного и нагруженного фаерволла все потянет. А хитровыебанных и не надо. Достаточно немножко пробросов портов, и чутка правил. Даже шейперов не нужно и ВУАЛЯ: 100% CPU load. >Я тебе уже рассказывал про нат на 2011 Ничего ты не рассказывал. Если это был ты, то ты просто вбросил про 300 пользователей и 200 мегабит (кому, блядь, в голову пришло такие нагрузки терменить сохо мыльницей - ума не приложу).
>>1839350 >тот хуй нахуевертил всякой хуеты и удивляется, что не прокачивает сотку, а железо загружено в шишку. Я чуть в начало этого срача не вписался, но вовремя опомнился
>>1839353 > хитровыебанных и не надо. Достаточно немножко пробросов портов, и чутка правил Ой ну не пизди, а. У меня фаерволл + проброс + маскарад с десятка вланов + два десятка дхцп и прочей хуйни. Наверное у меня десять мегабит на 951 должно быть, ага. Съеби уже. >в голову пришло такие нагрузки терменить сохо мыльницей Во время аварии ничего больше не было.
>>1839421 Стандартный антимикротик шизик же. Против микротика, но сам пользуется из-за отсутствия альтернатив. Может быть еще в детстве ему циска на голову упала, дикий рев вентизяторов бп падающего на голову маршрутизатора отложился у него в голове на всю жизнь и теперь он дурачок.
>>1839343 На ололо-шпд пакетная нагрузка очень хорошо коррелирует с мегабитами, потому и можно производительность шпд-роутеров измерять в мегабитах. >>1839344 ЕМНИП, при настройках из коробки все интерфейсы LAN у него объединены в бридж с коммутацией через цпу. Если у тебя нас с пекарней через него соединены, то соснешь. А настройка свитч-чипа там не такая уж тривиальная (особенно в блядском rb2011, где их аж два разных). >>1839350 >нахуевертил всякой хуеты С чего ты взял? Вполне стандартный набор для ШПД с белым IP. Я же на нем не шейпер под 100 абонентов пилил. Единственное отличие от сферического юзера в вакууме - у меня больше маршрутов в таблице. Но если роутер кривит от 15 маршрутов, то даже хз.
>>1839459 Слабенький какой-то узел. Всего 30 мегабит наверное пропускает(: Ццр по светодиоду сразу видно же. >>1839473 >Если у тебя нас с пекарней через него соединены, то соснешь Ага, каждый день сосу.
>>1839473 > LAN у него объединены в бридж с коммутацией через цпу. Ноуп, по дефолту как раз аппаратная коммутация. >А настройка свитч-чипа там не такая уж тривиальная Указать в настройках интерфэйса его слейвом это нетривиальная задача? Корень твоих проблем с сетевым оборудованием кажется выплыл на поверхность. > можно производительность шпд-роутеров измерять в мегабитах. А мужики то не знают съеби уже, болезный >>1839482 Взял и все испортил
>>1839367 >у меня десять мегабит на 951 должно быть А сколько получается? Какая при этом загрузка цпу? > Съеби уже. Я скрин вкидывал со спидтеста на 75 мегабитах 86 загрузка. Зачем мне съебывать? У меня ppoe энторнет с белым IP, меньше 10 вланов, два vrrp, маскарадинг, десяток пробросов, нет очередей, два bgp пира и два десятка маршрутов в целом. >Во время аварии ничего больше не было ЗИП, говорили они. Риск-менеджмент, говорили они. Но пионернет идет своей дорогой.
>>1839421 Для начала, про микротики раньше я ничего не писал. И это не боль, это просто констатация факта: микротик переоценивают слишком сильно. >>1839434 >антимикротик шизик Нит. Это железка для своей ниши. Многие ее обожествляют, но не я. >Против микротика Против не микротика, а использования микротика в продакшене при соль-либо существенной нагрузке. >каждый день сосу. Поди мастер-порт прописал, чтобы коммутировалось на свитч-чипе, а не на цпу? Или таки-сосешь?
>>1839505 >Для начала, про микротики раньше я ничего не писал. И это не боль, это просто констатация факта: микротик переоценивают слишком сильно. Да да, столько альтернативных вариантов, многи из которых куда лучше, чтобы напердолить все что ты описал на железе за 4-7к рублей.
>>1839505 >Поди мастер-порт прописал, чтобы коммутировалось на свитч-чипе, а не на цпу? Или таки-сосешь? Это настройка по умолчанию. На 2011м в бридж закинуты 2 мастер интерфэйса для 2х коммутационных чипов. Там где чип один по умолчанию аппаратная коммутация
>>1839502 >Ноуп, по дефолту как раз аппаратная коммутация в RB2011? Давно это изменилось? Все новые микроты, которые мне доводилось ставить имели одинаковую настройку искаропки: все порты кроме первого в bridge1, никаких мастер-портов, никаких слейв-портов. >Указать в настройках интерфэйса его слейвом это нетривиальная задача? Нетривиальная задача - настроить свитч-чип, если тебе нужно что-то кроме дефолт-влана, транки, там, native vlan, коммутация между гигами и стоками вообще анрил, lacp тоже. >А мужики то не знают А в чем твои мужики делают провижнинг сети под шпд? В пакетах? не смеши мои тапочки.
>>1839516 >Нетривиальная задача - настроить свитч-чип, если тебе нужно что-то кроме дефолт-влана, транки, там, native vlan, коммутация между гигами и стоками вообще анрил, lacp тоже. Мы всё еще про домашний роутер говорим? Всё, пошел нахуй, ты меня доебал
>>1839505 >У меня ppoe энторнет с белым IP, меньше 10 вланов, два vrrp, маскарадинг, десяток пробросов, нет очередей, два bgp пира и два десятка маршрутов в целом. А с каждым днем все веселее и веселее. Сначала просто подключение по пппое, потом всего-то фаерволл и нат, а теперь новые подробности! >И это не боль, это просто констатация факта: микротик переоценивают слишком сильно. Расскажи про альтернативы для твоих задач за 50 баксовза хекс, который в твоем случае сотку и более пережует, а мы послушаем. >>1839516 >все порты кроме первого в bridge1, никаких мастер-портов, никаких слейв-портов. Здравствуйте, новый выпуск ахуительных историй?
>>1839513 >напердолить все что ты описал Вопрос в том, как это будет в итоге работать. Для дома и на поиграться - железка огонь. Для продакшена это слабо приемлемо. И не надо тут топить за эти дохуяядерные CCR, плавали-знаем. Можем, конечно, тут развести демо-версию ветки на наге, в которой сааб рассказывает, как охуенно микроты работают в продакшенах, а остальные кормят его говном. Могу накинуть для затравки: -У нас больше сотни транзитных клиентов, корреляция между проблемами, сказочными админами и микротиками на бордере - больше 90% -Коллега шабашит в пионернетах разной степени запущенности, и стабильно доставляет геморрой и ночные звонки только один, в котором CCR.
>>1839547 >И не надо тут топить за эти дохуяядерные CCR Охуенно работают, когда ты не хочешь слишком многого от железаа ццр вообще достаточно чувствительный, есть приколы некоторые, но большинство сводится к тому, что кто-то просто не умеет готовить микротик, когда это у тебя и нас и брас и хуй сосас. Для этого есть хуй86.
>>1839533 >Мы всё еще про домашний роутер говорим? Почему нет? Не у всех так, но микрот - выбор энтузиаста жи есть, а там вроде как и виртуализация рядом. >>1839534 >Сначала просто подключение по пппое, потом всего-то фаерволл и нат А как pppoe раздавать на пекарню? Без ната и фаервола? >а теперь новые подробности! Новые подробности только лишь в том, что энторнет раздается в влан, и в таблице есть десять "лишних" маршрутов. На производительность роутера это не должно влиять, или только не в случае микротика. >новый выпуск ахуительных историй? Так было сколько-то лет назад, когда я покупал себе 2011 и ставил 950-й на вайфай в кафешке приятеля. Возможно латыши таки-учатся и наряду с закрытием DNS снаружи, сделали адекватную чайник-френдли настройку свитч-чипа.
>>1839563 >что кто-то просто не умеет готовить микротик ВОИСТИНУ Сааб. Никто не умеет их готовить, конечно. И слишком многого от него хотят. По факту что бы от него не хотели, беспечно спать почти ни у кого не получается.
>>1839597 Ну значит у кого-то была боль. Правда я не разделяю осуждения того, что 2011 не может нормально наебашить vpn-ов neflow cgnat-ов mpls-ов и прочего говна одновременно.
>>1839582 >а там вроде как и виртуализация рядом. Ты как антимикротикшизик должен знать, что она там нормально не работает. >А как pppoe раздавать на пекарню? Без ната и фаервола? Одно пппое клиент+нат+щепотку фаерволла, а другое >меньше 10 вланов, два vrrp, маскарадинг, десяток пробросов, нет очередей, два bgp пира и два десятка маршрутов в целом, еще кофе варит и бипером играет музыку Ты хочешь слишком многого от такого железа, не более, не говоря уже о возможной не оптимальной конфигурации. Не понимаю твоего баттхерта. Не хватает - купи решение производительнее, благо есть недорогие варианты. Нет, я буду ждать говно на говне мамонта и ругать микротик. И я так и не услышал про альтернативупотому что ее нет. >Так было сколько-то лет назад В 13ом уже было. >>1839597 Ну весело же в него палочкой потыкать. >>1839598 Ну да, слишком многого от него хотят. Проблема-то не в том, что микротикогоспода представляют его как машину для всего и сразу с бесконечным запасом производительности. Они все прекрасно понимают. Считают так лишь васяны вроде тебя, а потом удивляются почему нихуя не работает и начинают брызжать слюной в интернетах. На боевые картиночки еще перейди.
>>1839613 >Ты хочешь слишком многого от такого железа, не более, не говоря уже о возможной не оптимальной конфигурации. Блядь. Специально для кукаретиков про слишком много, я блеадь сброшу его на дефолт, оставлю только pppoe, нат, и одно правило фаерволла. Как ты будешь кудахтать, если результаты не изменятся?
Назрузку на ЦПУ создает процессинг пакетов, в моем случае - это взять его с одного интерфейса, декапсулировать pppoe, пронатить, инкапсулировать в vlan плюнуть в другой интерфейс. В сферическом идеальном варанте отсутствует только инкапсуляция в vlan. Не думаю, что это может существенно влиять на производительность, даже в непредсказуемом микротике.
>>1839616 Пожалуй любая задача в ядре, отдельно или сразу один - зависит лишь от нагрузки и прямоты рукопять же не на дохуища фуллвью, тут под бгп надо что-то другое либо таки хуй86, либо районные насы. Вполне себе для туннелирования шифрованного и с большой пропускной способностью пойдет, но это уже для конечных клиентов. >>1839633 Никак не буду, ибо веры тебе нет.
>>1839613 >что она там нормально не работает. Я не про "гипервизор" микротика. Я про то, что велика вероятность, если энтузиаст взял себе на покувырять микротик, то он будет ковырять много чего еще, например у него может стоять недосервер с каким-нибудь гипер-ви или всфером, он может сегментировать домашнюю сеть на вланы (своя пекарня, другие пекарни, гостевой вуйфуй, свой вуйфуй), у него наверняка будут туннели на работу или еще куда. И вот уже хуяк, и получается пяток-другой подсетей которые надо зафаерволить хоть чутка, и вместо двух-трех роутов получается 10-20. И роутер от этого ВНЕЗАПНО отыквивается.
>>1839647 Сходит и за ~3к купит себе современное решение, если не хватит производительности, а не говно мамонта. Какие проблемы вообще. Не все же такие дебсы как ты.
>>1839639 >в ядре Да ты смелый, я смотрю. >не на дохуища фуллвью Там проблема в том, что весь control-plane крутится на одном ядре. И даже без фулвью нельзя вешать на него много пиров, иначе ой. > ибо веры тебе нет. Ну то есть будут отрицания. >>1839640 >тестирование по спидтесту Если ЦП ложится в полку от спидтеста (больших пакетов с одним флоу) то уж на торрентах ему лучше не станет, а IMIX ему вообще пизда.
>>1839652 Плез, решение за ~3k, в которое можно включить 4 гигабита и четыре сотки на постоянку, с возможностью подрубать ноут проводом при необходимости. hex + dlink?
>>1839662 Да, я не раз тебе сказал купить себе хекс и не ебать мозги. Либо 3011 например. >>1839672 Проигрывай дальше, главное альтернативы с таким же функционалом приводис ценой в пять раз выше с архитектурой от которой проигрывать не будешь.
>>1839687 > хекс Нот сьютс. Не хватит портов. >3011 Очередной сорт оф 2011. Чипы опять без аггрегатов, только теперь еще интереснее, так как проца два и свитч подключен к обоим. Как работает логика при этом хз, вероятнее всего на свитч пакеты шлются с одного проца, чтобы избежать MAC-колизий. И если бы я хотел что-то сделать с домашней сетью за 180 баксов, то вероятно взял бы коммутатор, который может нормально выполнять функции коммутатора, какой-нибудь минимальный длинк 1510, и какой-нибудь убик лайт. Такое решение было бы дешевле, фунциональнее, надежнее, и более гибко. >с таким же функционалом приводи 1. выше привел. Две железки, правда, но зато работать будет. 2. Хули толку с этих попугаев и возможностей, если чуть начинаешь использовать больше двух, так сразу "хочешь слишком многого от такого железа"? Зачем приводить в плюс обширную функциональность, если ее нельзя безопасно применять?
>>1839716 >то вероятно взял бы коммутатор Если это для твоих задач необходимо и оптимально - бери. Никто же не заставляет тебя брать онли микротик или сидеть аутировать на 2011 и баттхертить. Никто не мешает тебе взять коммутатор и хекс, если тебя не устраивает их архитектура для решения все в одном. Впрочем я думаю можешь и просто 3011 взять, если бы тебе действительно не хватало пропускной способности, то ты бы не сидел на нем, а давно бы уже сменил все это дело. >Такое решение было бы дешевле Внезапно нет. >фунциональнее и более гибко Сомнительно.
>>1839747 >Никто же не заставляет тебя брать онли микротик или сидеть аутировать на 2011 Когда я его брал он мне казался манной небесной. А потом оказалось "то нельзя, это не работает, здесь не нажимай". То есть сначала я в них верил, и в то, что все циферки с их сайта - правда (а так же в то, что можно делать lacp), а потом латыши вернули меня в суровую реальность их роутеров. >Впрочем я думаю можешь и просто 3011 взять Опять без LACP, нахуй не нужен. >тебе действительно не хватало пропускной способности Мне хватает, лол. Я просто урезал тариф до 75 мег и сижу н похуе. >давно бы уже сменил все это дело В процессе. >Внезапно нет. Внезапно да. 3011 - $180
убик er-x - 3-4к убик erlite - 8-9k ВПЫ-1210-10 - 5-6k DGS-1510-20 - 11k , но тут еще два порта 10G, например
То есть дешевле микротика можно получить либо сетап с существенно более производительным роутером и коммутатором, который может нормально коммутировать, либо с существенно "более-лучшим" свитчом и роутером не хуже.
>>1839809 Забыл сказать, что меняю микротик не по причине нехватки полосы. А то сейчас начнете говорить, что переобуваюсь постоянно тип "то похуй то меняешь"
>>1839885 >Тогда убик-х и 1210 >1510, и какой-нибудь убик лайт Не говоря уже про хекс, который стоит те же 50 баксов. И не забыть пожелать удачи на софтовом иксе, бгг >>1839885 Да вот прямо выше.
>>1839904 > на софтовом иксе С таким же двухъядерным мипсом, как и в микроте. Сорта говна, конечно, но ставлю очко опа, что убик будет работать стабильнее и пердсказуемее, чем микрот.
>Да вот прямо выше Где? с цитатами плез, тех мест, в которых я менял свою точку зрения.
>>1839939 >Ты, главное, верь. Это слишком скользкий вопрос, конечно. Но такие железки стоят на офисном вайфае на 200 рыл годами и есть не просят. И у одного знакомого дома, и у него не было баттхерта про то, как что-то не работает как заявлялось. >Я даже цитаты привел Ты, видимо, как-то интересно толкуешь смысл переобувания в контексте изменения мнения.
"сижу на похуе, что полосу не тянет" / "меняю на что-то другое" можно было бы счесть сменой мнения (если бы не было объяснения).
А ты привел цитаты, где после того, как ты привел слtгка заниженную стоимость 3011 я все равно предложил вариант дешевле, оставшись при своем мнении, что по такой цене единственный профит мокротыка в данном сценарии - компактность. В свете же последних изысканий оказывается, что можно купить за 6.5 убик с оффлоадом и за 5.5 коммутатор в котором все работает. Итого на косарь дороже микротика, с которым нужно пердолиться, чтобы прокинуть влан с одной стороны в другую, с роутингом в разы быстрее.
>>1839977 Поясню. Джуниперов мне хватает на работе. И в продакшене жирных и красивых, и в лабах на поиграться. Дома мне нужно чтобы работало все, что мне нужно, чтобы недорого, и чтобы была производительность. По совокупности этих параметров эсорыкс с ебая вполне может проиграть убику. Вопрос с надежностью не такой очевидный, но в аналогичных кейсах люди на убики не жалуются.
>>1839998 >По совокупности этих параметров эсорыкс с ебая вполне может проиграть убику. Разве что в производительности в качестве впнсервера с ipsecи то если юбик не нагружен. Ну если ты про 210 например. Тебе скорее просто хочется поиграться не сильно проиграв с функциональностью\быстродействием.в конце концов, чего гореть-то, 6к не такие большие деньги, купил, поигрался, выбрал что лучше да слил не нужное
Ну если можно за 6 получить тот же результат, что и за 13, то почему бы и не пригореть? К тому-же 210-й заявляется на 100 kpps фаерволинга, а убик - на 1000. Сферические 100 мегабит должен взять и тот и другой, но осадочек-то останется.
>>1840049 >поиграться Не, ну его нахуй. Я уже бородат и наигрался вдоволь. А когда таки-хочется поиграться, у меня есть лаба, и есть продакшен, лол. А дома играться нехуй, дома жена с планшетом, дочка с мультиками, и когда домой приходишь, то все эти железки, роутинги-хуйутинги уже так успевают остоебенить на работе, что хочется совсем другого (у меня даже толком нет времени/желания вылизать все нормально, моя сеть не прошла бы мой аудит совсем).
>слил не нужное Что-то мне подсказывает, что если я решу слить srx на авите, я устану ждать покупашку.
>>1840128 >К тому-же 210-й заявляется на 100 kpps фаерволинга, а убик - на 1000 1. Это таки сферическая заявка, которой верить - ну такое, тем более у юбиков, пиздеть они хорошо умеют. 2. В конце концов куда тебе 100к пакетов дома без гигабита? >что и за 13, то почему бы и не пригореть? Не думаю, что составит большого труда слить его в рашке без особых потерь, если уж слишком сфинктер зудить будет. >>1840138 >роутинги-хуйутинги уже так успевают остоебенить на работе, что хочется совсем другого Ну так нормально работать без каких-либо хитровыебанных наворотов, в качестве домашнего роутера, будет и то и то, чего парится вообще. >у меня даже толком нет времени/желания вылизать все нормально, моя сеть не прошла бы мой аудит совсем Сапожник без сапог, лол, нормальная ситуация, когда в какой-то сфере проработаешь определенное время. >Что-то мне подсказывает, что если я решу слить srx на авите, я устану ждать покупашку. Ну авита, спецфорумы, нагобиржа.
>>1834134 Собираюсь на днях его брать на тест, задача: тор-свитч, только л2, 10-шные аплинки, вниз спустить в лацпе пару линков. Ходили слухи, что умирают порты если дергать модули, помогает только ребут. Актуально на последнем софте? Так же, какие непредвиденные ситуации были с ним? Отваливался ли лацп? И возможно, самый важный вопрос, оно умеет по снмп отдавать трафик с l2 vlan?
>>1840475 >аноны, как пролезть снаружи на МТС-овский серый айпи? >никак >ололо проброспортов дюнднс >нет доступа к провайдерскому оборудованию >РАУТЕР, белый айпи Так ты определись, ты порты за серый адрес пробрасываешь, или таки другую услугу у опсоса покупаешь?
Короче прочитав дискуссию, я понял, что если тебе нужно подключать больше четырех хвостов, то альтернативой микротику за 4 тыщщи (который не тянет), является микротик за 11 (который, возможно, потянет). Дух сааба среди нас, мейланы. Или вообще УБНТ с отдельным коммутатором, отдельным вайфаем, отдельным небом и отдельным аллахом.
Анон, поясни ньюфажке, в каком случае нужно делать "прямой" или "кросс" обжим витой пары? И да я понял, лучше всегда брать кабель на 4 пары, а не на 2?
>>1840911 Во всех случаях делать прямой обжим. 2017 год на дворе. >И да я понял, лучше всегда брать кабель на 4 пары, а не на 2? Нужен гигабит - бери четыре. Нужна сотка - бери две.
>>1840968 >Во всех случаях делать прямой обжим Просто, опросил разных людей, каждый говорит свое. Нет, делай только кросс, похуй. Нет, делай прямой, современные сетевухи сами все умеют. В итоге, можно сделать прямой обжим для всех целей? От роутера к свитчу допустим, ну или от свитча к ПК?
>>1840989 >Нет, делай прямой, современные сетевухи сами все умеют. Именно так. >В итоге, можно сделать прямой обжим для всех целей? От роутера к свитчу допустим, ну или от свитча к ПК? Да.
>>1840989 Делай прямой, а при проблемах с соединением пробуй обжим. На моей практике кросс из более-менее нового железа требовала как-то раз какая то роутеряка циско(и то, 99% цискороутеров хавают прямой только так). Все остальное железо - никаких проблем.
>>1840989 >Нет, делай только кросс, похуй. современные сетевухи сами все умеют/ Делай только прямой, сетевухи и хаб то умеют, а если что то другое подключить например телефон цифровой? 4 жилы. да брать только 4 пары на гигабит сразу. Псевдо экономия тебе боком потом вылезет.
>>1840527 >умирают порты если дергать модули Не было такого, но мы модули из него дергаем чуть чаще чем никогда. >Так же, какие непредвиденные ситуации были с ним? На старой прошивке 4.x.x.x была гребаная куча чудес. Самая веселая когда пропала половина вланов с части интерфесов после ребута. С прошивкой 5.1.6.3 всё хорошо. > по снмп отдавать трафик с l2 vlan? По стандартным OID`ам - нет. >Отваливался ли лацп? Не юзаем, 10Gb/sec тут выше крыши. Только бекапы их выжрать на оoутимый процент могут.
>>1839977 >>1840049 Вскрываются новые подробности: SRX210HE и EdgeRouterLite работают на одном и том же SoC, лул. Только джунипер заявляет с него 100kpps, а убики - 1000.
>>1843326 >Только джунипер заявляет с него 100kpps, а убики - 1000. >заявка, которой верить - ну такое, тем более у юбиков, пиздеть они хорошо умеют >>1843261 Покажи хоть что пишет при попытке поставить ap bridge
>>1843379 >пиздеть они хорошо умеют Ну люди-то реально больше гигабита прокачивают на нем. А джуны заявляют 850 мег на больших пакетах. И VPN-а джуниперы обещают 85mbit, хотя был отчет у типа про 150 мегабит ipsec с x86-мокротыка на ERL. В эсорыксе, кстати, есть вентилятор и октеон работает на 600МГц, а в убике 500.
А еще меня пиздец бомбануло... на ебае проскочил лот 210he2-poe за 8, блядь, с половиной, тысяч. SSSSSOOOOOUUUUUUQQQQQQUUUAAAA!
>>1843393 Да не должно быть такой хуйни, мосты на sxt не через святой дух же работают, может быть такая штука, что нужно через сосноль вкючать или винбокскак и с выбором нестандартной частоты, а через вебморду нахуй посылает. на sxt5 такой же уровень и все окай, правда прошивка давно не обновлялась, может в новых чего начудили. >>1843408 >SSSSSOOOOOUUUUUUQQQQQQUUUAAAA Ну чо ты епт, далеко не факт, что он в хорошем состоянии. >джуниперы обещают Это заявка средняя по больнице, а не максимальная, как я думаю, все таки фирмы несколько разного уровня. Там где юбики могут себе позволить написать про сферическую производительность в вакууме - жуники не могут. И ориентироваться на это не стоит, только по чужому или своему опыту.
>>1843429 >Да не должно быть такой хуйни, Ты не понял. Там есть уровни лицензии, за деньги купленные. В младшей лицензии кастрированный функционал. Хочешь весь - неси шекели. >в хорошем состоянии Там три штуки было, фотки приличные. Ушли за несколько часов (аналогичные лоты по 14-20к). >ориентироваться на это не стоит, только по чужому или своему опыту Короч я в итоге оба куплю и посмотрю что к чему. Второй найду куда притулить (хотя хз, еще ж микрошляпу нужно будет куда-то засунуть).
>>1843457 Яб может и занес шекелей этим приебалтам, но за 4 левел хотят 2к, а это уже жлобство как по мне. Так что вариантов нет? А то вон на торентах образа валятся с 4 левлом, правда на хуй 86.
>>1843462 > sxt 5 SXT 5 или SXT Lite5? Фичесет вполне может отличаться на разных железках, не? Они же жадные евреи^W латыши, могут что угодно придумать. >>1843463 Попробуй скачать старую прошивку, а то вон у анона работало когда-то. Варианта два: Либо в раннх прошивках это было можно, а потом стало нельзя - тогда сможешь наебать латышей. Либо в Lite другой фича-сет, тогда наебать не получится.
>>1835965 >Но сейчас такого нет у приличных провайдеров. У пионернетов - да, может и на 5 мегабитах затываться гирлянда микротиков, у провайдеров такого давно нет. Хватит факты переворачивать. У одного провайдера из тысяч есть гирлянда из микротиков. У остальных нет гирлянд из микротиков, но оборудование не пиздец роскошное. Что касается пионернэтов, ты это слово забудь. Пионернэты кончились, когда ты ещё пешком под стол ходил. И вообще в реальном мире у некоторых говноедов до сих пор дома по сотке, блядь, запускаются. А ты мне загоняешь что 10Г на дом это чуть не бэст практикс. >Если у меня там 100+ абонов, то буду. Хорошо, спрошу по другому . Вот есть у тебя говнопровайдерская говносетка и тарифы там в ней какие-то ну скажем от 5 до 80Мб/с. А вопрос таков: сколько хомячков потребуется что бы нагенерить 1Гиг трафика в провайдерской сетке? Мне точно считать не надо, ты просто порядок назови. >Билайн так делает, эртелеком так делает Ничего против не имею. Только из этого нихуя не следует и самое главное, не делает идею "10Гиг на дом" чем то хорошим. >Не поверишь, но свитчами, блядь, аггрегации. Теми, которые на 24/32/48 sfp+ Ты мне цену на них озвучь и цену всего того, что потребуется ещё к ней купить, что бы эту убервафлю не требовалось заново покупать раз в неделю. >Сферический идеальный случай в вакууме? >Читал я эту телегу еще хер знает когда Если читал, зачем ты спрашиваешь о методике тестирования? >когда планировали на этой мыльнице вайфай в офисе делать Не неси хуйню. Вся сраная серия EdgeRouter'ов, о которой я тебе тут затираю, не имеет в своем составе ни одного устройства с вайфаями на борту, от слова вообще. >Как только ты навесьшь 10 правил, 5 натов и 3 очереди А теперь распиши мне какие такие 10 правил, 5 натов и 3 очереди тебе неприменно нужны на домашнем роутере, только без проброса портов в страну эльфов и впнов в лес единорогов, пожалуйста. >МУЛЬЁН внезапно превратится в 100k? Или во сколько? А хуй его знает, я лично не считал, потому что у меня озвученной хуйни в настойках отродясь не было. И что тебя удивляет в том, что производительность оборудования деградирует в зависимости от каких то там факторов? >connection tracking features were disabled >Охуительный stateless фаервол, защитит тебя от дудоса, анон, инфа 100%. Опять ты начинаешь, шакал ебаный? Во-первых, я думаю, что эти connection tracking features совсем не то, о чем ты думаешь. Специально для тебя я эту хуету заскринил, она действительно грузит процессор, щито поделать. Во-вторых, защититься от школоддосов ты сможешь даже сраным Л3 свичем, а вот поиметь 100500% защиты от любой возможной атаки ты не сможешь ну вообще никак, так что твой пассаж совсем не к месту. >CCNP JNSIS-SP О чем это нам говорит? Правильный ответ, только о том, что ты шмог наскрести денег на сдачу заветного экзамена. Долго копил? >Переливает линк от агрегации в сторону абонентского свитча. Пере-чего? Это какой то новый технический термен наверно, я такой хуйни не знаю, лол. Но если я тебя понял, то ты затираешь про то, что нисходящий канал можно забить трафиком из восходящего, а вот наоборот нихуя, потому что у них пропускная способность разная. >Так как у людей обычно чем ближе к абоненту, тем Уже линк, то переливаться они начинают именно в том порядке, в котором я их приводил. Поздравляю, ты не понимаешь как работают сети провайдеров связи. Ты описал механизм возникновения перегрузки сети MAN или ещё какого эльфийского энтерпрайза. В сети ИСП оно немного по другому работает, но этого более чем достаточно, что бы сделать твой аргумент инвалидом. >схема одна на всех: оператор ЗЦ, саппорт, инженер Ошибаешься - среднее звено "саппортов" присутствует только у крупных провайдеров. >при чем тут МГТС? У них как-то по-другому? С логикой не дружишь? Значит смотри. Большой, блядь, огромный провайдер - дохуя линий ТП. Маленький, блядь, меньше-чем-весь-город провайдер в-несколько-тысяч-хомяков - 1 ну максимум 2 линии ТП. Теперь смотри- МГТС - эта большой провайдер. Твоя моя панимать? Ну вот и молодец. >и ты себе не представляешь насколько подавляющее большинство дудосов длится считанные минуты (и повторяется раз в полчаса, например, и длится это от пары часов до пары дней) Мы говорим о разных ддосах? Потому что по моему определнию сервис недоступен пока идет ддос, нет ддоса, есть сервис. А если сервиса нет "считанные" минуты, нахуя делать атаку, цель которой парализовать работу нуля целых одной хуйтысячной процента пользователей ресурса, а? >Если ты не понимаешь как работает QoS Если ты помнишь, я просил рассказать, как выключение абоненту интернета или маркировка его трафика поможет провайдеру, а не описывать мне механизм работы QoS. Ты сам себе вопрос задал, сам на него ответил, по итогу я оказался некомпетентен. Лол же. >потому что ситуацию с реальностью я описал Ну да, только это оказалась паралельная реальность. >в твоем диванном мире золотые ISP бесплатно забарывают дудосы для всех и каждого Цена таких забарываний включена в стоимость инторнета, если что, а забарывают они всё это говно потому что если они этой сеткой деньги себе на жрат зарабатывают. Не будут забарывать, хомяки от них сбегать начнут стадами и жрат резко кончится.
>Я в том посте говорил что это дает. Разделение задач по серверам. Для разделения задач по серверам нужно купить много серверов, виртуализация не купит за тебя железо. >Если какая-нибудь макака уронит убунту с приложением, то хоть роутер останется живой. Ну если гипервизор сам себя обслуживает, настраивает, регенерирует сгоревшее железо если необходимо и деплоит виртуалки, то ты пожалуй прав. >И вообще тема виртуализации, и того что она дает - она за бортом данной дискуссии, как я и говорил ранее. Хорошо-хорошо, я понял, что ты тут запросто можешь сесть в лужу, действительно, давай обойдем эту лужу стороной. >Почему тогда они страшные, почему с ними ебля? Страшные потому что само решение некрасивое. Что касается ебли, то воткнуть два патчкорда, настроить роутер будет сильно быстрее чем - воткнуть один патчкорд, задеплоить две виртуалки, создать пару виртаульных свичей, настроить пачку виртальных адаптеров, проверить как всё это серьезное говно работает.
>пытаешься спорить про сети и дудосы с сертифицированным сетевиком, который работает как раз с дудосом >Я прекрасно понимаю специфику, и я уверен на 99.999%, что понимаю ее лучше тебя, так как я в этой сфере работаю. >Смысла обсуждать тонкие материи кагбэ нет. >CCNP JNSIS-SP (через месяц досдаюсь на JNSIP-SP) Если ты такой умный, почему не в состоянии объяснить мне такому тупому, такие элементарные вещи? Если ты аж дважды CCNP то почему ты не понимаешь как устроена ISP-сетка и как по ней бегает трафик? Это не за BGP затирать, это блядь сраный L2 и общая архитектура сети, это обычный, самый обычный уровень CCNA. Ты предлагаешь виртуализацию под задачу, в которой она нахер не упала даже в наркотическом угаре. >напоролся на бородатого дядьку, который знает сильно больше тебя. Дядь, ты из треда уже вытекаешь.
>>1843952 Вклинюсь в ваш спор >А ты мне загоняешь что 10Г на дом это чуть не бэст практикс. А что тебя не устраивает? Минимальная цена запуска на доме ~22ки то по рознице и порт со стороны агрегации от 15к обойдется. На крупных домах отобъеться за очень быстро + еще и загирляндить можно будет не боясь, что канал забьетсяи цена еще меньше будет >не делает идею "10Гиг на дом" чем то хорошим. А что делает это плохим? >Ты мне цену на них озвучь Выше озвучено в пересчете на порт, чтобы ты не потерял сознание. >Пере-чего? В шишку его грузит, очевидно же. >Но если я тебя понял Нет, ты его не понял. >Поздравляю, ты не понимаешь как работают сети провайдеров связи. Все он правильно написал. На доступе при дудосе могут быть проблемы, если линк до него узкий как попа рузкий. >Цена таких забарываний включена в стоимость инторнета, И кто тут не понимает как устроен isp? Ты для начала посчитай сколько будет стоить железка и софт, чтобы фильтровать весь трафик и дропать паразитный. 10g на этом фоне - копейки.
>>1844184 Вот и спрашиваю, что можно сделать. Кстати у меня дома 750g стоит,а на нем как раз таки 4 была, можно лицензию перенести же с одного тика на другой?
>>1843952 >У одного провайдера из тысяч есть гирлянда из микротиков Зато у каждого второго пионернета - ццр или х86 в качестве нетвокрк-ин-э-бокс >Пионернэты кончились, когда ты ещё пешком под стол ходил Для начала ты не в курсе сколько мне лет, а потому оставь такие инсинуации для своей мамки, окда. Ну а для продолжения, те пионернеты, которые породили это слово хоть и кончились, но определение ушло в тираж. И теперь наравне с копирами, которые называют ксероксами, есть и говносети вонаби-провайдеров, за которыми плотно обосновалось определение пионернет (не от "первый", а от "молодой неопытный школяр"). >у некоторых говноедов до сих пор дома по сотке, блядь, запускаются Ты мне про говноедов, а я тебе про провайдеров. У провайдеров 10g и роутеры - бест практис. А какие там сотки у говноедов вместе с квагами и микротиками - мне не интересно. >говнопровайдерская говносетка Ты заебал, друх. В реалиях говнопровайдеров я с тобой спорить не собираюсь. Вот у них и могут быть твои мифические дропы при 16 мегабитах, подключенные соткой дома, и прочие приключения пионеров. Только это никак не связано с нормальными провайдерами, в контексте обсуждения которых и зародилось твое копротивление. >не делает идею "10Гиг на дом" чем то хорошим. Ну разумеется. Идея "гиг на дом" - она ведь со всех сторон лучше, да? В 10G минус только один - цена. Но она уже упала до приемлемого для операторов уровня. При котором они могут предлагать более жирные тарифы и экономить на кабельном хозяйстве при такой же переподписке. >цену на них озвучь Тебе GPL или ебай/терабит? Если второе, то в пределах десятки за 48 портов. > что бы эту убервафлю не требовалось заново покупать раз в неделю. Это что за проекции такие? У микротиков все так плохо? > EdgeRouter'ов, о которой я тебе тут затираю, не имеет в своем составе ни одного устройства с вайфаями на борту, от слова вообще. Поясняю для людей с поврежденным логическим мышлением: ерл - гейтом, юнифай ап - по зданию. Посоны еще хотели его сделать контроллером для точек, но что-то как-то перепутали. К нам обращались за экспертизой по части роутинга. > мне какие такие 10 правил, 5 натов и 3 очереди тебе неприменно нужны на домашнем роутере Чем проброс портов не угодил? Есть в каждой сохо-мыльнице, следовательно ОСНЕ популярно в домашнем сегменте. Я бы мог тебе что-то там расписывать, если бы ты не отрицал очевидное. Если это железка для энтузиаста, то у него дома будет вонаби-сервачок, на котором будет ssh, http, https, что-то еще. Вот тебе правила и пробросы. Будут разные вайфаи, отгороженные правилами. Очереди будут под всякие торренты, ssh и дотку-танчики. >у меня озвученной хуйни в настойках отродясь не было "Не видел, а значит не было нихуя такого и вообще такого нисущиствует. Святые хуи из преисподней, с кем я, блядь, на одной борде сижу." (с) Мне не надо, значит никому не надо? >что тебя удивляет в том, что производительность оборудования деградирует Ничего не удивляет. Просто фаги разбрасываются статой, которой в реальном мире никто не видит. Алсоу, у правильного оборудования ничего не деградирует. >connection tracking features совсем не то, о чем ты думаешь Cjnnection tracking - это, ВНЕЗАПНО, connection tracking. Это режим айпитейблса, при котором он ведет таблицу состояний соединений, усос. >защититься от школоддосов ты сможешь даже сраным Л3 свичем Ты опять начинашь, шакал ебучий? Привожу тебе два варианта школоддоса: 1. Прилетает udp-амплификация, переливает аплинк. 2. С лоиков прилетает N http запросов в секунду. N достаточно для того, чтоб сервер загнулся. Как тебя от них спасет L3 коммутатор? >100500% защиты от любой возможной атаки Это как раз ты утверждал, что мыльницами можно от дудосов защищаться. Моя же позиция все там же: от дудосов защищаются антидудос-провайдерами, а не коммутаторами или микротиками с убнтами. > только о том Лоллировал. Это говорит еще и о том, что у меня есть знания и практика соответствующего уровня. >Долго копил? Зачем копить? Экзамены по 100-300 долларов и не все сразу. >нисходящий канал можно забить трафиком из восходящего Ты ебанутый что-ли? Просто на агрегацию приходит N-гигабит трафика в сторону абонента, которые не могут поместиться в интерфейс, который смотрит в сторону этого абонента. >у них пропускная способность разная Чтоблядь? Несимметричный эзернет? >ты не понимаешь как работают сети провайдеров связи Я их проектировал, строил, обслуживал, траблшутил, но не понимаю. Зато ты, я посмотрю, охуенно понимаешь. У ИСП с твоего дивана на ширина канала на бордере меньше, чем аплинк абонентского свитча, что ли? >присутствует только у крупных провайдеров ЯСКОЗАЛ? брат-сват-шурин-коллега работал в небольшом операторе и у них было так, так что не "только". К этому приходят все, у кого не десяток абонентов. Особенно, когда говносети и абоны постоянно звонят. >в-несколько-тысяч-хомяков >1 ну максимум 2 линии ТП Ахуеть. Особенно с одной линией. Это ты, конечно, молодец. Даже в пионернетах на 30 избушек обычно 2 линии ТП (тот, кто это все замутил и скачет по столбам, и тот , кто вращает вонаби-сеть). 1 линия на пару тысч абонентов приведет к тому, что этот бедный инженер нахуй сбежит от тебя за месяц. >по моему определнию сервис недоступен пока идет ддос Сервисы бывают разные. Вот смотри, есть, например, у тебя загон для ммо-уёбков. Они такие все играются, и тут ХУЯК забили полосу, 90% выкинуло нахуй. Они такие переподключаются, а через пять минут их опять выкидывает. Это доступный сервис или нет? >как выключение абоненту интернета или маркировка его трафика поможет провайдеру Летит к абоненту трафик, который нормально проходит бордер, нормально проходит NAT(если есть), нормально уходит в агрегацию, а потом переливает(забивает полосу, кладет в полку, называй как нравится) какую-нибудь перемычку, из-за чего проблемы у всех абонов и сервисов, которые через эту перемычку ходят. Ставим низший класс говнотрафику = он не мешает пройти другому трафику = проблемы нет. Дропаем говнотрафик = проблемы нет. >только это оказалась паралельная реальность Это реальность ISP. У тебя, похоже, только про "говнопровайдерские говносетки" знания, зато обширные очевидно. >Цена таких забарываний включена в стоимость инторнета Ты ебанутый? Приведи примеры, плез, таких ISP. Ни одного не встречал. Хотя вот РТ может отдельной услугой подключить тебя на свой арбор (не уверен на счет физиков, правда) и цена канала внезапно взлетает в разы. И повторю еще раз, если бы ISP делали то, что ты им приписываешь - не было бы этих миллионов баттхертов стримеров-киберкотлет-хостеров-магазинов-игроводов, которых успешно дудосят, пока они не уходят к защитникам от дудосов. >сбегать начнут стадами Дело в том, что абонентов ШПД дудосят редко. Потому и ИСП на эту проблему похуй. И даже если три с половиной мамкиных летсплейщика съебут к другому ИСП, это ничего ни для кого не поменяет. А если на одного абона будет лететь так, чтоб доставляло неприятности, то его пидорнут без разговоров. >почему не в состоянии объяснить мне такому тупом Я объясняю, но ты что-то отторгаешь. Ведь пояснения идут вразрез с твоим мирком. >не понимаешь как устроена ISP-сетка и как по ней бегает трафик? Тогда ты поясни как она устроена и как по ней бегает трафик в твоей версии вселенной.
>>1843952 Ну и "обсуждение" виртуализации можно вынести в отдельный псто, раз уж ты таки-захотел этого ИТТ.
>разделения задач по серверам нужно купить много серверов, виртуализация не купит за тебя железо Я имел в виду guest сервер. Аппликуха на одном госте, роутер на другом, и т.д. >Ну если гипервизор сам себя обслуживает, настраивает, регенерирует сгоревшее железо если необходимо и деплоит виртуалки, то ты пожалуй прав. ЯННП. Сценарий: у тебя гипервизор с двумя вм, на одной x86-микротик, лол, на второй убунта, которую ковыряет даун. Даун кладет убунту. Роутер живой. При чем тут обслуживание гипервизора, автодеплои и реинкарнация железа, клован? >ты тут запросто можешь сесть в лужу Не так-то просто меня посадить в лужу и в этом направлении. Я не хотел это обсуждать, потому что тред про сети, а не про виртуализацию. >Страшные потому что само решение некрасивое Вкусовщина. Если у тебя уже есть гипервизор, то ты забесплатно получаешь роутинг с условно неограниченными функционалом и производительностью. Если это некрасиво с твоей точки зрения, то хуй знает. >задеплоить две виртуалки Одну же >создать пару виртаульных свичей Джва-три клика >настроить пачку виртальных адаптеров "Настроить" - это что имеется в виду? Выбрать из дроп-дауна сеть в которую его надо подключить? Охуеть задача. >проверить как всё это серьезное говно работает Проверять надо только при использовании ВМ? Как процедура проверки отличается от варианта с железным роутером?
>>1844396 Кинетик стоит всего на 500-1000 рублей дороже. >>1840483 Денех-то сколько? Деньги есть - возьми у yola12 решение уличное, там же возьмешь хороший тариф от меги.sxt lte в конце концов
>>1844418 >возьми у yola12 решение уличное, чёт не нашёл, >Кинетик стоит всего на 500-1000 рублей дороже Всем устраивает, но смущает отсутствие 3г В здании на телефоне LTE нет. С МИМО антеннами на улицу, о надо монолит сверлить.
>>1844522 >SXT LTE Дверь пробъет, нахуй. Проблемы могут быть в 2х случаях: 1. Недостаточно стабилен 4g провайдерский, а 3g в нем нет. Но для ДС это наверное не актуально. 2. Если поставишь его под открытым небом без зажиты. Они все таки не настолько уличные чтобы весну и осень пережить гарантированно.
>>1844538 >rb2011 Опять начинается? В такой задаче 2011 - долбоебизм, хотя бы потому, что у того же мокротыка есть железки более подходящие и более дешевые.
>>1844529 Роутер очень такое себе, но пойдет, если не нужен l2tp и сильно больше сотки во внешку. Но опять же максимум простая настройка и все такое. Если не перудмаешь его брать, могу продать бэу, этот кусок говна валяется без дела. Если хочешь таки вариант получше и готов вникнуть в настройки незнакомые тебе, то возьми hex третьей ревизии за 4к модель RB750Gr3, 2011 тут нахуй не упал. >>1844522 Все зависит от бюждета, лучше бы йолу взял, там хоть 3г есть. При желании можно с разработчиком попиздеть, если хочешь. >>1844725 Не будет он виснуть от 20 пека, если не перегрузить его фаерволлом.
>>1844736 Ануида, можно взять CRS125-24G как решение все в одном, но начальная настройка не совсем тривиальна. >>1844746 Ммммаксимум просто - твой туполинк. Ммммаксимум надежно - RB750Gr3.
>>1844533 >а 3g в нем нет, опасно да. >Но для ДС это наверное не актуально. За мкадное ДС: Офис 25эт. Мы на 14ом. На улице ЛТЕ очень стабильный 20мбит. В офисе только 3г. на балконе ЛТЕ 2 деления ~9мбит Антенну думаем на балконе ставить. ~зашита не очень нужна.
>>1844751 >CRS125-24G Ты эту серию для коммутации использовать пробовал? Ну когда там реально хотя бы 40-50 хостов с большим трафиком? Тот же 2011 в качестве коммутатора юзать не самая умная идея к примеру, интересно как у этих.
Есть тут кто из провайдеров? Собираюсь сделать себе слегка анонимный канал лол для выхода на опасные сайты и фапа на трапов, суть в том чтобы провайдер все логи посещений записывал не на меня а на другого человека. Суть в следующем: Поднимаю впн сервер на чужом роутере и по внутренней локалке коннекчусь к нему как к провайдеру. Внутри сети логи не ведутся, да и трафик зашифрован. Понятно если майор займется этим, он спокойно на меня выйдет, но суть не в прятках от майора а в сливании с толпой. Приемущества - бесплатность, нулевой пинг, высокая скорость. Что скажете кроме как "легче купить впн"
>>1844828 Твое местоположение все равно можно будет отслидеть до провайдера, это уже очень жирный миунус твоей схеме. Так что да, VPN на хосте вне россии выглядит умнее. вообще тор для этой хуйни есть
>>1844818 >Ты эту серию для коммутации использовать пробовал? Нет, так и не взяли. >Тот же 2011 в качестве коммутатора юзать не самая умная идея к примеру, интересно как у этих. Ну не стоит сравнивать, глянь wirespeed на всех портах, только если какой-то порт из свитча молотить через цпу, то ограничение в гигабит, т.е фактически это будет порт только во внешку, остальные в это ограничение не упрутся. >>1844828 >Внутри сети логи не ведутся Наивный.
>>1844838 >>Внутри сети логи не ведутся Думаешь кто-то по доброй воле соберать и хранить netflow мусор с локальных интерфэйсов? Верится с трудом в это.
>>1844854 В писю они свистеть будут со своими просьбама. из личного опыта, сирьюсли А на сорм вообще ценники такие, что туда хоть один лишний интерфэйс завернуть стоить будет ПРОСТО ЕБАНЫЙ ПИЗДЕЦ
>>1844858 >В писю они свистеть будут со своими просьбама. Что-то мне не показалось, что они особо хотят в писю свистеть. Относится лояльно - могут, нормальные мужики работают, например подпишешь план без локалки и еще какой хуйни пока, а ее - НУ КОГДА НИБУДЬ ПОТОМ, вот только потребовать могут в любой момент и хуй ты чо сделаешь. >из личного опыта, Ну пункты из плана в студию, что выполнено, что нет, что не в полном объеме. >А на сорм вообще ценники такие Я знаю, но план сорм полностью не выполняется, если нет и локального трафика, как минимум свежие уже с использованием третьей сормушки.
>>1844777 >Он будет виснуть даже если будет просто включенным Пук. У меня дома стоит тплинк. 3ПК+7 девайсов по wi-fi. Роутеру уже 4 года, никаких проблем.
>>1844881 >Ну пункты из плана в студию, что выполнено, что нет, что не в полном объеме. А найдите нам хаккера (это чаще всего) А мы хотим интернет бестплатно А вот мне нужно пароль от вконтакте вашего абонента. И так далее, наиболее дебильные запросы которые ты сможешь придумать, это именно то что они спрашивают. Нет бумажки по которой им это нельзя не отдать - нахуй.
>>1844890 >Они очень много чего хотят, в основном чтобы кто-то вместо них работал Ты с мвд не путай. Фсб нихуя от тебя не надо, доступ к нетфлоу, трафик на сорм и отъебались от тебя. >Нахуй шлются вежливо и всё. А потом ркн ласково теребит твою лицензию.
>>1844876 >Как и нахуя Если бы знал как, то очевидно получал бы другую зарплату. А собирают с целью сбора инфы. Биг дата, нейросети, вот это все. Собственно это логичный шаг и наработки еще Сноуден видел.
>>1844881 > если нет и локального трафика, как минимум свежие уже с использованием третьей сормушки. Вы туда все порты всех L3 зеркалируете? Ебнулись совсем? как ты вообще себе это представляешь?
>>1844913 >Вы туда все порты всех L3 зеркалируете? Локалка бегает через ядро, прямого доступа по л2 минуя ядро нет, посему тупо с браса зеркалируется трафик и все. >Ебнулись совсем? Нет. В плане пункт есть - есть. А дальше ебись как хочешь. >>1844922 >до ната естественно Когда? Десять лет назад? Теперь при наличии ната еще больше ебли.
>>1844908 Ебушка, я про то как ты перехватишь трафик между Дмумя домами в заштатном городе зажопенске-соловьином, между двумя соседними домами, пользователи в котором сидят в одном влане и на одном провайдере. Трафик курсирует по линии длинной метров 150, и дальше 2х L2 свичей не ходит. Хотя кого я спрашиваю, лол
Анон, поясни долбоебу. Вот пример, RB2011UIAS-2HND-IN. Обычно, я привык, что есть отдельный порт с пометкой WAN, куда и подключают интернет. Тут можно в любой порт воткнуть интернет?
>>1844936 Давай так, ржали ДО Сноудена над параноиками и тех кто говорил про закладки? Да. С тех пор прошло пять лет. Сноуден далеко не всю тему вскрыл. Если ты отрицаешь что там был прогресс, или остались непропаленные закладки то действительно, можешь мне не отвечать. Но корчить из себя уверенного гуру который сам калил процессор и писал микрокод я бы не стал.
>>1844935 >Локалка бегает через ядро, прямого доступа по л2 минуя ядро нет, посему тупо с браса зеркалируется трафик и все. Весело блять. И это организовали так исключительно для этой цели? А трафик в одном vlan`е? И да, этих уже хуями не накормишь так просто как ментов.
>>1844986 Это такой оборот распространенный, для красоты. Но я понимаю что ты особенный, теперь буду такое озвучивать прямо что бы ты меня понимал верно.
>>1844968 >ржали ДО Сноудена над параноиками и тех кто говорил про закладки? Да. К сожалению, продолжают ржать и выставлять психами. Только риторика сменилась на честному-человеку-нечего-скрывать.
>>1844979 >А трафик в одном vlan`е Нет конечно, на сорм можешь лить любые вланы, ему похуй. >И это организовали так исключительно для этой цели? Ну у нас и так один хуй туннелирование и статика белая, между собой по внешним адресам один хуй через ядро бегает. Так что тупо порезали возможность общаться через локальные адреса, оставили только в нужных местах и для оборудования, изолировав, чтобы бегало через ядро. >>1845012 Потому что ему поебать Он может принимать питание по через этот порт.
>>1845021 Ой блять, почитал про микротик, мол там сильно сложно, нужно шарить в системе, которая там стоит. А я же полный овощ в сетях. Или сложность преувеличили, и настроить без проблем и ебли в консольке?
Не сритесь речь ведь идет о стандартных инструментах мониторинга и логирования у провайдера. Сайты предпочтения и все это на фамилию абонента записывается. Сорм не трогаем, это уже майор по желанию что захочет сделает, хоть зонд в анус пропихнет
>>1845024 Ну если я тебя правильно понял, то ты мне льстишь, если бы я у них план сорм подписывал, то я бы тут со всякими плебеями не сиделбгггг >>1845027 Преувеличили. По мануалам или через страницу быстрой настройки настроишь 90% нужного.
>>1845193 Что за АТС? В некоторые можно поставить VoIP модули, на другой стороне натыкаешь IP телефоны прост, в модуле на АТС пропишешь маршрутизацию и все дела. Ну либо VoIP шлюз с FXO портами, подключишь их к аналоговым интерфейсам АТС
>>1845092 Еще один. Вот когда на практике с этим всем столкнешься, вот тогда и посмотрим, будешь ли так же восторженно будешь про это все говорить. И забей на 2011. Если уж хочешь мокроебли - бери макет посвежее.
>>1845265 в FXO включаешь аналоговую телефонную линию со стороны АТС, если поставишь на другой стороне второй шлюз с FXS портами, можешь использовать их для подключения аналоговых телефонов абонентов.
>>1845270 Дохловат он для серьёзных применений. Пробовал поднимать openVPN между сим микрутиком и одним сервачком с корпоративной порнушкой. Максимум вытянул 6Мбит/сек при постоянной загрузке проца на 100%
>>1845303 Ток нужно сразу озаботиться вопросами безопасности, отдельный влан, никаких левых девайсов туда не подрубай больше, чтобы никакой мимохуй не мог к нему подрубиться и не нахуячил тебе через него кучу звонков в зимбабве.
>>1844529 >cat-42_TL-SG1024D >На 20+ Компов? А не мало ли портов на 20+ пользователей? принтеры, сервера, вайфай, гости, Скуд, телефония IP вдруг. Бери уж на 48 портов сразу. не бери впритык.
Помогите настроить ебучий роутер, я случайно сбросил на заводские настройки его и пиздец, пробовал делать все по инструкции билайновской, но там толком нихуя не написано, просто заполнить поля и всё.
>>1845270 Что на практике, что в теории, есть более дешевые и производительные альтернативы у тех же самых латышей. Зачем при этом есть говно с двумя свитч-чипами, если он будет использоваться в комбо с отдельным свитчом?
>>1845589 Короче я разобрался, у меня веб авторизация эта ебучая, и мне нужно роутер на ippoe настроить, как это сделать? Он до этого уже был настроен, но я сбросил настройка заводские.
Посаны, посоветуйте роутер для дома с минимальной функциональностью: нужно только 2 изернет порта и вайфай (провайдер выдал роутер, а там только 1 изернет порт, лол).
>>1849638 Сделал сброс, все настроил по инструкции, даже через мастер настроек пробовал, пишет, что все настроено успешно, но ничего не работает. Не могу понять почему?.
>>1843952 >>Не поверишь, но свитчами, блядь, аггрегации. Теми, которые на 24/32/48 sfp+ >Ты мне цену на них озвучь и цену всего того, что потребуется ещё к ней купить, что бы эту убервафлю не требовалось заново покупать раз в неделю. бушный экстрим 24/48 портовый оптический за копейки (200-600 баксов с ебея) + мешок модулей к нему тоже бу. Только крупный конторы типа ростлекеома имеют контракты с поставщиками оборудования. Большинство покупает бу - и не экономит на этом миллионы. На к примеру http://www.ebay.com/itm/Extreme-Networks-Summit-X450-24x-16121-Advanced-Edge-License-Installed-7xAvail-/172486090636?hash=item2828f8df8c:g:HnoAAMXQBNlRidTA Ну или теже дырлинки ебучие. Но их для агрегации 10Г трафика ставит только последний имбецил отбитый напрочь на всю голову.
Добавлю тут анону на счет дудоса. ДА провайдеру АБСОЛЮТНО ПОХУЙ если обьем трафика от ддоса не влияет на работу конечного агрегирующего оборудования. А вот когда уже трафик заползает в запредельные значения (что в реалиях ддусом оч сложно сделать) - каких то сраных 600Гбит/с для экстримовского блэкдаймонда x8 ваще чеерз себя пропустить не проблема.
>>1850144 Наивный. Да, провайдерские железки влегкую переварят трафик, но вот оконечное оборудование, от которого расходится последняя миля, может захлебнуться даже от твоих сраных 100мбит. И тогда плохо станет уже всему дому.
>>1850218 Наивный ты лалка. Загнуть оборудовнаие последней мили шклоьником из дома анриал, если конечно там свитч не как тупая мыльница с дефолт настройками. Смотри: у меня в сетке на домах стоят extreme networks x250-48t,у которых коммутационная матрица пропускает через себя без проблем 97.6 Gbps. Теперь, умник, скажи мне, как долбоеб-мамкин-школьник положит своими ручонками мой свитч? И это не энтерпрайз свитч, а модель 11 года, которую в 13м сняли с датацентров в штатах и сплавили на ебеях.
>>1850647 >Охуенный у тебя свитч, я так скажу стоит около 100 баксов с ебея. А дегенераты с контрактами покупают дырлинки с хуавеями и эдж-корами и мучаются потом. (да кстати в украине крупный провайдер Ланет всю сетку на эдж-корах держит, а киевстар на хуавеях 2326).
>>1850959 Ну стремаются наверно с ебэя брать, или берут у своих + откаты Слушай, а что ты скажешь насчет 3 хопа? Это же модем? Ну, 192.168.0.1 роутер, потом какая то пустота, потом модем значит?
>>1851066 Ну что ты доебался, это может быть любой хост, где запрещено ICMP. Модем вообще не на ip работает, ты его не увидишь в трассе. И вообще, хопов намного больше, просто ты их не видишь, ибо MPLS. мимокрокодил
>>1851093 Я доебался, потому что мне интересно узнать об этом меня ебет, я не могу нормально в игры играть, а в играх я охуенно сбрасываю напряжение Ну всё же, судя по умным словам ты умный. Сразу после роутера, у меня какая то хуйня. Или нет? Что значит PL%, гугл не ответил, какие то спецификации, а внятного ответа нет.
>>1851099 >меня ебет, я не могу нормально в игры играть Выкинь нахуй свой вайфай и воткни комп витухой. Хотя если у тебя adsl, с пингами всё равно лажа будет, если линия гавно. И не еби себе и окружающим моск что там у тебя на 3 и последующих хопах.
>>1851107 Ладно, допустим что все 3 моих роутера нагнулись, и что я сейчас пойду, куплю другой и все заработает, в чем я не уверен, но ладно, но у меня ощущение что что то не так с линией. Так и развивается паранойя лол, ВЫ ВСЕ НЕ ПРАВЫ ВЫ НЕ ПОМОГАЕТЕ МНЕ ВСЕ ВРАГИ НИЧЕГО НЕ РАБОТАЕТ Витухой не могу, роутер далеко, а тот комп что рядом с роутером через витуху точно так же пинг скачет. Не адсл, но тоже говно по ТВ линиям. В моем доме только эти и адсл, и я уже подумывал о подключении к адсл, потому что на скорость похуй, а вот пинг заебал.
>>1851121 >по ТВ линиям Что есть ТВ линия ? Коаксиал штоль ? Ты где живёшь блеать ? В моём сраном городишке на 20к жителей, уже почти всё оптикой оплели.
А если бы ты сразу внятно описал, что у тебя за оборудование и чем тебе тырнет домой принесли - не возникало бы желания послать тебя на хуй.
>>1851141 Так вроде указывал тут >>1849256 Коаксиальный, да. ДС2, Твой Интернет(он теперь под Ростелеком ходит) Модем Thompson TCM 471 Роутер1 Тп-линк 741nd Роутер2 ТП Линк 842nd Роутер3 Xiaomi Mi-3 с прошивкой Asus Padavan К ним подключены 2 пека по кабелям и 2 по вайфай, 1 это ноут со встроенным модулем и 2 это ПК с внешним адаптером asus n13+смартфоны айпад, телек и прочее говно. Роутеры на автоматическом ip, ничего не настраивается, только привязка по мак адресу. Вроде все что мог рассказал.
>>1851217 Так думал типа старый накрылся, купил второй. Так же глючит. Подумал что тплинк говно, а тут сяоми как раз с кучей ништяков, думаю ну вот его точно нахуй должно хватить. Не хватило, думаю может изза прошивки, перепрошил. Ну и та же куйня. Причем ноут подключенный напрямую к роутеру работает норм. Поэтому все говорят, типа роутеры у тебя говно. Но я жопой чую что не в них дело, но объяснить не могу. Зато много инетересного узнал, может пойти в техподдержку какую нибудь? Вот вы все тут где работаете? Как называется инженер по сетям, проектированию и поддержке?
>>1851241 Ну че ты начинаешь? Всему научиться можно, даже БОЖЕСТВЕННОМУ АДМИНИСТРИРОВАНИЮ или тем более техподдержке. Нидайбох лол, будто у вас там ЭЛИТА сидит, в техподдержке то.
>>1851243 >не к роутеру а к модему Тоись этот DOCSIS модем умеет NAT и сам раздаёт интернеты ? Да ? Так какова хуя ты ещё один роутер заебенил ? Ты бы все 3 сразу захуярил, за четырмя NATами вообще бы охуенчик был. то то я смотрю, на 5-6 хопах всё ещё приватная сетка хотя РТ могут такую и в паблик высунуть, за ними не ржавело Срочно блеать вытащи провод из WAN порта роутера и воткни в LAN, и вообще продай их и купи обычный свич
>>1851258 Слушай, мысль очень интересная, но свитчи во первых вай фай не раздают как правило, во вторых в инструкции указано подключать кабель с инетом в WAN, да и вообще какая разница роутеру откуда он инет берет? Да, можно наверно и 3 роутера друг за дружкой поставить, правда хз как это на скорости скажется. И последнее, я попробвал воткнуть кабель от модема в обычный порт роуетра и не заработало ни куя. Хотя, скорее всего там еще настройки нужно было поменять, да? Но, неужели модем конфликтует с роутером?
>>1851270 скажи, если просто взять кусок витухи, один конец воткнуть в твой модем, а другой в ноут. На ноуте ничего не трогать ( никакие рррое или vpn не запускать ) Тырнет на ноуте есть ?
>>1851279 Да, есть. И пинг не скачет. И все охуенно. А я просто тотальный неудачник и у меня 3 нерабочих роутера, причем 2ум из них нет даже полугода. Так думаешь?
>>1850116 >экстрим 24/48 портовый оптический за копейки (200-600 баксов с ебея) 1G может быть. 10G будут дороже, если особо не заморачиваться, то за 10k можно взять коробку на 32-48 порта. >x450 Но он же гигабитный. >каких то сраных 600Гбит/с В этой стране есть ровно один оператор, который сможет нормально принять 600Гиг дудоса, и то не факт. А то, что есть еще десятки-сотни тех, у кого есть свитч, способный коммутировать в разы больше, тут не решает. >>1850327 Ты какой-то слишком агресивный. >как долбоеб-мамкин-школьник положит своими ручонками мой свитч? Встречный вопрос: толщина аплинка у этого свитча? В худшем случае это гиг, в лучшем - 4. Я правильно понимаю? Когда тебе на этого абонента школьники нальют 5 гиг, что будет происходить?
>>1851295 Вики говорит что к BRAS потом подключают роутер, так что вроде норм >>1851296 А хули в техподдержке почему то никто не удивляется что я роутер купил? Слушай, я могу запилить конечно как ты говоришь, только это ооочень сомнительно >>1851303 Нуууу если и ты говоришь, ок, сейчас запилю.
>>1851099 сразу после роутера у тебя : провайдерский шлюз на Л3свитче/роутере/аллахе - и да ты их можешь видеть, а можешь и не видеть. Хоть 10 хопов в прделах провайдера не будут влиять на твои сраные пинги в каэсачке.
>>1851305 >только это ооочень сомнительно Если у тебя нормально работает ноут (в режиме DHCP без взяких дозвонов), подключенный напрямую в LAN модема, то небе не нужен роутер. Тебе нужен коммутатор. Если тебе еще нужен вайфай, и у тебя есть роутер, то тебе нужно сделать следующее по пунктам: 1. Воткнуть ноут в модем, посмотреть какой IP тебе выдало, какая маска подсети и шлюз. 2. Воткнуть ноут в роутер, который тебе больше нравится из твоих, лол. Зайти в его настройки LAN, выставить там какой-нибудь рандомный адрес из той подсети, которую выдавал модем, например последний (это наверняка будет 192.168.<0 или 1>.254). ОТКЛЮЧИТЬ РАЗДАЧУ DHCP. 3. Подключить кабель из модема в любой LAN порт роутера. 4. Наслаждаться.
>>1851342 Посоны, я не успел прочесть про DHCP. Тыкнул режим точки доступа, перезагрузил роутер, вставил кабели. И типа инета нет, 192,168,1,1 не открывается, мне кажется роутер там переклинило. И да, ведь ip у него наверно теперь другой? не тот что обычно, поэтому и зайти на него не смог. Хотя, oh shit, я же его статическим прописал. Пока что оставил старый, завтра попробую сделать по инструкции этого анона >>1851335 и надеется что все будет норм. А потом я позвоню в техподдержку этого ебучего интернета, и от лица всех двачеров, а в особенности от этого раздела, обосру им все что можно а запись сюда скину just for lulz Ну или хз, чем вас благодарить.
>>1851289 >Когда тебе на этого абонента школьники нальют 5 гиг, что будет происходить? Все эти 5 гиг, внезапно останутся на шейпере, и до эксеса долетит столько, сколько у него по тарифу. мимокрокодил
>>1851370 Действительно. Соседы васяна-стримера действительно неуязвимы для дудосеров. Дудос из своей же сети на серых адресах мы рассматривать не будем? Просто это уже всякие там ботнеты, дорого, щкольникам не по карману? Ну и ленивых/экономных, которые не шэйпят клиентов с "соточным" тарифом, тоже не будем рассматривать заодно?
>>1851640 Тут выше по треду был один знаток говноедских сетей, говорил, что некторые подключают дома по сотке, например. А вообще, если клиент на стомегабитном тарифе, и порт у него выставлен в сотку, то владельцы шейперов, которые НИТЯНУТ, таких абонентов шейпить не будут. Был один такой оператор на 10k+ клиентов. Еще некоторые товарищи вешают полисеры на свитчах, например. Вариантов много, тащемта.
>>1851289 Экстрим не пробовал, но всякое говно типо старого HP легко положу, если у тебя контрол плейн не защищен. Много трафика для этого не надо. Трафик должен быть просто странный. Типа л2 мультикастов от бродкастового адреса или еще что-то такое сильно крафченное. Задача просто, чтобы трафик падал на ЦПУ и контрол плейн твоего коммутатора а не обрабатывался асиками.
>>1822778 (OP) Повелители этого треда, припадаю к ногам Вашим и молю о помощи. Как сделать доступ с одного пк из внешней сети в локальную сеть с внешним статическим адресом? В локальной сети есть шара, и к ней нужен доступ с удалённой точки.
>>1851335 >>1851342 Анончики, все работает аки Т-34, пинга нет алилуйя, но проблема в том, что устройства через вай фай при подключении виснут и не подключаются. Решается установкой ip вручную, это никак не пофиксить? Если я попробую включить dhcp то это все вернет обратно? Видимо модем автоматически ip не раздает все же. UPD: поработало не долго, потом работал только ноут, подключенный кабелем, все остальное подключались после прописывания ip вручную, но инета не было. Я думаю, это связано с тем, что есть привязка по маку, мак ноута был привязан, поэтому и работал. Включение отключение dhcp не помогло. В итоге плюнул, подключил роутер в обычном режиме, с обычными же лагами. Какие есть варианты дальнейшего развития? Ip кстати был вида 10.2.0., и роутеру я тоже такого вида ip присваивал, с окончанием на 254.
>>1851932 Есть смысл пытаться залезть внутрь модема и там что то настраивать? Или это дело по умолчанию гиблое и лучше его не трогать? И еще есть у меня мысль, каким нибудь образом запороть модем так, чтобы на меня не думали, и позвонить в техподдержку МОДЕМ ГОРИТ ИНЕТА НЕТ ПОМОГИТЕ Пусть поменяют модем, может в нем дело.
>>1850116 >агрегация >экстримы с 4мя портами Агрегация уровня /hw/ >>1850144 Нет. >>1851258 >>1851296 >>1851335 >>1851342 Пиздец вы в глаза ебетесь. >>1851926 Пробрось порты в роутере же. >>1851932 Кто бы мог подумать, что ничего не выйдет. >Какие есть варианты дальнейшего развития? Тебе уже все написали. Дальше только деградация.
>>1852666 Вот ты вроде по делу отвечаешь, аватаркоеб, но делаешь это в такой мерзкой форме, что лучше бы вообще не отвечал. Такое ощущение, что ты отвечаешь не для того чтобы помочь, а для того чтобы ВСЕМ показать какой ты крутой умный и все знаешь, но на деле ты жалок. Ты жалок своими попытками самоутвердиться, выпендриться и показать остальным какие они тупые. Так что иди нахуй и на меня внимания не обращай, пожалуйста.
>>1851758 >арбором Бесплатно тебя никто на арбор не подключит, так как арбор - дело дорогое. >сурс-rtbh Проиграл дважды. Сначала представил, как дежурная смена пытается выцепить десяток тысяч атакующих IP и запиздючить их в анонсы. Потом представил, как PE апстримов либо отфильтруют нахуй эти анонсы, так как они не из клиентского AS-SET, либо положат сессию по префикс-лимиту.
Задача RTBH немного другая: анонсят адрес жертвы, чтобы избавиться от ебучего трафика, который ломает сервис остальным. >>1851759 >л2 мультикастов ага и L3 http запросов. Я в целом тебя понял, но без доступа к свитчу жертвы ты никак не доставишь свой трафик в его контрол-плейн (если, конечно, сеть деплоили не полнейшие уёбки). Если ты хочешь поломать интернет соседу-стримеру - дело другое.
>>1853072 >но делаешь это в такой мерзкой форме Не согласен, просто я достаточно прямой. Если они ебутся в глаза - я так и скажу. Если человеку все написали, а он продолжает ебать мозги - я так и скажу. >какой ты крутой умный и все знаешь Но это далеко не таки я даже комплексую порой по этому поводу, и таки никого в обратном не убеждал. >Ты жалок своими попытками самоутвердиться, выпендриться Ну не выдумывай >показать остальным какие они тупые Если не говорить человеку, что он дегенерат - он навсегда останется дегенератом. >Так что иди нахуй и на меня внимания не обращай, пожалуйста. Ваше мнение очень важно для нас. >>1852690 Очевидный заббикс.
Насколько вообще стабильны wi-fi свистки? Какую можно взять оптимальную связку роутер/повторитель + свистки чтобы нормально держало связь через 2 стены?
>>1852690 заббикс с парой-тройкой десятков дополнительных костылей. альтернативы (во всяком случае, бесплатной) для сколько-нибудь крупной сети сейчас вощемта и нет. хотя он, конечно, кособокий и писался, похоже, изначально под серверную ферму, а не сеть.
>>1853251 у меня - ~130 магистральных роутеров и 400+ свитчей, системы питания. плюс ещё с полсотни железных серваков и сотни полторы виртуальных. и ещё всякая мелочь с зуббихом большую часть работы можно автоматизировать. когда сеть была раза так в 3 меньше - мои предшственники исхитрялись вести это в нагиосе.
>>1853329 Я только 1 раз наткнулся на глюк с работой. Когда один адаптер стабильно отваливался после 5 вечера. Видимо включали в сеть какой то девайс которые ебошил высокочастотными помехами. В остальных случаях это было намного лучше чем вайфай с репитерами.
>>1853088 есть вариант дизайна, когда ты по отдельной сессии анонсишь айпишники атакующих. Например, префиксами по /32. Затем через механизм уникаст рпф-чек трафик от них дропается на бордере провайдера. в реальной жизни это редко применяют потому что стремно, но в рамках подготовки к экспертному экзамену такие вещи проходят.
>>1853088 чуть не забыл - да, арбор - небесплатно. Но физически там ничего "подключать" не надо - он обычно как BGP-offramp стоит. то-есть он (думалка) получает флоу с интерфейса к клиенту. Если она думает, что нужно включить метигейшн, то анонсит префиксы клиента с некст-хопом чистилки. Так что, по идее, можно подключать данную услугу клиентам быстро и ненапряжно. Хотя Арбор коробка дорогая. Впрочем, для бедных есть дешевый вариант МФИ-Софт. Я с ним почти не играл, но говорят, он прикольный.
>>1853949 >есть вариант дизайна когда ты по отдельной сессии анонсишь айпишники атакующих. Это может тебя избавить от дропа по префикс-листу, но я не думаю, что там будут готовы принять десятки тысяч анонсов. На таких сессиях ставят относительно маленький префикс-лимит. >>1853984 >физически там ничего "подключать" не надо Ну разумеется, я и не говорил о физике. Я говорил о том, что у коробки есть сайзинг, и клиентов туда ты не натыкаешь бесконечное число. Соответствеено все упирается в деньги. Сферический ISP не будет защищать всех клиентов арбором просто так, он введет допуслугу, которая будет стоить в разы больше непосредственно "инторнета".
>>1844139 >А что тебя не устраивает? >А что делает это плохим? Цена вопроса, например. Кроме того, дом 100+ подключений это такая хуйня, что то шкафа до абонента влегкую может оказаться 100+ метров, потому один хуй будет по шкафу на подъезд и гора коммутаторов с 10/100 доступом обычно, где 10Г портов не завезли. Поэтому там сильно сподручнее 1Г или 2х1Г на коммутатор. А вот от группы зданий, там 10Г смотрится уместно. >загирляндить можно будет не боясь, что канал забьется Проблема гирлянды не в пропускной способности, а в том что она рассыпается при отвале любого узла, который не является в ней посленим. >Выше озвучено в пересчете на порт Ты забыл про сейф, кондей к этому говну и сигнализацию с охраной что бы не спиздили. >На доступе при дудосе могут быть проблемы, если линк до него узкий Ну да, когда у тебя сотка на дом, и абонент с соткой. Но мы вроде как бе про нормальные сетки говорили. >Ты для начала посчитай Что бы дропнуть паразитный трафик двух трех васянов железка за сотни нефти не нужна. >>1844304 >Зато у каждого второго пионернета - ццр или х86 в качестве нетвокрк-ин-э-бокс Ну да и похуй что там у них. Я тебе грил за то, что нехер в крайности бросаться. >пионернеты Я как бы вкурсе. Я как бы сам домовые говносети строил, когда был школяром. Ну да не суть, я просто к тому, что я лично различаю пионерию от говносеток. Жаль, что ты нет, ну да и похуй. >В реалиях говнопровайдеров я с тобой спорить не собираюсь. Мне так чисто для понимания, а не погряз ли ты в реалиях гигабиных дудосов и прочих датацентров, и понимакешь ли сколько тысяч хомяков нужно что бы занять полосу 10Г если их доступ 100mbps. >Идея "гиг на дом" - она ведь со всех сторон лучше >минус только один - цена Взаимоисключающие параграфы. Минус ксати нихуя не мелкий, если чё так вдруг. >Если второе, то в пределах десятки за 48 портов. И ты тоже забыл про сейф, кондей к этому говну и сигнализацию с охраной что бы не спиздили. >Это что за проекции такие? Это чердаки и подвалы - как места расположения узлов агреггации группы зданий. Что то мне подсказывает, что SFP+ многопортовка с её то конским тепловыделением там долго не протянет. >У микротиков все так плохо? У них кстати всё очень хорошо, они дешевые, а значит можно часто менять. За это их говнопровайдеры и ценят, вобщем та. >Чем проброс портов не угодил? Тем что в 2017 году им ни кто не пользуется, ну да похуй, на нем действительно можно сделать 10 правил, да даже 20, лол. Но вот сможет ли проброс 10 портов серьзно на производительность повлиять? >Будут разные вайфаи, отгороженные правилами. Самое страшное что там будет это анальная фильтрация по списку mac-адресов. Совсем ебанутые будут перенаправлять на html-страницу где будет написано "АЗАЗА, ХАЛЯВЫ НИБУДИТ, ОЛОЛО!". Даже вместе с десятком проброшенных портов с этим на ура справится любой говнороутер, помоему. >Очереди будут под всякие торренты, ssh и дотку-танчики. Такое возможно, но я бы не сказал, что это частое явление, как и пачка натов. Об чем я как бе и намекал. >Мне не надо, значит никому не надо? Жопой читаешь? Там написано, что так как у меня нет даже близко-округленно того набора настроек о которым ты говоришь, то я не могу тебе сказать какова производительность моей железки с таким то набором настроек. Ни больше, ни меньше. >у правильного оборудования ничего не деградирует Я хз о какой оборудовании ты говоришь. Помоему даже у цисок некая деградация имеется, но они считают по мелкопакетам изначально, поэтому и претензий к ним обычно нет. >udp-амплификация >переливает аплинк Рабочее ПО для такой атаки где то скачивается бесплатно без СМС? Я сомневаюсь, что школьники уже могут в амплификацию с нуля. >С лоиков прилетает N http запросов в секунду. Значит вычисляешь хацкеров по IP. То есть не так, вычисляешь хацкерские IP. По логам, например. Пишешь правило которое дропнет любую хуйню с этих адресов не дав апачу её обработать. Всё. Да-да, знаю руками - это фу. Но мы же о домашнем говносерваке говорим? >Как тебя от них спасет L3 коммутатор? Поделит на ноль трафик с требуемого IP. Ещё можно нафантазировать, что наверно можно соорудить на его базе хуйню которая будет дропать весь трафик с ip если там слишком дохуя пакетов. >Моя же позиция все там же Всяк кулик славит своё болото, лол. Я утверждаю, что можно мыльницой блочить простейшие атаки организованные небольшими группами атакующих. Что как бы и есть моё определение школодудоса. >Это говорит еще и о том, что у меня есть знания и практика соответствующего уровня. Во взрослом возрасте и в сказки верить, ну елы-палы. >Ты ебанутый что-ли? А что не так то? Нисходящий - в сторону абонента, восходящий - в сторону ядра. Об одной хуйне говорим, слова разные, только. >Просто на агрегацию приходит N-гигабит трафика в сторону абонента Воу-воу, палехче парень. Я от тебя пытаюсь добиться как они туда прийдут ибо по моему скудоумию они туда попасть не могут, а ты мне талдычишь: прийдут - и всё пиздец, каналы забьются, полки везде, гроб-гроб смерть лютая от ЧНН. >У ИСП с твоего дивана на ширина канала на бордере меньше, чем аплинк абонентского свитча, что ли? >Тогда ты поясни как она устроена и как по ней бегает трафик в твоей версии вселенной. В моем диванном ИСП трафик нарезается абонентам на бордере ну или где то в непосредственной близости от него. Самое забавное, что мне кажется, что так чуть не большиство мелких (до 10к абонов) провайдеров езернетных работает. А потому, все сливки дудоса на этой шинковалке будут оседать, так как тот канал что нарезается абоненту всегда уже любого линка, который может попасться на пути, ну кроме абонентского линка в квартиру, пожалуй. Все эти бордеры, шейперы и прочая ерунда цепляется к ядру с одной стороны и к пирингу с другой. В остальном всё стандартно - доступ-агрегация-ядро. Ну и абонентский трафик сегментируется, конечно же. Вот теперь можно смеяться. >Я их проектировал, строил, обслуживал, траблшутил И что везде абоненты голой жопой в интернет и ограничитель на абонентском порту? >ЯСКОЗАЛ? То местные обычаи. Это не хорошо и не правильно, это просто есть. >Вот смотри, есть, например, у тебя загон для ммо-уёбков. Близко к правде, с этим соглашусь. >А если на одного абона будет лететь так, чтоб доставляло неприятности, то его пидорнут без разговоров. Я не спорю с тем, что есть в какой то ситуации А решение Б будет работать, то его применят. Только в диванном ИСП оно не должно работать, точнее в случае проблем нужно дропать трафик с атакующих IP. А то, что ты загасишь абонента, поможет разве, что в случае если там хуйня на дом, но там проблемы возникнут, даже если абон торренты включит. >Дело в том, что абонентов ШПД дудосят редко. Потому и ИСП на эту проблему похуй. Некоторые ИСП начинают нервничать, когда в танках апдейт выходит. Потому что у них на бордюре внезапно трафик, которого там отродясь не было. Поэтому я предлолагаю, что некоторые другие ИСП могут переживать из-за ддосов, хотя бы потому что у них там на бордюре нагрузку больше, чем надо. И вообще, помоему это правильно - следить за сетью и не правильно - гасить абонентов которые под атакой, вместо того, что бы например приделать пару скриптов, что бы не так всё страшно было.
>>1854576 > я лично различаю пионерию от говносеток Но ведь ты жуёбок. Я тоже различаю. И копир от ксерокса отличить могу. Но есть широко применяемая практика называния пионернетами говносетей, закостыленных начинающими "инженерами". От этого может бомбить у тех, кто когда-то начинал эту движуху. А у тебя бомбит то того, что ты людей понять не можешь. >а не погряз ли ты в реалиях гигабиных дудосов и прочих датацентров, Немного есть, ибо интеграция, энтерпрайз и дудос - это моя работа. >понимакешь ли сколько тысяч хомяков нужно что бы занять полосу 10Г если их доступ 100mbps. Вопрос к архитектору, какой уровень переподписки он считает разумным. Если, к примеру, это будет 4:1, то нужно 400 абонентов. Весьма сильно на этот фактор влияет развитость внутренних ресурсов, ретрекеров и прочих порнообменников.
Но изначально речь шла про дом с сотней абонентов. Туда можно завести две десятки разными трассами и всё. А можно захуярить кучу гигабитов от арегации через пол-района, заплатив попутно ООО Вектор сотни нефти за организацию или аренту кабельного хозяйства. И тут уж выбор за каждым: переплатить за сорт ов future-proof железо, и получить минимум геморроя, или разводить паутины самонесущих кабелей. >Взаимоисключающие параграфы Я надеюсь ты понял, что это был сарказм. Не? ("Идея "гиг на дом" - она ведь со всех сторон лучше" - сарказм, если что) >Минус ксати нихуя не мелкий, если чё так вдруг. А полное сравнение опексов-капексов делал? На сколько дороже построить на десятке, чем на гигах с такой же переподпиской? Если еще и учесть бОльшую гибкость по тарифам, напирмер? В общем в этом вопросе не все так очевидно, как тебе кажется. >И ты тоже забыл про сейф, кондей к этому говну и сигнализацию с охраной что бы не спиздили. Ты так говоришь, что от применяемого аксессного коммутатора так драматически меняется инженерное обеспечение. >Что то мне подсказывает, что SFP+ многопортовка с её то конским тепловыделением там долго не протянет. Meanwhile у внедривших такие сети все каким-то чудом работает. >они дешевые, а значит можно часто менять. РЕМОНТИРОВАТЬ ВЫГОДНО. Эталонное мышление, просто. Любой СТО при этом предпочтет, чтоб не останавливался сервис, а не чтоб его было дешево часто восстанавливать. >Тем что в 2017 году им ни кто не пользуется Что, в твоей вселенной делают люди с белым IP? >Но вот сможет ли проброс 10 портов серьзно на производительность повлиять? Подожди-подожди! Это же вы тут рассказываете, что 2011 "нитянит сотку" исключительно из-за того, что куча натов и правил. И что так бы ему было норм. А теперь вот новая версия уже или как? Определись, пожалуйста. > Даже вместе с десятком проброшенных портов с этим на ура справится любой говнороутер, помоему. А RB2011 не справляется, выше по треду есть скрин с загрузкой цпу при 75 мегабитах спидтеста. >Я хз о какой оборудовании ты говоришь Я говорю о железе, в котором фичи реализованы аппаратно. И нет зависимости перформанса от количества маршрутов, правил NAT или фаервола. От количества одновременно включенных фич и так далее. Не как у микротика, короче. То, что на разной длине пакета разная производительность - это совсем другой вопрос, и это вообще нормально (если мерить в пакетной производительности, то на больших пакетах не хватит интерфейсов, если мерить мегабитами, то на мелких пакетах не хватит асиков). >Рабочее ПО для такой атаки где то скачивается бесплатно без СМС? Платно с СМС заказывается такая атака. И на съэкономленные с обедов деньги любой школьник может себе позволить гигабитный дудос, хоть и ненадолго. >вычисляешь хацкерские IP А если они скинулись и таки-заказали атаку с ботнета? >Поделит на ноль трафик с требуемого IP. Ну во-первых ты хотел сказать умножит. Во-вторых с какого требуемого IP? Если это UDP-флуд, переливающий твой линк, то тебе вообще никакое локальное обурудование не поможет, хоть ASA9999x, хоть арбор овер9000-сириэс поставь. Без содействия со стороны ISP ты вообще ничего не сделаешь. Если это есз-валидные запросы с какого-то существенного количества сорсов, то ты тоже ничего с ними не сделаешь. >дропать весь трафик с ip если там слишком дохуя пакетов Это на самом свитче - анрил. >Я утверждаю, что можно мыльницой блочить простейшие атаки организованные небольшими группами атакующих Ну простейшую атаку от одного восьмиклассника - сможешь. Но как только их станет 10, они скинутся по 5 баксов, то всё. Или их станет 100, они запустят сферические лоики и будут перепоключать свой pppoe раз в 5 минут. >и в сказки верить Ну дамперов видно сразу, тащемта. У меня ни разу не было проблем с тем, чтобы кто-то ИРЛ сомневался в моей компетенции, смотря на сертификации. Только в интернетах, лол. >как они туда прийдут Тут где-то выше было. Дудос из своей сети. В каком-нибудь РТ/ТТК/домру на всю страну, есть куча малвари. Я не стану вдваться в подробности, но брат-жены-соседа-нутыпонел рассказывал, что к ним приходило по несколько десятков гигабит от клиентов таких федеральных операторов. И еще вариант, как раз для любителей экономить: не шейпить клиентов с тарифом 100mb, так как CSE-шки на последнем издыхании. Ну и еще (не буду утверждать, что такого много, но мне про два случая рассказывали) некоторые упорыши вешают полисеры на свитчах. >прочая ерунда цепляется к ядру с одной стороны и к пирингу с другой Пиринг частенько не шейпят. А с него ой как может прилететь. Собственно с него прилетает от других ISP в основном. >И что везде абоненты голой жопой в интернет и ограничитель на абонентском порту? Везде по-разному. Самые защищенные от перелива домового аплинка по факту - абоны, которые включены по схеме pppoe без дуалаксесса, когда у провайдера шейпер на брасе. В остальных случаях таки-может появиться этот нехороший трафик в сторону абонента. >То местные обычаи Ну они у всех разные. Я, вот, не видел ни одного ИСП с единственной линией ТП. А у большинства их было таки-три. >дропать трафик с атакующих IP. Это не вариант в текущих реалиях. Их будут десятки и сотни тысяч, так как они будут либо спуффленные, либо с ботнетов. >ИСП начинают нервничать, когда в танках апдейт выходит >у них там на бордюре нагрузку больше, чем надо Для таких придумали бёрст-тарификацию. Линк, например 10гиг, платишь за 1, оверкоммит по 95-персентилю сверху гига оплачиваешь по другому тарифу. И эти бёрсты с коммитами эвривэа сейчас, только ленивый не пользуется, потому что это же охуенно и как раз убирает проблему со всякими ЧНН, танчиками и т.д. >правильно - следить за сетью Первоочередная задача следящего за сетью - это чтоб сама сеть работала и не было разных catastrophic failure. Если там пришел какой-то гиг, засрал абоненту шейпер - всем похуй. Если пришло 100, сложило шейпилку, залило аплинки, смской разбудило техдира, то абонент незамедлительно отправляется в RTBH. У нока нет задачи защищать абонента, только сеть. > не правильно - гасить абонентов которые под атакой, вместо того, что бы например приделать пару скриптов, что бы не так всё страшно было Если бы все было так просто - не было бы рынка антиддос, ни вендоров оборудования, ни провайдеров услуги. Гасят абонентов при угрозе инфраструктуре. Если дудос мешает только самому абоненту, то на него будет просто класться хуй.
>>1853949 >есть вариант дизайна, когда ты по отдельной сессии анонсишь айпишники атакующих. Например, префиксами по /32. Затем через механизм уникаст рпф-чек трафик от них дропается на бордере провайдера Кстати еще вот по этому поводу. Для того, чтоб рпф-чек дропал кого-то, нужно чтобы он был в режиме strict. Я думаю, что ни один транзитчик не станет включить на бордерах strict, так как это поломает нахуй интернеты. На РЕ в принципе реально, но если у него линки к двум Р, то тоже неособо. Вообще я, если честно, не встречал еще ни разу стрикт-рпф, применительно к интернету.
>>1854715 Да, конечно ты прав. Нормальные люди не будут включать рпф-чек на юникасте. Я просто вспомнил смешное и написал. Можно еще, например, о флоуспеке вместо ртбх поговорить.
>>1852690 А я альтернативно одаренный The Dude >>1853276 Какое-то странное соотношение роутеров к L2, не провайдерское. Датацентр какой-то или что это вообще? У меня на одной из прошлых работ около 1500 устройств в The Dude влезало, но там большая часть была L2 свичи у которых только пинги и состояние аплинков мониторилось. >>1853329 Когда нам эта дрянь потребовалась, мы сделали роковую ошибку и купили TP-Link. За год сдохло 2 комлекта из 3х. Пока не сдохло работало хорошо
>>1854975 >Датацентр какой-то или что это вообще? Ноуп, тир2 ИСП. Собственная оптика, клиенты из операторов связи и банков всё больше. Такие не ленятся до ДЦ дойти - поэтому коммутаторов надо не так много. Оптика мониторится проприентарной приблудой производителя.
>>1855827 >Router OS, уровень лицензии 3 что это 3 устройчтва ? )) http://wiki.mikrotik.com/wiki/Manual:License Можно, но роизводительность как роутера у него чуть выше чем никакая. Настроить там почти любые твои хотелки можно, вопрос лишь в том вытянет ли все это великолепие железо.
>>1854746 >флоуспеке вместо ртбх поговорить Это, кстати, очень охуенно, удобно, прогрессивно, стильно-модно-молодежно. Но мало кто из магистралов дает клиентам флоуспек. Это ведь пушка похлеще ртбх, с ней можно реально поймать сотни гиг, в то время, как клиент будет спокойно работать.
>>1855384 Через NOC молодняку нетрудно пробиться. Но, вообще, хуй его знает: магистралы, на самом деле, сейчас крепко зажаты по деньгам: IPT нонче стоит копейки из-за жёсткой конкуренции в Рашке. плотют маловато, как по мне, кароч. зато технологий дохуя - это да.
>>1856321 >из-за жёсткой конкуренции в Рашке Тут еще всякие европейские операторы задают клиентам каверзные вопросы типа "а на каком уровне цены Вы готовы задуматься о смене поставщика услуги". >плотют маловато Ой, да ладно. Сколько?
>>1856321 Да мне на работе скучно что ппц. Сетка на 1500 хостов с которой ничего не происходит. Сижу аутирую днями напролет за средний провинциальный прайс, попутно деградируя, лол.
>>1857074 > Сижу аутирую днями напролет за средний провинциальный прайс, попутно деградируя, лол. Читай курсы, сдавай экзамены. И полезно, и при трудоустройстве поможет.
>>1855856 >>1834125 Чёт она плохо пробивает стёкла, обычный хайвей ловит 4г в здании а STX на балконе с таким сигналом, по имени ya.ru даже не пингует. по ip только.
Проиграл с треда. Только здесь каждый школьник может получить консультацию по настройке своего китайского роутера у всяческих сетевых инженеров и CCNP-бояр, работающих в ынтирпрайз сегменте.
>>1857703 Да, только вот частенько школьники начинают какашками кидаться, вместо того, чтоб умных людей слушать. Вообще на архиваче есть прошлый тред. Там пиздец, несколько сотен постов поясняли анону как работают маски и таблицы маршрутизации. >>1857738 Хорошему сетевику похуй где работать (лишь бы платили норм). Я, вот, прошел становление в интеграции, потом работал и в ынтырпрайзах и в провайдерах. Парадигмы разные, конечно, но железо - оно и есть железо. >>1857856 Мониторинг от микротика. Это как мониторинг, но от микротика. Все как с роутерами, короче.
>>1854975 Сервак чувака где крутится, на винде или на рос? У меня на винде внезапно процесс который служба начал жрать диск и загружать CPU. Сброс настроек и реимпорт не помогает. Рестарт сервиса тоже. Есть идеи?
>>1857917 >куда они её запихнули виндовую версию забросили давно уже вроде
>>1857964 > Сброс настроек и реимпорт не помогает. Рестарт сервиса тоже. Есть идеи? Или вакуум базе сделать (если это 4 бета 3 http://forum.mikrotik.com/viewtopic.php?t=106819) , и антивирусом проверить, а то может дело не в бабине.
>>1858024 А у меня вот подпалило. Я без него как без рук, и если что случится, как сейчас, никаких обновлений, никакой помощи. Подходящей железки с рос для установки чувака нет.
>>1858032 >Подходящей железки с рос для установки чувака нет. Качаешь демо ROS на x86, её на виртуалку, и на нее неё дьюд, если уж совсем невмогату на старой версии сидеть. Я не обновляюсь потому что Execute on Server на на новой версии нет, а у меня через него оповещение в jabber и по sms работают. Да и старая работает без проблем.
>>1851759 Ага. У меня самого пару недель назад была охуительная история, когда мультикаст-траффик с одной вайфай-точки в нашей конторе положил цпу на пачке трехтонников-каталистов.
>>1858338 Заебись, мне нравится. Но у меня сеть небольшая. А так все охуенно, все в одном месте, мониторинг по smnp, хочешь дерево снимай, хочешь трапы обрабатывай, нетфлоу, бэкап конфигов. Все как в лучших домах, за небольшие деньги.
>>1856729 Мне, наверное, скажут, что зажрался, но начинается у сетевиков от 70к. Но это недавно поттянули чутка. У меня поболе, но я и не сетевик. >>1857125 Можно, теоретически, ещё расширять специальность - осваивать IT. Айтишник со знанием сети хорошим много где требуется (где денег на отдельного сетевика не готовы тратить, а сеть уже шибко навороченная). Погромисты-сетевики тоже существуют и тоже востребованы.
>>1858481 >>1857125 У меня трабла не в том что я работу найти другую не могу или знаний и квалы на существующие вакансии не хватает, а в том что интересная работа с ощутимой прибавкой в деньгах только с переездом из родного зажопинска. На самом деле у меня все хорошо, и единственная трабла только в том, что бывает подолгу совершенно нечем заняться на работе, лол.
>>1859595 выглядит похоже. там самописная система собирающая инфу для биллинга. побочным эффектом идут графики и weathermap. прозреваю, что графическая часть могла быть содрана с cacti подчистую - чего бы и нет? и на этом, наверное, хватит, а то ананим@дианон
Сервак 1С на 15-20 тел, контроллер домена и файлопомойка + опционально прокся
Варианты: 1) Один сервак, винда виндовс сервер , куча ролей 2) Hyper-V на том же железе : виндовс сервер под 1С и домен + дебиан под файлопомойку и прокси/файерволл 3) 2 отдельных слабых машины - но пробить у начальства денег на это усложняется по экспоненте.
Аз есмь Аникей,до меня тут было еще хуже,всё это распихано на обычные десктопные версии было без нормального контроля прав,без бекапов и пр. надоел лимит на кол-во юзеров и разброд в среде юзеров, да и база 1С стала весить и подтормаживать,а еще 5 человек собирают подключать.
Буду рад совету как устроить IT-структуру. Всем добра
>>1860991 >Сервак 1С на 15-20 тел Наверняка файловая, и столько народа это многовато для неё, поэтому желательно SSD под систему (кеш пользователей) и SSD под саму базу. Не уверен, что запихивать файловую 1с в виртуалку хорошая идея.
Под файлопомойку, если эти 15-20 оттуда не блюреи смотрят, наверно можно и десктопный оставить.
>>1861101 Лицензия корпоративная на все пк, сейчас под сервер CALы согласуем по количеству . 1С-ка и все клиенты к ней тоже трушные.
Домен - требование по безопасности, с Москвы пришло требование сеть под стандарты подогнать. У нас в 1Ске работает 15 ч(скоро 20 будет), а вообще пек подключено 42.
>>>1860991 1Ска - пока файловая , как сервак купим - будем переводить на БД. ССД под 1С согласован, кстати, брать Интел на МЛС если 530 серию - не износится быстро ?
Микротик? я с ними дел не имел, да и у нас Entersys'овский Usergate Прокси/файерволл лицензирован и по ФСТЕКу проверен и юзается.
>>1861526 Бля, вот вы тут кидаетесь говном в микротики, а на самом деле что? У меня на RB1200 три врфа, посажен на него офис, левые подключки (читай: абоненты), служебная подсеть с серверами. Ну и еще пптп-сервер и пара ип-ип туннелей в ебеня с бгп поверх них. И знаете что? За джва года использования в такой конфе (и 5 лет самой железяки) никакого нарекания. Вот собери мне под эту задачу аццесс-сервер за 10к, посмотрю как ты закукарекаешь. инб4 сделать это все на x86 с кучей квагг, и прочего говна, но это уже не будет те 15 ватт в пиках.
>>1861459 хз, я кое-чего знал, а доучивал тупо по официальному пособию 70-410, тому що начальник сказал, что даст админку в домене только после сдачи хотя бы одного экзамена. в текущем поколении это будет 70-740, но на торрентах я пока книжки не видал. чтиво, как по мне, так себе: только английский, много откровенно ненужного (в 70-411 на кой-то хер целую главу рассказывают про RADIUS-сервер на винде, например).
>>1861824 Которая будет жрать под 100 ватт твоего упса у которого и так пукану пизда, на котором будет тысячи сконфигурированных жопой сервисов, связанных между собой костылями. Единственный выигрыш -- производительность, да и то, спорный, так как задача того не требует, а по туннелям я физически не получу прироста.
>>1861194 >Не уверен, что запихивать файловую 1с в виртуалку хорошая идея. > Схуяле ? Ты наверно не в курсе, что винты можно отключить от гипервизора, и напрямую отдать виртуалке. >Наверняка файловая На 20 рыл ? Сомневаюсь, тут да же 7.7 будет тормозить. >>1860991 >2) Hyper-V на том же железе : виндовс сервер под 1С и домен + дебиан под файлопомойку и прокси/файерволл Этот вариант.
>>1861853 >будет жрать под 100 Только если древнее говно из шишек и смолы. >тысячи сконфигурированных жопой сервисов Можно применять ёба-специализированные дистры, где это все так же конфигурится из кли или гуя. Ну или можно сферический дебиан конфигурить не жопой. Говорят - помогает. >связанных между собой костылями Не понял пассажа. Что с чем связывается костылями в роутере? И чем это принципиально отличается от аналогичных сзякей внутри микротика? > задача того не требует Это ключевой момент. Если не нужна производительность и стабильность при высокой нагрузке, то конкурентов мокротыку действительно почти нет.
>>1861856 >винты можно отключить от гипервизора, и напрямую отдать виртуалке Почему у всех такая маниакальная тяга к этому? Вы вообще в курсе какой оверхэд от использования виртуальных дисков? Почти никакого, блеать. Зато сохраняются все плюшки типа снапшотов, миграций и прочего.
>>1861933 >Зато сохраняются все плюшки типа снапшотов, миграций и прочего. Снапшоты и так никуда не деваются, а миграция.. А если у тебя там данных под 2 ТБ и сетка гигабитная ? Сомнительно, проще этот винт побырому перекинуть на новое железо. Да и какая в пизду миграция когда бюджет походу тыр 50.
>>1861952 >Снапшоты и так никуда не деваются В хайперви можно заснапшотить машину вместе с диском, который подключен в режиме passthrough? >А если у тебя там данных под 2 ТБ А если они отдельно по iscsi?
>>1862228 >В хайперви можно заснапшотить машину вместе с диском, который подключен в режиме passthrough? Без диска. А если >они отдельно по iscsi Вообще не понятен вопрос.
>>1834134 Бля, чуви, ставил сегодня его себе в ЕДРО. Не знаю даже как опистаь. В конфе только л2, никакого роутинга ваще. UDP-пакеты не ходят, никакие. Не сталкивался?
Аноны, кто работал с микротиком(RouterOS лвл 5, например), там есть возможность отслеживать трафик КАЖДОГО компьютера, который подключен к роутеру? Есть ли возможность сохранять эти логи и т.д.?
В мой мухосранск проводят оптику. За 2400 предлагают купить у них TP-LINK 941. Цена на него вроде не сильно завышена, а как насчет его ттх? За эти деньги можно взять что то поприличней?
Сремся на тему Cisco vs. [Juniper, Foundry, Ericsson, &c], обжимаем кабеля молотком, вытаскиваем дохых мышей из своих стареньких серверов, кидаемся Д-Линками на "кто дальше".