• HAProxy как LoadBalanсer для RDP фермы. Надежное решение за 0$
    0

    повести разные ИП адреса на HAproxy и с помощью DNS разрулите

  • HAProxy как LoadBalanсer для RDP фермы. Надежное решение за 0$
    +4

    Маленькие уточнения


    Так как клиент mstsc не передаёт в куки больше 9 символов, нет смысла делать длинну более девяти


    stick-table type string len 9 size 10240k expire 48h peers loadbalancer_replication

    причем будет происходить реплика между пирами stick-table


    peers loadbalancer_replication
    peer spb-ts-haproxy-11 10.101.255.11:7778
    peer spb-ts-haproxy-12 10.101.255.12:7778
    peer spb-ts-haproxy-13 10.101.255.13:7778
    peer spb-ts-haproxy-14 10.101.255.14:7778

    Для резервирования HAproxy используйте keepalived (aka VRRP) назначаете общий IP адрес (так как это VRRP между хостами должен бегать мультикаст)


    Чекать сервера можно таким образом (в одну строку)


    server spb-ts-des-102 10.101.251.102:3389 weight 1 check inter 2000 rise 2 fall 3 minconn 0 maxconn 0 on-marked-down shutdown-sessions verify none
  • Какого! закона вы ещё хотели? У меня есть их! Блокируем VPN
    –29

    Вы же понимаете, что у Китая есть своё мировоззрение на мир, тем более их политический строй вызывает гнев у других стран.
    Вот сейчас государство борется и в том числе с торрентами, когда она посчитает, что проблема решена, оставшиеся качки будут получать письма счастья как в Германии.
    Вспомните что было в интернете лет 10-15 лет назад, на каждом сайте висели порнобанеры, сейчас по проще можно хоть ребёнка пустить посидеть.
    Но мне как отцу не хочется, чтобы ребёнок видел не порнографию и тем более агнец демократии всё что происходит в Гейропе и их взгляд на мир, для меня он просто не приемлем вот вам пример 77 умерло http://www.bbc.com/russian/news-39130224

  • Какого! закона вы ещё хотели? У меня есть их! Блокируем VPN
    –20
    Как они будут отделять VPN, который используется в коммерческих целях, от VPN, который используется для обхода блокировок?

    Легко и не принуждённо, написать письмо провайдеру, о том что IPsec и иже с ним используется в корпоративных целях. Провайдер покажет бумажку и ему лишний раз проще.


    Ну а если серьёзно, то в большинстве своём отделить VPN можно хотя бы по тому, что как только появляется трафик энкапсулируемого протокола сразу пропадает web трафик 80,443


    У меня лично VPN-ов пару сотен штук нужны для работы, но они нужны именно для безопасности.


    Некогда не понимал, зачем эти VPN-ы и анонимайзеры для сёрфинга, лишний раз прочитать как можно приготовить наркотик? расскажите что там такого за VPNом?

  • Два DHCP сервера на Centos7 с failover, dhcp-relay и динамическим обновлением зон
    0

    До первого кривого dhcp client, который не проверит обычным arp запросом занятость адреса.

  • vrf-table-label
    0

    а по моему, всё очень чётко и доходчиво написано.
    или вы про идеологию Juniper? ну так "не на кошках мир построен"

  • Странности реализации Wi-Fi в метро Москвы
    0

    методом проб и ошибок нашёл как это модно сделать, но к сожалению только на MikroTik

  • Как я ловил Wi-Fi принтер по OSPF, корпоративная сеть на MikroTik часть 2
    0

    Дело в том, что я непросто это их головы взял, это действительно для меня на данный момент проблема.
    сравните LSA таблицу маршруты intra-area и маршруты какие пападают в таблицу маршрутизации

  • Как я ловил Wi-Fi принтер по OSPF, корпоративная сеть на MikroTik часть 2
    +1

    Я просто привел пример, с /32 понятно, вы не боитесь, что когда нибудь, кем нибудь может распространится дефолтный маршрут ext-2, особенно если всё же избавитесь в перспективе от huawei и проблем с мультикастом в L2 сегменте не будет

  • Как я ловил Wi-Fi принтер по OSPF, корпоративная сеть на MikroTik часть 2
    0

    это не заметка, а официальная документация, микротик не умеет фильтровать маршруты intra-area

  • Как я ловил Wi-Fi принтер по OSPF, корпоративная сеть на MikroTik часть 2
    0

    Я конечно не знаю насколько у вас всё в схвачено, но best practice в фильтрах ospf всё таки с начало "что то разрешать", а потом всё запрещать, иначе от одного неверного действия можете получить неработающую сеть, вспомните яндекс…
    я бы сделал как нибудь так.


    /routing filter
    add action chain=ospf-out prefix=192.168.3.0/24 prefix-length=32 action=accept
    add action chain=ospf-out action=discard
    add action chain=ospf-in prefix=192.168.3.0/24 prefix-length=32 action=accept
    add action chain=ospf-in action=discard
  • Как я ловил Wi-Fi принтер по OSPF, корпоративная сеть на MikroTik часть 2
    0
    фильтр
    add action=discard chain=ospf-in ospf-type=intra-area
    

    не работает
    Note that internal RIP filtering is done using prefix lists [and internal (intra-area) OSPF filtering is not supported yet]

  • MikroTik и 192.168.0.0/24
    0
    Но тогда src адрес для всех соединений всегда один
  • MikroTik и 192.168.0.0/24
    0
    Потому что у заказчика было закуплено это оборудование и настроено.
  • MikroTik и 192.168.0.0/24
    0
    судя по мануалу, не гарантирует соответствия 1:1

    покажите пруф
  • MikroTik и 192.168.0.0/24
    0
    Статья именно про микротик, но думаю любой маршрутизатор с vrf на борту справится с такой задачей
  • MikroTik и 192.168.0.0/24
    0
    А чем собственно vlan отличается от ethernet интерфейса?
  • MikroTik и 192.168.0.0/24
    +1
    Расскажите как
  • MikroTik и 192.168.0.0/24
    0
    скажу ещё в «двадцатый раз», если есть документация «что и почему и для чего», то у грамотного админа вопросов не возникнет.
  • MikroTik и 192.168.0.0/24
    +3
    Кстати вот вам ещё пример.
    Дали мне два не настраиваемых LTE модема одинаковых, сказали настрой, так чтобы обо одновременно работали. и как вы думаете какие там адреса? правильно одинаковые.

    и вам ещё один пример.
    Было объединение двух филиалов с каждый из сторон три десятка сетей /24 из 10.0.0.0/24 и одна сеть пересекалась, одна из шестидесяти. Так как план и сроки были утверждены временно использовали конструкцию, которую я описал выше и уже потом, медленно и не спеша стали выводить данную сеть из продакшена.
  • MikroTik и 192.168.0.0/24
    0
    тут вопрос вкуса, либо явно указать таблицу маршрутизации в пинге.
    Либо сказать что весь ICMP трафик до данных узлов идёт через такую то таблицу маршрутизации.
  • MikroTik и 192.168.0.0/24
    0
    трафик ICMP до проверяемых адресов маркируется и отправляется только через первого провадера.
  • MikroTik и 192.168.0.0/24
    0
    С моей стороны заказчику было предложено построить рекурсивный маршрут с изменением target-scope, но заказчик попросил с помощью netwatch проверять доступность более десятка адресов, для уверенности, что точно провайдер не работает.
  • MikroTik и 192.168.0.0/24
    0
    Как я понял, что это арендатор помещения на заводской территории, который сам находится в промзоне.
    В итоге это два провайдера от завода и промзоны, там что ли VDSL модемы, которые нельзя перенастраивать толи ещё какое-то брахло.
  • MikroTik и 192.168.0.0/24
    –1
    Ладно, убрал эту фразу =)
  • MikroTik и 192.168.0.0/24
    +1
    Что же вы все упёрлись ….
    Это желание заказчика, заказчик захотел так. И точка.
    Вся конфигурация было описана в документации, и конфигурация была согласованна с ИТ отделом.
  • MikroTik и 192.168.0.0/24
    0
    =) это даже забавно
  • MikroTik и 192.168.0.0/24
    0
    Наверное, вы правы, что название не столь информативно.
    И VRF и NAT
  • MikroTik и 192.168.0.0/24
    +2
    У меня архитектурно? я его не строил и не проектировал, и не обслуживал! Я просто настроил маршрутизаторы под инфраструктуру заказчика.
    Я бы на вашем месте не был так уверен. Скажем так, в сетях стоит оборудование, за которое отвечают третьи лица, и поменять на них сеть не представляется возможным, а точнее по договору не имеют право.
  • MikroTik и 192.168.0.0/24
    +2
    Ну начнём с того, что я выполнял то что было оговорено в ТЗ, а во вторых где вы увидели тут костыли?
  • MikroTik и 192.168.0.0/24
    0
    Задачи такой не стояло, да и менять структуру сети нельзя было, нужно было обойтись только изменением на роутерах.
  • MikroTik и 192.168.0.0/24
    0
    Рано ещё, да и пивной дачный сезон начался
  • Видео докладов с Zabbix Moscow Meetup 2016
    +1
    Не знаю почему вы так агрессивно настроены, но если любое ПО ожидает от вас XML данные, а вы ей шлёте JSON, не удивляйтесь, что любое ПО некорректно работает.
    [sarcasm]Вы же прекрасно понимаете, что открыть файл DWG с помощь Wireshark не получиться, и почему-то все до сих пор сидят и не озвучивают это проблему в Wireshark и кстати ровно наоборот sniff не откроется в коммерческом продукте AutoCAD[/sarcasm]
    И если честно, то выглядит со стороны киви примерно так «нам от мониторинга нужно, раз, два, три … +100500»
    В ваше программном обеспечение, не было завялено такого функционала, и мы наделали костылей, а теперь Zabbix учесть все наши недовольства и доделать.
    Исходники открыты, что останавливает?
  • Видео докладов с Zabbix Moscow Meetup 2016
    0
    Согласен.
    Если ты хочешь чегото большего бери напильник и делай сам.
    А по поводу unsupported в sh скриптах, так надо было писать скрипты так, чтобы вывод был всегда supported =)
  • Бесплатный кластер (Proxmox + Nexenta)
    +1
    Примерно на пальцах, говорим про винду
    у вас есть уже кластер hyper-v из двух нод и общего строрейджа
    поднимаете две виртуальные машины, и к обоим подключаем виртуальный диск кворума (сейчас не вспомню как в hyper-v это опция звучит в настройках жёсткого диска)
    далее на виртуальным машинах поднимайте роль кластера с общим IP адресом ну и настраивайте его под свои нужны.
    при выключении одной из физических нод, у вас в виртуальном кластере выпадет одна из нод и у вас отработает ваш виртуальный кластер, простоя минимум в худшем случае пару пакетов
  • Бесплатный кластер (Proxmox + Nexenta)
    0
    на hyper-v пока такое не возможно самим гипервизором, да и наврятли microsoft сделает в ближайшее время такую возможность.
    если у вас виртуальная машина на windows, то поднимайте кластер майкрософта уже на виртуальных машина. если у вас linux то смотрите в сторону keepalived
  • Балансировка траффика между двумя NAT на разных провайдерах на одном физическом роутере cisco
    0
    я бы всё таки добавил, что необходимо включить cef.
    ip cef distributed
    

    так как в RFC по ecmp явным образом не сказано учитывается ли порты src и dst при расчёте хеша
  • Балансировка траффика между двумя NAT на разных провайдерах на одном физическом роутере cisco
    0
    =))) вы же понимаете, к чему я виду =)
    давайте по другому
    1) запрос
    мой хост 192.168.0.100:45555 ->default gateway(192.168.0.1->SRCNAT(192.168.0.100:45555->60.0.0.1:45555))->Хост назначения(8.8.8.8:80)
    2) запрос ajax или полученеи картинок и т.п.д
    мой хост 192.168.0.100:41111 ->default gateway(192.168.0.1->SRCNAT(192.168.0.100:41111->???.???.???.???:41111))->Хост назначения(8.8.8.8:80)

    в итоге получим два соединения, и не факт что, второе выйдет с адреса 60.0.0.1
  • Балансировка траффика между двумя NAT на разных провайдерах на одном физическом роутере cisco
    0
    на PAT, конечно же нет, но я говорю о другом нюансе.

    мой хост 192.168.0.100/24 ->default gateway(192.168.0.1->SRCNAT(192.168.0.100->60.0.0.1))->Хост назначения(8.8.8.8)
    хост 8.8.8.8 с учётом моего IP адреса создал cookie.
    вопрос в следующем, если я через некоторое время (но меньшее жизни куки), обращусь к хосту 8.8.8.8, каков шанс, что мой трафик уйдёт с адрес 60.0.0.1, а не 50.0.0.1??
  • Балансировка траффика между двумя NAT на разных провайдерах на одном физическом роутере cisco
    +1
    Правильно ли я понял, в итоге получается обычный ECMP.
    B*    0.0.0.0/0 [20/0] via 60.0.0.2 (ISPB), 00:00:20
                    [20/0] via 50.0.0.2 (ISPA), 00:00:20
    

    Первый же сайт, типо одноклассников, который учитывает в сессии ip адрес, и тут же вы получите факап. в виде разъяренных пользователей, которые должны будут каждые N минут вводить логин и пароль.