vasilevkirill
–29

Вы же понимаете, что у Китая есть своё мировоззрение на мир, тем более их политический строй вызывает гнев у других стран.
Вот сейчас государство борется и в том числе с торрентами, когда она посчитает, что проблема решена, оставшиеся качки будут получать письма счастья как в Германии.
Вспомните что было в интернете лет 10-15 лет назад, на каждом сайте висели порнобанеры, сейчас по проще можно хоть ребёнка пустить посидеть.
Но мне как отцу не хочется, чтобы ребёнок видел не порнографию и тем более агнец демократии всё что происходит в Гейропе и их взгляд на мир, для меня он просто не приемлем вот вам пример 77 умерло http://www.bbc.com/russian/news-39130224

vasilevkirill
–20
Как они будут отделять VPN, который используется в коммерческих целях, от VPN, который используется для обхода блокировок?

Легко и не принуждённо, написать письмо провайдеру, о том что IPsec и иже с ним используется в корпоративных целях. Провайдер покажет бумажку и ему лишний раз проще.


Ну а если серьёзно, то в большинстве своём отделить VPN можно хотя бы по тому, что как только появляется трафик энкапсулируемого протокола сразу пропадает web трафик 80,443


У меня лично VPN-ов пару сотен штук нужны для работы, но они нужны именно для безопасности.


Некогда не понимал, зачем эти VPN-ы и анонимайзеры для сёрфинга, лишний раз прочитать как можно приготовить наркотик? расскажите что там такого за VPNом?

vasilevkirill
0

До первого кривого dhcp client, который не проверит обычным arp запросом занятость адреса.

vasilevkirill
0

а по моему, всё очень чётко и доходчиво написано.
или вы про идеологию Juniper? ну так "не на кошках мир построен"

vasilevkirill
0

методом проб и ошибок нашёл как это модно сделать, но к сожалению только на MikroTik

vasilevkirill
0

Дело в том, что я непросто это их головы взял, это действительно для меня на данный момент проблема.
сравните LSA таблицу маршруты intra-area и маршруты какие пападают в таблицу маршрутизации

vasilevkirill
+1

Я просто привел пример, с /32 понятно, вы не боитесь, что когда нибудь, кем нибудь может распространится дефолтный маршрут ext-2, особенно если всё же избавитесь в перспективе от huawei и проблем с мультикастом в L2 сегменте не будет

vasilevkirill
0

это не заметка, а официальная документация, микротик не умеет фильтровать маршруты intra-area

vasilevkirill
0

Я конечно не знаю насколько у вас всё в схвачено, но best practice в фильтрах ospf всё таки с начало "что то разрешать", а потом всё запрещать, иначе от одного неверного действия можете получить неработающую сеть, вспомните яндекс…
я бы сделал как нибудь так.


/routing filter
add action chain=ospf-out prefix=192.168.3.0/24 prefix-length=32 action=accept
add action chain=ospf-out action=discard
add action chain=ospf-in prefix=192.168.3.0/24 prefix-length=32 action=accept
add action chain=ospf-in action=discard
vasilevkirill
0
фильтр
add action=discard chain=ospf-in ospf-type=intra-area

не работает
Note that internal RIP filtering is done using prefix lists [and internal (intra-area) OSPF filtering is not supported yet]

vasilevkirill
0
Но тогда src адрес для всех соединений всегда один
vasilevkirill
0
Потому что у заказчика было закуплено это оборудование и настроено.
vasilevkirill
0
судя по мануалу, не гарантирует соответствия 1:1

покажите пруф
vasilevkirill
0
Статья именно про микротик, но думаю любой маршрутизатор с vrf на борту справится с такой задачей
vasilevkirill
0
А чем собственно vlan отличается от ethernet интерфейса?
vasilevkirill
+1
Расскажите как
vasilevkirill
0
скажу ещё в «двадцатый раз», если есть документация «что и почему и для чего», то у грамотного админа вопросов не возникнет.
vasilevkirill
+3
Кстати вот вам ещё пример.
Дали мне два не настраиваемых LTE модема одинаковых, сказали настрой, так чтобы обо одновременно работали. и как вы думаете какие там адреса? правильно одинаковые.

и вам ещё один пример.
Было объединение двух филиалов с каждый из сторон три десятка сетей /24 из 10.0.0.0/24 и одна сеть пересекалась, одна из шестидесяти. Так как план и сроки были утверждены временно использовали конструкцию, которую я описал выше и уже потом, медленно и не спеша стали выводить данную сеть из продакшена.
vasilevkirill
0
тут вопрос вкуса, либо явно указать таблицу маршрутизации в пинге.
Либо сказать что весь ICMP трафик до данных узлов идёт через такую то таблицу маршрутизации.
vasilevkirill
0
трафик ICMP до проверяемых адресов маркируется и отправляется только через первого провадера.
vasilevkirill
0
С моей стороны заказчику было предложено построить рекурсивный маршрут с изменением target-scope, но заказчик попросил с помощью netwatch проверять доступность более десятка адресов, для уверенности, что точно провайдер не работает.
vasilevkirill
0
Как я понял, что это арендатор помещения на заводской территории, который сам находится в промзоне.
В итоге это два провайдера от завода и промзоны, там что ли VDSL модемы, которые нельзя перенастраивать толи ещё какое-то брахло.
vasilevkirill
–1
Ладно, убрал эту фразу =)
vasilevkirill
+1
Что же вы все упёрлись ….
Это желание заказчика, заказчик захотел так. И точка.
Вся конфигурация было описана в документации, и конфигурация была согласованна с ИТ отделом.
vasilevkirill
0
=) это даже забавно
vasilevkirill
0
Наверное, вы правы, что название не столь информативно.
И VRF и NAT
vasilevkirill
+2
У меня архитектурно? я его не строил и не проектировал, и не обслуживал! Я просто настроил маршрутизаторы под инфраструктуру заказчика.
Я бы на вашем месте не был так уверен. Скажем так, в сетях стоит оборудование, за которое отвечают третьи лица, и поменять на них сеть не представляется возможным, а точнее по договору не имеют право.
vasilevkirill
+2
Ну начнём с того, что я выполнял то что было оговорено в ТЗ, а во вторых где вы увидели тут костыли?
vasilevkirill
0
Задачи такой не стояло, да и менять структуру сети нельзя было, нужно было обойтись только изменением на роутерах.
vasilevkirill
0
Рано ещё, да и пивной дачный сезон начался
vasilevkirill
+1
Не знаю почему вы так агрессивно настроены, но если любое ПО ожидает от вас XML данные, а вы ей шлёте JSON, не удивляйтесь, что любое ПО некорректно работает.
[sarcasm]Вы же прекрасно понимаете, что открыть файл DWG с помощь Wireshark не получиться, и почему-то все до сих пор сидят и не озвучивают это проблему в Wireshark и кстати ровно наоборот sniff не откроется в коммерческом продукте AutoCAD[/sarcasm]
И если честно, то выглядит со стороны киви примерно так «нам от мониторинга нужно, раз, два, три … +100500»
В ваше программном обеспечение, не было завялено такого функционала, и мы наделали костылей, а теперь Zabbix учесть все наши недовольства и доделать.
Исходники открыты, что останавливает?
vasilevkirill
0
Согласен.
Если ты хочешь чегото большего бери напильник и делай сам.
А по поводу unsupported в sh скриптах, так надо было писать скрипты так, чтобы вывод был всегда supported =)
vasilevkirill
+1
Примерно на пальцах, говорим про винду
у вас есть уже кластер hyper-v из двух нод и общего строрейджа
поднимаете две виртуальные машины, и к обоим подключаем виртуальный диск кворума (сейчас не вспомню как в hyper-v это опция звучит в настройках жёсткого диска)
далее на виртуальным машинах поднимайте роль кластера с общим IP адресом ну и настраивайте его под свои нужны.
при выключении одной из физических нод, у вас в виртуальном кластере выпадет одна из нод и у вас отработает ваш виртуальный кластер, простоя минимум в худшем случае пару пакетов
vasilevkirill
0
на hyper-v пока такое не возможно самим гипервизором, да и наврятли microsoft сделает в ближайшее время такую возможность.
если у вас виртуальная машина на windows, то поднимайте кластер майкрософта уже на виртуальных машина. если у вас linux то смотрите в сторону keepalived
vasilevkirill
0
я бы всё таки добавил, что необходимо включить cef.
ip cef distributed

так как в RFC по ecmp явным образом не сказано учитывается ли порты src и dst при расчёте хеша
vasilevkirill
0
=))) вы же понимаете, к чему я виду =)
давайте по другому
1) запрос
мой хост 192.168.0.100:45555 ->default gateway(192.168.0.1->SRCNAT(192.168.0.100:45555->60.0.0.1:45555))->Хост назначения(8.8.8.8:80)
2) запрос ajax или полученеи картинок и т.п.д
мой хост 192.168.0.100:41111 ->default gateway(192.168.0.1->SRCNAT(192.168.0.100:41111->???.???.???.???:41111))->Хост назначения(8.8.8.8:80)

в итоге получим два соединения, и не факт что, второе выйдет с адреса 60.0.0.1
vasilevkirill
0
на PAT, конечно же нет, но я говорю о другом нюансе.

мой хост 192.168.0.100/24 ->default gateway(192.168.0.1->SRCNAT(192.168.0.100->60.0.0.1))->Хост назначения(8.8.8.8)
хост 8.8.8.8 с учётом моего IP адреса создал cookie.
вопрос в следующем, если я через некоторое время (но меньшее жизни куки), обращусь к хосту 8.8.8.8, каков шанс, что мой трафик уйдёт с адрес 60.0.0.1, а не 50.0.0.1??
vasilevkirill
+1
Правильно ли я понял, в итоге получается обычный ECMP.
B*    0.0.0.0/0 [20/0] via 60.0.0.2 (ISPB), 00:00:20
                [20/0] via 50.0.0.2 (ISPA), 00:00:20

Первый же сайт, типо одноклассников, который учитывает в сессии ip адрес, и тут же вы получите факап. в виде разъяренных пользователей, которые должны будут каждые N минут вводить логин и пароль.
vasilevkirill
+2
есть такая поговорка «удалённая настройка маршрутизатора, к дальней дороге»
vasilevkirill
0
Диплом нарисовать тоже можно, только в большинстве случаев в отличие от диплома, доп образование получают ради знаний. А если вы о качестве продукции MikroTik, то скажите у какого вендора нету косяков?