Jump to content
Local
Baneff

DUMMYNET и все-все-все

Recommended Posts

1 час назад, sanyadnepr сказал:

Спора нет. Есть объективная реальность. На тупарях, PPPoE лучше чем DHCP.

По одной простой причине, когда абон включает локальный порт роутера в тупарь, все другие абоны, получают от "перевертыша" настройки.

С PPPoE этой проблемы нет.

Все остальные "проблемные" ситуации с тупарями, примерно равнозначны и не важно какая авторизация.

 

Та ладно, никто ничего не получает, на то инструмент специальный есть, который у такого роутера все лизы моментально отбирает и раздавать ему уже после этого нечего. Тупо, но работает. Да и случается такое раз в месяц, в крайнем случае можно и позвонить и попросить кабелёк переткнуть куда надо или дождаться пока сами позвонят - інета то нету. А то поддержка скучает, а так какое-никакое, а развлечение.

Share this post


Link to post
Share on other sites
8 минут назад, NiTr0 сказал:

проблема в том что о существовании такого умника надо сначала узнать. а это в автоматическом режиме таки невозможно в принципе.

dhcdrop

не благодарите

9 минут назад, NiTr0 сказал:

и уж тем более ничего не дефрагментируется на роутере абона. приполз фрагмент 1472 байта - в том же виде и отправлен абону.

окей, запретите фрагментацию в сети

тока район свой сразу скажите что б абонов ваших подобрать (Харьков же, да?) :) 

10 минут назад, NiTr0 сказал:

что такое PMTU - в курсе, не?

он никогда толком не работал

там больше держится за счет tcp mss ajust на брасе а удп лезет фрагментами сколько мту позволит

Share this post


Link to post
Share on other sites
7 минут назад, NiTr0 сказал:

проблема в том что о существовании такого умника надо сначала узнать. а это в автоматическом режиме таки невозможно в принципе.

Узнать легко, периодическое сканирование сети арпингом или арпсканом даёт дапы если в сети есть одинаковые маки, не?

 

11 минут назад, NiTr0 сказал:

да ничего никуда не фрагментируется с пппое ни на роутерах, ни на брасах (ну разве что кроме icmp, которые пинги, ну или udp, которого тоже копейки и у которого большие пакеты - редкость). что такое PMTU - в курсе, не?

и уж тем более ничего не дефрагментируется на роутере абона. приполз фрагмент 1472 байта - в том же виде и отправлен абону.

Не, не в курсе. Но спасибо, почитаю.

5 минут назад, l1ght сказал:

dhcdrop

не благодарите

Не-не, это не для того чтобы ловить юзеров с одинаковыми МАС-ами.

Share this post


Link to post
Share on other sites
53 минуты назад, Baneff сказал:

Та ладно, никто ничего не получает, на то инструмент специальный есть, который у такого роутера все лизы моментально отбирает и раздавать ему уже после этого нечего. Тупо, но работает. Да и случается такое раз в месяц, в крайнем случае можно и позвонить и попросить кабелёк переткнуть куда надо или дождаться пока сами позвонят - інета то нету. А то поддержка скучает, а так какое-никакое, а развлечение.

Конечно, такое случается не каждый день.

Но до того как инструмент выгребет все лизы у роутера, соседи по причине того что они ближе, получат айпи от "перевертыша", со всеми вытекающими.

Понятно, что такие ситуации происходят не каждый день. 

Не призываю строить сети "из говна и палок", но на тупарях, до сих пор строятся и используют по разному, многие.

5 часов назад, Baneff сказал:

Просто, как выяснилось, есть один юзер, у которого специфический трафик, туева хуча мелких пакетов.

Туча это сколько в конкретных цифрах ?

Share this post


Link to post
Share on other sites
52 минуты назад, l1ght сказал:

dhcdrop

ну и как он поможет обнаружить клиента, подменившего свой мак на мак соседа?

 

52 минуты назад, l1ght сказал:

окей, запретите фрагментацию в сети

открою секрет: у всех tcp пакетов стоит флаг DF. что он значит - в курсе, не?

отсюда и пляски с mss clamping

 

51 минуту назад, Baneff сказал:

Узнать легко, периодическое сканирование сети арпингом или арпсканом даёт дапы если в сети есть одинаковые маки, не?

дапы может дать и с кривыми абонроутерами. так что не факт.

 

Share this post


Link to post
Share on other sites
57 минут назад, Baneff сказал:

Не-не, это не для того чтобы ловить юзеров с одинаковыми МАС-ами.

это для убийства левых дхцп

4 минуты назад, NiTr0 сказал:

открою секрет: у всех tcp пакетов стоит флаг DF. что он значит - в курсе, не?

отсюда и пляски с mss clamping

image.png.c35aa9d85f2cabb41e505422561ac01d.png

DF флаг там стоит по простой причине.

если пакет не влез в МТУ - вернуть icmp с собщение Fragmentation needed.

Edited by l1ght

Share this post


Link to post
Share on other sites
1 час назад, Dimkers сказал:
2 часа назад, sanyadnepr сказал:

На тупарях, PPPoE лучше чем DHCP.

На тупарях лучше вообще ничего.

2 часа назад, sanyadnepr сказал:

Все остальные "проблемные" ситуации с тупарями, примерно равнозначны и не важно какая авторизация.

Самая главная проблема тупаря - сам тупарь. Его меняешь и проблем нет :)

У меня такое же мнение, не строить сети на тупарях. Но реальность, она другая.

Тупарь не проблема. Живут вполне успешно сети и на тупарях, с минимумом проблем. :)

 

 

Share this post


Link to post
Share on other sites
8 минут назад, NiTr0 сказал:

обнаружить клиента, подменившего свой мак на мак соседа?

обычно для этого есть dhcp лог где устройство сообщает свой хостнейм

Share this post


Link to post
Share on other sites
2 часа назад, l1ght сказал:

обычно для этого есть dhcp лог где устройство сообщает свой хостнейм

проблема в том что хостнейм - не показатель. замена роутера - сменился хостнейм, подключил клиент комп напрямую, помимо роутера - сменился хостнейм. по каждому чиху звонить спрашивать "а вы меняли оборудование вчера?" - как по мне бред.

Share this post


Link to post
Share on other sites
3 часа назад, sanyadnepr сказал:

меня такое же мнение, не строить сети на тупарях. Но реальность, она другая.

Тупарь не проблема. Живут вполне успешно сети и на тупарях, с минимумом проблем

Ну да, как там мегого на Тизенах? :)

Share this post


Link to post
Share on other sites

Тема скатилась в соревнование чайников, кто тупее мысль задвинет.

Нынче роутер стоит не у 90, а у 99% юзеров. И им чихать какая там технология у провайдера, и логин/пароль свой они знать не знают. Его вбивает в роутер при подключении монтажник и все.

У меня большая часть сетей работает на идеальном qinq vlan-per-user, но сохранились и районы с pppoe(полностью управляемые).

Нашему саппорту проще с идеальной схемой, инет у клиента работает пока физика живая. Но со стороны клиента никакой разницы нет. Или работает, или нет.

И даже pmtu mss adjust я на pppoe серверах давно выключил - нынче он нахрен не нужен, кривых сайтов не осталось в мире.

Edited by KaYot
  • Like 2

Share this post


Link to post
Share on other sites

Перевага pppoe - однозначність ідентифікації сесії, що дуже спрощує діагностику працюючого підключення.  Друга, суттєва перевага - простота реалізації  концентроатора і низькі вимоги до мережі, що суттєво спрощує і здешевлює її побудову, практично незалежно від розміру мережі. Дуже просте резервування.

Є кілька мінусів, але на практиці вони не суттєві, основний мінус, звісно, складніше налаштування клієнтського обладнання. 

 

Правильний Ipoe набагато складніший і дорожчий в реалізації. Основна перевага - його менша ресурсоємкість, але насправді це не так критично, оскільки усі сучасні браси прекрасно працюють як з pppoe так і з ipoe.

Якщо робити невелику мережу, то, в принципі, можна організувати подобіє ipoe і на свічах чи серверах, але перший варіант буде доволі костильний і слабомасштабований, а другий же ж навряд чи суттєво відрізнятиметься від pppoe, принаймні я явних плюсів не бачу, а мінуси є.

Edited by andryas

Share this post


Link to post
Share on other sites
37 минут назад, KaYot сказал:

Тема скатилась в соревнование чайников, кто тупее мысль задвинет.

Ну вот. На пятый день пришёл лесник и всех разогнал...

 

41 минуту назад, KaYot сказал:

Нынче роутер стоит не у 90, а у 99% юзеров. И им чихать какая там технология у провайдера, и логин/пароль свой они знать не знают. Его вбивает в роутер при подключении монтажник и все.

Во  истину так! До тех пор, пока электричество в доме не моргнёт и некоторое кол-во роутеров не сбросится на настройки по умолчанию. Если у прова DHCP, то это они и есть, пароль на вайфай только слетает. А вот если там PPPoE, то всё, приплыли, надо мастера вызывать. У вас свет не моргает? У нас часто...

 

49 минут назад, KaYot сказал:

У меня большая часть сетей работает на идеальном qinq vlan-per-user, но сохранились и районы с pppoe(полностью управляемые).

Нашему саппорту проще с идеальной схемой, инет у клиента работает пока физика живая. Но со стороны клиента никакой разницы нет. Или работает, или нет.

Вот! Ведь правду говорят, что лучше быть богатым, но здоровым! Берём из тумбочки денег и ставим в каждый курятник по свичу за 200 баксов. Красота! Саппорт отдыхает  смотрит порнуху в рабочее время. А потом после следующей грозы опять берём денег из тумбочки и так по кругу. Главное, чтобы деньги в тумбочке не переводились и запас свичей был. У вас гроз не бывает? У нас в сезон - часто. Тут уже и мыльницы в ход идут и всё что под руку попадёт. Ну а потом - нет ничего более постоянного, чем временное, ибо работает - не трогай!

 

59 минут назад, KaYot сказал:

И даже pmtu mss adjust я на pppoe серверах давно выключил - нынче он нахрен не нужен, кривых сайтов не осталось в мире.

Вот спасибо! Только собрался смотреть что оно такое за pmtu, а уже и не надо. Время сэкономил.

Share this post


Link to post
Share on other sites
1 час назад, Dimkers сказал:

Ну да, как там мегого на Тизенах? :)

Извините, а что, мегого на мыльницах таки не работает? Чисто академический интерес.

Edited by Baneff

Share this post


Link to post
Share on other sites
4 часа назад, NiTr0 сказал:

ну и как он поможет обнаружить клиента, подменившего свой мак на мак соседа?

 

 

5 часов назад, Baneff сказал:

Узнать легко, периодическое сканирование сети арпингом или арпсканом даёт дапы если в сети есть одинаковые маки, не?



Чуваки, arpwatch придумали более 10 лет назад

Share this post


Link to post
Share on other sites
1 минуту назад, mixtery сказал:

Чуваки, arpwatch придумали более 10 лет назад

Ёлы-палы, ну как arpwatch может помочь обнаружить подмену мак адреса, а? Точно так же, видимо, как и dhcdrop...

Share this post


Link to post
Share on other sites
4 минуты назад, Baneff сказал:

Ёлы-палы, ну как arpwatch может помочь обнаружить подмену мак адреса, а? Точно так же, видимо, как и dhcdrop...

Нитро перекрутил а ты подхватил.

Там было про подавление левых дхцп. 

Share this post


Link to post
Share on other sites
6 часов назад, l1ght сказал:

dhcdrop

не благодарите

 

 

5 минут назад, l1ght сказал:

Нитро перекрутил а ты подхватил.

Там было про подавление левых дхцп. 

Нет, это вы перепутали, как раз в тот момент разговор  шёл о юзерах, подменяющих МАС адреса. Открутите назад и убедитесь сами. И менно для обнаружения таких юзеров и dhcdrop и arpwatch слабо подходят имхо. Если что - ничего личного, только бизнес :)

Share this post


Link to post
Share on other sites

Короче, суммируя всё вышесказанное, я пришёл к выводу, что самая правильная сеть - это сеть построенная строго на мыльницах с авторизацией по МАС адресам через DHCP. И масштабируется и дёшево и просто и сердито . Ну да, саппорту работы чуть больше и техникам по чердакам иногда приходится побегать, ну так у них работа такая.

 

Давайте тепрь лучше поговорим о том, что лучше: классика или гепон. А то как-то скучновато стало.

Share this post


Link to post
Share on other sites
47 минут назад, Baneff сказал:

Берём из тумбочки денег и ставим в каждый курятник по свичу за 200 баксов. Красота! Саппорт отдыхает  смотрит порнуху в рабочее время. А потом после следующей грозы опять берём денег из тумбочки и так по кругу. Главное, чтобы деньги в тумбочке не переводились и запас свичей был. У вас гроз не бывает? У нас в сезон - часто. Тут уже и мыльницы в ход идут и всё что под руку попадёт. Ну а потом - нет ничего более постоянного, чем временное, ибо работает - не трогай!

Жаль что мы работаем в разных районах. Мыльницы мы выкинули даже не из-за тупизны, а банально из-за отсутствия гигабитного аплинка.

Нынче в век 100м тарифов заставлять 8(а бывает и 24) клиентов работать через 100м аплинк - смерти подобно.

Да и стоимость порта даже для нового длинка за 120$ выходит 5$ - месячная абонплата которую вы дерёте с клиента.

А для слегка б/у техники(которую я могу вам продать в том числе в любом количестве) цена порта составит аж 1.5$. Грубо говоря железка отбивается за неделю работы, и экономить в таком виде - чистое жлобство. После сильной грозы(а они крепче чем вы думаете и горят куда реже тупарей) данная железка со спокойной душой отправляется в мусорку и на её место идет "новая" со склада.

Share this post


Link to post
Share on other sites
58 минут назад, Baneff сказал:

Извините, а что, мегого на мыльницах таки не работает? Чисто академический интерес. 

Работает. Тот кому адресовано понял меня :)

 

 

ЗЫ. Я за пон в многоэтажках :)

 

 

Edited by Dimkers
  • Like 1

Share this post


Link to post
Share on other sites
3 минуты назад, KaYot сказал:

Жаль что мы работаем в разных районах. Мыльницы мы выкинули даже не из-за тупизны, а банально из-за отсутствия гигабитного аплинка.

Нынче в век 100м тарифов заставлять 8(а бывает и 24) клиентов работать через 100м аплинк - смерти подобно.

Да и стоимость порта даже для нового длинка за 120$ выходит 5$ - месячная абонплата которую вы дерёте с клиента.

А для слегка б/у техники(которую я могу вам продать в том числе в любом количестве) цена порта составит аж 1.5$. Грубо говоря железка отбивается за неделю работы, и экономить в таком виде - чистое жлобство. После сильной грозы(а они крепче чем вы думаете и горят куда реже тупарей) данная железка со спокойной душой отправляется в мусорку и на её место идет "новая" со склада.

С вами интересно общаться, но нет, мне не жаль, что мы работаем в разных районах. Мы уж тут как нибудь сами :)

А мы вот от 100 мбит отказались вообще, не видим дальнейшего смысла. И, кстати, гигабитные мыльницы тоже бывают и у них гигабитный аплинк, на всех хватает. И конверторы гигабитные по цене мало отличаются от соточных. Да и в мусорку это всё после грозы отправлять как-то легче, дешевле, что-ли. Такие дела. А слегка б/у техника - это такие сильно жужжащее неисправными карлсонами, хорошо так потребляющие и греющиеся монстрики? Да, пробовали, ебай и всё такое, в курсе, помогать не надо. Но у нас малоэтажка, юзеров на дом - единицы, ящички маленькие, монстрики не влезают и выглядят явно избыточно в таких условиях. Короче, у каждого своя специфика. А про 5$, которые мы "дерём", так можно подумать, что вы не дерёте. Мы все тут последнюю горбушку хлеба отнимаем у бедных голодных детей, акулы капитализма, бляха-муха. Нет чтобы задарма интет раздавать, так поди ж ты...

Share this post


Link to post
Share on other sites
22 минуты назад, Dimkers сказал:

ЗЫ. Я за пон в многоэтажках :)

Ну вот, наконец-то! Это сурйозная заявка на последующую многостраничную дискуссию. Так держать!

Share this post


Link to post
Share on other sites

Для малоэтажной застройки тупарики и медики тем более не нужны. Пон же придумали данным давно, нынче ОНУ стоит дешевле чем медик, а 4-8 портовая дешевле чем медик+свич. При этом оно управляемое и имеет гигабит на входе.

Share this post


Link to post
Share on other sites
20 минут назад, KaYot сказал:

Для малоэтажной застройки тупарики и медики тем более не нужны. Пон же придумали данным давно, нынче ОНУ стоит дешевле чем медик, а 4-8 портовая дешевле чем медик+свич. При этом оно управляемое и имеет гигабит на входе.

Переделывать сеть, которая третий десяток лет разменяла уже с классики на пон? Нет уж, увольте. Повторюсь: работает - не трогай! И у пона, кстати сказать, недостатков ничуть не меньше, чем у любой другой технологии, только и слышно: то одно не работает, то другое. Можно ещё доксис или адсл внедрять, там тоже ОНУ дешёвые. Говорю-же, у каждого своя специфика и свои рецепты, выработанные годами и кровью, нет смысла спорить.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By Максим97
      что нужно настроить, что бы велся учет переданных данных и снималась абонентская плата в схеме собранной в GNS3?
    • By Amourmort
      Доброго времени суток!
      Был шлюз, настроенный неизвестно когда неизвестным админом. Всё прекрасно работало, интернет людям раздавался, пока не возникла необходимость перейти на другого провайдера.

      У предыдущего провайдера IP шлюзу не выдавался, адрес и шлюз был настроен прямо в rc.conf.
      У нового провайдера PPPoE
      Штатными средствами фряхи у меня поднять соединение не получилось... Вернее, соединение поднималось только вручную, командой /etc/rc.d/ppp start - при перезагрузке соединение автоматически не стартовало.
      Решил использовать утилиту mpd5 для PPPoE. Вот содержимое mpd.conf:
      default: load pppoe_client pppoe_client: # # PPPoE client: only outgoing calls, auto reconnect, # ipcp-negotiated address, one-sided authentication, # default route points on ISP's end # create bundle static B1 # set iface enable nat ##NAT is configured elsewhere set iface route default set ipcp ranges 0.0.0.0/0 0.0.0.0/0 create link static L1 pppoe set link action bundle B1 set auth authname ******** set auth password ******** set link max-redial 0 set link mtu 1492 set link keep-alive 10 60 set pppoe iface igb0 set pppoe service "" open Внёс правки в rc.conf, добавив туда запуск mpd5 и убрав интерфейс igb0. Так же, убрал строку defaultrouter - она была нужна для работы с предыдущим провайдером, с новым резолвер получает данные автоматически.
      Далее, в качестве фаервола используется PF.
      В /etc/pf.conf, к счастью, использованы переменные для конфигурации. Меняю одну переменную ext_if = "igb0" на ext_if = "ng0" и думаю, что дело сделано. Соединение при перезагрузке поднимается, доступ в интернет есть... Довольный собой уехал с объекта домой.
      Вроде бы всё хорошо.
      Но вдруг оказывается, что доступ есть далеко не к каждому сайту. Например, к укр.нет доступ есть. А к bitrix24.ua - нет.
      Пингую с сервака:
       
      ping bitrix24.ua PING bitrix24.ua (18.232.195.40): 56 data bytes ^C --- bitrix24.ua ping statistics --- 26 packets transmitted, 0 packets received, 100.0% packet loss ЧЗН? Спидтест:
       
      speedtest-cli Retrieving speedtest.net configuration... Testing from LIMANET Ltd. (141.105.132.238)... Retrieving speedtest.net server list... Selecting best server based on ping... Hosted by ISP Black Sea (Одесса) [0.43 km]: 5034.671 ms Testing download speed................................................................................ Download: 0.00 Mbit/s Testing upload speed................................................................................................ Upload: 0.00 Mbit/s АААААААААААААААААААА!!!! Что это???
       
      ping korinf-group.com PING korinf-group.com (91.234.33.240): 56 data bytes 64 bytes from 91.234.33.240: icmp_seq=0 ttl=58 time=13.654 ms 64 bytes from 91.234.33.240: icmp_seq=1 ttl=58 time=13.475 ms 64 bytes from 91.234.33.240: icmp_seq=2 ttl=58 time=13.332 ms 64 bytes from 91.234.33.240: icmp_seq=3 ttl=58 time=13.913 ms 64 bytes from 91.234.33.240: icmp_seq=4 ttl=58 time=14.873 ms 64 bytes from 91.234.33.240: icmp_seq=5 ttl=58 time=14.033 ms 64 bytes from 91.234.33.240: icmp_seq=6 ttl=58 time=13.743 ms ^C --- korinf-group.com ping statistics --- 7 packets transmitted, 7 packets received, 0.0% packet loss round-trip min/avg/max/stddev = 13.332/13.860/14.873/0.469 ms ping google.com.ua PING google.com.ua (216.58.215.67): 56 data bytes 64 bytes from 216.58.215.67: icmp_seq=0 ttl=120 time=27.686 ms 64 bytes from 216.58.215.67: icmp_seq=1 ttl=120 time=27.766 ms 64 bytes from 216.58.215.67: icmp_seq=2 ttl=120 time=27.738 ms 64 bytes from 216.58.215.67: icmp_seq=3 ttl=120 time=27.651 ms 64 bytes from 216.58.215.67: icmp_seq=4 ttl=120 time=27.603 ms 64 bytes from 216.58.215.67: icmp_seq=5 ttl=120 time=27.781 ms 64 bytes from 216.58.215.67: icmp_seq=6 ttl=120 time=27.562 ms ^C --- google.com.ua ping statistics --- 7 packets transmitted, 7 packets received, 0.0% packet loss round-trip min/avg/max/stddev = 27.562/27.684/27.781/0.077 ms Как такое может быть? Куда копать?
      При этом, если на компе юзера включить какой-нибудь "впн", с туннелем через Киев или Берлин, доступ к любым сайтам есть, как положено...
    • By Максим97
      После установки FreeBSD на виртуал бокс по инструкции с данного видео, не устанавливается пакет pkg и не могу зайти в режим супер юзера, что делать?
    • By KGroup
      Всем привет!
      Подскажите плиз: Как очистить содержимое всех файлов в каталоге на системе linux без удаления самих файлов?
      Может скрипт какой есть для примера?
       
      зы.
      sudo cat /dev/null > file.txt работает только с одним файлом...
       
    • By a_n_h
      Всем доброго дня!
      в чем разница между созданием vlan:
       
      1-й способ:
      cloned_interfaces="vlan101 vlan102 vlan103 vlan104"
      ifconfig_igb0="up"
      ifconfig_igb1="up"
      ifconfig_igb2="up"
      ifconfig_igb3="up"
      ifconfig_vlan101="vlan 101 vlandev igb0 up"
      ifconfig_vlan102="vlan 102 vlandev igb1 up"
      ifconfig_vlan103="vlan 103 vlandev igb2 up"
      ifconfig_vlan104="vlan 104 vlandev igb3 up"
       
       
      и 2-й способ:
      cloned_interfaces="igb0.101 igb0.102 igb2.103 igb2.104 up"
       
       
×