Перейти к содержимому
Local
Baneff

DUMMYNET и все-все-все

Рекомендованные сообщения

1 час назад, sanyadnepr сказал:

Спора нет. Есть объективная реальность. На тупарях, PPPoE лучше чем DHCP.

По одной простой причине, когда абон включает локальный порт роутера в тупарь, все другие абоны, получают от "перевертыша" настройки.

С PPPoE этой проблемы нет.

Все остальные "проблемные" ситуации с тупарями, примерно равнозначны и не важно какая авторизация.

 

Та ладно, никто ничего не получает, на то инструмент специальный есть, который у такого роутера все лизы моментально отбирает и раздавать ему уже после этого нечего. Тупо, но работает. Да и случается такое раз в месяц, в крайнем случае можно и позвонить и попросить кабелёк переткнуть куда надо или дождаться пока сами позвонят - інета то нету. А то поддержка скучает, а так какое-никакое, а развлечение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
8 минут назад, NiTr0 сказал:

проблема в том что о существовании такого умника надо сначала узнать. а это в автоматическом режиме таки невозможно в принципе.

dhcdrop

не благодарите

9 минут назад, NiTr0 сказал:

и уж тем более ничего не дефрагментируется на роутере абона. приполз фрагмент 1472 байта - в том же виде и отправлен абону.

окей, запретите фрагментацию в сети

тока район свой сразу скажите что б абонов ваших подобрать (Харьков же, да?) :) 

10 минут назад, NiTr0 сказал:

что такое PMTU - в курсе, не?

он никогда толком не работал

там больше держится за счет tcp mss ajust на брасе а удп лезет фрагментами сколько мту позволит

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
7 минут назад, NiTr0 сказал:

проблема в том что о существовании такого умника надо сначала узнать. а это в автоматическом режиме таки невозможно в принципе.

Узнать легко, периодическое сканирование сети арпингом или арпсканом даёт дапы если в сети есть одинаковые маки, не?

 

11 минут назад, NiTr0 сказал:

да ничего никуда не фрагментируется с пппое ни на роутерах, ни на брасах (ну разве что кроме icmp, которые пинги, ну или udp, которого тоже копейки и у которого большие пакеты - редкость). что такое PMTU - в курсе, не?

и уж тем более ничего не дефрагментируется на роутере абона. приполз фрагмент 1472 байта - в том же виде и отправлен абону.

Не, не в курсе. Но спасибо, почитаю.

5 минут назад, l1ght сказал:

dhcdrop

не благодарите

Не-не, это не для того чтобы ловить юзеров с одинаковыми МАС-ами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
53 минуты назад, Baneff сказал:

Та ладно, никто ничего не получает, на то инструмент специальный есть, который у такого роутера все лизы моментально отбирает и раздавать ему уже после этого нечего. Тупо, но работает. Да и случается такое раз в месяц, в крайнем случае можно и позвонить и попросить кабелёк переткнуть куда надо или дождаться пока сами позвонят - інета то нету. А то поддержка скучает, а так какое-никакое, а развлечение.

Конечно, такое случается не каждый день.

Но до того как инструмент выгребет все лизы у роутера, соседи по причине того что они ближе, получат айпи от "перевертыша", со всеми вытекающими.

Понятно, что такие ситуации происходят не каждый день. 

Не призываю строить сети "из говна и палок", но на тупарях, до сих пор строятся и используют по разному, многие.

5 часов назад, Baneff сказал:

Просто, как выяснилось, есть один юзер, у которого специфический трафик, туева хуча мелких пакетов.

Туча это сколько в конкретных цифрах ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
52 минуты назад, l1ght сказал:

dhcdrop

ну и как он поможет обнаружить клиента, подменившего свой мак на мак соседа?

 

52 минуты назад, l1ght сказал:

окей, запретите фрагментацию в сети

открою секрет: у всех tcp пакетов стоит флаг DF. что он значит - в курсе, не?

отсюда и пляски с mss clamping

 

51 минуту назад, Baneff сказал:

Узнать легко, периодическое сканирование сети арпингом или арпсканом даёт дапы если в сети есть одинаковые маки, не?

дапы может дать и с кривыми абонроутерами. так что не факт.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
57 минут назад, Baneff сказал:

Не-не, это не для того чтобы ловить юзеров с одинаковыми МАС-ами.

это для убийства левых дхцп

4 минуты назад, NiTr0 сказал:

открою секрет: у всех tcp пакетов стоит флаг DF. что он значит - в курсе, не?

отсюда и пляски с mss clamping

image.png.c35aa9d85f2cabb41e505422561ac01d.png

DF флаг там стоит по простой причине.

если пакет не влез в МТУ - вернуть icmp с собщение Fragmentation needed.

Изменено пользователем l1ght

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 час назад, Dimkers сказал:
2 часа назад, sanyadnepr сказал:

На тупарях, PPPoE лучше чем DHCP.

На тупарях лучше вообще ничего.

2 часа назад, sanyadnepr сказал:

Все остальные "проблемные" ситуации с тупарями, примерно равнозначны и не важно какая авторизация.

Самая главная проблема тупаря - сам тупарь. Его меняешь и проблем нет :)

У меня такое же мнение, не строить сети на тупарях. Но реальность, она другая.

Тупарь не проблема. Живут вполне успешно сети и на тупарях, с минимумом проблем. :)

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
8 минут назад, NiTr0 сказал:

обнаружить клиента, подменившего свой мак на мак соседа?

обычно для этого есть dhcp лог где устройство сообщает свой хостнейм

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
2 часа назад, l1ght сказал:

обычно для этого есть dhcp лог где устройство сообщает свой хостнейм

проблема в том что хостнейм - не показатель. замена роутера - сменился хостнейм, подключил клиент комп напрямую, помимо роутера - сменился хостнейм. по каждому чиху звонить спрашивать "а вы меняли оборудование вчера?" - как по мне бред.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
3 часа назад, sanyadnepr сказал:

меня такое же мнение, не строить сети на тупарях. Но реальность, она другая.

Тупарь не проблема. Живут вполне успешно сети и на тупарях, с минимумом проблем

Ну да, как там мегого на Тизенах? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тема скатилась в соревнование чайников, кто тупее мысль задвинет.

Нынче роутер стоит не у 90, а у 99% юзеров. И им чихать какая там технология у провайдера, и логин/пароль свой они знать не знают. Его вбивает в роутер при подключении монтажник и все.

У меня большая часть сетей работает на идеальном qinq vlan-per-user, но сохранились и районы с pppoe(полностью управляемые).

Нашему саппорту проще с идеальной схемой, инет у клиента работает пока физика живая. Но со стороны клиента никакой разницы нет. Или работает, или нет.

И даже pmtu mss adjust я на pppoe серверах давно выключил - нынче он нахрен не нужен, кривых сайтов не осталось в мире.

Изменено пользователем KaYot
  • Like 2

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Перевага pppoe - однозначність ідентифікації сесії, що дуже спрощує діагностику працюючого підключення.  Друга, суттєва перевага - простота реалізації  концентроатора і низькі вимоги до мережі, що суттєво спрощує і здешевлює її побудову, практично незалежно від розміру мережі. Дуже просте резервування.

Є кілька мінусів, але на практиці вони не суттєві, основний мінус, звісно, складніше налаштування клієнтського обладнання. 

 

Правильний Ipoe набагато складніший і дорожчий в реалізації. Основна перевага - його менша ресурсоємкість, але насправді це не так критично, оскільки усі сучасні браси прекрасно працюють як з pppoe так і з ipoe.

Якщо робити невелику мережу, то, в принципі, можна організувати подобіє ipoe і на свічах чи серверах, але перший варіант буде доволі костильний і слабомасштабований, а другий же ж навряд чи суттєво відрізнятиметься від pppoe, принаймні я явних плюсів не бачу, а мінуси є.

Изменено пользователем andryas

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
37 минут назад, KaYot сказал:

Тема скатилась в соревнование чайников, кто тупее мысль задвинет.

Ну вот. На пятый день пришёл лесник и всех разогнал...

 

41 минуту назад, KaYot сказал:

Нынче роутер стоит не у 90, а у 99% юзеров. И им чихать какая там технология у провайдера, и логин/пароль свой они знать не знают. Его вбивает в роутер при подключении монтажник и все.

Во  истину так! До тех пор, пока электричество в доме не моргнёт и некоторое кол-во роутеров не сбросится на настройки по умолчанию. Если у прова DHCP, то это они и есть, пароль на вайфай только слетает. А вот если там PPPoE, то всё, приплыли, надо мастера вызывать. У вас свет не моргает? У нас часто...

 

49 минут назад, KaYot сказал:

У меня большая часть сетей работает на идеальном qinq vlan-per-user, но сохранились и районы с pppoe(полностью управляемые).

Нашему саппорту проще с идеальной схемой, инет у клиента работает пока физика живая. Но со стороны клиента никакой разницы нет. Или работает, или нет.

Вот! Ведь правду говорят, что лучше быть богатым, но здоровым! Берём из тумбочки денег и ставим в каждый курятник по свичу за 200 баксов. Красота! Саппорт отдыхает  смотрит порнуху в рабочее время. А потом после следующей грозы опять берём денег из тумбочки и так по кругу. Главное, чтобы деньги в тумбочке не переводились и запас свичей был. У вас гроз не бывает? У нас в сезон - часто. Тут уже и мыльницы в ход идут и всё что под руку попадёт. Ну а потом - нет ничего более постоянного, чем временное, ибо работает - не трогай!

 

59 минут назад, KaYot сказал:

И даже pmtu mss adjust я на pppoe серверах давно выключил - нынче он нахрен не нужен, кривых сайтов не осталось в мире.

Вот спасибо! Только собрался смотреть что оно такое за pmtu, а уже и не надо. Время сэкономил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 час назад, Dimkers сказал:

Ну да, как там мегого на Тизенах? :)

Извините, а что, мегого на мыльницах таки не работает? Чисто академический интерес.

Изменено пользователем Baneff

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
4 часа назад, NiTr0 сказал:

ну и как он поможет обнаружить клиента, подменившего свой мак на мак соседа?

 

 

5 часов назад, Baneff сказал:

Узнать легко, периодическое сканирование сети арпингом или арпсканом даёт дапы если в сети есть одинаковые маки, не?



Чуваки, arpwatch придумали более 10 лет назад

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 минуту назад, mixtery сказал:

Чуваки, arpwatch придумали более 10 лет назад

Ёлы-палы, ну как arpwatch может помочь обнаружить подмену мак адреса, а? Точно так же, видимо, как и dhcdrop...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
4 минуты назад, Baneff сказал:

Ёлы-палы, ну как arpwatch может помочь обнаружить подмену мак адреса, а? Точно так же, видимо, как и dhcdrop...

Нитро перекрутил а ты подхватил.

Там было про подавление левых дхцп. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
6 часов назад, l1ght сказал:

dhcdrop

не благодарите

 

 

5 минут назад, l1ght сказал:

Нитро перекрутил а ты подхватил.

Там было про подавление левых дхцп. 

Нет, это вы перепутали, как раз в тот момент разговор  шёл о юзерах, подменяющих МАС адреса. Открутите назад и убедитесь сами. И менно для обнаружения таких юзеров и dhcdrop и arpwatch слабо подходят имхо. Если что - ничего личного, только бизнес :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Короче, суммируя всё вышесказанное, я пришёл к выводу, что самая правильная сеть - это сеть построенная строго на мыльницах с авторизацией по МАС адресам через DHCP. И масштабируется и дёшево и просто и сердито . Ну да, саппорту работы чуть больше и техникам по чердакам иногда приходится побегать, ну так у них работа такая.

 

Давайте тепрь лучше поговорим о том, что лучше: классика или гепон. А то как-то скучновато стало.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
47 минут назад, Baneff сказал:

Берём из тумбочки денег и ставим в каждый курятник по свичу за 200 баксов. Красота! Саппорт отдыхает  смотрит порнуху в рабочее время. А потом после следующей грозы опять берём денег из тумбочки и так по кругу. Главное, чтобы деньги в тумбочке не переводились и запас свичей был. У вас гроз не бывает? У нас в сезон - часто. Тут уже и мыльницы в ход идут и всё что под руку попадёт. Ну а потом - нет ничего более постоянного, чем временное, ибо работает - не трогай!

Жаль что мы работаем в разных районах. Мыльницы мы выкинули даже не из-за тупизны, а банально из-за отсутствия гигабитного аплинка.

Нынче в век 100м тарифов заставлять 8(а бывает и 24) клиентов работать через 100м аплинк - смерти подобно.

Да и стоимость порта даже для нового длинка за 120$ выходит 5$ - месячная абонплата которую вы дерёте с клиента.

А для слегка б/у техники(которую я могу вам продать в том числе в любом количестве) цена порта составит аж 1.5$. Грубо говоря железка отбивается за неделю работы, и экономить в таком виде - чистое жлобство. После сильной грозы(а они крепче чем вы думаете и горят куда реже тупарей) данная железка со спокойной душой отправляется в мусорку и на её место идет "новая" со склада.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
58 минут назад, Baneff сказал:

Извините, а что, мегого на мыльницах таки не работает? Чисто академический интерес. 

Работает. Тот кому адресовано понял меня :)

 

 

ЗЫ. Я за пон в многоэтажках :)

 

 

Изменено пользователем Dimkers
  • Like 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
3 минуты назад, KaYot сказал:

Жаль что мы работаем в разных районах. Мыльницы мы выкинули даже не из-за тупизны, а банально из-за отсутствия гигабитного аплинка.

Нынче в век 100м тарифов заставлять 8(а бывает и 24) клиентов работать через 100м аплинк - смерти подобно.

Да и стоимость порта даже для нового длинка за 120$ выходит 5$ - месячная абонплата которую вы дерёте с клиента.

А для слегка б/у техники(которую я могу вам продать в том числе в любом количестве) цена порта составит аж 1.5$. Грубо говоря железка отбивается за неделю работы, и экономить в таком виде - чистое жлобство. После сильной грозы(а они крепче чем вы думаете и горят куда реже тупарей) данная железка со спокойной душой отправляется в мусорку и на её место идет "новая" со склада.

С вами интересно общаться, но нет, мне не жаль, что мы работаем в разных районах. Мы уж тут как нибудь сами :)

А мы вот от 100 мбит отказались вообще, не видим дальнейшего смысла. И, кстати, гигабитные мыльницы тоже бывают и у них гигабитный аплинк, на всех хватает. И конверторы гигабитные по цене мало отличаются от соточных. Да и в мусорку это всё после грозы отправлять как-то легче, дешевле, что-ли. Такие дела. А слегка б/у техника - это такие сильно жужжащее неисправными карлсонами, хорошо так потребляющие и греющиеся монстрики? Да, пробовали, ебай и всё такое, в курсе, помогать не надо. Но у нас малоэтажка, юзеров на дом - единицы, ящички маленькие, монстрики не влезают и выглядят явно избыточно в таких условиях. Короче, у каждого своя специфика. А про 5$, которые мы "дерём", так можно подумать, что вы не дерёте. Мы все тут последнюю горбушку хлеба отнимаем у бедных голодных детей, акулы капитализма, бляха-муха. Нет чтобы задарма интет раздавать, так поди ж ты...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
22 минуты назад, Dimkers сказал:

ЗЫ. Я за пон в многоэтажках :)

Ну вот, наконец-то! Это сурйозная заявка на последующую многостраничную дискуссию. Так держать!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для малоэтажной застройки тупарики и медики тем более не нужны. Пон же придумали данным давно, нынче ОНУ стоит дешевле чем медик, а 4-8 портовая дешевле чем медик+свич. При этом оно управляемое и имеет гигабит на входе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
20 минут назад, KaYot сказал:

Для малоэтажной застройки тупарики и медики тем более не нужны. Пон же придумали данным давно, нынче ОНУ стоит дешевле чем медик, а 4-8 портовая дешевле чем медик+свич. При этом оно управляемое и имеет гигабит на входе.

Переделывать сеть, которая третий десяток лет разменяла уже с классики на пон? Нет уж, увольте. Повторюсь: работает - не трогай! И у пона, кстати сказать, недостатков ничуть не меньше, чем у любой другой технологии, только и слышно: то одно не работает, то другое. Можно ещё доксис или адсл внедрять, там тоже ОНУ дешёвые. Говорю-же, у каждого своя специфика и свои рецепты, выработанные годами и кровью, нет смысла спорить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

  • Похожие публикации

    • Автор: Oleg2018
      Посоветуйте ,такая ситуация при сканировании хоста с биллингом во внешней сети открытые порты 5555 (stargazer), и 80 (apache). Если их нужно наверное спрятать от внешней сети, то как правильно написать правило ipfw ,касательно этих портов.Все остальное что вылезло после установки я закрыл, а здесь не получается никак. Спаибо заранее. 
    • Автор: Новичок я тут
      Доброго вечера, хотел бы услышать мнение знающих людей, какой фаервол выбрать для ната что удобней, производительней ? ipfw или pf кто что использует
    • Автор: rusol
      Здравствуйте, голова уже болит, мысли закончились, может кто-то подскажет чего...

      Ситуация такая:

      Клиент жалуется, что c их ftp, который находиться в России, плохая скорость (прыгает от 10 Мбит/с до 30 Мбит/с, по тарифу должна быть 100 Мбит/с), проверили на ftp другого хостинга - все нормально, 100 Мбит.

      Я бы не писал сюда, но есть одно большое НО.. когда я захожу на главный маршрутизатор (FreeBSD + Nodeny 50.32 + IPFW + PF), то с главного сервака скорость отличная, а за серваком (в сети) скорость падает, при этом на другие ftp скорость хорошая с сети...

      То-есть без связки Nodeny + IPFW + PF - скорость отличная (на главном серваке).

      Подставлял реальный IP сервака на локальную машину, думал может ftp по IP что-то ограничивает, эффекта не дало...

      Может кто подскажет куда поглядеть, у меня уже мысли заканчиваются...
    • Автор: FosterUA
      Сегодня на появилось
      cam status uncorrectable parity/crc error
      Reatrying command
      Write fpdma queued
       
      Подскажите что это ? Спасибо
    • Автор: Baneff
      Доброго всем дня. А остались ли тут специалисты по FreeBSD? Или все уже перешли на сторону Темнейшего?
      Вопрос вот возник. Изучаю возможность внедрения технологии vlan-per-user и понадобилось вот создать на машинке под FreeBSD несколько тысяч пользовательских виланов. Как кошернее это делать? Сгенерировать конфиг скриптом и просто добавить в rc.conf ? Не трогать rc.conf и генерить всю эту байду стартовым скриптом? Сколько времени займёт тогда процесс генерации например 4000 виланов? И вообще, как сама FreeBSD среагирует на такое издевательство, не вылезет ли какая нехватка буферов, дескрипторов и тому подобное. Возможно под такой случай требуется какой-то тюнинг фри? Поделитесь опытом, плиз. Спасибо.
×