Внедрение ipv6 в маленькую сеть!

[sanyadnepr 305]

  В 17.10.2019 в 13:34, vop сказав:

С тех пор я слышал огромное количество "аргументов" со стороны украинских провайдеров, почему они это делать не хотят, им это не выгодно, это не правильно...

Expand  

В смысле им дорого...такая аргументация. Но они стесняются об этом сказать. 

[nik247 3]

  В 16.10.2019 в 18:59, Baneff сказав:

В чём польза? Оборудование не умеет, но не важно. Правда не понятно, как можно опшн 82 с пользой прилепить к вилан пер юзер?

Expand  

Например для PON увидеть (авторизовать) по MAC ONU

 

 

[nik247 3]

  В 17.10.2019 в 05:53, sanyadnepr сказав:

Если Вы не в курсе, то dhcp запросы/ответы "перехватывает" и передает коммутатор, во влане управления, dhcp сервера в абонентском влане просто нет.

Expand  

Не всегда так - при DHCP snooping opt82 находится в абонентском влане, как и сам DHCP сервер.

В этом случае в DHCP запросы добавляется opt82

[vop 370]

  В 17.10.2019 в 19:14, nik247 сказав:

Например для PON увидеть (авторизовать) по MAC ONU

Expand  

 

По этому поводу провайдер сказал что-то типа - а вдруг абон поставит свою онушку, зарегистрирует ее, а мы потом мучайся.:) Ну я особо не настаиваю. Мое дело предложить, а дело провайдера - выбрать так, как ему удобно...

 

[nik247 3]

  В 17.10.2019 в 20:13, vop сказав:

 

По этому поводу провайдер сказал что-то типа - а вдруг абон поставит свою онушку, зарегистрирует ее, а мы потом мучайся.:) Ну я особо не настаиваю. Мое дело предложить, а дело провайдера - выбрать так, как ему удобно...

 

Expand  

Так вот в данном случае MAC ONU передается в оп82 и может использоваться при авторизации и клиент просто так поменять ОНУ не может, тем более что очень часто их дают во временное пользование.

[NiTr0 585]

  В 17.10.2019 в 08:44, Baneff сказав:

Ну если там есть option 82 , то и DHCP snooping должон быть, не?

А если вилан пер юзер, то тогда вообще без разницы кто и что и куда там втыкает.

Expand  

ок, вытащили Васю из 20 порта и воткнули в 10, в котором был Петя. если забить на смену маков и тупо авторизовать по порту (опцией 82 или вланом) - биллинг будет считать, что это до сих пор Петя на 10 порту, просто мак-адрес сменил...

[vop 370]

  В 17.10.2019 в 20:28, nik247 сказав:

Так вот в данном случае MAC ONU передается в оп82 и может использоваться при авторизации и клиент просто так поменять ОНУ не может, тем более что очень часто их дают во временное пользование.

Expand  

 

Я передам ваши слова ребятам из райцентра... Хотя, я им уже давно сам все объяснил и пояснил.

[vop 370]

  В 17.10.2019 в 21:50, NiTr0 сказав:

ок, вытащили Васю из 20 порта и воткнули в 10, в котором был Петя. если забить на смену маков и тупо авторизовать по порту (опцией 82 или вланом) - биллинг будет считать, что это до сих пор Петя на 10 порту, просто мак-адрес сменил...

Expand  

Там не новый мак у Пети будет. Там будет Васин мак с другой опцией 82. Просто напомню, dhcp сервер  выдает и хранит лизы по мак-адресам, и никак иначе. И если биллинг не следит за парами mac/82 - то начнется компот и "внеземные цивилизации". 

[NiTr0 585]

  В 17.10.2019 в 22:01, vop сказав:

Там не новый мак у Пети будет. Там будет Васин мак с другой опцией 82.

Expand  

вот как раз со стороны биллинга будет выглдеть как будто Вася дал попользоваться роутером Пете. ну или Петя поменял роутер, если дело было после грозы...

 

  В 17.10.2019 в 22:01, vop сказав:

Просто напомню, dhcp сервер  выдает и хранит лизы по мак-адресам, и никак иначе

Expand  

или по опции 82. тут уже особенности реализации.

 

  В 17.10.2019 в 22:01, vop сказав:

И если биллинг не следит за парами mac/82 - то начнется компот и "внеземные цивилизации".

Expand  

об чем и речь. потому сменился мак - надо значит уточнить, а кто же это там живет сейчас на порту...

[vop 370]

  В 18.10.2019 в 18:59, NiTr0 сказав:

или по опции 82. тут уже особенности реализации.

Expand  

 

Я про таких не слышал. Не подскажите, о каких реализациях идет речь?  Те, немногие dhcp сервера, которые я в свое время пробовал, всегда продлевают ту же лизу даже при смене opt 82. Так-как это вообще не дело dhcp сервера их отслеживать. Пришла опция - выбрал политику выбора пула (если админ настроил его на это "беспокойство"), и забыл. Все остальное - это дело свича, как реагировать, на ответ с "неправильной" опцией 82 (для чего она, собственно говоря, и придумывалась). Большинство железа на это никак не реагирует.

 

По большому счету, если эта опция не используется для защиты от тех двух видов dhcp-аттак, то и в dhcp-сервере про нее можно и не вспоминать особо. От сервера помимо стандартного ответа с опцией при начале делегирования адреса достаточно того, что бы он фиксировал пришедшие опции где-нибудь, даже в том же логе. Хотя, можно вообще поставить на порт отдельный парсер опции от биллинга, если таковой умеет.

Відредаговано 2019-10-19 00:24:27 vop

[KaYot 3 730]

  В 19.10.2019 в 00:16, vop сказав:

Я про таких не слышал. Не подскажите, о каких реализациях идет речь?

Expand  

Perl-dhcp от Ивана с НАГа например. У нас он выдает IP по опт82 полностью игнорируя мак.

Решает клиент в воскресенье ночью воткнуть комп напрямую в кабель вместо сгоревшего роутера - мгновенно получает тот же ИП и все работает. Без звонков в ТП и лишних нервов.

[vop 370]

  В 19.10.2019 в 05:23, KaYot сказав:

Perl-dhcp от Ивана с НАГа например. У нас он выдает IP по опт82 полностью игнорируя мак.

Решает клиент в воскресенье ночью воткнуть комп напрямую в кабель вместо сгоревшего роутера - мгновенно получает тот же ИП и все работает. Без звонков в ТП и лишних нервов.

Expand  

Вы сейчас описали совершенно другую ситуацию - другой MAC в тот же порт. А мы обсуждали ситуацию одного и того же MAC'а в другой порт.

 

У Ивана сделано немного по другому. Он просто исполняет отказ от лизы и выдает новую. А опция 82 используется опять же для выбора политики выдачи ip адреса, точно так же, как и любые другие сервера. Немного грубо, и не совсем чисто, но для всех общих случаев подойдет.

 

[rtrt 59]

мне, когда-то делали так, порт -ип, и пох какой там мак... если на абоне введен статик - не работает

 

[prototip 284]

  В 19.10.2019 в 05:23, KaYot сказав:

Perl-dhcp от Ивана с НАГа например. У нас он выдает IP по опт82 полностью игнорируя мак.

Решает клиент в воскресенье ночью воткнуть комп напрямую в кабель вместо сгоревшего роутера - мгновенно получает тот же ИП и все работает. Без звонков в ТП и лишних нервов.

Expand  

Да юзаем такой - полет нормальный и правильный , коечто из мелочей для разбора опт82 от бдкома допиливал, на ЗТЕ так и руки не дошл,  кстати а веб интерфейс под абилс не пояаился часом продвинутый для дхсп на перле  ?

[KaYot 3 730]

  В 19.10.2019 в 11:05, vop сказав:

У Ивана сделано немного по другому. Он просто исполняет отказ от лизы и выдает новую.

Expand  

Вообще ничего общего с реальностью. Скрипт разбирает опцию 82 и на её основе выдает IP.

У нас оно используется сугубо в виде "vlan пользователя", на основе этой информации юзер получает свой ИП.

И пох, свич с витухой это в многоэтажке, ethernet на медиках в ЧС или ПОН любой марки.

[vop 370]

  В 19.10.2019 в 16:40, KaYot сказав:

Вообще ничего общего с реальностью. Скрипт разбирает опцию 82 и на её основе выдает IP.

Expand  

 

Я вас услышал. Вы - о своем. Ну да ладно, не важно.

[fet4 46]

  В 19.10.2019 в 11:05, vop сказав:

Вы сейчас описали совершенно другую ситуацию - другой MAC в тот же порт. А мы обсуждали ситуацию одного и того же MAC'а в другой порт.

 

 У Ивана сделано немного по другому. Он просто исполняет отказ от лизы и выдает новую. А опция 82 используется опять же для выбора политики выдачи ip адреса, точно так же, как и любые другие сервера. Немного грубо, и не совсем чисто, но для всех общих случаев подойдет.

 

Expand  

 

Ну и что с того что один и тот же мак появляется в разных портах которые заведомо присвоены под одного клиента ? Да хоть два одновременно одинаковых мака в разных портах, выдаем ip согласно порту/влану и не иначе. Бред переспрашивать логин и пароль у клиента если он один на порту/влане

  В 17.10.2019 в 21:50, NiTr0 сказав:

ок, вытащили Васю из 20 порта и воткнули в 10, в котором был Петя. если забить на смену маков и тупо авторизовать по порту (опцией 82 или вланом) - биллинг будет считать, что это до сих пор Петя на 10 порту, просто мак-адрес сменил...

Expand  

Ну и хрен с ним, рано или поздно это вылезит например по разбежности балансов и тогда разберемся кто был на этом ящике и в какой момент и накажем его за перетыкание.

Відредаговано 2019-10-19 20:08:08 fet4

[KaYot 3 730]

Проблема перетыкания сильно преувеличена.

Решается она административным запретом на подобные действия, за 5 лет работы не припомню ни одной проблемы перепутанных портов/логинов.

При подключении нового клиента ему заранее создается учетка(а как иначе?), и монтажник включает кабель в заранее указанный порт. Изредка оказывается что порт битый/занят чем-то не прописанным в системе контроля - в телефонном режиме за 30с оператор меняет порт в учетке клиента и все счастливы.

Не нужны клиенту лишние авторизации, не нужны записи "на пачке сигарет".

[NiTr0 585]

  В 19.10.2019 в 00:16, vop сказав:

Не подскажите, о каких реализациях идет речь?

Expand  

тот же accel-ppp к примеру. ну или самописные, где работа с опцией 82 идет так, как автору хочется.

 

  В 19.10.2019 в 20:06, fet4 сказав:

Ну и хрен с ним, рано или поздно это вылезит например по разбежности балансов и тогда разберемся кто был на этом ящике и в какой момент и накажем его за перетыкание.

Expand  

угу, а до того - вынос мозга саппорту "почему у меня 50 мбит когда я плачу за 100" и рассказы всем о том какой оператор м@д#к.

 

  В 20.10.2019 в 08:15, KaYot сказав:

Решается она административным запретом на подобные действия, за 5 лет работы не припомню ни одной проблемы перепутанных портов/логинов.

 

Expand  

вот вырезали по крыше пучок кабелей. как узнать какой из них в какой порт шел?...

[KaYot 3 730]

  В 20.10.2019 в 08:25, NiTr0 сказав:

вот вырезали по крыше пучок кабелей. как узнать какой из них в какой порт шел?...

Expand  

Элементарно.

Всем клиентам в этом свиче сбрасывается порт, дальше по последним МАКам операторы вручную восстанавливают 90% пользователей все как было.

Оставшиеся 2-3 неактивные в данный момент клиента авторизируются или самостоятельно после ввода пароля на парковочной странице, или по звонку.

 

Происходит это достаточно редко что б специально что-то автоматизировать, в неблагонадежных домах где неоднократно вырезали мы к примеру весь кабель идущий по чердаку-техэтажу закрыли в металлорукав и вандализм моментально прекратился. Т.е. это опять же больше административная проблема, чем техническая.

Відредаговано 2019-10-20 08:39:44 KaYot

[vop 370]

  В 20.10.2019 в 08:25, NiTr0 сказав:

тот же accel-ppp к примеру. ну или самописные, где работа с опцией 82 идет так, как автору хочется.

Expand  

 

Знаете, что называют "котылями"? В ситуациях, когда задачу нельзя решить стандартными способами, придумывают нестандартный, с нарушением принятых протоколов. Обычно "костыль" решает определенную задачу, иногда даже не плохо, до определенного момента, в который стандартная мера могла бы справится сама.

 

Работа с оцией 82 может быть какой угодно - даже на "побочных эффектах", но я бы назвал это каким-нибудь другим словом, а не "реализацией dhcp".

 

И что бы не вставать два раза:
 

  В 20.10.2019 в 08:15, KaYot сказав:

Проблема перетыкания сильно преувеличена.

Expand  

 

Называется "развивать победное наступление"

 

Дружище, мне, честно говоря, наплевать на проблемы "производственников". Мне не интересно заниматься скучной работой. поэтому я продал свой провайдер много лет назад после 15 лет провайдерства.

 

Однако...

 

  Quote

Не нужны клиенту лишние авторизации, не нужны записи "на пачке сигарет".

Expand  

 

  В 20.10.2019 в 08:39, KaYot сказав:

Оставшиеся 2-3 неактивные в данный момент клиента авторизируются или самостоятельно после ввода пароля на парковочной странице, или по звонку.

Expand  

 

Что-то я запутался - надо или не надо.

Вообще, для авторизации не обязательно использовать логины и пароли. Для авторизации есть много других способов, которые не требуют введения пароля - от SMS и smartcard (payment-id) и до сканирования qr-code. И речь, будем честным, не о "дополнительной" авторизации, а о входе в свой кабинет клиента, не более того.

 

  В 20.10.2019 в 08:39, KaYot сказав:

Всем клиентам в этом свиче сбрасывается порт, дальше по последним МАКам операторы вручную восстанавливают 90% пользователей все как было. 

Expand  

 

Тут есть одна грустная история. Если вы используете костыль, то он, как тот же скрипт, о котором вы тут мне сообщили "новость", просто не хранит лизы и не хранит MAC-и. Поэтому тут можно только пожелать успехов в ручном труде персонала. Я даже не буду повторять фразу - вам больше нечем заняться?

 

Я пытаюсь говорить о 21-м веке, а не о "нам и так не плохо".

 

Відредаговано 2019-10-20 10:40:12 vop

[Baneff 161]

  В 20.10.2019 в 10:37, vop сказав:

Я пытаюсь говорить о 21-м веке, а не о "нам и так не плохо".

Expand  

А зачем нам "21-й век", если "нам и так не плохо" ?

[Baneff 161]

Кстати, давно хотел спросить. А что с протоколом SCTP ? Кто-то где-то использует или он так и не взлетел?

[vop 370]

  В 20.10.2019 в 11:04, Baneff сказав:

Кстати, давно хотел спросить. А что с протоколом SCTP ? Кто-то где-то использует или он так и не взлетел?

Expand  

 

У меня в сырцах агента сейчас это выглядит так:

 

(*in_soc)->proto    = IPPROTO_TCP;   // Or IPPROTO_SCTP

Комментарий там появился  достаточно давно, после того, как я устал объяснять, что это за опция в конфиге. Никому "оно" не надо. Мало кто понимает, зачем оно надо. Работает нормально.

[Baneff 161]

  В 20.10.2019 в 11:36, vop сказав:

 

У меня в сырцах агента сейчас это выглядит так:

 

(*in_soc)->proto    = IPPROTO_TCP;   // Or IPPROTO_SCTP

Комментарий там появился  достаточно давно, после того, как я устал объяснять, что это за опция в конфиге. Никому "оно" не надо. Мало кто понимает, зачем оно надо. Работает нормально.

Expand  

Ну я на всякий случай спросил. Сейчас вот увидел в опциях ядра и вспомнил :).

Ну а не надо, так и не надо, меньше сущностей - спокойнее сон.