Работаю в крупном интернет провайдере (не топ, но десятки тысяч домохозяйств). Могу поотвечать на вопросы публики про всякое, если кому интересно. Сразу обозначу, что ничего секретного рассказать не могу, потому что такой информацией и не обладаю, насколько мне известно. Я системный инженер с упором в программирование, не адский сетевик, так что глубокие вопросы про BGP, автономки и прочее -- тоже мимо. Так скорее развлекательно-обывательский тред, если взлетит пару раз взлетало раньше, но то было очень давно
>>209376429 (OP)Привет. Как с сертифицированным оборудованием? Уже отчитались или еще только планируете закупать?
>>209376794В целом всё, что уже можно закупать закуплено. Там где ещё даже не понятно что покупать -- ждём вместе со всеми.
>>209376429 (OP)как выглядит хттп траффик?как выглядит хттпс траффик?как выглядит тор траффик?как выглядит впн трафик?
>>2093769241) видно всё2) видно только хост3) зависит от того, от какого узла тор-цепи4) впны бывают очень разные>>209377023элтексы в основном. рубль/доллар порешал.
>>209377056Мониторинг чего? Оборудования? Самодельные скрипты, костыли и подпорки. Ну и заббикс. Если ты про пользователей, то никак, нам насрать, очевидно же. Ну СОРМ установлен как у всех, как он работает, я не знаю.
>>209377180Ну есть же какая-то система с визуализацией, где видно какая сеть работает, а на какой проблемы? И какая где скорость. Разве нет такого?
>>209377171Слушай, микротиков у нас даже и не было никогда. Были элайды и так-то элтексы местами даже получше будут. А насчёт сюрпризов, кстати с элтексами даже попроще -- с ними можно нормально общаться и они даже могут чего-нибудь исправить или подкостылить в прошивках.>>209377298Есть, конечно. Написание этой системы и есть моя работа, в частности.
>>209376429 (OP)Видно ли использование тора? Если да, то это как нибудь логируется, типа с такого-то ip заходят с тора допустим каждый день, с другого иногда, с третьего вообще весь трафик через впн? Опять же отправляется ли информация о подозрительном трафике в гос органы
>>209376429 (OP)Хай, бро!Вводная у меня микротик с 1 sfp в него можно воткнуть gepon, собственно вопросы: Оптику в дом заводите? Если да - gepon? Если еще раз да - как договорится, что бы можно было в некротик напрямую оптику впихнуть? Насколько мне известно нужно регистрировать сам gepon sfp модуль на стороне pon коммутатора.
>>209376429 (OP)Реально собираетесь хранить данные всех юзеров за полгода, включая видосы, торренты и все это в зашифрованном виде?
>>209377438Ну есть скрипт, который по SNMP опрашивает коммутаторы, потом это отрисовывается в веб-морду. По большому счёту стандартная веб-параша. Ну не крудошлёпство, но и не магия.>>209377475Ничего никуда не логируется по нашей инициативе, только то, что требует законодательство. Никакой пользовательский трафик не анализируется и никуда не отправляется лол. Кроме тех случаев, когда есть официальный запрос на эти действия на конкретного абонента. Массовых слежек и отчётов не существует. Возможно это делает СОРМ, но тут я уже хз.>>209377520Да, у нас есть GPON. Но есть клиенты, которым и без жипона просто волокно захерачено и медиаконвертер -- любой каприз за ваши деньги. Про твой вопрос честно хз, я не помню таких ситуаций, мы всем раздаём стандартные терминалы GPON по-моему даже одна модель у всех.
>>209377606Конечно собираемся. А как иначе?>>209377657Бля бро, ну стопудово про это даже в википедии статья есть.
>>209377606Лол, за него отвечу - никто не собирается. Оборудования этого еще нет, не сертифицировано, не существует в природе.А собирать свои костыли из говна, верный способ собрать их еще раз, когда выйдут ебучие бумажки с разрешенными моделями.
>>209377704>Ну есть скрипт, который по SNMP опрашивает коммутаторы, потом это отрисовывается в веб-морду. По большому счёту стандартная веб-параша.блять ты какой-то лох на саппорте по ходу>Ну не крудошлёпство, но и не магия.ты вообще знаешь, что такое крудошлёпство? тупой кретин-пиздобол.
>>209377367У нас sip-шлюз есть от элтекса, как же я прихуел, что на каждый пук надо лицензию докупать. Со свичами так же? Хочешь +40 вланов - плоти?
>>209377935Да ты пиздобол блять.При чём тут крудошлёпство, когда тебя про систему мониторинга спрашивают? Ты тупой даун просто.
>>209377704Сорм тоже не весь трафик анализирует, а только конкретного абонента, по которому ведутся оперативно-розыскные мероприятия.
>>209377942У нас есть АТСка от них и там я тоже прихуел от лицензий. Со свитчами я такого не припомню, если честно.>>209378016Меня спросили про мониторинг. Я сказал, что у нас это сделано на стандартных веб-технологиях. Конкретно Python/JS.
>>209378113> Конкретно Python/JS.ой блять, пиздеца бд никакой нету что ли? чёт ты какую-то дичь втираешь
Короче ОП - какой-то недоджун-стажёр, который сегодня первый день пришёл РАБотать к какому-то мелкому нонейм провайдеру. Угадал?
>>209378289На самом деле, лучше самописная штука на питоне, если они понимают, что надо мониторить, чем заббикс, в котором хуева туча предустановленных темлейтов для любого чиха, из-за которых он срет каждый день в телегу, ровно в 20-40, что у него отвалилась база
>>209378489Заббикс у нас тоже есть на самом деле. Но им мы пользуемся уже для детальных разборов. А морда самодельная она именно для того, чтобы инженеры в неё могли тупить чуть ли не постоянно и там прям зелёненьким красненьким сразу понятно где нагрузка итп. Ну типа табло хз.
>>209376429 (OP)Есть одно приложение. Оно ходит на сайт. Как сделать, чтобы при запросе отправлялась форма для простой авторизации?Этакая прокся.как сделать?
>>209378642ну вот есть сервис на адресе и при обращении к нему нужно выдавать формочку с вводом логин-парольbasic auth
>>209376429 (OP)Антуан. Я тут ради самообразования решил пилить себе ролтер. Из говна и палок, так сказать.Так вот, как самым дешевым образом сделать веб-формочку чтобы она выполняла некие команды и возвращала их результат? В смысле как бы ты эту задачу решал?
>>209377520нельзя. Начнём с того, что трансиверы sfp бывают разные. Бывают для olt, бывают для onu. Бывают вообще без драйвера, т.е. просто конвертер eth over fiber. Но тогда это не pon, а aon.Вообще, существовал трансивер, способный работать с поном на микротике, но он редкий и очень дорогой, легче ont купитьвсё так же мимо
>>209378732Оп - это не я, но могу скинуть ежедневный заёб с заббиксом, который настроили студенты за доширак:Problem: Zabbix escalator processes more than 75% busyProblem started at 20:33:22 on 2019.12.13Problem name: Zabbix escalator processes more than 75% busyHost: zabbix.*.localSeverity: AverageOriginal problem ID: 89533
>>209379094ndpi это либа, а пикрил -ntopngБесполезная хуйня. Для блокировки протоколов легче пользоваться либо снортом, либо iptables+NDPI, для перехвата sni -прозрачный сквид.
>>209378893Лень, я в другой отдел перешёл, теперь 3 раза в день гружу csv-файл с сим-картами, а остальное время смотрю сериалы>>209378652Пруфов не дам, но для нужд сорма видел у нас только один dl360 g6, там явно не хватит мощности и места чтобы разбирать на лету 70 гигабит аплинка. Да и координаты абонента (точнее, номер базовой станции, с которой абонент звонил) мы выгружаем ментам только после официального запроса с номером возбужденного уголовного дела. Может, так только у нас, в одной маленькой гордой республике.
Ну судя по ответам - ОП какой-то бабуин)>десятки тысяч домохозяйств>крупный операторПанимаю.Что касается мониторинга - в заббиксе настраиваются все тригеры, выдаются графики какие нужно за какой нужно период, настраиваются оповещения на нужный уровень, пишутся кастомные опросники или агенты. Для остального есть прометей/графана, например. Я почему-то уверен, что его самописное говно гораздо хуже чем уже готовые решения которые разрабатывались годами и с основательным подходом. Остальные его ответы тоже на уровне хуйни типа "повыебываться на дваче".
>>209379323Что такое флоумон я не знаю, мне даже чуть-чуть стыдно. Там у нас просто заббикс-сервер на линуксе, с кучей бесплатных темплейтов и кривой веб-мордой с ненастроенным дашбордом, открытый порт и заббикс-агент на линукс- или шиндовс-машине. В случае с цисками - на них просто 1 строчка, разрешающая ходить на них по снмп и опять бесплатный темплейт. Оно кое-как работает, всем лень, а новых студентов, чтобы привести этот хтонический кошмар в порядок, пока нету.
>>209379931Я не оп, я в мобильном операторе работаю. Мы ещё интернетом банчим на 1,5 млн населения, Так что и с сормом дело имеем
>>209379955Да, но не в России, так что специфика анальной модерации трафика, пожалуй, не так жестока. В остальном, думаю, всё похоже.
>>209380279Повезло. У нас тут такие франкенштейны на осколках цивилизации получаются, что можно охуеть. Полуживой заббикс - это просто цветочки по сравнению с биллингом и ip-телефонией.
>>209378489Нет, лучше это человек который умеет тюнить заббикс и его уведомления. Желаю удачи "самописной хуйне" по функционалу приблизиться к кибертанку, который разрабатывается группой опенсорс-профессионалов на протяжении десятка с хуем лет. >>209379841>Что такое флоумон я не знаю, мне даже чуть-чуть стыдно.Это netflow мониторить, это не совсем про мониторинг. Ну, про мониторинг, но мониторинг трафика и "здоровья" систем это из разных епархий.>>209379737Двачую. Кстати приятно видеть на дваче адекватных людей, а то я думал здесь только чмошники из /s/ сидят, у которых из профессиональных навыков только умение спорить о том, какая операционная система лучше.
>>209380513Кстати, по поводу мониторинга сети по заббиксу. Сам я его не настраивал, только видел красивые графики и охуевал. Десятигигабитный канал между офисами, судя по заббиксу настроенному студентами, в пике занимается мегабит на 400 максимум. А ведь в коммутаторы и сфп-модуля к ним вложили несколько миллионов, когда можно было обойтись простым гигабитом и ни копейки не тратить.
>>209380834На самом деле у заббикса не очень красивые графики, там все довольно убогенько. Зато в чём он силён, это способность за 8 часов захуярить полный мониторинг сети с несколькими сотнями хостов, и похуй если завтра их станет 1000 - в два клика все расширяется. Про шаблоны, уведомления, разные события и прочее что уже выше перечислили - молчу.>Десятигигабитный канал между офисами, судя по заббиксу настроенному студентами, в пике занимается мегабит на 400 максимумТипичная ситуация, въебали бабла, купили хлам - спустили в трубу.>Сам я его не настраивалПопробуй скачай установи и настрой последнюю версию, плюс разберись с изкорбочными шаблонами, напиши пару своих следуя OID Library, сделай пару кастомных скриптов для мониторинга, интерактивных карт и т.д., и сможешь себе потом хорошую строчку в резюме добавить, что ты шаришь за то как более-менее настроить SNMP мониторинг. Там всё довольно интересно.
>>209381080Спасибо за советы, поковыряю на досуге, как раз есть мануал по элтексу, там прямо в сыром виде есть oid. Но вообще, дикая лень и тоска меня гложит. Смотрю я вокруг, и очень хочу отупеть и просто плыть по течению. Есть у нас тупые пезды, которые зовут на помощь сисадминов, когда им вордовский документ задаёт вопрос: вы хотите разрешить печать? ДА или НЕТ? А получают плюс-минус столько же. Руки опускаются. Нахуя я знаю так много (но в то же время так мало) в разных сферах IT, если можно тупить и капать слюной, и получать те же деньги, которых и на себя людям хватает, и на тугосерь?
>>209376429 (OP)Какие у вас требовпния при приеме на работу, какие вопросы надо знать, сам как туда попал?
>>209382038Отвечает не ОП:Базовые знания tcp/ip, модель osi в общих чертах, не быть дальтоником (если надо витуху обжать). Очень большим плюсом будет админство всяких линуксов, знание iptables, меньшим плюсом, но все равно очень полезно - 1с, active directory.
>>209376429 (OP)Поясни за шлюзы безопасности, оса, фортигей, чекпойты. Что нужно уметь с ними делать? Поясню: виде много заманчивых вакансий, где надо знать вышеперечисленное... Но я хз что именно. Какой функционал надо освоить чтоб пойти на такую работку?
>>209382365Смотри, мне на собеседовании такой вопрос задали: есть 2 компа, имена у них pc1 и pc2, ip-адреса 192.168.1.8 и 10.200.51.4. Нужно, чтобы с первого компа успешно прошла команда ping pc2. Что нужно добавить, чтобы команда сработала? То есть нужно понимать, что может делать роутер, как прописывать маршруты, чем занимается днс-сервер.
>>209382617route 10.200.51.0/24 10.200.51.0/24 ?Не ебу что это значит, просто от балды ебанул, как правильно?
>>209382037Понимаю. Уходи в чистое IT, где не придётся общаться с людьми с двузначным IQ и напрямую выполнять запросы пользователей, и, боже упаси, чинить принтеры и вообще эникеить. вместо этого будешь общаться с тупыми инженерами, лол
>>209382037Я не тот чел, но скажу как сисадмин - вся эта сетевая сфера, будь то провайдер или локальная сеть на самом деле являются довольно простыми вещами. Да, есть много инструментов, но их не надо все знать даже провайдеру, да и понимаются и гуглятся они довольно просто при необходимости. Мне вообще кажется, что именно в сетевое ИТ можно вкатиться за пару лет абсолютно с нуля и стать конкретным гуру в этой области не особо напрягаясь, поэтому мне тут и не нравится.
>>209382775У нас начальник был поехавший на закупке новых цисок был, так что когда я ему на доске нарисовал роутер GW он был рад. Как же транспортную сеть бесоёбило, когда он сказал, что хочет 70 вланов на офис, когда люценты могут только 25 на физический порт...Ход мыслей правильный,но надо, чтобы был шлюз, который перешлёт пинг в другую подсеть. С рс1 например, 192.168.1.1, а вторым интерфейсом смотрит в 10.200.54.1. тогда на первом пс ставим шлюзом наш шлюз, и не забываем про днс, ведь у нас пинг не по адресу, а по имени. Обе подсети серые, значит, мы можем творить с ними любую дичь вроде маленьких масок, лишь бы мы всеми железками управляли.
>>209382242>Базовые знания tcp/ip, модель osi в общих чертахВсегда орал с этой хуйни в голосину. 100% инженеров тех. сапорта, в разных организациях, крупных и маленьких, и таких и эдаких, в которых мне удавалось работать, с опытом и без, едва ли смогут даже рассказать зачем нужна маска подсети и что она делает.Под "базовыми знаниями tcp/ip" в вакансиях на техподдержку подразумевают умение открыть свойства windows и там IP адрес прописать с маской и гейтом.Ты изначально спрашивал про "системного инженера с упором в программирование", но учитывая что ОП рассказывает как он помогает секретуткам печатать на принтере, я делаю вывод, что это обычный офисный сисадмин, как ни печально.>>209383117Нет, это не одно и то же, вот у тебя как раз базовых знаний TCP/IP нет и ты не можешь в подсети, извини. Разница в том что ты высрал бессвязную хуйню а он написал правильный ответ.надо написать что хост 10.200.51.4/32 (а не 24 как у тебя!) доступен через гейт 192.168.1.8, т.е. через IP интерфейса самого ПК, т.е. находится в одном с ним broadcast-домене, т.е. можно сразу слать ARP-запрос
>>209383104Вот, двачую, очень правильно описано. Имея базовые знания и умение набрать в Гугле ОШИБКА АХ00000А134 можно решить почти все проблемы. А если выучить заклинание ipconfig /release , то можно совсем охуеть от своего могущества. Именно это понятие базовых принципов и даёт лживое чувство превосходства
>>209383221>но надо, чтобы был шлюз, который перешлёт пинг в другую подсетьНе надо, если они находятся в одном broadcast-домене. Хотя я бы задал уточняющий вопрос, в принципе можно даже так объебать интервьюера, будет смешно, если он не сможет вменяемо ответить. Так-то да, если у тебя ПК находятся в разных вланах, то можно хоть обосраться, но в другой broardcast-домен можно попасть только через шлюз.
>>209383368ОПа не приплетай, это я, приблуда из ЛДНР помогаю офисным проституткам, у ОПа галка вроде стояла
>>209383464>ОПа не приплетай, это я, приблуда из ЛДНР помогаю офисным проституткам, у ОПа галка вроде стоялаА, тогда извиняюсь, но думаю моя мысль всё равно ясна. А ответить на вопрос "что нужно чтобы стать ОПом" тогда затруднительно, т.к. исходя из того описания что он дал он может чем угодно там заниматься из разных сфер деятельности и все они не похожи будут друг на друга, начиная от СУБД заканчивая DevOPS какой-нибудь.
>>209383221 И что нужно сделать с днс-ом, чтобы работало.>>209383368Как понял, прёб был только в шлюзе, что я вместо него подсеть написал. А так маршрут, как понимаю, может быть и до подсети, т.е. /24 не ошибка.Олсо, где всё это изучить можно, чтобы потом знаниями блестнутьт на двоще? Для общего развития.
>>209383983>А так маршрут, как понимаю, может быть и до подсети, т.е. /24 не ошибка.Ну я бы спросил а схуяли ты решил что там подсеть /24, у тебя же изначально такой информации не было, может там /27, а может я долбоёб и кучу вот таких хостов /32 раскидал, мы же обсуждаем сферическую в вакууме ситуацию, когда в одном влане находятся хосты из разных подсетей а в одном ли они влане? если нет, тогда нужен роутер обязательно. Опять же, повторюсь, мне что-то подсказывает что большая часть интервьюеров просто не смогут ответить на этот вопрос т.к. не отличают влан от широковещательного домена, лол , чего в норме происходить не должно.>Олсо, где всё это изучить можноСамый простой способ, вместо чтения книжек на английском языке почитать цикл статей сети для самых маленьких, хотя бы до 6 статьи, всё это в тестовом окружении понять, построить и осмыслить, после этого сможешь в подмастерье сетевиков уже пойти, т.к. знать будешь больше чем 100% "техподдержки" которая "базово умеет" вписывать IP адреса в конфигурацию без понимания, что они делают.>>209383983> И что нужно сделать с днс-ом, чтобы работало.Добавить в hosts запись вот такого вида:10.200.54.1 kompyuter.tupogo.mudakaТогда когда пропишешь маршрут начнёт ещё и по имени пинговаться.Но я еще раз повторю что это вопрос гипотетический, у нормальных людей как правило в одном влане все хосты находятся в одной и той же подсети и знают, как друг друга достичь .
>>209376429 (OP)Как у вас стандартно роскомпозоровский софт ставится? Миррорится порт, в него сервак с нсом, который по списку сразу редиректит на заглушку?
>>209384432>Это ещё почему? Потому что dhcp-сервер это приложение. В качестве транспорта использует IP-пакеты, равно как и TCP и UDP, но сказать что DHCP работает на транспортном уровне только из-за этого нельзя.
>>209384294>10.200.54.1 kompyuter.tupogo.mudakaОй блять, я скопировал чужое сообщение где было неправильно написано. Запись надо добавить 10.200.51.4 kompyuter.tupogo.mudakaКонечно же.
>>209384294Спасибо, друг.А именно книжки есть? я прост не очень хабр люблю. да и язык не столь важен, али не осилим говор пендосов глупых?!>>209384717Да я уловил смысл, цыферки я и не смотрел)))
>>209384723>Изначально же ip нет, получается что первое взаимодействие на канальном уровне, так? Есть, dhcp пакеты напрямую во фреймы не инкапсулируются.
>>209384846>А именно книжки есть?Ну если так хочется книжек то,CCENT ICND1 Official Cert GuideCCENT ICND2 Official Cert GuideНо я хуй знает как ты эту макулатуру на 1000 страниц будешь осиливать, я человек не особо усидчивый и через пару сотен страниц забросил, причем там не просто читать надо, чтобы усваивать материал надо отвечать на вопросы, а учитывая то что большую часть того что там объясняли я и так уже знал, то вообще чуть не сдох от скуки.Научись в эмуляторы сетевого оборудование такие как GNS3, чтобы было на чем тестить.>я прост не очень хабр люблюТам просто делали перепост статей с другого ресурса.
>>209376429 (OP)Интернеты и впны в последнее время стали дико тупить, обрывается соединение, теряются пакеты - почалось?
>>209385191>Интернеты и впны в последнее время стали дико тупить, обрывается соединение, теряются пакеты - почалось?Не, это не из-за этого.
>>209384723Изначально любой сетевой девайс с дхцп клиентом шлет бродкаст по дк сетке - дайте ойпи! на л2. Если дхцп сервер с пулами один - то он выдает клиенту лиз по маку, заносит себе в базу и дальше все дружно добавляют в арп таблицы (л2) мак и ойпи нового клиента.
>>209385317>А из-за чего?Перегрузка оборудования у твоего провайдера на каком-либо из узлов / аплинков, вирусы на пк, отсохли конденсаторы в роутере, пришельцы с нибиру прилетели и насрали тебе в пакеты, всё что угодно может быть. Или мб у тебя дома коммутатор тупить начал, лол.Начни с того что сделай ping -t google.com и посмотри процент потерь за несколько минут перед тем как шапочку из фольги одевать.
>>209385036>CCNA ну это можно было предвидеть. Но ничо-ничо, как говорится, хоть путь и не близкий, зато я недалёкий.>Научись в эмуляторы сетевого оборудование такие как GNS3, чтобы было на чем тестить.Во, хорошо, а то я кроме покет трейсера ни о чём не слышал.Благодарю!
>>209385317>>209385191Параноек. Нетфлоу почти не влияет на производительность, его собирать сравнительно дешево. Скорее всего их маршрутизатор уже не тянет то количество абонентов, а обновляться в конце года не вариант.
>>209376429 (OP)Хм, ну если на то пошло...Аутяра на аутсорсе у билайна в треде. Можете спросить любую хуйню по устройству сети в доме.
>>209376429 (OP)Как работает пиринг у провайдеров? Типо захотел пингануть 1.1.1.1, а пакеты идут через какой-то ТТК, хотя у тебя другой провайдер.
>>209385748Интернет это сеть, состоящая из множества сетей, пока твой пакет летит до сайта гугла он проходит множество мелких и крупных провайдеров а также крупных точек обмена трафиком, в которых эти провайдеры и пирятся. Как? Ну хуй знает, по BGP наверное, ебать.
улыбнулся с ваших сложных собеседований и умных вопросов на самом деле, а вот пока речь шла о погромировании в сетях, было интересно почитать, спасибомб я тоже бы ебанул какую-нибудь задачу про метрики, мультихопы, веселости про раутлики и например раскладку пирингового трафика, но как-то сложна условности придумывать для такого, да и вообще я не сетевик уже, да и не собеседовал никого никогдаэх
>>209377704>Никакой пользовательский трафик не анализируется и никуда не отправляется лол. Кроме тех случаев, когда есть официальный запрос на эти действия на конкретного абонентаБыли на твоей практике такие запросы? Если были, что делали
>>209385893>И все они логируют мои пакеты?Не знаю, смотря какой провайдер. Есть крупные магистральные, думаю, им не до этой вашей роскомнадзоровской хуйни и они заняты вопросами поважнее, они ворочают там трафик в магистральных каналах которые под океаном идут.Роскомнадзоровщиной занимаются провайдеры помельче, которые ближе к рядовым абонентам. Логируют? Лол, ну пусть логируют. Абонент вася пупкин в 21:00 зашел на сайт outlook.com. Что он там делал - непонятно, что в самом трафике - не видно, содержимое пакетов зашифровано и че он там писал хуй когда узнаешь, если только сам Вася или outlook не расскажут. Главное если в какой-то момент на всех сайтах начнешь видеть такую ошибку, убедись что у тебя корректное время на компьютере задано, и если задано, то не нажимай "продолжить, похуй", и все буит нармальна.
>>209386191конечная страничка не дает возможности провайдеру торговать данными своих абонентов, а прослушивание трафика - дает.
>>209386225>а прослушивание трафика - даетКаким образом и кому ты собрался продать зашифрованный трафик, расскажи пожалуйста.Если конечно ты не пидорахинский провайдер КАКАДО который прославился тем что автоматически выгружает персональные данные абонентов сразу в RIPE и любой Ероха может по whois-запросу тебя вычислить по IP и набить ебало, но это отдельный случай.>>209386222Я тебе выше написал>Начни с того что сделай ping -t google.com и посмотри процент потерь за несколько минут перед тем как шапочку из фольги одевать.мимо другой инженер
>>209386225Нет. Фильтровать трафик - это очень дорогая операция. А уж складывать его и логировать, тут нужны серьезные DPI-системы, и стоны от обязаловки их внедрения слышны по сей день.Максимум провайдер предложит свой DNS сервер и там что-то пособирает.
>>209376429 (OP)Как правильно настроить маршрутизацию OpenVPN клиент, чтобы устройство было доступно извне по родному IP?
>>209386362> А уж складывать его и логировать, тут нужны серьезные DPI-системы, и стоны от обязаловки их внедрения слышны по сей день.Это кстати уже сильно проще, а информацию вида "имя абонента - дата и в ремя - ип адрес ресурса" можно хранить петабайтами в течение десятков лет.>>209386097-кун
>>209386326Нахуя ему Гугл пинговать, может у него по дороге до ВПН сервера у 2950 вентиляторы сдохли и память кончилась.
>>209386409>Как правильно настроить маршрутизацию OpenVPN клиент, чтобы устройство было доступно извне по родному IP?А чё, оно разве перестаёт быть доступно "по родному" ип после того как ты поднимаешь соединение?>>209386447Он написал что тупит интернет, значит проблема затрагивает не только VPN а вообще все ресурсы в инете, я из этого исхожу. >у 2950 вентиляторы сдохли и память кончиласьАга, например у того который в подъезде стоит, это и вызвало бы проблемы и с интернетом и с впн сервером.
>>209386497Давно уже циски не ставят в подъезды, елё. Хз что там сейчас модно, правда. У нас хуавеи стоят.
>>209386473Ты не понял. Есть Малинка, она подключена к ВПН, но на ней крутится веб-сервер. Как к ней подключиться, если весь трафик гонится по ВПН?
>>209386412Чем их хранить, простите? Поддерживать ради просто так ПЕТАБАЙТЫ, это на минуточку где-то пять полок без резервирования, как-то сурово. Для регионального провайдера-то. Весь их ДЦ скромнее и дешевле во многих случаях.
>>209386565>Давно уже циски не ставят в подъездыНу ты прав но суть не меняется, D-Link.Короче он сказал что вообще всё хуёво работает, вот я и ответил.>>209386587>Поддерживать ради просто такПочему, ради попила бабла же)) Закон Яровой к этому и сводится, только там степень идиотизма возведена на новый уровень, и там предлагают хранить не метаданные а сам трафик.>ради просто такПотом можно будет посмотреть кто на какой ресурс в какое время обращался (правда без возможности просмотра содержимого трафика, но учитывая уровень развития наших силовиков для них это в самый раз).>>209386571 => >>209384294>>209386584Это всё зависит от того как настроен VPN и Интернет дома, оракулы все в отпуске. Допустим я нихуя не вижу проблемы схуяли у тебя перстанет быть доступен веб-сервер опубликованный через твой домашний роутер с пробросом после того как ты подключишь малину к впн. А нет, есть вариант: убери нахуй default route push на VPN и вручную настрой VPN так, чтобы он пушил клиентам не дефолт а только те сети, которые нужны, и все.
>>209386760>У меня белый IP, но входящие соединения становятся невозможными.Проясняется, как я и предполагал VPN сервер скорее всего тебе пушит default route. Отключи это. Но если у тебя есть желание при этом выходить в Интернет с самой малины через VPN, то определись на какой стул садиться, ибо совместить этот функционал нельзя. на самом деле можно, но это будет полный пиздец. Выбери некую подсеть, в которую твой домашний роутер будет натить клиентов, которые обращаются к веб-серверу на малине. Например, 172.16.0.0/24, и настрой и source и destination (проброс портов) nat для людей которые идут на веб-сервер. А на самой малине уже пропиши, что сеть 172.16.0.0/24 доступна через IP твоего роутера, и проблема уйдет. не всякий домашний роутер такое поддерживает, а конфиг омерзителен и от него веет гавной, но ты сам этого хотел.
>>209386788Региональные провайдеры тратят свои деньги на накопление трафика чтобы попилить бабло. Ага. Я скорее поверю что они перейдут в юрисдикцию мегафона, к которому никто с такими глупостями не придет какие-то диски проверять.
>>209386412>>209386587После изменения правил маршрутизации, сокращение трансграничных маршрутов., длительное хранение трафика -логичная мера. К тому же, теперь тор элементарно крякается сравнением объема и времени, при условии, что и источник и конечный получатель трафика в России.
>>209383368>Всегда орал с этой хуйни в голосину. 100% инженеров тех. сапорта, в разных организациях, крупных и маленьких, и таких и эдаких, в которых мне удавалось работать, с опытом и без, едва ли смогут даже рассказать зачем нужна маска подсети и что она делает.Двачую, но там для работы реально много знать не надо. А на собесе спросят что такое dhcp и чем роутер от свитча отличается. Это такая проверка, что человек хоть в гугл залез. И ведь ходят толпы претендентов, не способных на это ответить даже. мимо тех сапорт
>>209376429 (OP)Как из под линукса лучше всего настроить site2site vpn между кучей точек с маршрутизацией в каждую из подсетей, при этом с динамической маршрутизацией? Айписек тоннели на опенсване в каждую точку из каждой плюс что-то типа gnu quagga? Или есть способы проще?
>>209386976Это недешевое удовольствие, мягко говоря. Я скорее поверю что это способ выдавить мелких провайдеров с рынка, и оставить только приближенных к жопе императора. Один петабайт стоит почти 3 млн. Где-то. Без учета электроэнергии, персонала, и так далее. Если из говна и палок. А из говна нельзя, они проверят сертифицируемую СХД, то есть умножай на десять.
>>209387010Без человека по середине нельзя. Но можно по размеру пакетов и их частоте классифицировать шифрованный трафик, и тупо по факту того что он шифрованный и определённого протокола. Это уже делают в небольших офисных инфраструктурах, чтобы воспроизвести глобально потребуется очень мощное железо.
>>209386937Ну есть ещё извращенный вариант в виде виртуалки с клиентом ВПН на малинке или менее извращенный вариант в виде отдельного устройства, которое подключено к ВПН и там поднят СОКС5.
>>209387219Он может в mesh как-то просто, и берёт на себя маршрутизацию? Или ты советуешь его из-за того что он свежий и тоже в ядре?
>>209387010Почему говорят что с DPI можно заглянуть в шифрованный (vpn) траф? Как это возможно?Современные DPI могут хорошо анализировать трафик, даже зашиыфрованный. Они могут по паттернам понять что именно идёт в шифрованном тоннеле.Суть заглядывания в vpn сводится к тому что они с какой-то долей вероятности могут определить что этот зашифрованный пакет - это http, другой зашифрованный пакет похож на dns и т.д.. А что конктретно в этом http или dns они не знают. Без ключей не расшифровать.Но есть способы получить эти ключи. Но об этом в другой раз.
>>209387010>>209387101Митмом разве что pptp с самыс дношной защитой можео инспектить и то, я не уверен. openvpn же, как правило, подразумевает сертификат пользователя. Кто пренебрегает - сам дурак.
>>209386760Я правильно понял схему твоего гавна сети?>>209386937-кун>>209387290>Митмом разве что pptp с самыс дношной защитой можео инспектить и то, я не уверен.Там все варианты будут сводиться к тому что либо у тебя у пользователя на ПК установлен заранее сертификат, либо вылезают ошибки на сайтах и он идиот и их игнорит, либо какое-то другое предварительно воздействие на "клиента".
>>209387283Айписек тоже шустрый, потому что тоже в ядре реализован. У вайргарда из профитов меньшая кодовая база, и то что он свежий.>SoftEtherПогуглю. Он может в фулл-меш? Так-то я использовал уже tinc, он умеет всё то что я говорил, но вот он как раз не в ядре и не то чтобы сильно быстрый. Ноды гипервизоров в геораспределённом кластере им связываются , но скорость оставляет желать лучшего.
>>209376429 (OP)Никогда не попадалась российская выходная нода в торе. Это как то правится? Оч нуждаюсь
>>209387154О цене речи, видимо, не идёт. Этот господин всё оплатит...Мне лишь интересна рациональная состовляющая.>>209387335>Там все варианты будут сводиться к тому что либо у тебя у пользователя на ПК установлен заранее сертификат, либо вылезают ошибки на сайтах и он идиот и их игнорит,Эй, мы про туннели говорим, а не ssl/tlsИ туннели митмом не вскрываются, если это что то сложнее чем просто логин\пароль, ибо есть проверка подлинности.
>>209387373Посмотри есть ли они вообще, вроде список-то публичный. потом можешь написать скрипт на питоне, который будет перебирать ноды выданные алгоритмом, сверяя по геоип, до момента пока не попадётся отечественная.
>>209387363Нет. Я понял про что ты. Сори, затупил.Full-mesh это пиздец, я не имею ни малейшего представления как такое сочинять. Записал себе чтобы посмотреть.
>>209387429Рациональная составляющая невелика. Кому надо, будет делать дела с подставной симки на одноразовом ноутбуке в другом городе. Уж после истерии с яровой - точно.Остальные пошинкуют трафик так, что его не то что DPI - мама родная не узнает. DNS уже шифруем? То ли еще будет.
>>209387524Хуёва. Видимо придётся городить соединения от каждой точки к каждой, и маршрутизацию решать как-то динамически отдельным софтом. А я оспф последний раз трогал лет 8 назад и на железе, вообще на практике нормально его не использовал.
ОП, что плохого может сделать провайдер человеку, кроме как отключить инет?Хттпс трафф смотреть не можетДнс по человечески щас тоже не подменитьА что можно?
>>209387094>чем роутер от свитча отличаетсяА чем, кстати? ))>>209387105>Как из под линукса лучше всего настроить site2site vpn между кучей точек с маршрутизацией в каждую из подсетейЯ бы всё таки вернул офисной секретутке системный блок, который ты у неё отобрал и поставил бы на него обратно винду, а потом купил бы хоть какое-нибудь сетевое оборудование, если контора совсем нищая то можно купить хотя бы восстановленное оборудование от нормальных вендоров на котором это всё настраивается просто и без пердолинга.>>209387429>Эй, мы про туннели говорим, а не ssl/tlsА, ну тогда туннель не согласуется просто из-за попытки влезть с сертификатом или PSK, все верно.>>209387440Ну вот у тебя впн говорит малине: вообще весь трафик отправляй мне!!!. Она и начинает, в том числе тот трафик, который идёт в ответ на запросы клиентов, которые пришли на твой веб-сервер через домашний роутер. Разумеется, ничего хорошего не происходит.Либо делай хуйню как я написал выше (NAT-пул и в него source-NAT клиентов, приходящих на малину с статикой на самой малине через домашний роутер), либо меняй дизайн сети, либо смирись. А, ну еще. Вдруг ты заранее знаешь IP всех клиентов, которые приходят тебе на веб-сервер? Тогда просто пропиши статикой маршруты на малине через твой домашний роутер, это поможет.
>>209386937> А на самой малине уже пропиши, что сеть 172.16.0.0/24 доступна через IP твоего роутера,Это как? route 172.16.0.0 255.255.255.0 192.168.0.1 ?
>>209387624>Это как? route 172.16.0.0 255.255.255.0 192.168.0.1 ?Да. Но понямаешь в чем дело, у тебя домашний роутер едва ли сможет одновременно делать подмену и source и destination адреса, в тплинках такой функционал не завозят, лол. Как альтернатива я тебе выше уже придумал, можешь ничего нигде не трогать, просто на машине пропиши маршруты на все публичные сети в интернете с которых тебе люди приходят на веб-сервер через свой роутер 192.168.0.1Говно конечно, но это последствия отсутствия норм оборудования и дизайна.
>>209387429>Эй, мы про туннели говорим, а не ssl/tlsБольшая часть vpn протоколов строится на архитектуре открытых ключей, так же как и ssl/tls. То есть скорее всего всё равно будут пары ключей, приватный и публичный, может быть несколько.>И туннели митмом не вскрываютсяМитм это вектор атаки, а не конкретная реализация. Под этот вектор попадает ряд атак и на тоннели, по той же схеме что и с ssl/tls. Так что вскрывается, только всё будет сложнее, потому что скорее всего у vpn-сервера будет свой CA для выпуска ключей.
>>209387605А чо бы ему 1.2.3.4:80 не направить в vlan2, который по такому случаю повесить интерфейсом на расберри?
>>209387605>Я бы всё таки вернул офисной секретутке системный блок, который ты у неё отобралУ меня пачка серверов по десяткам хостеров, каждый на два сокета, с 24 ядрами и 48 потоками, каждый с 128Гб оперативы и zfs рейдом поверх серверных твердотелок. Проблема в том что они арендуемые, и инфраструктура хостера - не наша инфраструктура, решать надо полностью софтово всё.
>>209376429 (OP)1) Играю в онлаен, пинг 27 показался большим, перешел на билаен, пинг стал 60-75, как такое возможно?
Если у меня отключили интернеты, кончились деньги или по пьяни забыл оплатить, и в ближайшее время денях не будет, а интернеты хочется - я никак не могу нашаманить?Алсо, есть доступ к оборудованию прова на чердаке, оно даже не в сейфе.За интернеты плачу в терминале, просто ввожу номер абонента и денежку
>>209387644Около 18. Каждый хост это гипервизор с пачкой виртуалок внутри, и несколькими вланами на опенвсвитче, там приватные подсети и виртуальный маршрутизатор на dnsmasq в каждом.
>>209376429 (OP)Сегодня вообще реально поднять у себя на пк какой нибудь говносайт и хостить его своими силами в интернеты, хотя бы в рамках провайдера? Лет 15 назад, с приходом ADSL, поговаривают, такое было более чем возможно. Сейчас - хуй знает.
>>209387758Задержки. Нужно всегда по кратчайшему пути ходить, я планирую забалансить некоторые вещи между гипервизорами этими.
>>209387903Да. Но придётся решить проблему с публичностью ip адреса. С динамичностью тоже лучше кое что сделать, хотя ddns позволяет и с таким жить.
Анон, если только зашел в этот ИТТ тред, то можешь уходить. ОП тут общается только с такими же пидорасами сисадминами, а вопросы простых людей пропускает.
>>209387725>Большая часть vpn протоколов строится на архитектуре открытых ключей, так же как и ssl/tls. То есть скорее всего всё равно будут пары ключей, приватный и публичный, может быть несколько.Лень раскладывать по полочкам, но соединения просто не будет, ибо ключи у сервера и клиента всегда согласованы по стороннему каналу. Либо это psk, либо сертификат. >Митм это вектор атаки, а не конкретная реализация. Под этот вектор попадает ряд атак и на тоннели, по той же схеме что и с ssl/tls. Так что вскрывается, только всё будет сложнее, потому что скорее всего у vpn-сервера будет свой CA для выпуска ключей.Какой ещё свой собственный? Если ты про публичные впн-сервера, то какая гарантия, что они изначально не скомпрометированы?
>>209387878Нет, зря спросил, нихуя умного не скажу. OSPF это несложно. На 18 хостов тебе даже не придется делить на зоны, все в одну можно захуярить.
>>209387821>и инфраструктура хостера - не наша инфраструктура, решать надо полностью софтово всёОтлично, покупай Cisco CSR или Cisco ASAv, а если хочешь чтобы совсем бесплатно, тогда попробуй приглядись к VyOS, но с ней придётся попердолиться. Понимаю что это не особо ответ на вопрос, но чем смог.>>209387751Молодец, ну правда далеко не L2 сможет в NAT, ну все равно норм ответ, вы приняты.>>209387811>А чо бы ему 1.2.3.4:80 не направить в vlan2, который по такому случаю повесить интерфейсом на расберри? Проблема в этом будет такая, что, во-первых, у него скорее всего TP LINK вместо роутера и вланов там нет, во-вторых когда к нему придет человек с внешнего Интернета, с IP допустим 100.1.1.1, то отвечая ему, малина отправит этот пакет на default gateway, а именно в ВПН, и ничего не заработает. Если я правильно понял что ты предлагаешь.>>209387943Не совсем. Вот ты настроил "проброс портов". Это профессиональным языком называется destination nat, то есть меняется IP адрес назначения. А тебе вдобавок к этому надо еще и IP источника менять. Я знаю что это легко можно сделать в IPTables но вряд ли ты будешь себе системник вместо роутера ставить просто чтобы малинОЧКА работала.
>>209387960>проблему с публичностью ipА тут поподробнее. Что по умолчанию идет у абонента и что должно быть?>динамичностьюУ бтк бульбостан на связи можно заказать статический ip, с этим тип топ.
>>209387903>Сегодня вообще реально поднять у себя на пк какой нибудь говносайт и хостить его своими силами в интернеты, хотя бы в рамках провайдера?Да вообще без проблем при соблюдении двух условий.1. Убедись что твой провайдер тебя не НАТит2. У тебя есть / можно купить статический IP чтобы не пердолиться с DynDNSИ хоть датацентр у себя дома открывай.
>>209388046>покупайНе хочу. Хочу попенсорс.>приглядись к VyOSГляну, ок.Конечная цель - чтобы конфигурация была легко воспроизводима из ансибловской роли и пачки переменных. Чтобы я мог заказать у любого хостера сравнимый по железу сервак, запросить у цодовых инженеров установить мне ОС и дать до неё доступ, а потом в одну команду развернуть новую ноду. Тут, как думаю ты понимаешь, важно всё решить в рамках софта. VyOS твой наверное подойдёт, хотя я процентов на 80 уверен что это в итоге окажется просто сборка дебиана с уже предустановленными пакетами, и городить всё всяко придётся самому. Я в принципе не против, просто думаю как это лучше спланировать для получения максимальной продуктивности с выполнением всех условий.
>>209388099Гайды есть? А то в гугле предлагают соснуть хуйца и купить место на хостинге с вычислительной мощностью в пентиум 166 и пропускной способностью в 25 кбит зато с накатаным пхп и mysql
>>209388046>Если я правильно понял что ты предлагаешь.Крч, обычный PNAT. Только раз у нас одна расберри, то интерфейс может быть только логическим, а это влан. Но т.к. тплинк, все-равно это нахуй. Проще ddns поднять и через него отдавать веб.
>>209388099>И хоть датацентр у себя дома открывай.С айпи адресом из провайдерской выдачи для хоум юзеров не получится например поднять почтовый сервер. Тебя все крупные почтовики будут нахуй слать по rdns.
>>209387943В заключение скажу, что для тебя самый адекватный вариант в твоей схеме, без затрат и без пердолинга это опубликовать веб-сервер на малине на VPN-сервере, и тогда у тебя и Интернет на малине через ВПН будет, и веб сервер на ней будет доступен сразу после подключения к ВПНу.Гугли iptables destination nat, правило будет типа "пробрасывать все соединения tcp:80 на IP 10.8.0.2:80" с учетом того что адрес малины 10.8.0.2>>209388222Да ты издеваешься, этого говна навалом в интернете. Позвони провайдеру и задай вопросы. Узнай какой у тебя адрес, динамический или статический. Если динамический то все равно похуй, тебе же поиграться, сделай на роутере проброс портов на свой сраный сервер и все.>>209388183>Конечная цель - чтобы конфигурация была легко воспроизводима из ансибловской роли и пачки переменныхСуровые админские будни, я как прочитал, мне аж поплохело. Крепись там.>>209388267О, а я этого не знал, теперь буду иметь ввиду. Да, наверное всё таки оптимальный вариант это виртуальный хостинг заказывать и чтобы можно было обратные резолвы настроить.
>>209388062>Что по умолчанию идет у абонента и что должно быть?Может вообще что угодно быть. У ростелекома например вперемешку приватные ip и публичные динамические.>У бтк бульбостан на связи можно заказать статический ipТакая услуга у провайдера всегда подразумевает публичный адрес, всё ок.
>>209388183>VyOS твой наверное подойдёт, хотя я процентов на 80 уверен что это в итоге окажется просто сборка дебиана с уже предустановленными пакетамиДа, ты прав, это тот же самый пердоликс с предустановленными пакетами, но там хотя бы очень хорошо постарались и добавили шелл, очень похожий на человеческий шелл обычного сетевого оборудования, к нему надо попривыкнуть, но как один из вариантов - почему бы и нет.
>>209376429 (OP)Как скрыть свою активность от провайдера полностью? Чтобы он прям нихуя не видел, кроме онлайна.
>>209388355>Как скрыть свою активность от провайдера полностью?VPN + защита от утечек DNS запросов это кстати может быть довольно непросто. Всё. Ну и разумеется провайдер все равно будет видеть что ты общаешься с впн-сервером.
>>209388404>Ну и разумеется провайдер все равно будет видеть что ты общаешься с впн-сервером.Это скрываемо, можно маскировать трафик под общение с вебсервером через https. IP правда всегда будет один, но даже это скрываемо, балансировкой хитрой и меш-сетью.
>>209388303ВПН не мой, это не вариант. Придётся брать старый роутер, накатывать туда OpenWRT, OpenVPN и danted.
>>209388394>>209388404DNScrypt (DoH) + дабл впн (один на моем сервере, второй какой-нибудь NordVpn ) пойдет? А что на счет DPI? Спалит от такое?
>>209376429 (OP)Привет коллега, а я техник, лажу по оптоузлам, крышам, чердакам, тяну витую по домам.
>>209388535От DPI спасет Shadowsocks-libev + v2ray-plugin на VPS за Cloudflare.https://2ch.hk/s/res/2698680.html
>>209388465>IP правда всегда будет одинЯ про это и писал, один этот факт уже будет выглядеть подозрительно.>но даже это скрываемо, балансировкой хитрой и меш-сетьюСложно, не сталкивался с таким и даже не представляю зачем может понадобиться. >>209388535>второй какой-нибудь NordVpnПубличные сервисы часто сливают с потрохами вообще все что только можно, лол.>А что на счет DPI? Спалит от такое?Не знаю, думаю скорее да, чем нет.Вон с этим пообщайся, мб он ченить накинет >>209388465>>209388498>ВПН не мой, это не вариант. Придётся брать старый роутер, накатывать туда OpenWRT, OpenVPN и danted.Можно и так, думаю на опенврт реально исполнить схему что я выше писал, а именно NAT клиентов идущих на вебсервер в некий приватный пул по source адресам и одновременно с этим destination-nat в адрес малины. В принципе, если грамотно все настроить, не такая уж и блевотная схема получается, хотя костыльно конечно.
>>209388452в огнелисе уже давно dns over ssl включается одной кнопкой в конфиге.там же есть sni over ssl для серверов, которы это поддерживают.
>>209388568Почему блядский ртк подключает ftth но не pon?Какие проблемы со своим роутером купленным отдельно и штатным ростелекомовским? Почему пиздят что надо что-то прописывать и свой не подойдет?
>>209388535Ты не назвал протоколы vpn. А так то что ты описал не скрывает факт использования vpn, и dpi будет классифицировать твои соединения, и потенциально резать (в худшем из раскладов).Вот тут ссылка как чувак обходил китайский dpi, у нас вероятно будет как у них всё. Если коротко, он динамически менял размеры пакетов с хендшейками tls прокси, с помощью самописного софта на питоне. Тем самым он ломал классификацию трафика. http://blog.zorinaq.com/my-experience-with-the-great-firewall-of-china/
>>209388655>думаю на опенврт реально исполнить схему что я выше писал, а именно NAT клиентов идущих на вебсервер в некий приватный пул по source адресам и одновременно с этим destination-nat в адрес малиныА лучше купи б/у cisco, если ты в IT работаешь, то в качестве плюсов научишься работать с нормальным оборудованием, а навык пердолинга с OpenWRT и прочими поделиями подобного пошиба по сути может быть востребован разве что в говноорганизациях у которых не хватает денег даже на то, чтобы роутер купить, лол. Ты бы хотел в такой работать? Не думаю.
>>209388655>Сложно, не сталкивался с таким и даже не представляю зачем может понадобиться.Только чтобы вместо подключения к всегда одному ip адресу подключения шли к пачке ip адресов. Отрабатываю в голове вариант с потенциальным анализом трафика по алгоритмам, для отсеивания постоянных подключений.
>>209388733>а навык пердолинга с OpenWRT и прочими поделиями подобного пошиба по сути может быть востребован разве что в говноорганизациях у которых не хватает денегЭто не верно. Я после пердолинга с openwrt вкатился в линуксовое админство, оттуда в сервайс реабилити, оттуда в девопс и дальше в архитектуру облачную. Весь опыт переносим на чистый линукс серверный.
>>209388800А сколько зп? И да, проблема в том, что есть шанс вкатиться в эникейство до конца жизни, лол. В области админства достаточно тяжело карьерный рост осуществлять.>>209388814Я не оп, но отвечаю: нет, не видно.
>>209376429 (OP)>развлекательно-обывательский тред, И терминатор такой.УНИЧТОТОЖИТЬ! БИ БУ БИ БУ БИ БУ БИ БУ БИ БУ БИ БУ!ЧЖУХ ПХПУХПХУХПХУПХПХУХПХУП ЦЕЛЬ ДОСТИГНУТАБИ БУ БИ БУ БИ БУ БУ БИ БУ БИ БУ БИ БУ БИ БУ
>>209388765>>209388796поясни пожалуйста за этот пиздежь с накрученными лайками в комментарии https://technopoint.ru/product/5ff48455e4533330/abonentskij-sluz-gpon-d-link-gpon-dpn-1021g-sale/opinion/Почему не подойдет?
>>209388844>А сколько зп?3к баксов, я удалёнщик на ДС.> И да, проблема в том, что есть шанс вкатиться в эникейство до конца жизни, лолСкорее в шивинг. Эникейство это винда и дефолтные прошивки роутеров, а шивинг это уже про решения сложных задач тем что имеется. Из шивинга на самом деле путь хоть куда есть.
>>209388596В шапке каша пидец, никакой конкретики. Объясни.>>209388655Так пусть сливает, мой траф ведь сначала будет завернут в впн на клауде.>>209388703Так я в них и не разбираюсь. Что делать то по итогу?
>>209388918>3к баксов, я удалёнщик на ДС.Охтыжблять, нормально. Только я не понял, удалёнщиком работаешь на зарубежную контору или на ДСовскую, а сам живешь в ебенях?
>>209388844>нет, не видно.Сайт по dns query видно будет, если это biganddarkdicksforgays.hui какой-нибудь, то тематику угадать не сложно.
>>209388944Второй вариант. Я хлебушек, и у меня английский только ридонли, не могу разговориться. Так бы уже вышел на заграницу.
>>209376429 (OP)Так провайдер в курсе, какие у меня порно предпочтения? И насколько высока вероятность того, что моя вебка записала видосики со мной неистово дрочащим? Или как я козюли ем?
>>209388915Потоу что уростелекома привязка по маку и у них просто нет процедуры для регистрации других устройств, если ты их конечно не заебёшь. Чисто технически работать должен. А вообще, там правильно заметили, лучшее оборудование для пон- хуявей. А длинк говно производит в soho сегменте. И да, это не роутер, а всё таки шлюз, он же терминал, он же ont (optical network terminal)
>>209387865Если ты получаешь от провайдера адрес через DHCP, то можно попробовать просто переткнуть свой кабель в другой работающий порт, лол, при этом надеясь, что на железке ip mac port binding'а нет =)
>>209388959>Сайт по dns query видно будет, если это biganddarkdicksforgays.hui какой-нибудь, то тематику угадать не сложно.А ну это само собой, но я такие вещи в расчет не беру, как бы странно не звучало.>>209388981Эх, а я сижу в ебенях с разговорным английским за 1200 хуй посасываю. Я правда серверами не занимаюсь, да и удалёнку в ДС как-то тяжеловато найти как мне показалось. Засиделся в мухосранске, надо доучиваться и что-нибудь поинтереснее уже искать.
>>209389113>Я правда серверами не занимаюсь, да и удалёнку в ДС как-то тяжеловато найти как мне показалосьСетевику - да. Линуксовику - нет. Полный рынок предложений, просто нужно уже с опытом быть серьёзным.>Засиделся в мухосранскеУ меня было раз десять что предлагали релокацию в ДС за счёт конторы, всегда отказывался. Всё дорогое, вокруг шумно, повсюду хачи - ну нахуй. В сибирской мухосрани родной уютнее, работать вообще нужно с максимальным для себя комфортом. Плюс тут жизнь дешевле стоит, больше свободного бабла остаётся.
>>209389191>Линуксовику - нет. Полный рынок предложений, просто нужно уже с опытом быть серьёзным.Всё так :( Жаль что мне не особо интересно это все, хотя может стоит вкатиться, я толком и не пробовал этим всем заниматься, а зарплаты там пиздец.Лол, хотя у нас разное мировоззрение и один хуй я бы уехал в ДС, а лучше вообще из пидорахии подальше, желательно на другой материк, но да, в рассеянской мухосрани получая под 200к в месяц когда средняя в городе 30, вообще заебись, лол.
>>209389296Все не так прлохо, как сказал Анальный, но хуже будет! Но провайдеры всё равно выживут, ибо обычно монополисты.
>>209389252>Жаль что мне не особо интересно это всеТе же протоколы, те же сети, тоже консолька, просто кроме сетей ещё будут файловые системы, виртуализация, конетйнеры, автоматизация (по хорошему уже должна быть и у тебя в сетевичестве) и всякая балансировка высокоуровневых протоколов. Я бы вкатился на твоём месте, от одних сетевых железок сдохнуть со скуки можно.>и один хуй я бы уехал в ДС, а лучше вообще из пидорахии подальше, желательно на другой материкПо миру пошляться это весело. Я недавно вот гонял в финку на концерт однойй митол-группы, весной или летом думаю на фест во Франции сгонять с друзьями. Но меня всегда в конце тянет домой, я с удовольствием возвращаюсь в родной дикий мухосранск. Хотя конечно новые законодательные инициативы и вектор который у нас действительно приняла меня совсем не радует, и тоже приходится продумывать резервные варианты.
>>209389396> виртуализация, конетйнеры, автоматизацияЯ в это всё могу, только не на очень высоком уровне. Ну есть опыт работы почти со всеми популярными гипервизорами, докер-контейнеры умею запускать, по автоматизации могу писать разную хуйню которая сама что-то выполняет или экспортирует, или дёргает API какой-нибудь.>Я бы вкатился на твоём месте, от одних сетевых железок сдохнуть со скуки можно.Ой, не скажи кстати, можно на всю жизнь закопаться, столько разных технологий, только вот в Рахе есть нюансы с поиском работы. Я бы не сказал, что работа ищется плохо, наоборот, очень хорошо ищется, но только в ДС, только фултайм без удалёнки, а вилка зарплат на фоне тех же девопсов выглядит довольно блёкло, а для меня деньги это всегда самое главное.А есть какие рекомендации по вкату, я же не смогу без опыта работы девопсом пойти на такую работу, стоит какие-нибудь курсы-сертификаты изучить, или поискать entry-level работы?
>>209389564Анон, посоветуешь, как поднять скилл? Дома есть сервер на ксеоне с большим количеством оперативки, могу наплодить много виртуалок, дальше пока не придумал. Хочу навыки примерно как у тебя. Сам работал с hyper-v на нубовском уровне и с kvm openstack на таком же нубовском уровне. (техпод 1 лвл)Но заебало это техподство, хочу развиваться, но просто теорию читать - у меня не выходит, для этого я слишком тупой, к сожалению. Читаю и не понимаю, вот если на практике сделаю пару раз - тогда и понимается и запоминается.
>>209390126Я хз что посоветовать, я выше писал что считаю прогресс в области админства труднореализуемым ввиду ряда особенностей. Нужна работа которая позволяет хоть немного что-то делать творческое. Либо как у меня одно время была, где можно просто на похуй сидеть читать книжки / крутить виртуальные сети и нихуя не делать фактически.Что делать? Сделай хоть что-нибудь. Эмулируй виртуальную сеть выдуманной организации из нескольких филиалов, чтобы внутри Active Directory была с стандартными для нее сервисами, настрой DNS DHCP всю хуйню, сертификаты чтобы раздавались всем автоматически, объедини филиалы в одну сеть, всех выпусти в интернет, настрой прокси, подними веб-сервер какой-нибудь, подними впн, опубликуй веб-сервер вовне. Разберись с докером, научись поднимать контейнеры, научись поднимать веб-серверы с балансировщиками нагрузки, научись делать кластеры так, что если одна виртуалка падает, чтобы на сервисе это не сказывалось. Разберись с ansible, попробуй настроить "по шаблону" несколько виртуалок, разберись с скриптовым языком программирования и кроном каким-нибудь, настрой чтобы какая-нибудь хуйня через API телеграма тебе слово "хуй" по крону каждые несколько часов слала. Будь креативен, ёпта.Сложный вопрос, вроде так иногда сидишь и думаешь, что нихуя не знаешь, а вроде задумываешься, понимаешь, что, наоборот, дохуя и дохуя еще предстоит учиться.
>>209390508Лол, помню это говно, очень смешная мулька из прошлого, чтобы непуганых людей до нервного срыва доводить. А так да, дохуя чего еще можно вспомнить, дохуя аббревиатур, дохуя чего знаешь, дохуя чего ещё учить, а денег не так уж и много. Хотя сейчас полистал вакансии в ДС, немного отлегло, ну скоро уже, скоро.>>209390539Вот так.
Так, ребята подключение к провайдеру происходит через pppoe по оптоводокну. Какие подводные? Какие есть возможности у провайдера узнать на какой хентай я дрочу? Какие возможности есть у меня узнать на какой хентай дрочит провайдер? Какие есть возможности у левых челиков узнать на какой хентай я дрочу? В общем какие особенности, преимущества и недостатки данного типа подключения по сравнению с другими?
>>209390655>есть возможности у провайдера узнать на какой хентай я дрочуда нету, успокойтесь вы. ssl-трафик шифруется, непонятно, что внутри. хотя DNS-имена видны.>Какие есть возможности у левых челиков узнать на какой хентай я дрочуНикаких если не будешь запускать левые исполняемые файлы и не пропишешь у себя в качестве прокси тот адрес что они тебе дадут.
>>209390760Ну про шифрованный трафик это понятно, и с оптоволокном можно быть спокойным от физической врезки в кабель или какое-то прослушивание через свичи левыми чуваками. Но вот протокол меня беспокоит. Это же получается прямое соединение типа точка-точка, получается это какое-то подобие впна. Значит ли это что провайдер может видеть мою сеть или даже зайти в неё?
>>209387584я не читал чего ты хочешь, но есть несколько реализаций dmvpn.Если именно меш, я сейчас не вспомню названия, но есть несколько, вроде 3 видел. гуглится по всяким batman и т.п. Но это не серьезная нагрузка.Как там кто-то писал - геораспределенный кластер, я прям улыбнулся, людям 10гб мало под кластера, каналов организаций шире чем в 2гб между странами я не видел.
>>209390765Самый обычный IP пакет, в котором в качестве source адреса указаны 0.0.0.0 (потому что как ты верно отметил, IP адреса пока ещё нет), а destination указан 255.255.255.255 т.е. широковещательный адрес, т.е. он придёт всем в этом широковещательном домене. В таких пакетах DHCP запросы и доставляются, ибо как я выше написал, напрямую во фреймы DHCP не инкапсулируется, ему транспорт нужен. ухх а есть же ещё IPv6, а там вообще все по другому, там Unicast, Multicast и Anycast, и вообще на каждом интерфейсе по 2 адреса, один link-local а другой обычный, а сколько ещё открытий ждёт, и когда эту всю хуйню изучать, а еще и надо в перерывах между всей этой хуйнёй успевать отдыхать и спать, и даже кушать, и ещё какие-то хобби иметь чтобы на собеседовании при ответе на вопрос "что вы делаете в свободное время" не создалось впечатление что ты унылый гик-задрот, и где на все это времени взять, хуй его знает ух бля>>209390879>Это же получается прямое соединение типа точка-точка, получается это какое-то подобие впна. Ты когда в браузере видишь pornhub.com, verified by VeriSign CA это уже говорит о том, что ты реально попал на порнхаб (а не на подставной сервер) и что соединение не прослушивается, если ты до этого не установил левый сертификат себе на пк.>Значит ли это что провайдер может видеть мою сеть или даже зайти в неё?Никак он к тебе не зайдет, роутер через WAN интерфейс не пускает никого вовнутрь. если там уязвимость не проэксплуатировать какую-нибудь))
>>209390894>я не читал чего ты хочешь, но есть несколько реализаций dmvpn.DMVPN это стек технологий, ему не нужно применять их все. Для его задачи было бы достаточно multipoint GRE какой-нибудь, и все. Но чтобы эту хуйню под линуксом поднять... Ух, сложна. И вообще он спать ушел.
Оп, ты видишь на чо я дрочу? Вы с коллегами рофлите над этим? Пользователя запоминаете на всякий случай?
>>209390461А что про непосредственно сетевиков скажешь? Выше в треде было мнение про освоение и вкат туда. Против традиционного админства (с гуглением ошибки, лол)
>>209390941Я имел ввиду соединение точка-точка с провайдером, а не с сайтом, из-за чего опаска подобия впна и попадания провайдера внутрь.Ну а по поводу wan интерфейса на роутерах, это просто интерфейс на который прописаны настройки фаервола в прошивке? Ведь на тех же микротиках wan интерфейсом можно назначить любой. Ну и ещё кулстори по поводу уязвимостей. Был у меня такой дефолтный роутер тплинк, народный белый, в каждой хате такой стоит, названия не вспомню сейчас. И в один прекрасный день у него отвалился вайфай. Ну купил я значит китайский тотолтнк и поставил вместо него. Жил значит себе, а потом вдруг роутер сканом решил просканить свой роутер, сначала через внутренний адрес, потом через внешний, поставил ебанутейший длиннющий пароль и оно его спокойно вскрывало через внешний айпишник. Ну я в охуевании от того что где-то полгода моя домашняя сеть была достоянием общественности достаю свой старый тплинк со сдохшим вайфаем и сканю его, и его не взламывает. Дальше горожу такую херню, на тплтнке поднимаю провайдерское соединение, к нему подключаю китайское говно и прописываю ему отдельную сеть подключая к нему обратно все компы. В итоге у меня получилась такая херня: в тплинк заходит провайдер, внутренний его айпишник 192.168.1.1, дальше с него идёт провод в wan порт китайского тотолинка у которого айпи 192.168.0.1 на котором собственно висит вся домашняя сеть. А потом я решил накатить OpenWRT на тплинк и вайфай внезапно заработал. И имеет ли теперь смысл эта херня с двух роутеров? Всё-таки оставить всё как есть для надёжного разграничения интернета с домом или это не имеет никакого смысла?
>>209376429 (OP)А я как раз сетевиком у провайдера работал. Меня так заебало все это гандонство, что я уволился хоть и платили хорошо 70 тыщ целых ууу бля
>>209391526Ноки? Кто? >>209391468Принял, но как же всякие сетевики в дата-центрах, крупных фирмах? Видел вакансии от 100 минимум (и 130 максимум, лол).
>>209391468Двачаю этого. В пизду сети, постоянная ебля. Обрастешь бумагами от циски, хуиски, хаувея, юниперами и будешь получать как продавец обуви если это не какая-нибудь пиздатая компания. Вкладываться в самообразование чудовищно много, моновендеровым специалистом не получается быть, а ебут в жопу как эникея. Впрочем, если действительно сами по себе сети интересны, чобы и не поучиться, пригодится.
>>209391588Дежурства, нехватка людей, хуевое оборудование и начальство, которое думает, что ты за два часа разберешься, если внезапно решат в кишлак цискоблядства воткнуть внезапно юбикути какие-нибудь или ААА ВООТ ТУТ МИКРОТИК ХУЕМОЕ ЭКОНОМИЯ. СДЕЛОЙТЕ НАМ ЛЕНИНСКИЙ РАЙОН НА ЭТОМ ГОВНЕ. КСТАТИ ВСЕ ВАСИ МОНТАЖНИКИ УВОЛИЛИСЬ, СЪЕЗДИ С НОВЫМ ПЕТЕЙ, ПОКАЖИ КАК ОПТИКУ ВАРИТЬ. Да и вообще унылая работа сидеть в ЦОДе в мониторинге и пялится во всякие прайм, забиксы, прометеи и прочую срань безвылазно.>>209391576Да в компанию одну устроился, ютубы смотрю, сеть относительно небольшая.
>>209376429 (OP)>Работаю в крупном интернет провайдере (не топ, но десятки тысяч домохозяйств). Могу поотвечать на вопросы публики про всякое, если кому интересно. Димон?
>>209391602АПКШ Континент ещё...(хотя я конечно в этом не шарю, я тот техпод, но знаю что с ним админы работали)
>>209391716Да в пизду. Хотя одно время царила легкая паника, что все со своими цисками и хуавеем пойдут на хуй, в любимой россии будут только беспощадные руске фаерволы.
>>209391795>>209391468Двачую вопросМожешь рассказать, что это за йоба? Где используется, для чего? Насколько трудно освоить, лол
>>209388000> не скомпрометированыКем? Так и представляю, ключи от всех впнов мира у всех спец. служб мира, даже у Ким Ир Сена.
>>209391404Просто забей, чувак. Нужна практика, практика и еще раз практика. Если ты не работаешь в этой сфере, то скилл ты не набьешь. Иди в компанию и там тебя будут учить, епта, там ты столкнешься с реальностью, будешь рыдать посреди ночи как сучка в серверной, пытаясь понять, почему у тебя упало половина серваков, потом будешь валяться в собственной блевотине, пытаясь минимализировать последствия DDoS-атаки, потом ваша сетка заразится вирусней и ты будешь размазывая сопли по еблу пытаться исправить это, но после такого опыта тебе уже будегт ничего не страшно.
>>209391824Тебе тоже за него отвечу, потому что мне делать нехуй.Освоить можно, ничего принципиально сложного нет. Но сначала надо прокачать админство линукса, потом врубиться в контейнеризацию, докер, а потом уже лезть в кубернетс. Но все это дерьмо как правило сейчас востребовано в devops, а там еще надо понимать дженкисы всякие, вообще CDCI, деплой на гид и прочее говнище.
>>209391589Это как правило 3 варианта.sda, nsx там и прочее. это как бы про сеть, но на самом деле нет. и тебя все все время будут дергать.сторадж сети. опять дергают. и бесконечный пинг-понг с вендором.секурность, бумажная работа.
>>209391795ну это то, что выше писали. сейчас модно называть девопс.автоматизация разворачивания. кубернеты редхат любит, платют норм
>>209392108Двачаю этого.Вообще в ойти надо избегать аварийных направлений. Сети - самое аварийное говно. Хочешь быть аварийщиков-говночистом, которого будят ночью чинить какое-нибудь говно - иди в сетевики. Самое раздроченное очко максимального диаметра ты получишь там. Выяснять почему что-то не работает, когда разрывают телефон и сотовый - очень весело. Самая вешалка - провайдеры и операторы связи.
>>209392108вообще сетевики они очень разные. абонентский доступ, обмен трафиком, роутинг, датацентры, стораджи, гипервизоры, чистый железячный телеком, безопасники, мобильные сети. эти люди могут работать в одной компании и не знать коллег. в каждой области свои проблемы и свои бездны.у них могут и зарплаты норм быть, но забот полон рот, не иди туда. qa, rnd, devops, dba, яумамыпитонист - у этих парней менее напряженно.
>>209392177ну есть курсы, но я не знаю кто б их заканчивал. там начальную у рэдхата сертификацию пройти не дешево.это просто опыт, наработанные решения, когда ты знаешь как норм и быстро, а как хуево. это не квантмех.
>>209392220ну да, как-то так. вот показательно, что в гмт 3 5 утра в треде 2 человека, которые на хлеб с маспо сетями зарабатывали.
Сетевики, подскажите гайкокруту, как правильно сделать следующее: есть несколько разных сервисов, висящих в разных местах на внешних ип. От вебсайта до открытого rdp, плюс еще несколько своих протоколов.Хочется поднять vps где-то, который будет выполнять роль шлюза для всех этих сервисов.Т.е выполнять скрытие конечного ип и защиту от дудоса.В теории я могу просто перенаправлять порты, так? Но хотелось бы что-то шифрованное в этом канале.Есть вариант с пробросом портов по ssh, но как следить тогда за поднятым линком и поднимать его, когда упадет?Есть какое-то более типовое и элегантное решение, чтобы не делать велосипеды?
>>209392447Не очень понятно из изложенного как сейчас это работает и что там куда передает трафик. Карту бы.А в общих чертах все заворачивается на vps, где ставится фаервол и выпускает сервисы через себя в инет.
>>209392447пробрасывать порты, лол.зачем тебе шифровать? модель угроз сформируй.пробрасывать порты ты можешь и через тун интерфейс.по ссш - дорохо.
>>209392572Пока никак. Суть такова - есть например квартира, в которой стоит nas с файлами (sftp, opencloud или что угодно), стоит комп с rdp включенным, стоит сервер видеонаблюдения, висит контроллер умного дома, еще что-то.Всему этому проброшены порты на роутере. Но это несекьюрно - я не увижу атак на рдп, например, или ддоса.Таких объектов (квартир, офисов) несколько. Где-то динамический внешний ип, где-то статика.Поэтому со всем этим зоопарком неудобно работать.Идея в том, чтобы сделать единую точку, шлюз на впс, и ко всем сервисам в разных местах обращаться через него. На роутерах объектов разрешить доступ только с этого ип.А на самой впс уже настроить все, fail2ban, логи, ограничения, номера портов привязать к нужным сервисам.Как такое правильно делается?
>>209392713Ну рдп это вообще не секюрно в принципе. А так - ты все сам описал.Делаешь сервер, до него впн каждой сети, сервер выпускает сети в инет, а на сервере фаервол. Как правильно это делается, в смысле тебе подробно изложить вариант решения с настройками что ли лол?
>>209392775>Ну рдп это вообще не секюрно в принципеВариантов нет, оно мне надо. Только в варианте с тупым роутером сложно защититься, а со шлюзом я могу сделать так- на роутере пропускать только с его адресов, а на впс-шлюзе настроить порткнокинг или любую другую штуку, которая будет открывать мне канал для того ip, с которого я пришел.С впн морочно, не везде есть возможность.Могу либо просто перенаправлять порты (например для веб приколотить nginx, так?), либо делать тупой туннель ssh внутрь своей домашней сети.Мне не вариант решения, в общих чертах бы, или может готовое что есть.Ну или просто сказать - ход мыслей верный, или наоборот, идея хрень, это делается вот так.В линуксы умею, в документацию тоже, но вот такого никогда не делал.Ну и посоветуйте что ли, какой софт использовать.Пока приходит в голову ssh, на линуксах и винде есть, порты смогу завернуть, но вот производительность...Есть еще softether vpn, кто-то использовал?Идея завести vps, дать ей доменное имя и ходить по нему ко всем остальным сервисам.
>>209392925Я бы каждую сеть лучше выпускал через нормальный фаервол. А залазил туда через вебморду соответствующих сервисов или ссх там где можно.Поставь микротик, заруби вообще все кроме портов сервисов, накати фаерволов на какой-нибудь хост. Я же не ебу что там у тебя за зоопарк.А вообще надо было начать с вопроса - что ты там удаленно делаешь? Что тебе вообще там надо в итоге получить?
>>209392986Я хочу издали иметь доступ ко всем своим компам/устройствам.Чтобы в командировке мог глянуть на сервак с бухгалтерией и доками, чтобы мог глянуть домой по камерам, что у меня творится в мое отсутствие. Заглянуть на комп по рдп в другой квартире, забрать оттуда нужные документы и включить торрент на закачку, чтобы к приезду фильмец укачался.Все эти устройства в разных местах.По отдельности неудобно, даже с микротиком сложно настраивать файрволл, потому что неизвестно, с какого адреса я зайду извне.А есть еще бухгалтерша и коллега, которой тоже надо иногда удаленку на офисный комп.На одном впс удобно видеть все логи, кто куда ходил.Плюс т.к. впс не у нас, то иметь возможность ходить через него туда, куда ркн свой нос не совал.Плюс повесить на тот впс "сайт", который на самом деле хостится у меня дома/в офисе, чтобы не палить реальный ип.Насчет микротиков спасибо, наверное заменю везде роутеры на них, там вроде можно многое настроить достаточно гибко.Короче я так понял, что идея реализуемая, особых возражений, почему оно не будет работать нет, я на правильном пути?
>>209393271Я про пакеты https говорю. Они зашифрованы и расшифровать их пока что никому не удавалось.
>>209393070Торренты по udp и не шифрованы от слова никакСодержимое тор нет, но когда и сколько передано - да.
>>209393296Ебанат. Через него эти пакеты и проходят. То что он может/не может их расшифровать, это совершенно другое дело. И то что никому еще не удавалось сделать, не значит что невозможно.
Вот интересно. Допустим приходишь ты на какую нибудь серьезную работу в ФСБ, а тоафик то хранится. Может ли провайдер увидеть каких нибудь случайно скаченных уральских грызунов? Похоже, что да, если принудительного шифрования не было. Так не только без работы, и без свободы и анальной девственности останешься. По идее, принудительное шифрование при использовании торрента должно защищать только от прослушивания, а не существует ли у провайдера чего нибудь, что может прикидоваться пиром для определения, какой файл скачивается?