Чтобы добавлять сообщения и комментарии, .

@tuenut:
tuenut

А нахуя делать прокси для выхода в интернеты в подсети 192.168.0, когда все остальные компьютеры обитают в 192.168.7 ?

@akater:
akater

Job offers from Whonix: whonix.org whonix.org No funding yet, they say they're working on it.

@idv:
idv

ну чо за херь? почему в NPS нельзя завести собственное сопоставление имени поставщика и кода поставщика (ака Vendor Code)? Я бы хотел один раз определить что 2636 это Juniper и далее оперировать уже названием вендора.

@idv:
idv

Модель ситуации — есть железяка, через нее идет транзитом QinQ для клиента, на этой же железяке висит некий IP. Клиенту выдана подсеть, где этот IP — шлюз. Оборудование клиента в свой порт получает канал в эту подсеть, заворачивает его в отдельный влан и отдает в транковый порт, где его принимает пров и через QinQ-канал отправляет.... далеко. То есть вот эта гипотетическая железяка в какой-то момент на своем порту, куда льется QinQ, радостно обнаруживает пакет со своим собственным src-MACом. Что она сделает с этим пакетом, если это arp-reply и железка скорее всего циска?

@mintcat:
mintcat

Телеком сказочка.
Приходит контора "Я" к оператору "О".
Я: У нас есть конкуренты всякие ("G", "М" и другие), у тебя всё равно злой DPI на сети, можешь выдирать из http поисковые запросы (GET) твоих клиентов к сервисам наших конкурентов, и зеркалировать нам в отдельный интерфейс? Мы тех, кто к нам пришёл "видим хорошо", хотелось бы ещё понимать кто, чем, зачем и почему ходит к конкурентам.
О: Безпроблем "Я", с тебя XXX денег.
Сказочке конец. Скоро "сказочку" запилим в продакшн.
Такие дела человечки, большие братья теперь хотят вас всех.

@mintcat:
mintcat

В русской wikipedia отсутствуют статьи про Identifier/Locator Network Protocol и про Locator/Identifier Separation Protocol (LISP). Никто не хочет восполнить пробел? Ребята из Google, Facebook, NTT, Level3, InTouch N.V., Internet Systems Consortium уже с этим давно играются в лабах. Функционал очень интересный, самые красивые пункты:
BGP-free multihoming in active-active configuration
Inbound traffic engineering
Customer driven VPN provisioning replacing MPLS-VPN
Customer operated encrypted VPN based on LISP/GETVPN replacing IPsec scalability problems
High availability for seamless communication sessions through (constraint-based) multihoming

@partizan:
partizan

Коммутаторы подразделяются на управляемые и неуправляемые (наиболее простые).О БОЖЕ ЭТО НЕУПРАВЛЯЕМЫЙ КОММУТАТОР, ВСЕ В МАШИНУ!

@partizan:
partizan

котаны, у меня был крутой конспект по сетям, но он как и все конспекты времен универа куда-то потерялся. есть что-то хорошее почитать для того чтобы иметь представление про то как сети работают? ну там, модель OSI, протоколы, маршрутизация, etc
а то я нашел на хабре "сети для самых маленьких", так там вот вам циска, вланы, подключайте. отличная шутка ящитаю.

@mintcat:
mintcat

Гвоздями прибитый к IP сетям TE похоже всё. Гугл уже деплоит в продакшн SDN.
слушать youtube.com
смотреть bit.ly
Интересно каким будет ответ "монстров" рынка C и J?

@mintcat:
mintcat

0-day exploit. Junos: Crafted TCP packet can lead to kernel crash
Products Affected This issue can affect any router running Junos OS 7.6R1 or later configured with open TCP ports (eg. telnet, SSH, BGP, etc.) allowing incoming TCP connections to reach the RE.
Platforms Affected: JUNOS 12.x; Security; JUNOS 11.x; JUNOS 10.x
SIRT Security Advisory, Revision Number 1, Issue Date 2013-01-30
Тот, кто знает как правильно сформировать этот самый TCP пакет, может выключить около 65% всего интернета (и наложенных сетей). JTAC подробностей пока не даёт. Софт будет меняться постепенно, возможно мы увидим нехилые обвалы связности у ВСЕХ

@mintcat:
mintcat

А расскажите мне про kernel mode (netfilter based) NAT66 в linux. Насколько я понимаю его просто не существует? Нет, мне он точно нужен. Спасибо.

@mintcat:
mintcat

Я правильно понимаю что вот это juniper.net "серверная" часть описанная в rfc6732? и если цепляться к ней через стандартный 6to4 (sit driver), то всё будет ОК? Есть у кого-нибудь такая штука в продакшн?

@mintcat:
mintcat

Вот что жуек, есть крутые вакансии. На руководящие должности (~4-7 человек подчинённых в команде). В проект Сочи-2014 очень крупного оператора связи. Денег платят нормально. Все вакансии предполагают переезд в Сочи. По каждой вакансии могу написать отдельно если будет интерес. Сейчас общая информация. Направление — сети связи.
Нужно строить (проектировать, развивать, эксплуатировать):
1. транспорт — ВОЛС, активка DWDM/PDH/SDH
2. IP/MPLS со всей помойкой IP сервисов
3. voice в различных его ипостасях
4. безпроводка (WiFi)
5. инженерка — климатика, электрика, пожарка
Что нужно — очень хорошая компетенция в соответствующий области, english, опыт, много опыта.
На те вопросы, на которые смогу, отвечу здесь. Если кому интересно — давайте ссылку на свой CV, я дам контакт HRа.
На hh.ru ещё не отдали, но уже скоро.

@mintcat:
mintcat

В linux ядре на так давно появились l2tp псевдопровода и OpenVSwitch. Вот бы кто запилил нормальный full (partial) mesh vpn. Провода можно бриджевать. Связность может жить через какой-нибудь DHT. Ну и PKI конечно. Если нормально надизайнить, вообще конфетка получится. Установленные соединения не будут рваться даже при падении сервиса потому как тунельная часть в kernel space. Дарю идею. А вообще такую штуку можно и на нетграфе сделать, то тогда это за пределы платформы не пойдёт.

@mintcat:
mintcat

Если есть герой который осилил квест "как прокинуть дохрена vlan в kvm гостя не создавая при этом кучу бриджей на хосте", приглашаю его сюда написать историю успеха.

@mintcat:
mintcat

RFC 3021 describes using 31-bit prefixes for point-to-point links. Линукс вполне позволяет повесить адрес с маской /31 на интерфейс. Кто нибудь запускал в боевую сервисы в таком дизайне? Есть "подводные камни"?

@partizan:
partizan

какие интересные хостнеймы бывают) l3-dante-panas.yandex.net, например :)

@mintcat:
mintcat

Juniper легализовал "оливку". Назвал её VJX1000. Внутри — J серия на KVM-e, что понятно и ожидаемо; понимает до 16 ge портов.
Если будут продавать отдельно от Junospace, то младшие ISRы конкурента будут иметь очень бледный вид.
Производительность общают до 50mpbs, но думаю что это не предел.
Продукт получился больше этерпрайзный чем сервиспровайдерский.
Наши точно купят, будем делать большую лабу.

@mintcat:
mintcat

ололо, кажется начали "скрести по сусекам". RFC3330 больше не актуален, ICANN начал раздавать последние ipv4 блоки согласно RFC5735.
Вот такие — 128.0.0.0.16 191.255.0.0/16 223.255.255.0/24. Майл.ру уже оторвали себе /21 Корректируйте блекхолы своих "марсиан".

@mintcat:
mintcat

В тред приглашаются владельцы openwrt based домашних маршрутизаторов.
Расскажите мне про ImageBuilder для ar7xx trunk, где он растёт и почему он broken уже два года ?

@mintcat:
mintcat

АААА! Шлюзование между L3-MPLS/BGP based VPNs и XMPP.
Вот так — tools.ietf.org
Запилите мне пожалуйста такой плагин для pidgin или mcabber.

@nil:
nil

libpsyc has rapidly reached production status. It has a lightning fast implementation of the PSYC syntax, which beats popular XML and JSON format parsers by at least a factor of four if not a lot more.
about.psyc.eu
lib.psyc.eu
about.psyc.eu

@k1lg0reTr0ut:
k1lg0reTr0ut

вопрос про линукс и про сети VLAN
хочу перевести сеть на виланы, но постепенно.
насколько я понимаю, по умолчанию, на оборудовании поддерживающем эту технологию — используется vlan с тегов 0. скорее всего в этом поле пакета вообще ничего нет.
исходя из этого — правильно ли я понимаю, если создам на линуксе vlan0 то все будет работать как работало. потом создам vlan10 пропишу его на оборудовании, и уже часть компов будет ходить по новому вилану.
вобщем как то так в моих грезах.
вопрос, как обстоят дела в реальности?

@mintcat:
mintcat

Есть вакансия. "инженер IP/MPLS сети".
Сеть большая. Денег — средняя ЗП по рынку труда.
Задач дофига. Собеседование с JNCIE.
Не срочно. В HR заявку дадут примерно через месяц.
Задавай свои вопросы жуек

@partizan:
partizan

кхм, жуйкач. а почему у меня вайфай роутер превращается в тыкву? помоему через два дня работы. не выдает больше 1 мегабита, а если включить торенты, вобще пииздец.
// asus rt-n12. купил три дня назад, сегодня обновил прошивку, посмотрим что дальше будет)

@nil:
nil

A Generic, Self-organizing, and Distributed Bootstrap Service for Peer-to-Peer Networks.
springerlink.com

@nil:
nil

Как в OpenBSD будет выглядеть аналог команды ip route add default dev ppp0?

@mintcat:
mintcat

ipv4 в глобальном пуле — всё. в RIRах ещё есть, но никому уже не дают, держат в резервах,
до домашнего юзера последствия нехватки адресов докатятся через год примерно.
как это будет?
1. Будут давать rfc1918 адреса.
2. Будет CGNAT, а это вам не домашняя натилка в которую кучу helper'ов насовали, ALG там похоже будет только для ftp, а если всё это будет на BRASах и выполняться на asiс'ах, тогда вообще не ждите никаких ALG.
Автоматического управления через upnp или другую фигню не будет, возможно будет кнопка (форма) в личном кабинете — заказать диапазон портов (это в самом лучшем случае).
Про L4 — всё что не tcp и не udp работать скорее всего не будет.
Такую услугу нельзя будет называть — "доступ в интернет", фактически это будет услуга — "просмотр web страниц", хотя конечно же никто не будет название менять.
Появится новая услуга — динамический внешний адрес.
Постоянный внешний адрес будет стоить столько же денег, сколько стоит тарифный план.
3. 6RD и DS-Lite похоже тухлятина, будет Dual Stack.
4. Есть отличная идея — отзывать адрес, без разрыва сессии, но чтобы это заработало нужно вечно "болтающие" приложения переместить в ipv6), ожидаются что они сами понемногу перепозут когда будет связность.
Это вопрос нескольких лет. стандарт же на протокол отзыва адреса пока не полностью готов, а жаль, эта штука могла бы спасти всех от NATа
5. Как будут давать ipv6, тоже пока неясно (какими сетями), если согласно rfc, то получается что homeuser получает адресов столько, сколько сейчас во всём ipv4 пространство, не понятно зачем это нужно.
(Если кто включён ipv6 native — расскажите, какого размера префикс дал вам провайдер).
6. Большая обвязка сопутствующих протоколов на участке PE-CE (prefix delegation и прочая фигня), control plane производители пока не научились толком защищать, будут ломать, хачить, досить.
7. Включать новых абонентов так будут сначала там, где мало конкурентов или они слабые, в больших городах будут тянуть до последнего.
8. Старые ОС с различными уязвимостями не будут больше спрятаны за домашним NATом, поголовье ботнетов сильно выростет.
9. Следующие лето-осень рубеж, адреса просто закончатся, готовьтесь.

@mintcat:
mintcat

вот здесь — #1411095/13 @Irsi рассказывает мне как правильно "понимать в сетях".

@mintcat:
mintcat

yota нахуй послала, саппорт отказался помогать,
сказали что нет у них говнософта yotaaccess для ОС winxp pro 64.
А суть его — лишь конфиги для ppp.
Было бы для себя нужно, нашёл бы выход, а так... неохота даже заморачиваться
Потеряли клиента — девушка взяла опцию БИТ у МТС.

@nil:
nil

Чтобы снова не забыть. Port knoking.
execbit.ru

@mintcat:
mintcat

Оборудование DPI должно поддерживать следующее воздействие на трафик анализируемых соединений:
— Разрешить/Запретить
— Перенаправить (http трафик — на портал, любой трафик — на новый IP адрес)
— Собирать статистику (суммарную, по каждому протоколу, по каждому подписчику, по каждому протоколу каждого подписчика)
— Ограничить число сессий
— Ограничить полосу (отбросить превышающий, внести задержку)
— Перемаркировать биты приоритезации
— Установить атрибут подписчика
— Сбросить TCP сессию
— Копировать (зеркалировать) трафик
— Установить приоритет очереди на исходящем интерфейсе
— Установить квотирование по определенному протоколу для каждого подписчика
Поддержка базы профилей подписчиков.
Оборудование DPI должно обеспечивать возможность ведения базы профилей подписчиков. Профиль подписчика должен содержать
— Имя и идентификатор
— IP адрес
— Не менее 30 атрибутов
Оборудование DPI должно обеспечивать возможность автоматической статической или динамической привязки анализируемого трафика к тому или иному подписчику (персонификацию) на основе значений IP адресов.
Динамическая привязка трафика к определенному подписчику на основе IP адреса должна реализовываться как минимум следующими способами:
— С помощью анализа служебного трафика RADIUS или DHCP
— С помощью внешних систем используя API оборудования DPI
Оборудование DPI должно обеспечивать возможность создания атрибутов подписчиков и присвоения им значений, статически или динамически. Атрибут подписчика должен иметь задаваемый временной период активности.
Динамическое заполнение атрибутов подписчиков должно реализовываться как минимум следующими способами:
— заполнение атрибутов подписчиков значениями RADIUS VSA анализируемых при авторизации данного подписчика в сети оператора.
— с помощью внешних систем используя API оборудования DPI
Это вам на подумать кусок проекта (требования) по DPI. Фотки стоек постить не стоит наверное.
Ну вы сами всё поняли да, телевизор большАя часть неселения уже давно не хавает, "большой брат" очень правильно идёт в СЕТЬ.
И все вы получите именно такую сеть, какую вам ДАДУТ, а не какую вы пожелаете.
Предлагаю постить в тред "лекарства" (например RetroShare), а то как революцию то делать будем все же под "колпаком"?

@rumaniac:
rumaniac

Господа, есть просьба — отсоветуйте, пожалуйста, вменяемый, более-менее современный роутер в пределах трех тысяч российских рублей. Асус приветствуется, линки на конкретные айтемы — также. Спасибо.

@mintcat:
mintcat

MMTC-9. Это генератор. В здании. Этаж примерно минус 5ый. Если внезапно случается ужасный пиздец с питанием, то его достаточно чтобы кормить железки военных, МЧС, ФАПСИ и наши. Арендаторы конечно же впролёте.

@mintcat:
mintcat

Съездил на MMTC-9. Если у этой железки отобрать питание то 1/3 россиян врядли смогут нормально пользоваться интернетом. А на неё имеют доступ около сотни человек...

@mintcat:
mintcat

Есть такое мнение что QOS в IP сетях это ГАВНО пиздец какое и не нужен вовсе, особенно для клиентов, а как в вашей сети с этим? дискасс...

@nil:
nil

Поиск по "piratebox" в juick'е не дал результатов. Это проблема поиска или аудитории?

@mintcat:
mintcat

Закулисные игры достали бля вообще. Каждый МРК хочет быть "центром компетенции" по всему чему только возможно. Ростелеком хочет их растворить в себе. Сейчас меряемся перед разными боссами железками и людьми, у кого круче роутеры (а у нас тут бля — CRS, а у нас — T1600, а я брата позову — он боксёр и прочее гавно) и больше сертификатов. Все дрожат за свои драгоценные рабочие места.

@mintcat:
mintcat

Три года обещали, но всё таки сделали. Junipеr релизнул коробку специально для core. Предлагают использовать её как P router. Линейка называется PTX. Теперь в ядро можно не ставить MX и Т серии. Масштабирование обещают гигантское. Видимо наши будут брать. Летом посмотрю в живую этого зверька.

@nil:
nil

"... имея доступ к core-сети или подсунув телефону "ненастоящую" базовую, можно попросить у него его GPS-координаты, и тот бодро отрапортует (при условии поддержки RRLP в сети и в телефоне)."
users.livejournal.com