reytsman: (Default)
reytsman ([personal profile] reytsman) wrote2021-07-22 09:21 am
  • Add Memory
  • Share This Entry
Entry tags:

Сетевое.

-Если бы был конкурс мудаков, ты бы занял второе место
-Это ещё почему?
-Потому что ты мудак!
старый анекдот

Совать в одну сетку два dhcp контролера и не прописывать ручками default gateway было очень очень очень тупой идеей.
Единственное, что я могу сказать в своё оправдание, это то что раньше всё ТОЧНО весело в одной сетке модем был 192.168.1.1. юверовский гейтвей висел на своём 192.168.1.254 и всем девайсы межды ними. Видимо в прошлой конфигурации я включил dhcp forward, но оставил режим раутера.

В этот раз когда я врубил AP на лучнике, раутинг перешёл на юверсовскую поделку и тормоза были просто чудовищные.

ddns при ближайшим рассмотрении оказался, ровно тем что мне и сказали закачкой адресов в инет, а не созданием локального раздатчика dns. Особо выпендриваться я не стал, вбил статический 9.9.9.9 в качестве статического dns, если есть более правильные варианты, буду благодарен (култуху не предлагать). К VPN этот раутер похоже относиться в стиле девиза ПВО, максимум что он может предложить это заблокировать этот трафик на фиг. Файрвол там вроде бы какой то есть... что то там по умолчанию, я до кучи решил закрыть все ssh/telnet/ftp потому как вроде как пока я этим ничем особо не пользуюсь. UPnP я проверил по умолчанию он выключен.

Что собственно закрывает тему раутера и подводит нас к главному вопросу.... Я всегда знал, что у меня не модем, а intelegent gateway (3801HGV).... но не знал до какой степени. Это девай "всё в одном" лохматых годов по умолчанию 1) раздаёт вай-фай - ооооочень херово сигнал никакой 2) занимается раутингом всей сетки оооооочень плохо больше двух девайсов для него уже дос аттака 3) что-то где то фарйволит 4) много ещё разной херни 5) подключается к uvers_овской сетке которая не жрёт стандартных нормальных модемов от слова совсем.

Нормальный bridged эта штука не умеет от слова совсем. Но говорят, что если на нём врубить DMZ+ и cascaded router и отрубить всё что можно отрубить будет лучше. Провайдера я пока менять не хочу, по той простой причине, что дёшево и сердито, скорости мне хватает на всё, за все годы инет отрубался раза четыре причём два из них это был подыхание модемов, платить больше за всё тоже самое "чтобы было" мне кажется не совсем оптимальным решением.

Я бы уже давно врубил бы DMZ+ и вырубил бы всё что нашёл...
Но у меня перед глазами две пару больших удивлённых глаз.... это глаза одного из наших инженеров и админа (когда я ещё был в мелкой конторе) Инженер позавчера что-то намотал на рабочий лэптоп... вчера админ отформатировал лэптоп и накатил новую винду, а сегодня после одного единственного вечера в кафе инженер принёс админу лэптом ровно в таком же состоянии как лэптоп был до переустановки.

Старшие товарищи уверяют, что я зря стесняюсь и что выключение всего этого безопасно, потому как всё равно раутер будет всё прятать и файрволить. Более того много лет назад у меня был стандартный PPPoE модем без всех этих наворотов и меня это особо не беспокоило. Но сейчас в доме ТУЧА самого разнообразного старья которое висит на вайфае и во всём этом хозяйстве куча дыр, я как первокурсница стесняюсь снимать трусики пытаюсь понять древнейший как говно мамонта "inteligent gateway" это только тормоз и ничего кроме тормоза или он него есть некоторая помощь в области безопасности?
Flat | Top-Level Comments Only
rampitec: (Default)

[personal profile] rampitec 2021-07-22 03:06 pm (UTC)(link)
Два ната низачем не нужны. Как и два презерватива, чтобы понятнее было.
rampitec: (Default)

[personal profile] rampitec 2021-07-22 03:55 pm (UTC)(link)
Это если бы они в параллель стояли, а не каскадом.
sivka2006: (Default)

[personal profile] sivka2006 2021-07-22 04:00 pm (UTC)(link)
Это как?
rampitec: (Default)

[personal profile] rampitec 2021-07-22 04:06 pm (UTC)(link)
Я тоже пытаюсь представить. Но ты сам сказал про реданданси!

Ну вот например что-то такое: два выхода в инет, два роутера, две внутренние сетки со своими адресами и dhcp и роутинг между сетями. Если ложится один инет, клиент может переключиться на второй... Что-то в этом духе. Это сложнее, конечно, будет, но вот это будет реданданси!

На практике, конечно, просто два вана у роутера.
Edited 2021-07-22 16:07 (UTC)
sivka2006: (Default)

[personal profile] sivka2006 2021-07-22 04:11 pm (UTC)(link)
А зачем две внутренние сетки со своими адресами?
Если у меня 2 роутера и 2 дхцп сервера, это понятно. Но зачем 2 сетки?

(no subject)

[personal profile] rampitec - 2021-07-22 16:31 (UTC) - Expand

(no subject)

[personal profile] sivka2006 - 2021-07-22 17:04 (UTC) - Expand

(no subject)

[personal profile] rampitec - 2021-07-22 17:13 (UTC) - Expand

(no subject)

[personal profile] sivka2006 - 2021-07-22 17:17 (UTC) - Expand

(no subject)

[personal profile] rampitec - 2021-07-22 17:18 (UTC) - Expand

(no subject)

[personal profile] sivka2006 - 2021-07-22 17:20 (UTC) - Expand

(no subject)

[personal profile] rampitec - 2021-07-22 17:22 (UTC) - Expand

(no subject)

[personal profile] sivka2006 - 2021-07-22 17:28 (UTC) - Expand

(no subject)

[personal profile] rampitec - 2021-07-22 17:30 (UTC) - Expand

(no subject)

[personal profile] idan11 - 2021-07-22 22:19 (UTC) - Expand

(no subject)

[personal profile] rampitec - 2021-07-22 22:52 (UTC) - Expand

(no subject)

[personal profile] idan11 - 2021-07-22 23:21 (UTC) - Expand

(no subject)

[personal profile] rampitec - 2021-07-22 23:28 (UTC) - Expand

(no subject)

[personal profile] brmail - 2021-07-22 23:50 (UTC) - Expand

(no subject)

[personal profile] rampitec - 2021-07-23 00:01 (UTC) - Expand

(no subject)

[personal profile] xwind - 2021-07-23 01:22 (UTC) - Expand

[personal profile] xwind 2021-07-22 05:05 pm (UTC)(link)

два выхода в инет

А вот кстати да, чтобы когда ложится основной канал, переключаться автоматически на запасной, или что бы поднимал 4G свисток, это тема, всё хочу сделать, но руки не доходят. Да и после того как я отпинал своего кабельного провайдера и он целиком перетянул линию, интернет исчезать вообще перестал, так что и мотивация пропала.

(no subject)

[personal profile] rampitec - 2021-07-22 17:14 (UTC) - Expand

(no subject)

[personal profile] reytsman - 2021-07-22 17:42 (UTC) - Expand

(no subject)

[personal profile] rampitec - 2021-07-22 17:56 (UTC) - Expand

(no subject)

[personal profile] reytsman - 2021-07-22 18:02 (UTC) - Expand

(no subject)

[personal profile] rampitec - 2021-07-22 18:05 (UTC) - Expand

(no subject)

[personal profile] reytsman - 2021-07-22 17:41 (UTC) - Expand

(no subject)

[personal profile] brmail - 2021-07-22 20:45 (UTC) - Expand

(no subject)

[personal profile] reytsman - 2021-07-23 15:49 (UTC) - Expand

(no subject)

[personal profile] brmail - 2021-07-24 00:28 (UTC) - Expand

(no subject)

[personal profile] reytsman - 2021-07-24 00:43 (UTC) - Expand
reytsman: (Default)

[personal profile] reytsman 2021-07-22 04:05 pm (UTC)(link)
В той конфигурации которая у меня не взлетела они стояли в паралель... и я не уверен, увёрс не хотел дружить потому что в я default route ручками не прописал или потом что хрен вам, а не интернет у вас айпи неправильные.... я уже от этого увёрса ничему не удивлюсь.
rampitec: (Default)

[personal profile] rampitec 2021-07-22 04:29 pm (UTC)(link)
Ещё бы она взлетела...
reytsman: (Default)

[personal profile] reytsman 2021-07-22 04:39 pm (UTC)(link)
Не ну а фигли... что может у нас по умолчанию быть default route в домашней сетке?
Но мне также кажется, что я туда уверс тоже пытался указывать как default route когда они в одной сетке были, но оно меня слало лесом.

(no subject)

[personal profile] rampitec - 2021-07-22 16:42 (UTC) - Expand

(no subject)

[personal profile] reytsman - 2021-07-22 16:46 (UTC) - Expand

(no subject)

[personal profile] idan11 - 2021-07-22 22:32 (UTC) - Expand
reytsman: (Default)

[personal profile] reytsman 2021-07-22 03:19 pm (UTC)(link)
Да. Там понятнее. Я почему то с детства думал, что ната мало и для полной защиты нужен файрвол. Но это оказалось, что больше пользователей чморить и локальные порты закрывать.... ну если я правильно понял.

[personal profile] xwind 2021-07-22 03:22 pm (UTC)(link)

Нужно прятать порты управления самим роутером из внешней сети. Но это и так идёт практически везде по дефолту.

rampitec: (Default)

[personal profile] rampitec 2021-07-22 03:28 pm (UTC)(link)
+1. А если нет, то пойти и закрыть.

Другое дело ipv6, там файрвол нужен. Но свой и он гораздо проще: никаких соединений снаружи, если исходный запрос был не изнутри. А зачем нужен ipv4 файрвол за натом я не очень представляю. Ну вот и правда разве что юзеров чморить.

[personal profile] xwind 2021-07-22 03:39 pm (UTC)(link)

Эээ, имхо ipv6 нужно прибивать на корню, мне счас натолкают, что я не умею его готовить, но от него же один головняк.

reytsman: (Default)

[personal profile] reytsman 2021-07-22 03:46 pm (UTC)(link)
Вот вот вот вот... именно "ради этого и писал" чтобы заслушать, как правильно готовить ipv6.

(no subject)

[personal profile] rampitec - 2021-07-22 15:57 (UTC) - Expand

(no subject)

[personal profile] brmail - 2021-07-22 20:49 (UTC) - Expand

(no subject)

[personal profile] reytsman - 2021-07-23 15:48 (UTC) - Expand
sivka2006: (Default)

[personal profile] sivka2006 2021-07-22 04:16 pm (UTC)(link)
statefull firewall умеет много гитик..
reytsman: (Default)

[personal profile] reytsman 2021-07-22 03:28 pm (UTC)(link)
В меня в своё время вбивали, что и доступ к раутера должен быть только https... а все почему то всегда http ставят.

И также умиляет, что после ресета подключаешься по вайфаю без пароля и конфигурируй что хочешь кто хочешь.
brmail: (Default)

[personal profile] brmail 2021-07-22 09:00 pm (UTC)(link)
все почему то всегда http ставят
ленятся трахаться с сертификатом

(no subject)

[personal profile] reytsman - 2021-07-23 15:38 (UTC) - Expand
sivka2006: (Default)

[personal profile] sivka2006 2021-07-22 04:14 pm (UTC)(link)
>> и локальные порты закрывать
nat все локальные порты закрывает.

nat и фаэрволл - сути разные.
reytsman: (Default)

[personal profile] reytsman 2021-07-22 04:21 pm (UTC)(link)
//nat все локальные порты закрывает.
Если бы я чуть головой подумал, я бы может быть то же бы сообразил... хотя может быть я этого и не знал...
sivka2006: (Default)

[personal profile] sivka2006 2021-07-22 04:57 pm (UTC)(link)
тогда тебе надо разобраться, что такое НАТ и нафига он нужОн.

(no subject)

[personal profile] reytsman - 2021-07-22 17:01 (UTC) - Expand

(no subject)

[personal profile] sivka2006 - 2021-07-22 17:05 (UTC) - Expand
krivye_ru4ki: (Default)

[personal profile] krivye_ru4ki 2021-07-23 06:26 am (UTC)(link)
Мерзкий AT&T не особо даёт использовать свой модем или их модем в режиме моста. Мерзкий потому что помню как пытался выпустить небольшой офис через их оптику, а их модем не поддерживал больше n сессий в таблице трансляций. Пока не переехали на Spectrum (которые тоже не рахат-лукум), мучались с глюками.
rampitec: (Default)

[personal profile] rampitec 2021-07-23 06:34 am (UTC)(link)
Да комкаст тоже не подарок. Кажется у них у всех написано, что сервера, смотрящие в инет, держать на консьюмерской линии нельзя. Причём понятие сервера они все трактуют очень вольно, в пределе это может оказаться торрент клиент. Но атт меня конкретно бесит проприетарными модемами.
krivye_ru4ki: (Default)

[personal profile] krivye_ru4ki 2021-07-23 06:42 am (UTC)(link)
Так там проблема в том была, что серверов и не было, исходящие соединения тоже создают сессии в NAT-таблице. И это был капец - в определённое время у части людей инет работал, у части нет. В другое время всё работает. И хучь плачь (с).
rampitec: (Default)

[personal profile] rampitec 2021-07-23 06:48 am (UTC)(link)
Ужас какой-то!
Flat | Top-Level Comments Only