Человек наверное икает, остановиться не может

Это с ним давно В некоторых сообществах он практически мем

хм, Работал под началом Малеванова в провайдере... ну.. чёт хз, не всегда было всё ок

хм, Работал под началом Малеванова в провайдере... ну.. чёт хз, не всегда было всё ок

Обит?

Обит?

не, до обита он был в ниеншанз телеком

давно дело было

Артём Боровский будет жить. Поприветствуем!

Добрый день всем

Есть проблема с CAPsMAN микротика, посоветовали задать вопрос тут. Сам системный администратор, по микротам довольно не очень, так что если буду говорить чушь не серчайте.

При включении роутера RouterBOARD 2011UiAS-2HnD-IN в бесшовный(под управление CAPsMAN) мощность точки падает почти в 3 раза: вместо 27dbm показывает 12dbm. Ограничений на мощность в настройках канала нет, при установке вручную TX power на 30 мощность точки остаётся такой же, если установить 27, то мощность падает до 9dbm.

это показании при точке под управлением капсмана

Это если точка самостоятельная

@mx1805 будет жить. Поприветствуем!

шикарно

блин, ахонь)

При включении роутера RouterBOARD 2011UiAS-2HnD-IN в бесшовный(под управление CAPsMAN) мощность точки падает почти в 3 раза: вместо 27dbm показывает 12dbm. Ограничений на мощность в настройках канала нет, при установке вручную TX power на 30 мощность точки остаётся такой же, если установить 27, то мощность падает до 9dbm.

возможно, лучше в https://t.me/MikrotikRu

Попытаюсь. Сеть осталась в наследство, не хочется с ноля настраивать.

При включении роутера RouterBOARD 2011UiAS-2HnD-IN в бесшовный(под управление CAPsMAN) мощность точки падает почти в 3 раза: вместо 27dbm показывает 12dbm. Ограничений на мощность в настройках канала нет, при установке вручную TX power на 30 мощность точки остаётся такой же, если установить 27, то мощность падает до 9dbm.

Маленький вопрос: зачем вам 27 децибел-милливатт в помещении? По капсману явно какой-то миссконфигурейшн, ибо у меня функционирует нормально.

Маленький вопрос: зачем вам 27 децибел-милливатт в помещении? По капсману явно какой-то миссконфигурейшн, ибо у меня функционирует нормально.

Возможно. Даже скорее всего. Настройки достались в наследство. Любым советам буду рад

Один местный провайдер после перенастройки оборудования начал пересылать пакеты от своих клиентов с частными адресами источника (например 172.21.123.123) напрямую (без NATа!) на белые статические адреса своих клиентов (например 88.88.88.88), в число которых входит и моя контора (колледж). Мы предоставляют доступ к своим ресурсам из интернета: сайт, почта и т.п. В результате клиенты других провайдеров доступ к ресурсам имеют, а клиенты этого же провайдера нет, т.к. на интерфейсах с белыми адресами запрещен входящий трафик из частных сетей. Да ещё и есть пересечение подсетей клиентов провайдера и внутренних подсетей конторы. Как объяснить провайдеру что он не прав? И что делать если обьяснить не получится?

Если не получается, то это уже тяжёлый случай

Один местный провайдер после перенастройки оборудования начал пересылать пакеты от своих клиентов с частными адресами источника (например 172.21.123.123) напрямую (без NATа!) на белые статические адреса своих клиентов (например 88.88.88.88), в число которых входит и моя контора (колледж). Мы предоставляют доступ к своим ресурсам из интернета: сайт, почта и т.п. В результате клиенты других провайдеров доступ к ресурсам имеют, а клиенты этого же провайдера нет, т.к. на интерфейсах с белыми адресами запрещен входящий трафик из частных сетей. Да ещё и есть пересечение подсетей клиентов провайдера и внутренних подсетей конторы. Как объяснить провайдеру что он не прав? И что делать если обьяснить не получится?

чисто имхо, внутри своей сети натить - изврат бессмысленный для прова) если все в 1 ас) просите клиента, который не может получить доступ, сделать трассу к вашему ресурсу, и пишете провайдеру мол "вот, не могут получить доступ к ресурсам на нашей ойпишке, вот вам трасса, проверьте пожалуйста"))

чисто имхо, внутри своей сети натить - изврат бессмысленный для прова) если все в 1 ас) просите клиента, который не может получить доступ, сделать трассу к вашему ресурсу, и пишете провайдеру мол "вот, не могут получить доступ к ресурсам на нашей ойпишке, вот вам трасса, проверьте пожалуйста"))

Провайдер скажет - "связность есть - ничо не знаю, это вы фильтруете"

но вообще затея странная, да

Провайдер скажет - "связность есть - ничо не знаю, это вы фильтруете"

обычно предлогают белый ип для теста, или проверяют есть ли пинг с той же серой сети на указанный адрес)

чисто имхо, внутри своей сети натить - изврат бессмысленный для прова) если все в 1 ас) просите клиента, который не может получить доступ, сделать трассу к вашему ресурсу, и пишете провайдеру мол "вот, не могут получить доступ к ресурсам на нашей ойпишке, вот вам трасса, проверьте пожалуйста"))

У меня таких клиентов (студентов и преподавателей) в сети провайдера от 500 до 800. И с пересечением подсетей непонятно что делать. Разве что дополнительно натить самому. А на счёт NAT - есть такая замечательная специальная технология как Carrier-grade NAT: https://vasexperts.ru/blog/kogda-zakonchatsya-adresa-ipv4-cgnat/

обычно предлогают белый ип для теста, или проверяют есть ли пинг с той же серой сети на указанный адрес)

Пинга от клиентов не будет даже если разрешить все. 172.16.0.0/16 считаются внутренними подсетями колледжа.

Ну и маршрутизируемых соответствующим образом.

У меня таких клиентов (студентов и преподавателей) в сети провайдера от 500 до 800. И с пересечением подсетей непонятно что делать. Разве что дополнительно натить самому. А на счёт NAT - есть такая замечательная специальная технология как Carrier-grade NAT: https://vasexperts.ru/blog/kogda-zakonchatsya-adresa-ipv4-cgnat/

ну во-первых насколько я помню - cjnat проприетарно джуновская технология) во-вторых, внутри своей ас нат вообще не обязателен, а имхо - вообще просто потенциально создает еще одну точку отказа) плохо только анонсить серые адреса в мир)

ну во-первых насколько я помню - cjnat проприетарно джуновская технология) во-вторых, внутри своей ас нат вообще не обязателен, а имхо - вообще просто потенциально создает еще одну точку отказа) плохо только анонсить серые адреса в мир)

CG-NAT вроде не проприетарная. Под него даже специальный диапазон для провайдера и его клиентов выделили: 100.64.0.0/10. Но мне от этого не легче. Самому что ли натить трафик от провайдера по условию? Будет на шлюзе внешний интерфейс с клиентами провайдера с адресами 172.16.0.0/12 и из интернета и внутренний интерфейс с адресами 172.16.0.0/12 :(.

CG-NAT вроде не проприетарная. Под него даже специальный диапазон для провайдера и его клиентов выделили: 100.64.0.0/10. Но мне от этого не легче. Самому что ли натить трафик от провайдера по условию? Будет на шлюзе внешний интерфейс с клиентами провайдера с адресами 172.16.0.0/12 и из интернета и внутренний интерфейс с адресами 172.16.0.0/12 :(.

100.64.0.0 - это не для cjnat, это рфц говорит что данная сеть зарезервирована для использования под нат) напишите прову мол "от такая беда: ваша серая сеть совпадает с моей внутренней сеткой, от того клиенты из вашей серой сетки не получают доступа к моим ресурсам", пусть предложат решение)

А зачем они это сделали?

Ну должен же быть какой-то смысл в этом, с их стороны

А зачем они это сделали?

для экономии ипв4:)

Мне видимо образование мешает это осознать

Мне видимо образование мешает это осознать

белых айпи не хватает (в4), потому клиентов переводят на серые, белые продают за денюшку клиентам, а клиентов на серых ип - натят на бордерах.

Да пусть продают, это нормально

Но нат на бордере

100.64.0.0 - это не для cjnat, это рфц говорит что данная сеть зарезервирована для использования под нат) напишите прову мол "от такая беда: ваша серая сеть совпадает с моей внутренней сеткой, от того клиенты из вашей серой сетки не получают доступа к моим ресурсам", пусть предложат решение)

Rfc 6598 - выделены для ISP для NAT

https://en.m.wikipedia.org/wiki/Carrier-grade_NAT

Зачем они так сделали ТП не сказала, но сказали что это надолго. Минимум на год до смены оборудования.

Но нат на бордере

а как по другому?) натят перед или на железках которые в мир выпускают людей)

Ок, переформулирую: а как другие делают такую магическую магию, что нет проблем с доступом?

А зачем они это сделали?

Возможно хотят снизить нагрузку на железки, которые натят. Они оборудование меняли и видимо новое с натом плохо работает.

Завтра будем с коммерческим отделом провайдера и его техдиректором говорить. Если не решим проблему придется уходить к другому провайдеру.

и еще интересно почему отдельная public сетку для этого выделили

и еще интересно почему отдельная public сетку для этого выделили

В CG-NAT? В Wiki и RFC описано.

и еще интересно почему отдельная public сетку для этого выделили

Почему провайдер 172.16.0.0/12 использует? Не знаю.

и как они достали этот диапазон если ипв4 исчерпан

Имхо CG-NAT - зло, но маршрутизировать на белые адреса не маршрутизируемый в интернете траффик - зло намного большее.

и ипв6 туда засунули

и как они достали этот диапазон если ипв4 исчерпан

ARIN выделил.

и ипв6 туда засунули

С IPv6 он тоже есть.

значит у них все таки имеется на руках блок адресов

Выяснилось что они и 10.0.0.0/8 клиентам выдают. Если бы начали ещё и 192.168.0.0/24 выдавать, то стало бы весело всем.

Ну один /24 их не спасет так что и смысла его раздавать нету)

Ну один /24 их не спасет так что и смысла его раздавать нету)

Ну зачем же /24, сразу /16 https://xkcd.com/742/

А ну да, чет затупил)

Ок, переформулирую: а как другие делают такую магическую магию, что нет проблем с доступом?

По опыту работы в исп где юзали нат — каких-то особых механизмов борьбы с таким явлением не было. Просто юзали 100.64 сетку, и не помню чтоб обращались с такой проблемой как выше описали)

Коллеги, у кого какая практика использования out-of-band управления коммутаторами? И в рамках кампуса, и в рамках, например, VXLAN EVPN фабрики? Используете отдельную OOB сеть, или цепляетесь к железкам in-band?

Коллеги, у кого какая практика использования out-of-band управления коммутаторами? И в рамках кампуса, и в рамках, например, VXLAN EVPN фабрики? Используете отдельную OOB сеть, или цепляетесь к железкам in-band?

Ну тут по моему всё просто. Если хочешь OOB манаджмент - делаешь его

Могу рассказать как у нас. Есть выделенный роутер с выделенным Интернет каналом. Там терминируется сеть управления свитчами фабрики, айдраками и прочим подобными вещами

хотим даже мониторинг сделать OOB, но проблема в том что мониторинг - это виртуалки внутри датацентра, который мы и хотим мониторить. тут вообще хз как поступить )

трапами на внешний адрес ?

трапами на внешний адрес ?

"помогите! умираю!"

это в смысле когда всё ложится - последний издох в виде такого трапа

хотим даже мониторинг сделать OOB, но проблема в том что мониторинг - это виртуалки внутри датацентра, который мы и хотим мониторить. тут вообще хз как поступить )

Виртуалки в амазоне?

Виртуалки в амазоне?

Пфф...начальство (баджет овнеры) говорит " Какой ещё Амазон? Нахуя мы тут своё private облако строили??1 Ах это ещё и OPEX? Решите вопрос уже"

Вообще странно, когда бизнес боится опекса

Есиь же куча сервисов которые пингуют

Это тоже опекс :)

И тот же пингдом весьма платный

Вообще странно, когда бизнес боится опекса

Это уже от бизнес-модели конкертной организации зависит.

Есиь же куча сервисов которые пингуют

Пинговать - мало. Надо ПОНИМАТЬ что происходит. То есть как минимум snmp, в идеале - телеметрия.

Но что бы OOB и дёшево :) As usual кароче

так и рождаются идеи поднимать рядом с прод и тест датацентром, выделенную инфраструктуру для мониторинга. Только кто её будет мониторить...?

бояре, кто нибудь знает какой нибудь дешёвый монитор в стойку? типа что б выдвигался как полка или ещё какие нибудь варианты?

бояре, кто нибудь знает какой нибудь дешёвый монитор в стойку? типа что б выдвигался как полка или ещё какие нибудь варианты?

есть уши, которые крепятся в стойку с с дырками под vesa, на которые можно любой мон прикрутить.

есть уши, которые крепятся в стойку с с дырками под vesa, на которые можно любой мон прикрутить.

ага, видел… 30$ примерно стоят. но тут уже монитор многой займёт. примерно 8U…

кинуть монитор на дно и клавиатуру рядом положить пока выглядит самым адекватным решением)

кинуть монитор на дно и клавиатуру рядом положить пока выглядит самым адекватным решением)

под клаву удобнее полку откидную или выдвижную

ага, выдвижные есть) в принципе на неё можно и моник поставить, когда нужен, достав его с пола стойки)

ага, выдвижные есть) в принципе на неё можно и моник поставить, когда нужен, достав его с пола стойки)

есть ещё выдвижные ящики, которые в стойку крепятся.

да видал. но чёт толку с него… они вроде как для документации, инструментика и мелкого зипа…

ага, видел… 30$ примерно стоят. но тут уже монитор многой займёт. примерно 8U…

а нет ли хитрых кронштейнов, которые бы обычный моник при убирании в стойку поворачивали перпендикулярно, типа как ноутбучный?

да видал. но чёт толку с него… они вроде как для документации, инструментика и мелкого зипа…

если руки есть или у кого-то знакомого, то можно самодел замостырыть. благо хитрой фурнитуры не нужно.

да чёт не встречал. по большому счёту имея мастерскую, можно и навать самому) но это если очень интересно) кинуть на пол всё ещё легче) эстетизм либо не стоит 1к$ ща готовую kvm консоль, либо геморроя с изобретением кронштейна )