Comments 46
Я думаю, что проблема гораздо проще и без злого умысла: это дешевые не упправляемые коммутаторы в этажных щитах слаботочки. И таких провайдеров пруд пруди. У меня в доме таких два.
Дом - не хрущевка, а вполне себе человейник на 300+ квартир. Одна поехавшая пользовательская "мыльница", которая решит поьродкастить в WAN-порт и ляжет весь дом. Я конечно не провайдер, но мне бы было жалко разом потерять 300+ абонентов и устроить ад собственной техподдержке :)
У меня тоже в доме 240 квартир, и ни фига не хрущевка. Но ставить managed switch в общий ящик, где его могут тупо стырить, видимо, никто не хочет. А ставить на этажах отдельные ящики им не дадут - тогда дом превратится в хрущевку.
И ещё, вы рассуждаете, как типичный технарь. А решение о том, какие свичи юзать, принимает бизнес. Бизнесу положить болт, на ад, который будет у техподдержки. Главное прибыль и окупаемость.
Я как председатель ТСЖ в своём доме расскажу вам историю о том, как абоненты Дом.Ру сидели у нас неделю без интернета. Всё потому что они подключили своё питание только к одному вводному кабелю, и когда гарантирующий поставщик начал ремонт в ТП на этом вводе и переключил весь дом на второй ввод, у них всё оборудование обесточилось, потому что никакого автоматического ввода резерва не было. И пока ремонт не закончили, всех их абоненты сидели без инета. Конечно, они слезно умоляли пустить их в ГРЩ и переключиться на второй ввод, но я их спросил, а что будет, когда начнут работы на втором вводе? Они сказали: мы попросим вас переключиться на первый. Тогда я их послал лесом, и сказал, чтобы они купли реле выбора фазы и не полоскали мне мозги. Потом они ещё три месяца его закупали, потому что закупка не типичная!
И угадайте сколько у них абонентов ушло? =) Это, напоминаю, Дом.ру - не какой-нибудь местечковый провайдер.
А куда уходить? Ростелеком? Ну так тоже так себе альтернатива.
Что сказали жители дома вам на такое, кстати? Ведь, по сути, это по вашему решению они сидели без интернета неделю.
У нас Ростелекома нет. Когда строили дом, тогда это ещё Северо-Западный Телеком и они зажопили кабельную канализацию для нашего дома. В итоге застройщик сделал всё по воздушным линиям с альтернативным провайдером телефонии. Спустя много лет, Ростелеком пожелал вломиться в наш дом и этому способствовала целая спецоперация. Когда они пришли, я сказал, что не стоило начинать эту кампанию вот так вот, вы не захотите в наш дом. Они такие - почему? Я говорю: вы же по воздушным линиями не работаете? Они: нет. Я говорю: ну тогда не судьба. Они: как это так? Я говорю: идите ищите свою канализацию. Найдете - без проблем будете провайдером. Так и ушли.
У нас есть другой локальный провайдер интернета.
> Что сказали жители дома вам на такое, кстати? Ведь, по сути, это по вашему решению они сидели без интернета неделю.
Уважаемый, прежде чем кого-то в чем-то обвинять, я бы хотя бы попытался узнать подробности. Дом.Ру - это вообще контора, которая нихрена не хочет делать и не делает, пока в отношении них не предпринимаешь совершенно жесткие меры. Вот история с Ростелекомом выше началась с того, что они натравили на нас Ленэнерго: те пришли с инспекцией и конкретно искали места подключения провайдеров - потому что раньше все подключались к сети освещения, но по идее мы как ТСЖ не можем им для этого давать электричество (хотя оно и по нашему счетчику), так как у них коммерческая деятельность.
После этого, им было предписано заключить договор с Ленэнерго и организовать своё абонентское подключение в ГРЩ дома. Эта история длилась шесть лет (шесть, Карл!), от их завтраков я набрал 10 кг, и решилась за месяц после того, как принудительно отключил им всё оборудование и не включил, пока лично региональный директор на меня не вышел. С ним мы условились о скорейшем решении проблемы, и проблема решилась.
Дом недавно сдан, и примерно первые два месяца был только один провайдер. Потом уже подтянулись остальные. Т.е. все равно большинство клиентов у него. Вряд ли кто-то переключался к другим специально, т.к. провайдер работает достаточно стабильно, проблемы были только из-за электричества в первые две недели
И таких провайдеров пруд пруди. У меня в доме таких два.
По-быстрому запустил сканер на своём Дом.ру. Ну, в общем, всё понятно, думаю.
По этому адресу, кстати, отдаётся какая-то веб-форма с заголовком «Смена пароля». Ещё и эта версия веб-сервера имеет известные уязвимости.
А что вы об этом думаете?
Обыкновенный многоэтажный железобетонный колхоз.
На белых адресах?
Ну тут спорный момент. У вас белый адрес, у них белый. В вашем случае броадкаст не нужен, но кому-то может понадобиться. В таком случае у абонента может возникнуть вопрос почему какой-то сервис не работает между двуями белыми адресами.
Так я понял говорят именно о "броадкастинге" на L2 - т.е они в одном влане, хотя так не должно было быть (должны были быть в разных - похоже речь о приватном пиринге : https://kb.msk-ix.ru/ix/network/).
Да, например АДС в Нижнем Новгороде в конце 2000х.
Неожиданным бонусом было то, что локалка работала даже без оплаты услуг провайдера. И можно было пошариться по сетке и найти у кого-нибудь свежий фильмец или хоум видео... Торрент быстро находил сидов в локалке и было удобно: по сути из внешки файл выкачивал только первый абонент, а дальше от него оно разлеталось по всем страждущим.
Да и скорости скачки были под 100мбит, в отличии от 128-256 кбит на внешку (которые стоили 500-700р)...
Ага и все трояны и т.п. от соседей приходили к вам. И при подключении к сети подключатор вам в ОС сразу ставил нужные патчи, чтобы комп не умер.
Интересно, а как я вообще живу с публичным IP адресом?
Ой, я вас умоляю, не надо о том, как закалялся Интернет! )
@net_racoonнаписал ответ на историю, которая имела место в конце 2000-х годов. Какой ещё Windows XP? Там уже семерка появилась.
Опять же в конце 2000-х годов домашние роутеры были уже давно не новостью. Поэтому не понимаю, что такого страшного в том, за роутером гуляют трояны. В этом, я бы даже сказал, нужно не то, что не сомневаться, а прямо из этого исходить.
Я уж не говорю о том, что вы и @net_racoonможно сказать обвиняете ваших собеседников в использовании винды. С чего вы вообще это предполагаете? Я, например, в 2004 полностью отказался от её использования на десктопе.
Какой ещё Windows XP? Там уже семерка появилась.Самый обыкновенный, полно было юзеров, которые считали, что всё, что вышло после божественной (нет) XP — не ок.
Ну а во времена господства XP я лично познакомился с Conficker-ом, который при каждом подключении к локальной сети радостно влетал в непатченную винду.
Ребят, не нужно строить коммунизм. Вы говорите о том, что мол локалка с бродкастами - это зло, потому что юзера цепляют вирусы.
А теперь вспоминаем, что за услуга оказывается? Доступ в интернет или же защита пользователя, который даже и не желает защищаться?
Я полагаю, что в таких делах не нужно решать проблему за весь честной народ. Вы лично в таких условиях способны обезопасить свою домашнюю сеть, гаджете или тот единственный комп, который воткнут в такую сеть? Способны, значит для вас этой проблемы не существует. А тот, у кого она есть - это его проблема. Если она ему мешает, то есть разные способы их решать.
И самый простой самотест. Вы готовы платить за доступ в интернет больше, чтобы сосед Уасян не нацепил вирусов (но это не точно)? Ведь в конечном счете стоимость инфраструктуры оплачивают абоненты.
А как связаны белые IP с PPPoE? У меня вот есть белый IP, при том что он у моего провайдера в доме классическая локалка. Противоречий с правилами роутинга тут нет. Вы путаете теплое с мягким. PPPoE/PPTP - это история про удобный биллинг, в котором можно отрубить соединение клиенту, который не заплатил вовремя, а не ограничивать ему доступ силами дорогой и умной инфраструктуры. При этом у вас та же самая локалка, в которой гуляют фреймы с Ethertype 0x8863/0x8864, но ничего не мешает гулять 0x0800. И ничто не мешает Васяну поднять там свой DHCP сервер и цепануть на себя всех, кто забыл отключить автонастройку на интерфейсе. Или вмешаться в PPPoE на стадии PPPoE Discovery.
Только VLAN'ы спасут отца русской демократии.
Я полагаю, что в таких делах не нужно решать проблему за весь честной народ. Вы лично в таких условиях способны обезопасить свою домашнюю сеть, гаджете или тот единственный комп, который воткнут в такую сеть? Способны, значит для вас этой проблемы не существует. А тот, у кого она есть - это его проблема. Если она ему мешает, то есть разные способы их решать.
Вы рассуждаете логично, а рассуждать надо с позиции денег. Если у вас один завирусованный комп заразил целый дом вирусами. Абонент почешет маковку и сделает вывод, что от раньше у него было все хорошо на провайдере Х, а вот когда он пришел к вам и у него все сломалось - значит вы плохие и надо от вас уходить. И потом вы будете стоять в кабинете руководителя и объяснять почему целый дом (а может и квартал) от вас отключились. И он не будет слушать про то кто там кого заразил.
Я-то как раз рассуждаю с позиции бизнеса. Никогда средний Уасян не свяжет эти два факта в один. Прочитает новость об эпидемии такого-то червя и скажет: "Ну вот я попал под раздачу вместе со всеми. Таков путь."
А вот когда вы пойдете в кабинет руководителя с запросом N тысяч долларов для того, чтобы заменить тупые свичи на умные ради блага Уасяна, руководитель пошлет не скрываясь в выражениях )
Выше, в самом первом трэде я поведал историю, в которой участвовал лично. И итогом в ней стало не то, что юзеры куда ушли (никто не ушел), не то, что рядовые монтажники получили по шее из-за того, что сделали изначально всё через жопу и 6 лет не реагировали на предупреждения. А то, что они получили по шее из-за того, что региональному директору пришлось всё разруливать. Это к вопросу о том, как работает этот бизнес: всем насрать на техническую сторону реализации, если оно и так худо-бедно работает.
многие домашние пользователи до последнего пользовались XP.А немногие пользуются до сих пор.
Впрочем, несколько лет назад я видел даже пользователя Windows 98…
Какой ещё Windows XP? Там уже семерка появилась.
Нет. И кстати в каком году там WannaCry был?
Опять же в конце 2000-х годов домашние роутеры были уже давно не новостью
Совсем нет
Я, например, в 2004 полностью отказался от её использования на десктопе.
А это тут причем? Или дыры бывают только в винде?
Нет.
Что значит "Нет"? У семерки релиз был в 2009 году. А до этого ещё была Vista, которая если мне не изменяет память как раз и хейтилась в пользу XP. Но давайте честно: осознанные фанаты XP - это меньшинство виндузятников. Большинство юзеров сидят на той опериационке, которая шла с компом, или которую установил "компьютерный мастер" после того, как очередной раз снёс винду, чтобы почистить от вирусов.
И кстати в каком году там WannaCry был?
Вы можете меня с таким же успехом спросить, в каком году в Зимбабве было последнее землетрясение. В душе не знаю, потому что меня это не касалось.
Совсем нет
2003 год время расцвета эпичного LinkSys WRT54G. Дальше больше. А примерно с появлением iPod Touch это приобрело массовый характер.
А это тут причем? Или дыры бывают только в винде?
Такое количество дыр и такое маленькое количество вариаций сборок, делают рентабельным таргетить малварь только на винду. Ну по крайней мере в те времена так было. Сейчас, возможно, макос тоже хорошая цель.
Что значит "Нет"?
Значит что в то время у большинства пользователей все еще стояла XP.
Вы можете меня с таким же успехом спросить, в каком году в Зимбабве было последнее землетрясение. В душе не знаю, потому что меня это не касалось.
WannaCry был в 2017ом году. Те у кого винда была, он очень даже коснулся
2003 год время расцвета эпичного LinkSys WRT54G. Дальше больше. А примерно с появлением iPod Touch это приобрело массовый характер.
Вы сейчас про какой город? У нас в сибирском миллионнике роутеры только начали ставить в это время.
Что тут думать - реализация решения недорогая, в провайдерском IPoE на основе BRAS(BNG) изоляция клиентов не составляет трудности + дополнительно Dual-Stack, онлайн-репортинг, QoS. Делали такое 10 лет назад. Самое приятное в технологии с аппаратным Data-Plane IPoE NG - стабильность работы и качество.
как вообще такой опытный "участник Интернета" как ISP мог ее допустить?
А тут как раз нет ничего удивительного для тех кто работает/работал в этой сфере. ИМХО у большинства этих домашних провайдеров сеть построена из "говна и палок". Потому что денег там лопатой не гребут, никто не раскошеливается на модернизацию, никто не обучает сотрудников (вся надежда на их энтузиазм), никто не выстраивает бизнес процесс. Там как нигде работает принцип: "Работает- не трожь!". И пусть у вас техотдел пляшет каждый день с бубном и проводит обряды племени Масаи в серверной, руководству плевать на это. Плевать до тех пор, пока не начнется значительный отток абонентов. А абоненты, я хочу вам сказать, еще те терпилы. В случае какой-то аварии они в лучшем случае побомбят в комментах где-нибудь, погрозят обращением в РКН и забудут на следующий день.
Плюс наше любимое правительство подкидывает дровишек в костер, со своими СОРМами и прочими законами для удушения мелких операторов.
А в конце останется только крупняк и в таких условиях им станет еще больше плевать на конечного абонента. Вот так и живем.
"А абоненты, я хочу вам сказать, еще те терпилы. В случае какой-то аварии они в лучшем случае побомбят в комментах где-нибудь, погрозят обращением в РКН и забудут на следующий день. "
Потому что смысла нет, в лучшем случае можно поменять провайдера А с Ethernet на провайдера Б c GPON. Кстати, у физиков в плане выбора намного больше вариантов, а вот юриков в разных БЦ полноценно можно назвать терпилами.
В одном доме где я долго жил был такой же домашний провайдер с шумом. В итоге извлёк из этого пользу: подключил родственника-соседа к своему mikrotik по VPN, и по сути в интернет он выходил через меня. За интернет как-бы платить не сложно, но халява оказалась такой вкусной)
Вообще не понимаю, что там за люди работают у таких провайдеров. Трафик сегментейшн придумали кучу лет назад, плюс так же можно еще и бродкаст домен по вланам разделить. 4095 мало? делаем q-in-q. АЦЛки на комутах запрещающие абонентам общаться друг с другом, да еще и популярные порты типа самбы и dhcp залочить на уровне доступа (комутах в подъездах). отключить на маршрутизаторах в сети прокси/локалпрокси арп. и вуаля, все общаются только в L3. и никаких тебе DHCP Ack от соседа который засунул кабель в лан.
Все эти замечательные вещи требуют дорогих управляемых коммутаторов. А тут видимо решили сэкономить и где-то проставить "тупые", т.к. они гораздо дешевле
Я поработал в двух провайдерах на позициях от саппорта до ведущего инженера и смею не согласиться с Вами. Управляемые коммутаторы ставятся в даже небольших провайдерах и не требуют космических денег на порт в условиях централизованной закупки. Даже "говно-палки" ISP может купить легаси циску\длинк за 1-2 тр за (24!) 100mbps порта (50-100 рублей за порт).
Неуправляемые новые коммутаторы большой портовой ёмкости сейчас уже де-факто не встретишь.
Управляемые коммутаторы нужны прежде всего самому провайдеру - чтобы "управлять" и "мониторить" сеть - конечно, если такие компетенции есть у саппорта\инженеров :) Объясняется это и финансовой моделью - как провайдеру узнать, что у Вас порезали кабель (нет линка) или же коммутатор сдох? По каждому вызову направлять Вам техника? А саппорт, которому Вы позвоните - он только и может, что назначить техника - ведь у него нет "глаз на сети".
В общем это тоже деньги - и гораздо большие, чем стоимость порта управляемого коммутатора в разрезе на одного абонента :)
Тут, имхо (видел такое не раз и не два:)) - нет компетенций у обслуживающего персонала сети + нет желания что-то менять (отчасти потому что платят копейки и тот, кто "шарит" не будет там сидеть - в этом я больше чем уверен)
P.S: Можно подсмотреть на капче - есть ли LLDP\CDP трафик с порта - таким образом "понять" управляемый ли коммутатор или нет и его марку модель (в случае, если оно глобально включено на всех портах, а не только на аплинках)
О, спасибо за ответ! Мне всегда было жалко сетевиков в этом плане, т.к. я в свою бытность джун+ девопсом получал больше, чем мой коллега с 3-ух летнем опытом администрирования сетей :(
По поводу CDP и подобного - на своем порту ничего не нашел. Пробовал BPDUхи даже поснифать, но все пусто. Есть только броадкастовый CDP от абонентских микротиков
Встречный вопрос, а провайдеры до сих пор при построении сетей района применяют звезду и выделяют какой-то дом под агрегацию? Или все перешли на кольцевую тополгию и агрегация теперь где-то в ЦОДе, а не на чердаке?)
На самом деле все гораздо хуже. Обычно оборудование есть, но руководство и персонал настолько не заморачивается, что даже страшно становится. Воткнут все первым вланом в сеть и типа работает. Это еще хорошо, если сеть мониторится. Сколько работал в этой области таких страхов насмотрелся.
Очень повезло, что в начале карьеры попал в провайдера где были отличные инженеры и технический директор, которые старались делать все как надо. Вот у них то я и подсмотрел как надо такие сети строить.
Когда-то работал у провайдера мы на коммутаторах настраивали защиту от левых dhcp, колец, и подобного. На каждый коммутатор отдельный влан выделяли, маска /27
Думал такие опсосы давно вымерли... Все нормальные дают /30 и разумеется каждому свой "нижний" vlan (qinq).
Но лучший отказоустойчивый вариант это аренда собственной PI сетки и подключение пары провайдеров по BGP. Особенно если публикуются ресурсы, настроен VPN-сервер и есть SIP....
IPoE это хорошо, но…