История про мобильный интернет. Паранойя или есть над чем задуматься?

    Доброго времени суток, коллеги.

    Сразу хочу оговориться, что данная заметка… это просто заметка по некоей технической проблеме, которая, как кажется автору, имеет некоторое отношение к тематике раздела, где она публикуется.
    Вот здесь habrahabr.ru/post/148200 уже затрагивалась тема проксирования через бесплатные VPN сервисы, теперь речь пойдет о мобильном интернете.



    Вообще, автор заметки мало пересекался с такими «зверьми», как всякие там GPRS/2G/3G и прочее. Но однажды пришлось.

    Однажды на одном удаленном объекте пропал канал (а точнее все каналы) до объекта головного. И это было очень плохо. Срочно требовалось временное решение и учитывая всю массу сопутствующих факторов (весьма нерадостных), не «вытанцовывалось» ничего лучше, чем pptp через обычный USB-«свисток». Но заработает ли? И автора заметки и коллег «по цеху» взяли сомнения. Поди сотовый оператор все это дело режет. Но попробовать решили. Попробовали. Когда модемное соединение завелось, выяснили по-быстрому, через какой реальный IP натится наш трафик у оператора, посмотрели whois, получили сетку с маской /21, открыли ее на файрволе пограничного оборудования, где должен был терминироваться pptp туннель, попробовали — VPN завелся.

    Приятная новость, оператор не режет TCP 1723 и GRE. Временная схема отработала свое, каналы починились. Но в один «прекрасный» момент упали опять, при этом испытанная ранее временная схема не заработала. Небольшой траблшутинг и результат, который слегка удивил.

    Трафик, отличный от pptp (тестовый ping, коннект на произвольные нестандартные порты) у оператора натится через один внешний IP (ну не вообще один, ясно, что их некий пул, имеется в виду один и тот же для конкретного модемного соединения), а pptp — через некий другой. Причем этот другой отстоит от gprs-пула (/21), выявленного ранее и открытого в аксесс листах достаточно серьезно. И не резолвится в имя, в отличие от IP из gprs-пула. И whois ничего не проясняет.

    Подправили аксесс листы, туннель завелся. Так как риск повторной аварии на обычных каналах какое-то время был велик, этот «костыль» совсем убирать не стали. И в результате набралась любопытная статистика. При падениях и повторных коннектах «свистка» выдавались, естественно, разные серые IP, внешний IP, от которого натился обычный трафик менялся, но IP, с которого оператор натил pptp оставался постоянным.
    При этом туннель периодически падал и не хотел заводиться, иногда весьма долго, вплоть до рабочей смены и даже пару раз до нескольких дней. Затем вдруг опять начинал работать как ни в чем не бывало.

    Автор заметки долго отгонял разные мыслишки, убеждая себя, что нечего паранойей страдать, мало ли чего там накручено в «черном ящике» операторской сети, но… решил все же подебажить ситуацию более детально.

    Ничего подозрительного с pptp-трафиком замечено в итоге не было (кроме изначальной ситуации с натом от непонятного IP). Но вот во время этого дебага всплыли интересные подробности относительно трафика HTTP.
    Факты.

    1. Коннект на IP некоего подконтрольного автору сервера на закрытый/непрослушиваемый 80 порт успешно проходил (при полном отсутствии входящего трафика на сервере-цели в момент установления коннекта).

    2. Такое было не всегда, какая либо тенденция не прослеживалась.

    3. Когда на сервере-цели был запущен netcat на 80 порту, выявилось, что проксирование то присутствует в явном виде, то — непонятно.

    В случае, когда его предположительно нет, ничего на L7 лишнего не появляется и не модифицируется, версия протокола, заголовки и т. п. Причем, если посылать в канал, например, ошибочные запросы, они передаются как есть «насквозь», к разрыву соединения это не приводит.

    Когда проксирование точно есть, при посылаемом минималистичном «GET /» netcat на сервере выдавал прелюбопытное

    GET / HTTP/1.1
    X-Via: Harmony proxy
    Host: xx.xx.xx.xx

    а телнет при разрыве по таймауту

    Error 504 Gateway Timeout

    HTTP ERROR: 504

    Gateway Timeout

    RequestURI=http://xx.xx.xx.xx/


    4. Такие параметры, как TTL для IP и MSS для TCP явно модифицируются во всех случаях трафика на 80 порт. Так, снифер на хосте с модемом показывает для исходящих IP пакетов стандартное для Win значение TTL 128, принятые же сервером эти пакеты уже имеют TTL 167. Пакеты, отправляемые в ответ сервером, на хосте имеют значение 194, что так же больше изначального значения для моего сервера. Стандартное значение MSS превращается в 1210. Причем описанный эффект наблюдается только для трафика через 80 порт. Если брать произвольные высокие порты, то MSS в порядке, TTL меньше начального стандартного на разумное число хопов.

    Что скажете, уважаемые хаброжители? Что за зверь Harmony proxy и чем он облегчает жизнь оператору?
    Непонятка же с pptp вполне актуальна до сих пор, т. к. на момент написания заметки туннель не работает, а хотелось бы.

    UPD: Может господа-рулевые уважаемого оператора прочли этот топик и подняли наконец упавший линукс-"тазик"? VPN завелся :)

    Similar posts

    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 112

      +7
      СОРМ, скорее всего.
      Открытый трафик и так сливается, а впн, вероятно, разрывается посерёдке, где-то откладывается в открытом виде, и отправляется далее как будто ничего и не было.
        +2
        Не исключено. Но в том виде, в каком я соприкоснулся с СОРМ-ом году так в 2007 оно это или не умело, или таких требований не было конкретно к нам. Все, что от нас требовалось — зеркалить на нужную железку трафик. Как понимаете, это не разрыв, MitM не организуешь.
          0
          Это при заранее сгенерированных сертификатах с обеих сторон — нельзя. А если на стадии установки соединения подслушать обмен ключами, то можно, мне кажется.
          Пусть гуру меня поправят, если я заблуждаюсь.
            –2
            Ну, точности ради, в pptp с MS-CHAPv2 вообще нет сертификатов. Это challenge-response схема. Но человек-посередине возможен. Вопрос не в технической возможности, а в сложившихся практиках, целесообразности и законности. Ну я еще понял бы, в отношении конкретного лица в силу какой-то оперативной разработки, но массово, автоматически и на потоке? Не верится. Да и незаконно это наверное было бы. В этот вариант верить не хочется.
              +9
              Именно массово, автоматически, на потоке. Их служба и опасна и трудна. Им же надо фильтровать весь трафик, отловить всё что содержит «Путин», «бомба», «балалайка», дабы предотвратить!

              А что до законности — уже даже не смешно. Девочек, вон, за сочетание «Путин» и «Богородица» в одном предложении уже полгода держат и ещё минимум полгода они просидят.
                +8
                Здесь вроде на хабре про политику не принято, но раз уж пошел такой разговор… Я работал в провайдерской конторе и к нам приходили… и приносили соотв. бумажки, по которым мы отрабатывали (ибо СОРМ такая штука, по крайней мере в прошлом, что если и стоит — то на половину не работает). Бумажки как положено. Не надо демонизировать. И преувеличивать технические возможности тоже не надо.
                Об этом хорошо тут написано infowatch.livejournal.com/324407.html

                Если бы я не раз не убеждался в верности афоризма «Глупость, а не заговор» или если более развернуто «Никогда не приписывай злонамеренности тому, что вполне объясняется глупостью; но не исключай злонамеренности» я бы топик по другому назвал. «Кровавая гебня душит интернет», например :)
                  –13
                  >отловить всё что содержит «Путин», «бомба», «балалайка», дабы предотвратить!
                  ну да, естественно, в этом всё работа этих служб и заключается

                  >Девочек, вон, за сочетание «Путин» и «Богородица» в одном предложении уже полгода держат и ещё минимум полгода они просидят.
                  Исключительно за это, а то, что они своим «перфомансом» в храме оскорбили многих верущих — это мелочи.
                    +2
                    Насколько я помню детали, эти «многие верующие» были: охранник-чеченец из ЧОПа, охраняющего здание ХХС — 1 человек.
                    Служащая-свечница — 1 человек.
                    Больше никого на месте в момент «перформанса» не было.
                      –11
                      А для оскорбления нужно непосредственно присутствовать на месте где это оскорбление совершилось?
                      Насколько я понимаю, сам факт богохульства в храме — неслабое оскорбление верующих.
                        +12
                        Бого- что, простите? Мы незаметно переместились в Исламскую Республику Иран, что у нас появилась в Уголовном Кодексе статья «за богохульство»?

                        «Оскорбление», для которого надо пойти скачать ролик на ютубе это мне напоминает жалобу того мужика, у которого были невыносимые условия жизни из-за находящейся напротив женской бани, в окна которой можно было заглянуть только залезши на шкаф и высунувшись в форточку.

                        Вообще-то да, если мы еще не в Иране, оскорбить можно только кого-то конкретно, потому что меня вот, допустим, оскорбляет неграмотность в интернете, или релегиозный фанатизм. Что же теперь, я могу посадить вас в тюрьму только поэтому?
                          –4
                          Если бы они свой «молебен» провели у себя дома, то и фиг бы с ними, но они это всё действие провели в храме, что кардинальным образом меняет ход дела.

                          >у нас появилась в Уголовном Кодексе статья «за богохульство»?
                          Ознакомтесь со статьёй 213 УК РФ, пункт б. Все признаки — налицо.

                          >неграмотность в интернете, или релегиозный фанатизм.
                          Извините, не удержался:D

                          >Что же теперь, я могу посадить вас в тюрьму только поэтому?
                          А что, у меня присутствует религиозный фанатизм?)
                            +5
                            Не наблюдаю в их поступке признаков «политической, идеологической, расовой, национальной или религиозной ненависти или вражды либо по мотивам ненависти или вражды в отношении какой-либо социальной группы»
                            если не считать социальной группой «Путина» или «Богородицу».

                            И суд, что характерно, уже полгода никак не найдет.

                            Вы осознаете разницу в понятиях между «ненавистью и враждой» и «богохульством»?
                              –6
                              Если вы готовы спокойно разговаривать, я, как верующий человек, православный христианин могу пояснить, в чем это оскорбление и почему оно затрагивает чуть больше чем 2.5 человек, находящихся тогда в храме.
                                +2
                                Пояснить-то вы можете, но, мне кажется, это бесполезно. Только минусов в карму отхватите, а толку 0.
                                  –5
                                  Минусовать в технической теме по религиозному вопросу — как минимум глупо. Если он (вопрос) для человека политический — тоже, да к тому же, если я правильно правила понимаю, не совсем в русле политики ресурса. Ну а если нет — что такое карма? Новомучеников в 20-х годах на краю рвов ставили и приставив к голове ствол, говоря современным языком, предлагали «вкурить голимым ПГМ-щикам что они мракобесы» и прочее подобное и ничего. Люди с жизнью расставались, а вы — карма.
                                  +1
                                  Попробуйте для начала объяснить про наличие «религиозной ненависти и вражды», остальное уже будет малоинтересно. Потому что если их нет, то уголовное обвинение просто невозможно.
                                    –5
                                    Давайте внимательно почитаем 282 статью и комментарии, раскрытие так сказать терминологии. Согласен, нет прямой статьи за богохульство. Ключевое же понятие здесь — возбуждение.

                                    «Действия, направленные на возбуждение национальной, расовой или религиозной вражды, унижение национального достоинства, а равно пропаганда исключительности, превосходства либо неполноценности граждан по признаку их отношения к религии, национальной или расовой принадлежности, если эти деяния совершены публично или с использованием средств массовой информации»

                                    Ну а теперь скажите, по факту так сказать — эти действия, какие бы они не были сами по себе, не возбудили эту вражду, унижение по религиозному признаку и т. п.?
                                    Кричать у Царских врат ритмично «Срань Господня» (а так и было, поглядите оригинальные записи, без наложенных вещей, когда они запыхавшись и сбиваясь с ритма это кричат много раз) — это оскорбить верующих, для которых имя Господа, Пресвятой Богородицы — святыни (что бы кто об этом ни думал). Возможно закон за это не предусматривает наказания. Но для нас, христиан, это действие все равно, что прилюдное изнасилование мамы родной. И что? Христиане возмущаются и их что? Правильно. Начинаю травить по всем фронтам, в СМИ, в блогосфере, и даже на хабре в технической теме. Идет волна осквернения храмов, свастики рисуют, иконы режут и прочее. Есть действие, а есть последствия. Что бы кому не казалось на счет действия, последствия на лицо и они вполне укладываются в формулировки 282. Можно, умеючи, пару бзобидных слов проронить и начнутся погромы (и так было много раз в истории), а потом сказать — а я что, что я такого? Я ниче. Это типичное провокаторство.
                                      –3
                                      И еще скажите, плиз. Если у вечного огня например помочиться на красной площади, но в такое время, когда там будет 2.5 человека свидетелей — это можно? Ну и отделаться штрафом. А что, это перфоманс такой и может быть я адепт культа уринотерапии и сделал памяти павшим этим большое одолжение (а именно так для христиан выглядят отмазы про панк-молебен, если не хуже). Миллионы ветеранов? А они там стояли? Опять же, в рамках моих убеждений я их облагодетельствовал.
                                      +6
                                      Давайте поговорим. В правовом поле светского государства.
                                      И так. В чем обвиняют пойманных девочек:

                                      1. В том что они приобрели одежду, явно и очевидно противоречащую общим церковным правилам, требованиям порядка, дисциплины и внутреннего уклада церкви
                                      2. В том что они подорвали духовную основу светского государства
                                      3. В том что они оскорбили веками оберегаемые и чтимые церковные традиции и догматы в светском государстве
                                      4. В том что они совершили святотатство.
                                      5. В том что они подорвали вековые устои и основополагающие руководства Русской Православной Церкви созданной в 1943 году.

                                      Это я так, бегло процитировал инквизиционное заключение подписанное инквизитором, ой простите, прокурором Поповым.

                                      Дальше будем говорить?
                                        0
                                        Будем. Хотя наверное без толку. Ваша проблема, как и многих других в том, что для вас нет понятия святыни. Поэтому вы искренне не понимаете, как эти «девочки» могли кого-то оскорбить, кроме двух бабок-свечниц и охранника. Объясняю. Если я, например, оскорблю вас в этом блоге, или близких вам людей, я рискую расплатиться за это в реале (а я, работая в провайдреской конторе имел дело с такими вещами, когда длинный язык в виртуле приводил на скамью подсудимых в реале). И мои отмазы, что Пушкин-де тоже матом ругался и ничего, ему памятники ставят — не помогут. Так вот представьте, потрудитесь провести такой мысленный эксперимент, представьте, что несколько миллионов человек (как бы вы к ним не относились), оскорбили. И именно светское государство дает право на защиту в этом случае и возможность наказать виновных. Не буду повторяться. Читайте мои примеры с вечным огнем. Вся разница в том, что для среднего светского человека мочиться на вечный огонь самоочевидно нехорошо и у него не возникает вопросов. А что такого плохого кричать в храме «Срань Господня» он не понимает. Но это его проблемы. Как и непонимание тех отморозков, кто память павших оскорбляет, они не понимают — достаточно, что понимают оскорбленные.
                                        И на счет провокации — ну хоть минимальную честность проявите. Люди готовились, собирали команду журанлистов, теле и фоторепортеров, тренировались за несколько дней до этого в другом храме (вы в курсе?), знали прекрасно, какая будет реакция у верующих, готовили пути для отступления в виде видов на жительство забугром. Провернули свой перфоманс точно метя в ту категорию людей, которых это возмутит, сделали все, что бы замутить всю эту кашу. Вот чисто со светской точки зрения, без всякой религии. Хотя отчасти соглашусь с вами. Возможно власти на это все чихать. Не исключаю. Мне без разницы, с какими внутренними установками и мотивами со стороны власти будет восстановлена справедливость.
                                        Ах да, на счет того довода, что вас, например, может оскорбить мой юзерпик или вообще, что я есть на свете и такие как я. Отвечаю — никаких проблем. Вы ратуете за правовое светское государство — вот и действуйте в этом русле, т.е. пожалуйста, в суд по всем вопросам.
                                      –5
                                      >И суд, что характерно, уже полгода никак не найдет.
                                      А с чего это вы взяли? Суда ещё не было, были предворительные слушания только.

                                      И статью вы понимаете неправильно. Вот полная цитата:
                                      «по мотивам политической, идеологической, расовой, национальной или религиозной ненависти или вражды ЛИБО по мотивам ненависти или вражды в отношении какой-либо социальной группы.»
                                      О наличии политической ненависти, думаю, даже вы спорить не будет. Наличие же религозной вражды — вопрос спорный, может конечно они богохульствовали из лучших побуждений к православным, но лично я в этом сильно сомневаюсь.
                                        +2
                                        Разумеется буду. Пожалуйте доказательства.
                                          –3
                                          Меня лично в ортоблогсфере оскорбляли люди и поводом к этому были известные события и отношение к ним верующих. Почему? Потому что я, ПГМ-щик проклятый в их понимании, смею мракобесие исповедуя еще возникать. В реале тоже пришлось столкнуться. Причем, заметьте, на за крики — не простим, отомстим, а просто за оценку и констатацию своего отношения. Ну и это ли не возбуждение?
                                            0
                                            Ну тут всего два варианта. Либо перфоманс очень тонкий стёб над оппозицией, либо всё это действие вызвано очень сильной ненавистью к Путину. И первое мне кажется совершенно невероятным, учитывая предидущие выходки этой компашки.
                                            +4
                                            За разжигание религиозной ненависти стоит посадить, в первую очередь, ответственных за введение ОПК. Каждый имеет право молиться, кому хочет — это несомненно. В принципе, имеет право навязывать свою веру своим детям — это не слишком этично, но возможно. Но навязывание своей веры чужим детям я считаю преступным.
                                            Ещё религиозную ненависть провоцируют многие деятели РПЦ, в том числе и невидимыми часами, но это уже не в тему.
                                          +2
                                          Мне по роду занятий довольно часто приходится общаться с видными специалистами-теоретиками по уголовному праву — авторами учебников, комментариев, статей в научных журналах. Ни один из них квалификации действий Pussy Riot по ст. 213 УК РФ не поддержал.
                                            0
                                            Дайте им почитать вот это: www.rg.ru/2007/11/21/sud-dok.html
                                            На мой взгляд «Явное неуважение лица к обществу выражается в умышленном нарушении общепризнанных норм и правил поведения, продиктованном желанием виновного противопоставить себя окружающим, продемонстрировать пренебрежительное отношение к ним.» — как про этот случай писали.
                                              0
                                              Ну правильно. Надо же было религиозную поправку протащить. Теперь за неуважение к чувствам верующих спокойно закрываем на 7 лет. Светское государство во всей красе!
                                              Кстати, вы не поверите, но моё мнение разделяет моя мама — глубоко верующий человек. Причём это не я её «переубедил» — она изначально придерживалась этой позиции при самом первом нашем обсуждении данного инцидента. Да, она видит оскорбление чувств верующих, неуважение и прочее. Нет, она не понимает, каким образом в «светском государстве», где «церковь отделена от государства», за подобное можно давать реальный уголовный срок.

                                              Кстати, а вы не заметили, что при особом желании теперь можно спокойно сажать всякого рода неформалов, от хипстеров и эмо до готов и панков? Вот просто прямо с улицы брать и закрывать на 5 лет — налицо «умышленное нарушение общепризнанных норм и правил поведения, продиктованное желанием виновного противопоставить себя окружающим, продемонстрировать пренебрежительное отношение к ним».

                                              Повторюсь: верной дорогой идём, господа!
                                                0
                                                Подозреваю, что они не только читали, но и принимали участие в подготовке этого документа. По их мнению, отсутствует мотив религиозной ненависти или вражды.
                                            –3
                                            Ответьте на вопрос про вечный огонь. 2.5 свидетеля и ролик на ютубе. И пара отмороженных перцев, которые пальцем никого не тронули, а старые пердуны-ветераны (для них они именно таковые) их тоже бесят, т.е. все взаимно. Или тут как считать, кого больше? Православных конечно не 80%, это все сказки, но 20% — будет. При этом еще 50% — оккультисты бытовые и не очень и прочий кашпир во время чумака. Хотя конечно колличество тут ни при чем, это для иллюстрации.
                                              +5
                                              С удовольствием. Административное правонарушение («пятнадцать суток»). Так это трактуется действующим российским законодательством. Если вас, конечно, интересует жизнь «по закону», а не «по понятиям».
                                                –3
                                                Да? Вот вам прецендент — год. По закону. Если вы законы РФ признаете.

                                                www.rg.ru/2011/03/02/oskvernenie-anons.html

                                                Вот штраф в 20 тыс. при требовании обвинением 40 тыс. Плюс полмесяца за решеткой.

                                                www.uhta24.ru/novost/?id=2763

                                                Как видите, не все так просто. Так что суд решит. В данном случае отягчающее, имхо — точный расчет (об этом свидетельствует серьезная группа поддержки журналистов и фоторепортеров) именно на тот эффект, какой и наблюдаем сейчас. Та самая ненависть и вражда. Предварительная подготовка, действие группой.
                                                  +3
                                                  Суды в России уже много лет как судят «по понятиям», а не по закону, тут нечему удивляться. Это не секрет ни для кого, хоть немного касающегося темы.
                                                    0
                                                    Статьи за «надругательстве над мемориальными сооружениями, посвященными борьбе с фашизмом или памяти жертв фашизма» в УК РФ нет, сюрприз-сюрприз. Есть статья за «надругательство над телами умерших и местами их захоронения».

                                                    Осталось выяснить, над чьим телом осуществлялось надругательство, либо чьим местом захоронения является ХХС, чтобы данный пример имел отношение к обсуждаемой теме Pussy Riot.
                                                +1
                                                Ну, потенциально можете посадить. Можете попытаться обратиться в суд по этому поводу. Весь вопрос в том, что будет для суда являться абсурдом, а что нет. Адекватность тех или иных претензий (кого что оскорбляет) в конце концов не такая уж сферическая шняга в вакууме. Есть реалии культурные, социальные и прочее подобное. И если оскорбление неграмотностью, скорей всего, никто, кроме вас не поймет, то в обсуждаемом случае оно понятно существенному проценту населения страны. Вот, собственно, и все.
                                                На счет произвола наших судов, могу рассказать историю, как один очень известный в моих краях журналист на своем сайте назвал очень известного в стране человека фаллическим символом нации. А сайт этот хостился у нас, так что мы тут тоже влипли. И ничего. Не весть какая шишка этот мастер пера и слова, однако провели пару лингвистических экспертиз и отделался легким испугом, а вас послушать, так его живьем должны были съесть в зале суда, не меньше.
                                                +10
                                                Меня вот оскорбляет автомойка в храме находящаяся там с его открытия, но верующие похоже не вкурсе, им об этом не говорили, поэтому все хорошо. А про девченок по зомбоящику показали и тут все оскорбились. Ахренеть вобще(
                                                  –1
                                                  >но верующие похоже не вкурсе, им об этом не говорили, поэтому все хорошо
                                                  да мне тоже это не нравится, но там, как я понимаю, вопрос сложный, так как комплекс зданий храма — собственность города и именно он решает что там открывать.

                                                  >А про девченок по зомбоящику показали и тут все оскорбились.
                                                  Я лично обо всём этом узнал отнюдь не по зомбоящику и тоже сильно оскорбился, хоть я и не православный.
                                                    +9
                                                    Я херею. Автомойка, значит, «в собственности города», поэтому чувства верующих автоматически перестают оскорбляться. Тут почему-то светские законы превалируют над «чувствами верующих». А вот в случае девчонок почему-то моментально наоборот: тут чувства верующих оказались важнее.
                                                    А давайте вместе подумаем, на чём основана такая избирательность в приоритетах? Уж не на том ли основании, что в случае автомойки присутствует некий финансовый интерес неких заинтересованных лиц, а в случае девчонок — некислая возможность лизнуть жопу вышестоящим мудакам?

                                                    И «эти люди» ещё что-то говорят про мусульманский экстремизм… Вот вам кое-что насчёт мусульман: «Турция оправдала FEMEN за топлесс-акцию возле мечети».
                                                    Вот это — светское правовое государство. Реально, а не на бумажке. В России же, извините, «основной закон» скоро будет впору продавать в разделе «Сатира, Юмор».
                                                      0
                                                      >А вот в случае девчонок почему-то моментально наоборот: тут чувства верующих оказались важнее.
                                                      Их судят исключительно по светским законам, читайте ст213 УК РФ и разъяснение верховного суда
                                                        0
                                                        Да понятно, что на бумаге всё будет гладко. Вот только наше «правовое» государство, настолько же «светское», насколько и «демократическое».

                                                        Первая экспертиза показала, что мотивов разжигания ненависти или религиозной вражды не было, т.е. 213-я ну никак никак не пришивалась. Назначили вторую. Вторая показала то же самое. Чёрт, опять не получается. Назначили третью (завидное упорство, не правда ли?), которая, наконец-то, дала нужный результат. И теперь спокойно шьём 213-ю, причём сразу ч.2: «группой лиц и по предварительному сговору». Ну не цирк ли?

                                                        И это я ещё молчу про то, что «религиозного» пункта в статье про хулиганство изначально вообще не было. Пруф. А сейчас — есть. Добавили в 2007-м году, и теперь за любое «неуважение к чувствам верующих» можно смело шить 213-ю и закрывать на 5 лет. А если группой людей — то и на все 7. Такое вот «светское» государство. Верной дорогой идём, господа!

                                                        А на закуску — сравните пункт 2 статьи 213 ч.1 с формулировкой статьи 282 и найдите 10 отличий.
                                  +6
                                  Подход назвается DPI. С мобильным интернетом это везде и всюду:
                                  Помню с какой помпой наш киевстар это внедрял и хвастался, примерно так как сейчас пиплнет, а у меня https и irc трафик стал резаться на телефоне. У людей не работала опературбо.

                                  У северного соседа вот народ радуется по этому поводу, но пруфлинк о мтс не открывается, зато легко гуглится.
                                    +1
                                    Ну, с трейсами там вообще все плохо, а на счет НАТ-а я думал. pptp, он ведь как ftp, через нат работает с хитростями. Но ведь это сейчас умеют даже железки уровня SOHO, не говоря о брендах. Тем более, что изначально все работало через один IP.
                                    +3
                                    Дайте угадаю, оператор — МТС?
                                    Harmony — это скорее всего оптимизатор трафика… Не всегда трафик ходит через него от того, что не весь трафик на него маршутизируется ;)
                                    Странно, что автор не привел трасерт или лог winmrt. Уверен, маршруты разные (хотя возможно icmp заблокирован, дабы скрыть внутреннюю структуру сети и это правильно).
                                    Причина выхода в мир трафика PTPP с отдельного айпи скорее всего так же банальна — основной граничный брандмауэр не умеет работать с ртрр, по этому натится с другого файрвола, умеющего это делать. Ну или как вариант — все тунели идут через СОРМ, а оттуда вываливаются в мир с другого брандмауэра.
                                      0
                                      Внутреннюю среду можно без проблем спрятать правкой TTL
                                        +1
                                        Охх, МТС…
                                        Сижу через свисток МТС, тут все так странно устроено, что, например, перестает открываться ya.ru, пытаешься пинговать — пингуется, делаешь traceroute — не доходит до конечного хопа, обрываясь уже на четвертом. Используют диапазоны 192.168.0.0/24, 192.168.1.0/24, 192.168.2.0/24, 172.16 для собственных нужд, трафик через них маршрутизируется, отваливается NAT, как-то держу на сервере запущенный tcpdump, смотрю, а через другую сессию на этот же сервер пакеты летят с 10.x.x.x!
                                        исал, звонил, объяснял, ничего не поменялось пока что. В Q/A посоветовали обратиться к пресс-секретарю. Что интересно, такая же ситуация не только в моей области, но и в Московской, и в Тульской точно была либо продолжается. Причем сайты у меня отваливаются настолько часто, что сижу постоянно либо через оперу турбо, либо через впн.
                                        habrahabr.ru/qa/21737/
                                        0
                                        Странно что вообще оператор давал возможность GRE. Сколько я сталкивался, GRE везде был закрыт, приходилось юзать l2tp/ipsec.
                                        По поводу маршрутов — в сети оператора это вообще темный лес, сам не единожды сталкивался с похожим поведением (разные маршруты для разных протоколов).
                                        Ну а насчет прокси — это почти везде.
                                          +13
                                          Harmony говорите… так это такой эвфемизм. en.wikipedia.org/wiki/River_crab_%28Internet_slang%29
                                            +4
                                            Возможно используют нечто вроде TPROXY. А для автора советую попробовать OpenVPN. Генеришь ключи, копируешь их на серверы и клиенты, заводишь туннель. Может работать как в TCP, так и UDP. И вполне себе вариант при отсутствии NAT'а для GRE пакетов. И можно повесить на любой порт, хоть на 80-й.
                                              0
                                              Это все понятно. По правильному лучше вообще закрытую APN заиметь у сотового оператора и организовать IPSEC между железками. OpenVPN на хосте удаленного объекта можно поставить, но вот принимать его на какой-то сервер в головном — очень неудобно. Да и решение требовалось очень быстрое (счет шел на часы и даже менее), а на головном объекте роутер умел pptp и это уже было настроено и использовалось.
                                                +1
                                                OpenVPN как раз хорош тем, что не требует какой-либо дополнительной настройки роутеров, умеет работать на любом порту и без connection tracking.

                                                Я вот не совсем понимаю в чем заключается неудобство «принимать его на какой-то сервер в головном — очень неудобно»?
                                                  +1
                                                  Потому что контора-конторе рознь. Есть такие, где можно собрать на коленке тазик с линуксом, выставить его куда надо и оно работает. А есть такие, где усе по проекту, серверов может быть как грязи, но роли у них все расписаны, их сетевые включения — регламентированы, ничего просто так выставить никуда нельзя и вообще. Вот если бы рутер умел OpenVPN — тогда да. Но это не суть. Топик не об этом. Есть ведь вообще решения, трафик инкапсулирующие в обычный http и шифрующие на L7 своими средствами. Варианты всегда можно найти. Вопрос именно в неких политиках и технических решениях оператора, которые предоставляют интерес, да и просто любопытно :)
                                                    +1
                                                    Microtil OS для таких контор приходит на помощь!
                                                    У нас уже и сертифицировать их стали. OpenVPN из коробки.
                                                      0
                                                      Хммм. Буквально года назад сравнивал прошивки D-Link российскую и не российскую. В первой VPN был обкарнан по самую. А тут сертификация и разрешенный OpenVPN да еще из коробки?
                                                        0
                                                        Что бы не быть голословным.
                                                        www.mikc.ru/article.php?id_catalog=26&id_position=71

                                                        Я не очень люблю длинк. Да и вообще почему вы о нем вспомнили?

                                                        Microtik очень вырос за прошедшие время.
                                                          0
                                                          Да сертификат старый, но я думаю есть продление. Просто надо уточнить, или спросить на форуме nag.ru
                                                            +1
                                                            Может плохо прочитал — расплывчато там даже при увеличении. Но вроде в этой бумаге ничего нет про шифрование. А даже если есть — эта бумага ранее 2010 года. А с шифрованием особая фишка. Я не знаток, но у нас в 2010 году был семинар даже, где дяди из циско плакались, что новая нормативная база препятствует поставке нам роутеров 29xx с соотв. функционалом, ибо раскрывать ФСБ алгоритмы и исходники они не будут, а без этого не будет спец. сертификата. И какое-то время они действительно приходили нам без IPSEC и даже MPPE для pptp. Но вроде это недавно порешалось. Не уверен, что у других с нашим ФСБ все так гладко, тем более у небольших контор.
                                                              0
                                                              Я же говорю надо искать
                                                              beecomp.ru/news/new_certificates_of_conformity_for_products_mikrotik/

                                                              По поводу шифрование не ведаю, что и как. Я не занимаюсь предоставлением услуг :)
                                                                0
                                                                D-Link я привел как пример того, что официально VPN если и доступен, то в крайне кастрированном варианте.

                                                                Сертифицирована железка. OpenVPN там если и присутствует «из коробки», то возможно по недосмотру. Так что не факт, что придет на помощь.
                                                        0
                                                        Mikrotik OS
                                                  –1
                                                  А начиналось все с torrent'ов, почитайте статью 2010 года.

                                                  В сегодняшние дни подобное можно организовать еще более изощреннее. И я полагаю, что Proxy (Harmony proxy) в том числе используется для того, чтобы незаметно для пользователя менять направление трафика.
                                                    0
                                                    Ну да, а еще на хабре тема пролетала про мегафон, вклинивающий рекламу в шттп-контент.
                                                  +1
                                                  сорри за офф-топ, а вот такое Реал IP подключать не пробовали? или такое Выделенный APN.
                                                    0
                                                    Про выделенный APN в курсе. Про Реал IP теперь в курсе. В посте упоминалось — нужно было быстро. А как известно, все временные решения, они бывают самые постоянные в итоге.
                                                    +4
                                                    Про ВПН всё правильно. У нас в сети так же.
                                                    Оборудование вендоров с восьмизначной ценой не умеет НАТить PPTP. Потому этот трафик завёрнут на отдельный писюк с НАТом. И точно так же этот писюк имеет один ИПшник, через который ходят все 150тыс наших абонентов
                                                    Старые грабли, которые вендор не планирует чинить.
                                                      0
                                                      А что за вендор, если не секрет. SOHO-мыльницы как бы умеют все или многие, по крайней мере.
                                                        +1
                                                        Cisco :)
                                                          +1
                                                          www.juniper.net/ru/ru/products-services/routing/mx-series/mx960/ + MS-DPC

                                                          У одного из наших (новосибирских) сотовых операторов после плановой замены оборудования PPTP вобще перестал работать. Я то сразу сообразил где грабли. К щастию их технари сидят на местном форуме, потому хватило ЛС с описанием проблемы и решения. Подперли костылем по нашей же схеме.

                                                          У автора видимо проблема из-за того что писюк глючит/завис/уборщица выключила,… т.к. трафика там идут копейки суммарный мониторинг и не заметит. А т.к. костыль ставили не по схеме, а вопреки может его просто забыли добавить в мониторинг.
                                                          Надо или долбить техподдержку или выходить напрямую на технарей. Или менять протокол ВПН.
                                                            0
                                                            Добрая вы душа, однако. За стоимость MX960 и MS-DPC можно купить по тазику с линуксовым NATом на каждый дом с абонентами и жить припеваючи. ;)
                                                            NAT на «железячных» роутерах очень, очень дорогая (и оттого бессмысленная) штука.
                                                              0
                                                              Насчет бессмысленности вы заблуждаетесь — держать десятки миллионов NAT сессий (причем без проблем) на железке вполне возможно, на софтовом решении — не очень-то ;)

                                                              pptp же на самом деле чрезвычайно мало кому нужен кроме РФ / СНГ, где провайдеры / компании до сих пор очень любят этот старинный костыль…
                                                                –1
                                                                Я вас умоляю, несколько лет назад городская сеть из более чем 50 000 абонентов, в которой я работал, прекрасно обходилась несколькими серверами на Ксеонах, держащих весь NAT-пул. Вы сильно недооцениваете софтовые возможности и сильно переоцениваете железные (многие из которых на самом деле ровно также делают NAT софтово) ;)
                                                                  +2
                                                                  50 тыс абонентов — это копейки. вообще ниочем. Потянет практически любое нормальное решение, что софт что железо.

                                                                  по поводу переоценки «аппаратных» — право, не вам мне рассказывать — нам как раз приходится делать NAT на десятки миллионов сессий и я прекрасно знаю о чем говорю.

                                                                  всему есть своя ниша, не надо на маленьком (хорошем, качественном, быстром, но тем-не менее пикапе) пытаться возить грузы которые возят многотонные грузовики.

                                                                  нет, ара-мастера конечно и на жигулях перевезут (попытаются), но мы говорим про серьезные бизнесы :)
                                                                    0
                                                                    50 000 абонентов это далеко не копейки, сетей крупнее уже можно подсчитать по пальцам (как минимум на тот момент). Сотовые операторы, естественно, несколько другой сегмент.
                                                                    Количества сессий не припомню, но суммарно трафика было порядка 10Гбит/сек.
                                                                    И кстати, до сих пор сидят.

                                                                    Реализовать отказоустойчивость и нормальную скорость NAT на серверах на порядок дешевле (и пожалуй, проще), чем на железяках.
                                                                      0
                                                                      вы не путайте 50Ксабов на меди с несолько мегасабов по воздуху.
                                                                      Там и средний размер пакета меньше, и нет тебе джумбофреймов.
                                                                      Нельзя мерить НАТ в гигабитах, его надо мерить в айпи сессиях.
                                                                        0
                                                                        Я ниразу не путаю. Какой средний размер пакета по воздуху? В городских ethernet сетях jumbo-фрэймы, к сведению, не используются (тупо на коммутаторах доступа не проходят больше стандартных 1500). Средний размер пакета на NAT-серверах порядка 1100 байт. Что по гигабитам, то я тоже в курсе, но за неимением под рукой статистики по сессиям/ппсам привёл в качестве его.
                                                                          0
                                                                          По воздуху (в зависимости от региона) средний размер пакета 450-480 байт.
                                                                          Если городской езернет провайдер не умеет jumbo — это его проблемы :)
                                                                      +2
                                                                      Извините, что встреваю :)
                                                                      А если маленьких пикапов много? 50к — копейки, а лям? Если 50к тянули несколько серверов, то лям потянут несколько*20 серверов. Я ничего не утверждаю, просто рассуждаю. Что дешевле будет — мегасупер топовый заоблачный девайс (единая точка отказа к тому же) или три-четыре стойки Ксеонов? Ведь если взять те же мега поисковики — они не держат свои сервисы на мега-топовых суперкомпьютерах из топ-100. Они их держат на хламе, по сути, которого оч. много. Есть конечно задачи, которые параллелятся плохо, распределенных схемы не для них, но НАТ вроде не из этих.
                                                                        0
                                                                        1) как правильно ниже написали, многим операторам связи как раз намного проще иметь супер-девас с золотой поддержкой и чрезвычайно развитым функционалом, чем пачку наколенных решений

                                                                        2) функционал коммерческого ПО / оборудования и «бесплатного» — зачастую даже невозможно сравнить, ибо разница на порядки может быть.

                                                                        3) нет никакой единой точки отказа, резервирование / отказоустойчивость — как раз «конек» комерческих аппаратных решений (и далеко впереди самоделок на линуксах / openbsd и тд)

                                                                        Еще раз — для каждой задачи свое решение.

                                                                        Городскому оператору Урюпинска — им и софтовый роутер на ксеоне в радость (надо экономить деньги), крупному оператору федеральному — ему ± несколько миллионов долларов на «железо» — абсолютно индифферентно.
                                                                          0
                                                                          а кто сказал что джунипер один? :) всё резервируется.

                                                                          а на стопку ксеонов возникает задача балансировки нагрузки. и дешевых способов балансировки нет.
                                                                        +1
                                                                        50Ксабов это смешно :)
                                                                        у российских ОПСОсов больше миллиона PDP в регионе, а кое-где и все пять миллионов.
                                                                        А один «качок» со своими торрентами дает не одну сотню сессий, которые надо натить.
                                                                        Конечно, часто режут макс. кол-во сессий, но всё равно получается очень много.
                                                                          0
                                                                          А у международных ОПСОСОВ под миллиарды, и чего? Это совершенно другой мир, живущий по совершенно другим правилам, где капитализация компании составляет оборудование, а не мозги администраторов, могущих настроить по

                                                                          >А один «качок» со своими торрентами дает не одну сотню сессий, которые надо натить.
                                                                          Конкретно для сотового оператора торрентщики всё же не самая актуальная проблема, полагаю — ширина канала до абонента служит «естественным» ограничением. На домашних сетях же не редкость и 100-Мбитные тарифы, в рамках которого сессий ой как нехило и с хорошим битрейтом.
                                                                            0
                                                                            Вот вы всё про свои домашние 100мбит, а я про своих сотовых абонентов с их «естественным» ограничением… Разговор слепого с глухим.
                                                                            Покажите мне миллиарды НАТа у международных опсосов?
                                                                            Или вот у меня валяется 4G мопед с симкой мегафон — выдает 40 мегабит (и это далеко от окошка). Вот вам и ограничение…

                                                                            Конечно вашему оператору с 50К абонентов дешевле делать софтовые решения. Сегодня несколько ксеонов НАТят, а завтра они же будут билингом. А на брандмауэре CDRки не попарсишь.
                                                                              0
                                                                              И удобней в плане масштабирования. Завтра для 100к он добавит пару-тройку ксеонов в стойку, раскатает на них образ по сетке и огневая мощь батареи увеличится.
                                                                                0
                                                                                нет, добавлять пару-тройку серверов нельзя до бесконечности. Это даже по электричеству будет стоить дорого, не говоря уже об охлаждении, площадях и персонале. Думаю, когда кол-во серверов дойдет до неск. десятков, уже выгоднее железное решение.
                                                                                  0
                                                                                  В городских сетях это как раз не проблема, обычно площадки с охлаждением и электричеством есть и много (просто по «российскому» определению metro-ethernet'а).
                                                                                0
                                                                                Покажите мне миллиарды НАТа у международных опсосов?

                                                                                Я сказал, ПОД миллиард. Пожалуйста:

                                                                                en.wikipedia.org/wiki/List_of_mobile_network_operators

                                                                                Или вот у меня валяется 4G мопед с симкой мегафон — выдает 40 мегабит (и это далеко от окошка). Вот вам и ограничение…

                                                                                Скорость коннекта или скорость передачи данных? Сколько таких абонентов набирается? Вы там в Москве совсем зажрались! :)

                                                                                Конечно вашему оператору с 50К абонентов дешевле делать софтовые решения

                                                                                ОПСОСов можно пересчитать по пальцам руки, причём зачастую — одной. Количество абонентов, обслуживаемых просто крупными, средними и малыми компаниями, и для которых прекрасно подходят «софтовые» NAT'ы, полагаю, будет даже поболее.
                                                                                Ну и к вопросу о «мелочи» 50 000 абонентов — по данным grinkod.spb.ru, такое количество абонентов в сети является билетом в TOP-10 сетей Петербурга, причём включая сети и ОПСОСов.
                                                                                Про смешные мысли «сегодня NAT, завтра биллинг» позволю уж себе не останавливаться, за явной нелепостью высказанного.
                                                                                  0
                                                                                  Вы сами с собой разговариваете? Где по вашей ссылке _НАТ_ под миллиард? Общее кол-во мёртвых душ в куче сетей большого оператора это не один НАТ подмиллиард, а много-много миллиоников.

                                                                                  Во общем, давай, до свидания.
                                                                                    0
                                                                                    Ну вы молодец, сначала сам перевели разговор с PDP на NAT, а затем начали высмеивать число, ага. Слив засчитан.
                                                                              0
                                                                              50к — смешно, но если цитату не обрезать — 50к на нескольких ксеонах. Несколько ксеонов — тоже смешно. Приведенный вами в пример лимон — это несколько ксеонов*20. Если сравнить, сколько стоит оборудование, которое потяент этот лимон и это кол-во ксеонов? Это вопрос, а не утверждение :)
                                                                                0
                                                                                вы не знаете всех переменных. Кому-то дешевле и проще возиться с некс*20 ксеонов, а котому-то лучше купить 2 виприона\пикса\нужноевписать и золотой суппорт к ним, а то и бебиситтинг.
                                                                                  0
                                                                                  Ну видите, уже не так категорично. Т. е. само техническое решение имеет право на жизнь, вступают дальше в игру совсем другие факторы и расклады.
                                                                                    0
                                                                                    Конечно имеет право на жизнь софтовое решение, но оно плохо масштабируется и поддержка N серверов в конечном счете дороже поддержки двух брандмауэров.
                                                                                    В данном случае money talks — у ОПСОСа есть средства покупать спец. железо, а у мелкого городского прова — нет.
                                                                                      0
                                                                                      Ну, вот у гугла с его лимоном ПК те как расходный материал, так все отлажено и продумано. Каждую минуту вступают в строй и из него выбывают незаметно для сервиса в целом. Хотя это и другая тема, но некие общие черты есть.
                                                                                        0
                                                                                        Именно. Можно взять и поменьше пример — легендарный хостинг Hetzner вообще не парится на предмет брендовых серверов и стоечных машин. Для них проще, быстрее и дешевле поставить серверный ящик…
                                                                                          –1
                                                                                          не надо сравнивать гугл с его _приложениями_ и НАТ
                                                                                          нат это четвертый уровень, а приложения — это седьмой.
                                                                                          Покажите мне ASIC под Apache
                                                                                            +1
                                                                                            Ну может и не надо.
                                                                                            Но все же мне кажется, вы не так себе представляете противопоставление. Я не сравниваю L4 и L7. И не при чем тут ASIC под Apache.
                                                                                            Пример с гуглем не для того, что бы кислое с мягким путать, а для того, что бы на другом материале и немного другой предметной области показать то же самое противопоставление (то же по принципу), в надежде что в другой предметной области оно будет наглядней.
                                                                                            Нет противопоставления — аппаратное vs софтверное. Есть противопоставление одно — но очень мощное в чем либо и дорогое, или многочисленное — но слабое, дешевое и легко заменяемое. Представьте вместо писюка то же аппаратное решение, только похилей в характеристиках и полегче на порядок в цене. Суть спора от этого не сильно изменится.
                                                                                            Ключевой вопрос здесь, имхо — а параллелится ли задача, что бы одно и очень мощное заменить на кучу дешевого и слабого, возможно ли это в принципе для конкретной предметной области. Вот тут уже высказали возражение здравое о балансировке, как одном из «затыков». Я не великий спец, но слышал мнение, что это решаемо. В свое время ppoe отлично масштабировалось по принципу много — но дешево и легко заменяемо. Хотя конечно сейчас модно кричать, что это отстой и прошлый век :) Опять же, если мыслить масштабно, задумайтесь, какая бы мощная не была железка, подобному пути наращивания мощности есть предел. В него рано или поздно упрется любая кремниевая аппаратная платформа. А вот подход а-ля распределенные вычисления — это выход. И не важно, для каких задач, лишь бы они позволяли себя дробить. Не дробится? Тогда вопрос снят.
                                                                                        0
                                                                                        Хотя тому же гуглу можно было бы обзавестись парой-тройкой топовых суперкомпьютеров и соотв. к ним хранилищ, наверное у него хватает на это мани. И резервирование всех компонент и всевозможные защиты это дела обеспечить. Но отчего-то настоящая мегапроизводительность достигается другими приемами.
                                                                                          0
                                                                                          Как раз софтовое решение ОЧЕНЬ хорошо масштабируется, тут уж точно перегнули.
                                                                                          В случае ОПСОСов money talks имеет, подозреваю, второе, а то и третье дно — вопрос капитализации компании, стоимости специалистов, откаты и т.п.
                                                                              0
                                                                              mx960 не только НАтит трафик но и делает много еще чего полезного. покажи мне линуксовый тазик, который прожует 100-200гбит? или трафик будет сам по стопке тазиков балансироваться?

                                                                              поэтому тазики имеют право на жизнь при менее 5гбит решениях, т.е. порядка 10-20 тыс абонентов.
                                                                                0
                                                                                Прикольный у вас подход, сразу с софтового 5Гбит прыгать на MX960 с 200 Гбит. По пути ничего не пропустили, нет? ;) Стоимость MX960 знаете? С полным резервированием и MS-DPC? И наконец, главное — сколько вы знаете сетей с таким трафиком? Сумеете насчитать больше десятка для Москвы и Питера? ;)
                                                                                  0
                                                                                  у меня четыре mx-960 стоит, кроме тестовых :)
                                                                                  а до этого были стопки 16ядерных тазиков, ныне списанных.
                                                                                    0
                                                                                    Аааа… и при этом pptp натим через зажатый после списания тазик! :)
                                                                                    Нет в мире совершенства…
                                                                                      0
                                                                                      увы суровая реальность. до сентября избавимся от серых ИП и тазик выкинем :)
                                                                                        0
                                                                                        Я понял дао… у вас стопка mx-960 растет :) Это ж то же самое, только в профиль и с золотым бантиком.
                                                                                          0
                                                                                          К Carrier Grade NAT для IPv6 готовитесь? ;)
                                                                                            0
                                                                                            она не растёт. нормальное резервирование согласно проекту. они географически и топологически разнесены. чтоб полное уничтожение датацентра оставило сеть рабочей
                                                                                            0
                                                                                            Но ведь работал тазик-то. ;) Небось, начальство не оценило идею покупки отдельного железячного девайса под PPTP NAT? )

                                                                                            P.S. У меня один MX240, MX80 3D должен будет приехать как раз под NAT'ы. ;)
                                                                                              0
                                                                                              белые ИП получить дешевле. чем продолжать жрать кактус.
                                                                                                0
                                                                                                Пока да, а вот что будет хотя бы года через два, бооольшой вопрос.
                                                                                          0
                                                                                          Что, однако, неизбежно возвращает к идиотизму первоначальной проблемы.
                                                                                            0
                                                                                            я не считаю это проблемой :) из 150тыс ВПНом пользуется около сотни человек. проблема в применении серых IP в сети. не будет IP не будет НАТа и проблемы :)
                                                                                              0
                                                                                              RIPE негодуе ;)
                                                                                    0
                                                                                    Видно тазик подняли :) Читают поди про себя любимых. Или уборщица назад вернула, что задела.

                                                                              Only users with full accounts can post comments. Log in, please.