NAT для tcp был нужен, так как клиенты по tcp обращаются в 10.15.30.0/24, но source IP из многих подсетей, а та сторона (условный “DataCenter”) принимает в конфиг только одну подсеть с моей стороны.
Для GRE же NAT в принципе не нужен, но он не мешает, и облегчал отладку скрипта который слал PIM join в сторону 10.44.4.5. Я мог это делать тоже из другой подсети.
На AWS виртуальные машины имеют локально только приватные адреса, NAT которых выполняет Internet Gateway. (Но конечно можно привязать выделенный публичный Elsatic IP для каждого приватного адреса).
Несколько политик скорее обусловлено дизайном подключения со стороны "DataCenter". Они отдельно дают классический IPsec для TCP коммуникации (настроен в conn dc-tun-tcp), и отдельно дают IPsec для построения GRE внутри (настроен в conn dc-tun-gre), как вы и предположили "site2site для /32 адресов, поверх которых уже построить GRE". По сути так и сделано. По GRE уже разрешены только кипэлайвы и мультикаст (политика с той стороны).
Со стороны "DataCenter" точно Cisco, но не скажу модель.
Спасибо что обратили внимание на swanctl, действительно, стоит переезжать.
Перечитал ваш сценарий. Кажется вы имеете ввиду кейс, когда добропорядочный пользователь нарушит частотный диапазон из-за того что сосед решил на dd-wrt vap-ов нарезать в US? Тогда наверное этому гражданину еще нужно что-бы его роутер был прошит/настроен как US, сама то его карточка не перейдет на запрещенные частоты, без поддержи со стороны точки доступа.
Ну решение о выделении диапазона 5,9-6,4 ГГц для стандарта связи Wi-Fi 6E в закрытых помещениях принимает Госкомиссия по радиочастотам в рамках своих заседаний. Я думал о нем речь. Но возможно я не прав.
Кстати да, можно упороться и сделать себе сеть на WiGig, там вообще вроде до 7Гбит, я тестил WiGig не с Oculus, а с HTC Vive. Но вопрос в том, хотите ли вы себе 60GHz излучатель который кушает 2 Вт и работает 24/7, даже не знаю.
Дело в том что в диапазоне 5ГГц только два 160МГц канала. И довольно много интерференции (как я говорил у меня шумят порядка 20 соседских ssid, хоть и малая часть на 5ГГц), как следствие, получить 930Мбит у меня на 5GHz никак не получалось, было в районе 600Мбит, видимо все время канал сбрасывался до 80MHz, так как находил только такую незанятую частоту.
К сожалению, сам не пытался поднимать хот-спот, но вон выше господа говорят что есть некий взломанный драйвер с хобота (ixbt), в котором отключены все ограничения (включая создание точки доступа в 6 ГГц)
Я встречал упоминания, что у кого-то на даче заработали частоты, которые в городе не работали. Может быть, как раз по этой причине. Но так как по LAR нет никакой документации, тем более по пограничным ситуациям, я могу лишь поставить на то что ограничений не будет, без утверждений.
Ну, как показал мой опыт, решает именно большинство, то есть если такой лунатики из потенциального Судана в меньшинстве - то скорее всего вы их и не заметите.
Скорее логика такая, что если вы купили ноут в регионе где 6ГГц еще нет, то при поездке в страну где все должно работать, у вас не будет проблем с тем чтобы подключиться к 6E сети.
Без объявления обратного роута к вашему «клиенту» с ним не будет коммуницировать биржа, на биржевом коммутаторе только /30 сетка для пиринга с клиентским коммутатором. Так что это требование биржи.
судя по сюжету это по книге Flash Boys, Майкала Льюиса?
Британский любят скорее не за словесные конструкции, а за культуру общения, особенности юмора.
Место США в мире тут ни при чем.
Согласно вашей логике не стоит читать классику, так как на ютубе в топе влад_бумага.
NAT для tcp был нужен, так как клиенты по tcp обращаются в 10.15.30.0/24, но source IP из многих подсетей, а та сторона (условный “DataCenter”) принимает в конфиг только одну подсеть с моей стороны.
Для GRE же NAT в принципе не нужен, но он не мешает, и облегчал отладку скрипта который слал PIM join в сторону 10.44.4.5. Я мог это делать тоже из другой подсети.
Виктор, спасибо за комментарий.
Наверное я зря не пояснил в статье, что:
На AWS виртуальные машины имеют локально только приватные адреса, NAT которых выполняет Internet Gateway. (Но конечно можно привязать выделенный публичный Elsatic IP для каждого приватного адреса).
Несколько политик скорее обусловлено дизайном подключения со стороны "DataCenter". Они отдельно дают классический IPsec для TCP коммуникации (настроен в conn dc-tun-tcp), и отдельно дают IPsec для построения GRE внутри (настроен в conn dc-tun-gre), как вы и предположили "site2site для /32 адресов, поверх которых уже построить GRE". По сути так и сделано. По GRE уже разрешены только кипэлайвы и мультикаст (политика с той стороны).
Со стороны "DataCenter" точно Cisco, но не скажу модель.
Спасибо что обратили внимание на swanctl, действительно, стоит переезжать.
Тут, действительно, драйвер производителя может это ограничивать, пользуясь дополнительными способами вычисления вашего региона.
Перечитал ваш сценарий. Кажется вы имеете ввиду кейс, когда добропорядочный пользователь нарушит частотный диапазон из-за того что сосед решил на dd-wrt vap-ов нарезать в US? Тогда наверное этому гражданину еще нужно что-бы его роутер был прошит/настроен как US, сама то его карточка не перейдет на запрещенные частоты, без поддержи со стороны точки доступа.
Ну решение о выделении диапазона 5,9-6,4 ГГц для стандарта связи Wi-Fi 6E в закрытых помещениях принимает Госкомиссия по радиочастотам в рамках своих заседаний. Я думал о нем речь. Но возможно я не прав.
Я думаю будет пункт 3 этой статьи. Там предупреждение или штраф от 1 до 1.5 т.р., но с возможной конфискацией оборудования.
Если вы о РФ, то скорее всего будет КоАП 13.4
Кстати да, можно упороться и сделать себе сеть на WiGig, там вообще вроде до 7Гбит, я тестил WiGig не с Oculus, а с HTC Vive. Но вопрос в том, хотите ли вы себе 60GHz излучатель который кушает 2 Вт и работает 24/7, даже не знаю.
Дело в том что в диапазоне 5ГГц только два 160МГц канала. И довольно много интерференции (как я говорил у меня шумят порядка 20 соседских ssid, хоть и малая часть на 5ГГц), как следствие, получить 930Мбит у меня на 5GHz никак не получалось, было в районе 600Мбит, видимо все время канал сбрасывался до 80MHz, так как находил только такую незанятую частоту.
Еще, хак с реестром мне не понравился, так как на каждом клиенте нужно делать.
К сожалению, сам не пытался поднимать хот-спот, но вон выше господа говорят что есть некий взломанный драйвер с хобота (ixbt), в котором отключены все ограничения (включая создание точки доступа в 6 ГГц)
Я сам не пробовал хак с реестром, но читал что проблемы после сна есть с адаптером. Вы пробовали? с каким адаптером?
Я встречал упоминания, что у кого-то на даче заработали частоты, которые в городе не работали. Может быть, как раз по этой причине. Но так как по LAR нет никакой документации, тем более по пограничным ситуациям, я могу лишь поставить на то что ограничений не будет, без утверждений.
Ну, как показал мой опыт, решает именно большинство, то есть если такой лунатики из потенциального Судана в меньшинстве - то скорее всего вы их и не заметите.
Скорее логика такая, что если вы купили ноут в регионе где 6ГГц еще нет, то при поездке в страну где все должно работать, у вас не будет проблем с тем чтобы подключиться к 6E сети.
Без объявления обратного роута к вашему «клиенту» с ним не будет коммуницировать биржа, на биржевом коммутаторе только /30 сетка для пиринга с клиентским коммутатором. Так что это требование биржи.
Да, действительно, если свич до которого можно иметь доступ, вообще не исключен из пути, конечно, можно использовать и его.
Если не секрет, в какой отрасли работали с white rabbit?
да, клок дрифта. Ну моя ответственность больше в сетевой части и есть, так что про то и пишу.
Согласен, интересная тематика. Про разницу в сотни мс я тут писал, в своей статье в песочнице: https://habr.com/ru/post/715452/