Понимаю, что статья больше про HyperV, но вставлю свои 5 копеек:
У GNS3 есть более гибкая альтенатива - EVE-NG, и его "нелегальный" форк PnetLab. Ну а образы железок разных вендоров можно получить от вендоров, дампнуть, либо найти в зеленом магазине.
В свое время перешел из-за проблем с блокировками, Qt и другими зависимостями клиента, и отсутствия возможности строить мульти-вендор сети.
Не знаю как у вас, но у меня и знакомых доступ ко всем зарубежным провайдерам с домашних интернетов жестко ограничивается примерно последний год. Даже если это приватное облако. И скорее всего не по признаку датацентра, а из-за того, что трафик "внешний".
А когда не ограничивается (напр. ssh к некоторым провайдерам), режется с постоянными дропами сессий, 20% packetloss, установками изначального соединения с 3-й попытки, и скоростями в 1 мбит/с максимум.
У флешки роутера ограниченный ресурс перезаписи. Особенно если логи пишутся на эту самую флешку. А еще ее может жмыхнуть при скачках, как и любой другой элемент - от затирания части прошивки, до дырки в схеме (и иногда в текстолите).
Если порты медные - они умеют выгорать. Если порты PoE, иногда они теряют этот функционал (как IN, так и Out).
Если порты оптические, и был неудачно подобран аттенюатор - тоже могут пооткисать спустя время.
Но все это редко относится к роутерам за 2тыс. А когда у роутера за 2тыс бахает внутри корпуса элемент, такой ремонт при розничной закупке всего необходимого может быть дороже стоимости роутера, даже если не считать времязатраты.
Потому что есть другие ресурсы, попавших под раздачу, и не находящихся за их CDN/AS.
Первое что приходит в голову: сайт производителя eltex, сайты некоторых местных магазинов и ТРК, которые теперь можно не роутить через VPN, благодаря автору.
Hetzner, DigitalOcean, AWS EC2 - не загружается веб-панель, и невозможно установить прямое VPN-подключение. HTTPS-подключения к развернутым веб-серверам ограничиваются до 2мбит/сек.
SSH при этом вполне работает, и трафик из российских ДЦ к ним (пока) не ограничивается. Как точка выхода или тест-среда вполне себе могут работать. Довольно неплохо, учитывая, что стоят они в разы дешевле, чем российские площадки при размещении в тех же регионах.
Я осведомлен про сообщества, использующие списанные ThinkPad. Но могу поведать статус ThinkPad'ов, все еще находящихся в эксплуатации.
Выходившие последние 4 года ThinkPad отвратительно охлаждаются. Даже с отключенным тихим режимом ноуты тротлят. Даже модели с самым "продуманным" охлаждением отводят что-то вроде 21 Вт. При том, что у процессоров, которые они туда ставят, зачастую минимальная необходимая мощность по спецификации для PL1 - 35 Вт. Фактически это вызывает троттлинг процессора, сетевого адаптера, m.2 диска и с сопутствующим шумом. Мы также вскрываем новые ноуты для установки доп. ОЗУ, и у некоторых свежих ноутбуков теплотрубки серьезно деформированы с завода.
Классическая ситуация - сотрудник включает Google Meet, процессор нагружается при энкодинге, нагревается, нагревает за собой сетевку, сетевка отключается, сотрудник вываливается из мита. Про нужды разработчиков с локальной компиляцией можно даже не поднимать вопрос.
К счастью производитель предусмотрел энергоэффективный режим (управляемый из UEFI, и который можно детектировать только по потреблению), когда ноутбук ограничивает мощность в 15Вт, превращаясь в полную тыкву даже на самых маломощных камнях.
Есть еще WiFi от Realtek, из-за которого мой экземпляр не видит домашний роутер на 5Ghz, не смотря на то, что все используемые частоты находятся в поддерживаемом списке частот и легально разрешены. Ну и, конечно, отвратительный сигнал при нахождении в метре от роутера, что проявляется в стабильном 10% packetloss, отвалам сети, и скоростям в 6 раз ниже при сравнении с 9 другими девайсами в равных условиях.
У этих ноутов также есть знаменитые "убийственные" петли, и корпораты обычно новые ноуты сразу отправляют в сервис, чтобы их ослабить. Если этого не сделать, есть риск повреждения рамки дисплея и матрицы. Корпус в принципе хлипкий - кабель Ethernet из-за своей упругости выломал мне часть разъема. К счастью, ноуты модульные, и вместо оперативной замены порта в сервисе за сутки и пару копеек, сервис просто закажет модуль и будет ждать 3 недели его поставки, а затем выставит счет в несколько раз превышающий обыкновенную замену порта.
Есть еще приколы с отвалами порта зарядки из-за откисшего контроллера usb, огромным списком Known Issues на сайте, и необновляемой технической документацией. Еще производитель очень любит постоянно двигать где выставляются те или иные настройки у разных моделей.
В защиту Lenovo могу сказать, что их ноуты самые дешевые ноуты в корп. сегменте, доступны практически везде, а установка ОЗУ/SSD/WiFi не требует полного разбора ноутбука.
У нас технопарк из <400 ноутов с разных поколений и разных серий. Процессоры стараемся брать маломощные, но есть и кейсы с i9 + RTX 8000 + 4K. К слову, сейчас ищем замену, рассматриваем Dell.
Удачно, конечно, совпало ограничение Минпромторга на ввоз ряда брендов с открытием площадки РТ. Еще и цены на позиции в 1.5 - 3 раза выше, чем у конкурентов. Часть оборудования вообще EOSL, которое продавать, дак еще и за такую цену - чистое преступление.
Искренне надеюсь, что госзакупки, ради которых все, предположу, и затевалось, не будут проходить по ценам, приведенным на сайте.
UPD: Надеюсь, что куча БУ оборудования никак не связана с недавним массовым лишением лицензий у операторов связи.
Часто такое делают не ради "бомбинга" владельца номера, а просто чтобы сделать плохо конкретной компании. SMS Pumping называется, и считается формой мошенничества.
За границей ОЧЕНЬ дорого обходится. Иногда за час может накапать $100k, даже если компания готова к такой атаке.
Если я правильно помню, идея сервиса РОИ в том, чтобы при наборе нужного количества голосов, на петицию должны были обратить внимание и дать официальный ответ.
Даже если там будет 140 миллионов подписей "за", это никого не обязует сформировывать законопроект на основе такой инициативы.
Я рад, что у вас все работает. Хочу тоже поделиться своим опытом.
С Dahua точно есть проблемы у ряда операторов в некоторых регионах. Учитывая их софт, я до последнего думал, что дело в их программистах. Но потом я увидел как те же самые устройства корректно работают в других регионах и с средствами восстановления в конституционных правах.
Особенно сильно поаффектило на P2P для VTO: основной поток не грузится на самом маленьком разрешении, не приходят push-уведомления и звонки.
Я вон вчера не мог обновить прошивку UEFI на ноутбуке, потому что сервера с пакетом - на CloudFlare (не за WAF, а именно что принадлежат AS13335). Просто 0 байт. Посмотрел наличие на крупных отечественных зеркалах (хотя я бы такие моменты не доверял подконтрольным) - прошивки на них нет.
3 дня назад я не мог загрузить обновление ОС на Samsung, потому что сервера за Akamai и AWS (судя по коннектам), и коннекты моментально дропаются.
Неделю назад не мог загрузить сайт Gigabyte и их бренда Aorus для загрузки прошивки.
Мне сейчас абсолютно безразлично кто именно мешает мне загрузить прошивку - владельцы прошивки, владельцы ресурса размещения прошивки, прямая блокировка ресурса нашими органами, косвенная блокировка из-за ECH/CDN/принадлежности к подсетям или еще чего.
Все, что я знаю - это то, что нужные мне ресурсы доступны через технические средства.
Однако все движется к тому, что эти самые технические средства перестанут работать. И тогда нужный мне софт можно будет получить разве что через флоппинет.
UPD: не стал приводить энтерпрайз софт, который очевидно блокируется на основе санкций США. Доступ без ТС к нему потеряется тоже, очевидно.
Подскажите пожалуйста, где мне в рознице найти новое серверное оборудование для хомлабы? Или где можно купить отечественное БУ сетевое оборудование с sfp28+, необанкротившись? Потому что, как я неудачно выяснил год назад, ограничения распространяются на ввозимый в страну БУ товар в том числе.
Я прекрасно знаю что из себя "импортозамещенные" бренды представляют. Мне вот (почти) безразлично будет шилдик HPE или Nerpa HE. Шилдик дисков Samsung\Kioxia\Micron или Аквариус - тоже не волнует, если производительность одинаковая. Для меня главное - чтобы можно было прийти в магазин и купить товар актуальных поколений, и очень жалательно - не по 2x цене. Я максимум в рознице видел поделки под "недосерверные" бренды а-ля SuperMicro\Gigabyte\AsRock\Asus\Lenovo, даже оригиналы которых я бы не стал брать.
Ну или покажите где в рознице можно купить соместимые DDR5 RDIMM модули от отечественных брендов, функционал которых будет полностью работать на HPE-платформах. Я как раз планировал докупать 12 плашек.
А можете поделиться какую задачу вы хотели закрыть этим инструментом?
Ни в коем случае не хочу обесценивать труд людей, но не понимаю зачем кому-то может быть нужна информация о том, к адресам какой страны и города подключаются клиентские устройства.
Если для входящего траифка на сервера и фаерволы все понятно, то с разрешением GeoIP для исходящего трафика с эндпоинтов - я не представляю для чего это может требоваться.
Есть сервисы, которые позволяют проверить валидность и даже права конкретного сертификата, и технически они не зависят от CN. Но в конечном итоге все всегда сводится к обработке ПДН.
Просто потому, что, нужно идентифицировать, что Петров П. П. из ЭЦП - это тот же Петров П. П., который должен был подписать документ. Сопоставление субъекта по ИНН - как будто, наименьшее из зол.
Отсюда также можно сделать логический вывод, что если идентификатор ЭЦП для ФЛ позволяет однозначно идентифицировать субъекта, то такая информация по определению должна считаться ПДн. Более того, в отличии от ИНН, который также совпадает с ИП, серийный номер или отпечаток сертификата позволяют произвести идентфикиацию немного точней.
Заказ реалистичен, но цена соответствующая. Однако дешевле, чем вывозить всех сотрудников из гулага, и стабильнее, чем постоянно перестраивать VPS-инфраструктуру для обхода.
Фактически это просто очень дорогой выделенный канал с L2VPN, т.к. у нас ДЦ с обеих сторон обслуживаются этим магистральным оператором.
Оператору - да, безусловно прилетит, когда узнают.
Нас по головке вряд ли погладят, но сомневаюсь, что есть законные основания что-то серьезное предъявить. К тому же канал будет использоваться для корпоративных нужд.
Может кто-то мне подскажет в каком месте оно не заблокировано, если наши многократные письма на ряд почтовых адресов РКН, в том числе на приведенный в посте адрес - игнорируются?
Они в последний раз на связь с нами в декабре выходили, скинув копипасту, мол, регистрируйтесь в ЛК владельцев технических сетей, и там оформляйте заявку.
Вот только непонятно когда мы стали ВТС, ведь у нас нет своих ASN, и IP-пулы мы арендуем у ДЦ, сами датацентры - зарубежные и без представительства в РФ. Что-то мне подсказывает, что вывезти из РФ криптошлюз, и уж тем более установить его в европейском датацентре - задача сложновыполнимая.
Уже планируем заключать договор с магистральным оператором на выделенный L2 канал в обход ТСПУ.
Понимаю, что статья больше про HyperV, но вставлю свои 5 копеек:
У GNS3 есть более гибкая альтенатива - EVE-NG, и его "нелегальный" форк PnetLab. Ну а образы железок разных вендоров можно получить от вендоров, дампнуть, либо найти в зеленом магазине.
В свое время перешел из-за проблем с блокировками, Qt и другими зависимостями клиента, и отсутствия возможности строить мульти-вендор сети.
Не знаю как у вас, но у меня и знакомых доступ ко всем зарубежным провайдерам с домашних интернетов жестко ограничивается примерно последний год. Даже если это приватное облако. И скорее всего не по признаку датацентра, а из-за того, что трафик "внешний".
А когда не ограничивается (напр. ssh к некоторым провайдерам), режется с постоянными дропами сессий, 20% packetloss, установками изначального соединения с 3-й попытки, и скоростями в 1 мбит/с максимум.
У флешки роутера ограниченный ресурс перезаписи. Особенно если логи пишутся на эту самую флешку. А еще ее может жмыхнуть при скачках, как и любой другой элемент - от затирания части прошивки, до дырки в схеме (и иногда в текстолите).
Если порты медные - они умеют выгорать. Если порты PoE, иногда они теряют этот функционал (как IN, так и Out).
Если порты оптические, и был неудачно подобран аттенюатор - тоже могут пооткисать спустя время.
Но все это редко относится к роутерам за 2тыс. А когда у роутера за 2тыс бахает внутри корпуса элемент, такой ремонт при розничной закупке всего необходимого может быть дороже стоимости роутера, даже если не считать времязатраты.
Потому что есть другие ресурсы, попавших под раздачу, и не находящихся за их CDN/AS.
Первое что приходит в голову: сайт производителя eltex, сайты некоторых местных магазинов и ТРК, которые теперь можно не роутить через VPN, благодаря автору.
Регион: Урал, если это имеет значение.
Там еще и бесплатного wildcard нет, нужно $75 в месяц отдавать.
Это, конечно, дешевле $97 у DigiCert, но у LE-то они были бесплатные :\
Т.е. в будущем товарищ майор через этот механизм сможет идентифицировать тех, кто просмотрел неугодный видео-контент?
Возможно, конечно, такой механизм уже был.
У меня не открывается. На проводном сплошные TCP Retransmission PSH, ACK ещё до Client Hello.
А на двух разных мобильных провайдерах - NXDomain :)
Hetzner, DigitalOcean, AWS EC2 - не загружается веб-панель, и невозможно установить прямое VPN-подключение. HTTPS-подключения к развернутым веб-серверам ограничиваются до 2мбит/сек.
SSH при этом вполне работает, и трафик из российских ДЦ к ним (пока) не ограничивается. Как точка выхода или тест-среда вполне себе могут работать. Довольно неплохо, учитывая, что стоят они в разы дешевле, чем российские площадки при размещении в тех же регионах.
Я осведомлен про сообщества, использующие списанные ThinkPad. Но могу поведать статус ThinkPad'ов, все еще находящихся в эксплуатации.
Выходившие последние 4 года ThinkPad отвратительно охлаждаются. Даже с отключенным тихим режимом ноуты тротлят. Даже модели с самым "продуманным" охлаждением отводят что-то вроде 21 Вт. При том, что у процессоров, которые они туда ставят, зачастую минимальная необходимая мощность по спецификации для PL1 - 35 Вт. Фактически это вызывает троттлинг процессора, сетевого адаптера, m.2 диска и с сопутствующим шумом. Мы также вскрываем новые ноуты для установки доп. ОЗУ, и у некоторых свежих ноутбуков теплотрубки серьезно деформированы с завода.
Классическая ситуация - сотрудник включает Google Meet, процессор нагружается при энкодинге, нагревается, нагревает за собой сетевку, сетевка отключается, сотрудник вываливается из мита. Про нужды разработчиков с локальной компиляцией можно даже не поднимать вопрос.
К счастью производитель предусмотрел энергоэффективный режим (управляемый из UEFI, и который можно детектировать только по потреблению), когда ноутбук ограничивает мощность в 15Вт, превращаясь в полную тыкву даже на самых маломощных камнях.
Есть еще WiFi от Realtek, из-за которого мой экземпляр не видит домашний роутер на 5Ghz, не смотря на то, что все используемые частоты находятся в поддерживаемом списке частот и легально разрешены. Ну и, конечно, отвратительный сигнал при нахождении в метре от роутера, что проявляется в стабильном 10% packetloss, отвалам сети, и скоростям в 6 раз ниже при сравнении с 9 другими девайсами в равных условиях.
У этих ноутов также есть знаменитые "убийственные" петли, и корпораты обычно новые ноуты сразу отправляют в сервис, чтобы их ослабить. Если этого не сделать, есть риск повреждения рамки дисплея и матрицы. Корпус в принципе хлипкий - кабель Ethernet из-за своей упругости выломал мне часть разъема. К счастью, ноуты модульные, и вместо оперативной замены порта в сервисе за сутки и пару копеек, сервис просто закажет модуль и будет ждать 3 недели его поставки, а затем выставит счет в несколько раз превышающий обыкновенную замену порта.
Есть еще приколы с отвалами порта зарядки из-за откисшего контроллера usb, огромным списком Known Issues на сайте, и необновляемой технической документацией. Еще производитель очень любит постоянно двигать где выставляются те или иные настройки у разных моделей.
В защиту Lenovo могу сказать, что их ноуты самые дешевые ноуты в корп. сегменте, доступны практически везде, а установка ОЗУ/SSD/WiFi не требует полного разбора ноутбука.
У нас технопарк из <400 ноутов с разных поколений и разных серий. Процессоры стараемся брать маломощные, но есть и кейсы с i9 + RTX 8000 + 4K. К слову, сейчас ищем замену, рассматриваем Dell.
Удачно, конечно, совпало ограничение Минпромторга на ввоз ряда брендов с открытием площадки РТ. Еще и цены на позиции в 1.5 - 3 раза выше, чем у конкурентов. Часть оборудования вообще EOSL, которое продавать, дак еще и за такую цену - чистое преступление.
Искренне надеюсь, что госзакупки, ради которых все, предположу, и затевалось, не будут проходить по ценам, приведенным на сайте.
UPD: Надеюсь, что куча БУ оборудования никак не связана с недавним массовым лишением лицензий у операторов связи.
Часто такое делают не ради "бомбинга" владельца номера, а просто чтобы сделать плохо конкретной компании. SMS Pumping называется, и считается формой мошенничества.
За границей ОЧЕНЬ дорого обходится. Иногда за час может накапать $100k, даже если компания готова к такой атаке.
Если я правильно помню, идея сервиса РОИ в том, чтобы при наборе нужного количества голосов, на петицию должны были обратить внимание и дать официальный ответ.
Даже если там будет 140 миллионов подписей "за", это никого не обязует сформировывать законопроект на основе такой инициативы.
Я рад, что у вас все работает. Хочу тоже поделиться своим опытом.
С Dahua точно есть проблемы у ряда операторов в некоторых регионах. Учитывая их софт, я до последнего думал, что дело в их программистах. Но потом я увидел как те же самые устройства корректно работают в других регионах и с средствами восстановления в конституционных правах.
Особенно сильно поаффектило на P2P для VTO: основной поток не грузится на самом маленьком разрешении, не приходят push-уведомления и звонки.
Я вон вчера не мог обновить прошивку UEFI на ноутбуке, потому что сервера с пакетом - на CloudFlare (не за WAF, а именно что принадлежат AS13335). Просто 0 байт. Посмотрел наличие на крупных отечественных зеркалах (хотя я бы такие моменты не доверял подконтрольным) - прошивки на них нет.
3 дня назад я не мог загрузить обновление ОС на Samsung, потому что сервера за Akamai и AWS (судя по коннектам), и коннекты моментально дропаются.
Неделю назад не мог загрузить сайт Gigabyte и их бренда Aorus для загрузки прошивки.
Мне сейчас абсолютно безразлично кто именно мешает мне загрузить прошивку - владельцы прошивки, владельцы ресурса размещения прошивки, прямая блокировка ресурса нашими органами, косвенная блокировка из-за ECH/CDN/принадлежности к подсетям или еще чего.
Все, что я знаю - это то, что нужные мне ресурсы доступны через технические средства.
Однако все движется к тому, что эти самые технические средства перестанут работать. И тогда нужный мне софт можно будет получить разве что через флоппинет.
UPD: не стал приводить энтерпрайз софт, который очевидно блокируется на основе санкций США. Доступ без ТС к нему потеряется тоже, очевидно.
Для ленивых:
%localappdata%/Google/Chrome/User Data/OptGuideOnDeviceModel/
На флаги хрома, кстати, можно давать прямые ссылки:
chrome://flags/#optimization-guide-on-device-model
chrome://flags/#prompt-api-for-gemini-nano
За статью спасибо.
Ограничения на ввоз минпромторг уже анонсировал. Доступ к зарубежному софту ограничивается все сильней.
Смысла от хомлабы с каждым днем все меньше.
Подскажите пожалуйста, где мне в рознице найти новое серверное оборудование для хомлабы? Или где можно купить отечественное БУ сетевое оборудование с sfp28+, необанкротившись? Потому что, как я неудачно выяснил год назад, ограничения распространяются на ввозимый в страну БУ товар в том числе.
Я прекрасно знаю что из себя "импортозамещенные" бренды представляют. Мне вот (почти) безразлично будет шилдик HPE или Nerpa HE. Шилдик дисков Samsung\Kioxia\Micron или Аквариус - тоже не волнует, если производительность одинаковая. Для меня главное - чтобы можно было прийти в магазин и купить товар актуальных поколений, и очень жалательно - не по 2x цене. Я максимум в рознице видел поделки под "недосерверные" бренды а-ля SuperMicro\Gigabyte\AsRock\Asus\Lenovo, даже оригиналы которых я бы не стал брать.
Ну или покажите где в рознице можно купить соместимые DDR5 RDIMM модули от отечественных брендов, функционал которых будет полностью работать на HPE-платформах. Я как раз планировал докупать 12 плашек.
А можете поделиться какую задачу вы хотели закрыть этим инструментом?
Ни в коем случае не хочу обесценивать труд людей, но не понимаю зачем кому-то может быть нужна информация о том, к адресам какой страны и города подключаются клиентские устройства.
Если для входящего траифка на сервера и фаерволы все понятно, то с разрешением GeoIP для исходящего трафика с эндпоинтов - я не представляю для чего это может требоваться.
Очень хорошее замечание.
Есть сервисы, которые позволяют проверить валидность и даже права конкретного сертификата, и технически они не зависят от CN. Но в конечном итоге все всегда сводится к обработке ПДН.
Просто потому, что, нужно идентифицировать, что Петров П. П. из ЭЦП - это тот же Петров П. П., который должен был подписать документ. Сопоставление субъекта по ИНН - как будто, наименьшее из зол.
Отсюда также можно сделать логический вывод, что если идентификатор ЭЦП для ФЛ позволяет однозначно идентифицировать субъекта, то такая информация по определению должна считаться ПДн. Более того, в отличии от ИНН, который также совпадает с ИП, серийный номер или отпечаток сертификата позволяют произвести идентфикиацию немного точней.
Заказ реалистичен, но цена соответствующая. Однако дешевле, чем вывозить всех сотрудников из гулага, и стабильнее, чем постоянно перестраивать VPS-инфраструктуру для обхода.
Фактически это просто очень дорогой выделенный канал с L2VPN, т.к. у нас ДЦ с обеих сторон обслуживаются этим магистральным оператором.
Оператору - да, безусловно прилетит, когда узнают.
Нас по головке вряд ли погладят, но сомневаюсь, что есть законные основания что-то серьезное предъявить. К тому же канал будет использоваться для корпоративных нужд.
Может кто-то мне подскажет в каком месте оно не заблокировано, если наши многократные письма на ряд почтовых адресов РКН, в том числе на приведенный в посте адрес - игнорируются?
Они в последний раз на связь с нами в декабре выходили, скинув копипасту, мол, регистрируйтесь в ЛК владельцев технических сетей, и там оформляйте заявку.
Вот только непонятно когда мы стали ВТС, ведь у нас нет своих ASN, и IP-пулы мы арендуем у ДЦ, сами датацентры - зарубежные и без представительства в РФ. Что-то мне подсказывает, что вывезти из РФ криптошлюз, и уж тем более установить его в европейском датацентре - задача сложновыполнимая.
Уже планируем заключать договор с магистральным оператором на выделенный L2 канал в обход ТСПУ.