neuen

Посетитель
  • Публикации

    329
  • Зарегистрирован

  • Посещение

  • Дней в лидерах

    20

Все публикации пользователя neuen

  1. Вы понимаете, что первое письмо/звонок будет после авторизации 100 разных MACов в месяц (или даже день) на одном порту, что для обычного пользователя (даже без роутера, а тем более с роутером) очень нестандартное поведение? Но тогда получается, что любое устройство, так или иначе подключенное в порт провайдера, будет авторизовано? Т. е. от врезки вообще никакой защиты. Или я чего-то не понимаю? Не, авторизована комбинация MAC-порт провайдера. Тот же MAC на другом порту или другой MAC на этом порту не пропускаются. Я всё понимаю. Я не говорю, что это абсолютно просто, я говорю, что это относительно просто. Вместо того, чтобы объяснять что-то типа "зайдите в GUI роутера, посмотрите IP адрес" (все GUI разные) или "сделайте traceroute/tracepath" (нужно объяснять как работать с консолью не важно в какой ОС), т. е. компьютерную активность, нужно будет объяснять чисто активность рук (посмотреть на поддон роутера). При этом первый способ тоже не отменяется, можно и так. Впрочем, когда Билайн начнет массово внедрять роутеры с TR-069 клиентам, если я правильно понимаю, они софтверную проверку на врезку могут даже автоматическую сделать для всех абонентов - посмотреть MAC устройства, посмотреть MACи активные на порту за некоторое время, сравнить, обнаружить врезку (или свитч вместо роутера). Здесь я с вами согласен. С топологией сети Билайн изнутри я знаком не очень хорошо, только как клиент. Смотря как рассматривать данное обсуждение. Как совет Билайну? Есть, конечно, вероятность, что какой-нибудь высокопоставленный администратор/архитектор сети зайдет, почитает, посмеется, и что-нибудь да возьмет из описанного, но она исчезающе мала. Как дискуссию на техническую тему? А почему бы и нет. Как идеальное видение со стороны пользователей, которым это не безразлично? Такая дискуссия как раз должна происходить до внедрения решения Билайном, иначе потом дискуссия будет как сейчас: "а у меня L2TP и всё работает". Когда (если) введут в эксплуатацию, обсуждать уже будет нечего. Потому что менять уже точно не будут.
  2. NikIv, тут со стороны пользователя Bee Maya уже не только флейм, оффтоп, флуд, ругань и оскорбления идут (помимо несодержательности постов), но и призывы к нарушению действующего законодательства Российской Федерации. Ничтяк, да? =)) Представляете какой парадокс? Там эта картинка была верна, а как только попала к вам в руки с определенной целью - перестала быть... Ох уж этот "технарский" мир... Всё против вас. Ребенок считает, что ему должны дать конфетку и плачет. Ему конфетку всё равно родители не всегда дают. Считайте вы что хотите. Технические факты, к всеобщей радости, на ваше мнение не завязаны, а от него скорее отличны по умолчанию. Съешьте ещё этих мягких французских... яблок и апельсинов. Эх, я даже жалею, что я не ваш сосед. Троллинг в реальной жизни с привлечением полиции, суда, административного штрафа для начала, публичных вынужденных извинений и всего такого с онлайном, конечно, не сравнить. Ах как же вы правы. В одну реку дважды не войдешь. Будучи вежливым, стать им я уже не смогу. Идите, деточка, идите. В добрый путь. P. S. Если что, не только лишь все, наверное, подсчитывают, сколько раз вы уже грозили покинуть дискуссию, бесперспективную для вас. А воз (вы т. е.) что-то и ныне там. По моему раза 4 минимум.
  3. Вам, неуважаемая, не понять. Потому что, говоря условно, там, где вы эту картинку брали, я её рисовал. Учите матчасть. Не хочется вас разочаровывать, но многое из написанного на заборе не является результатом деятельности грамотных людей. Пора бы вам уже повзрослеть и не считать философские трехбуквенные изречения на заборе за божественную истину. Рисунок подразумевает ipsec, который у Билайна выключен, потому что будь он включен, цена на клиентские роутеры навскидку начиналась бы где-то с 40к.
  4. Disclaimer. Дальше я не говорю, что привязка к MAC - это самое лучшее или вообще хотя бы хорошее решение. У меня просто есть видение, как её реализовать, чтобы и овцы были целы (обычные пользователи) и волки сыты (всякие ITшники), и я не очень понимаю, где здесь изъян. Не могли бы вы помочь мне разобраться? На стороне провайдера поднимается https (это важно) сервер, который умеет авторизовывать MAC на определенном порту определенного коммутатора и привязывать его к определенному логину по логину/паролю пользователя. Пока MAC не авторизован на порту, через который идёт запрос, DHCP трафик разрешен, весь http трафик редиректится, а https трафик заворачивается на этот сервер, остальной траффик дропается*. Важное требование - страничка авторизации https сервера должна быть максимально простой (чтобы авторизоваться можно было curl'ом в один вызов). MAC может быть привязан только к одному порту и одному логину - самому последнему авторизованному. Авторизация возможна и не из сети провайдера - в личном кабинете просто вводишь MAC. За определенный период возможно не более X раз авторизовать новый MAC на порту через страничку авторизации или личный кабинет - дальше надо звонить или писать письмо. К каждому порту может быть привязано не более Y MACов, самый старый забывается по мере авторизации нового, для увеличения данного лимита - надо звонить или писать письмо. Навскидку X ~= 100, Y ~= 20. Что в итоге получается? Обычный пользователь вставляет кабель провайдера в роутер или компьютер, сразу получает DHCP адрес, при первом заходе на какой-нибудь сайт видит страницу авторизации - вводит логин-пароль и несколько лет ещё об этом не вспоминает. Когда он меняет роутер или компьютер раз в несколько лет, ему опять же единожды надо ввести логин-пароль. Если вдруг обычный пользователь несколько странный, и вместо использования роутера перевтыкает кабель из одного компьютера в другой или, например, использует свитч, то на каждом устройстве ему придется единожды авторизоваться таким образом. При этом даже если устройство тупое и у него нет HTTP браузера, пользователь может сделать это в Личном кабинете (в отличии от L2TP или всяких DHCP опций, которые тупое устройство точно посылать не умеет). Смысл тут в том, что схема авторизации всё ещё одна единственная - провайдеру не надо распыляться на поддержку нескольких схем, нужны только разные фронтэнды к этой схеме, а пользователю помимо непосредственно интересующих его конечных устройств даже роутер как бы и не обязателен (даже свитч подойдет, впрочем, это небезопасно; я не к тому, что не надо роутер, я к тому, что система авторизации не накладывает вообще никаких требований на покупаемые сетевые устройства). Маловероятно, что у обычного пользователя дома более Y устройств, поэтому в лимит он скорее всего не упрется. Маловероятно, что пользователь более X раз подключит новое устройство. Если что-то из этого случилось, то, скорее всего, это либо разовое происшествие, либо обычный пользователь делает что-то не так. В этом случае будут редкие звонки в службу поддержки, где пользователю будет дана консультация, что он делает не так. При этом по мере сбора статистики по пользователям компания может менять X и Y тем самым регулируя поток данных звонков. При этом возможно даже то, что было разрешено при L2TP - прийти к другу с Билайном со своим устройством и авторизоваться под собой; только по возвращении домой придется авторизоваться у себя. ITшнику вообще раздолье. Худшее, что может случиться - это система авторизации будет сбоить и терять часть авторизованных MACов, что, мы надеемся, происходить не будет. Но даже в этом случае, если он видит, например, извне, что коннективити пропало - идёт в ЛК, авторизует MAC и коннективити восстанавливается. Теперь самый животрепещущий вопрос - "врезки". Поскольку логин-пароль передается по https, злоумышленник не сможет авторизовать себя. Он может только взять MAC клиента, а перед клиентом поставить роутер. Если поставить роутер перед клиентом, то у клиента качество интернета может даже не ухудшиться и он долгое время не будет знать о врезке. Злоумышленник сможет слушать нешифрованный трафик клиента - как защититься от этого я пока не знаю (впрочем, этому и нешифрованный L2TP был подвержен). Волнует ли это обычного клиента? Думаю, что нет. Но рано или поздно клиент заметит ухудшение, позвонит в поддержку и там будет произведена элементарная удаленная проверка на врезку: спросить клиента, в какое устройство вставлен провод от провайдера, в зависимости от типа устройства рассказать ему, как посмотреть MAC этого устройства (для компьютеров - не отходя от компьютера; для роутеров - посмотреть на нижнюю стенку роутера - даже не надо объяснять, как входить в GUI роутера и какой у него пароль), если подозрения подтвердились - вызывать монтера и сказать клиенту. ITшники же опять же могут элементарно отследить врезку самостоятельно и автоматически. Это не говоря уже о том, что проблема врезок крайне преувеличена. Злоумышленникам это делать практически не надо - во-первых, атака не массовая, а направленная; во-вторых, проще Wi-Fi сломать. От личного ненавистника, нацеленного на вас, не спасет ни такая система ни какая-либо другая без шифрования всего трафика. Наглых соседей, которым ваш трафик не важен, лишь бы интернет нахаляву, во-первых, единицы, во-вторых, первый случай врезки сильно отвадит от рецидива, в-третьих, опять же wi-fi легче сломать, в-четвертых, ну пускай пользуются, если такие искусные, смогли врезаться, чтобы я не заметил, иначе - см. п. 2. Атаки на сеть по переавторизации чужих MACов на свой порт тоже бесполезны: после X атак тебя точно вычислят, а до X атак скорее всего вычислят, так как пользователи будут звонить жаловаться. X - не то число, чтобы это было страшно провайдеру. Итого имеем систему авторизации, которая практически никаких ограничений не накладывает ни на топологию сети, ни на устройства пользователей, максимально дружелюбную обычному пользователю и одновременно предоставляющую максимальные возможности ITшнику, в худшем случае не меняющую качество предоставления услуги в случае присоединения не слишком наглого соседа, а в среднем - позволяющую это присоединение обнаружить, и практически не отличающуюся по возможностям прослушки нешифрованного трафика от всех остальных (включая даже нешифрованный L2TP). * Можно не дропать весь трафик, а шейпить его до чрезмерно малых величин (скажем, 10 кбит/сек), чтобы при каких-либо проблемах ITшники смогли достучаться до своих устройств извне, пускай и медленно, и переавторизоваться без вовлечения техподдержки. P. S. Как я понимаю vlan (а я могу абсолютно его не понимать, за что прошу прощения) на пользователя заставит в первую очередь гнать трафик до ядра, где и будет происходить его untagging, т. е. практически то же самое, что было при L2TP. Возможно это допустимое решение с точки зрения затрат и т. п., но чисто с точки зрения внутреннего идеалиста хотелось бы, наверное, чтобы связь между пользователями такого огромного провайдера как Билайн (это не какой-нибудь районный провайдер, где встретить пиром клиента этого же провайдера маловероятно) шла по кратчайшему пути, а не всегда через ядро. И если vlan per user нужен исключительно для целей авторизации, а не для чего-то другого - то не хотелось бы, чтобы система авторизации накладывала такие ограничения. Повторюсь, я возможно совсем неправильно понимаю vlan per user.
  5. Если выкатят в продакшн и разрешат обычным пользователям выбирать - предвидится. Если же у вас есть информация, что в этом году не выкатят или не разрешат, то это очень печально. Можете более подробно сказать, что вы имеете в виду?
  6. Предлагаю еще подчистить некоторые сентенции. А то придется на них ответить. (Ответ готов, но в связи с наличием вашей реакции я с ним повременю.) Неужели вы не понимаете, что доказывать дилетантке, что вы не верблюд, бессмысленно? Теперь, например, можно сказать, что вы на самом деле другой роутер подключили - сделайте видео не только экрана, но и роутера! (Но не думайте, что на этом всё закончится! Может у вас компьютер слабый? Вирусы? Windows старый? Может провод где перетерли? Электромагнитные помехи подаете? Может вы вообще колдун и Билайн заколдовали назло ей?! Дилетантка всегда найдет к чему "докопаться", тогда как нормальному человеку достаточно взглянуть на ТТХ роутера, чтобы убедиться, может он столько или нет - даже скриншоты не нужны.)
  7. Не хочется быть адвокатом дьявола, но, ИМХО, с рекомендованными роутерами провайдер не должен перекладывать ответственность на производителя (если, конечно, вы сами не предложили, что вы пообщаетесь с производителем). А то прелестно получается: нерекомендованные роутеры не чиним, потому что они не рекомендованные, а рекомендованные - потому что не хотим. Зачем тогда рекомендуют?
  8. Насколько мне известно - при определенных условиях да. Но у меня, например, железка сможет прокачать Гбит вплоть до размера пакетов примерно в 125 байт. Вот ниже уже не справится.
  9. Извините, что я вопросом на вопрос. А у вас дома много wi-fi устройств бывают? А проводных сколько?
  10. А что же делать с "самой мощной рацией на сегодняшний день"? Её-то провайдер точно чинить не будет, ибо не является "рекомендованным оборудованием", а судя по вашим словам она должна наголову Zyxel-то обгонять. Что с ней-то делать? Грязи на Билайн здесь кидают скорее дилетанты, которые искренне думают, что их (их ли?) провайдер настолько убог и слаб, что конструктивную критику он ни воспринять, ни выдержать не может. Остальные же в Билайн скорее верят... И действительно! Повнимательнее за этим логином neuen, повнимательнее! Очень странно, что человек уже полтора года работает в пользу других провайдеров, а всё что-то хвалит Билайн, клиентов у него не уводит, ликбез его пользователям проводит... явно что-то большое готовит! Ай-ай-яй! А если серьезно, вы не путайте личностные нападки и (возможно не очень) приятную правду. Первое удаляют, стесняясь, подписывая "не этично". Второе, если и удаляют, то только за компанию или по беспределу. Кстати, я давно хочу спросить - а вы абонент на тарифе Гран-При? P. S. SpeedTest не является правильным способом проверки скорости, особенно на таких скоростях. Вполне возможно, что техподдержка отмажется на этом основании даже от рекомендованного роутера. А еще вполне возможно, что техподдержка отмажется на основании того, что по Договору предоставляется не скорость X Мбит, а скорость ДО X Мбит. Вот если бы существовала возможность "собрать" такую "штуку", на которой можно гарантировать определенную пропускную способность на WAN порте по протоколу L2TP и пустить на эту штуку трафик LAN->WAN и обратно через роутер, и тем самым доказать, что железка в принципе неспособна прокачать столько L2TP вообще/при определенных условиях... если бы только можно было собрать такой э... вроде всякие "технари" называют это стендом для тестирования.
  11. А у некоторых, например, торрентокачалка вообще на headless машинке с *nix. Мне видео ssh сессии с экрана MacBook может вам предоставить? Car1son, дело ваше, конечно, но доказывать дилетантке, что вы не верблюд, штука неблагодарная. Жалоба на мисс Марпл модераторам уже всё равно ушла. Вот с blits есть смысл предметно общаться. Если он действительно нашел способ заставить SOHO роутер (пускай даже достаточно дорогой, но тем не менее) прокачивать 800 Мбит L2TP - это очень интересно (если, конечно, сам L2TP терминируется на роутере, половину аплинка не обеспечивают локальные пиры и всё такое). blits, искренняя просьба, опишите подробно свою топологию - вида "провод от Билайн входит в железку X, на железке X поднят L2TP, провод от компьютера конфигурации Y идет в железку X, на компьютере запущена OS версии Z, на ней софт A, локальные пиры зарезаны образом B, при соединении с ресурсом C/скачке файла D скорость E". Поймите правильно, мы не вас пытаемся уличить во лжи, мы у себя пытаемся найти ошибку.
  12. Судя по тому, что я видел во всех обсуждениях Гран-При, Билайн (как минимум пока, как минимум некоторым) не включает шейпер на гигабитные порты домового оборудования. Соответственно те единицы, кто подключен по гигабиту делит (обычно!) суммарный 2 Гбит аплинк со всеми клиентами дома, каждый из которых подключен по 100 Мбит, а возможно еще и с парочкой гигабитщиков, подключенных к Гран-При в том же доме. К чему я клоню? Возможно, у blits к гигабиту в доме подключен он один, а 100 Мбитщиков либо мало либо в тот момент они канал не нагружали, либо аплинк не 2 Гбит, а, например, 10 - в итоге он получил 800 Мбит/сек в пике. А у вас, например, либо есть ещё гигабитные клиенты в доме, либо 100 Мбитщики бОльшую часть канала съели, либо Билайн опасался за качество предоставления услуг 100 Мбитщикам и всё таки настроил для вас шейпинг. Это всё, конечно, гадания на кофейной гуще... я к тому, что не надо думать, что если у кого-то на тарифе в 365 Мбит доступно 800 Мбит, то и вам Билайн их дал/обязан дать - если у кого-то они сейчас и есть, то это явно временно. А вот если 365 Мбит даже до серверов Билайна не идет и при этом роутер/компьютер не являются узким местом, то это повод обратиться в техподдержку. Вы в момент этих замеров top на роутере не смотрели? Вот почему пропускную способность роутеров по L2TP (и другим протоколам) тестируют на стенде, а не через speedtest.
  13. Не совсем так. У меня к этой формулировке такая же претензия как и к тем, кто про L2TP пишет "а у меня всё работает", no offense. Раньше, когда роутеры были слабые, а трекеры еще не боялись копирайта - да, DHT и тем более uTP вызывали бОльшей частью головную боль. Сейчас, например, мой роутер справляется с любым количеством соединений, поэтому я включаю uTP и DHT просто потому что они вообще для меня незаметны, но дают дополнительную вероятность скачать что-то. Худшее, что может случиться на популярной раздаче - скачка/раздача пойдет мимо рейтинга, о котором я, тьфу-тьфу-тьфу, не беспокоюсь. Но зато на какой-нибудь непопулярной раздаче из-за DHT может найтись дополнительный пир, которого трекер не даст, а из-за uTP может пойти обмен с пиром, у которого, например, TCP порт закрыт, а UDP - нет. Если их не видно, не заметно, а польза, хотя бы теоретическая, возможна - пусть будут включены.
  14. Ещё uTP иногда портит ситуацию. Раньше его рекомендовали отключать в клиенте, но это не спасало роутер - приходил запрос на uTP соединение, роутер его conntrack'ал, NATил на компьютер, компьютер моментально отвечал, что по uTP общаться не будет, роутер форвардил этот ответ и вроде как на этом всё должно закончиться, но нет - таблица conntrack еще 30-180 сек. содержала запись об этом соединении и порой разрасталась до тысяч... единственным спасением был iptables -t raw -j NOTRACK на роутере, а -t raw не везде поддерживалась.
  15. Кстати, статью на Хабре про SmartRouter Pro от Билайна уже все видели?
  16. Лол, таких многословных самолюбивых сливов давно не видел. Одно радует, вам еще предстоит много открытий чудных DL:109MiB Вы еще можете с полной уверенностью кичиться импортными ("привезли из-за границы для пробы"! не в каком-нибудь Китае, или, не дай бог, России куплено и/или сделано! ) агрегатами AC2350. Эх, годы, годы, опыт, опыт... Ой умора. Нате вам плюсик.
  17. Ну включите на нём QoS (хотя бы автоматический), поднимите скорость сильно свыше 100 Мбит, нагрузите его сотнями (хотя бы) коннектов (и не забудьте локальных пиров забанить), и всё это по wi-fi. У меня, если что, одна из железок - RT-AC66, которая практически до степени смешения, за исключением 802.11ac, похожа на вашу, так что я знаю, про что говорю. "Размазывание манной каши по столу" происходит из-за того, что те, у кого "всё работает", не могут ни понять, всё ли у них действительно работает, ни признать обратного. И из раза в раз повторяют эту мантру, что "у них всё работает, о чём весь сыр бор". И технари-"бездельники", тяжело вздыхая, повторяют им одно и то же, так как ничего нового сказать уже нельзя - технологических фактов сильно более конечное количество, чем субъективных "у меня всё работает" - а повторение - мать ученья, авось что-нибудь да запомнят. А сыр бор весь о том, что работать может по разному. Может работать, например, так, что каждый год покупать самый топовый домашний роутер (год назад - это 7к, сейчас уже 12-14к) - тогда тариф становится далеко не 650 и даже не 1450 руб. в месяц. И это не вопрос денег или их экономии, это вопрос маркетологического признания, что "300 Мбит за 2500 руб. в месяц" вместо "365 Мбит за 1500", например. Впрочем, даже на топовом роутере все его фичи будут отключены, так как процессору есть чем заниматься и без них. А может, например, выдавать 50 Мбит вместо 92 Мбит даже по проводу - половина пользователей всё ещё будет считать, что всё работает! Может, например, выдавать 92 Мбит вместо 100 Мбит по тарифу - и бОльшая часть согласится, что это технологическое ограничение L2TP... только почему-то провайдер рекламирует/продаёт именно 100 Мбит, а не 92 Мбит. Да много чего может. И вот такой вот "а у меня всё работает", не понимающий, ни что это значит, ни как это проверить и т. д. приходит в тему и голословно заявляет, что у него всё работает, даже иногда выкладывает скриншот со SpeedTest (и все моментально падают ниц перед этой всеобъемлющей истиной в последней инстанции). А потом ещё приходите вы, у которого, скорее всего, таки всё действительно работает, и троллите, как будто искренне не понимаете, о чём разговор и почему он идёт по одному и тому же кругу уже который год. Предлагаю эту тему не развивать, потому что она очень близка к оскорблениям, правда не личным, а группы пока что. Одни пока что просто непрофессионалы, а другие просто бездельники, но может же и ухудшиться.
  18. neuen

    Новые Тарифы

    Вам намекают, что такой же тариф за эти же деньги теперь доступен и не по акции. Т. е. смысл акции пропал, она неотличима от стандартных условий подключения.
  19. Самое смешное, что люди даже аналогию не могут привести нормальную. Когда вам, чтобы получить нормальный напор холодной (не говоря уже о горячей) воды, на этажах свыше 1го придется ставить промышленный насос - вот тогда это будет правильная аналогия, и вы первая побежите жаловаться. Билайн может у себя внутри, в ядре сети хоть обинкапсулироваться - никого здесь это не волнует и волновать не может. С последней мили же пускай L2TP уберет. А ещё смешно, как вы пытаетесь на фоне "доморощенных технарей-бездельников" выглядеть эдакой рассудительной и другие положительные прилагательные. Они-то хотя бы понимают, что говорят, даже если являются доморощенными и бездельниками (что в большинстве случаев далеко не так, ну да ладно), в отличие от... P. S. Нет, я не ошибся. Именно "промышленный", а не "современный". P. S. #2. Несмотря на то, что, казалось бы, вы отвечаете на нелицеприятную характеристику "доморощенные всезнайки" другого пользователя своей вроде бы равноценной характеристикой "доморощенные технари-бездельники" и всё как бы нормально, баш на баш, это далеко не так. Дело в том, что терминологически ваш оппонент совершенно прав, называя ту группу "непрофессионалами, лезущими в каждую бочку затычкой" (см. определение обоих слов). В вашей же характеристике терминологически верно только разве что слово "технари". "Бездельники" они или нет вы знать не можете, факт присутствия на форуме об этом не говорит (или, если подойти с другой стороны, вы тут тоже часто бываете, а значит это всеобщая характеристика, не несущая никакой определяющей ту группу информации). "Доморощенными", т. е. непрофессиональными, их назвать нельзя, так как они как раз высказывают в основном профессиональные оценки с точки зрения технической и логистической составляющей, в отличие от...
  20. Смена тарифов может произойти как с IPoE, так и без него, потому что она связана с ситуацией на рынке у всех, а не с какими-то локальными особенностями Билайна. Иными словами, даже если это произойдет, винить в этом IPoE бессмысленно. Дай бог, чтобы это было временно для тестов.
  21. Как минимум сейчас неразумно замахиваться на 25к+ железки только для Билайна, ИМХО. Подождите апреля хотя бы. Там возможно получится обойтись куда более скромным бюджетом. Если, конечно, дома серверная - то это совсем другой разговор. Там CCR1009-8G-1S-1S+ пригодится в любом случае. Они, кстати, не так давно выпустили версию без активного охлаждения (CCR1009-8G-1S-1S+PC).
  22. А этот? Этот тоже не сможет по L2TP вытянуть под 400 Мбит ибо 720 МГц CPU, чудес не бывает. А тем более если половина CPU уйдет на Wi-Fi. http://www.ixbt.com/comm/tp-link-archer-c7.shtml
  23. Вы случайно за это время не переезжали с квартиры на квартиру? При смене адреса договор перезаключается и отсчет начинается с нуля. В любом случае Niklv правильно говорит.