1) Pokud nekomu nejde smerovani pres zadni cast kolecka, muze to byt zpusbeno treba tim, ze jeho spoj je aktualne kvalitni, respektive ma spatne nastavene smerovani. Spravne nastavene smerovani muze vest k tomu, ze misto vypadku mu to pobezi (pomaleji) druhou stranou kolecka.
2) Pokud nekdo nekomu dodava Internet, bylo by dobre, kdyby bylo jasne, kde je rpedavaci rozhrani a kdo a kdy za co muze.
3) Ospf v mikrotiku je zalozeno na zebre/quaze (ve verzi 2.8 je mozne dokonce na prislusne default porty z localhostu telnetit) a neverim, ze tam hosi z Litvy nadelali nejaky brutalni prasarny.
4) Debuggovat ospf na mikrotiku v podstate nejde, je treba mit na stejnem "segmantu" nejaky dalsi box, na kterem nekdo rozebehne ethereal a pak stravi mladi analyzovanim logu.
5) Podle meho nazoru plati, ze cim jednodussi konfigurace, tim lepe router beha. Ruzne firewally, traffic shapingy a dalsi bazmeky muzou mit hodne neprijemne vedlejsi efekty s dopadem na infrastrukturu.
6) Nevidim zadny duvod, proc ztracet cas s nejakym DNS na uzivatelskych stanicich. Mozna muze mit smysl udelat reverzni DNS pro rozhrani smerovacu, nicmene momentalne bych preferoval dat doporadku statistiky.
7) Nevidim zadny duvod proc monopolizovat infrastrukturu. Napriklad problem Assembler - Zviry mohl byt vyresen prepojenim zpet na dvoubodovy spoj, jehoz jednu pulku jsem mel de facto hotovou. Nicmene jak IOJ, tak Virnik se (az do tohoto vlakna) tvarili, ze je vse OK. A to jsem tu antenu v nedeli sundal ...
__________________
Nemam rad Jestirky (vcetne popiracu Holocaustu a 9/11).
oook: dle Tveho vyjadreni a informaci kterych se ke me od IOJe dostalo (a ze jich bylo opravdu zalostne malo) jsem vyrozumel, ze jsi se na vylepseni spoje AP Prezletice a AP Assembler vykaslal. Vidim ze tomu tak asi nebylo, nicmene s tim uz asi nic neudelam. Mozna ses mel ozvat, antena namirena na Tebe tam porad je. Je sice blbost mezi tremi routery udelat trojuhelnik, ale zkusit jsme to mohli.
v soucasnosti (tj ted, od vcerejsiho odpoledne), jsem nezaznamenal nejaky problem. AP Assembler ma loadnutou tabulku routovani, AP Zviry jej akceptuje jako neighbora, a vse zda se bezi.
ad DNS: osobne jsem toho nazoru, ze DNS i vcetne klientu zcela jiste smysl ma. Nema smysl se o tom dohadovat. oba vime, ze kazdy mame svuj nazor na vec a jeden druheho asi tezko primejeme vnimat veci jinak, alespon v tomto smyslu.
ad sluzby na routerech: V tomto ohledu zalezi na situaci. Opravdu nema smysl na klasickem routeru provozovat slozite shapingy, omezovani spojeni atp, pokud se nejedna o nejaky velmi citlivy a vykonny stroj. Nevim jako HW konfiguraci ma IOJ a kde, ale je pravda, ze se mi jeho omezeni 200spojeni/IP/24h vubec nelibi. Chapal bych, kdyby mel treba 50-100spojeni/IP/s, ale za cely den? Dostalo se ke me, ze slevil a omezeni je uz na tri hodiny. Nicmene, i tak. Za tri hodiny tech spojeni (otevru pet, zavru tri, otevru dve, zavru tri, otevru deset, zavru osm, zavru tri, otevru sest...) nadelam klidne pet set. Jeho tvrdy shape by mozna take byl co k cemu, kdyby zde byla nejaka prioritizace. vim ze bezi QoS u Samaella a na routerech 10.43.0.16,10.43.0.17,10.43.0.18, ale nikde jinde. Proc?
danny: jiste. takhle na to lze taky koukat. je mi jasne, ze konfigurace je konfigurace.A vim ze umysly mohou mit lide ruzne. Nicmene se snazim drzet idealniho uhlu pohledu, coz je trosku slozitejsi, kor kdyz je ten uhel zcela subjektivni. Nicmene z Tveho prizpevku lze vec a Tve vyjadreni chapat dvojznacne. Myslel jsem to totiz tak, proc bych mel fungovat jako generator a vlastni,k, distributor rozsahu, ktery na routeru nemam, do okoli, resp do routovacich tabulek, kdyz toto ma delat pravoplatny vlastnik, tj router, ktery tento rozsah pouziva? Proc to jde vim, netreba vysvetlovat. Bavime se ciste v teoreticke a znacne idealizovane rovine.
__________________
V.I.R.N.I.K: Vigiliant Individual Responsible for Nocturnal Infiltration and Killing
Resistance is, and always has been futile...
ad oook 1) - v pripade vypadku to opravdu otocilo smerovani, ale ay na jeden pripad to koncilo nekde ve vinori, kde se to smerovalo spatne (ale neni to moc objektivni, protoze tech pripadu, kdy spadla spravna linka bylo jen par)
ad oook 2), 3) - 110% souhlas
ad Virnik & pocet spojeni) Opravte me jestli si pletu, ale omezeni je na AKTUALNI pocet otevrenych spojeni (jine nez nasledujici omezeni jsem na prvni pohled nenasel).
Nejhorsi pro OSPF je podle meho pripad, kdy spoj SKORO spadne a projde tak 1 paket ze 100. To si pak OSPF jaxi rozvlni a nez se da dohromady tak se kazdych 120s otoci routovani a to vedek tomu, ze se v podstate nikdy nedomluvi vsechny patricne routery na jednom smeru ...
Verte mi, ze jsem uz behem 5 minut videl minimalne 4 ruzny tracerouty do prahy.
ad oook:
s vetsinou tvych myslenek souhlasim, nicmene se mi nepozdava ta, ve ktere rikas, ze jsme cloud 10.43.0.0/16, a nema smysl (defakto to tak vyznelo) se chovat jako zbytek czf. Mam dojem, ze prave to, ze jsme soucasti czf je smerodatne, a timpadem by se i zde mely dodrzovat pravidla a zvyklosti, jako v sousedicich cloudech (prosim nezamenovat s blbosti "pulmesice" cloudu severo vychod).
ad danny:
Co se filtrovani trafficu tyce, tak na preroutingu a klasickem predavani datagramu nefiltruji nic. filtruji packety tri portu, ktere jsou evidentne a pouze jen zasveceny znamym trojanum windows, a to jen smerem z/do site 10.43.17.0/24. Ostatni nechavam byt.
Co se tyce ospf a firewallu s nim spojenym, toto opatreni zde mam napriklad pro pripady, kdy diky spatnym costam v prezleticich se veskery traffic vinore i radonic odklonil pres AP Vinor prave pres lossici linku do Prezletic, aniz bych musel upravovat konfiguraci ospf. Je to rychle, snadne, a je to hotovo. Navic to, ze je treba kratkodobe pripojit nejakyho jinyho neighbora se mi zda trosku pritazene za vlasy. Co mi ma kdo co kecat do routeru? Myslim to ted tim zpusobem a tou formou, kdy by nekdo bez meho vedomi chtel do czf protlacit svy vlastni routy, pripojit se na muj smerovac bez meho vedomi a souhlasu. Na to nikdo nema pravo, a je slusnym zvykem vzdy ritc, nebo aspon oznamit, ze to hodla udelat, a to s casovym predstihem. Ja pak samozreme, pokud s timto budu souhlasit, takovou komunikaci neighboru povolim, to je vse. Jde jen o ochrannou vrstvu, jednu ze dvou - pro pristup do ospf area. to je vse
co se otazky QoSu tyce, myslim ze to byl Samaell, kdo tu posledne rozebiral QoSeni linky, a dobre si pamatuju, ze tu zminoval nejen on, ale i waskeck ci kdo, ze QoSit muzes jen svuj odchozi traffic. V pripade kdy pujde komunikace obracene, tak uz to stejnak nema smysl, protoze ti na tve rozhrani dana data pritekla, a tak jako tak ti jej zbytecne zatizila. V tomto smyslu by tedy bylo vhodne, aby QoS pouzivaly vsechny smerovace, a p2p tak mely nizsi prioritu nez napriklad ssh, http, atp.
Kdyz uz jsi nakousl otazku omezovani svobody, podle mych informaci je to prave ioj, ktery na svych routerech omezuje vsechno mozne, v tomto pripade komunikaci klientu. Zde zcela jednoznacne a zbytecne dochazi k zalamovani trafficu, misto jeho uprednostnovani dle trid priorit, dochazi zde k castemu zakazu forwardu urcitych portu, atp atp.
Chyby delame kazdy, jak rekl oook. Tomu tvrzeni se nevyhybam, sam jsem si vedom toho, ze jsem jich nekolik taky nasekal. Nicmene aspon se je snazim resit jak je to mozne, a nestalo se, ze bych nechal masinu produkujici do cloudu hovadiny v tomto stavu bezet dele jak jeden, max dva dny. Vetsinou problemy resim okamzite, kdyz jsem doma.
__________________
V.I.R.N.I.K: Vigiliant Individual Responsible for Nocturnal Infiltration and Killing
Resistance is, and always has been futile...