Сегментация! С 24 декабря старые адреса перестают работать!

[Ob-iVan]

Кроме того, остановлен прямой роутинг на файлообменник с новых локальных адресов без поднятого vpn'a: теперь на него можно зайти только с vpn-адресов (т.е. при активном Интернет-подлкючении).

Мне всё ещё не понятно почему обменник должен работать через VPN.
Форум, fileserver.uin - работают через гейтвей нормально.

fileserver.uin работает в таком режиме временно. На одном из следующих этапов он станет доступен точно в таком же режиме, как и файлообменник.
Форум будет доступен постоянно: это информационный ресурс. Нельзя лишать пользователей возможности знать, что происходит в сети, даже если у них заблокирован vpn.

Просто хитрая такая ACL. Теперь не заплатив за сеть не подымешь vpn. Без него не сможешь юзать локалку(файлообменник, фаилсервер, etc).
Как бонус - отсев нелегалов\халявщиков.

Нет, задача отсева с помощью vpn не стоит. В этом просто нет необходимости: можно отсекать "левых" пользователей на межсегментном роутинге - это гораздо менее ресурсоемко, чем грузить vpn-сервер.
Причина чуть другая. Во время тестирования, в котором приняли участие несколько знакомых мне людей (не продвинутые компьютерщики, а самые типичные по уровню владения компом клиенты), они не сговариваясь пришли к тому, что для более быстрой выкачки локальных файлов нужно отключать vpn. В итоге, начав качать файл, они сидели без Инета до тех пор, пока они его не докачают. У меня есть более чем серьезные подозрения, что если бы я разрешил качать без vpn'a, так бы начало качать очень большое количество среднестатистических пользователей сети. А значит, снизились бы продажи Интернета: если человек хочет лазить по Инету, но не может, есть риск того, что к тому времени, когда он докачает локальный файл, он будет смотреть его (если это фильм) или играть (если это игра) и в Интернет уже не пойдет. Поэтому у меня, как у топ-менеджера компании, задача противоположная: здесь так, чтобы в ожидании завершения закачки файла, человек лазил по Инету. Именно поэтому схема работы организована так, чтобы во время закачки файлов с файлообменника Инет гарантированно был, и у человека была возможность им пользоваться.
Ничего личного, просто маркетинг

Начало второго подэтапа, назовем его 2b, запланировано на субботу, 17 декабря.
На подэтапе 2b будет отключен межсегментный роутинг для "не занятых" IP-адресов, которые, как я уже писал выше, любят присваивать себе некоторые пользователи. Если эти люди не исправят свои адреса до субботы, у них не будет работать ничего, включая Интернет. Поэтому советую не откладывать этот процесс.

Всякие 10.10.10.1 - тоже среди них?

Нет, хосты типа 10.10.10.1 - это более тяжелый случай. Называется он: "человек поставил роутер, но забыл запретить доступ к нему извне".

Отсекаться на этапе 2b будут чуть другие клиенты.
Например, человек получил адрес 192.168.6.66. На сервере зарегистрировали его mac. Потому он решил сменил сетевуху или комп, и у него появился другой mac. Самый правильный и легкий путь - позвонить в офис и попросить перерегистрировать mac. Но этот человек не ищет легких путей. Он выбирает первый попавшейся свободный адрес в сети, например, 192.168.0.13, и прописывает его себе. Так как на сервере mac'и на неиспользуемых адресах не прописаны, а маршрутизация такие пакеты пропускает, то у клиента этот левый адрес будет работать под произвольным mac'ом. До этой субботы, 17 декабря.
В субботу роутинг отсутствующих в базе ip-адресов будет отключен.

P.S.: Для "исследователей" работы сети, как я и обещал, началось более интересное время. Сегодня в топологии сети начали проявлять себя первые характерные признаки использования новых технологий. Физического сегмента "0" уже не существует, он полностью виртуализирован, и эмулируется на базе четырех реальных сегментов. Как это выглядит, и насколько правдоподобно смотрится виртуальный "ноль первый" в каждом сегменте - смотрите сами. На мой взгляд, совместимость со старыми настройками в части подключения к Интернету - весьма высокА.

Эмм... Под старыми настройками подразумевается, что VPN сервер не сменил свой IP адресс?

Под старыми настройками подразумевается то, что люди, не перешедшие на новые адреса (т.е. не изменившие в настойках вообще ничего), будут по-прежнему видеть шлюз 192.168.0.1 и смогут пользоваться как минимум Интернетом и форумом до завершения второго этапа сегментации.

Теперь у нас эмулируется сегмент, в котором "находится" сервер, который эмулирует другую сеть, из которой есть доступ в интернет и на обменник.

На самом деле в каждом сегменте просто создается виртуальный 192.168.0.1. В итоге, пользователь со старым адресом, находящейся в любом сегменте, сможет видеть свой сегмент так, как будто это его старая сеть, просто в четыре раза меньшая, и "ноль первый" из нее никуда не делся. Естественно, пользователей других сегментов и три других виртуальных "ноль первых" он видеть не может, так как они находятся за пределами его нового сузившегося мира, поэтому никаких конфликтов адресов не возникает. Но в Инет и на форум через свой "ноль первый" он может лазить без проблем. Пока не начнется третий этап сегментации, разумеется.

P.S. Может, всё-таки, раскроете эти секретные "новые технологии" и что именно они дают (ну помимо увеличения скорости за счёт каких-тотам раздельных очередей). Как разработчик, я очень скептически отношусь к таким выражениям.

Что они дают?
Они дают возможность не ставить четыре отдельных сервера с адресом 192.168.0.1 для каждого сегмента (потому что прописать четыре одинаковых адреса 192.168.0.1 на четырех разных интерфейсах одного и того же сервера - это слишком авангардно даже для меня). На самом деле, для 0.1 вообще не создается ни одного дополнительного физического интерфейса. Он реализуется средствами "умных" свитчей, а не серверов. В реальности его нет. Вот и вся технология.
А вот как это воплощено в железе - это уже мое know-how.

Это при том что осталась абонка, и первые -30 грн..

А при чем тут абонка?
Файлсервер, файлообменник, форум, почтовый сервер - бесплатные ресурсы, доступ к которым в абонку не входят, и к абонке или стоимости Интернета не имеет никакого отношения.

[Ob-iVan]

Господа!
Просьба к тем, кто уже перешел на новый адрес.
Попробуйте вечером в час пик в двух различных окнах одновременно попинговать ваш новый шлюз по умолчанию и адрес 192.168.0.1 длинными сериями (по несколько тысяч пингов), желательно использовать пакеты по 1472 байта. Меня интересует, насколько хуже 0.1 пингуется по сравнению с вашим шлюзом (по среднему времени задержек и по общему количеству потерь).
По идее, они должны пинговаться почти одинаково, но вот уже второй человек говорит мне, что это не так.
Поэтому хочется узнать, у всех ли проявляется этот эффект, и попробовать найти закономерности его проявления.

[AlekseyK]

Господа!
Просьба к тем, кто уже перешел на новый адрес.
Попробуйте вечером в час пик в двух различных окнах одновременно попинговать ваш новый шлюз по умолчанию и адрес 192.168.0.1 длинными сериями (по несколько тысяч пингов), желательно использовать пакеты по 1472 байта. Меня интересует, насколько хуже 0.1 пингуется по сравнению с вашим шлюзом (по среднему времени задержек и по общему количеству потерь).
По идее, они должны пинговаться почти одинаково, но вот уже второй человек говорит мне, что это не так.
Поэтому хочется узнать, у всех ли проявляется этот эффект, и попробовать найти закономерности его проявления.

Попробовал пинговать, разница сильно заметна:
ping -t 192.168.0.1 -l 1472

Код: Выделить всё

 
Ответ от 192.168.56.1: число байт=1472 время<1мс TTL=222
Ответ от 192.168.56.1: число байт=1472 время<1мс TTL=222
Ответ от 192.168.56.1: число байт=1472 время<1мс TTL=222
Ответ от 192.168.56.1: число байт=1472 время<1мс TTL=222
Ответ от 192.168.56.1: число байт=1472 время<1мс TTL=222
И т.д
Статистика Ping для 192.168.56.1:
    Пакетов: отправлено = 308, получено = 308, потеряно = 0
    (0% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек

и ping -t 192.168.56.1 -l 1472

Код: Выделить всё

Ответ от 192.168.0.1: число байт=1472 время=5мс TTL=63
Ответ от 192.168.0.1: число байт=1472 время=3мс TTL=63
Ответ от 192.168.0.1: число байт=1472 время=9мс TTL=63
Ответ от 192.168.0.1: число байт=1472 время=3мс TTL=63
Ответ от 192.168.0.1: число байт=1472 время=5мс TTL=63
Ответ от 192.168.0.1: число байт=1472 время=4мс TTL=63
 и.т.д
Статистика Ping для 192.168.0.1:
    Пакетов: отправлено = 339, получено = 339, потеряно = 0
    (0% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 3мсек, Максимальное = 13 мсек, Среднее = 3 мсек

[SPAWN]

----

[AlekseyK]

Извените немного ошибся (у меня на компе у virtualbox внутренний интерфейс имеет ip 192.168.56.1
После его отключения картина такая:
ping -t 192.168.56.1 -l 1472

Код: Выделить всё

  Ответ от 192.168.56.1: число байт=1472 время=3мс TTL=63
Ответ от 192.168.56.1: число байт=1472 время=3мс TTL=63
Ответ от 192.168.56.1: число байт=1472 время=3мс TTL=63
Ответ от 192.168.56.1: число байт=1472 время=3мс TTL=63

Статистика Ping для 192.168.56.1:
    Пакетов: отправлено = 15, получено = 15, потеряно = 0
    (0% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 3мсек, Максимальное = 4 мсек, Среднее = 3 мсек

и ping -t 192.168.0.1 -l 1472

Код: Выделить всё

    Ответ от 192.168.0.1: число байт=1472 время=5мс TTL=63
    Ответ от 192.168.0.1: число байт=1472 время=3мс TTL=63
    Ответ от 192.168.0.1: число байт=1472 время=9мс TTL=63
    Ответ от 192.168.0.1: число байт=1472 время=3мс TTL=63
    Ответ от 192.168.0.1: число байт=1472 время=5мс TTL=63
    Ответ от 192.168.0.1: число байт=1472 время=4мс TTL=63
    и.т.д
    Статистика Ping для 192.168.0.1:
        Пакетов: отправлено = 339, получено = 339, потеряно = 0
        (0% потерь)
    Приблизительное время приема-передачи в мс:
        Минимальное = 3мсек, Максимальное = 13 мсек, Среднее = 3 мсек

[ony]

ping -c 100 -s 1472 192.168.xxx.1

Код: Выделить всё

--- 192.168.0.1 ping statistics ---
100 packets transmitted, 100 packets received, 0% packet loss
round-trip min/avg/max = 0.915/1.012/1.946 ms
--- 192.168.40.1 ping statistics ---
100 packets transmitted, 100 packets received, 0% packet loss
round-trip min/avg/max = 0.882/1.027/2.147 ms

Что они дают?
Они дают возможность не ставить четыре отдельных сервера с адресом 192.168.0.1 для каждого сегмента (потому что прописать четыре одинаковых адреса 192.168.0.1 на четырех разных интерфейсах одного и того же сервера - это слишком авангардно даже для меня). На самом деле, для 0.1 вообще не создается ни одного дополнительного физического интерфейса. Он реализуется средствами "умных" свитчей, а не серверов. В реальности его нет. Вот и вся технология.

Эээ... Ничего не понял. Зачем 4 сервера? Нужно просто либо L2 свитчики заставить отправлять в сторону одного 0.1 или же 0.1 представить во всех сегментах.
Машина которая видна в нескольких сегментах - это обычное дело и все gateway, обычно так выглядят.
Что бы завести виртуалные сегменты через один интерфейс - тоже не проблема (нужно правильно пометить порт, что бы он не фильтровал и не снимал метку).
Завести реальные сегменты (физически разделённые) - тоже просто используя свитчик с VLAN'ами, где каждый порт в сторону какого-то сегмента - со своим VLAN'ом. Так задача аналогична предыдущей.
Иметь на машине с одним интерфейсом - кучу других уровнем выше (например по IP) - тоже не ново.
А вот полное отсутсвие 0.1-го - это уже что-то непонятное. Кто же тогда VPN обслуживает?...

А вот как это воплощено в железе - это уже мое know-how.

Та до самого "воплощения" - мне ещё очень далеко. Я пока, даже, не могу понять в чём проблема была.
Иметь 4 отедльных сервера никто не заставляет, но маршрутизация между сегментами через центральную точку вызывает сомнения в оптимальности такого варианта.

Причина чуть другая. Во время тестирования, в котором приняли участие несколько знакомых мне людей (не продвинутые компьютерщики, а самые типичные по уровню владения компом клиенты), они не сговариваясь пришли к тому, что для более быстрой выкачки локальных файлов нужно отключать vpn. В итоге, начав качать файл, они сидели без Инета до тех пор, пока они его не докачают. У меня есть более чем серьезные подозрения, что если бы я разрешил качать без vpn'a, так бы начало качать очень большое количество среднестатистических пользователей сети. А значит, снизились бы продажи Интернета: если человек хочет лазить по Инету, но не может, есть риск того, что к тому времени, когда он докачает локальный файл, он будет смотреть его (если это фильм) или играть (если это игра) и в Интернет уже не пойдет. Поэтому у меня, как у топ-менеджера компании, задача противоположная: здесь так, чтобы в ожидании завершения закачки файла, человек лазил по Инету. Именно поэтому схема работы организована так, чтобы во время закачки файлов с файлообменника Инет гарантированно был, и у человека была возможность им пользоваться.
Ничего личного, просто маркетинг

т.е. ради получения денег с инета и отказом от правильных маршрутов - все под одну гребёнку будут иметь доступ к обменнику только через VPN.
А, ведь, из этого уравнения можно было выбрать другой вариант: автоматические маршруты. Добавление GRE заголовка к каждому пакету, дополнительная организация перепосылок, congestion, порядка и пр. - оказалось более рационально, видимо.

[ony]

Хотя... Вот подумал о том, что у многих, сейчас наверное, дома стоят маршрутизаторы и организовать автоматическую настройку для них - уже не так просто как для нормальных компов.

[Ob-iVan]

Что они дают?
Они дают возможность не ставить четыре отдельных сервера с адресом 192.168.0.1 для каждого сегмента (потому что прописать четыре одинаковых адреса 192.168.0.1 на четырех разных интерфейсах одного и того же сервера - это слишком авангардно даже для меня). На самом деле, для 0.1 вообще не создается ни одного дополнительного физического интерфейса. Он реализуется средствами "умных" свитчей, а не серверов. В реальности его нет. Вот и вся технология.

Эээ... Ничего не понял. Зачем 4 сервера? Нужно просто либо L2 свитчики заставить отправлять в сторону одного 0.1

В целом логично, но вопрос в том, как заставить L2 свитчи выделять пакеты для 0.1, если для маршрутизации пакетов по IP нужен L3. А для маршрутизаци от 0.1 к клиентам даже L3-свитчу не так-то просто придется, учитывая что хосты в адресном диапазоне 192.168.0.0/21 распределены без какой-либо системной зависимости адрес<->сегмент, поэтому свитч должен знать полную таблицу распределения хостов по сегментам.

или же 0.1 представить во всех сегментах.

Сегменты физически разделены. Придется представлять четыре разных интерфейса с адресом 0.1.

Машина которая видна в нескольких сегментах - это обычное дело и все gateway, обычно так выглядят.

Видна на разных интерфейсах одним и тем же адресом? Обычное дело? И как же она потом решает, какой пакет на какой интерфейс отправлять, если адресный диапазон одинаков для нескольких интерфейсов?
На самом деле, принимающих интерфейсов для одной подсети может быть сколь угодно много, но отправляющим должен быть только один. Исключение - бриджи, но у них есть свои проблемы.

Что бы завести виртуалные сегменты через один интерфейс - тоже не проблема (нужно правильно пометить порт, что бы он не фильтровал и не снимал метку).
Завести реальные сегменты (физически разделённые) - тоже просто используя свитчик с VLAN'ами, где каждый порт в сторону какого-то сегмента - со своим VLAN'ом. Так задача аналогична предыдущей.

Как я уже писал выше, завести - не проблема. И метку при этом можно не потерять на нижних уровнях. Но на уровне приложений от этой метки уже ничего не останется. И когда приложение сформирует и спустит вниз по стеку ответный пакет, он уже никаких меток иметь не будет. Это будет просто непомеченный пакет, в отношении которого необходимо будет принять решение, куда его отправлять. Не говоря уже о пакетах, пришедших из других подсетей, которые по-определению не могут иметь метку принадлежности получателя в адресном диапазоне 192.168.0.0/21 к конкретному физическому сегменту.

А вот полное отсутсвие 0.1-го - это уже что-то непонятное. Кто же тогда VPN обслуживает?...

Где я написал, что его нет?
Я сказал, что отдельного физического интерфейса у него нет. А виртуальный интерфейс, на который маршрутизируются пакеты из физических сегментов и на котором их принимают приложения - конечно есть.

Иметь 4 отедльных сервера никто не заставляет, но маршрутизация между сегментами через центральную точку вызывает сомнения в оптимальности такого варианта.

А чем плох этот вариант, если логическая топология при этом совпадает с физической?
На самом деле, в сети есть дополнительные точки соединения сегментов, но они работают исключительно как резервные, т.е. как средство связи сегмента с центральной точкой с использованием физических магистралей другого сегмента в случае потери прямой связи сегмента и центральной точки. Иногда эта фишка очень выручает.

т.е. ради получения денег с инета и отказом от правильных маршрутов - все под одну гребёнку будут иметь доступ к обменнику только через VPN.

Вся сеть живет за счет этих самых денег. Если их будет мало - сеть зачахнет и никаких бесплатных ресурсов вообще не будет. Неужели маршрутизация через vpn - такая большая цена за возможность иметь кучу сервисов нашару?

А, ведь, из этого уравнения можно было выбрать другой вариант: автоматические маршруты.

Почему такой вариант выбрать нельзя, я в этой теме уже писал.

[GUN]

А шо делать тем хто не успел поменять IP настройки?

[Ob-iVan]

А шо делать тем хто не успел поменять IP настройки?

Просто взять и поменять сейчас.