klink0v (klink0v) wrote,
klink0v
klink0v

Про NetByNet

Этот NetByNet такой NetByNet...

В отдельных районах Нерезиновой он, в принципе, работает достаточно неплохо. Скажем, в Зеленограде у одной из наших сотрудниц первая неполадка случилась только спустя два года с момента подключения к этому провайдеру. До тех пор всё шуршало без сучка и задоринки, только оплачивать не забывай. Но вот зато когда поломалось...

Нет, починили они всё тоже достаточно оперативно, существенных претензий к ним нет. Только вот есть у них одна очень мерзкая особенность. Если ты подключаешь к их сети другое устройство (с другим MAC-адресом), то интернет не включится до тех пор, пока ты не зайдешь на специальную страничку и не введешь туда логин-пароль от личного кабинета. Это достаточно сделать один раз после изменения MAC-адреса. Более того, на эту страничку даже сделают принудительный редирект а-ля "captive portal". И всё бы ничего, но...

Представьте себе ситуацию. Есть сотрудник, который работает из дома. Так называемый "надомник". Ему выдаётся ноутбук, IP-телефон, деньги на оплату интернета - и вперёд. Для получения доступа к корпоративным ресурсам используется маршрутизатор а-ля Mikrotik или OpenWRT, который умеет держать OpenVPN-соединение с центральным офисом и/или датацентром. Каждому такому удалённому "островку" назначается внутренняя маленькая серая сеточка с префиксом "/28" или "/29", настраивается маршрутизация, а на "выносном" роутере поднимается DHCP Relay. Таким образом, ноутбук надомника получает IP напрямую с "центрального" DHCP-сервера, прописывается в AD-шные DNS-ы, что упрощает администрирование и техподдержку.

Однако у такой красивой схемы есть один существенный недостаток. Канал связи между роутером и офисом должен подниматься до того, как в сеть включатся "надомный" ноутбук и прочие клиенты в виде IP-телефонов. А для этого должен быть доступен интернет.

А теперь самое интересное.

NetByNet упал. Сотрудник-надомник звонит в техподдержку. Там, разумеется, сразу требуют выдернуть Ethernet-шланг из маршрутизатора и воткнуть его напрямую в ноутбук. Клиент слушается. Техподдержка признаёт, что это косяк на стороне провайдера. Исправляют неполадку. Интернет работает. Но VPN-канала нет, потому что прямо сейчас uplink включен не в роутер, а напрямую в компьютер.

Дальше человек пытается переткнуть провод в роутер. Последний благополучно получает от провайдера IP-адрес, но доступа в интернет он не имеет из соображений "безопасности" (см. выше). Соответственно, он не может выдать внутренний серый IP для ноутбука, т.к. недоступен корпоративный DHCP-сервер. А значит пользователь чисто технически не может открыть пресловутую веб-страничку, чтобы ввести там свой логин и пароль от личного кабинета. Упс!

И это было бы ещё полбеды. В конце концов, можно раздавать надомнику внутренние IP напрямую с выносного роутера, без DHCP Relay. Но ему же ж для работы, блин, нужны внутренние DNS. Если отдавать клиенту провайдерские DNS, то он не "увидит" корпоративных ресурсов. А если выдать внутренние DNS, то не сработает редирект на провайдерский captive portal, где нужно подтвердить свои учётные данные для доступа в интернет.

При этом, когда такая засада впервые обнаружилась, я попробовал зайти в личный кабинет надомного сотрудника "снаружи" (то есть из офиса) и принудительно вписать там руками в соответствующее поле MAC-адрес выносного роутера (он мне был заранее известен). Результат - хрен. Попробовал позвонить в техподдержку и попросить разблокировать интернет для данного абонента. Результат - хрен. Пришлось переться ногами к этому бедолаге и заводить ему интернет, на что с учётом дороги ушло четыре часа, то есть половина рабочего дня...

Вот такой вот дрянью оказался на поверку этот ваш NetByNet. Наверное, для домашнего применения он и неплох. Но вот в ситуации, когда к нему надо подключить неопытного юзверя и удалённо его саппортить - совершенно неприменим.

Tags: провайдеры, телекомы
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 13 comments