Cat-angry

А у мегафна хороший DPI, блин

Я тут с некоторых пор пользуюсь мобильным интернетом от Мегафна. И обнаружил крайне неприятную штуку. У него (у Мегафна) очень хороший DPI (Deep Packet Inspection). На практике это выглядит следующим образом.

Все мы любим один запрещенный известно где мессенджер. Понятно, что это не является особой проблемой. Socks5-прокси, и фпирёд. До сих пор я горя не знал. Пока пользовался мобильным интернетом от Tele2, всё было хорошо. Домашний интернет имени Virgin Connect тоже работал "как надо" (насколько я знаю, они используют Билайновский DPI). Но как только я перешел на мобильный интернет имени Мегафона, этот самый мессенджер работать перестал.

Конечно же, долбанутым нет покоя из спортивного интереса я снял дампы трафика с двух сторон: на телефоне и на сервере. Увидел забавную картину. Сам по себе протокол Socks5 не является шифрованным. То есть, всё передаётся в открытом виде. Клиент прекрасно коннектится, авторизуется, а дальше передает на Socks-сервер команду "Connect, Remote Address: 149.154.167.51". И вот тут-то этот пакетик замечает мегафоновский DPI. После чего моментально разрывает TCP-сессию между клиентом и Socks-сервером. Ответ от сервера до клиента уже не доходит.

Забавно, если переключиться на Tele2, работоспособность восстанавливается. Даже Гарс-Телеком, который есть суть всё тот же Мегафон, не доставляет хлопот. А вот этот зелёненький, поди ж ты, весьма рьяно исполняет сука-законодательство.

Так что Socks, увы, уже не канает. Понятно как решать, но говорить об этом вслух мы не будем.

Leopard

Дед Сергеич был неправ (опровержения псто)

Не люблю такое. Но истина дороже. Вынужден расписаться в собственной ошибке касаемо вот этого поста с Билайновским DHCP-сервером. Вот, публикую опровержение (по собственной воле).

На самом деле проблемы, описанной в том посте, у Билайна нет. Просто я "поверил на слово" своему товарищу. Он тоже ITшник, но опыта работы с iproute2 и multihome-системами у него явно маловато. Это не у провайдера отсутствовал маршрут до "85.249.40.1", а у самого абонента. После того, как этот господин под моим руководством прописал пару статических маршрутов, всё заработало как надо.

А беда там была в том, что у клиента подключены два разных Ethernet-провайдера. Он назначил в качестве Default Gateway Онлайм, а Билайновские сетки себе в таблицу main не прописал. Всё оказалось куда проще: DHCP-клиент шёл на Билайновский сервер "снаружи" (через M9-IX) и совершенно закономерно ничего оттуда не мог утянуть. Как мы, блин, удивлены.

Что ж, в другой раз буду всё проверять лично. И не верить на слово, даже если давно знаю человека, и он давно ITшник. Приношу всем свои извинения, в том числе за дезинформацию, в том числе и Билайну.

Lynx

Шалость удалась

... Немного пошантажировал Meгaфнo животворящим MNP. Взамен получил от него тариф на 1000 минут, 300 SMS и безлимитный интернет с возможностью раздачи (вся Россия) всего за 200 рублей в месяц. Красота! Надо было, блин, раньше так сделать. Но я всё чё-та боялся. Немного потестирую как оно, после чего выкину Tele2-шную SIMку за ненадобностью. Так что уйду наконец-таки от схемы "одна симка чтоб мне звонили, одна чтоб самому звонить" и буду теперь набирать всем со своего основного "красивого" номера. А в качестве резерва на случай внезапного тотального факапа оператора остаётся "Смарт для своих" в планшете. С которого можно звонить через "MTС Кoннeкт", если сильно прижмёт.

... Ебонентам пчелайна немного условной халявы подвалило. Ви-фи в метро Нерезиновска без первоначальной рекламы при подключении. Уж не знаю насколько оно вам надо, но вот.

... Чё-то подумал. Вот у Tеlе-ква в Москвабаде нет 2G. Дык это, скорее, конкурентное преимущество. Потому что в относительно старых смартфонах (уровня Xiaomi 3X и ниже) его SIMку просто не сделаешь резервной: она не будет работать. Хочешь — не хочешь, а интернет всё равно придётся "тянуть" именно с неё.

... Думал сделать красивую схему. Дома стоит роутер с OpenWRT, на нём Asterisk с chan_dongle. В модеме SIMка имени Dаnyсоm. На неё навесить форвард звонков и SMSок от банков через SIP / XMPP, плюс резерный линк для мониторинга и диагностики на случай падения основного Ethernet-канала в интернет. Но есть один момент, который меня сильно смущает. Этот ОПСОС, во-первых, виртуальный, а во-вторых, с головным офисом в Краснодаре. Учитывая некие особенности региона и менталитет его жителей, чё-то мне уже кажется не особо разумной идея доверить такому оператору терминацию довольно чувствительных информационных потоков. Ну то есть интернет — фиг бы с ним, но вот SMS-ки от банков... А вы как думаете?

... Когда уже в мобильники начнут встраивать а-ля eToken-ы и/или защищённые OTP-генераторы? Неужели никому до сих пор такая идея в голову не пришла? Или просто спроса нет?

Всем дешёвой и надёжной связи.

Cat-light

ClickHouse в VZ-контейнере...

... почему-то не работает.

Установил. Гоняю на нём серию "тяжелых" запросов. С каждым новым запросом ClickHouse "отъедает" (аллоцирует) оперативную память и не возвращает её взад. После Nной итерации оный прибивается OOM-киллером и вываливает в лог кучу ошибок о том, что ему не удалось зохавать очередные 128 мегабайт на свои нужды.

Перенёс всё на KVM-виртуалку. Та же весия софта, такая же ОС, окружение, конфиги, переменные ядра. Всё взлетело вообще без проблем и шаманств.

Странно. В докере ClickHouse вполне себе нормально работает. Народ пишет, что на OpenVZ-хостингах тоже достаточно успешно его пускает. А у меня вот в VZ-контейнере (Virtuozzo) такие вот странные грабли обнаружились.

Это понятно, что контейнеры — зло. Но всё равно интересно почему так происходит.

... Всех с очередным странным маркетолухичесим событием. Репетируем перед половыми праздниками...

Death

Мимолётная мысль #46

Когда уже 10 цифр российского телефонного номера перестанут быть чем-то сакральным, и каждому гражданину для связи выделят идентификатор наподобие IPv6? Так, чтобы одна половина была бы "обязательной", а вторую можно случайным образом выбирать и назначать какую хочешь, а потом передавать кому угодно по своему усмотрению. Назовём эту штуку из моих влажных фантазий "убер-номером" (надо же её как-то назвать).

Тогда можно было бы разным людям и организациям сообщать различные убер-номера. Попутно запоминать кому какой дал. И если какая-нибудь $*к@ "сольёт" твой убер-номер в спам-листы, маркетиновые базы, продаст "налево" и т.п., то:


  1. ты точно будешь знать кто это сделал;

  2. можно со спокойной совестью забанить только этот убер-номер, и это никак не затронет остальных твоих респондентов.

Скажете, неудобно диктовать друг-другу и набирать. Во-первых, сейчас всё равно все используют записные книжки (ну давайте, назовите наизусть номер телефона своего лучшего друга, например). Во-вторых, обмениваться номерами можно через bluetooth / QR-коды / Wi-Fi / соцсети / электропочту и т.д. В-третьих, ничто не мешает создать сервис, который будет генерировать временную "короткую ссылку" на убер-номер (а-ля Twitter Link Service).

Купил, блин, на позапрошлой неделе одну штуковину в интернет магазине. Дык за эту неделю мне позвонили из трёх (!) разных организаций со всякими "весьма интересными финансовыми предложениями". Причём, из таких, о которых я вообще в первый раз услышал. Явно же этот гадский интернет-магазин продал кому-то мои персданные. Только доказать я это никак не могу.

А все эти законы о защите персональных данных только увеличивают количество мараемой бумаги, и всё. Как сливали контакты, так сливают, и будут сливать.

Только телефония — отрасль крайне инертная и неповоротливая. Вряд ли именно я до такого счастья когда-нибудь доживу...

Cat-light

Быдлайн networks™

Немного голой теории. Как работает протокол DHCPv4. Если совсем "на пальцах".


  1. Изначально какой-нибудь свежеподключившийся к какой-нибудь сети хост (клиент) не имеет никакого IP-адреса.

  2. Он посывает широковещательный UDP-пакет на IP "255.255.255.255" с просьбой "эй, сконфигурите меня кто-нибудь пожалуйста". Это называется "DHCP Discover".

  3. Кто-нибудь добрый ему отвечает "ну вот можешь взять себе IP-адрес 1.2.3.4, ежели хочешь". Это называется "DHCP Offer".

  4. Клиент на всякий случай ещё раз спрашивает "чо, внатуре я могу себе присвоить адрес 1.2.3.4"? Это называется "DHCP Request".

  5. И тот же самый добрый дядюшка Эх из пункта 3 ему талдычит "да бери, бери уже". Это называется "DHCP Ack".

  6. Клиент наконец-то назначает себе на интерфейс адрес "1.2.3.4", долго радуется, а попутно запоминает также IP-адрес доброго дядюшки Эха (он же DHCP-сервер), который столь любезно отсыпал от своих щедрот (то есть из DHCP Pool) целый настоящий адрес.

Всё вышеописанное безобразие осуществляется Broadcast-запросами и такими же Broadcast-ответами. Чтоб, значит, слышали все вокруг. Примерно как молодожёны на свадьбе гудят из всех автомобилей: "Эй, смотрите все, мы трахаться едем!"

Потом начинаются серые трудовыЕбудни. А добрый Эх выдал адрес не навсегда, а на какое-то время. И по прошествии половины этого срока клиент должен обязательно снова поинтересоваться, а в силе ли ещё оное щедрое предложение, то есть аренда адреса (Lease). Не протухла ли. Но в этот раз он делает это уже тихонько, "на ушко" дядюшке Эху. То есть обычным unicast-пакетом. Адресно, прицельно "от Юстаса Алексу" повторяются пункты 4 и 5. И если DHCP-сервер одобряет, то аренда IP-адреса продлевается на новый срок. Вся эта процедура подробно описана в RFC.

Это было лирическое введение. Теперь продолжение.

Update. Дальше написан бред. В смысле, неправда. Вынужден это признать.

Есть такой провайдер: домашний интернет от "Билайн". У него есть тяжкое наследие в виде давно почившего в бозе L2TP (помните такой протокол?). Только вот выкорчевали они его не до конца. Во всяком случае, ничем другим объяснить наблюдаемый феномен я не могу. Тем более, что он прекрасно известен и тянется ажно с 2011-го года. Суть в следующем.

Не знаю как ведёт себя винда, проверить не могу. А вот ISC DHCP клиент, который строго следует букве RFC, просто не может продлить аренду. Никогда. От слова "совсем". То есть изначально Offer он получает, видит в его составе dhcp-server-identifier = "85.249.40.1". Честно пытается потом на этот адрес слать DHCP Request-ы на тему продления аренды. И неизменное молчание остаётся ему ответом.

Что происходит дальше? Аренда, естественно, через Nное время "протухает". Клиент снова запрашивает на этот раз уже "DHCP Discovery" при помощи широковещательного запроса (broadcast-ом), заново получает IP-адрес и даже благополучно работает себе дальше. Но... на короткий промежуток времени IP-адрес с интерфейса всё-таки "слетает". А вместе с ним "слетают" и все записи в таблицах маршрутизации, в которых так или иначе оный фигурировал. Последствия... ну, самые разные. От "пользователь ничего не заметил" до "какого хрена я не могу достучаться до своего компа", в зависимости от конфигурации в каждом конкретном случае.

Самое противное, что на профильных форумах провайдера этот вопрос обсасывается уже чёрти сколько. С момента обнаружения этого бага прошло уже минимум восемь (!) лет, а хрен и ныне там. И таки знаете как народ выкручивается из ситуации? А вот так.

Кобздец, блин. XXI век на дворе...

Нет, Билайн — это не провайдер. Это презерватив: никакого удовольствия, но всё равно пользуешься. У кого тоже домашний интернет от Быдлайн™, имейте в виду.

Update. Выше написан бред. В смысле, неправда. На самом деле такой проблемы нет.

Cat-light

Бессвязного дыбра псто #53

... Интересно, почему меня так бесят мужички в синих деловых костюмчиках с галстуками? Вот как увижу случайно где-нибудь на улице такого, так сразу хочется ему в щачло с ноги прописать. Не знаю откуда у меня это. Понятно, что я культурный человек и могу держать себя в руках. Да и уголовный кодекс чту. Но всё равно вот бесят они меня одним своим видом, и всё тут. Наверное, мне пора к психиатру.

Collapse )
Cat-light

ОколоITшный дыбр #5

... Давненько не постил в ЖЖ. Работой накрыло. Аж не могу вечером до компа добраться. То дико устаю, то ещё что-нибудь.

... Отгадка к загадке из предыдущего псто. Если кто ещё не подсмотрел в педивикии, то этот MVNO называется "Глонасс". Его SIM-ка встроена в каждый автомобиль, выпущенный в обращение с 1 января 2017-го года, коих сейчас насчитывается несколько миллионов. Но просто пойти куда-нибудь и напрямую заключить контракт на обслуживание с этим оператором нельзя. Тем не менее, технически он является именно MVNO. Работает на сетях "большой тройки".

Collapse )