?

Log in

No account? Create an account
Cat-light

klink0v


Блохи в свитере деда Сергеича


Про AddPac
Cat-light
klink0v

Не так давно я плевался от продукции имени GrandStream. Взял на-потестировать аналогичное устройство от производителя AddPac. Оказалось ещё хуже, чем Grandstream. И одновременно дороже. Так что AddPac тоже в газенваген.

Блин, в этом мире вообще существуют нормальные SIP-конвертеры? После снятия с производства памятного Linksys PAP2T ничего хорошего вообще ни разу не попадалось.


Про новый год
Cat-dark
klink0v

Ненавижу.

Не, ну правда ненавижу. Все сходят с ума. Бегают, суетятся. Покупают жратву тоннами, подарки на килобаксы. В магазинах толпы, в банках толпы, в метро толпы, в электричках толпы, на дорогах пробки. А потом на 10 дней происходит тотальный массовый алкозаплыв и всё вымирает. Город как после ядерной войны. Ничего не работает. Никуда не сходить, ничего не купить. Тьфу!

И "до кучи" РЖД затеяла реконструкцию на ленинградском вокзале аккурат с 21 декабря. Кучу электричек отменили, остальные перенесли. Народ ничего не понимает, уехать не может, в вагонах давка, адЪ, треш и пьяный угар. И вот спрашивается, что мешало подождать две недельки? В период массового алковымирания можно хоть все электрички отменять, никто не заметит. Дык нет же ж, надо именно к новому году.

И спрашивается, что такого магического в этих цифрах "01.01"? Почему русский человек их так любит? Типа, "начать с чистого листа"? Подведение итогов? Попраздновать? И чего праздновать? Экономика в заднице, политики нет, общество деградирует, куда катимся — непонятно. И почему нужно с таким размахом праздновать именно новый год, а не день врача или, скажем, яблоневый спас? Непонятно.

Если бы я был законотворцем, я бы все эти праздники отменил к ядрене фене. И увеличил бы оплачиваемый отпуск на суммарную величину продолжительности отменённых праздников. Нехай каждый сам выбирает когда ему лучше отдохнуть. И сам отмечает хоть день рождения Ктулху, хоть день смерти Гитлера. А пока что, блин, приходится подстраиваться под общий маразм, чтоб его.

[Иллюстрация]


Про OpenVPN в Mikrotik
Cat-light
klink0v

Немного про особенности OpenVPN-строения в Mikrotik-ах и прочих RouterBoard.


  1. Mikrotik плевать хотел на сроки валидности X509-сертификатов. Если оный даже и протух, никто ничего не заметит.

  2. Если пытаться делать из Mikrotik-а OpenVPN-сервер, то про CRL (списки отзыва сертификатов) можно забыть.

  3. Поддержку OpenVPN поверх UDP в микротиках так и не сделали, хоть и обещают уже очень давно.

  4. Mikrotik плевать хотел на параметр "Keep-Alive". Поэтому если с другой стороны такая настройка присутствует, то тоннель будет постоянно разваливаться. В качестве костыля aka "workaround" на микротике можно задействовать Netwatch в сторону внутреннего ip-адреса сервера.

  5. Если параметры тоннеля (внутренний ip, маршруты) спускаются на микротик с сервера, то вопреки документации в директиве "ifconfig-push" вторым параметром нужно указывать внутренний IP-адрес сервера, а вовсе не маску подсети. Причем, это справедливо как для режима "topology 252", так и для режима "topology subnet". Баг это или фича — непонятно.

И ещё два камня в огород микротиков.


  • Если мы организуем на его базе IPSec-тоннель поверх достаточно шустрого линка (например, 100 МБит/с), то с ростом скорости передачи данных растёт и загрузка процессора Mikrotik-а. И когда она достигнет некоторой величины, тоннель развалится. Загрузка процессора упадёт, через какое-то время тоннель восстановится. После чего цикл повторится.

  • Не существует никакого относительно простого способа корректно клонировать типовую конфигурацию с одного микротика на другой. Потому что бинарный бэкап содержит в себе привязку к железкам (в частности, MAC-адресам). А в текстовые скрипты некоторая информация не экспортируется (например, корневые X509-сертификаты). А то, что экспортируется, потом очень тяжело импортировать: при малейшем чихе импорт вываливается с ошибкой и процедура аварийно завершается "на полпути".

  • Невозможно сделать Split DNS: одни зоны форвардить на одни сервера, другие — на другие. Это представляет собой реальную попа-боль, если в организации имеются Windows-домены и удалённые филиалы/офисы.

В-общем, как бы там производитель себя не бил пяткой в грудь, предлагаемые им решения никаким боком нельзя отнести к Enterprise. Достоинство только одно — цена. По сравнению с каким-нибудь RouterBoard RB951G для ограниченного круга задач всякие Cisco и Juniper нервно курят в сторонке. Но если бы у меня был условно-неограниченный бюджет, то я бы, конечно, выбрал последний вариант для построения сети.