?

Log in

No account? Create an account
Cat-light

klink0v


Блохи в свитере деда Сергеича


NETBYNET - полное говно*
Lozhkin
klink0v

* — впрочем, как и большинство других российских провайдеров

Жила-была у нас так называемая "надомница™". Это сотрудница, которая работает из дома. Ну и для успешного выполнения своих должностных обязанностей ей нужен нормальный стабильный низколатентный доступ в Сеть. Живёт она в Зеленограде, по рекомендации друзей-знакомых выбрала NetByNet в качестве провайдера.

Я знаю, что NetByNet местами расширялся за счёт скупки других более мелких провайдеров. В рассматриваемом примере это не тот случай. В том районе он строился "с нуля" на хороших управляемых свитчах имени Juniper и предоставлял услуги по обычному Dynamic IP. И второе лирическое отступление. В качестве CPE (Client Party Equipment) используется роутер с OpenWRT на борту, дабы предоставлять OpenVPN, DHCP Relay и прочие внутренние сервисы.

Какое-то время порядка полугода всё работало нормально. Потом начались проблемы. Сначала один раз провайдерская сеть легла "логически". При этом сами они проблему не признавали. Это вам не "Смайл", который при возникновении аварии сам первым шлёт SMSки всем абонентам, которых затрагивает сбой сети. А первое, что требует любая техподдержка — это вынуть провод из роутера и вставить его напрямую в компьютер или ноутбук. Уже с этим я тогда поимел множество проблем ввиду весьма своеобразного биллинга энтого телекома.

Потом начались какие-то "плавающие" проблемы с "физикой" на "последней миле". Сетевой интерфейс периодически люто "флапал" (терял линк и тут же восстанавливал его). Причём, проявлялось это далеко не всегда. Например, с 9 до 10 утра флапает раз в минуту, с 11 до 12 флапает раз в 10 минут, с 12 до 16 всё хорошо, с 16 до 17 снова флапает раз в две минуты, после 17 снова всё хорошо. Я честно сообщил о проблеме в техподдержку. Максимально содействовал им в поиске неисправности. В том числе, общался по электропочте в рамках тикета #2015121810006526 (привет, blognetbynet, вот тебе доказательства). Приходил даже их пехотинец, ничего не обнаружил, ушёл.

А надо сказать, техподдержка у них ленивая и тупая до безобразия. Видимо, платят они сотрудникам настолько мало, что они при первой же возможности моментально спихивают решение вопроса на ближнего своего либо дык вообще на клиента. Пехотинцы тоже забавные. Абоненту сказали одно, а своему руководству доложили совсем другое. Тоже желанием работать совсем не горят. Ну и наконец, я у провайдера прямым текстом явно попросил воткнуть клиентский провод в другой порт их свитча. Насколько я могу судить, этого элементарного шага, который помог бы достоверно продиагностировать ситуацию, никто так и не предпринял.

Закончилось всё тем, что в первые рабочие дни нового года физический линк таки отвалился совсем, окончательно и бесповоротно. Но на этот раз у моей "надомницы" (не путать с "наложницей") сил воевать с говнопровайдером уже не осталось, так что она просто очень оперативно переметнулась на "ОнЛайм". Пока что работает нормально, а там видно будет.

Мораль сей басни такова. Не ходите, дети, в Африку гулять к NetByNet. Даже если в вашем районе у него новая сетка. Разве что альтернатив ну совсем уж никаких нет. Ибо люди там работают ленивые и рукожопые.


Let's encrypt!
Death
klink0v

Мало ли, вдруг кто пропустил.

Относительно недавно в этих наших энторнетах появился новый сервис под названием "Let's encrypt". Примечателен он тем, что совершенно безвозмездно, то есть даром, раздаёт в неограниченных количествах всем желающим годные валидные SSL-сертификаты для всяких сайтиков, апачей и прочих SSL-сервисов. При этом взамен не требует абсолютно ничего, даже регистрации. Я проверил, это действительно работает. Браузеры не ругаются, говорят что всё ОК. Подтверждение владения доменом осуществляется либо внесением записей в DNS, либо созданием страничек с хитрыми наперёд заданными URLами.

Одно "но". Там нет ни "личного кабинета", ни привычного веб-интерфейса, как у того же StartSSL. Всё взаимодействие с сервисом осуществляется при помощи набора специальных Python-овских скриптов, которые нужно скачать с GitHub-а и запустить у себя на сервере. Для особо ленивых одминов вроде меня эти же скрипты уже оформлены в виде пакетов в составе наиболее популярных Linux-дистрибутивов. В качестве приятного бонуса эти же скрипты могут автоматически внести изменения в конфигурационные файлы веб-сервера. Однако, есть и некоторые нюансы (см. ниже).

Достоинства такого подхода.


  • Халява!!!11 "Много счастья, всем и даром". ©

  • Простота. "И не надо ничего знать, только скриптики запускать..." ©

  • Широкие возможности для автоматизации ("пыщь — и готово").

  • Можно указывать сколько угодно доменов в поле DNSAlternativeName.

Недостатки.


  • Сертификаты выпускаются сроком всего на три месяца. После чего их надо обновлять-продлевать всё тем же скриптом.

  • Пока что скрипты умеют нормально взаимодействовать только с Apache. Для Nginx и прочих подсовывать сертификаты "придётся вручную" ©.

  • Принципиально не дают wildcard-сертификаты (а кто их вообще даёт нахаляву?).

  • Сертификаты они выпускают таки слегка кривые. Из-за весьма своеобразного заполнения поля CertificatePolicy им наотрез отказывается верить Windows XP в любых видах и проявлениях. С более современными операционными системами проблем нет.

В-общем, штука интересная. Тот же StartSSL тоже может предоставить бесплатный сертификат, но с существенными ограничениями: только для частного использования физическим лицом, на один год и только для одного домена (плюс один поддомен в AltName). LetsEncrypt даёт сколько хочешь, кому хочешь, но только на три месяца и с некоторыми заморочками. Но если припрёт, то вполне можно пользоваться.