Блохи в свитере деда Сергеича

Продолжаю рубрику о ненависти к Juniper-ам.

Практика показала, что когда строишь тоннель между Juniper-ом и чем-то другим, то в случае попыток использования IKEv2 тебя ждут большие проблемы.

Самая мелкая из них заключается в том, что Juniper не даёт явно выставлять Pseudo-Random Function. Об этом я уже писал раньше.

Следующий прикол — разработчики софта традиционно по-разному трактуют RFC. А в IKEv2 появилась возможность делать как по принципу "одна SA — один тоннель", так и запихивать в рамки одной и той же SA несколько различных identities (грубо говоря, несколько маршрутов в одном тоннеле с одной SA). Так вот, иногда они не могут договориться: пруф 1, пруф 2. На практике это выглядит так, что тоннель поднимается только по запросу одной из сторон, а Juniper постоянно гадит в логи про то, что не может согласовать какие-то security associations (SA).

И самое мерзкое, с чем лично мне пришлось столкнуться — это конкретное такое "залипание" тоннелей на IKEv2. Настолько конкретное, что не спасают "clear security ike бла-бла-бла", "clear security ipsec бла-бла-бла" от слова "совсем". То есть формально Juniper показывает, что всё нормально, SPI меняются, но трафик не ходит. Помогает только деактивация проблемного traffic selector из конфига, выжидание 10 минут, потом активация обратно.

Короче говоря, между двумя Juniper-ами там особых проблем нет. А вот между какой-нибудь Cisco ASA и Juniper надо всё-таки брать IKEv1 и не вы**ываться.

Хотя, с другой стороны, мне известен как минимум один обратный кейс. Когда строили IPSec-тоннель между Juniper SRX и каким-то Huawei, то там было наоборот. IKEv1 не хотел подниматься из-за косяков в прошивке "хуявого", а вот IKEv2 таки взлетел.

Техника несовершенна. Но Juniper — это лютая попа-боль.

Пришло тут письмо нижеследующего содержания. Удивительно в нём то, что оно достаточно хорошо стилистически выдержано, художественно написано, а также содержит относительно мало орфографических ошибок, что в наше время большая редкость. Письмо длинное, поэтому убираю его под кат. А в чём прикол, объясню популярно в конце поста.

... Продолжаю развлекаться с vCloud Director. Попытался настроить Site2Site IPSec VPN. Всё сломал. Теперь в настройки Edge стало в принципе невозможно зайти. Написал в техподдержку. Молчат. Видимо, серьёзно я их озадачил. Хорошо хоть, то что уже было настроено, продолжает работать. Но ядрён ж батон... какие же ж эти корпоративные продукты корпоративные! И вот на этот раз я уже не знаю что именно у него там "под капотом". Может тут кто-нибудь подскажет?

... Слегонца пощупал Naumen Service Desk. На первый взгляд произвёл впечатление крайне забагованного продукта, состряпанного ленивыми разработчиками "на коленке", плохо оттестированного и продаваемого совершенно некомпетентными сейлзами. Впрочем, они, похоже, все такие. Например, внутри того же Kayako тот ещё быдлокод. Хоть сам бери и пиши под себя.

... Говорят, в Химках уже презентовали виртуальную транспортную карту "Стрелка". Теперь можно не покупать пластик. Хех, только вот у меня всё равно нет телефона с NFC.

... В Тинькофф-журнале вышла классная статья о том, как работает ценообразование на рынке труда. Ну ни прибавить, ни отнять. ППКС!

... Уже видели этот прикол с пасхалкой в бортовом компьютере ЯК-130? Ха-ха, чо-та ржу. Если нет, поглядите. По-моему, уже по всем бугагашечным ресурсам разлетелось. Даже с видосиком. У военных и лётчиков с чувством юмора тяжко... ох тяжко.

Всем здорового чувства юмора и приятных длинных выходных.

Возле аэропорта Шереметьево терпит бедствие пассажирский лайнер.
Командир спрашивает у второго пилота:
— Чё делать будем? Есть идеи?
— Не-а, нету.
Командир, со вздохом выворачивая штурвал от себя:
— Ну ладно. Нет идеи — нет "Икеи"...

Ещё в апреле я дособрал импровизированную "стенку-стеллаж", сделанную из Икеяшных шкафов. Но показать дошли лапки только сейчас. Заодно поделюсь некоторыми своими размышлениями относительно этой самой икеевской мебели.

Подытоживая. "Метод" 60x40x200 с ножками "Лимхамн" для построения стеллажей вполне себе ОК. А вот с "Паксом" лучше не связываться. Дорого, геморройно и бестолково.

Я тут услышал позицию, что, мол, походная жизнь — это круто. Палатки, костры, спальники, коммунальные неудобства и всё вот это. И чё-то задумался. А почему народ от этого так прётся?

Нет, ну то есть в молодости (лет 20 тому назад) я и сам вполне себе ходил в походы по черноморскому побережью. И если есть какое-то прям вот безумно красивое супер приятное место, куда кроме как пешком или вплавь/вброд больше никак добраться нельзя, я могу понять. Это вынужденная необходимость. То есть ты терпишь неудобства взамен на эстетическое удовольствие.

Если ты решаешь пожить в палатке на берегу моря и/или в кемпинге ради экономии бабла, я тоже могу понять. Это бомжевание. Ты терпишь неудобства взамен на потенциально непотраченное бабло. Правда, качество такого отдыха я ставлю под сомнение, но это уже второй вопрос.

Если ты хочешь залезть куда-нибудь типа Эвереста чисто чтобы почесать своё ЧСВ, я тоже могу понять. Для некоторых это ваще святое, не обсуждается.

Но просто вот отправляться в поход ради похода куда-нибудь, куда вполне можно доехать на поезде или на машине? И где вполне можно арендовать квартирку / домик / комнату / гостиничку? Объясните мне бестолковому, в чём здесь прикол? Не проще ли тупо пригласить друзей к себе домой, отключить воду, газ, электричество, открыть все окна, закрыть все комнаты кроме одной и посидеть так пару суток? Ну правда, какая разница?

А ещё, если кто может, объясните мне пожалуйста в чём прикол разных там детских лагерей. Зачем нужно собирать в одном месте без родителей кучу потенциально неадекватных спиногрызов, да ещё и без пресловутых коммунальных удобств? И где они друг у друга кроме нецензурного лексикона и анекдотов скорее всего ничему не научатся. Вот в лагеря я ни разу не ездил, да. Разве что только в спортивные и уже в довольно зрелом возрасте. Но тут как раз понятно зачем они нужны.

Не спрашивайте зачем, решил выпустить для себя квалифицированную электронно-цифровую подпись. По ГОСТу. Как на физическое лицо. Шоб была. Купил себе под это дело RuToken ЭЦП 2.0 даже. Товарищ dmitrmax в своё время зело расхвалил компанию "Тензор" в качестве удостоверяющего центра. Я решил попробовать.

Шо я могу сказать, товарищи? Могу предположить, что они (удостоверяющие центры) все — говно. Вероятно, лучше просто не бывает. Опишу только то, что видел.

1. Как бы наиболее политкорректно выразиться об умственных способностях менеджера, принявшего заявку? Гм... не знаю. Сначала она без спросу выставила мне счёт на токен. Я ответил, что оный у меня уже есть. Перевыставила счёт. Захожу в веб-интерфейс. Вижу там "акт приёма-передачи криптосредства". Говорю, что не буду вам свой токен отдавать. В ответ письмо со словами "вам всё равно придётся приехать к нам в офис". Логика железная, вида "в огороде бузина, в Киеве дядька". Пинаю по телефону. Окей, выставили мне в заявке опцию "ключ генерируется клиентом самостоятельно". Ну ладно, а с самого начала нельзя мне было соответствующие вопросы задать? Откуда я-то знаю, что вы по умолчанию впариваете всем свой токен и генерацию ключей на ни пойми чьих машинах?


2. Сам уёб-интерфейс — это кусок прикола. Локаль браузера/системы корректно определять не умеет. Настроек переключения языка нет. Английский в описаниях полей формы из серии "лет ми спик фром май харт". Самостоятельно запустить процедуру регистрации и выбрать список нужных опций при помощи меню нельзя: только по звонку менеджера-шменеджера. То есть ты оставляешь заявку и ждешь когда тебе позвонят, после чего тебе присылают ссылку на некое подобие личного кабинета. Добавление-изменение опций только голосом. Ну офигеть, 21й век.


3. Когда тебе наконец-то позвонят, надо с самого начала явно заявить "хочу сам генерировать закрытый ключ на своём собственном токене". Иначе смотри пункт 1.


4. Чтобы сгенерировать ключевую пару, надо устанавливать их фирменный "СБИС-плагин". Странно, что они называют его "плагин", хотя на самом деле это полноценный локальный прокси-сервер. И чем он там занимается, какие данные куда шлёт и что вообще делает в системе, ни фига не понятно. Тоже говна кусок. По умолчанию пытается вместе с собой поставить брендированный TeamViewer или что-то похожее. Вот, называется, не судьба сделать плагины для популярных браузеров или хотя бы ActiveX-компонент.


5. А последнее меня вообще убило. Приезжаю к ним в офис с целью предъявить физиономию. Передо мной мясная очередь с дюжину (!) человек. Приём ведут от двух до пяти клерков (периодически уходят есть-пить-курить / в сортир). На каждого посетителя уходит минут по десять. В частности потому, что им (клеркам) постоянно приходится куда-то бегать ногами в процессе обработки заявки. Плюс периодически появляются клиенты "по записи", вне очереди (об этом ниже). В итоге я провёл у них в офисе час! Хорошо, что была книжка почитать. Но это ещё не самый прикол.


6. Самый прикол заключается в том, что можно записаться на приём на какое-то конкретное время, чтобы не стоять в "живой" очереди. Но! Если ты генерируешь ключевую пару сам, то такая опция в уёб-интерфейсе тебе недоступна! Соответствующая ссылка / кнопка появляется в неком подобии личного кабинета уже после того, как ты посетил их офис, одновременно с радостным сообщением о том, что цифровая подпись готова. Ха-ха-ха-ха-ха! Шутку понял, смешно! К вопросу о проектировании интерфейсов и бизнес-процессов.

Короче говоря, мой вердикт: "Тензор" — беспросветное лютое безнадёжное говно. Правда, я не уверен в том, что все остальные удостоверяющие центры (УЦ) не есть суть ещё более липкое говно. Но тут уж я не знаю, статистики маловато. Можете тоже поделиться своим опытом, если оный у вас есть.

Как же дико бесит, когда некоторые горе-разработчики совершенно искренне считают, что номер телефона пользователя их сервиса есть нечто суть уникальное, и никогда не изменяющееся на протяжении всей его (пользователя) жизни. И чтобы этот самый номер телефона поменять нужно как минимум звонить голосом в техподдержку и общаться с мясными маринками, как максимум это вообще невозможно сделать.

Из самых простых примеров: Тинькофф, Сбербанк, Кукуруза, ВкусВилл, "Кошелёк". Последний — вообще кусок прикола. Через настройки приложения можно поменять, например, дату рождения или пол. Но не номер телефона или адрес электрической почты.

Не, я конечно понимаю, безопасноть, туда-сюда и вот это всё. Но что мешает, например, слать SMSку сначала на старый, потом на новый номер, как это делает тот же Яндекс.Паспорт? А ещё лучше аутентифицировать пользователей по x509-сертификату на токене или OTP-кодам с брелка-генератора.

Из этой же серии, когда те же (или другие) разработчики полагают, что пользователь принципиально не может сменить фамилию или имя. Ладно, банки. Им в любом случае нужно предоставить копию бумажных документов. Но интернет-магазинам-то какая разница? Но нет. Фигли, регистрируйте пользователей сразу по СНИЛСу, раз по-другому не умеете. Тут я недавно увидел новую тему: вход по "Сбербанк ID". Не, нуачо?

Всё это становится особенно актуальным в свете того, что у некоторых операторов оч-ч-ч-чень короткие сроки "протухания" SIMок по неактивности. Не позвиздел пару месяцев по телефону, и всё, алес. А потом новый абонент будет "рад" уже заполненному профилю, если захочет воспользоваться теми же самими сервисами. Удобно.

*Говномёт off*

Зашёл намедни помучать мегафоновских "специалистов по работе с клиентами". Точнее, специалисток. Захотел подключить контент-счета к двум своим номерам, а заодно оформить себе платёжную карту сего зелёного змия ОПСОСа.

Объясняю чего хочу. Девочка говорит "пиши заявление". Написал. Пытается подключить контент-счёт. Система выдаёт ошибку "таковой уже имеется". Ну это просто кусок прикола. Ты видишь суслика? И я не вижу. А он где-то есть! То есть когда-то очень-очень давно, когда ещё можно было создавать оный контентный счёт просто командой с телефона без посещения офиса обслуживания, я сделал это для своих номеров и забыл. И данный факт никак не отображается ни в личном кабинете, ни в мобильном приложении, ни в интерфейсе сотрудников оператора. Смешно.

Но это было бы ещё полбеды. На офсайте сказано, что все процедуры управления контент-счетом проводятся через USSD-меню "*393#". Окей, баланс я посмотрел. Номер счёта узнал. Как бабки-то на него с основного счёта закинуть? Нет там такого пункта в меню. Где-то я краем уха слышал, что якобы при переходе с тарифа на тариф этот контент-счёт не закрывается, но становится неактивным (как бы "отваливается" от контракта). И его надо типа "активировать" заново (не создавать, а именно активировать). Но это не точно. Короче, у меня не работает. Отдельный счёт есть, но положить денег на него я не могу.

С карточкой вышел второй прикол. Маринка довольно бодро распечатала заявления, сфоткала мою физиономию, привязала карту. Читаю бумаги, которые мне дали на подпись. А там неправильно указана дата выдачи паспорта. Девочка "ой, он это автоматически берёт из договора с оператором". Я отвечаю "ну ОК, значит поменяйте сведения в договоре, это я подписывать не буду". Поковыряла, поправила в договоре. А дальше произошел фатальный сбой. Заявление на выпуск карты уже ушло в банк "Раунд" (эмитент). С неправильными паспортными данными. В течение последующих 40ка минут сотрудница честно пыталась их исправить и заново привязать карту, но... не шмагла. Так я и ушёл не солоно хлебавши.

И я понимаю, что она в этом не виновата. Просто кто-то, кто проектировал все эти интерфейсы и бизнес-процессы не потрудился предусмотреть ситуацию, когда что-то пошло не так, и нужно всё "откатить взад", как будто ничего не было. А тут "ой". Отказ на половине процедуры приводит к полному раздраю, разрыву шаблонов и невозможности совершать какие-то ещё действия в отношении этого клиента.

Передо мной в салон зашла женщина, которая когда-то ранее обращалась с просьбой расторгнуть договор с оператором, но её заявление куда-то потеряли. Так и не расторгли. Так что ей пришлось подавать его снова.

После таких вот историй, а особенно вот таких и прочих подобных, чё-то пропадает всякое желание ходить по вечным костылям. Понятно, что косяки такого рода есть у всех ОПСОСов. И все они козлы не ангелы. Но чтоб вот так...

Мегафон пока спасает только то, что:
а) я почти что никому не звоню;
б) мне лень куда-то идти по MNP по причине пункта "а";
в) мне всё равно нужна резервная симка в телефоне.

Но в моём личном антирейтинге ОПСОСов по степени их говёности Мегафон уверенно движется на первые места. В смысле, от среднепаршивого к самым отстойным. И внезапно у меня проснулась любовь к МТС. При условии, что есть возможность раздобыть их "Смарт для своих". Ничего лучше по соотношению "качество/цена" прямо сейчас я не знаю.

На днях рассказали анекдот.

Трамп с эскортом телохранителей едет на официальное мероприятие. Вдруг один из охранников замечает снайпера, громко орёт "Микки Маус!" и тянет Трампа на землю. Снайпер промахивается, его нейтрализуют, телохранителю выдают щедрую премию. Потом у него спрашивают, а почему, мол, ты закричал "Микки Маус"? Что это значило? Ответ был таким:
— Вообще-то я хотел крикнуть "Donald, duck!", но от стресса и волнения перепутал слова.

* Для понимания смысла анекдота следует вспомнить, что в английском языке слово "duck" может быть глаголом, означающим "пригнуться".

К чему я это вспомнил? А вот, зацените, в Икее продаётся коврик Трампа. Куплю, положу в прихожую и буду ноги вытирать с особым цинизмом и гордостью.