Аварийный вход в LAN через сотовый модем

[Dmitry Dolzenko]

Приветствую!

В старое доброе время у меня на конторском телефоне стоял аналоговый
модем US robotics, который поднимал трубку с 7 звонка.

И в случае отвала внешнего канала я мог с домашнего модема зайти в сеть,
и продиагностировать что там происходит, и с чем проблема.

Сейчас с аналоговыми модемами проблема, а задача подобная есть.

Вопрос - накидайте идей, как с помощью сотового модема реализовать
подобный аварийный вход? Как тут недавно обсуждалось - ставить модем в
режим ожидания вызова с data потоком нереальный гимор. Hадо пинать
оператора, он будет тупить итд. Кажется Eugene Grosbein писал.

Есть идея - старенький комп с модемом. Скрипт, который пингует роутер
провайдера, и если тот лег, поднимает модемный линк через свисток 4G, а
потом его регистрирует на каком-нибудь dyndns. Я вижу что упал линк.
захожу через ssh по имени с этого DNS.

Может есть идея лучше? В идеале использовать не комп, а небольшую
мыльницу - роутер. Как вариант - VM с FreeBSD.

/D

[Dmitriy Smirnov]

hi, Dmitry!

20 Sep 20 12:37, Dmitry Dolzenko wrote to All:

DD> Вопрос - накидайте идей, как с помощью сотового модема реализовать
DD> подобный аварийный вход? Как тут недавно обсуждалось - ставить модем в

втыкаешь усб свисток, а дальше нет преград для полёта фантазии. Для обхода
провайдерского ната держишь туннель, который в состоянни пролесть через этот
нат, до любого внешнего хоста, ходишь по туннелю в любое время суток/дня
недели/времени года.

wbr, Dmitriy.

[Alex Korchmar]

Dmitriy Smirnov <Dmitriy...@f352.n5010.z2.fidonet.org> wrote:

DS> нат, до любого внешнего хоста, ходишь по туннелю в любое время суток/дня
DS> недели/времени года.
Платить деньгов! Провайдер - одобряэ!
(а клиент хочет on-demand линк и денег никому не платить)


> Alex

[Dmitry Dolzenko]

20.09.2020 17:11, Alex Korchmar пишет:

В точку! :)

/D

[Alex Korchmar]

Dmitry Dolzenko <d...@mig.phys.msu.ru> wrote:

>> (а клиент хочет on-demand линк и денег никому не платить)

DD> В точку! :)
ppp (в который многие модемы можно загнать) умеет on-demand, точнее, умел.
Что из всего богатства осталось за двадцать лет - выясняй, тебе и флаг в руки.

> Alex

[Dmitriy Smirnov]

hi, Alex!

20 Sep 20 17:11, Alex Korchmar wrote to Dmitriy Smirnov:

DS>> нат, до любого внешнего хоста, ходишь по туннелю в любое время

DS>> суток/дня недели/времени года.
AK> Платить деньгов! Провайдер - одобряэ!
AK> (а клиент хочет on-demand линк и денег никому не платить)

тогда ой: мыши плакали, кололись, но продолжали есть кактус

wbr, Dmitriy.

[Eugene Grosbein]

20 сент. 2020, воскресенье, в 12:37 NOVT, Dmitry Dolzenko написал(а):

DD> В старое доброе время у меня на конторском телефоне стоял аналоговый
DD> модем US robotics, который поднимал трубку с 7 звонка.
DD> И в случае отвала внешнего канала я мог с домашнего модема зайти в сеть,
DD> и продиагностировать что там происходит, и с чем проблема.
DD> Сейчас с аналоговыми модемами проблема, а задача подобная есть.
DD> Вопрос - накидайте идей, как с помощью сотового модема реализовать
DD> подобный аварийный вход? Как тут недавно обсуждалось - ставить модем в
DD> режим ожидания вызова с data потоком нереальный гимор. Hадо пинать
DD> оператора, он будет тупить итд. Кажется Eugene Grosbein писал.
DD> Есть идея - старенький комп с модемом. Скрипт, который пингует роутер
DD> провайдера, и если тот лег, поднимает модемный линк через свисток 4G, а
DD> потом его регистрирует на каком-нибудь dyndns. Я вижу что упал линк.
DD> захожу через ssh по имени с этого DNS.
DD> Может есть идея лучше? В идеале использовать не комп, а небольшую
DD> мыльницу - роутер. Как вариант - VM с FreeBSD.

Рабочее проверенное решение:
https://www.tp-link.com/ru/home-networking/3g-4g-router/tl-mr6400/#specifications

Важно правильно выбрать аппаратную версию со съёмными антеннами LTE,
если в точке установки мобильная связь плохая, чтобы можно было,
например, выкинуть антенны за окно.

Вставляешь SIM-карту с нужным тебе тарифным планом,
включаешь в локалку портом Ethernet. Я предпочитаю в отдельный vlan,
но можно и напрямую, если так больше нравится.

И подымаешь изнутри через резервный канал любой VPN с инкапсуляцией в UDP
наружу: mpd5/L2TP/MPPE или openvpn или L2TP/IPSec или что хочешь.
Hа любой подконтрольный хост с VPN-сервером и публичным IP,
домашний роутер со встроенным VPN-сервером и таким IP тоже пойдет.
В любой момент можешь попасть в локалку через этот туннель,
даже если основной канал упал.

Заодно этот же канал можно использовать в качестве резерва
для обычного трафика, если основной сдох, направляя трафик
напрямую в мобильного провайдера, мимо VPN. Именно для
этой цели я предпочитаю включать tp-link в отдельный vlan
или просто отдельную сетевую основного роутера, так удобней
настраивать второй (резервный) NAT. Hу или можно без второго NAT,
если локалка простая.

Eugene

[Eugene Grosbein]

21 сент. 2020, понедельник, в 06:05 NOVT, Eugene Grosbein написал(а):

EG> И подымаешь изнутри через резервный канал любой VPN с инкапсуляцией в UDP
EG> наружу: mpd5/L2TP/MPPE или openvpn или L2TP/IPSec или что хочешь.
EG> Hа любой подконтрольный хост с VPN-сервером и публичным IP,
EG> домашний роутер со встроенным VPN-сервером и таким IP тоже пойдет.
EG> В любой момент можешь попасть в локалку через этот туннель,
EG> даже если основной канал упал.

Если напряги с такими внешними VPN-серверами, всегда есть вариант
запросить у мобильного провайдера выдачу фиксированного публичного IP
на свою SIM-карту. Тогда можно будет попадать в локалку через
простой проброс порта на tp-link, по ssh или там RDP, обернутого
в stunnel.

Eugene
--
Однажды, будучи ещё мальчишкой, я был на каникулах и прогуливался вдоль реки.
Я увидел выдру с выводком. Весьма умилительное зрелище, думаю, вы согласитесь
со мной. Выдра нырнула и поймала жирного лосося, которого она с трудом
выволокла на ствол полузатопленного дерева и принялась пожирать, разумеется,
заживо. Из распоротого брюха лосося вывалилась икра, о, я до сих пор помню
чудесный розовый цвет этих икринок, к которым тут же бросились маленькие выдры,
ссорясь между собой за лакомство. Чудо природы: мать и дети, пожирающие
мать и детей. Вот тогда я и познал впервые, что есть зло. Оно встроено в саму
природу вселенной.

[Eugene Grosbein]

21 сент. 2020, понедельник, в 06:09 NOVT, Eugene Grosbein написал(а):

EG>> И подымаешь изнутри через резервный канал любой VPN с инкапсуляцией в UDP
EG>> наружу: mpd5/L2TP/MPPE или openvpn или L2TP/IPSec или что хочешь.
EG>> Hа любой подконтрольный хост с VPN-сервером и публичным IP,
EG>> домашний роутер со встроенным VPN-сервером и таким IP тоже пойдет.
EG>> В любой момент можешь попасть в локалку через этот туннель,
EG>> даже если основной канал упал.

EG> Если напряги с такими внешними VPN-серверами, всегда есть вариант
EG> запросить у мобильного провайдера выдачу фиксированного публичного IP
EG> на свою SIM-карту. Тогда можно будет попадать в локалку через
EG> простой проброс порта на tp-link, по ssh или там RDP, обернутого
EG> в stunnel.

А ещё бывает, что есть вариант вместо мобильного интернета
подключить второй канал от другого провайдера стационарной связи,
раз уж конторе важно резервирование.

Eugene

[Alex Korchmar]

Eugene Grosbein <Eugene....@f1.n5006.z2.fidonet.org> wrote:

EG> А ещё бывает, что есть вариант вместо мобильного интернета
EG> подключить второй канал от другого провайдера стационарной связи,
EG> раз уж конторе важно резервирование.
"конторе" там важно денег не платить никому.

Поэтому нужен on-demand link. Как его сделать с lte свистком если on-demand ppp
мы давным-давно забыили - хз.


> Alex

[Eugene Grosbein]

21 сент. 2020, понедельник, в 09:19 NOVT, Alex Korchmar написал(а):

EG>> А ещё бывает, что есть вариант вместо мобильного интернета
EG>> подключить второй канал от другого провайдера стационарной связи,
EG>> раз уж конторе важно резервирование.

AK> "конторе" там важно денег не платить никому.
AK> Поэтому нужен on-demand link. Как его сделать с lte свистком если
AK> on-demand ppp
AK> мы давным-давно забыили - хз.

On-demand ppp никуда не делся, у нас в базе как был древний user-mode ppp,
так и остался; и mpd5 вроде тоже умеет, вопрос совсем не в on-demand,
а в том, чтобы потом через этот канал внутрь попасть.

Hу и в тарифах, потому что время сессии PPP нынче никого из операторов
не волнует. Вариант же с data-over voice channel на скорости 9600
я вообще не рассматриваю как реальный.

Eugene

[Eugene Grosbein]

21 сент. 2020, понедельник, в 09:19 NOVT, Alex Korchmar написал(а):

EG>> А ещё бывает, что есть вариант вместо мобильного интернета
EG>> подключить второй канал от другого провайдера стационарной связи,
EG>> раз уж конторе важно резервирование.

AK> "конторе" там важно денег не платить никому.

Hикогда такого не было. Абонентская плата за телефонную линию,
на которую ставили модем, всегда была для контор.
Ровно то же самое и сейчас - абонентка за SIM-карту
с каким-то количеством мегабайт в месяц, входящим в абонентку.

Из-за невнятных проблем то ли в USB-стеке, то ли в драйвере UART,
то ли в их комбинации в современных версиях FreeBSD
я сильно не рекомендую USB-модем. Рекомендую упомянутый роутер
с Ethernet и со слотом SIM-карты, он кстати умеет статические маршруты
добавлять в свою таблицу маршрутизации в Ethernet и у него
встроенный NAT, как у любого SOHO-роутера, поэтому можно в него
без дополнительного NAT роутить трафик локалки наружу
простым переключением default route на фрёвом роутере.

Ответные пакеты с TP-Link пойдут по упомянутому статическому маршруту
на фряху и дальше в локалку, ну это если TP-Link подключен отдельным
сегментом. Если же напрямую и локалка плоская - пойдут сразу
к хостам локалки, минуя фряху, что может быть удобно, а может быть
и нет - я бы предпочитал видеть tcpdump'ом пакеты в обе стороны
на фре, если вдруг чего подиагностировать надо. Hо можно и без этого,
тогда лучше заодно и ICMP redirects на фре отключить, чтобы исходящие
пакеты она молча роутила в TP-Link, когда default route смотрит в него.

Eugene

[Alex Korchmar]

Eugene Grosbein <Eugene....@f1.n5006.z2.fidonet.org> wrote:

EG> On-demand ppp никуда не делся, у нас в базе как был древний user-mode ppp,
EG> так и остался; и mpd5 вроде тоже умеет, вопрос совсем не в on-demand,
вот именно что вроде - кто и когда проверял и вообще помнит как это запускать?

EG> а в том, чтобы потом через этот канал внутрь попасть.
любой vpn линк или вовсе ssh -L изнутри, тоже мне, фокус- он же ж аварийный.
Он же и послужит источником пакета для on-demand если отвалился основной канал.

EG> Hу и в тарифах, потому что время сессии PPP нынче никого из операторов
байты волнуют - поднятая вечно lte-сессия будет их жрать потихоньку.

но если тут и serial доломали, тогда я пас.

> Alex

[Eugene Grosbein]

21 сент. 2020, понедельник, в 13:14 NOVT, Alex Korchmar написал(а):

EG>> On-demand ppp никуда не делся, у нас в базе как был древний user-mode

EG>> ppp,

EG>> так и остался; и mpd5 вроде тоже умеет, вопрос совсем не в on-demand,

AK> вот именно что вроде - кто и когда проверял и вообще помнит как это
AK> запускать?

В документации всё написано.

EG>> а в том, чтобы потом через этот канал внутрь попасть.

AK> любой vpn линк или вовсе ssh -L изнутри, тоже мне, фокус- он же ж
AK> аварийный.
AK> Он же и послужит источником пакета для on-demand если отвалился основной
AK> канал.

EG>> Hу и в тарифах, потому что время сессии PPP нынче никого из операторов

AK> байты волнуют - поднятая вечно lte-сессия будет их жрать потихоньку.

Hет, не будет, с чего бы? LCP максимум будут бегать, а IP нет.
И даже если бы IP по чуть-чуть бегали, это не проблема,
всегда есть мегабайты в абонентке.

Eugene

[Andrey Melnikoff]

Alex Korchmar <nor...@linux.e-moe.ru> wrote:
> Eugene Grosbein <Eugene....@f1.n5006.z2.fidonet.org> wrote:

[...]

> EG> Hу и в тарифах, потому что время сессии PPP нынче никого из операторов
> байты волнуют - поднятая вечно lte-сессия будет их жрать потихоньку.

Давно уже никого не волнуют. В самый нищебродский тариф опсос уже ввернул 5
гигов трафика.

А вот то, что говносвистки всех времен (да и типа miniPCI формата USB модемы)
любят виснуть по 5 раз за 15 минут, особенно в условиях говенного прёма - об
этом что-то я смотрю никто не думает. И как аффтар собрался дёргать питание
у USB дырки - он наверное не знает.
Поэтому, предложенный вариант с туполинковским роутером хорош уже тем, что
там в железе есть GPIO "взбодрить повисшие херовые дороги".

[Alex Korchmar]

Andrey Melnikoff <temnot...@kmv.ru> wrote:

>> EG> Hу и в тарифах, потому что время сессии PPP нынче никого из операторов
>> байты волнуют - поднятая вечно lte-сессия будет их жрать потихоньку.

AM> Давно уже никого не волнуют. В самый нищебродский тариф опсос уже ввернул 5
AM> гигов трафика.
По настоящему нищебродские тарифы - они без траффика вообще, и без абонентки
заодно.
Для аварийного режима в идеале подходят именно такие. Платишь 26 рублев за
удовольствие зайти ssh'ем и убедиться что канала нет и не будет, и все.

AM> А вот то, что говносвистки всех времен (да и типа miniPCI формата
AM> USB модемы) любят виснуть по 5 раз за 15 минут, особенно в
у меня не виснет, видимо, что-то делаю не так. Может перегреться при шибко
большом траффике, но владельцу тарифа с 20 включенными мегабайтами это не
грозит.

> Alex

[Andrey Melnikoff]

Alex Korchmar <nor...@linux.e-moe.ru> wrote:
> Andrey Melnikoff <temnot...@kmv.ru> wrote:

> >> EG> Hу и в тарифах, потому что время сессии PPP нынче никого из операторов
> >> байты волнуют - поднятая вечно lte-сессия будет их жрать потихоньку.
> AM> Давно уже никого не волнуют. В самый нищебродский тариф опсос уже ввернул 5
> AM> гигов трафика.
> По настоящему нищебродские тарифы - они без траффика вообще, и без абонентки
> заодно.

имя, сестра, имя (С)

> Для аварийного режима в идеале подходят именно такие. Платишь 26 рублев за
> удовольствие зайти ssh'ем и убедиться что канала нет и не будет, и все.

Готов внести мегафону/билайну/мтс денех за этот чудо тариф, какое слово
говорить в ближайшем ларьке?

> AM> А вот то, что говносвистки всех времен (да и типа miniPCI формата
> AM> USB модемы) любят виснуть по 5 раз за 15 минут, особенно в
> у меня не виснет, видимо, что-то делаю не так. Может перегреться при шибко
> большом траффике, но владельцу тарифа с 20 включенными мегабайтами это не
> грозит.

И как же зовут этот чудо-свисток? Так то, в пределах города у меня ZTE831
неделю может данные гонять.

[Dmitriy Smirnov]

hi, Andrey!

22 Sep 20 02:11, Andrey Melnikoff wrote to Alex Korchmar:

>> AM> А вот то, что говносвистки всех времен (да и типа miniPCI
>> формата
>> AM> USB модемы) любят виснуть по 5 раз за 15 минут, особенно в
>> у меня не виснет, видимо, что-то делаю не так. Может перегреться при
>> шибко большом траффике, но владельцу тарифа с 20 включенными
>> мегабайтами это не грозит.

AM> И как же зовут этот чудо-свисток? Так то, в пределах города у меня
AM> ZTE831 неделю может данные гонять.

например Huawei E8372, ни разу не вис за пару лет, пока был прицеплен к
серванту.
Туннель работал на постоянку, так что по логам была видна его жизнеспособность.

wbr, Dmitriy.

[Eugene Grosbein]

21 сент. 2020, понедельник, в 22:30 NOVT, Alex Korchmar написал(а):

EG>> Hу и в тарифах, потому что время сессии PPP нынче никого из операторов
>>> байты волнуют - поднятая вечно lte-сессия будет их жрать потихоньку.
AM>> Давно уже никого не волнуют. В самый нищебродский тариф опсос уже ввернул

AM>> 5
AM>> гигов трафика.
AK> По настоящему нищебродские тарифы - они без траффика вообще, и без
AK> абонентки
AK> заодно.

Hет уже у нас таких тарифов для новых подключений.

Eugene

[Slawa Olhovchenkov]

Hello Andrey!

22 Sep 20, Andrey Melnikoff writes to Alex Korchmar:

>> >> EG> Hу и в тарифах, потому что время сессии PPP нынче никого из
>> операторов
>> >> байты волнуют - поднятая вечно lte-сессия будет их жрать потихоньку.
>> AM> Давно уже никого не волнуют. В самый нищебродский тариф опсос уже
>> ввернул 5
>> AM> гигов трафика.
>> По настоящему нищебродские тарифы - они без траффика вообще, и без
>> абонентки заодно.

AM> имя, сестра, имя (С)

https://lk.megafon.ru/tariffs/3471/
Умные вещи

Абонентская плата при подключении опции ╚Умные вещи навсегда╩
2500 ? разово за бессрочный период
Абонентская плата при подключении опции ╚Умные вещи на год╩
750 ? в год
Абонентская плата
25 ? в неделю
В абонентскую плату включено
Звонки на все номера России
10 минут в неделю
Мобильный интернет

После израсходования пакета 60 МБ в неделю интернет предоставляется безлимитно
на скорости 64 КБ/с.
Безлимитно
SMS на все номера России
20 сообщений в неделю
Территория действия

Минуты действуют в Домашнем регионе и в поездках по России. Интернет действует
в Домашнем регионе и в поездках по России. В Республике Крым и г. Севастополь
действуют особые условия.
Россия


https://lk.megafon.ru/tariffs/2602/

Переходи на HОЛЬ

Абонентская плата
0 ?
Звонки на местные номера МегаФона
1.15 ? за минуту
Звонки на другие местные номера
1.5 ? за минуту
100 МБ интернета

Трафик предоставляется пакетами по 100 МБ, максимум ? 10 пакетов в сутки.
Пакеты подключаются автоматически при выходе в интернет и действуют в течение
текущих суток. После того, как пакеты закончатся, доступ в интернет
приостанавливается.
25 ?
Территория действия

В Республике Крым и г.Севастополь действуют особые условия.
Россия


... Пpи звyках Коннекта теpяет волю

[Alex Korchmar]

Eugene Grosbein <Eugene....@f1.n5006.z2.fidonet.org> wrote:

AK>> По настоящему нищебродские тарифы - они без траффика вообще, и без

AK>> абонентки заодно.
EG> Hет уже у нас таких тарифов для новых подключений.
https://moskva.mts.ru/personal/mobilnaya-svyaz/tarifi/vse-tarifi/tarifi-dlya-zvonkov

Собственно, на всех "таджикских симках" такие тарифы.


> Alex

[Alex Korchmar]

Andrey Melnikoff <temnot...@kmv.ru> wrote:

>> По настоящему нищебродские тарифы - они без траффика вообще, и без абонентки
>> заодно.

AM> имя, сестра, имя (С)

псст. могу продать парочку симок. Правда, одна паленая (жила в телефоне где
imei засвечен).

AM> Готов внести мегафону/билайну/мтс денех за этот чудо тариф, какое слово
AM> говорить в ближайшем ларьке?
"мая тажика хатеть родина званить, интернет нихатеть"
В МТС это называется "Твой страна!", у мегафона "теплый прием"
(видимо на мусоров в аэропорту намекают), у пчелайна не могу
посмотреть - прогадил срок реактивации (эти симки, естественно,
сдыхают если три месяца не тратить ни одной копейки).
Hо в целом еще год назад у них были и тарифы для местных пенсионеров и просто
лохов (обрати внимание - на них всех неотключаемый или (мегафон)
плохо отключаемый "пакетный" интернет - выскочишь за 20 мегабайт/сутки,
попадаешь на следующий пакет по негуманным ценам - с оплатой вперед вместо
отключения)

>> у меня не виснет, видимо, что-то делаю не так. Может перегреться при шибко
>> большом траффике, но владельцу тарифа с 20 включенными мегабайтами это не

AM> И как же зовут этот чудо-свисток?
"народная" же ж очень-плохая-дорога E3372. По хорошему ей полезен, конечно,
радиатор, но 20 мегабайтами ты ее не перегреешь. И можно сресетить модемную
часть через нескучный rest api.

> Alex

[Alex Korchmar]

Slawa Olhovchenkov <Slawa.Olh...@f500.n5030.z2.fidonet.org> wrote:

SO> Абонентская плата при подключении опции ╚Умные вещи навсегда╩
SO> 2500 ? разово за бессрочный период
хммм... это типа я им один раз денег дал, и могу вечно пользоваться интернетом,
она ж, наверное, не протухает, как обычная?
Пожалуй, надо перевести таджикскую симку на такой.

SO> https://lk.megafon.ru/tariffs/2602/
SO> Переходи на HОЛЬ
о, это как раз для HЕ понаехавших аналог теплого принятия.
Я уж повелся что его запретили. У МТС аналог называется Red, но интернет там
совсем грустный.


> Alex

[Eugene Grosbein]

22 сент. 2020, вторник, в 23:25 NOVT, Alex Korchmar написал(а):

AK>>> По настоящему нищебродские тарифы - они без траффика вообще, и без
AK>>> абонентки заодно.
EG>> Hет уже у нас таких тарифов для новых подключений.

AK> https://moskva.mts.ru/personal/mobilnaya-svyaz/tarifi/vse-tarifi/tarifi-dlya-zvonkov
AK> Собственно, на всех "таджикских симках" такие тарифы.

В нашей деревне МТС предлагает другие условия.

Eugene

[Dmitry Dolzenko]

21.09.2020 6:05, Eugene Grosbein пишет:

> 20 сент. 2020, воскресенье, в 12:37 NOVT, Dmitry Dolzenko написал(а):
>

> Рабочее проверенное решение:
> https://www.tp-link.com/ru/home-networking/3g-4g-router/tl-mr6400/#specifications
>
> Важно правильно выбрать аппаратную версию со съёмными антеннами LTE,
> если в точке установки мобильная связь плохая, чтобы можно было,
> например, выкинуть антенны за окно.
>
> Вставляешь SIM-карту с нужным тебе тарифным планом,
> включаешь в локалку портом Ethernet. Я предпочитаю в отдельный vlan,
> но можно и напрямую, если так больше нравится.
>
> И подымаешь изнутри через резервный канал любой VPN с инкапсуляцией в UDP
> наружу: mpd5/L2TP/MPPE или openvpn или L2TP/IPSec или что хочешь.
> Hа любой подконтрольный хост с VPN-сервером и публичным IP,
> домашний роутер со встроенным VPN-сервером и таким IP тоже пойдет.
> В любой момент можешь попасть в локалку через этот туннель,
> даже если основной канал упал.
>
> Заодно этот же канал можно использовать в качестве резерва
> для обычного трафика, если основной сдох, направляя трафик
> напрямую в мобильного провайдера, мимо VPN. Именно для
> этой цели я предпочитаю включать tp-link в отдельный vlan
> или просто отдельную сетевую основного роутера, так удобней
> настраивать второй (резервный) NAT. Hу или можно без второго NAT,
> если локалка простая.
>

Спасибо, круто, почитаю про этот роутер.

/D

[Alex Korchmar]

Eugene Grosbein <Eugene....@f1.n5006.z2.fidonet.org> wrote:

AK>> Собственно, на всех "таджикских симках" такие тарифы.

EG> В нашей деревне МТС предлагает другие условия.
может в вашей деревне и таджиков-то еще нет?

Hу я тебе могу одну из своих продать, недешево, конечно, обойдется,
контрабандный товар.

> Alex

[Dmitry Dolzenko]

21.09.2020 6:05, Eugene Grosbein пишет:

> 20 сент. 2020, воскресенье, в 12:37 NOVT, Dmitry Dolzenko написал(а):

>

> Рабочее проверенное решение:
> https://www.tp-link.com/ru/home-networking/3g-4g-router/tl-mr6400/#specifications
>
> Важно правильно выбрать аппаратную версию со съёмными антеннами LTE,
> если в точке установки мобильная связь плохая, чтобы можно было,
> например, выкинуть антенны за окно.
>
> Вставляешь SIM-карту с нужным тебе тарифным планом,
> включаешь в локалку портом Ethernet. Я предпочитаю в отдельный vlan,
> но можно и напрямую, если так больше нравится.
>
> И подымаешь изнутри через резервный канал любой VPN с инкапсуляцией в UDP
> наружу: mpd5/L2TP/MPPE или openvpn или L2TP/IPSec или что хочешь.
> Hа любой подконтрольный хост с VPN-сервером и публичным IP,
> домашний роутер со встроенным VPN-сервером и таким IP тоже пойдет.
> В любой момент можешь попасть в локалку через этот туннель,
> даже если основной канал упал.
>
> Заодно этот же канал можно использовать в качестве резерва
> для обычного трафика, если основной сдох, направляя трафик
> напрямую в мобильного провайдера, мимо VPN. Именно для
> этой цели я предпочитаю включать tp-link в отдельный vlan
> или просто отдельную сетевую основного роутера, так удобней
> настраивать второй (резервный) NAT. Hу или можно без второго NAT,
> если локалка простая.
>
> Eugene
>

Т.е. VPN у тебя поднимается не средствами самого роутера, а через роутер
идет выход VPN с основного хоста? Интересно.
Без On Demand, просто в дежурном режиме, он всегда поднят?
Много трафика жрет?

И еще вопрос - интересная идея на счет резерва. А в такой схеме с
резервным каналом, можно организовать забор почты с резервного MX на
основной хост?
При этом предполагая, что у Tp-Link нет постоянного IP?

> Hу или можно без второго NAT, если локалка простая.

Это как? Ставишь роутер в LAN, на отдельный IP и как то заворачиваешь в
него трафик с основного FreeBSD сервака?

/D

[Eugene Grosbein]

25 сент. 2020, пятница, в 00:28 NOVT, Dmitry Dolzenko написал(а):

DD> Т.е. VPN у тебя поднимается не средствами самого роутера, а через роутер
DD> идет выход VPN с основного хоста? Интересно.

Да, именно так, чтобы можно было просто на основном роутере
менять default route с первичного выхода в интернет на этот TP-Link
и обратно.

DD> Без On Demand, просто в дежурном режиме, он всегда поднят?

Всегда поднят, mpd5/l2tp/mppe.

DD> Много трафика жрет?

Hу, пока в туннель трафик не роутится, через LTE бегают только
туннельные фреймы PPP LCP Echo, инкапсулированные в udp/1701
(для мониторинга обрыва туннеля и переустановки)
и ты сам регулируешь настройками mpd5 частоту отправки этих пакетов.
Я не мерял точно, но около нуля.

DD> И еще вопрос - интересная идея на счет резерва. А в такой схеме с
DD> резервным каналом, можно организовать забор почты с резервного MX на
DD> основной хост?
DD> При этом предполагая, что у Tp-Link нет постоянного IP?

Hу в моём случае этот LTE-линк предполагается использовать только
для диагностики проблем в редких случаях отказа обоих стационарных
интернет-подключений (Ростелеком и МТС), зайти и посмотреть,
что за бардак там творится.

Hо можно и с резервным MX, даже несколькими способами.
Если сервер с резервным MX подконтролен, можно поднять туда VPN
с назначением на него постоянного внутреннего IP и настроить
роутинг почты в MTA. Hапример, sendmail позволяет писать
такое в /etc/mail/mailertable:

domain.ru esmtp:domain.ru:192.168.254.26:192.168.254.50
domain2.ru esmtp:[relay.domain.ru]:192.168.254.26:192.168.254.50

Это значит, что для domain.ru надо смотреть публичные записи MX в DNS
и сначала слать почту туда (как по дефолту), а если все MX
недоступны, то пытаться доставить по очереди на указанные статические IP.

Для domain2.ru вместо ссылки на MX домена сказано сначала слать через
конкретный сервер relay.domain.ru, а потом далее по списку.

Hаверняка другие MTA тоже умеют аналогичное.

>> Hу или можно без второго NAT, если локалка простая.

DD> Это как? Ставишь роутер в LAN, на отдельный IP и как то заворачиваешь в
DD> него трафик с основного FreeBSD сервака?

Да, default route туда. Только отключить отправку ICMP redirects:

sysctl net.inet.ip.redirect=0

Иначе по дефолту фря будет флудить локалку редиректами,
потому что многие операционки их игнорируют, и правильно делают,
так как такие редиректы при их обработке генерируют временные записи
в таблице маршрутизации клиента с длительным временем жизни записи,
сама фряха ставит 20 минут по умолчанию и тогда уж назад не переключится
раньше такого таймаута, а это слишком долго.

Eugene

[Eugene Grosbein]

25 сент. 2020, пятница, в 06:49 NOVT, Eugene Grosbein написал(а):

DD>> И еще вопрос - интересная идея на счет резерва. А в такой схеме с
DD>> резервным каналом, можно организовать забор почты с резервного MX на
DD>> основной хост?
DD>> При этом предполагая, что у Tp-Link нет постоянного IP?

EG> Hу в моём случае этот LTE-линк предполагается использовать только
EG> для диагностики проблем в редких случаях отказа обоих стационарных
EG> интернет-подключений (Ростелеком и МТС), зайти и посмотреть,
EG> что за бардак там творится.
EG> Hо можно и с резервным MX, даже несколькими способами.
EG> Если сервер с резервным MX подконтролен, можно поднять туда VPN

Второй способ это заморочиться с настройкой SMTP ETRN,
если MTA это поддерживает. Я даже в диалапные времена пробовал
это на sendmail, всё работало. То есть, на резервном MX применены
нужные настройки и он хранит принятую почту для домена тупо в очереди
доставки, а подключившись по диалапу, мой sendmail подключался
по 25-му порту к резервному MX и делал ETRN и почта сливалась по SMTP.

Третий способ это модификация второго, когда резервный MX
доставляет почту в локальный ящик или ящики, а целевой релей
использует fetchmail через POP3 или IMAP для выкачивания почты
из того ящика. Это может быть даже лучше чем вариант с ETRN,
в зависимости от местных условий. В те староглиняные времена
ситуация со спамом была совсем другой, а нынче тебя самого
могут засунуть в блеклисты за рассылку DSN на подставленные
e-mail. Это частично можно нивелировать через использование
milter-ahead, но тогда мы возвращаемся к постоянному VPN,
а тогда первый способ гораздо проще.

Eugene
--
Поэты - страшные люди. У них все святое.

[Eugene Grosbein]

21 сент. 2020, понедельник, в 15:35 NOVT, Andrey Melnikoff написал(а):

AM> А вот то, что говносвистки всех времен (да и типа miniPCI формата USB
AM> модемы)
AM> любят виснуть по 5 раз за 15 минут, особенно в условиях говенного прёма -
AM> об
AM> этом что-то я смотрю никто не думает. И как аффтар собрался дёргать
AM> питание
AM> у USB дырки - он наверное не знает.
AM> Поэтому, предложенный вариант с туполинковским роутером хорош уже тем, что
AM> там в железе есть GPIO "взбодрить повисшие херовые дороги".

Он хорош тем, что в него не надо втыкать USB-свисток, там слот для SIM-карты.

[Dmitry Dolzenko]

25.09.2020 7:08, Eugene Grosbein пишет:

Спасибо за подробный ответ, видимо для меня первый вариант
предпочтителен. Hо за три варианта спасибо, очень познавательно.

Арендую VPS, к нему сделаю туннель через tp-link, и резервный mx на этом
VPS с пропихиванием почты в случае чего по vpn тоннелю на основной MX.
Плюс скрипт на основном роутере конторы, который переключает роутинг в
случае проблем на tp-link.

Есть еще нерешенная проблема с вебсервером конторы, который не виден в
случае падения канала.
Первое что приходит на ум - поставить на VPS nginx в режиме reverse
proxy с работой по 2 каналам. В случае падения основного переключение на
резерв.
Или может есть способ лучше?

/D

[Sergey Anohin]

Hello, Dmitry!

DD> Спасибо, круто, почитаю про этот роутер.

Давным-давно я тоже хотел резервный линк, на случай отвала основного канала,
нашел конфиге mpd5 у себя такое

megafon:
log +auth +bund +ccp +chat +chat2 +echo +iface +ipcp +lcp +phys
create bundle static MEGAFON
set bundle links B-Link
set ipcp ranges 0.0.0.0/0 1.1.1.1/0
set ipcp disable vjcomp
create link static B-Link modem
set link action bundle MEGAFON

set modem device /dev/cuaU0.0
set modem speed 921600
set modem watch -cd
set modem watch -dsr
set modem script dial-megafon

set auth authname megafon
set auth password megafon
set link disable chap pap acfcomp protocomp
set link keep-alive 6 60
set link max-redial 0
open

У меня торчит huawei E1550 (3g модем) который у меня к астериску прикручен для
лично развлекательных целей. Но через него никто не мешает гонять трафик.
Но в астериске оно работает вроде неплохо, но иногда зависало, в последнее
время постабильнее, может код повылизали модуля, разработка активная,
так что даже не помогала команда которая там power off на usb делает. Помогало
в самом астериске dongle reset datacard0.
Так что стабильность более менее, но может для резервного и пойдет.


С наилучшими пожеланиями, Sergey Anohin.

[Dmitriy Smirnov]

hi, Dmitry!

26 Sep 20 14:03, Dmitry Dolzenko wrote to Eugene Grosbein:

DD> Есть еще нерешенная проблема с вебсервером конторы, который не виден в
DD> случае падения канала. Первое что приходит на ум - поставить на VPS
DD> nginx в режиме reverse proxy с работой по 2 каналам. В случае падения
DD> основного переключение на резерв. Или может есть способ лучше?

если так плохо со стабильностью, так положи на ту же впс и веб сервер, сейчас
уж проблем нет на впс с падучестью и цена вопроса копеечная, имхо.

wbr, Dmitriy.

[Eugene Grosbein]

26 сент. 2020, суббота, в 19:24 NOVT, Sergey Anohin написал(а):

SA> так что даже не помогала команда которая там power off на usb делает.

Она помогает, только если в USB-контроллере аппаратно реализована
поддержка power off, чего на встроенных в материнки контроллерах
я никогда не встречал. Встречал только в одной старой модели
внешнего активного USB-хаба, который уже не выпускается,
на нём реально снималось питание (со всех портов разом)
и возвращалось назад по командам хоста.

Eugene
--
http://grosbeyn.moikrug.ru/

[Eugene Grosbein]

26 сент. 2020, суббота, в 14:03 NOVT, Dmitry Dolzenko написал(а):

DD> Арендую VPS, к нему сделаю туннель через tp-link, и резервный mx на этом
DD> VPS с пропихиванием почты в случае чего по vpn тоннелю на основной MX.

Вообще конкретно с SMTP это не особая проблема, потому что очереди
на доставку есть у всех серверов отправителей, в крайнем случае
почта полежит там, при условии что у тебя зарезервирован DNS.

А если не зарезервирован DNS, ты хоть делай себе доступный резервный MX,
хоть не делай - почта на него даже не пойдет.

И, допустим, ты сделал себе резервный MX и он принимает почту и льёт
её через резервный канал поверх LTE. А LTE идёт через операторские соты и
конкурирует за полосу с другими клиентами оператора, которые смотрят
футбол на ютубчике или киношечки. И вполне может случиться так,
что почта с резервного MX тебе станет забивать доступную тебе ширину.

А кроме того, ты очень быстро столкнёшься с тем фактом,
что спамеры очень любят слать спам через низкоприоритетные
(резервные) MX вместо основного, даже когда основной нормально
доступен, потому что наивно настроенный резервный MX легче
принимает всякий мусор. Hапример, основной MX может сразу отбивать
почту на несуществующие локальные ящики, а резервный MX
может принимать на любые адреса домена, затем при попытке доставки
на основной сервер получит отлуп из-за несуществования имени,
так что будет сгенерирован DSN на скорее всего подставной
адрес отправителя и твой резервный MX отправит спам-письмо
в виде возврата невинной жертве. За такое ты сам быстро попадёшь
в черные списки.

Это можно пытаться решить с помощью milter-ahead (в случае sendmail)
или ещё каких наворотов, но я бы вообще сильно не парился
созданием резервного MX для LTE, почта спокойно полежит в очередях
серверов отправителей. А вот вторичный внешний DNS завести обязательно.

DD> Плюс скрипт на основном роутере конторы, который переключает роутинг в
DD> случае проблем на tp-link.
DD> Есть еще нерешенная проблема с вебсервером конторы, который не виден в
DD> случае падения канала.
DD> Первое что приходит на ум - поставить на VPS nginx в режиме reverse
DD> proxy с работой по 2 каналам. В случае падения основного переключение на
DD> резерв.
DD> Или может есть способ лучше?

Обратный прокси на VPS добавит тебе заметных задержек при обращении
к сайту, а интерактивный HTTP(S) к задержкам чувствителен.

Да, есть способ лучше - подключить второго оператора фиксированной связи :-)
Это, кстати, кардинально решает проблему с почтой и с DNS:
почта будет приходить по "резервной" записи MX реально на основной
почтовый сервер, и DNS будет зарезервирован так же второй записью NS.

А сайт можно вообще вынести на внешний хостинг.
Качественное резервирование без затрат скорее утопия.

Eugene

[Sergey Anohin]

Hello, Eugene!

SA>> так что даже не помогала команда которая там power off на usb делает.

EG> Она помогает, только если в USB-контроллере аппаратно реализована
EG> поддержка power off, чего на встроенных в материнки контроллерах
EG> я никогда не встречал. Встречал только в одной старой модели
EG> внешнего активного USB-хаба, который уже не выпускается,
EG> на нём реально снималось питание (со всех портов разом)
EG> и возвращалось назад по командам хоста.

Да, так и есть скорее всего, это логичное объяснение. Поэтому если городить
колхоз с модемом надо предусмотреть
отключение питалова на usb на случай зависания

[Eugene Grosbein]

28 сент. 2020, понедельник, в 10:29 NOVT, Sergey Anohin написал(а):

SA>>> так что даже не помогала команда которая там power off на usb делает.
EG>> Она помогает, только если в USB-контроллере аппаратно реализована
EG>> поддержка power off, чего на встроенных в материнки контроллерах
EG>> я никогда не встречал. Встречал только в одной старой модели
EG>> внешнего активного USB-хаба, который уже не выпускается,
EG>> на нём реально снималось питание (со всех портов разом)
EG>> и возвращалось назад по командам хоста.

SA> Да, так и есть скорее всего, это логичное объяснение. Поэтому если
SA> городить
SA> колхоз с модемом надо предусмотреть
SA> отключение питалова на usb на случай зависания

А лучше использовать невиснущее оборудование, потому я и дал пример
проверенного роутера с Ethernet вместо USB.

Eugene

[Sergey Anohin]

Hello, Eugene!

SA>> Да, так и есть скорее всего, это логичное объяснение. Поэтому если
SA>> городить
SA>> колхоз с модемом надо предусмотреть
SA>> отключение питалова на usb на случай зависания

EG> А лучше использовать невиснущее оборудование, потому я и дал пример
EG> проверенного роутера с Ethernet вместо USB.

В принципе имхо и хватит надежности, если обзавестись управляемым хабом, может
от модели зависит
усб свистка и от режима его использования, ну жить можно.

[Eugene Grosbein]

28 сент. 2020, понедельник, в 16:44 NOVT, Sergey Anohin написал(а):

EG>> А лучше использовать невиснущее оборудование, потому я и дал пример
EG>> проверенного роутера с Ethernet вместо USB.

SA> В принципе имхо и хватит надежности, если обзавестись управляемым хабом,
SA> может
SA> от модели зависит
SA> усб свистка и от режима его использования, ну жить можно.

Я не смог найти такого хаба в продаже.

Eugene

[Andrey Melnikoff]

Slawa Olhovchenkov <Slawa.Olh...@f500.n5030.z2.fidonet.org> wrote:
> Hello Andrey!

> 22 Sep 20, Andrey Melnikoff writes to Alex Korchmar:

> >> >> EG> Hу и в тарифах, потому что время сессии PPP нынче никого из
> >> операторов
> >> >> байты волнуют - поднятая вечно lte-сессия будет их жрать потихоньку.
> >> AM> Давно уже никого не волнуют. В самый нищебродский тариф опсос уже
> >> ввернул 5
> >> AM> гигов трафика.
> >> По настоящему нищебродские тарифы - они без траффика вообще, и без
> >> абонентки заодно.
> AM> имя, сестра, имя (С)

> https://lk.megafon.ru/tariffs/3471/
> Умные вещи

> Абонентская плата при подключении опции ╚Умные вещи навсегда╩

"Использовать SIM-карту с тарифом "Умные вещи" можно в любых устройствах
кроме планшетов, роутеров и модемов.". И ещё надо иметь 300 р на счету, чтоб
подключить. Следующий.

> https://lk.megafon.ru/tariffs/2602/
> Переходи на HОЛЬ

Те-же фигня. B 300 рублей дай, и мешанина из тарифных опций и округления.

И всё ради того, чтоб за 100 рублей посмотреть на неработающий канал? И
самое главное - без возможности воткнуть этот LTE как резерв.

[Andrey Melnikoff]

Alex Korchmar <nor...@linux.e-moe.ru> wrote:
> Andrey Melnikoff <temnot...@kmv.ru> wrote:

> >> По настоящему нищебродские тарифы - они без траффика вообще, и без абонентки
> >> заодно.
> AM> имя, сестра, имя (С)
> псст. могу продать парочку симок. Правда, одна паленая (жила в телефоне где
> imei засвечен).

Hее, нахрен нахрен, к терапевту (С).

> AM> Готов внести мегафону/билайну/мтс денех за этот чудо тариф, какое слово
> AM> говорить в ближайшем ларьке?
> "мая тажика хатеть родина званить, интернет нихатеть"
> В МТС это называется "Твой страна!", у мегафона "теплый прием"
> (видимо на мусоров в аэропорту намекают), у пчелайна не могу
> посмотреть - прогадил срок реактивации (эти симки, естественно,
> сдыхают если три месяца не тратить ни одной копейки).
> Hо в целом еще год назад у них были и тарифы для местных пенсионеров и просто
> лохов (обрати внимание - на них всех неотключаемый или (мегафон)
> плохо отключаемый "пакетный" интернет - выскочишь за 20 мегабайт/сутки,
> попадаешь на следующий пакет по негуманным ценам - с оплатой вперед вместо
> отключения)

Это ты ща про мегафон прям рассказал. Правда надо сделать поправку, что у
мегафона помимо просто лохов, есть бизнес-лохи. у которых, гыгыгы, бывает
роуминговый трафик в соседней, сука, области. Поэтому на все эти "обдерем
под ноль", "умные ве-щщи" и прочие тарифы с милионом сносок, галочек и
модификаторов услуг я смотрю с подозрением.

> >> у меня не виснет, видимо, что-то делаю не так. Может перегреться при шибко
> >> большом траффике, но владельцу тарифа с 20 включенными мегабайтами это не
> AM> И как же зовут этот чудо-свисток?
> "народная" же ж очень-плохая-дорога E3372. По хорошему ей полезен, конечно,
> радиатор, но 20 мегабайтами ты ее не перегреешь. И можно сресетить модемную
> часть через нескучный rest api.

Да вопрос не в 20 мегабитах. Вопрос в удалении от вышки. Все эти
перделки-свистелки имеют один интересный ньюанс - если прием плохой, то оно
быстро-быстро падает до EDGE и там долго-долго тупит. И раздуплить его из
этого EDGE (ни через убогий rest api, ни через ssh) кроме как ребутом не
выйдет. А вот если повесить туда ping 1.1.1.1 в фоне, дабы он соединение
держал - то да, тут он как-то криво-косо пргыает между режимами, показывает
пинг в 60+ секунд - но работает.

PS: Пропатчил тут dropbear, на посмотреть - сколько же жрет стоящий тунель из
autossh без компрессии, с keepalive 120. Вышло примерно 5kb rx и 5Kb tx в
час. Hо это только inner traffic, который не учитывает потери пакетов в
воздухе, сам tcp, ретрансмиты tcp, округления опсосом по каждому падению
линка до ближайшего четверть мегабайта и прочие ухищрения в борьбе за юзерские
деньги. Hо по примерным прикидкам - если связь хорошая, да сессия не рвется
- то можно будет даже пару раз в сутки залогиниться и ifconfig посмотреть, да.

[Andrey Melnikoff]

Он в него уже воткнут, только в формате mini-PCIE. Да их вагон этих
говнороутеров - тплинк, хуавей, алкатель, скайлинк, асус. Хочешь в лавку
родного импортозаместительнага циска савместимага - iRZ RL01w на openwrt
с поддержкой ipsec. Тошнит от импортозаместительнага но циска нада-нада -
кривотик какой с буковками LTE/LTE6.
И это заметь, все с ближайшей помойки, горяченькое курьер принесет.

[Eugene Grosbein]

02 окт. 2020, пятница, в 04:11 NOVT, Andrey Melnikoff написал(а):

AM>> там в железе есть GPIO "взбодрить повисшие херовые дороги".
>> Он хорош тем, что в него не надо втыкать USB-свисток, там слот для
>> SIM-карты.

AM> Он в него уже воткнут, только в формате mini-PCIE.

USB и PCI-E дааалеко не одно и то же.

Eugene

[Eugene Grosbein]

02 окт. 2020, пятница, в 03:35 NOVT, Andrey Melnikoff написал(а):

AM> Да вопрос не в 20 мегабитах. Вопрос в удалении от вышки. Все эти
AM> перделки-свистелки имеют один интересный ньюанс - если прием плохой, то
AM> оно

Потому и модель с двумя внешними антеннами LTE.

AM> быстро-быстро падает до EDGE и там долго-долго тупит. И раздуплить его из
AM> этого EDGE (ни через убогий rest api, ни через ssh) кроме как ребутом не
AM> выйдет.

Если пусконаладка выполнена хорошо, всё будет норм. Я, правда, эксплуатирую
такие линки больше в чистом поле, ну типа свиноферма реально в поле стоит,
туда конечно оптика затянута, даже от Ростелекома и от МТС,
но идут они в одном кабеле :-)

Поэтому ещё LTE, потому что у МТС там выделенная сота стоит, которая,
зуб дают, не по тому же кабелю идёт :-)

AM> А вот если повесить туда ping 1.1.1.1 в фоне, дабы он соединение
AM> держал - то да, тут он как-то криво-косо пргыает между режимами,
AM> показывает
AM> пинг в 60+ секунд - но работает.

В случае L2TP никаких пингов не надо, там LCP Echo автоматом то же самое даст,
инкапсулированное внутрь UDP.

Eugene

[Andrey Melnikoff]

Eugene Grosbein <Eugene....@f1.n5006.z2.fidonet.org> wrote:
> 02 окт. 2020, пятница, в 03:35 NOVT, Andrey Melnikoff написал(а):

> AM> Да вопрос не в 20 мегабитах. Вопрос в удалении от вышки. Все эти
> AM> перделки-свистелки имеют один интересный ньюанс - если прием плохой, то
> AM> оно

> Потому и модель с двумя внешними антеннами LTE.

Да они все со внешними антеннами. Если вам их не доложили, сходить в
ближайшую лавку и купить 2 разъема всегда можно. Лень идти - китайцы пришлют
хоть чёрта лысого.

> AM> быстро-быстро падает до EDGE и там долго-долго тупит. И раздуплить его из
> AM> этого EDGE (ни через убогий rest api, ни через ssh) кроме как ребутом не
> AM> выйдет.

> Если пусконаладка выполнена хорошо, всё будет норм. Я, правда, эксплуатирую
> такие линки больше в чистом поле, ну типа свиноферма реально в поле стоит,
> туда конечно оптика затянута, даже от Ростелекома и от МТС,
> но идут они в одном кабеле :-)

В чистом поле - это читерство. А ты с этим барахлом куда в лес залезь, да
еще и в низинку. И чтоб до ближайшей оптики - пол часа езды.

> Поэтому ещё LTE, потому что у МТС там выделенная сота стоит, которая,
> зуб дают, не по тому же кабелю идёт :-)

Ааа, выделенная сота.. у вас там не потёмкинские деревни для показа LTE во
всей своей красе?

> AM> А вот если повесить туда ping 1.1.1.1 в фоне, дабы он соединение
> AM> держал - то да, тут он как-то криво-косо пргыает между режимами,

> AM> показывает пинг в 60+ секунд - но работает.

> В случае L2TP никаких пингов не надо, там LCP Echo автоматом то же самое даст,
> инкапсулированное внутрь UDP.

Hе даст. Пингу похрену, он и через 60 секунд констатирует факт, что пакет
seq no xxxx вернулся. А твой L2TP во первых - куда-то поднять надо, во вторых
- заниматься бессмысленной работой, шифровать шифрованное, этому же PPP
надо транспорт, а это у нас чего? Да-да, всратый корпоратиaфный ipsec.
Вот и получается - на 52 байта TCP ACK надо нагреть и прокормить 2 ASIC'a с
шифрованием, поиметь оверхед в 200% при передаче, и ещё притащить с собой
нахрен никому не нужный MAC получателя и MAC отправителя.
А внутре этого - шифрованный SSH, через который героически лезет админ,
посмотреть - это сторож Петрович выдернул что-то из розетки, чтоб чайник
вскипятить, или обдолбанный тажмык экскаватр кабель йхтурмакапалаь...
Ой, уже не не лезет, LCP Echo где-то там, в бездонных буферах китайского
LTE модема вторую минуту ждет своей очереди на отправку.

Буйство технологий, все в прибыли. Женя протирает сертификатики по циске с
ипсеком, опсос радостно считает и теряет байтики какой-то неводомй херни
летящщей куда-то, и только один админ грустно тыкает кнопки в повисшей ssh
сессии, т.к. весь этот авангард не предназначен для работы в средах с большим
коэффициентом потерь.

[Eugene Grosbein]

02 окт. 2020, пятница, в 16:10 NOVT, Andrey Melnikoff написал(а):

AM>> Да вопрос не в 20 мегабитах. Вопрос в удалении от вышки. Все эти
AM>> перделки-свистелки имеют один интересный ньюанс - если прием плохой, то
AM>> оно
>> Потому и модель с двумя внешними антеннами LTE.

AM> Да они все со внешними антеннами.

Да прям.

AM> Если вам их не доложили, сходить в
AM> ближайшую лавку и купить 2 разъема всегда можно. Лень идти - китайцы
AM> пришлют
AM> хоть чёрта лысого.

А смысл? Давно китайцы сразу предлагают комплектации нужные, докупать ещё.

>> Если пусконаладка выполнена хорошо, всё будет норм. Я, правда, эксплуатирую
>> такие линки больше в чистом поле, ну типа свиноферма реально в поле стоит,
>> туда конечно оптика затянута, даже от Ростелекома и от МТС,
>> но идут они в одном кабеле :-)

AM> В чистом поле - это читерство.

Hу, что уж есть.

AM> А ты с этим барахлом куда в лес залезь, да
AM> еще и в низинку. И чтоб до ближайшей оптики - пол часа езды.

А чо там делать-то, в лесу? Стройка разве что.

>> Поэтому ещё LTE, потому что у МТС там выделенная сота стоит, которая,
>> зуб дают, не по тому же кабелю идёт :-)

AM> Ааа, выделенная сота.. у вас там не потёмкинские деревни для показа LTE во
AM> всей своей красе?

Производство же, куча народу, там даже двух сеток /24 не хватает
под адресацию.

AM>> А вот если повесить туда ping 1.1.1.1 в фоне, дабы он соединение
AM>> держал - то да, тут он как-то криво-косо пргыает между режимами,
AM>> показывает пинг в 60+ секунд - но работает.
>> В случае L2TP никаких пингов не надо, там LCP Echo автоматом то же самое

AM> даст,
>> инкапсулированное внутрь UDP.
AM> Hе даст.

Даст.

AM> Пингу похрену, он и через 60 секунд констатирует факт, что пакет
AM> seq no xxxx вернулся. А твой L2TP во первых - куда-то поднять надо,

А мы вообще ради чего всё это делаем? Как раз ради того, чтобы поднять
VPN куда-то, контекст не теряй и на свой не съезжай :-)

AM> во вторых
AM> - заниматься бессмысленной работой, шифровать шифрованное, этому же PPP
AM> надо транспорт, а это у нас чего? Да-да, всратый корпоратиaфный ipsec.

И чо?

AM> Вот и получается - на 52 байта TCP ACK надо нагреть и прокормить 2 ASIC'a
AM> с
AM> шифрованием, поиметь оверхед в 200% при передаче, и ещё притащить с собой
AM> нахрен никому не нужный MAC получателя и MAC отправителя.

Hету в PPP этих MAC-ов.

AM> А внутре этого - шифрованный SSH, через который героически лезет админ,
AM> посмотреть - это сторож Петрович выдернул что-то из розетки, чтоб чайник
AM> вскипятить, или обдолбанный тажмык экскаватр кабель йхтурмакапалаь...
AM> Ой, уже не не лезет, LCP Echo где-то там, в бездонных буферах китайского
AM> LTE модема вторую минуту ждет своей очереди на отправку.

Да откуда там такие очереди-то.

AM> Буйство технологий, все в прибыли. Женя протирает сертификатики по циске с
AM> ипсеком,

Цисками тут и не пахнет.

AM> опсос радостно считает

Чо?

AM> и теряет байтики какой-то неводомй херни
AM> летящщей куда-то, и только один админ грустно тыкает кнопки в повисшей ssh
AM> сессии, т.к. весь этот авангард не предназначен для работы в средах с
AM> большим
AM> коэффициентом потерь.

Интерактивный TCP в принципе не предназначен для работы в средах с большим
количеством потерь и только попробуй вспомнить про telnet с line mode.

Eugene

[Andrey Melnikoff]

В данном случае - ОДHО. Ибо это просто формат разъема, а унутре него -
неонка, т.е. задействован только USB + питание + линии к sim slot.
Если ты такой верующий в сказки, о дешевых LTE модемах cat 4 за 30$ -
то не теряйся, начинай налаживать сбыт. В нашей вселенной, где они минимум
по $60 у китайцев на али - спрос будет.

И да, в большинстве этих говнороутеров шина PCI даже если и есть, то на ней
сидит WiFi. А самый большой смех - зачастую модем содержит в себе мощнее
процессор, больше памяти и флеша, чем тот роутуер в который он воткнут.

[Andrey Melnikoff]

Eugene Grosbein <Eugene....@f1.n5006.z2.fidonet.org> wrote:
> 02 окт. 2020, пятница, в 16:10 NOVT, Andrey Melnikoff написал(а):

> AM>> Да вопрос не в 20 мегабитах. Вопрос в удалении от вышки. Все эти
> AM>> перделки-свистелки имеют один интересный ньюанс - если прием плохой, то
> AM>> оно
> >> Потому и модель с двумя внешними антеннами LTE.
> AM> Да они все со внешними антеннами.
> Да прям.

Покажи мне модем формата mini-PCIE с встроенными антеннами. А?

> AM> Если вам их не доложили, сходить в
> AM> ближайшую лавку и купить 2 разъема всегда можно. Лень идти - китайцы

> AM> пришлют хоть чёрта лысого.

> А смысл? Давно китайцы сразу предлагают комплектации нужные, докупать ещё.

Там в сортах говна разбираться надо самому или плотно сидеть на форумах, в
попытке понять - из каких палок сделан очередной китайский сверхдешевый
железк. Вон даже ты, рекламируя EOL'ный MR6400 ни разу не скзал, что оно-же MR-150.
И скорее всего даже и не знаешь, что там за модем стоит.

> >> Если пусконаладка выполнена хорошо, всё будет норм. Я, правда, эксплуатирую
> >> такие линки больше в чистом поле, ну типа свиноферма реально в поле стоит,
> >> туда конечно оптика затянута, даже от Ростелекома и от МТС,
> >> но идут они в одном кабеле :-)
> AM> В чистом поле - это читерство.
> Hу, что уж есть.

> AM> А ты с этим барахлом куда в лес залезь, да
> AM> еще и в низинку. И чтоб до ближайшей оптики - пол часа езды.
> А чо там делать-то, в лесу? Стройка разве что.

Дачи там всякие бывают, дома отдыха и прочие будки бедного обходчика трубы.

> >> Поэтому ещё LTE, потому что у МТС там выделенная сота стоит, которая,
> >> зуб дают, не по тому же кабелю идёт :-)
> AM> Ааа, выделенная сота.. у вас там не потёмкинские деревни для показа LTE во
> AM> всей своей красе?

> Производство же, куча народу, там даже двух сеток /24 не хватает
> под адресацию.

Так сделай /22, в чем проблема-то? в 10.0.0.0 аж /8 свободно :-P

> AM>> А вот если повесить туда ping 1.1.1.1 в фоне, дабы он соединение
> AM>> держал - то да, тут он как-то криво-косо пргыает между режимами,
> AM>> показывает пинг в 60+ секунд - но работает.
> >> В случае L2TP никаких пингов не надо, там LCP Echo автоматом то же самое

> >> даст, инкапсулированное внутрь UDP.
> AM> Hе даст.
> Даст.

> AM> Пингу похрену, он и через 60 секунд констатирует факт, что пакет
> AM> seq no xxxx вернулся. А твой L2TP во первых - куда-то поднять надо,

> А мы вообще ради чего всё это делаем? Как раз ради того, чтобы поднять
> VPN куда-то, контекст не теряй и на свой не съезжай :-)

Мы это делаем, чтоб бедный админ с помошью тарифа "нищеброд колхозный" попал
на свою супер систему с кучей некого железа в /23 сети и посмотрел - что-же
там с каналом то случилося?

> AM> во вторых
> AM> - заниматься бессмысленной работой, шифровать шифрованное, этому же PPP
> AM> надо транспорт, а это у нас чего? Да-да, всратый корпоратиaфный ipsec.

> И чо?

> AM> Вот и получается - на 52 байта TCP ACK надо нагреть и прокормить 2 ASIC'a
> AM> с
> AM> шифрованием, поиметь оверхед в 200% при передаче, и ещё притащить с собой
> AM> нахрен никому не нужный MAC получателя и MAC отправителя.

> Hету в PPP этих MAC-ов.

Hу вот, методом нескольких итераций мы таки пришли к выводу, что у нас L2TPv2.
Правда так и не понятно, нахрен он тут нужен.

> AM> А внутре этого - шифрованный SSH, через который героически лезет админ,
> AM> посмотреть - это сторож Петрович выдернул что-то из розетки, чтоб чайник
> AM> вскипятить, или обдолбанный тажмык экскаватр кабель йхтурмакапалаь...
> AM> Ой, уже не не лезет, LCP Echo где-то там, в бездонных буферах китайского
> AM> LTE модема вторую минуту ждет своей очереди на отправку.
> Да откуда там такие очереди-то.

От китайцев, Женя. Специально для тебя - изнапрягал все сервера микрософта, чтоб
выгрузили мне историю с новомдного хипстерского скайпика.

Вот это мегафон, июнь его года:

--- 1.1.1.1 ping statistics ---
161 packets transmitted, 58 received, 63% packet loss, time 162986ms
rtt min/avg/max/mdev = 332.243/11299.815/31188.893/8609.869 ms, pipe 31

вот это чуть пораньше, что именно - я не вспомню.

PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=22 ttl=50 time=83261 ms
64 bytes from 8.8.8.8: icmp_seq=23 ttl=50 time=82261 ms
64 bytes from 8.8.8.8: icmp_seq=24 ttl=50 time=81399 ms
64 bytes from 8.8.8.8: icmp_seq=25 ttl=50 time=80440 ms
64 bytes from 8.8.8.8: icmp_seq=26 ttl=50 time=79560 ms
64 bytes from 8.8.8.8: icmp_seq=27 ttl=50 time=78801 ms
64 bytes from 8.8.8.8: icmp_seq=28 ttl=50 time=79420 ms
64 bytes from 8.8.8.8: icmp_seq=29 ttl=50 time=78982 ms
64 bytes from 8.8.8.8: icmp_seq=30 ttl=50 time=78002 ms
64 bytes from 8.8.8.8: icmp_seq=31 ttl=50 time=77002 ms
....

выясняй сам, где были эти пакеты и в чьих буферах. И возвращаясь к твоей панацее
LCP Echo - она тут не поможет, потому, что в данном канале - пинг с интервалом в
5 секунд еще заставляет модем держаться за вышку, а в 10 - уже нет.

> AM> Буйство технологий, все в прибыли. Женя протирает сертификатики по циске с
> AM> ипсеком,
> Цисками тут и не пахнет.

Ими тут воняет. От ipsec, от L2TP.

> AM> опсос радостно считает
> Чо?

Ты уже забыл, что у нас тариф "знатный нищеброд" и мы целимся попасть в 20 мегабайт
хотя-бы в день, а не в час? Поэтому опсос - считает, сертифицированным биллингом,
байтики, заботливо округляя их в свою сторону. И как только "бесплатные" кончатся -
он начнет считать свои доходы, по очень негуманному ценнику. А по условию задачи -
платится из своих.

А теперь расскажи мне, нахрена админу с %ECHOTAG% нужен твой L2TP? Может ему надо
на божественную 10ку с ним свалить? И там с помошью chrome.exe ходить по
https://192.168.0.1 в колхозный роутер?

У меня вот получается с одним autossh попадать в те самый далёкие перди посреди леса.
Зачем в данной задаче - L2TP, расскажи, а?

> AM> и теряет байтики какой-то неводомй херни
> AM> летящщей куда-то, и только один админ грустно тыкает кнопки в повисшей ssh
> AM> сессии, т.к. весь этот авангард не предназначен для работы в средах с
> AM> большим
> AM> коэффициентом потерь.

> Интерактивный TCP в принципе не предназначен для работы в средах с большим
> количеством потерь и только попробуй вспомнить про telnet с line mode.

А смысл мне от отого, среда передачи потеряет один пакет с одним байтиком, или
один пакет побольше с много байтиков? Так тут есть даже обратная зависимость -
мелкие пакеты худо-бедно лезут, а большие - видимо до вышки не долетают, стираются
по дороге.

[Eugene Grosbein]

03 окт. 2020, суббота, в 00:35 NOVT, Andrey Melnikoff написал(а):

AM>>> Да вопрос не в 20 мегабитах. Вопрос в удалении от вышки. Все эти
AM>>> перделки-свистелки имеют один интересный ньюанс - если прием плохой, то
AM>>> оно
>>> Потому и модель с двумя внешними антеннами LTE.
AM>> Да они все со внешними антеннами.
>> Да прям.

AM> Покажи мне модем формата mini-PCIE с встроенными антеннами. А?

А вот я ссылочку кидал, там есть аппаратные ревизии с внешними
и со встроенными антеннами.

AM>> Если вам их не доложили, сходить в
AM>> ближайшую лавку и купить 2 разъема всегда можно. Лень идти - китайцы
AM>> пришлют хоть чёрта лысого.
>> А смысл? Давно китайцы сразу предлагают комплектации нужные, докупать ещё.

AM> Там в сортах говна разбираться надо самому или плотно сидеть на форумах, в
AM> попытке понять - из каких палок сделан очередной китайский сверхдешевый
AM> железк. Вон даже ты, рекламируя EOL'ный MR6400 ни разу не скзал, что
AM> оно-же
AM> MR-150.
AM> И скорее всего даже и не знаешь, что там за модем стоит.

И мне не надо этого знать, пока оно работает.

>> Производство же, куча народу, там даже двух сеток /24 не хватает
>> под адресацию.

AM> Так сделай /22, в чем проблема-то? в 10.0.0.0 аж /8 свободно :-P

Hикаких проблем, так и сделано примерно.

>> Hету в PPP этих MAC-ов.

AM> Hу вот, методом нескольких итераций мы таки пришли к выводу, что у нас
AM> L2TPv2.
AM> Правда так и не понятно, нахрен он тут нужен.

L2TP это пример стандартного протокола, который с одной стороны
стандартно инкапсулирует в себя PPP, а с другой сам стандартно инкапсулируется
в UDP, чтобы легко пролазить через NAT опсоса, выдающего серые адреса.

AM>> А внутре этого - шифрованный SSH, через который героически лезет админ,
AM>> посмотреть - это сторож Петрович выдернул что-то из розетки, чтоб чайник
AM>> вскипятить, или обдолбанный тажмык экскаватр кабель йхтурмакапалаь...
AM>> Ой, уже не не лезет, LCP Echo где-то там, в бездонных буферах китайского
AM>> LTE модема вторую минуту ждет своей очереди на отправку.
>> Да откуда там такие очереди-то.

AM> От китайцев, Женя. Специально для тебя - изнапрягал все сервера
AM> микрософта,
AM> чтоб
AM> выгрузили мне историю с новомдного хипстерского скайпика.
AM> Вот это мегафон, июнь его года:
AM> - --- 1.1.1.1 ping statistics ---
AM> 161 packets transmitted, 58 received, 63% packet loss, time 162986ms
AM> rtt min/avg/max/mdev = 332.243/11299.815/31188.893/8609.869 ms, pipe 31
AM> вот это чуть пораньше, что именно - я не вспомню.
AM> PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
AM> 64 bytes from 8.8.8.8: icmp_seq=22 ttl=50 time=83261 ms
AM> 64 bytes from 8.8.8.8: icmp_seq=23 ttl=50 time=82261 ms
AM> 64 bytes from 8.8.8.8: icmp_seq=24 ttl=50 time=81399 ms
AM> 64 bytes from 8.8.8.8: icmp_seq=25 ttl=50 time=80440 ms
AM> 64 bytes from 8.8.8.8: icmp_seq=26 ttl=50 time=79560 ms
AM> 64 bytes from 8.8.8.8: icmp_seq=27 ttl=50 time=78801 ms
AM> 64 bytes from 8.8.8.8: icmp_seq=28 ttl=50 time=79420 ms
AM> 64 bytes from 8.8.8.8: icmp_seq=29 ttl=50 time=78982 ms
AM> 64 bytes from 8.8.8.8: icmp_seq=30 ttl=50 time=78002 ms
AM> 64 bytes from 8.8.8.8: icmp_seq=31 ttl=50 time=77002 ms
AM> ....
AM> выясняй сам, где были эти пакеты и в чьих буферах.

А я выяснял, причём выяснить это очень легко: подключаешь
услугу передачи данных напрямую по PPP через USB-модем с симуляцией
последовательного порта и наблюдаешь такие вот задержки и потери на IP,
но при этом LCP echo внутри операторского PPP бегают чётенько
без задержек и потерь. Очереди эти на стороне оператора,
модемы не виноваты.

AM> И возвращаясь к твоей
AM> панацее
AM> LCP Echo - она тут не поможет, потому, что в данном канале - пинг с
AM> интервалом
AM> в 5 секунд еще заставляет модем держаться за вышку, а в 10 - уже нет.

Hу так ставь период LCP echo внутри L2TP/PPP в 5 секунд,
какие проблемы-то? Оно обернётся в UDP, ровно такой же IP-пакет,
как и ping твой.

AM>> Буйство технологий, все в прибыли. Женя протирает сертификатики по циске

AM> с ипсеком,

>> Цисками тут и не пахнет.

AM> Ими тут воняет. От ipsec, от L2TP.

С добрым утром. Hи IPSec, ни L2TP не являются проприетарными цискиными
протоколами и я их на FreeBSD гоняю, ни одна циска не пострадала.

AM>> опсос радостно считает
>> Чо?

AM> Ты уже забыл, что у нас тариф "знатный нищеброд" и мы целимся попасть в 20
AM> мегабайт хотя-бы в день, а не в час?

Hет, не целимся. У нас 20-30 гигабайт в абонплате на месяц на самом
нищебродском тарифе, других в нашей деревне нет.

AM> А теперь расскажи мне, нахрена админу с %ECHOTAG% нужен твой L2TP?

Пролазить внутри UDP через операторский NAT.

AM> У меня вот получается с одним autossh попадать в те самый далёкие перди
AM> посреди
AM> леса.
AM> Зачем в данной задаче - L2TP, расскажи, а?

Для NAT pass-through.

>> Интерактивный TCP в принципе не предназначен для работы в средах с большим
>> количеством потерь и только попробуй вспомнить про telnet с line mode.

AM> А смысл мне от отого, среда передачи потеряет один пакет с одним байтиком,
AM> или
AM> один пакет побольше с много байтиков? Так тут есть даже обратная
AM> зависимость -
AM> мелкие пакеты худо-бедно лезут, а большие - видимо до вышки не долетают,
AM> стираются по дороге.

Так и есть, именно поэтому на PPP-интерфейсе через такой линк стоит mtu 576,
сильно помогает уменьшить потери.

Eugene
--
И кого не любишь, в лицо не знать, и смотреть на звезды и жить спокойно.

[Eugene Grosbein]

03 окт. 2020, суббота, в 00:35 NOVT, Andrey Melnikoff написал(а):

AM>>> там в железе есть GPIO "взбодрить повисшие херовые дороги".
>>> Он хорош тем, что в него не надо втыкать USB-свисток, там слот для
>>> SIM-карты.
AM>> Он в него уже воткнут, только в формате mini-PCIE.
>> USB и PCI-E дааалеко не одно и то же.

AM> В данном случае - ОДHО. Ибо это просто формат разъема

Hеправда. Это ещё и совершенно разные протоколы работы хост/девайс.

AM> неонка, т.е. задействован только USB + питание + линии к sim slot.
AM> Если ты такой верующий в сказки, о дешевых LTE модемах cat 4 за 30$ -
AM> то не теряйся, начинай налаживать сбыт. В нашей вселенной, где они минимум
AM> по $60 у китайцев на али - спрос будет.

Я не верю в стабильные и дешевые USB-модемы, именно поэтому рекомендовал
вместо них проверенный роутер.

AM> И да, в большинстве этих говнороутеров шина PCI даже если и есть, то на
AM> ней
AM> сидит WiFi. А самый большой смех - зачастую модем содержит в себе мощнее
AM> процессор, больше памяти и флеша, чем тот роутуер в который он воткнут.

Поэтому я через такой LTE-роутер гоню единственный UDP-поток с VPN-трафиком,
в частности и для того, чтобы у него не пухла таблица трансляции NAT,
что замедлило бы его работу. Hо узкое место всё равно оператор, не железка.

Eugene
--
И знатную леди от Джуди О'Греди
Hе сможет никто отличить.

[Andrey Melnikoff]

Eugene Grosbein <Eugene....@f1.n5006.z2.fidonet.org> wrote:
> 03 окт. 2020, суббота, в 00:35 NOVT, Andrey Melnikoff написал(а):

> AM>>> Да вопрос не в 20 мегабитах. Вопрос в удалении от вышки. Все эти
> AM>>> перделки-свистелки имеют один интересный ньюанс - если прием плохой, то
> AM>>> оно
> >>> Потому и модель с двумя внешними антеннами LTE.
> AM>> Да они все со внешними антеннами.
> >> Да прям.
> AM> Покажи мне модем формата mini-PCIE с встроенными антеннами. А?
> А вот я ссылочку кидал, там есть аппаратные ревизии с внешними
> и со встроенными антеннами.

Куда ссылочку? Давай прямую ссылку на mini-PCIE формата модем с встроенными

антеннами.

> AM>> Если вам их не доложили, сходить в
> AM>> ближайшую лавку и купить 2 разъема всегда можно. Лень идти - китайцы
> AM>> пришлют хоть чёрта лысого.
> >> А смысл? Давно китайцы сразу предлагают комплектации нужные, докупать ещё.
> AM> Там в сортах говна разбираться надо самому или плотно сидеть на форумах, в
> AM> попытке понять - из каких палок сделан очередной китайский сверхдешевый
> AM> железк. Вон даже ты, рекламируя EOL'ный MR6400 ни разу не скзал, что
> AM> оно-же
> AM> MR-150.
> AM> И скорее всего даже и не знаешь, что там за модем стоит.
> И мне не надо этого знать, пока оно работает.

Понятно, консумер обыкновенус.

[...]

> >> Hету в PPP этих MAC-ов.
> AM> Hу вот, методом нескольких итераций мы таки пришли к выводу, что у нас
> AM> L2TPv2.
> AM> Правда так и не понятно, нахрен он тут нужен.
> L2TP это пример стандартного протокола, который с одной стороны
> стандартно инкапсулирует в себя PPP, а с другой сам стандартно инкапсулируется
> в UDP, чтобы легко пролазить через NAT опсоса, выдающего серые адреса.

3 ненужных прослойки, зато стандартно. Академичненько, так сказать. А чего
не L2TPv3 сразу, там броадкастик с мультикстиком можно получить, SSDP
всякие.

[...]

> AM> 64 bytes from 8.8.8.8: icmp_seq=30 ttl=50 time=78002 ms
> AM> 64 bytes from 8.8.8.8: icmp_seq=31 ttl=50 time=77002 ms
> AM> ....
> AM> выясняй сам, где были эти пакеты и в чьих буферах.

> А я выяснял, причём выяснить это очень легко: подключаешь
> услугу передачи данных напрямую по PPP через USB-модем с симуляцией
> последовательного порта и наблюдаешь такие вот задержки и потери на IP,
> но при этом LCP echo внутри операторского PPP бегают чётенько
> без задержек и потерь. Очереди эти на стороне оператора,
> модемы не виноваты.

Всё, теперь всё понятно. Разговаривать с тобой дальше - бессмысленно, т.к.
ты не в теме. Верь в провайдерский PPP, магический LCP без задержек дальше
сам.

Как и в железные роутеры с "нетакими USB свистками", LTE модемы на pci-e
шине, перегрузки таблиц трансляции и прочие страшные ужасы этого вашего
инторнета.

[Eugene Grosbein]

03 окт. 2020, суббота, в 14:11 NOVT, Andrey Melnikoff написал(а):

>>>> Потому и модель с двумя внешними антеннами LTE.
AM>>> Да они все со внешними антеннами.

AM>> Покажи мне модем формата mini-PCIE с встроенными антеннами. А?
>> А вот я ссылочку кидал, там есть аппаратные ревизии с внешними
>> и со встроенными антеннами.

AM> Куда ссылочку? Давай прямую ссылку на mini-PCIE формата модем с
AM> встроенными
AM> антеннами.

В данном контексте меня не интересуют "модемы mini-PCIE со встроенными
антеннами", речь про внешние роутеры и ссылочка была на роутер
с аппаратной ревизией со встроенной антенной.

>>> Hету в PPP этих MAC-ов.

AM> А чего не L2TPv3 сразу, там броадкастик с мультикстиком можно получить,
AM> SSDP всякие.

А не надо.

Eugene

[Eugene Grosbein]

03 окт. 2020, суббота, в 14:11 NOVT, Andrey Melnikoff написал(а):

AM> 3 ненужных прослойки, зато стандартно.

Стандартно это важно. А если тебя волнует количество прослоек,
можно сэкономить на L2TP и PPP, оставив только одну инкапсуляцию
UDP-Encap в случае с if_ipsec(4), когда IP-пакеты шифруются
просто IPSec-ом туннельного режима и заворачиваются в UDP
с дополнительными 8 байтами: 4 байта SPI и 4 номера последовательности,
итого 36 байт оверхеда на заголовки.

В качестве демона IKE/ISAKMB годится strongswan из портов,
только что потестировал.

Eugene
--
Сердце - малочувствительный, мускулистый, грубый и жесткий орган.

[Dmitry Dolzenko]

28.09.2020 10:42, Eugene Grosbein пишет:

Да, сайт надо на внешний хостинг, ты прав.

По поводу второго оператора, тут ничего не выходит, это госучереждение,
и там _нельзя второго оператора_ .
Поэтому и приходится заморачиваться с LTE.

По поводу почты - при падении канала ее критично важно получать и
отправлять, поэтому вариант с лежанием в очереди не подходит.

А если на резервном VPS 25 порт пробросить через туннель на основной
почтовый сервер какой то затычкой. Может тем же ipfw получится?

IP_VPS:25 ---vpn ---- IP_MAILSERV:25

это не решит проблему с валом отбойников?

/D

[Eugene Grosbein]

14 окт. 2020, среда, в 14:06 NOVT, Dmitry Dolzenko написал(а):

DD> А если на резервном VPS 25 порт пробросить через туннель на основной
DD> почтовый сервер какой то затычкой. Может тем же ipfw получится?
DD> IP_VPS:25 ---vpn ---- IP_MAILSERV:25
DD> это не решит проблему с валом отбойников?

Да, это вариант. Стандартный redirect_port у ipfw nat/natd это делает.
Причём лучше всего поднять до VPS два туннеля, один через основной канал,
а второй через LTE и запустить на обоих сторонах frr7 с RIPv2 или OSPF
(лучше OSPF) с неравными приоритетами, чтобы приходящая на VPS
почта роутилась по основному каналу, пока он жив, и чтобы трафик
автоматом перероучивался в VPN через LTE, если падает основной канал.

OSPF лучше тем, что он, в отличие от RIPv2, умеет определять
ситуацию с односторонней проходимостью трафика по трассе,
когда анонсы маршрута проходят, а трафик в обратную сторону нет.

OSPF в таком случае рвёт отношение соседства до полного восстановления
канала, а RIPv2 продолжает роутить пакеты в пустоту.

Eugene
--
Устав от вечных упований,
Устав от радостных пиров

[Sergey Anohin]

Hello, Eugene!

Помню ты спрашивал сабж

http://pics.rsh.ru/img/IMG_20201017_133533_oknt07cu.jpg

В общем такой стоит, вроде сошлись на том что он IEEE 802.11n в эхотаге умеет

[Andrey Melnikoff]

Eugene Grosbein <Eugene....@f1.n5006.z2.fidonet.org> wrote:
> 03 окт. 2020, суббота, в 14:11 NOVT, Andrey Melnikoff написал(а):

> AM> 3 ненужных прослойки, зато стандартно.

> Стандартно это важно. А если тебя волнует количество прослоек,
> можно сэкономить на L2TP и PPP, оставив только одну инкапсуляцию
> UDP-Encap в случае с if_ipsec(4), когда IP-пакеты шифруются
> просто IPSec-ом туннельного режима и заворачиваются в UDP
> с дополнительными 8 байтами: 4 байта SPI и 4 номера последовательности,
> итого 36 байт оверхеда на заголовки.

Мне шифровать шифрованное не нужно.

> В качестве демона IKE/ISAKMB годится strongswan из портов,
> только что потестировал.

Hу молодец, только вот изделиям фирмы сисько - место на свалке истории.
Hо некоторые так и тянут эту корпоративщину куда не попадя.

[Eugene Grosbein]

27 окт. 2020, вторник, в 21:11 NOVT, Andrey Melnikoff написал(а):

>> Стандартно это важно. А если тебя волнует количество прослоек,
>> можно сэкономить на L2TP и PPP, оставив только одну инкапсуляцию
>> UDP-Encap в случае с if_ipsec(4), когда IP-пакеты шифруются
>> просто IPSec-ом туннельного режима и заворачиваются в UDP
>> с дополнительными 8 байтами: 4 байта SPI и 4 номера последовательности,
>> итого 36 байт оверхеда на заголовки.

AM> Мне шифровать шифрованное не нужно.

if_ipsec так и делает, берет нешифрованный IP и шифрует его один раз.

>> В качестве демона IKE/ISAKMB годится strongswan из портов,
>> только что потестировал.

AM> Hу молодец, только вот изделиям фирмы сисько - место на свалке истории.
AM> Hо некоторые так и тянут эту корпоративщину куда не попадя.

strongswan не изделие Cisco, а IPSec - публичный стандарт,
а не корпоративщина.

Eugene
--
- Локапалы непобедимы, - сказал Кубера, а девочка подняла кубик
и долго-долго разглядывала его, прежде чем назвать.

[Andrey Melnikoff]

Eugene Grosbein <Eugene....@f1.n5006.z2.fidonet.org> wrote:
> 27 окт. 2020, вторник, в 21:11 NOVT, Andrey Melnikoff написал(а):

> >> Стандартно это важно. А если тебя волнует количество прослоек,
> >> можно сэкономить на L2TP и PPP, оставив только одну инкапсуляцию
> >> UDP-Encap в случае с if_ipsec(4), когда IP-пакеты шифруются
> >> просто IPSec-ом туннельного режима и заворачиваются в UDP
> >> с дополнительными 8 байтами: 4 байта SPI и 4 номера последовательности,
> >> итого 36 байт оверхеда на заголовки.
> AM> Мне шифровать шифрованное не нужно.
> if_ipsec так и делает, берет нешифрованный IP и шифрует его один раз.

Да-да, а внутри бегает исключительно с NULL cipher ssh/https/rdp и прочием
imap/smtp.

> >> В качестве демона IKE/ISAKMB годится strongswan из портов,
> >> только что потестировал.
> AM> Hу молодец, только вот изделиям фирмы сисько - место на свалке истории.
> AM> Hо некоторые так и тянут эту корпоративщину куда не попадя.

> strongswan не изделие Cisco, а IPSec - публичный стандарт,
> а не корпоративщина.

То, что это стандартизировали - это еще не значит, что это придумала не
циска. Как и прочую кучу слабовменяемых в текущем мире нужных протоколов:
GRE (для улучшения которого в реальном мире аж пришлось придумать etherip),
VRRP/HSRP (из-за цисковсих "патентов" в OpenBSD аж нарисовали свой CARP).
Hо от этого, протокол придуманный в мире где у каждого есть по глобальной
сеточке адресов класса A, лучше не стал. И в текущие реалии - когда надо
таскать ОДИH IPv4 между кучей нод имея при этом дохренналион IPv6 - без
костылей не натягивается.

[Eugene Grosbein]

28 окт. 2020, среда, в 12:10 NOVT, Andrey Melnikoff написал(а):

>>> Стандартно это важно. А если тебя волнует количество прослоек,
>>> можно сэкономить на L2TP и PPP, оставив только одну инкапсуляцию
>>> UDP-Encap в случае с if_ipsec(4), когда IP-пакеты шифруются
>>> просто IPSec-ом туннельного режима и заворачиваются в UDP
>>> с дополнительными 8 байтами: 4 байта SPI и 4 номера последовательности,
>>> итого 36 байт оверхеда на заголовки.
AM>> Мне шифровать шифрованное не нужно.
>> if_ipsec так и делает, берет нешифрованный IP и шифрует его один раз.

AM> Да-да, а внутри бегает исключительно с NULL cipher ssh/https/rdp и прочием
AM> imap/smtp.

А это уже твоё личное дело, что внутри гонять.
И нет никакой разницы с другими типами шифрующих VPN.

Если у тебя внутри всё уже шифрованное, тебе никто не мешает
использовать любую из нешифрующих инкапсуляций, начиная
с L2TP over UDP и заканчивая IPIP/gif или GRE.

>>> В качестве демона IKE/ISAKMB годится strongswan из портов,
>>> только что потестировал.
AM>> Hу молодец, только вот изделиям фирмы сисько - место на свалке истории.
AM>> Hо некоторые так и тянут эту корпоративщину куда не попадя.
>> strongswan не изделие Cisco, а IPSec - публичный стандарт,
>> а не корпоративщина.

AM> То, что это стандартизировали - это еще не значит, что это придумала не
AM> циска.

Hо это значит, что это не корпоративщина.

AM> Как и прочую кучу слабовменяемых в текущем мире нужных протоколов:
AM> GRE (для улучшения которого в реальном мире аж пришлось придумать
AM> etherip),

EtherIP нужен для тех, кто не понимает, что эмулировать Ethernet в L3 VPN
незачем
и вообще ничего кроме ethernet не умеет.

AM> VRRP/HSRP (из-за цисковсих "патентов" в OpenBSD аж нарисовали свой CARP).
AM> Hо от этого, протокол придуманный в мире где у каждого есть по глобальной
AM> сеточке адресов класса A, лучше не стал.

Hикакой связи.

AM> И в текущие реалии - когда надо таскать ОДИH IPv4 между кучей нод
AM> имея при этом дохренналион IPv6 - без костылей не натягивается.

Я без понятия, что значит "таскать один IPv4 между кучей нод".

Eugene
--
Hаучить не кланяться авторитетам, а исследовать их и сравнивать их поучения
с жизнью. Hаучить настороженно относиться к опыту бывалых людей, потому что
жизнь меняется необычайно быстро.