Маленькое пожелание для улучшения конфигуратора

[Rushmore]

Когда терминал загружается, он шлет броадкаст по UDP на 779 порт со своими настройками. Конфигуратор его ловит и отображает изменения в реал-тайме. Хороший, годный функционал.

Но! Часто между конфигуратором и терминалом куча роутеров/туннелей и прочей хрени, которые не пропускают броадкасты. Приходится извращаться через всякие UDP хелперы, чтобы передать такой пакет от подсети, в которой живет терминал, в административную подсеть. И всё бы ничего, но при такой пересылке меняется IP адрес отправителя (Sender IP), а по нему конфигуратор определяет IP адрес терминала. В связи с этим пожелание дописывать IP адрес терминала в сам пакет и конфигуратор пусть читает его оттуда, а на Sender IP просто забить, т.е. сделать как это реализовано в DHCP relay. Тогда будет гораздо проще передавать пакет между подсетями. Фактически через любой UDP Helper, да даже можно просто через socat.

А может, слать на конкретный адрес? Только вот куда? Определить в конфиге? Имхо в этом случае броадкаст как раз удобен.

Или я многого прошу?

[aka]

Зачем конфигуратору надо видеть терминал, который живёт за кучей роутеров и не обращается ни к одной втваревой службе на том сервере, где запущен конфигуратора?

[Rushmore]

Ну это типа сервер администрирования wtware )) На нем лежат конфигурации терминалов, которые раздаются по http на несколько подсетей, и запускается конфигуратор.

Удобно, когда видишь и конфигуряешь все терминалы в одном месте ))

[aka]

Понял. http не наш. Если бы терминал попытался взять конфиг у нашего tftp, наш tftp рассказал бы об этом конфигуратору и терминал появился бы в списке.

Может лучше http сделать?

[Rushmore]

Может лучше http сделать?

Ну мне кажется, что более-менее приличный http сервер на порядок сложнее делать, чем добавить 4 байта к широковещательному пакету, не?

Там нужно-то всего ничего: чтобы терминал дописывал свой IP адрес в пакет и примитивная проверка в конфигураторе: если в пакете передан адрес отправителя - используем его. Если нет - используем адрес отправителя из сокета, как раньше. На пять минут работы ))

В принципе, я научился спуфить адрес отправителя с помощью hping, шелл-скрипта и такой-то матери. Схема вполне работает, но спуфить пакеты по дороге как-то не комильфо. Если бы у меня роутеры между подсетями были на линуксе, можно было бы использовать для этого iptables. А так приходится извращаться.

Но это все фигня, главное что ASEDrive теперь работает. Еще раз спасибо за это!

[aka]

Схема вполне работает, но спуфить пакеты по дороге как-то не комильфо.

Странно. Конфигратор должно плющить от того, что МАК отправителя не совпадает с МАКом, который должен быть у терминала.

[Rushmore]

Нет, не плющит. Работает, к счастью ))

А для чего такие жОсткие проверки?

[aka]

Добавил IP в широковещательный пакет. И подпись добавил, но пока без подписи тоже работает, когда-нибудь позже конфигуратор станет игнорировать пакеты без подписи. А то спуфят тут всякие Йа параноег, да. Но подпись всё равно не спасает: всегда можно создать в виртуальной машине втвари условия, чтоб втварь сделала и подписала нужный пакет. И потом, закинув этот пакет тебе в сеть броадкастом, заставить конфигуратор прописать левые значения. Типа шутка такая получится, попробуй пойми почему в конфигураторе левые значения. А если на этой же машине ещё и наш dhcp... Чёт я нервный стал после того товарища, у которого втвари на дисках по http поломали.

[Rushmore]

И потом, закинув этот пакет тебе в сеть броадкастом, заставить конфигуратор прописать левые значения. Типа шутка такая получится, попробуй пойми почему в конфигураторе левые значения.

Тут ведь как и везде, просто нужен компромисс между удобством и безопасностью.

А если на этой же машине ещё и наш dhcp... Чёт я нервный стал после того товарища, у которого втвари на дисках по http поломали.

А что за история?

[aka]

Установили кучку втварей на винты, и конфиги на винтах. Администратор не знал, что конфиги можно по http редактировать, пароли не ставил. Почему-то режим работы был такой, что машины не выключались, но перегружались по утрам. И по ночам конфиги стали пропадать пачками. Достучались до нас, мы тоже тормозили, пока догадались httpd=off сделать они успели перенастроить всё по третьему разу. Ругались сильно...

[zhendosina]

Страдаю от примерно похожей фигни. Сервер втвари крутится у хостера на vps. От офиса до хостера - vpn, настроенный ими же. Судя по всему это ipsec. Терминалы часто получают разные адреса от DHCP. Бондинг не всегда отрабатывает на dhcp. И получается такая штука, что у терминалов часто меняются адреса. Это неудобно. Если бы можно было задать статические адреса - я бы добавил "A записи" в dns и обращался к ним по имени. А так мне, для установки подключения по vnc нужно:
1) - Подключиться по RDP к серваку с втварью
2) - Найти там адрес конкретного терминала.
3) - попробовать подключиться
4) - если не сработал пункт 4, но пользователь говорит, что у него терминал включен - запускаю ip scanner
5) - нахожу в выдаче сканнера все терминалы, начинаю заходить на каждый по http, чтобы в разделе Compiled Config file найти в строке clienthostname= нужное название
6) захожу по vnc и оказываю техподдержку.

После перехода на втваревый http - пункт 4 отрабатывает в 9 случаях из 10. Но есть терминалы, где все же это не всегда срабатывает. Увы. Скорее всего с vpn что-то.

[Rushmore]

Терминалы часто получают разные адреса от DHCP. Бондинг не всегда отрабатывает на dhcp. И получается такая штука, что у терминалов часто меняются адреса. Это неудобно.

DHCP сервер втваревый или другой? И где он находится - в офисе у вас или в датацентре за vpn?

[zhendosina]

Терминалы часто получают разные адреса от DHCP. Бондинг не всегда отрабатывает на dhcp. И получается такая штука, что у терминалов часто меняются адреса. Это неудобно.

DHCP сервер втваревый или другой? И где он находится - в офисе у вас или в датацентре за vpn?

DHCP на микротике в офисе, Втварь в датацентре. Между датацентром и втварью - vpn.

[Rushmore]

DHCP на микротике в офисе, Втварь в датацентре. Между датацентром и втварью - vpn.

Микротик DHCP вроде поддерживает резервации по MAC адресу?

[zhendosina]

DHCP на микротике в офисе, Втварь в датацентре. Между датацентром и втварью - vpn.

Микротик DHCP вроде поддерживает резервации по MAC адресу?

Угу, только доступа к нему нету Он провайдерский, настроен по тз. А еще там беда - у него оно слетало часто, по крайней мере в прошлой прошивке. В свежей вроде как ок.

[Rushmore]

Угу, только доступа к нему нету Он провайдерский, настроен по тз. А еще там беда - у него оно слетало часто, по крайней мере в прошлой прошивке. В свежей вроде как ок.

Попросите провайдера прописать TTL аренды адреса побольше, скажем дней на 10. Уже полегче станет. Если конечно адресов на всех хватает.
Второй вариант: попросите провайдера на микротике сделать DHCP релей, поднимите втваревский DHCP сервер там где стоит конфигуратор. Будете сами рулить.

[zhendosina]

Угу, только доступа к нему нету Он провайдерский, настроен по тз. А еще там беда - у него оно слетало часто, по крайней мере в прошлой прошивке. В свежей вроде как ок.

Попросите провайдера прописать TTL аренды адреса побольше, скажем дней на 10. Уже полегче станет. Если конечно адресов на всех хватает.
Второй вариант: попросите провайдера на микротике сделать DHCP релей, поднимите втваревский DHCP сервер там где стоит конфигуратор. Будете сами рулить.

Примерно так и сделали. Но нервов это стоило... Статика была бы удобней)

[zhendosina]

Я тут подниму еще раз вопрос про статику, существенно облегчило бы жизнь

[aka]

Моя не понимать. Что надо сделать?

[zhendosina]

Моя не понимать. Что надо сделать?

Дать возможность присвоить статический ip терминалу через конфигурацию

[aka]

Присвоить или поменять? Если поменять - я против. Смена IP во время работы обязательно кончится глюками.

[zhendosina]

Присвоить или поменять? Если поменять - я против. Смена IP во время работы обязательно кончится глюками.

Схема видится следующая: терминал запрашивает адрес по DHCP -> загружает систему, загружает конфиги -> подставляет адрес из конфига и работает уже с ним.

[aka]

Понял. Я не буду такое реализовывать и другим настойчиво не рекомендую. Почините DHCP.