Маленькое пожелание для улучшения конфигуратора

Что вы хотели бы видеть в следующих версиях?
Ответить
Rushmore
Сообщения: 358
Зарегистрирован: Пн фев 11, 2013 9:36 pm

Маленькое пожелание для улучшения конфигуратора

Сообщение Rushmore » Пт авг 01, 2014 3:05 pm

Когда терминал загружается, он шлет броадкаст по UDP на 779 порт со своими настройками. Конфигуратор его ловит и отображает изменения в реал-тайме. Хороший, годный функционал.

Но! Часто между конфигуратором и терминалом куча роутеров/туннелей и прочей хрени, которые не пропускают броадкасты. Приходится извращаться через всякие UDP хелперы, чтобы передать такой пакет от подсети, в которой живет терминал, в административную подсеть. И всё бы ничего, но при такой пересылке меняется IP адрес отправителя (Sender IP), а по нему конфигуратор определяет IP адрес терминала. В связи с этим пожелание дописывать IP адрес терминала в сам пакет и конфигуратор пусть читает его оттуда, а на Sender IP просто забить, т.е. сделать как это реализовано в DHCP relay. Тогда будет гораздо проще передавать пакет между подсетями. Фактически через любой UDP Helper, да даже можно просто через socat.

А может, слать на конкретный адрес? Только вот куда? Определить в конфиге? Имхо в этом случае броадкаст как раз удобен.

Или я многого прошу?

aka
Разработчик
Разработчик
Сообщения: 9486
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Маленькое пожелание для улучшения конфигуратора

Сообщение aka » Пт авг 01, 2014 3:39 pm

Зачем конфигуратору надо видеть терминал, который живёт за кучей роутеров и не обращается ни к одной втваревой службе на том сервере, где запущен конфигуратора?

Rushmore
Сообщения: 358
Зарегистрирован: Пн фев 11, 2013 9:36 pm

Re: Маленькое пожелание для улучшения конфигуратора

Сообщение Rushmore » Пт авг 01, 2014 4:49 pm

Ну это типа сервер администрирования wtware )) На нем лежат конфигурации терминалов, которые раздаются по http на несколько подсетей, и запускается конфигуратор.

Удобно, когда видишь и конфигуряешь все терминалы в одном месте ))

aka
Разработчик
Разработчик
Сообщения: 9486
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Маленькое пожелание для улучшения конфигуратора

Сообщение aka » Пт авг 01, 2014 5:21 pm

Понял. http не наш. Если бы терминал попытался взять конфиг у нашего tftp, наш tftp рассказал бы об этом конфигуратору и терминал появился бы в списке.

Может лучше http сделать?

Rushmore
Сообщения: 358
Зарегистрирован: Пн фев 11, 2013 9:36 pm

Re: Маленькое пожелание для улучшения конфигуратора

Сообщение Rushmore » Пт авг 01, 2014 9:14 pm

aka писал(а):Может лучше http сделать?
Ну мне кажется, что более-менее приличный http сервер на порядок сложнее делать, чем добавить 4 байта к широковещательному пакету, не?

Там нужно-то всего ничего: чтобы терминал дописывал свой IP адрес в пакет и примитивная проверка в конфигураторе: если в пакете передан адрес отправителя - используем его. Если нет - используем адрес отправителя из сокета, как раньше. На пять минут работы ))

В принципе, я научился спуфить адрес отправителя с помощью hping, шелл-скрипта и такой-то матери. Схема вполне работает, но спуфить пакеты по дороге как-то не комильфо. Если бы у меня роутеры между подсетями были на линуксе, можно было бы использовать для этого iptables. А так приходится извращаться.

Но это все фигня, главное что ASEDrive теперь работает. Еще раз спасибо за это!

aka
Разработчик
Разработчик
Сообщения: 9486
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Маленькое пожелание для улучшения конфигуратора

Сообщение aka » Пт авг 01, 2014 11:35 pm

Rushmore писал(а):Схема вполне работает, но спуфить пакеты по дороге как-то не комильфо.
Странно. Конфигратор должно плющить от того, что МАК отправителя не совпадает с МАКом, который должен быть у терминала. :?

Rushmore
Сообщения: 358
Зарегистрирован: Пн фев 11, 2013 9:36 pm

Re: Маленькое пожелание для улучшения конфигуратора

Сообщение Rushmore » Сб авг 02, 2014 12:32 am

Нет, не плющит. Работает, к счастью ))

А для чего такие жОсткие проверки?

aka
Разработчик
Разработчик
Сообщения: 9486
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Маленькое пожелание для улучшения конфигуратора

Сообщение aka » Ср апр 06, 2016 2:20 am

Добавил IP в широковещательный пакет. И подпись добавил, но пока без подписи тоже работает, когда-нибудь позже конфигуратор станет игнорировать пакеты без подписи. А то спуфят тут всякие :twisted: Йа параноег, да. Но подпись всё равно не спасает: всегда можно создать в виртуальной машине втвари условия, чтоб втварь сделала и подписала нужный пакет. И потом, закинув этот пакет тебе в сеть броадкастом, заставить конфигуратор прописать левые значения. Типа шутка такая получится, попробуй пойми почему в конфигураторе левые значения. А если на этой же машине ещё и наш dhcp... Чёт я нервный стал после того товарища, у которого втвари на дисках по http поломали.

Rushmore
Сообщения: 358
Зарегистрирован: Пн фев 11, 2013 9:36 pm

Re: Маленькое пожелание для улучшения конфигуратора

Сообщение Rushmore » Ср апр 06, 2016 7:07 am

aka писал(а):И потом, закинув этот пакет тебе в сеть броадкастом, заставить конфигуратор прописать левые значения. Типа шутка такая получится, попробуй пойми почему в конфигураторе левые значения.
Тут ведь как и везде, просто нужен компромисс между удобством и безопасностью.
aka писал(а):А если на этой же машине ещё и наш dhcp... Чёт я нервный стал после того товарища, у которого втвари на дисках по http поломали.
А что за история?

aka
Разработчик
Разработчик
Сообщения: 9486
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Маленькое пожелание для улучшения конфигуратора

Сообщение aka » Ср апр 06, 2016 10:56 am

Установили кучку втварей на винты, и конфиги на винтах. Администратор не знал, что конфиги можно по http редактировать, пароли не ставил. Почему-то режим работы был такой, что машины не выключались, но перегружались по утрам. И по ночам конфиги стали пропадать пачками. Достучались до нас, мы тоже тормозили, пока догадались httpd=off сделать они успели перенастроить всё по третьему разу. Ругались сильно...

zhendosina
Сообщения: 341
Зарегистрирован: Пн янв 19, 2015 3:18 pm

Re: Маленькое пожелание для улучшения конфигуратора

Сообщение zhendosina » Ср авг 10, 2016 9:59 am

Страдаю от примерно похожей фигни. Сервер втвари крутится у хостера на vps. От офиса до хостера - vpn, настроенный ими же. Судя по всему это ipsec. Терминалы часто получают разные адреса от DHCP. Бондинг не всегда отрабатывает на dhcp. И получается такая штука, что у терминалов часто меняются адреса. Это неудобно. Если бы можно было задать статические адреса - я бы добавил "A записи" в dns и обращался к ним по имени. А так мне, для установки подключения по vnc нужно:
1) - Подключиться по RDP к серваку с втварью
2) - Найти там адрес конкретного терминала.
3) - попробовать подключиться
4) - если не сработал пункт 4, но пользователь говорит, что у него терминал включен - запускаю ip scanner
5) - нахожу в выдаче сканнера все терминалы, начинаю заходить на каждый по http, чтобы в разделе Compiled Config file найти в строке clienthostname= нужное название
6) захожу по vnc и оказываю техподдержку.

После перехода на втваревый http - пункт 4 отрабатывает в 9 случаях из 10. Но есть терминалы, где все же это не всегда срабатывает. Увы. Скорее всего с vpn что-то.

Rushmore
Сообщения: 358
Зарегистрирован: Пн фев 11, 2013 9:36 pm

Re: Маленькое пожелание для улучшения конфигуратора

Сообщение Rushmore » Ср авг 10, 2016 7:30 pm

zhendosina писал(а):Терминалы часто получают разные адреса от DHCP. Бондинг не всегда отрабатывает на dhcp. И получается такая штука, что у терминалов часто меняются адреса. Это неудобно.
DHCP сервер втваревый или другой? И где он находится - в офисе у вас или в датацентре за vpn?

zhendosina
Сообщения: 341
Зарегистрирован: Пн янв 19, 2015 3:18 pm

Re: Маленькое пожелание для улучшения конфигуратора

Сообщение zhendosina » Ср авг 10, 2016 8:13 pm

Rushmore писал(а):
zhendosina писал(а):Терминалы часто получают разные адреса от DHCP. Бондинг не всегда отрабатывает на dhcp. И получается такая штука, что у терминалов часто меняются адреса. Это неудобно.
DHCP сервер втваревый или другой? И где он находится - в офисе у вас или в датацентре за vpn?
DHCP на микротике в офисе, Втварь в датацентре. Между датацентром и втварью - vpn.

Rushmore
Сообщения: 358
Зарегистрирован: Пн фев 11, 2013 9:36 pm

Re: Маленькое пожелание для улучшения конфигуратора

Сообщение Rushmore » Чт авг 11, 2016 8:11 am

zhendosina писал(а):DHCP на микротике в офисе, Втварь в датацентре. Между датацентром и втварью - vpn.
Микротик DHCP вроде поддерживает резервации по MAC адресу?

zhendosina
Сообщения: 341
Зарегистрирован: Пн янв 19, 2015 3:18 pm

Re: Маленькое пожелание для улучшения конфигуратора

Сообщение zhendosina » Чт авг 11, 2016 8:13 am

Rushmore писал(а):
zhendosina писал(а):DHCP на микротике в офисе, Втварь в датацентре. Между датацентром и втварью - vpn.
Микротик DHCP вроде поддерживает резервации по MAC адресу?
Угу, только доступа к нему нету :) Он провайдерский, настроен по тз. А еще там беда - у него оно слетало часто, по крайней мере в прошлой прошивке. В свежей вроде как ок.

Rushmore
Сообщения: 358
Зарегистрирован: Пн фев 11, 2013 9:36 pm

Re: Маленькое пожелание для улучшения конфигуратора

Сообщение Rushmore » Чт авг 11, 2016 2:28 pm

zhendosina писал(а):Угу, только доступа к нему нету :) Он провайдерский, настроен по тз. А еще там беда - у него оно слетало часто, по крайней мере в прошлой прошивке. В свежей вроде как ок.
Попросите провайдера прописать TTL аренды адреса побольше, скажем дней на 10. Уже полегче станет. Если конечно адресов на всех хватает.
Второй вариант: попросите провайдера на микротике сделать DHCP релей, поднимите втваревский DHCP сервер там где стоит конфигуратор. Будете сами рулить.

zhendosina
Сообщения: 341
Зарегистрирован: Пн янв 19, 2015 3:18 pm

Re: Маленькое пожелание для улучшения конфигуратора

Сообщение zhendosina » Пт авг 12, 2016 2:06 pm

Rushmore писал(а):
zhendosina писал(а):Угу, только доступа к нему нету :) Он провайдерский, настроен по тз. А еще там беда - у него оно слетало часто, по крайней мере в прошлой прошивке. В свежей вроде как ок.
Попросите провайдера прописать TTL аренды адреса побольше, скажем дней на 10. Уже полегче станет. Если конечно адресов на всех хватает.
Второй вариант: попросите провайдера на микротике сделать DHCP релей, поднимите втваревский DHCP сервер там где стоит конфигуратор. Будете сами рулить.
Примерно так и сделали. Но нервов это стоило... Статика была бы удобней)

zhendosina
Сообщения: 341
Зарегистрирован: Пн янв 19, 2015 3:18 pm

Re: Маленькое пожелание для улучшения конфигуратора

Сообщение zhendosina » Вс апр 15, 2018 9:08 am

Я тут подниму еще раз вопрос про статику, существенно облегчило бы жизнь

aka
Разработчик
Разработчик
Сообщения: 9486
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Маленькое пожелание для улучшения конфигуратора

Сообщение aka » Вс апр 15, 2018 4:01 pm

Моя не понимать. Что надо сделать?

zhendosina
Сообщения: 341
Зарегистрирован: Пн янв 19, 2015 3:18 pm

Re: Маленькое пожелание для улучшения конфигуратора

Сообщение zhendosina » Вт апр 17, 2018 11:02 am

aka писал(а):
Вс апр 15, 2018 4:01 pm
Моя не понимать. Что надо сделать?
Дать возможность присвоить статический ip терминалу через конфигурацию

aka
Разработчик
Разработчик
Сообщения: 9486
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Маленькое пожелание для улучшения конфигуратора

Сообщение aka » Вт апр 17, 2018 11:32 am

Присвоить или поменять? Если поменять - я против. Смена IP во время работы обязательно кончится глюками.

zhendosina
Сообщения: 341
Зарегистрирован: Пн янв 19, 2015 3:18 pm

Re: Маленькое пожелание для улучшения конфигуратора

Сообщение zhendosina » Вт апр 17, 2018 2:59 pm

aka писал(а):
Вт апр 17, 2018 11:32 am
Присвоить или поменять? Если поменять - я против. Смена IP во время работы обязательно кончится глюками.
Схема видится следующая: терминал запрашивает адрес по DHCP -> загружает систему, загружает конфиги -> подставляет адрес из конфига и работает уже с ним.

aka
Разработчик
Разработчик
Сообщения: 9486
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Маленькое пожелание для улучшения конфигуратора

Сообщение aka » Вт апр 17, 2018 5:36 pm

Понял. Я не буду такое реализовывать и другим настойчиво не рекомендую. Почините DHCP.

Ответить