» Флейм для сисадминов (часть V)

Всем здрасти!

Подскажите советом - какую железку можно купить что бы воткнуть ее до сервера-шлюза, да бы раздать инет на еще один шлюз и через него пустить все сервера?

Я конечно видел реализацию подобного дела на Dir 100, но хочется верить что есть более надежные железки, и как то методом научного тыка перепробовать все cisco, с одной стороны охота, но с другой в конторе могут кончится из за этого деньги

NskRonin

Любая "железка" это софт. В том числе и циска.

Вам "надёжность" нужна по какому критерию? По качеству изготовления железа? Софта? По простоте интерфейса управления (залоченности/скрытости от глаз незнакомых фич)? По степени раскрученности и успешности бренда? По ценнику гарантийного сервиса?



Добавлено:

И опять же, КОМУ НА САМОМ ДЕЛЕ нужна та "надёжность"?
Вам или Вашему работодателю - чтобы спокойнее Вас уволить после того, как Вы "один раз настроите и забудете"?

Может быть, админу нужна какая-то другая надёжность, не совсем та, что другим сторонам, возбуждающимся от этого слова?


Добавлено:

Моё собственное мнение: надёжность обеспечивается умением админа за 15-20-30 минут поднять софтовый шлюз и заменить им любую выбывшую железку. Не следует использовать такие железки, функционал которых невозможно заменить самосбором из подручного софта. С учётом этого критерия все железки и софт взаимозаменимы.

Понятно, что это лишь идеал, мною самим не вполне достигнутый. Но приближение меня устраивает. Причём развиваюсь я, а не объёмы потраченных через меня денег.

LevT

Ну я как то всю жизнь думал что надежность - это отказоустойчивость и время uptime стремящееся к 99,9 %.

Я просто хочу раз это настроить и забыть что это такое там жужжжжжжжит.

Понятно, что можно схватить любой из выбывших из строя системник и очень - очень быстро поднять новый шлюз, но пока у меня такой задачи не стоит, да и за состоянием текущего вроде слежу.

Мне просто нужен совет что воткнуть между линией провайдера и нынешним сервером, что бы и сего получить безлимитный (в плане юзеров) шлюз.

Я для чего привел пример с dir 100 - я не с потолка это взял - я работал в конторе где это было сделано, вот только этот самый дир ложился раз в неделю, порой чаще, да и так сюрпризов подбрасывал. Как там сейчас дела обстоят не знаю, но по какой то причине его не меняют... видимо админы показывают, как я сейчас это понимаю, свою нужность фирме эпизодический выводя "волшебным" образом инет из ступора.

Добавлено:

Цитата:

Вам или Вашему работодателю - чтобы спокойнее Вас уволить после того, как Вы "один раз настроите и забудете"?

Я работаю на совесть. Со всеми вытекающими последствиями

Цитата:

Alukardd Видимо не может кроссатором расшить  в разъёмы.
Tox0 Поскольку кабель многожильный, может получится  отделить1-2 проводка из жгута  и их кроссировать ?

Не получалось, т.к. проводки уж слишком тонкие, видимо, на кабеле тоже сэкономили. В результате изоляция просто не прорезалась. По одному проводку тоже не получилось, т.к. они прекрасно также оттуда и вываливались. Решилось все покупкой совершенно других розеток - с винтовыми зажимами...

NskRonin

Цитата:

Ну я как то всю жизнь думал что надежность - это отказоустойчивость и время uptime стремящееся к 99,9 %.

Я не знаю "железок чтобы воткнуть перед сервером-шлюзом", при том "отказоустойчивых" и не требующих настройки. А где настройка, там и перенастройка рано или поздно занадобится. Человеческий фактор.. Слабое звено неуверенный админ.

А вот софтовые роутеры у меня примерно с таким аптаймом и пашут. Что я делаю не так? Отказоустойчивость может быть достигнута дальнейшим горизонтальным масштабированием, я в неё поигрался и пока задвинул: решаю более важные на сегодня задачи.



Цитата:

Мне просто нужен совет что воткнуть между линией провайдера и нынешним сервером, что бы и сего получить безлимитный (в плане юзеров) шлюз.

Да что угодно. Надежность домашнего-сохо класса железок непредсказуема. Например, довольно дорогие корбиновские зухели (не кинетики, а предыдущего поколения) повмирали как мухи аккурат по истечении гарантийного срока.

Может быть, стоит чуточку проапгрейдить собственный скилл до такого состояния, когда просто пофиг что втыкать? Я вот могу и тот Dir-100 поставить: заглючит - поменяю вмиг на то, что окажется под рукой. Окажется циска - воткну циску. (Но циска вряд ли теперь окажется: я свою 877 подарил молодому коллеге, и больше не вижу нужды их покупать.)



Цитата:

Я рабою на совесть. Со всеми выкающими последствиями

Эти две очепятки несут какой-то глубокий смысл?

Может быть, "совесть" неправильный рабодатель, выкающая неправильные последствия? Вдруг от приобретения уверенности в обращении с роутерами проистекут более благоприятные последствия, в том числе и для совести?



Добавлено:

Цитата:

Понятно, что можно схватить любой из выбывших из строя системник и очень

Виртуализация роутеров наше ФСЁ!!!


Добавлено:

У меня несколько хостов ESXi объединены распределённым свичом, на каждом из них присутствуют провайдерские вланы. Запасной шлюз-"черный ход" живёт сейчас, например, в бухгалтерии в 60 метрах от провайдерских хвостов и с полпинка переезжает под любой другой сервак.

На минувшей неделе одним прекрасным вечером я просто ради тренировки, сидя дома, поднял в виртуалке TMG 2010, выпустил контору в интернет и опубликовал через него все актуальные сервисы. А следующим вечером вернул взад шлюз микротик, оставив TMG выключенным про запас.


Добавлено:

NskRonin

Любые "железки" это софт с фиксированной конфигурацией.
Смысл покупки железок - только в экономии на квалифицированном админе, умеющем этот софт конфигурировать и обеспечивать надёжность системы из ненадёжных по отдельности компонент.

Нужно ли именно админу экономить на собственной квалификации?

LevT

Цитата:

На минувшей неделе одним прекрасным вечером я просто ради тренировки, сидя дома, поднял в виртуалке TMG 2010, выпустил контору в интернет и опубликовал через него все актуальные сервисы.

удаленно конфигурировать firewall к дальней дороге (с) народная мудрость

вчера искал самый простой способ для пользователя сжать картику.
цель фотоотчеты, которые они шлют по электронке, весят сильно много, нужно их облегчить.
Самое простое решение оказалось открыть в paint и просто сохранить.
раньше мучался с уменьшением количества точек....

LevT

Опечатки исправил ))))))))


Цитата:

Нужно ли именно админу экономить на собственной квалификации?

Ок. Железки не беру. Буду шлюз промежуточный поднимать )

Доброго времени суток, столкнулся с проблемой, всем в офисе нужен был доступ к серверу через rdp + работа с 1С, настроил всё ок, теперь им надо что бы при втыкании флешки она показывалась на сервере, как это можно реализовать ?

tempik
В свойствах RDP-соединения разрешить маппирование дисков.

artemk

Цитата:

удаленно конфигурировать firewall к дальней дороге (с) народная мудрость

с помощью описанной выше конструкции я эту мудрость перемудрил. Там в конторе ноги моей не было уже скоро месяц.
Мало того, выбор вечернего времени это моя перестраховки на случай неверного юзерского экспириенса после переключения шлюза: реально я могу конфигурять новый шлюз не мешая работе конторы, а та моей.

Кстати. Наутро с TMG выявилась проблемка: разномастные броузеры у юзеров не всегда понимают розданный шлюзом через certutil сертификат HTTPS-инспекции. Существует ли системное её решение, кроме административного запрета невоспитанных браузеров? FF точно невоспитанный, а хром и оперу я не стал проверять на живых людях, поспешив отключить инспекцию.


Добавлено:
artemk

Цитата:

вчера искал самый простой способ для пользователя сжать картику.
цель фотоотчеты, которые они шлют по электронке, весят сильно много, нужно их облегчить.
Самое простое решение оказалось открыть в paint и просто сохранить.
раньше мучался с уменьшением количества точек....

А кто-то знает, как проще автоматизировать перепаковку пакета (папочки) файнридера? Приятельница отсканила книжку, теперь ноет, чтобы я ей помог её напечатать - а пакет тот даже на двд не влезает. Хочу предложить ей тем же файнридером (раз уж она с ним навострилась как-то.. потому что "сканировать" ни в чём больше не умеет) сохранить все картинки по отдельности в ч/б.

Но попутно неплохо бы обрезать поля у всех страниц по шаблону. Если мне удастся этот процесс автоматизировать - может быть, разумнее будет взять пересохранение на себя.


Добавлено:
tempik
Здесь в Варезнике давно пробуют на зуб жадные софты типа "USB over RDP". Кряки я не тестировал, потому что вопрос ребром для меня не вставал - но может ваши бухи себе любимым их купят?

Полагаю, что купленные лицензии могли бы помочь здешним умельцам из Андерграунда (на условиях нераспространения).



Добавлено:
А-ааа.. заметил, что речь только о флешках. Тогда не надо никаких сторонних софтов.

LevT
Цитата:

не всегда понимают розданный шлюзом через certutil сертификат HTTPS-инспекции

у? Первый раз слышу. Совсем что ли страх потеряли? Они в TMG полноценный MITM впихнули и хотят что бы браузеры на него не ругались? оО Ну тогда раздайте через GP им свой ca. А вообще это ппц.

Олл, может кто-нибудь порекомендовать софт (Teleport Pro, Offline Explorer и т.д.) для скачивания и последующего просмотра сайтов: 1) с поддержкой скачивания облака тэгов (tag cloud) и 2) под винду.
Давно не следил за обновлениями, а тут понадобилось.

Посоветуйте как бороться с узерами, которые выдергивают сетевой шнур из ПК, чтобы не возможно было отследить средствами удаленного администрирования, что пользователь делает на ПК...
В AD срок службы кеша 7 дней, получается 7 дней могут логиниться в АД без проблем....

OOD
Ну на просторах инета есть скрипты типа [more=этого]'check for unplugged network cord during logon
'checks for mapped drives
'merge registry key to run
'| Windows Registry Editor Version 5.00
'| [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
'| "check-home-dir"="\"C:\\WINDOWS\\check-home-dir.vbs\""
'copy this vbs file to c:\windows directory
'John Cook - 03/2007

Dim objNetwork
Dim strUserName
Dim WshShell

Set objNetwork = WScript.CreateObject("WScript.Network")
Set WshShell = WScript.CreateObject("WScript.Shell")
Set WshNetwork = WScript.CreateObject("WScript.Network")
Set ObjFSO = CreateObject("Scripting.FileSystemObject")

WScript.Sleep 5000 ' five seconds
strUserName = objNetwork.UserName
if strUserName = "Administrator" then
else
if ObjFSO.DriveExists("k:") then
else
WshShell.Run "logoff.exe"
msgbox "Do not unplug the network Cable"
End if
End if[/more].

По заявлению провайдера скорость входящая должна доходить до 8 мбит/сек. У нас же страницы еле открываются(даже спидтест не могу пройти) (АДСЛ), хотя делим его на четыре компа, может из за этого? С торрентов хорошая скорость. Может надо как то по спец. делить интернет.

buiop
Еще бы у вас при включенных торентах страницы быстро грузились бы.

C трекеров не качаю. Сегодня просто взбрело проверить. ФИльм за нескоько минут скачался. А так никто не качает.

Alukardd

Цитата:

? Они в TMG полноценный MITM впихнули и хотят что бы браузеры на него не ругались? оО Ну тогда раздайте через GP им свой ca

С FF фишка та, что у него свое собственное хранилище сертификатов, а виндовое им игнорируется. Кроме того, простой (до довольно продвинутый) юзер не смог добавить тот TMG-шный сертификат в исключения, внезапно! (Может быть здесь как раз проявилсь трогательная забота о нём мазилы?)

В гуглях встречаются довольно намороченные решение для раздачи сертификатов в хранилище FF... но я что-то пока не определился с собственным приоритетом: осваивать и внедрять те решения занятие мой личный ресурс поглощающее - а мне сейчас ехать надо. )

Но когда ничего более важного не останется, обещаю: я непременно займусь приручением FF.

Коллеги, помогите разобраться с одним на вид простым задачей... хотя с тех.стороной мне кажется невозможным..

Есть один руководитель, с ноутбуком и любимым 3G модемом, ходит постоянно по городу, по торговым точкам. у него есть программа самописная (для внутреннего использования), куда подключаются менеджеры. все было спроектировано, что у него будет белый IP, и клиенты backconnect_ом подключатся к базе. У клиентов настроен все через no-ip, , с таким же расчетом, чтоб при смене IP у главного смогли все подключится.
Но вот из за этого 3G модема появилась большая проблема - 3G модем получает серый IP адрес от сотового оператора (типа 10.xx.xx.xx, т.е. из класса А), естественно подключиться не удастся.
Может есть какой нибудь сервис, который сможет выдать "белый IP" ?

contrafack
Пинайте оператора, они предоставляют внешние адреса за отдельную денюжку.

goletsa

за отдельную денежку руководитель сам согласится обзванивать всем и по факсу принимать письма да во первых 3G модем его личный, а во вторых хрен кто деньги выделит на это.. скажут ищите альтернативы и т.д. дела, нах вы нужны (тех.специалисты). Мы же "волшебники"
Больше нет никаких вариантов ?

P.S. для себя - а все предоставляют? И сколько приблизительно стоить ?
Надо, чтоб был прямой IP, а не через роутер ихний... а то придется будет клянчить, чтоб "порт форвординг" делать еще

contrafack создайте vpn сервер на сервер в центральном офисе и пусть босс туда коннектится, и аналогично торговые точки идут по впн на сервер. Все будут в одной корп сети и к боссу будут коннектиться по адресу из корпоративной сетки. Второй вариант по типу VPN юзать HAMACHI. http://ru.wikipedia.org/wiki/Hamachi

ipmanyak

че то не очень понял...
т.е. всех клиентов надо подключить VPN ? это пипец че за нагрузка пойдет на наш горе интернет канал..
а нельзя только у руководителя настроить так, чтоб был белый IP ?

contrafack
А нельзя эту прогу на сервак водрузить в офисе? И пусчай этот директор и менеджеры все конектятся к серваку.

contrafack второй вариант - хамачи. урла выше, дополнил пост


Добавлено:
contrafack
Hamachi — система организации виртуальных защищённых сетей на основе протокола UDP. В такой сети узлы для установления соединения между собой используют третий узел, который помогает им лишь обнаружить друг друга, а передача информации производится непосредственно между узлами. При этом взаимодействующие узлы могут находиться за NAT или фаерволом.

contrafack
В дополнение к вопросу о VPN. Ну можно только руководителя завести VPN'ом в офис к манагерам, а там настроить маршуртизацию из офисной сетки на комп насяльника.

contrafack
Например
http://spb.megafon.ru/internet/mobilnyy_internet/fromcomputer/services/staticheskiy_ip-adres.html#feature
Стоимость обычно в районе 200-300руб в месяц.

Если взять
Intel Core i5-3570K Ivy Bridge (3400MHz, LGA1155, L3 6144Kb)
ASUS P8Z77-V
Intel SSDSC2CW240A3K5
500 ваттного БПшника хватит???

AQAQ
За глаза