[Sa] Малко неща от днес...

Vasil Kolev vasil at ludost.net
Sat Jun 6 23:47:17 EEST 2015 

За някои от нещата определено се иска вашето мнение:) 


- Подкарах проклетото bgp за client-router. Оказва се, че по някаква
  причина точно тоя IOS не разпознава адресите през ppp-то като
  директно свързани, и в show ip bgp neighbor ... се виждаше следното:


...
  Connections established 0; dropped 0
  Last reset never
  External BGP neighbor not directly connected.
  No active TCP connection

  Работещ hack е да се даде в conf t/router bgp .. следното:
  neighbor x.x.x.x ebgp-multihop 64
  (може и 2, не 64, написах го за всеки случай) и нещата си работят.

  Понеже май не го обясних, в момента client router-а е в AS65533 (не в
  65532, което не нашия), понеже при iBGP (т.е. в същата автономна
  система) router-ите не си обменят вътрешните пътища директно, т.е. не
  се предава на някой друг път, който е научен от някой от същата
  автономна система.

- единия тунел беше паднал пак, това е проблем при мен в router-а на
  initlab, който трябва да оправя.

- Имаме да документираме какви ги свършихме, като част от нещата са в
  https://pad.riseup.net/p/isp-course-20150606 , но доста ги няма там.
  Примерни такива са новия сървър (gamma), новите неща на switch-а,
  нямаме информация за ups-а, новия router (как е кръстен, какво има на
  него). Има вероятно и липси в dns-а (поне gamma).

- Може да се логнете на alpha, в момента е 46.233.38.226. Още не е ясно
  кой яде ttl по пътя, та има 4 празни hop-а при traceroute в двете
  посоки.

- Трябва да се преместят някакви услуги на gamma (nagios, munin и т.н.)

- Трябва да се направи мрежов monitoring (bgp peers и т.н.).

- Имаме да направим малко reverse-path филтри, против spoofing, може би
  и малко генерални филтри (например изходящо порт 25 само за
  определени хора)

- и една забавна идея, за клиенти да закача към единия router едно
  raspberry pi, да рутираме през него няколко мрежи и от там през
  openvpn да ги закараме до който иска. Така за времето на курса ще
  можете да си пуснете у вас (или ако намерим още някой желаещ) /28
  или /29 мрежа от нашите.

Като цяло, има доста неща за изриване, може би следващия път ще бутаме
тях, вместо ipv6 (който ще остане за след седмица). Може да помислим и
да се видим още един ден (ако ви е възможно), приемам всякакви
предложения :)
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 181 bytes
Desc: OpenPGP digital signature
URL: <http://lists.ludost.net/pipermail/sa/attachments/20150606/b4c9fea4/attachment.sig>

More information about the sa mailing list