Keresés: - Cisco EPC3925 topic - LOGOUT Hozzászólások

Hirdetés

Legfrissebb anyagok

LOGOUT témák

PROHARDVER! témák

Mobilarena témák

IT café témák

GAMEPOD témák

Keresés

Új hozzászólás Aktív témák

#2484 stopperos senior tag sgergi #2483

Új Válasz 2014-01-04 20:20:11 #2484
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

stopperos

senior tag

válasz sgergi #2483 üzenetére

tldr;
Mi egy 95 fős kollégium vagyunk, most 150-170 eszközzel. A vezetőség jónak találta, ha otthoni felhasználásra szánt csomagot veszünk a T-től 120/akármennyit. Még az elején szenvedtem vele sokat, amikor még megvolt a régi inviteles kapcsolatunk, hogy hogyan lehetne a legtöbbet kihozni. Három összeállítást próbáltam:
1) A cisco a gateway a belső hálózatnak. 2) A cisco mögé beraktam egy squid proxy gépet, és a belső hálózat szempontjából az volt a gw. (dupla nat) -> Ez a két megoldás olyan 1,5-2 napig bírta, utánna elkezdte dobálni a csomagokat, meg felment a ping, stb. Egyszerűen elment a net pár percre, majd visszajött. Lassú volt, meg az ssh szakadozott. A proxy segített valamennyit. Egyszerűen ha pár torrent klienset bekapcsoltak, akkor lehalt az egész.
3) DMZ + squid proxy gép. Na ez fél nap után behalt, egy héten keresztül szenvedtem vele, de szinte mindig fél nap. Annyit láttam, hogy kintről is megnőtt a tűzfal munkája, mert átengedett sok mindent a cisco, és a belső gw tűzfala kaszálta csak el.
Én arra a közetkeztetésre jutottam, hogy a kapcsolatok száma volt túl sok az eszköznek, és nem bírta el a NAT táblát, meg a routingot, ... A DMZ azért rossz, mert akkor a cisco-n felépül a kapcsolat és a belső tűzfal dobta csak el azt. Ekkor gyorsan behalt. Ha nem volt dmz, csak pár port forwaldolva, akkor pedig már felépüléskor eldőlt, hogy marad a kapcsolat vagy el kell dobni, és nem került be a nat táblába.
A végső megoldást az akkor még lehetséges bridge mód jelentette. Visszabutítva a ping 30ms-re lement és stabil bármikor (korábban 70ms alá nem is nagyon ment) Azt hiszem egy 5-6 szor csináltam meg az átlövést, meg egy 25-30 szor az IP cím kérést a T szerverektől (nagyon fontos az időzítés). Majd a fórumon kezdtek megjelenni a problémák, hogy már nem lehet (valamilyen TEST fw-jött ki). Akiknek azóta átadom a feladatköröket, jól tudják, hogy fejvesztés és "holálnek holálával holás" jár ha bárki is hozzányúl az Cisco és TP-Link pároshoz, ahonnan most az internet jön.
Az albérletben, ahol lakom, ott is ilyen eszköz van és router módban. Ezen szoktam kísérletezni, hogy a webes felületen lehet e még valamit csinálni, de 403 a válasz mindig. Amúgy semmi probléma sincs (azóta keepalive-ozom az ssh-t meg a vpn kapcsolatot). Itt port forwardal oldottam meg a raspberry pi-om elérését.
Visszatérve a kollégiumi esetre, ha nem lenne bridge akkor én a sima módnál maradnék, és mögé raknék valami jobban konfigurálható tűzfalat, amivel a belső forgalmat és a kapcsolatok számát felhasználóra leszabályoznám. Illetve sokat telefonálnék a T-Home-nak.
++Bridge módban saját magamnak kellett az igmpproxy-t beállítani. De ha talán egyszer sikerült, úgyhogy erről lemondtunk. Illetve az IPTV is szakadozott ha torrent kliens ment. A T-Home csak annyit mondott, hogy kis méretű hálózatra van a cisco.