My Shiny Weblog!

programming, photography and lifestyle

Powernet

Не се бях занимавал с квартални LAN мрежи повече от 3 години, но ми се наложи да го направя. Като една млада фирма, ще трябва да имам сървър със страница на фирмата, най-различни web-базирани приложения и средства за разработка. Звучи несериозно всичко това да минава през един БТК ADSL, най-малкото заради бавната скорост в едната посока. Още не съм натрупал достатъчно капитал, че да си пусна някаква сериозна връзка. И ето, че един хубав ден отидох в офиса на Powernet за да си поискам включване. Там ме посрещна една намръщена кака, на която явно някой и беше изял закуската (в последствие се оказа, че или тя си е такава, или някой всеки ден й яде закуската). Дадох си данните на фирмата и адреса и се разбрахме да ми се обади, кога ще дойдат да ме включат. Тя се обади и юнаците ланаджии пристигнаха (с 20 минути закъснение). Като бивш ланаджия се бях подготвил с няколко сценария за това от къде трябва да мине кабела. Най ми беше удобно да мине през вентилацията на килера, но подозирах, че няма да се навият. Така и стана, бяха категорични, че могат да ми пуснат кабел или през стълбището или през фасадна стена. Понеже си имам вътрешно окабеляване, предпочетох фасадната стена. С интерес наблюдавах през прозореца случващото се на улицата. След кратка суетня, момчетата се яхнаха на един стълб, на 50 метра надолу по улицата. От там опнаха един кабел, до стълба точно пред фасадната ми стена, от другата страна на улицата. Един голям оптимист от екипа проби стената отвътре (кътрейки повече мазилка и латекс от колкото беше необходимо), вкараха кабела вътре и докато се усетя го хванаха с два телбода на стената. Сега си имам висящ кабел над улицата, който се държи на въпросните телбоди от вътрешната страна на стената. Изразих притеснения, че може би някой камион ще отнесе кабела, заедно с голяма част от моята мазилка, но…“а, спокойно той кабела е високо”. Започнаха преговори за софтуерната конфигурация, един юнак със замах се метна на стола пред лаптопа и другия компютър, но само след 1-2 минути ентусиазма му изчезна, когато разбра, че “това нещо не е Windows”. Обясних, че имам router, на който още не съм монтирал още една LAN карта за тяхната мрежа. Предложих да си пробват нещата с техен лаптоп, а аз оттам нататък да се оправям сам, това предложение направих главно, защото бях сигурен, че ползват PPPoE. Все пак реших да питам, оказа се, че ползват DHCP, направих кофти гримаса и им казах, че ще ползваме моя лаптоп. Човекът не се зарадва много, каза че трябвало да му кажа MAC адрес на мрежовата карта, която ще ползвам. Реших, че 00:11:22:33:44:55 е един хубав адрес, сложих го на лаптопа и тръгнахме да пробваме. След няколко минути закъснение, dhclient си взе адреса и всичко тръгна. Направих си няколко експеримента с мрежата, пуснах си tcpdump, ngrep и tshark. Всичките простотии, с които се борих едно време бяха на лице. Много машини в един физически сегмент, огромен broadcast трафик, заради MS Windows (Master Browser Election, NetBIOS съобщения, SSDP, STP и т.н.). Избазиках се с момчетата – “абе, кво ше стане, ако си сложа MAC и IP адрес на друг клиент”. Отговорът беше, че в такива случай трябвало да се изключват кабелите по някакви правила. Неисках да задавам по-неудобни въпроси, от сорта на – "какво ще стане, ако си сложа всички IP адреси в мрежата и започна да отговарям на всички ARP заявки.

От цялото приключение мога да направя извода, че за последните 3 години LAN операторите не са прогресирали особено, дори хич. Работи се по най-неефективните начини и се използват неподходящи технологии. Още от едно време, на всички малко по-светнати хора им беше ясно, че тази история с “LAN мрежите” неможе да продължава дълго по този начин. Ethernet е технология, която предполага някакво доверие между отделните компютри вързани в една мрежа. Трудно човек може да организира нещата така, че един злонамерен клиент да неможе да пречи на останалите. Тази технология беше добра за започване на някакви дребни квартални мрежи с под 100 потребители. В такива условия, човек може да си познава клиентите, да следи какво става и при необходимост да реагира адекватно без много усилия. Това предполага и, че повечето му клиенти са добронамерени, и имат желание мрежата да се развива и те по някакъв начин, да се чустват като част от нея, а не просто като клиенти (нещо като затворена общност). Всички тези неща работеха и ги имаше едно времето. Лошото е, че в един момент въпросните оператори започнаха да стават големи, започнаха да натрупват капитал, започнаха да вземат разни лицензи, държавата се намеси, и в крайна сметка отношението към клиентите се промени. Отношението се промени, правилата се промениха, фирмите станаха големи, но очевидно технологиите са си старите. Начините на работа са си старите, и от тези начини идват много проблеми. Powernet ми дават добра скорост на добра цена, но аз никога немога да разчитам само на тях. Достатъчно дълго време съм се занимавал с тези неща, за да знам, че при тези методи на работа проблеми ще има. Ще има прекъсвания, голям ток по кабела, опити за кражба на интернет и т.н. При тези условия няма как да се откажа от БТК ADSL.

Започнах да мисля как да комбинирам двете Интернет връзки и реших, че най-добре ще е по схемата “всичко към българия през Powernet и всичко навън през БТК”. Мисля след време да пусна е входящ трафик отвън през Powernet, но за целта ще трябва още да ги пробвам. След хамалогията със слагане на LAN карта на компютъра и слагане на surge защита на кабела (оказа се, че Powernet не слагат) намислих следния pf.conf:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30

scrub in

set skip on { lo }

nat on $btc_if from $int_net -> ($btc_if:0)
nat on $pn_if from $int_net -> ($pn_if:0)
table <bgpeers> persist file "/etc/bgpeers"

block in from any to any
block out from any to any
pass out on $int_if from any to $int_net
pass in quick on $int_if from $int_net to $int_if

pass in on $int_if route-to ($pn_if $pn_gw) \
                proto tcp from $int_net to <bgpeers> flags S/SA modulate state
pass in on $int_if route-to ($pn_if $pn_gw) \
                proto { udp, icmp } from $int_net to <bgpeers> keep state

pass in on $int_if route-to ($btc_if $btc_gw) \
                proto tcp from $int_net to !<bgpeers> flags S/SA modulate state
pass in on $int_if route-to ($btc_if $btc_gw) \
                proto { udp, icmp } from $int_net to !<bgpeers> keep state

pass out on $pn_if proto tcp from any to any flags S/SA modulate state
pass out on $pn_if proto { udp, icmp } from any to any keep state
pass out on $pn_if route-to ($pn_if $pn_gw) from $pn_if to <bgpeers> keep state
pass out on $btc_if proto tcp from any to any flags S/SA modulate state
pass out on $btc_if proto { udp, icmp } from any to any keep state
pass out on $btc_if route-to ($btc_if $btc_gw) from $btc_if to !<bgpeers> keep state
antispoof quick for { lo $int_if $btc_if $pn_if }

Нещата тръгнаха сравнително лесно, изкефих се, че не се налага да ползвам routing таблицата.

P.S. 10x на Korio и ip.ludost.net