Automatizace updatů klientských jednotek

[pgb]

radiku: prosím přečti si znovu co jsi napsal (snažil jsem se to pochopit 4x). Prostě neroutuje na každé cpe podsíť a ptá se na nat, pak mi tvoje reakce nedává smysl .... zkus si routovat /29 na každé cpe třeba pro 3000 zákazníků (to opravdu nechci a nedělají to ani velcí operátoři u domácích přípojek) .... přes nat se dá dostat více způsoby, jak jsem psal - vždy dle situace. U ipv6 je situace jiná, tam už se musí a nebo alespoň delegování z poolu.

[radik]

Pokud vidim dobre, tak se resilo nejdriv ze se za NAT neda dostat a na to jsme taky reagoval. Nepredpokladal jsem, ze nekdo resi domaci wifi router, kdy je u neho v podstate jedno co tam je.
Takze asi tak.

[Dacesilian]

Mám teď domácí Mikrotiky v různých sítích bez veřejných adres spojené přes OpenVPN a pro aktualizace a vzdálenou správu je to ideální.

[pgb]

2 radik: souhlas, pokud aktualizuji svoji "core" + cpe, tak předpokládám že nejsou za natem (původní doraz - první post - byl na aktualizační skript, další je aktualizace domacích wifi schovaných za cpe, tam se pak situace stává složitější)
2 dacesilian: používám to podobně, mám nahozeno L2TP+ipsec z důležitých zákazníků kde spravujeme lokální rozvody

[pgb]

důležité: pokud používáte tool-fetch tak pozor na kontrolní součty, nejedná se o zaručené "nepoškozené" stažení(http,ftp,....) a je vhodno přidat kontrolu. Takový úspěšný přenost přes scp a puštění příkazů pouze v případě úspěšného přenosu mi přijde rozumnější.

[radik]

Nepredpokladal jsem, ze nekdo se stara o domaci wifi klientu. Realny to je pokud je par klientu, ale u site co ma 10k+ klientu je to nerealny. To same udelat nekolik tisic VPN jen kvuli aktualizaci.

[Dacesilian]

Nepredpokladal jsem, ze nekdo se stara o domaci wifi klientu. Realny to je pokud je par klientu, ale u site co ma 10k+ klientu je to nerealny. To same udelat nekolik tisic VPN jen kvuli aktualizaci.

Napadá mě, že by člověk měl možnost si přidat třeba další SSID přes klientský portál. I kdybych nespravoval WiFi klientům, tak aktualizovat router je třeba, a na to ta VPNka je vhodná. Výkonově by to mělo být v pohodě i při tisících klientech - https://serverfault.com/questions/43984 ... e-possible .

[radik]

Vykon vubec neresim, to se da vyresit ruzne. Ale resim to, ze si to nedokazu v realu predstavit se starat o dalsich x tisic zarizeni, ktery jsou me ve finale uplne jedno. I kdyby to nekdo napadl, tak me skodu nenadela zadnou. A aby to nekdo napadl, tak to by musel jedine ze site klienta.

Pokud je to mensi sit, tak tam problem neni. Ale to uz je offtopic.

[pgb]

Asi jsem se nevyjádřil úplně přesně: vpn dělám jen v případech, kdy tam musím něco pravidelně spravovat, hlídat ...... jsem za to placen, ne u jakýchkoliv jiných přípojek.

Pokud mám zkontrolovat domácí rozvody u běžného zákazníka, tak to už je úplně jiný případ a lze si poradit různými způsoby (ale vpn na domácí tplink si neumím moc představit).

[hapi]

Nepredpokladal jsem, ze nekdo se stara o domaci wifi klientu. Realny to je pokud je par klientu, ale u site co ma 10k+ klientu je to nerealny. To same udelat nekolik tisic VPN jen kvuli aktualizaci.

hmm... a UPC jak nedavno aktualizovalo nastavení pro IPv6?... to není v řádu 10k+? Od toho právě je TR-069.

[hapi]

Pouzivas stahovani z FTP nebo HTTP?
Pres /tools fetch stahujes do kazdeho mikrotiku jiny soubor, nebo mas na serveru jeden univerzalni a v tom stazenem scriptu potom vetvis akce podle nejakych promennych.
A pokud stahujes pro kazdy mikrotik jiny, mas zapsano ve /tools fetch jmeno toho souboru, nebo pouzivas nejakou promennou.
Mohl bys pro nazornost poslat cely prikaz (samozrejme krom prihlasovacich udaju na ftp/http). Pripadne i priklad toho stahovaneho souboru.
JK

Nebo si napsat vlastní utilitu - v .NETu, nebo PHP.
Není to až tak složité.

kvalitní utilka je sice ok ale nedostane se za naty.

TR-069 by to mělo řešit ale nepovedlo se mi nasimulovat komunikaci s web serverem + php ale zatim nebyl čas. Aktuálně máme na všech RBčkách v scheduleru /tools fetch kterej si stahuje script jednou za hodinu a pak ho spustí. Zatim se mi pomocí něj daří updatovat jak firmware tak i nějaký nastavení.

ne, všichni stahujou stejný. v PHP se rozhodne co komu skutečně generovat. fetch akorát posílá v get parametru takovej náš "typ" jednotky jako jestli to je backbone nebo cpe nebo gpon atd... Pak ještě posílá seriový číslo. s TR-069 by to bylo snadnější ale na to teď nemám čas. Aktuálně je důležitý že můžu rbčkům poslat příkaz aby provedly upgrade a to i stolních wifin doma což je poslední dobou docela důležitý (WPA2 chyba, optimalizace driveru pro hap ac lite a jemu podobný) atd... ted sem třeba hromadně zapnul auto upgrade biosu na rbčkách a nebo upravil scan-list abych opravil to co v poslední změně country změnili. Jo neříkám že to nebyla práce na několik dní ale nelituju toho.

[hapi]

důležité: pokud používáte tool-fetch tak pozor na kontrolní součty, nejedná se o zaručené "nepoškozené" stažení(http,ftp,....) a je vhodno přidat kontrolu. Takový úspěšný přenost přes scp a puštění příkazů pouze v případě úspěšného přenosu mi přijde rozumnější.

říká kdo? nevšim sem si že by se někdy něco stalo. A když přijde script poškozenej tak co? nejspíš se neprovede ne?

[radik]

Nepredpokladal jsem, ze nekdo se stara o domaci wifi klientu. Realny to je pokud je par klientu, ale u site co ma 10k+ klientu je to nerealny. To same udelat nekolik tisic VPN jen kvuli aktualizaci.

hmm... a UPC jak nedavno aktualizovalo nastavení pro IPv6?... to není v řádu 10k+? Od toho právě je TR-069.

Hapi, ty vzdy nezklames a odpovis na uplne neco jinyho. UPC snad aktualizovalo CPE a ne wifi routery u klientu ve vnitrni siti. A na to jsme taky reagoval predtim, ze si to nedokazu predstavit, kdyby se nekdo mel starat o routery u klientu (nikoli CPE). Na to nemusi byt zadna VPN ani pro pristup na tu jednotku (staci naroutovat).
Navic o TR-069 jsem psal jako prvni moznost.

[CrazyApe]

Nechcet raději někdo hodit návod jak to rohbehat pro idioty jak jsem já místo hadani? Nějak se mi to nedaří rozjet. Návodů jsem par našel ale v MK je to celkem nová funkce tak toho moc není.

[pgb]

říká kdo? nevšim sem si že by se někdy něco stalo. A když přijde script poškozenej tak co? nejspíš se neprovede ne?

Říkám já, protože myslet si, že někdo dělá kontrolu na základě dohadů je blbost. U firmware možná existují nějaké vnitřní crc součty, ale u zprávy kdy posíláš nešifrovaně (nejde o šifrování jako takové, ale potvrzení o kontrole přenesených dat) konfiguraci bych si teda tak jistý nebyl. To máš jako se zálohováním, proč myslíš že rsync obsahuje funkci na kontrolu dat? Pro srandu králíkům to tam není, proč se mají dělat pravidelné kontroly, že zálohovaná data a úložišti jsou nejen čitelná, ale i původní a nepoškozená? Takovýhle tvůj přístup je minimálně lehkomyslný.