ISPADMIN - zkušenosti, nasazení, problémy

[Pintero]

Myslim, ze se to tu docela dost resilo:

"zbořil síť" znamená naoř, vyčistit pravidla v QT popř FW, popř.zreplikovat je tolikráte až má RB dost atp., chování je pomětně pestré - jeli jsme od verze 3.10 do 3.17 pak už jsme měli dost

to je pravda, resilo, ale zajimave je ze v dobe kdy se to tu resilo, tak se nam nic podobneho nedelo. nicmene, vcera tesne pred pulnoci vysela nova verze ISPADMINa a ta to nejak poresila. Takze to jdu cele procistit a uvidime - castecne uz jsem to tak udelal.

No tak vitej v klubu

[pokmod]

Nemate nekdo problemy s novou verzi me to desne zatezuje server? Load AVG mam az 35. V predchozi verzi bez problemu a ted se s tim neda pracovat.

[michal.siman]

Nemate nekdo problemy s novou verzi me to desne zatezuje server? Load AVG mam az 35. V predchozi verzi bez problemu a ted se s tim neda pracovat.

Taky jsem si vsiml, ale ze by se s tim nedalo pracovat to ne ...

[michal.siman]

Zasadni zmena nastala v tydnu 25, hardware je stale stejny ...

[pokmod]

Nemate nekdo problemy s novou verzi me to desne zatezuje server? Load AVG mam az 35. V predchozi verzi bez problemu a ted se s tim neda pracovat.

Omlouvam se vsem chyba byla u me na mem serveru, kolega mi delal nejake zmeny na serveru coz melo vliv na vykon me masiny, uz to bezi bez problemu.

[Pintero]

Jakym zpusobem resite pridavani klientskych routeru do ISPa, pokud mate jako klienta nasazen RB411, pripadne jiny RB?
Ja s tim mam trochu problem, nastinim jej: cela sit je kompletne routovana, v tuto chvili az ke klientum na jejich PC, nebo notebook.
Takze v ISPa mam zadany nejaky AP, treba s IP 172.16.1.1, na kterym je wifina s IP 172.16.10.1/28, coz je GW pro klientske RB.
Na tuto wifinu jsou pripojeny klientsky RB, ktery maji IP v tom subnetu - 172.16.10.2, .3, .4.... Klienti dostavaji klientsky IP v rozsahu 10. neco.
Tyhle klientsky RB jdou normalne zadat do ISPa jako normalni routery a jejich routovany rozsah (10.x.x.x) zadavam do zalozky Aktivni sluzby jako IP adresa uzivatele. ISPa si dokaze vycucnout pres SMNP MAC adresu kompu.
Problem vsak nastava, pokud se pokusim zadat RB jako ne jako router, ale jako NATovou krabicku (tj. DHCP klient na AP) kde je na nem nastavena maskarada. Takze RB nema adresu 172.16.x.x, ale 10.x.x.x
Pri pokusu zadat koncovou IP RB jak IP adresu konc. zařízení, nebo IP adresu uživatele, ISPa rve, ze tato IP je uz pouzita u routeru....
Reseni je nemit tyto RB zapsane v routerech, to je ale zase nemuzu monitorovat.

Jak to mate Vy??

[michal.siman]

Jakym zpusobem resite pridavani klientskych routeru do ISPa, pokud mate jako klienta nasazen RB411, pripadne jiny RB?
Ja s tim mam trochu problem, nastinim jej: cela sit je kompletne routovana, v tuto chvili az ke klientum na jejich PC, nebo notebook.
Takze v ISPa mam zadany nejaky AP, treba s IP 172.16.1.1, na kterym je wifina s IP 172.16.10.1/28, coz je GW pro klientske RB.
Na tuto wifinu jsou pripojeny klientsky RB, ktery maji IP v tom subnetu - 172.16.10.2, .3, .4.... Klienti dostavaji klientsky IP v rozsahu 10. neco.
Tyhle klientsky RB jdou normalne zadat do ISPa jako normalni routery a jejich routovany rozsah (10.x.x.x) zadavam do zalozky Aktivni sluzby jako IP adresa uzivatele. ISPa si dokaze vycucnout pres SMNP MAC adresu kompu.
Problem vsak nastava, pokud se pokusim zadat RB jako ne jako router, ale jako NATovou krabicku (tj. DHCP klient na AP) kde je na nem nastavena maskarada. Takze RB nema adresu 172.16.x.x, ale 10.x.x.x
Pri pokusu zadat koncovou IP RB jak IP adresu konc. zařízení, nebo IP adresu uživatele, ISPa rve, ze tato IP je uz pouzita u routeru....
Reseni je nemit tyto RB zapsane v routerech, to je ale zase nemuzu monitorovat.

Jak to mate Vy??

v ispadminu mame jen routery / apcka, klient ma jednu IP a za ni za natem co hrdlo raci. zadny klientsky routery nemonitorujem, nejsou propsany v nagiosu. sleduju pouze ping na ne u klienta. tak nam to prislo nejjednodussi. nicmene s prichodem sledovani signalu a spol. pres API se to vse stalo sledovatelnym uplne krasne.

[mato1]

zdravim
otazka na slovenskych pouzivatelov... ako riesite dualne zobrazovanie cien na zmluvach, ktore generuje ispadmin? vsade sa to uvadza len v eurach, nikde som nevidel premennu, kde sa to prerata na slovenske koruny. treba to tak mat do konca roka a takto je generovanie zmluv a faktur k nicomu.

[kaddy]

Zdravím pánové,

po delší době sem opět něco vložím a zároveň se Vás chci optat.

Poslední dobou se nám opět!!! stáva, že na dvou nejvíce vytížených routerech z hlediska počtu klientů se špatně propisují pravidla na hlavní MK, kde běží centrální shaping se po smazání a reloadu pravidel načte cca. jen 80% pravidel a na druhém, kde se propisuje asi 400 záznamů ve firewallu to občas někoho vynechá a tudíž ho to odřízne od sítě. Bohužel to jsou většinou stejní lidé tak nemusím říkat, že nejsu už dost nasraný.

Měl jste tohle někdo ?

[Pintero]

se špatně propisují pravidla na hlavní MK, kde běží centrální shaping se po smazání a reloadu pravidel načte cca. jen 80% pravidel a na druhém, kde se propisuje asi 400 záznamů ve firewallu to občas někoho vynechá a tudíž ho to odřízne od sítě. Bohužel to jsou většinou stejní lidé tak nemusím říkat, že nejsu už dost nasraný. Měl jste tohle někdo ?

Je to porad to stejny a stale se musim opakovat: Kdyby nebyl Sys tak namyslene natvrdly a obcas si take poslechnul sve zakazniky, kteri jeho vytvor denne pouzivaji a za toto demo tucne zaplatili, mozna by se neco pohlo k lepsimu.
Muj nazor je ten, ze je nesmysl porad neco "propisovat" do mikrotiku a tim ho stale zatezovat.
Ja kdyz mam noveho zakaznika, rucne vlozim QT a mangle, Cacti mi proskenuje jejich OID, zapise do sve databaze a jede se dal.
Router ma bezne uptime vice nez 100 dni a nejsou zadne problemy.
Proc to takhle nemuze delat ISP admin? Vycitat data lze krasne pres SNMP z QT nebo SQ, zakazniky pro neplaceni nastesti nijak casto nepozastavuji a datove omezene tarify take nemam.
Takze ISP admina bych vzdy nechal pres SSH nebo API maximalne vlozit novou QT, mangle, pripadne zaznam do FW, to snad zvladne aniz by schodil router a dale jiz jen vse vycitat a ne "propisovat"

[michal.siman]

se špatně propisují pravidla na hlavní MK, kde běží centrální shaping se po smazání a reloadu pravidel načte cca. jen 80% pravidel a na druhém, kde se propisuje asi 400 záznamů ve firewallu to občas někoho vynechá a tudíž ho to odřízne od sítě. Bohužel to jsou většinou stejní lidé tak nemusím říkat, že nejsu už dost nasraný. Měl jste tohle někdo ?

Je to porad to stejny a stale se musim opakovat: Kdyby nebyl Sys tak namyslene natvrdly a obcas si take poslechnul sve zakazniky, kteri jeho vytvor denne pouzivaji a za toto demo tucne zaplatili, mozna by se neco pohlo k lepsimu.
Muj nazor je ten, ze je nesmysl porad neco "propisovat" do mikrotiku a tim ho stale zatezovat.
Ja kdyz mam noveho zakaznika, rucne vlozim QT a mangle, Cacti mi proskenuje jejich OID, zapise do sve databaze a jede se dal.
Router ma bezne uptime vice nez 100 dni a nejsou zadne problemy.
Proc to takhle nemuze delat ISP admin? Vycitat data lze krasne pres SNMP z QT nebo SQ, zakazniky pro neplaceni nastesti nijak casto nepozastavuji a datove omezene tarify take nemam.
Takze ISP admina bych vzdy nechal pres SSH nebo API maximalne vlozit novou QT, mangle, pripadne zaznam do FW, to snad zvladne aniz by schodil router a dale jiz jen vse vycitat a ne "propisovat"

no popravde receno s tim ted bojujeme. neni nic zvlastniho, ze FW pravidla byla v par routerech zapsana namisto 1x trebas 400x a routery nam umirali. zajimave je ze mi ted dost casto ispadmin pise ze AKTUALIZUJE a to treba cely den, proste nemuze do jednoho, dvou routeru nic zapsat. kdyz vyzkousim primo v adminu otestovat spojeni, tak je vse ok. kdyz vlezu na router a restartuju ho, tak najednou se vse zapise. moc to nechapu. no ale poresili jsme to po svem, proste jsem vsechny routery nastavil pouze pro cteni v ispadminu, takze tam uz nic nezapisuje, a kdyz zavadim noveho klienta, tak to na tom danem routeru povolim. situace se s tim velmi zlepsila.

[kaddy]

no popravde receno s tim ted bojujeme. neni nic zvlastniho, ze FW pravidla byla v par routerech zapsana namisto 1x trebas 400x a routery nam umirali. zajimave je ze mi ted dost casto ispadmin pise ze AKTUALIZUJE a to treba cely den, proste nemuze do jednoho, dvou routeru nic zapsat. kdyz vyzkousim primo v adminu otestovat spojeni, tak je vse ok. kdyz vlezu na router a restartuju ho, tak najednou se vse zapise. moc to nechapu. no ale poresili jsme to po svem, proste jsem vsechny routery nastavil pouze pro cteni v ispadminu, takze tam uz nic nezapisuje, a kdyz zavadim noveho klienta, tak to na tom danem routeru povolim. situace se s tim velmi zlepsila.[/quote]

To je sice hezke, ale proc kua mame takovy system kdyz se musi vymejslet takovyhle blbosti jak to obejit?

[michal.siman]

no popravde receno s tim ted bojujeme. neni nic zvlastniho, ze FW pravidla byla v par routerech zapsana namisto 1x trebas 400x a routery nam umirali. zajimave je ze mi ted dost casto ispadmin pise ze AKTUALIZUJE a to treba cely den, proste nemuze do jednoho, dvou routeru nic zapsat. kdyz vyzkousim primo v adminu otestovat spojeni, tak je vse ok. kdyz vlezu na router a restartuju ho, tak najednou se vse zapise. moc to nechapu. no ale poresili jsme to po svem, proste jsem vsechny routery nastavil pouze pro cteni v ispadminu, takze tam uz nic nezapisuje, a kdyz zavadim noveho klienta, tak to na tom danem routeru povolim. situace se s tim velmi zlepsila.

To je sice hezke, ale proc kua mame takovy system kdyz se musi vymejslet takovyhle blbosti jak to obejit?

protoze co mam jako delat jinyho? dokazes mi poradit. system je dobrej, zaklad je dobrej, celkove jsem spokojen. nejsem spokojen s resenim problemu, s technickou podporou. ale co s tim mam delat? ciste hypoteticky, vratim to, dostanu zpet penize, ale co dal, porad system co bude umet to co ispadmin, jeden system, kterej bude generovat faktury, grafy, prehledy, neplatice, komunikovat s bankou, monitorovat sit, pocitat lidem data, ridit shaper, ridit routery, planovat ukoly technikum, posilat upozorneni, smsky o nefunkcnosti, generovat smlouvy. ukaz mi jiny reseni, za ktery zaplatim par desitek tisic a ono to pojede. navic to bude v cestine (ne kvuli me ale kvuli zakaznikum). ukaz me ho a ja ho pujdu koupit. jenze ono nic takoveho neni. a protoze se mi libi funkce ispadmina, tak holt se budu muset omezovat, budu si ruzne pomahat, obchazet to, ale celek jako takovy bude ok. bohuzel nemam cas ani penize a ani zkusenosti na to abych delal neco vlastniho a navic je mi jasny, ze to nikdy neudelam tak jak to ma sys uz hotovy. takze cekam, ze se veci opravy, nebude to dneska, zitra, ale trebas v pristim update. mozna. proste cekam a jsem rad za to ze muzu alespon cekat. vsichni jen nadavaji, ale nikdo nic sveho neudela. ani ja ne a tak alespon nenadavam, jen tady si muzeme vymenit zkusenosti jak to kdo "obalamuti" aby to co nejmin zlobilo.

[michal.siman]

Muj nazor je ten, ze je nesmysl porad neco "propisovat" do mikrotiku a tim ho stale zatezovat.

Tak to si myslim taky. Super by bylo, kdyby se nekde dalo nastavit aby to nic nikam nezapisovalo a nekde bylo jedno tlacitko, ktere by se jmenovalo "TED JEDNORAZOVE ZAPIS" a tohle tlacitko by bylo u kazdeho routeru a pak taky centralni. To by bylo super.

[Pintero]

Nejvic me se**, ze se Sys tvari, ze je jeho ISP admin ten nejnejnej system a zakaznici ho vubec nezajimaj. Akorat z nich hodla zdimat dalsi prachy na dalsi moduly, ktery si prakticky bez 10 000,- (bez DPH) platby za modul ani nemohou otestovat!
Myslim si, ze ty moduly budou stejny nedodelky, jako system.
A to si jeste musim platit rocni podporu, abych vubec mohl tak nejak fungovat, protoze kdyz nezaplatim, tak ten kram muzu rovnou vyhodit.