https://www.opennet.ru/openforum/vsluhforumID6/23228.html Доброго времени суток!<br> У меня вопрос, возможно уже озвученный кем-то, но похоже так никем и не решённый.<br>Суть проблемы в том, что сессия для клиента будет создана при обнаружении пакета, не принадлежащего ни одной активной IP сессии. Но если такого пакета не было - сессия не создана, все пакеты со стороны внешней сети будут отбрасываться не инициализируя создание новой сессии (поскольку инициализировать сессию может только пакет от клиента, в качестве идентификатора/username используется source ip address).<br> Может быть у кого есть мысли , как можно обойти эту "фичу" ISG, если, к примеру, требуется удалённый доступ к ресурсу, который сам не генерирует трафик, и соответственно, не может поднять сесию?<br> <br> Заранее спасибо за идеи ;)<br> https://www.opennet.ru/openforum/vsluhforumID6/23228.html#8 Mon, 21 Nov 2011 07:44:28 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; Хотя лично я придерживаюсь мысли, что этот ISG - костыль, каких еще <br>&gt;&gt;&gt; поискать.<br>&gt;&gt;&gt; 5К абонентов, а трафик какой?<br>&gt;&gt; Мы - спутниковый оператор, поэтому от 5К абонентов снимаем где то в <br>&gt;&gt; среднем 80Мбит/с.<br>&gt;&gt; Да, мы тоже попытались предупредить, но если у клиента стоит аля метеостанция, <br>&gt;&gt; от которой трафик только по запросу, то приходится думать за себя <br>&gt;&gt; и за того парня... ) <br>&gt; А статик листы для таких пробовали?<br>&gt; Вместо идеи с пинговалкой.<br><br>Да, были мысли на счёт статик листов... К сожалению IOS c7200p-advipservicesk9_li-mz.122-33.SRD3.bin на Cisco 7206 не поддерживает статик листы :(<br>Скоро придёт на смену ASR 1002, там вроде бы так можно.<br>Но, в любом случае, статик лист должен динамически правиться, а для этого нужен ещё костыль :)<br> https://www.opennet.ru/openforum/vsluhforumID6/23228.html#7 Sat, 19 Nov 2011 06:30:58 GMT &gt;[оверквотинг удален]<br>&gt;&gt; предупредить письмом до перевода на новую технологию. У нас в компании <br>&gt;&gt; делали так. Конечно, без проблем не обошлось...<br>&gt;&gt; Хотя лично я придерживаюсь мысли, что этот ISG - костыль, каких еще <br>&gt;&gt; поискать.<br>&gt;&gt; 5К абонентов, а трафик какой?<br>&gt; Мы - спутниковый оператор, поэтому от 5К абонентов снимаем где то в <br>&gt; среднем 80Мбит/с.<br>&gt; Да, мы тоже попытались предупредить, но если у клиента стоит аля метеостанция, <br>&gt; от которой трафик только по запросу, то приходится думать за себя <br>&gt; и за того парня... ) <br><br>А статик листы для таких пробовали?<br>Вместо идеи с пинговалкой.<br> https://www.opennet.ru/openforum/vsluhforumID6/23228.html#6 Fri, 28 Oct 2011 07:19:47 GMT &gt;[оверквотинг удален]<br>&gt;&gt; Хотя лично я придерживаюсь мысли, что этот ISG - костыль, каких еще <br>&gt;&gt; поискать.<br>&gt;&gt; 5К абонентов, а трафик какой?<br>&gt; Для открытия сессии необходим один пакет от "source ip address".<br>&gt; Если у абонента нечем пинг отправить (например стоит видеонаблюдение) или для удаленного <br>&gt; администрирования, <br>&gt; то его можно при помощи /usr/ports/net/hping отправить через крон с сервера провайдера. <br>&gt; */5 * * * * /usr/local/sbin/hping -c 3 --spoof IP_CLIENT <br>&gt; IP_INTERNET &gt; /dev/null 2&gt;&1 <br>&gt; Всем такая пиговалка не нужна, только тем кто попросит :-) <br><br>Да, идея с пингалкой не плоха, если подвергнуть её некоторой автоматизации. Об этом я думал, и видимо, буду двигаться в этом направлении, если не придумаю ничего лучше. Просто хотелость не искать хитростей, и сделать это штатными средствами ISG...<br>Как вариант, были мысли выдавать радиусом таким людям Session-Timeout=10 лет:) , но всё как-то не красиво получается.<br> https://www.opennet.ru/openforum/vsluhforumID6/23228.html#5 Fri, 28 Oct 2011 07:11:06 GMT &gt;[оверквотинг удален]<br>&gt;&gt; Пяти тысячам абонентов крон не настроишь... да и не всё умеет <br>&gt;&gt; по скрипту пингать.<br>&gt; Я как-то из первого поста сделал вывод, что речь идет об одном <br>&gt; вполне конкретном узле сети.<br>&gt; Если речь о пяти тысячах абонентов, то их надо об этой особенности <br>&gt; предупредить письмом до перевода на новую технологию. У нас в компании <br>&gt; делали так. Конечно, без проблем не обошлось...<br>&gt; Хотя лично я придерживаюсь мысли, что этот ISG - костыль, каких еще <br>&gt; поискать.<br>&gt; 5К абонентов, а трафик какой?<br><br>Мы - спутниковый оператор, поэтому от 5К абонентов снимаем где то в среднем 80Мбит/с.<br>Да, мы тоже попытались предупредить, но если у клиента стоит аля метеостанция, от которой трафик только по запросу, то приходится думать за себя и за того парня... )<br><br> https://www.opennet.ru/openforum/vsluhforumID6/23228.html#4 Thu, 27 Oct 2011 09:04:11 GMT &gt;[оверквотинг удален]<br>&gt;&gt; Пяти тысячам абонентов крон не настроишь... да и не всё умеет <br>&gt;&gt; по скрипту пингать.<br>&gt; Я как-то из первого поста сделал вывод, что речь идет об одном <br>&gt; вполне конкретном узле сети.<br>&gt; Если речь о пяти тысячах абонентов, то их надо об этой особенности <br>&gt; предупредить письмом до перевода на новую технологию. У нас в компании <br>&gt; делали так. Конечно, без проблем не обошлось...<br>&gt; Хотя лично я придерживаюсь мысли, что этот ISG - костыль, каких еще <br>&gt; поискать.<br>&gt; 5К абонентов, а трафик какой?<br><br>Для открытия сессии необходим один пакет от "source ip address". <br>Если у абонента нечем пинг отправить (например стоит видеонаблюдение) или для удаленного администрирования, <br>то его можно при помощи /usr/ports/net/hping отправить через крон с сервера провайдера.<br><br>*/5 * * * * /usr/local/sbin/hping -c 3 --spoof IP_CLIENT IP_INTERNET &gt; /dev/null 2&gt;&1<br><br>Всем такая пиговалка не нужна, только тем кто попросит :-)<br> https://www.opennet.ru/openforum/vsluhforumID6/23228.html#3 Thu, 27 Oct 2011 06:22:46 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; внешней сети будут отбрасываться не инициализируя создание новой сессии (поскольку инициализировать <br>&gt;&gt;&gt; сессию может только пакет от клиента, в качестве идентификатора/username используется <br>&gt;&gt;&gt; source ip address).<br>&gt;&gt;&gt; Может быть у кого есть мысли , как можно обойти <br>&gt;&gt;&gt; эту "фичу" ISG, если, к примеру, требуется удалённый доступ к ресурсу, <br>&gt;&gt;&gt; который сам не генерирует трафик, и соответственно, не может поднять сесию?<br>&gt;&gt;&gt; Заранее спасибо за идеи ;) <br>&gt;&gt; ping в cron поставить.<br>&gt; Пяти тысячам абонентов крон не настроишь... да и не всё умеет <br>&gt; по скрипту пингать.<br><br>Я как-то из первого поста сделал вывод, что речь идет об одном вполне конкретном узле сети.<br>Если речь о пяти тысячах абонентов, то их надо об этой особенности предупредить письмом до перевода на новую технологию. У нас в компании делали так. Конечно, без проблем не обошлось...<br>Хотя лично я придерживаюсь мысли, что этот ISG - костыль, каких еще поискать.<br>5К абонентов, а трафик какой?<br> https://www.opennet.ru/openforum/vsluhforumID6/23228.html#2 Wed, 26 Oct 2011 17:53:07 GMT &gt;[оверквотинг удален]<br>&gt;&gt; пакета, не принадлежащего ни одной активной IP сессии. Но если такого <br>&gt;&gt; пакета не было - сессия не создана, все пакеты со стороны <br>&gt;&gt; внешней сети будут отбрасываться не инициализируя создание новой сессии (поскольку инициализировать <br>&gt;&gt; сессию может только пакет от клиента, в качестве идентификатора/username используется <br>&gt;&gt; source ip address).<br>&gt;&gt; Может быть у кого есть мысли , как можно обойти <br>&gt;&gt; эту "фичу" ISG, если, к примеру, требуется удалённый доступ к ресурсу, <br>&gt;&gt; который сам не генерирует трафик, и соответственно, не может поднять сесию?<br>&gt;&gt; Заранее спасибо за идеи ;) <br>&gt; ping в cron поставить.<br><br>Пяти тысячам абонентов крон не настроишь... да и не всё умеет по скрипту пингать.<br> https://www.opennet.ru/openforum/vsluhforumID6/23228.html#1 Wed, 26 Oct 2011 12:04:02 GMT &gt;[оверквотинг удален]<br>&gt; Суть проблемы в том, что сессия для клиента будет создана при обнаружении <br>&gt; пакета, не принадлежащего ни одной активной IP сессии. Но если такого <br>&gt; пакета не было - сессия не создана, все пакеты со стороны <br>&gt; внешней сети будут отбрасываться не инициализируя создание новой сессии (поскольку инициализировать <br>&gt; сессию может только пакет от клиента, в качестве идентификатора/username используется <br>&gt; source ip address).<br>&gt; Может быть у кого есть мысли , как можно обойти <br>&gt; эту "фичу" ISG, если, к примеру, требуется удалённый доступ к ресурсу, <br>&gt; который сам не генерирует трафик, и соответственно, не может поднять сесию? <br>&gt; Заранее спасибо за идеи ;) <br><br>ping в cron поставить.<br>