Comments 44
5% адресного пространства ipv4 =! 5% интернета
а как 5.0.0.0/8 стало 5%?
/8 диапазонов больше двухсот, так что один из них это лишь менее 0,5%
/8 диапазонов больше двухсот, так что один из них это лишь менее 0,5%
UFO just landed and posted this here
может потому что у некоторых пользователей эти 192.x etc рабочие? хамачи же пропускает траффик полностью со своей подсетки через себя.
наши беседы с саппортом хетцнера еще впереди. в принципе, у нас потери трафика не превышают 0.5%, это не так уж страшно.
предполагаю, что за денюжку могут дать новый айпишник, бесплатно — нет
предполагаю, что за денюжку могут дать новый айпишник, бесплатно — нет
Нас просто нагло игнорируют. Один раз ответили, что новый IP по такой причине — не рекомендовано RIPE. С одной стороны, они правы, с другой стороны, мы чуть не потеряли несколько очень важных клиентов.
Если не слишком принципиально, можете использовать cloudflare.com (не реклама), все запросы сначала будут идти к ним, а от них уже на сервер. Бесплатно, плюс всякие плюшки типа защиты от DDoS, сжатия трафика итп.
Всё же, что это не проблемы хостера, а косяк разработчиков Hamachi. То, что этот диапазон не был роздан — не повод использовать его без разрешения.
Официальный ответ Хетцнера: за 70уе за каждый сервер они согласны перенести в другой ДЦ.
Очевидным решением (если уж серые адреса не хотят) было бы использовать неаносируемые адреса, хапнутые корпорациями эпохи early adopters. Второй (спорный) вариант — покуситься на мультикаст.
Это полная фигня, я вам скажу. Мы недавно переехали на новый сервер в Хетзнере… и у части пользователей потерялся к нему доступ! Мы пытались разобраться в проблеме около суток, пока не пришла гениальная идея… чертов Хамачи! Кстати, не только он. Пользователи называли ещё одну подобную программу, название не помню уже.
Крики не тех.поддержку не помогли, ни новый, ни ещё один IP не дают — не по рекомендациям RIPE. Что же будет, когда раздадут 7.0.0.0/8 подсеть? Её использует ещё большее число пользователей! Самое обидное, что тех.поддержка даже отвечать перестала по этому вопросу после того как нашли проблему. Я не могу писать на сайте, что для доступа к серверу нужно удалять Хамачи (а его надо почти обязательно удалять, т.к. иногда даже послу удаления остаётся подключение и перенаправление).
И казалось бы, вот-вот уже есть IPv6, но я что-то ещё не слышала, чтобы хоть один росскийский ISP раздавал IPv6.
Если у кого есть опыт решения данной проблемы с техподдежкой Хетзнера — напишите в личку, за мной не заржавеет.
Крики не тех.поддержку не помогли, ни новый, ни ещё один IP не дают — не по рекомендациям RIPE. Что же будет, когда раздадут 7.0.0.0/8 подсеть? Её использует ещё большее число пользователей! Самое обидное, что тех.поддержка даже отвечать перестала по этому вопросу после того как нашли проблему. Я не могу писать на сайте, что для доступа к серверу нужно удалять Хамачи (а его надо почти обязательно удалять, т.к. иногда даже послу удаления остаётся подключение и перенаправление).
И казалось бы, вот-вот уже есть IPv6, но я что-то ещё не слышала, чтобы хоть один росскийский ISP раздавал IPv6.
Если у кого есть опыт решения данной проблемы с техподдежкой Хетзнера — напишите в личку, за мной не заржавеет.
думаю самое простое — это поднять nginx в другом DC и оттуда перекидывать на основные сервера. У меня есть один из старых серверов с нормальным ip — буду на него направлять пользователей, а оттуда nginx. Пинг между ДЦ у них 1мс, так что пользователи не должны сильно заметить (по сравнению с 50мс до России).
Если бы у нас был веб-сервер, мы бы что-нибудь придумали. Но у нас игровой сервер с ~10-20Мегабит трафика в секунду. Даже если будет не заметно пинг, нужно либо делать прозрачный прокси (т.к. обязательно знать настоящий IP пользователя), либо писать отдельный прокси-сервер. Да и серверов в других ДЦ у нас нет, а покупать ещё один — лишние траты на установку и абонентку + могут снова дать в пятой подсети (хотя можно попросить, да).
Ого, вот это совпадение :)
вы работаете над joyreactor?
вы работаете над joyreactor?
Интересно, почему зная и предвидя такое развитие ситуации Каманчи IPv6 не засунули в свой продукт?
Вспоминается старый английский анекдот "… пидорасы, сэр".
В данном случае Hetzner прав, пинать надо разрабов Hamachi.
с точки зрения законности и стандартнов — да, hetzner прав. Но с этой точки зрения, это и не моя проблема тоже. Это проблема тех пользователей, что они поставили глючное ПО.
А вот с точки зрения бизнеса, я теряю 1% пользователей (а среди гиков и геймеров их ещё больше, на сайте хамачи пишут про 125млн подключённых девайсов). И это уже моя проблема. И мне надо её решать. Я её решил использованием ip из другого ДЦ. Если б я только начинал работать с хетцнером, возможно отказался бы от них. И в этот момент эта проблема становится и их бизнеса.
Вы спросите — а что им делать? Ведь пользователь всё равно может установить что хочет и прописать какие хочет маршруты у себя.
Как минимум, можно рассказать всем, что хамачи (и другие подобные программы) не стоит устанавливать. Как максимум, договориться с антивирусными компаниями считать такого рода программы угрозами для пользователя.
А вот с точки зрения бизнеса, я теряю 1% пользователей (а среди гиков и геймеров их ещё больше, на сайте хамачи пишут про 125млн подключённых девайсов). И это уже моя проблема. И мне надо её решать. Я её решил использованием ip из другого ДЦ. Если б я только начинал работать с хетцнером, возможно отказался бы от них. И в этот момент эта проблема становится и их бизнеса.
Вы спросите — а что им делать? Ведь пользователь всё равно может установить что хочет и прописать какие хочет маршруты у себя.
Как минимум, можно рассказать всем, что хамачи (и другие подобные программы) не стоит устанавливать. Как максимум, договориться с антивирусными компаниями считать такого рода программы угрозами для пользователя.
последний абзац — первое, что приходит в голову при прочтении топика
но…
есть в Воронеже такая организация — ТФОМС (территориальный фонд что-то там медицинской статистики). Они для безопасной связи с ЛПУ (лечебно-профилактические учреждения) используют Vipnet — такое есть сертифицированное нашим ФСТЕКом средство создания VPN.
Имеются такие проблемы:
1. Vipnet говно, потому, что он кастомно встроен внутрь стека tcp/ip и просто перехватывает некоторые пакеты, которые имеют адреса виртуальной сети, вместо того, чтобы объявить виртуальный сетевой интерфейс и стандартными средствами ОС (т.е. маршрутизацией). Если випнет глючит и ничего не перехватывает, и данные идут по маршруту по умолчанию, как правило — в интернет. Натурально, на шлюзе наблюдаются такие пакеты, если с ПО на рабочей станции какие-то неполадки. Это очень сложно отлаживать — никогда не поймёшь, почему оно вдруг не работает.
А раз ПО используется для передачи тех данных, которые вообще никому нельзя показывать, то такое поведение — чуть неполадки и данные полетят в интернет — совершенно недопустимо.Как ЭТО прошло сертификацию?
2. Админы воронежского ТФОМСа, в частности господин Извеков — вон из профессии, вы неучи и вам нечего делать в IT, а особенно — касаться средств обеспечения сетевой безопасности.
Причина такого заявления? Для виртульных адресов используется сеть 11.0.0.0/8. Конечно эта сеть не является приватной и назначили они её зря. Тонкость в том, что эта сеть принадлежит департаменту обороны (DoD) США. Каждый может проверить при помощи whois.
И что мы получаем? По сети передаются конфиденциальные данные (153 ФЗ по полной программе). Для защиты используется Vipnet, который совершенно некорректно (для ПО VPN) реагирует на сбои, которые, нередки. Если произошёл сбой, конфиденциальные данные отправляются прямо в DoD США. Это на уровне министерства здравоохранения обязательно использовать во всех ЛПУ области. Фантастика.
Я негодую.
А у вас проблема — хамачи какой-то, потери 1% пользователей — это детские цветочки…
но…
есть в Воронеже такая организация — ТФОМС (территориальный фонд что-то там медицинской статистики). Они для безопасной связи с ЛПУ (лечебно-профилактические учреждения) используют Vipnet — такое есть сертифицированное нашим ФСТЕКом средство создания VPN.
Имеются такие проблемы:
1. Vipnet говно, потому, что он кастомно встроен внутрь стека tcp/ip и просто перехватывает некоторые пакеты, которые имеют адреса виртуальной сети, вместо того, чтобы объявить виртуальный сетевой интерфейс и стандартными средствами ОС (т.е. маршрутизацией). Если випнет глючит и ничего не перехватывает, и данные идут по маршруту по умолчанию, как правило — в интернет. Натурально, на шлюзе наблюдаются такие пакеты, если с ПО на рабочей станции какие-то неполадки. Это очень сложно отлаживать — никогда не поймёшь, почему оно вдруг не работает.
А раз ПО используется для передачи тех данных, которые вообще никому нельзя показывать, то такое поведение — чуть неполадки и данные полетят в интернет — совершенно недопустимо.Как ЭТО прошло сертификацию?
2. Админы воронежского ТФОМСа, в частности господин Извеков — вон из профессии, вы неучи и вам нечего делать в IT, а особенно — касаться средств обеспечения сетевой безопасности.
Причина такого заявления? Для виртульных адресов используется сеть 11.0.0.0/8. Конечно эта сеть не является приватной и назначили они её зря. Тонкость в том, что эта сеть принадлежит департаменту обороны (DoD) США. Каждый может проверить при помощи whois.
И что мы получаем? По сети передаются конфиденциальные данные (153 ФЗ по полной программе). Для защиты используется Vipnet, который совершенно некорректно (для ПО VPN) реагирует на сбои, которые, нередки. Если произошёл сбой, конфиденциальные данные отправляются прямо в DoD США. Это на уровне министерства здравоохранения обязательно использовать во всех ЛПУ области. Фантастика.
Я негодую.
А у вас проблема — хамачи какой-то, потери 1% пользователей — это детские цветочки…
согласен, цифры вроде 1% пользователей и что у них недоступно 0.5% адресного пространства — это мелочи.
Тут интересен прецедент. Адреса ipv4 заканчиваются. Сервисы уплотняются в этом адресном пространстве. Начинаются коллизии между самозахваченными подсетями и официальными. И чем дальше — тем их будет больше. Подозреваю, что это и будет конец ipv4 — из-за сильной фрагментации сети, сайты и пользователи будут переходить на ipv6.
То, что сейчас пакеты 11.0.0.0/8 уходят в DoD — это как раз мелочи. Вот если DoD скажет, что они успешно перешли на ipv6 и отдадут подсеть /8 в общий пул, оставив себе одну /16 для внешних нужд, то для воронежских ЛПУ и для новых владельцев подсетей в 11.0.0.0/8 настанут интересные времена.
Тут интересен прецедент. Адреса ipv4 заканчиваются. Сервисы уплотняются в этом адресном пространстве. Начинаются коллизии между самозахваченными подсетями и официальными. И чем дальше — тем их будет больше. Подозреваю, что это и будет конец ipv4 — из-за сильной фрагментации сети, сайты и пользователи будут переходить на ipv6.
То, что сейчас пакеты 11.0.0.0/8 уходят в DoD — это как раз мелочи. Вот если DoD скажет, что они успешно перешли на ipv6 и отдадут подсеть /8 в общий пул, оставив себе одну /16 для внешних нужд, то для воронежских ЛПУ и для новых владельцев подсетей в 11.0.0.0/8 настанут интересные времена.
нене, я имел ввиду проблемы с безопасностью, в том числе — государственной
уж лучше нешифрованными эти персональные данные отправлять внутри России, чем в случае ошибки, опять же нешифрованными — в США
уж лучше нешифрованными эти персональные данные отправлять внутри России, чем в случае ошибки, опять же нешифрованными — в США
передавать важную информацию незашифрованной внутри России так же опасно, ибо перехватить её не будет составлять большого труда.
В случае одного региона — сомнительно, что перехватить «не будет составлять большого труда». По сути — кто перехватывать будет, провайдер? Эта информация в большинстве случаев, кроме бордера ЛПУ и бордера «центра» проходит через два БРАСа одного и того же провайдера, и тот — вполне «свой человек».
(конечно, тут можно завернуть про arp-спуфинг, ложные dhcp и подобные технологии — это реально несложно, особенно если посмотреть как у нас всё обустроено в ЛПУ, но это и с випнетом тогда не особо сложно)
(конечно, тут можно завернуть про arp-спуфинг, ложные dhcp и подобные технологии — это реально несложно, особенно если посмотреть как у нас всё обустроено в ЛПУ, но это и с випнетом тогда не особо сложно)
О знакомая история. В нашей больничке медицинские данные вообще гоняют между филиалами в открытую через Интернет. А внутренние IP-шники, на самом деле, принадлежат NASA :)
Это произошло не столько от тупизны админов, сколько от того, что никто не хочет платить за приведение ИТ к нормам 152 ФЗ.
Это произошло не столько от тупизны админов, сколько от того, что никто не хочет платить за приведение ИТ к нормам 152 ФЗ.
Ну у вас-то всё просто — рашка.
Похоже по всей россии у ТФОМС-ов 11 подсеть.
>Но с этой точки зрения, это и не моя проблема тоже. Это проблема тех пользователей, что они поставили глючное ПО
Ну вы сами все сказали, другое дело что хецнер очень неохотно дает ipv4, почти что с паяльником надо выбивать, но их можно понять. Цены у них на текущий момент такие, что найти нечто похожее становится сложно. Если бы не их проблема с ip (в частности выдачи), то цены бы не было.
Для ваших пользователей надо просто сделать уведомление, ну и посторатся разнести свой сервес на несколько дата центров, хотя бы голову.
Ну вы сами все сказали, другое дело что хецнер очень неохотно дает ipv4, почти что с паяльником надо выбивать, но их можно понять. Цены у них на текущий момент такие, что найти нечто похожее становится сложно. Если бы не их проблема с ip (в частности выдачи), то цены бы не было.
Для ваших пользователей надо просто сделать уведомление, ну и посторатся разнести свой сервес на несколько дата центров, хотя бы голову.
Извините, а я сильно накосячил, раздав интерфейсам комп-виртуалка 172.16.128.1/24?
У меня не стоит Хамачи, ни с компа ни с телефона по моему вайфай, не доступны несколько сайтов в зоне 5.0.0.0/8 стали на днях. Щас буду писать провайдеру.
Sign up to leave a comment.
0.5% интернета может быть недоступно для пользователей Hamachi