19:59:01	 From Sergey_RaibeartRuadh : Добрый
19:59:02	 From Александр Чудаков : добрый вечер
19:59:08	 From Albert : добрый)
20:00:14	 From Александр Чудаков : интригуете фононм))
20:00:42	 From Albert : теперь интригуете интерьером)
20:01:14	 From Andrey Tyumin : +
20:01:16	 From Serge Kislak : +
20:01:21	 From Белорусов Алексей : +
20:01:24	 From Белорусов Алексей : всем привет
20:05:41	 From Белорусов Алексей : мост
20:05:41	 From Serge Kislak : -
20:05:51	 From Andrey Tyumin : -
20:05:55	 From Albert : +-
20:05:56	 From Yurov Igor : +
20:06:00	 From Sergey_RaibeartRuadh : +
20:06:06	 From Александр Чудаков : виртуальный мост создающий l2 меэду интерфейсами
20:07:14	 From Александр Чудаков : марат теперь в яндексе Оо
20:09:21	 From Yurov Igor : ну или петельку сделать))
20:13:58	 From Александр Чудаков : drowio в vscode отлично начал работать
20:15:09	 From Roman : о, спс, надо попробовать )
20:15:16	 From Александр Чудаков : пдагин. дает редактировать файлв .drowio.png в интерфейсе vscode
20:17:32	 From Yurov Igor : плюсую))
20:20:01	 From Александр Чудаков : влан интерфейсы в бридж так же подключаются?
20:20:35	 From Serge Kislak : Что такое петля?
20:20:39	 From Serge Kislak : Как ее сделать?
20:21:36	 From mikhail.figura : не все уже живы из тех, кто задает такие вопросы..
20:21:44	 From Александр Чудаков : хабы лежат на складах, ждут своего часа))
20:21:54	 From Yurov Igor : да, были такие хабики)
20:24:15	 From Белорусов Алексей : не понял разве можно разные влан в бридж объединить. разбиение на вланы же для чего то делается. там уже если нужен обмен то через L3. 
Поправьте если не прав
20:25:11	 From Aleksandr Oliferuk : так свичи на заводе на стресс-тест прогоняют - замыкают все порты
20:26:39	 From Serge Kislak : Понятно - спасибо!
20:26:49	 From Vladimir Martyanov : бридж имеет что-то типа CAM-таблицы? или как определяется в какой интерфейс пихнуть кадр?
20:26:54	 From mikhail.figura : любимый финт-завернуть 2 соседних порт в 2 разных влана аксессом и замкнуть между собой...
20:27:15	 From mikhail.figura : так легко можно перемаркировывать трафик в разные вланы )
20:27:46	 From Vladimir Martyanov : то есть концептуально бридж и  свич одно и тоже?
20:28:24	 From Vladimir Martyanov : понял, спасибо
20:28:49	 From mikhail.figura : это продакшн)
20:29:11	 From mikhail.figura : админы на местах в шоке были ) 3жды переспрашивали правда включать, точно?
20:29:20	 From Белорусов Алексей : Элтекс
20:29:30	 From mikhail.figura : наг?
20:29:59	 From OTUS онлайн-образование : https://www.nsc-com.com/technologies-and-solutions/technology-tdmop/technology-review-tdmop
20:30:04	 From mikhail.figura : передовая отечественная разработка)
20:30:55	 From Aleksandr Oliferuk : +
20:30:56	 From Yurov Igor : +
20:30:59	 From Белорусов Алексей : +
20:31:00	 From Albert : -
20:31:04	 From mikhail.figura : их много)
20:31:07	 From Sergey_RaibeartRuadh : +
20:31:10	 From mikhail.figura : что-то знаем что-то не знаем
20:31:11	 From Roman : это такие штуки в уши
20:31:16	 From Александр Чудаков : + объединение серых сетей)
20:31:46	 From mikhail.figura : ipip gre ipsec? про какой вы)
20:38:23	 From Yurov Igor : терминируется вроде
20:39:03	 From Yurov Igor : в VXLAN так было, на сколько помню)
20:39:32	 From Sergey_RaibeartRuadh : На удаленном сервере есть Postgresql но порт 5432 наружу закрыт, но есть ssh.
Можно через доступное ssh соединение прокинуть тоннель на localhost c нужным портом и получить доступ :)
20:40:01	 From Александр Чудаков : ssh ,вообще боль безопасника
20:40:06	 From Sergey_RaibeartRuadh :  даже изображение с камер
20:40:38	 From Александр Чудаков : ipsec pptp l2tp ipip
20:40:47	 From Александр Чудаков : openvpn
20:41:09	 From mikhail.figura : во
20:41:13	 From mikhail.figura : точно
20:42:06	 From Aleksandr Oliferuk : через gre можно ethernet завернуть
20:46:41	 From Yurov Igor : +
20:47:43	 From Белорусов Алексей : внешние адрес а- это белые ?
20:48:03	 From Белорусов Алексей : то есть внутри локалки поднять не получится?
20:48:24	 From Aleksandr Oliferuk : ну не обязательно) можно по идее сначала PPTP/OpenVPN поднять, а потом поверх GRE настраивать)
тогда нужен минимум 1 внешний, а не 2))
20:48:37	 From Aleksandr Oliferuk : Даёшь луковый впн))
20:48:51	 From Yurov Igor : MTU маленький получится)
20:50:07	 From Белорусов Алексей : тогда белые это что значит? без ната? даже есть он статический ип в ип?
20:50:17	 From Белорусов Алексей : не был )
20:51:16	 From Белорусов Алексей : понял
20:52:09	 From Yurov Igor : но и ipsec к ним прикрутить можно
20:52:22	 From Yurov Igor : а, отвлёкся)
20:54:29	 From Белорусов Алексей : dmvpn
20:54:50	 From Александр Чудаков : проприетащина же)
20:55:05	 From Белорусов Алексей : вроде да
20:55:12	 From Александр Чудаков : а так она огонь
20:55:31	 From Aleksandr Oliferuk : там какую-то реализацию vpn прям в ядро линукса встроили не так давно, но я только краем уха слышал
20:55:49	 From Roman : про wireguard
20:55:51	 From Aleksandr Oliferuk : наверно да
20:55:54	 From Aleksandr Oliferuk : круто
20:56:16	 From mikhail.figura : ye neyytkm c ibahjdfybtv
20:56:18	 From Vladimir Martyanov : набор протоколов вроде
20:56:19	 From mikhail.figura : туннель с шифрованием
20:56:22	 From Sergey_RaibeartRuadh : набор протоколов для защиты
20:56:30	 From Александр Чудаков : шифрование и авторизация тоафика
20:56:34	 From Roman : говорят жутко удобная штука, все кто сталкивался называют айписец )
20:56:40	 From Sergey_RaibeartRuadh : :)))
21:02:33	 From Albert : он на микротике говорят даже не сразу поднимается
21:04:03	 From Александр Чудаков : там еще сейчас у циски квест с сертификацией от фсб с к9 фичами
21:04:22	 From Aleksandr Oliferuk : +
21:04:24	 From Белорусов Алексей : +
21:04:25	 From Yurov Igor : +
21:04:26	 From Albert : +
21:04:28	 From Andrey Tyumin : +
21:10:30	 From Белорусов Алексей : интересно, а пров может понять чем я шифрую
21:10:53	 From Белорусов Алексей : сертифицированный это гост?
21:11:08	 From Белорусов Алексей : аа.. вот оно че
21:11:51	 From Albert : сейчас даже на опере уже встроенный впн, даже париться не надо
21:15:54	 From Белорусов Алексей : котик пинги шлет)
21:16:17	 From Aleksandr Oliferuk : мяу ^_^
21:16:17	 From mikhail.figura : сейчас будет шатдаун
21:16:42	 From mikhail.figura : conf t   interface cat> disable
21:16:44	 From Sergey_RaibeartRuadh : И скоро будет шатать фаервол
21:24:03	 From Aleksandr Oliferuk : мой любимый)
21:24:05	 From Александр Чудаков : +
21:24:07	 From Yurov Igor : +
21:24:14	 From Aleksandr Oliferuk : 300 человек держит в лёгкую
21:24:37	 From Aleksandr Oliferuk : клиенты есть даже под iOS и андроид
21:25:09	 From Александр Чудаков : самое главное он в tcp работает. на 443 порту одновременно с вебсервером. Если скажете что еще так умеет будет круто
21:25:37	 From Белорусов Алексей : у фортика впн вроде бесплатные
21:26:00	 From Белорусов Алексей : ограничений нет, пока проц держит
21:26:18	 From Aleksandr Oliferuk : Александр, я udp использую ради перформанса
21:26:42	 From Александр Чудаков : с udp много вариантов есть...
21:27:14	 From Albert : -
21:27:31	 From Albert : я пока с впн постолько поскольку сталкивался(
21:28:36	 From Yurov Igor : обещают научить)
21:29:42	 From Aleksandr Oliferuk : да, когда клиент территориально очень далеко, например, Китай, udp заметно стабильней, чем tcp
21:30:07	 From Aleksandr Oliferuk : На tcp у удалённого клиента сплошные реконнекты идут
21:31:09	 From Белорусов Алексей : там RTT очень большие
21:31:35	 From Aleksandr Oliferuk : скорее всего tcp-хендшейки ломаются, но я глубоко не смотрел
21:31:39	 From Белорусов Алексей : я про большие задержки на больших расстояния
21:31:42	 From Aleksandr Oliferuk : попробовал одно, потом другое
21:32:02	 From Белорусов Алексей : 140 мс из Хабаровска
21:32:12	 From Aleksandr Oliferuk : нормальный пинг)
21:32:15	 From Белорусов Алексей : Самое мелкое 120 мс
21:32:31	 From Александр Чудаков : скорость света не победить =(
21:32:39	 From Белорусов Алексей : ага
21:35:33	 From Александр Чудаков : приятно что можно ключ и сертификат с конфигом можно в .ovpn впихнуть. 1 файл дал клиенту и все
21:35:38	 From Aleksandr Oliferuk : к OpenVPN с сертами можно ещё LDAP прикрутить, получится практически двухфакторная авторизация

Правда я с такой схемой словил неожиданное поведение - можно подключиться с сертификатом любого юзера, используя его сертификат
21:36:00	 From Aleksandr Oliferuk : и получить его конфиг, атворизуюся под своим паролем лдап %)
21:37:04	 From Yurov Igor : да, это не секурно
21:38:18	 From Alfred Meshcheryakov : я делал по логину и паролю + 2FA
21:45:46	 From Albert : дальше)
21:51:38	 From Александр Чудаков : keepalive разве не для того чтобы чтобы в сессии трафик ходил. и ее не дропали как неиспользуемую...
21:51:59	 From Aleksandr Oliferuk : вот это очень удобно
ещё есть такое:
ccd-exclusive # Если у клиента отсутствует файл ccd/username, то в доступе будет отказано
21:52:45	 From Aleksandr Oliferuk : а ещё можно активировать management-console:

management localhost 7505
21:52:55	 From Александр Чудаков : больше саш для бока саш!
21:53:18	 From Aleksandr Oliferuk : без revoke'а можно блочить)
21:53:19	 From Александр Чудаков : *бога XD
21:53:37	 From Александр Чудаков : сорри за офтоп
21:55:58	 From Aleksandr Oliferuk : Да, полезная штука)
21:56:10	 From Aleksandr Oliferuk : можно получать живую статистику - кол-во подключений
21:56:16	 From Aleksandr Oliferuk : и например, дропнуть отдельного клиента
21:58:32	 From Albert : а статические маршруты посмотреть можно как прописаны?
22:00:08	 From Александр Чудаков : везде надо прописывать маршрут на клиентов или NAT настраивать?
22:03:52	 From Александр Чудаков : аа это s-to-s
22:04:57	 From Александр Чудаков : +
22:05:04	 From Белорусов Алексей : +
22:05:21	 From Albert : -
22:06:28	 From Александр Чудаков : -u
22:08:58	 From Александр Чудаков : а он в много ядер может?
22:09:20	 From Aleksandr Oliferuk : ну не знаю, за нагрузку, но мой сервер впн не отдичается мощностями: 2sockets, 2core, 2GB RAM
22:09:28	 From Aleksandr Oliferuk : и всё прекрасно
22:09:50	 From Белорусов Алексей : rdp какой нить?
22:09:57	 From Aleksandr Oliferuk : я так не мерял, но около 300 человек с rdp, ssh, http, DataBases
22:09:59	 From Белорусов Алексей : у Александра )
22:10:05	 From Aleksandr Oliferuk : веб сервисы и прочие удалёнки
22:10:46	 From Александр Чудаков : аналоги работающие в tcp  кто знает?)
22:11:17	 From Aleksandr Oliferuk : штука от японского студента?
22:11:24	 From Aleksandr Oliferuk : softether
22:11:36	 From Yurov Igor : отвлёкся, а про компрессию в openVPN было?
22:11:43	 From Aleksandr Oliferuk : lz4 =)
22:11:56	 From Aleksandr Oliferuk : compress lz4
22:12:02	 From Aleksandr Oliferuk : вот так по-новому
22:12:20	 From Александр Чудаков : странно что не сделали vpn через https
22:12:20	 From mikhail.figura : wireguard hfccrf;bnt
22:12:23	 From mikhail.figura : расскажите
22:12:31	 From Yurov Igor : ок
22:12:31	 From Aleksandr Oliferuk : компрессия - как плюс к шифрованию)
22:12:50	 From mikhail.figura : -
22:12:52	 From Белорусов Алексей : -
22:12:52	 From Albert : -
22:12:53	 From Yurov Igor : _
22:12:54	 From Александр Чудаков : +
22:12:56	 From Aleksandr Oliferuk : писал, что что-то слышал
22:13:06	 From mikhail.figura : слышал типа маст хев
22:13:09	 From Yurov Igor : хотел оппробовать на досуге
22:13:20	 From Aleksandr Oliferuk : мне это говорили в контексте новостей про новое ядро
22:15:50	 From Albert : офигеть
22:16:00	 From Yurov Igor : огонь!
22:16:43	 From Aleksandr Oliferuk : это огромный -
22:17:00	 From Yurov Igor : в 7 beta есть
22:18:28	 From Aleksandr Oliferuk : Чё-то нашлось про аудит: https://courses.csail.mit.edu/6.857/2018/project/He-Xu-Xu-WireGuard.pdf
22:24:25	 From Albert : подозрительно все просто)
22:25:43	 From Александр Чудаков : телефоном не подключались?
22:28:09	 From Yurov Igor : кажется быстрее, но не на много
22:28:15	 From Александр Чудаков : лосов нет
22:28:21	 From Yurov Igor : да!
22:28:22	 From Sergey_RaibeartRuadh : потерь нет
22:28:44	 From mikhail.figura : но все  эти тесты имею смысл если мы связываем через впн филиалы. если это просто точка-многоточка для бухов и дизайнеров по удаленке-там и близко столько трафика не будет
22:29:09	 From Александр Чудаков : если дефолт им не передавать=)
22:29:11	 From Yurov Igor : больше отсутствие лосов нравится
22:29:37	 From Aleksandr Oliferuk : всякое бывает с впн - и потоки гоняют, и файло
22:30:10	 From Yurov Igor : круто!
22:30:11	 From Александр Чудаков : https://www.zerotier.com/ вот такую штуку нашел сегдоня для себя
22:30:21	 From Albert : а что там allowed?
22:31:02	 From Aleksandr Oliferuk : можно либо всех клиентов через свой сервер в сеть направлять (default GW), либо маршруты им какие-то свои отдавать
22:32:08	 From Yurov Igor : получается с сервака не разрешено?
22:32:24	 From Yurov Igor : gw
22:32:29	 From Albert : все заворачивается на тунель?
22:32:38	 From Yurov Igor : нат
22:33:04	 From Александр Чудаков : не в тот интерфейс?
22:33:15	 From Aleksandr Oliferuk : с ДНС тоже кстати свой большой нюанс, возможно вам пригодится связка опций на сервере (OpenVPN)
push "dhcp-option DNS X.X.X.X" + push "dhcp-option DOMAIN domain.com"
22:34:12	 From Aleksandr Oliferuk : классика) по-умолчанию форвардинг всегда выключен
22:34:27	 From Yurov Igor : не сразу догадался бы))) думал в роуты))
22:34:46	 From Aleksandr Oliferuk : в обычных дистрибутивах всегда выключен изначально
22:34:58	 From Yurov Igor : не-не, я помнил что они есть, в этом и затупил)))
22:35:33	 From Albert : iptables?
22:36:01	 From Albert : rp filter
22:36:04	 From Aleksandr Oliferuk : netstat -rn
22:36:06	 From Albert : но это пальцем в небо
22:36:35	 From Aleksandr Oliferuk : может всё-таки нетстат?
22:36:58	 From Albert : мтьу
22:37:01	 From Albert : мту
22:37:06	 From Александр Чудаков : таблица роут
22:37:06	 From Aleksandr Oliferuk : а какой вопрос был?))
22:37:22	 From Aleksandr Oliferuk : маршруты же
22:37:26	 From Александр Чудаков : аа, правилом шз кгду
22:37:30	 From Александр Чудаков : ip rule
22:37:46	 From Aleksandr Oliferuk : -+
22:37:48	 From Aleksandr Oliferuk : -
22:38:20	 From Александр Чудаков : я ip rule не смог с docker подружить...
22:38:30	 From Aleksandr Oliferuk : это wireguard так работает? а ещё кто?
22:39:48	 From Albert : что то вспоминается такое, было на прошлых занятиях
22:39:51	 From Aleksandr Oliferuk : ясно, всё понятно, спасибо
22:40:38	 From Александр Чудаков : эту шткук debian неудобно сохранять
22:40:58	 From Aleksandr Oliferuk : сегодня не упомянули (или я пропустил), про такую штуку
очень частный случай, но бывает полезно в контексте IoT
22:41:03	 From Aleksandr Oliferuk : Ethernet over IP
22:41:10	 From Aleksandr Oliferuk : https://habr.com/ru/post/227859/
22:41:15	 From Aleksandr Oliferuk : Есть и в линукс)
22:41:26	 From Aleksandr Oliferuk : А вот тут микрот
https://asp24.ru/mikrotik/sozdanie-domashney-seti-na-baze-ustroystv-mikrotik-chast-5-sozdanie-eoip-tunnelya/
22:41:35	 From Aleksandr Oliferuk : Да, в микроте как надо сделано
22:42:34	 From Albert : 21 мая)
22:42:35	 From Aleksandr Oliferuk : Хотел сказать, что есть наконец полезный вариант использования - для объединения разных локаций глупо-умного дома
22:43:10	 From OTUS онлайн-образование : https://otus.ru/polls/14522/
22:43:12	 From Sergey_RaibeartRuadh : Спасибо )
22:43:23	 From Serge Kislak : Спасибо!
22:43:25	 From Albert : спасибо за занятие)
22:43:26	 From Yurov Igor : Супер! Спасибо!
22:43:26	 From Aleksandr Oliferuk : Спасибо, всё отлично!
22:43:30	 From Белорусов Алексей : спасибо!
22:43:47	 From Александр Чудаков : не использовали zerotier ?
22:43:49	 From Aleksandr Oliferuk : я про EoIP
22:44:39	 From Aleksandr Oliferuk : есть конечно udproxy или как их там
22:44:52	 From Aleksandr Oliferuk : но с EoIP всё в разы проще
22:44:59	 From Александр Чудаков : Оо
22:45:33	 From Александр Чудаков : при коннекте его читает
22:46:00	 From Александр Чудаков : пойду проверю XD
22:46:02	 From Aleksandr Oliferuk : всего доброго!