forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Уязвимости в Cisco RV32x были устранены через блокировку зап..., opennews (??), 28-Мрт-19, (0) [смотреть все]

Поражает наивность реакции Cisco The initial fix for this vulnerability was fou, Аноним (1), 08:14 , 28-Мрт-19, (1) +39 //

Ещё доставляет реклама этих рутеров на сайте Cisco Keep your employees, your bu, Аноним (3), 08:20 , 28-Мрт-19, (3) +5 //

productive and effective такой productive and effective , Аноним (42), 12:04 , 28-Мрт-19, (42) +4 //

Ну да, именно Вы просто не понимаете, что эффективное производство стремится сн, x3who (?), 16:24 , 28-Мрт-19, (58)

И с каждой последующей итерацией высе W продукт штурмует очередное днище Но деф, Аноним (-), 21:34 , 28-Мрт-19, (65) +3

Они так до белого списка юзерагентов додумаются в итоге , Аноним (62), 20:09 , 28-Мрт-19, (62) //

И чем это им поможет , Aknor (?), 21:30 , 28-Мрт-19, (64) //

Ничем, просто логическое развитие их подхода , Аноним (62), 22:48 , 28-Мрт-19, (67)

Уже и цискам нельзя доверять Кошмар, куды бечь , ryoken (ok), 08:18 , 28-Мрт-19, (2) –3 //

кинетик микротик, ЩЫптЫ (?), 08:32 , 28-Мрт-19, (5) –4 //

В MikroTik с безопасностью не лучше https www opennet ru opennews art shtml nu, Аноним (1), 08:35 , 28-Мрт-19, (7) //

Просто вырубил winbox в IP- services, и всё остальное кроме www , Аноним (9), 08:50 , 28-Мрт-19, (9) –1
исправлено же, Айран (?), 09:19 , 28-Мрт-19, (11) –1

Тоже хрень, да и тут вещают, под ДДоСом валятся на ура мокротыки , ryoken (ok), 09:30 , 28-Мрт-19, (13) +1 //

ну если три-четыре околонулевой нагруженности ipsec-туннеля для них ddos - то мо, пох (?), 09:57 , 28-Мрт-19, (20) –2

Наверно они при покупке на смотрели на схемы железок, которые они покупать собир, Андрей (??), 10:33 , 28-Мрт-19, (27) +1

стесняюсь спросить - они до сих пор не умеют его оффлоадить на отдельное шифроус, пох (?), 10:58 , 28-Мрт-19, (33) +1

Из этого всего потока сознания можно сделать вывод что перед нами теоретик-флуде, Аноним (39), 11:13 , 28-Мрт-19, (39) –8

судя по тому что это для вас поток сознания - вы даже не теоретик, а так - о, . (?), 13:58 , 28-Мрт-19, (49) +4

Тут не удержусь от ехидного комментария Глядя на злоключения коллег из сетево, PnDx (ok), 11:20 , 28-Мрт-19, (40) +1

признаюсь честно, именно ipsec site2site failover я делал на 7-8 0 то есть до п, нах (?), 13:39 , 28-Мрт-19, (48) –1

есть модели с специальным шифроустрйоством и есть без Какие имеют его - написан, ыы (?), 12:23 , 28-Мрт-19, (44) –1

вы же уже купили , что теперь толку от того чтения - , пох (?), 14:08 , 28-Мрт-19, (51)

Надо не стесняться Надо сходить на сайт, выбрать пункт IPsec hardware accelera, Андрей (??), 16:56 , 28-Мрт-19, (60) –2

дружище, я на другие сайты хожу с лошадками, например В то время как цисячьи и, пох (?), 20:06 , 28-Мрт-19, (61)

я смотрю пох нах у нас специалисты во всех сферах, сам-то хоть видел его вживую , Аноним (39), 11:11 , 28-Мрт-19, (38) –4

стыдно сказать, нет - Я ни разу не был на площадках, где оно работает не считал, пох (?), 14:07 , 28-Мрт-19, (50)

Netter, Gannet (ok), 19:51 , 30-Мрт-19, (77)

ну вообще-то цискам, которые на самом деле линксиси, а это именно оно, доверять , пох (?), 09:52 , 28-Мрт-19, (18) +1 //

Там ещё хуже - там ваще КИТАЙЦЫ А этому племени у меня доверия нет и вряд ли по, ryoken (ok), 15:15 , 28-Мрт-19, (55) //

дык, потому индусов и нет - они их палочками едят доверять им может и нельзя п, пох (?), 20:14 , 28-Мрт-19, (63)

А можно было Имеется ввиду безопасность, а не навороченность железа , Аноним (26), 10:21 , 28-Мрт-19, (26) +5
А с каких пор можно было доверять проприетарщине , Аноним (46), 13:12 , 28-Мрт-19, (46) +2 //

Сейчас с нами поделятся историей успеха что ставили, что ставят и что будут став, Аноним (66), 21:43 , 28-Мрт-19, (66) –3 //

Смотря на каком континенте спрашивать будете Не специалист, но могу спросить т, Michael Shigorin (ok), 13:19 , 29-Мрт-19, (71) –1

А когда было можно я тех времён, когда они под стол пешком ходили, не застал п, Michael Shigorin (ok), 13:18 , 29-Мрт-19, (70)

Молодцы Умеют устранять уязвимости , Аноним (4), 08:26 , 28-Мрт-19, (4) +7 //

И заметье, на подготовку такого патча им потребовалось полгода 2018-09-19 Origin, Аноним (1), 08:32 , 28-Мрт-19, (6) +7 //

Ну, если отбросить арифметику, для для гротеска можно сказать что они шесть лет , IdeaFix (ok), 09:14 , 28-Мрт-19, (10) –1 //

Четыре , Аноним (17), 09:51 , 28-Мрт-19, (17) +3

И главное - быстро 10 баллов , А (??), 10:34 , 28-Мрт-19, (28)

Абсолютно феерично Мог ожидать такого от Microsoft, но чтобы от Cisco, которая , Tifereth (?), 08:49 , 28-Мрт-19, (8) +4 //

And sometimes Cisco explains its behavior with a simple phrase Monopoly mea, sstj3n (?), 09:24 , 28-Мрт-19, (12) +3
Нет, анонимы давно ожидают такого и регулярно получают https overclockers , Аноним (14), 09:33 , 28-Мрт-19, (14) +1 //

Интересные ссылки, благодарю По отдельности всё не так страшно, но когда соберё, InuYasha (?), 14:38 , 28-Мрт-19, (53)

взаимоисключающие понятия, Аноним (14), 09:37 , 28-Мрт-19, (15) +4
Да какое еще отношение к безопасности Это по старой памяти 15-летней давности т, KonstantinB (ok), 09:57 , 28-Мрт-19, (21) //

Слайды Сноудена припомните, циска изначально такой и была, Sw00p aka Jerom (?), 10:44 , 28-Мрт-19, (30) +3
Тогда зачем платить больше Купи длинков пучок и пере загружай их весь день , Аноним (34), 10:59 , 28-Мрт-19, (34) //

Вот, кстати, с древним dlink 320 с dd-wrt никаких проблем , KonstantinB (ok), 11:04 , 28-Мрт-19, (36) +1

Это же мыльница какаято - купили кавота, налепили наклейку - cisco епт , Аноним (16), 09:47 , 28-Мрт-19, (16) +1 //

да, но выкинуть на мороз индуса и нанять нормального хотя бы менеджера среднего , пох (?), 09:54 , 28-Мрт-19, (19) –2 //

не бывает возьмите чубайса , ананим.orig (?), 11:08 , 28-Мрт-19, (37) +1

Ага - мыльница Цены-то у него конские , Аноним (14), 10:12 , 28-Мрт-19, (25) //

https www amazon com gp offer-listing B00DGH08OC если бы это не была линксися , пох (?), 15:10 , 28-Мрт-19, (54) –1

Сдаеца мне именно так и сделали - индуса ваявшего прошивку на мороз, вместо него, Аноним (16), 09:57 , 28-Мрт-19, (22) +4
Я, конечно, понимаю, что такое латание уязвимостей это скорее попытка блокиров, Аноним (23), 09:59 , 28-Мрт-19, (23) +2 //

не надо так тяп-ляп опускать, костыли, пусть и кривые, будут есть и будут, а э, тщт (?), 10:46 , 28-Мрт-19, (31) +2

Всегда так делаю 128077 , Нанобот (ok), 10:08 , 28-Мрт-19, (24) +3
Может, проще туда как-нибудь OpenWrt прошить , Уровень предприятия (?), 10:34 , 28-Мрт-19, (29) //

Проще приобрести мощный одноплатник под OpenWRT за треть цены сабжа А то, что в, Аноним (-), 12:15 , 28-Мрт-19, (43) +3

Конечно же это всё произошло случайно , Аноним (34), 10:57 , 28-Мрт-19, (32) +1 //

Да как обычно небось наняли джуна на испытательный, код-ревью не делали Ну в, freehck (ok), 11:02 , 28-Мрт-19, (35) +1 //

джуны такое себе не позволяют - им не нужно увольнение с первой в жизни должност, пох (?), 23:07 , 29-Мрт-19, (75)

https habr com ru post 444998 а вы тут от мыльницы какой то защищенности хоти, Аноним (16), 13:09 , 28-Мрт-19, (45) //

Это они баян с Ars Technica без ссылки на источник перевели под видом нового исс, Аноним (1), 13:26 , 28-Мрт-19, (47)

А как там у Джуниперов дела Они подобного уровня добро вообще делают Давно на о, ryoken (ok), 15:19 , 28-Мрт-19, (56) //

нет, там все заподорого и не через розничные магазины - мелкоохфесам не светит н, пох (?), 16:48 , 28-Мрт-19, (59) –1 //

Кто там ещё остался AlliedTelesyn s Давно что-то вообще про них не слышал, , ryoken (ok), 13:57 , 29-Мрт-19, (72) //

https www alliedtelesis com products security-appliances utm-firewallsнуууу хр, пох (?), 16:08 , 29-Мрт-19, (73)

Циска и безопасность - это слова синонимы и об этом знают все , Анонимс (?), 15:54 , 28-Мрт-19, (57) +1
Ха-ха https i imgur com YOpC9e6 jpg, Аноним (68), 23:32 , 28-Мрт-19, (68) +1
- без аутентификации обратиться к скриптам config exp или export_debug_msg exp с, Онаним (?), 23:37 , 28-Мрт-19, (69)
На самом деле у рассматриваемого есть прекрасная непробиваемая защита А именно , Аноним (74), 17:43 , 29-Мрт-19, (74) –1 //

ну да, что у тебя в сети вместо 220 гуляет 380, и банальных фильтров купить даже, пох (?), 23:16 , 29-Мрт-19, (76)

Сообщения [Сортировка по времени | RSS]

13. "Уязвимости в Cisco RV32x были устранены через блокировку зап..." +1 +/–

Сообщение от ryoken (ok), 28-Мрт-19, 09:30

Тоже хрень, да и тут вещают, под ДДоСом валятся на ура мокротыки.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

20. "Уязвимости в Cisco RV32x были устранены через блокировку зап..." –2 +/–

Сообщение от пох (?), 28-Мрт-19, 09:57

ну если три-четыре околонулевой нагруженности ipsec-туннеля для них ddos - то моя древняя ржавая asa и парочка ее краденых виртуальных сестренок должны были уже не то что лечь, а взорваться и улететь в форточку. Однако ж, работают, а мокротыки коллеги сделавшие себе на них защищенную сеть - перезагружают просто вот по три раза на дню, а чо, затодешево! (не так чтоб и особо)

Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимости в Cisco RV32x были устранены через блокировку зап..." +1 +/–

Сообщение от Андрей (??), 28-Мрт-19, 10:33

Наверно они при покупке на смотрели на схемы железок, которые они покупать собираются. На сайте Микротика все выложено.
Там нарисовано как трафик ходит и где затыки могут быть. Например на надо покупать одноядерный микротик, если надо шифровать IP-Sec и гонять большой трафик в режиме роутера. Соответственно нормально выбранная железка и у Микротика, стоит не мало. Но ведь кто ж читает... Кроилово, оно всегда переходит в попадалово. Да.
Ну а ASA - это по сути комп. Простой как три копейки. При высокой нагрузке лагает, как и все. При зоопарке VPN-клиентов поглючивает и подкашливает. Так что никаких чудес.
Был у меня на работе старый компа с OpenVPN. Выкинули комп когда CA-сертификат протух (был на 10 лет сделан при инсталяции). А пока не протух CA, работал себе вполне и всем очень нравился.

Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимости в Cisco RV32x были устранены через блокировку зап..." +1 +/–

Сообщение от пох (?), 28-Мрт-19, 10:58

> Например на надо покупать одноядерный микротик, если надо шифровать IP-Sec
стесняюсь спросить - они до сих пор не умеют его оффлоадить на отдельное шифроустройство?
> Ну а ASA - это по сути комп. Простой как три копейки.
угу - в 5510 - _селерон_ (p3, без всяких там aes'ов и sssse8910). При этом, как ни удивительно, с ipsec на крупный branch-office c десятками туннелей к каким-нибудь удаленным складам у нее все в порядке (с поправками на неумение элементарных вещей) - шифрует отдельный чип, тормозит тоже отдельно от всего.
Непростой там софт - попробуй-ка на коленке на компе (все равно из каких деталей) собрать failover cluster с автомагическим переключением - включая и те же криптотоннели. У асы - работает.
> При высокой нагрузке лагает, как и все.
какие такие все? Вот любимый некротик при невысокой виснет, перезагрузка ресетом. Зато дешево.
У stonesoft за шесть вагонов денег - при нагрузке, не превышающей штатной - разваливается кластер, активная нода виснет намертво, вторая умудряется этого не заметить и не переключиться, при банальном апдейте банальных правил - начинает все глючить и виснуть до отката на старые конфиги. Техподдержка разводит лапками - "шеф, я вас вижу! - Аналогично!"
А у тебя - всего лишь лагает ,и то потому что вышел за допустимые параметры.
(ну да, есть еще checkpoint и paloalto, но там и деньги несопоставимые с асой без доп-примочек, и смысл этих коробок немного в другом, и своих специальных глюков и проблем на ровном месте у них навалом. А в дверку тихонько скребется очень-плохая-дорога, со словами "а мы тут, кстати, сертификат ФСТЭК прикупили")

Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимости в Cisco RV32x были устранены через блокировку зап..." –8 +/–

Сообщение от Аноним (39), 28-Мрт-19, 11:13

Из этого всего потока сознания можно сделать вывод что перед нами теоретик-флудер.

Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимости в Cisco RV32x были устранены через блокировку зап..." +4 +/–

Сообщение от . (?), 28-Мрт-19, 13:58

> Из этого всего потока сознания можно сделать вывод что перед нами теоретик-флудер.
судя  по тому что это для вас "поток сознания" - вы даже не теоретик, а так - "один раз видел микротик, но настраивал его какой-то инженер".

Ответить | Правка | Наверх | Cообщить модератору

40. "Уязвимости в Cisco RV32x были устранены через блокировку зап..." +1 +/–

Сообщение от PnDx (ok), 28-Мрт-19, 11:20

> Непростой там софт - попробуй-ка на коленке на компе (все равно из каких деталей) собрать failover cluster с автомагическим переключением - включая и те же криптотоннели. У асы - работает.
  Тут не удержусь от ехидного комментария. Глядя на злоключения коллег из сетевого отдела — *не* работает. В 9 прошивках из 10 есть какой-то очередной нюанс, препятствующий переключению или сваливающий в "панику". И при этом зафиксировать рабочее — тоже не вариант, т.к. регламенты.
Не знаю как там у можжевеловых, но Cisco+ASA = вот это вот.

Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

48. "Уязвимости в Cisco RV32x были устранены через блокировку зап..." –1 +/–

Сообщение от нах (?), 28-Мрт-19, 13:39

>   Тут не удержусь от ехидного комментария. Глядя на злоключения коллег
> из сетевого отдела — *не* работает. В 9 прошивках из 10
признаюсь честно, именно ipsec site2site failover я делал на 7-8.0 (то есть до прихода щастья всем в виде поддержки многотредовости в 8.2)  - работало, переключалось c sub-second delay (ибо voip), в панику за год не свалилось.
Учитывая что именно это место гарантированно пострадало от мультипроцессорности/тредов - готов поверить, что в 9+ оно так.
> есть какой-то очередной нюанс, препятствующий переключению или сваливающий в "панику".
> И при этом зафиксировать рабочее — тоже не вариант, т.к. регламенты.
вообще-то с циской принято не фиксировать полурабочее скотчем, а открывать tac case (раз они где-то берут свежие версии, значит, и доступ к tac у них есть). Вот если tac уже послал - нужны подробности, как дошли до жизни такой.
Поскольку вроде бы как раз основной функционал, и непонятно, зачем дальше такая коробка нужна.
мы ssg, видимо, выпилим за такое поведение, ибо ненужно.

Ответить | Правка | Наверх | Cообщить модератору

44. "Уязвимости в Cisco RV32x были устранены через блокировку зап..." –1 +/–

Сообщение от ыы (?), 28-Мрт-19, 12:23

>стесняюсь спросить - они до сих пор не умеют его оффлоадить на отдельное шифроустройство?
есть модели с специальным шифроустрйоством и есть без. Какие имеют его - написано на сайте (включая недорогие роутеры сохо-сегмента). Но кто-ж читает что там на сайте написано...

Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

51. "Уязвимости в Cisco RV32x были устранены через блокировку зап..." +/–

Сообщение от пох (?), 28-Мрт-19, 14:08

> есть модели с специальным шифроустрйоством и есть без. Какие имеют его -
> написано на сайте (включая недорогие роутеры сохо-сегмента). Но кто-ж читает что
> там на сайте написано...
"вы же уже купили", что теперь толку от того чтения :-(

Ответить | Правка | Наверх | Cообщить модератору

60. "Уязвимости в Cisco RV32x были устранены через блокировку зап..." –2 +/–

Сообщение от Андрей (??), 28-Мрт-19, 16:56

Надо не стесняться. Надо сходить на сайт, выбрать пункт "IPsec hardware acceleration" и посмотреть на то, что выдалось. Там же можно поизучать схемы каждого девайса, чтобы понять есть тут "переподписка" или нет.
failover cluster достаточно легко собирается на тех же Линуксах и если у вас это не получилось однажды, вовсе не значит, что этого нет в природе. Кому надо тот делает. Инструментарий для этого есть.
Ваши истошные посты убитого жизнью админа понятны. Отдыхать надо. Всех дел не переделаешь.
Удачи.

Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

61. "Уязвимости в Cisco RV32x были устранены через блокировку зап..." +/–

Сообщение от пох (?), 28-Мрт-19, 20:06

дружище, я на другие сайты хожу.
с лошадками, например...
В то время как цисячьи и э...скажем, чекпоинтовские продаваны борются за звание чемпионов соцсоревнования по впариванию нашей конторе готовых решений за много денег.
Если в кои-то веки мне надо выбрать что-то для себя любимого, это точно не будет некротик, и тем более я не буду изучать "схемы", я что, проектировщик этого хлама, что-ли - нахрена они мне?
Есть примерное понимание, какие в сети ходят объемы траффика, у вендора есть такое же примерное (поэтому точно низачем не надо) представление, какого и сколько вон та коробка может прожевать. А если вместо этого мне подсовывают схемы и заставляют вручную проверять наличие какого-там hardware - ну его нафиг. И тем более сетевые устройства не должны виснуть без видимых причин, это уже вообще за рамками допустимого.
> failover cluster достаточно легко собирается на тех же Линуксах
ну же, ну же - я затаив дыхание жду историю успеха?! Напоминаю - sub-second switching, ipsec (я, честно говоря, не знаю как вы вообще в линуксе собрались его фейловерить - нет, трогать другой конец низзя, вам никто не обещал что он вообще ваш собственный и что вам там рулить дадут - то есть endpoint у вас один и его адрес фиксирован - мы ведь об ipsec failover, а не как накостылить обходной путь при его отсутствии), stateful nat, в том числе dual (потому что, опять же, с той стороны не все железо ваше и не все сети грамотно спланированы) static routing, для простоты.
В асе все вот просто - он одной командой включается, и про проблему забываем навсегда. Конфиги она посинхронизирует сама, за состоянием интерфейсов следит сама - вообще неинтересно (в отличие от настройки самого ipsec, где грабель целое поле, с невиданным урожаем). И так оно - с 2005го года, еще в pix'ах было.
ну вот коллега заявляет что в 2019м доломали где-то, но что-то темнит о деталях - например, заводился ли тикет и что на него отвечали.
> Ваши истошные посты убитого жизнью админа понятны. Отдыхать надо.
дык я и отдыхаю, не схемы же некротиков мне для отдыха разглядывать.

Ответить | Правка | Наверх | Cообщить модератору

38. "Уязвимости в Cisco RV32x были устранены через блокировку зап..." –4 +/–

Сообщение от Аноним (39), 28-Мрт-19, 11:11

я смотрю пох/нах у нас специалисты во всех сферах, сам-то хоть видел его вживую хоть раз? и сколько раз он у тебя вис?
p.s. имею в доступности с два десятка микротиков: за почти два года ни единого зависания (нагрузка у них постоянная от 10 до 75%).

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

50. "Уязвимости в Cisco RV32x были устранены через блокировку зап..." +/–

Сообщение от пох (?), 28-Мрт-19, 14:07

> я смотрю пох/нах у нас специалисты во всех сферах, сам-то хоть видел
> его вживую хоть раз?
стыдно сказать, нет ;-)
Я ни разу не был на площадках, где оно работает.
> и сколько раз он у тебя вис?
не считал, но это у той конторы обыденнейшая ситуация "опять повисло, перезагрузите" - раз-другой за неделю мелькало в чятике. Коробок с десяток, какой-либо зависимости от нагрузки/расположения/настроек я не заметил. Да и настроек там кот наплакал, внешний траффик через те коробки не ходил, только туннели для внутренних нужд.
> p.s. имею в доступности с два десятка микротиков: за почти два года
> ни единого зависания (нагрузка у них постоянная от 10 до 75%).
дружище, нагрузку в сети в bps/pps меряют ;-)
хотя вообще-то если у тебя 75 это cpu load - ничего не хочу больше знать о тех некротиках.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	13. "Уязвимости в Cisco RV32x были устранены через блокировку зап..."	+1 +/–
	Сообщение от ryoken (ok), 28-Мрт-19, 09:30
	Тоже хрень, да и тут вещают, под ДДоСом валятся на ура мокротыки.
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору


	20. "Уязвимости в Cisco RV32x были устранены через блокировку зап..."	–2 +/–
	Сообщение от пох (?), 28-Мрт-19, 09:57
	ну если три-четыре околонулевой нагруженности ipsec-туннеля для них ddos - то моя древняя ржавая asa и парочка ее краденых виртуальных сестренок должны были уже не то что лечь, а взорваться и улететь в форточку. Однако ж, работают, а мокротыки коллеги сделавшие себе на них защищенную сеть - перезагружают просто вот по три раза на дню, а чо, затодешево! (не так чтоб и особо)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "Уязвимости в Cisco RV32x были устранены через блокировку зап..."	+1 +/–
	Сообщение от Андрей (??), 28-Мрт-19, 10:33
	Наверно они при покупке на смотрели на схемы железок, которые они покупать собираются. На сайте Микротика все выложено. Там нарисовано как трафик ходит и где затыки могут быть. Например на надо покупать одноядерный микротик, если надо шифровать IP-Sec и гонять большой трафик в режиме роутера. Соответственно нормально выбранная железка и у Микротика, стоит не мало. Но ведь кто ж читает... Кроилово, оно всегда переходит в попадалово. Да. Ну а ASA - это по сути комп. Простой как три копейки. При высокой нагрузке лагает, как и все. При зоопарке VPN-клиентов поглючивает и подкашливает. Так что никаких чудес. Был у меня на работе старый компа с OpenVPN. Выкинули комп когда CA-сертификат протух (был на 10 лет сделан при инсталяции). А пока не протух CA, работал себе вполне и всем очень нравился.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	33. "Уязвимости в Cisco RV32x были устранены через блокировку зап..."	+1 +/–
	Сообщение от пох (?), 28-Мрт-19, 10:58
	> Например на надо покупать одноядерный микротик, если надо шифровать IP-Sec стесняюсь спросить - они до сих пор не умеют его оффлоадить на отдельное шифроустройство? > Ну а ASA - это по сути комп. Простой как три копейки. угу - в 5510 - _селерон_ (p3, без всяких там aes'ов и sssse8910). При этом, как ни удивительно, с ipsec на крупный branch-office c десятками туннелей к каким-нибудь удаленным складам у нее все в порядке (с поправками на неумение элементарных вещей) - шифрует отдельный чип, тормозит тоже отдельно от всего. Непростой там софт - попробуй-ка на коленке на компе (все равно из каких деталей) собрать failover cluster с автомагическим переключением - включая и те же криптотоннели. У асы - работает. > При высокой нагрузке лагает, как и все. какие такие все? Вот любимый некротик при невысокой виснет, перезагрузка ресетом. Зато дешево. У stonesoft за шесть вагонов денег - при нагрузке, не превышающей штатной - разваливается кластер, активная нода виснет намертво, вторая умудряется этого не заметить и не переключиться, при банальном апдейте банальных правил - начинает все глючить и виснуть до отката на старые конфиги. Техподдержка разводит лапками - "шеф, я вас вижу! - Аналогично!" А у тебя - всего лишь лагает ,и то потому что вышел за допустимые параметры. (ну да, есть еще checkpoint и paloalto, но там и деньги несопоставимые с асой без доп-примочек, и смысл этих коробок немного в другом, и своих специальных глюков и проблем на ровном месте у них навалом. А в дверку тихонько скребется очень-плохая-дорога, со словами "а мы тут, кстати, сертификат ФСТЭК прикупили")
	Ответить \| Правка \| Наверх \| Cообщить модератору


	39. "Уязвимости в Cisco RV32x были устранены через блокировку зап..."	–8 +/–
	Сообщение от Аноним (39), 28-Мрт-19, 11:13
	Из этого всего потока сознания можно сделать вывод что перед нами теоретик-флудер.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	49. "Уязвимости в Cisco RV32x были устранены через блокировку зап..."	+4 +/–
	Сообщение от . (?), 28-Мрт-19, 13:58
	> Из этого всего потока сознания можно сделать вывод что перед нами теоретик-флудер. судя по тому что это для вас "поток сознания" - вы даже не теоретик, а так - "один раз видел микротик, но настраивал его какой-то инженер".
	Ответить \| Правка \| Наверх \| Cообщить модератору


	40. "Уязвимости в Cisco RV32x были устранены через блокировку зап..."	+1 +/–
	Сообщение от PnDx (ok), 28-Мрт-19, 11:20
	> Непростой там софт - попробуй-ка на коленке на компе (все равно из каких деталей) собрать failover cluster с автомагическим переключением - включая и те же криптотоннели. У асы - работает. Тут не удержусь от ехидного комментария. Глядя на злоключения коллег из сетевого отдела — не работает. В 9 прошивках из 10 есть какой-то очередной нюанс, препятствующий переключению или сваливающий в "панику". И при этом зафиксировать рабочее — тоже не вариант, т.к. регламенты. Не знаю как там у можжевеловых, но Cisco+ASA = вот это вот.
	Ответить \| Правка \| К родителю #33 \| Наверх \| Cообщить модератору


	48. "Уязвимости в Cisco RV32x были устранены через блокировку зап..."	–1 +/–
	Сообщение от нах (?), 28-Мрт-19, 13:39
	> Тут не удержусь от ехидного комментария. Глядя на злоключения коллег > из сетевого отдела — не работает. В 9 прошивках из 10 признаюсь честно, именно ipsec site2site failover я делал на 7-8.0 (то есть до прихода щастья всем в виде поддержки многотредовости в 8.2) - работало, переключалось c sub-second delay (ибо voip), в панику за год не свалилось. Учитывая что именно это место гарантированно пострадало от мультипроцессорности/тредов - готов поверить, что в 9+ оно так. > есть какой-то очередной нюанс, препятствующий переключению или сваливающий в "панику". > И при этом зафиксировать рабочее — тоже не вариант, т.к. регламенты. вообще-то с циской принято не фиксировать полурабочее скотчем, а открывать tac case (раз они где-то берут свежие версии, значит, и доступ к tac у них есть). Вот если tac уже послал - нужны подробности, как дошли до жизни такой. Поскольку вроде бы как раз основной функционал, и непонятно, зачем дальше такая коробка нужна. мы ssg, видимо, выпилим за такое поведение, ибо ненужно.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	44. "Уязвимости в Cisco RV32x были устранены через блокировку зап..."	–1 +/–
	Сообщение от ыы (?), 28-Мрт-19, 12:23
	>стесняюсь спросить - они до сих пор не умеют его оффлоадить на отдельное шифроустройство? есть модели с специальным шифроустрйоством и есть без. Какие имеют его - написано на сайте (включая недорогие роутеры сохо-сегмента). Но кто-ж читает что там на сайте написано...
	Ответить \| Правка \| К родителю #33 \| Наверх \| Cообщить модератору


	51. "Уязвимости в Cisco RV32x были устранены через блокировку зап..."	+/–
	Сообщение от пох (?), 28-Мрт-19, 14:08
	> есть модели с специальным шифроустрйоством и есть без. Какие имеют его - > написано на сайте (включая недорогие роутеры сохо-сегмента). Но кто-ж читает что > там на сайте написано... "вы же уже купили", что теперь толку от того чтения :-(
	Ответить \| Правка \| Наверх \| Cообщить модератору


	60. "Уязвимости в Cisco RV32x были устранены через блокировку зап..."	–2 +/–
	Сообщение от Андрей (??), 28-Мрт-19, 16:56
	Надо не стесняться. Надо сходить на сайт, выбрать пункт "IPsec hardware acceleration" и посмотреть на то, что выдалось. Там же можно поизучать схемы каждого девайса, чтобы понять есть тут "переподписка" или нет. failover cluster достаточно легко собирается на тех же Линуксах и если у вас это не получилось однажды, вовсе не значит, что этого нет в природе. Кому надо тот делает. Инструментарий для этого есть. Ваши истошные посты убитого жизнью админа понятны. Отдыхать надо. Всех дел не переделаешь. Удачи.
	Ответить \| Правка \| К родителю #33 \| Наверх \| Cообщить модератору


	61. "Уязвимости в Cisco RV32x были устранены через блокировку зап..."	+/–
	Сообщение от пох (?), 28-Мрт-19, 20:06
	дружище, я на другие сайты хожу. с лошадками, например... В то время как цисячьи и э...скажем, чекпоинтовские продаваны борются за звание чемпионов соцсоревнования по впариванию нашей конторе готовых решений за много денег. Если в кои-то веки мне надо выбрать что-то для себя любимого, это точно не будет некротик, и тем более я не буду изучать "схемы", я что, проектировщик этого хлама, что-ли - нахрена они мне? Есть примерное понимание, какие в сети ходят объемы траффика, у вендора есть такое же примерное (поэтому точно низачем не надо) представление, какого и сколько вон та коробка может прожевать. А если вместо этого мне подсовывают схемы и заставляют вручную проверять наличие какого-там hardware - ну его нафиг. И тем более сетевые устройства не должны виснуть без видимых причин, это уже вообще за рамками допустимого. > failover cluster достаточно легко собирается на тех же Линуксах ну же, ну же - я затаив дыхание жду историю успеха?! Напоминаю - sub-second switching, ipsec (я, честно говоря, не знаю как вы вообще в линуксе собрались его фейловерить - нет, трогать другой конец низзя, вам никто не обещал что он вообще ваш собственный и что вам там рулить дадут - то есть endpoint у вас один и его адрес фиксирован - мы ведь об ipsec failover, а не как накостылить обходной путь при его отсутствии), stateful nat, в том числе dual (потому что, опять же, с той стороны не все железо ваше и не все сети грамотно спланированы) static routing, для простоты. В асе все вот просто - он одной командой включается, и про проблему забываем навсегда. Конфиги она посинхронизирует сама, за состоянием интерфейсов следит сама - вообще неинтересно (в отличие от настройки самого ipsec, где грабель целое поле, с невиданным урожаем). И так оно - с 2005го года, еще в pix'ах было. ну вот коллега заявляет что в 2019м доломали где-то, но что-то темнит о деталях - например, заводился ли тикет и что на него отвечали. > Ваши истошные посты убитого жизнью админа понятны. Отдыхать надо. дык я и отдыхаю, не схемы же некротиков мне для отдыха разглядывать.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	38. "Уязвимости в Cisco RV32x были устранены через блокировку зап..."	–4 +/–
	Сообщение от Аноним (39), 28-Мрт-19, 11:11
	я смотрю пох/нах у нас специалисты во всех сферах, сам-то хоть видел его вживую хоть раз? и сколько раз он у тебя вис? p.s. имею в доступности с два десятка микротиков: за почти два года ни единого зависания (нагрузка у них постоянная от 10 до 75%).
	Ответить \| Правка \| К родителю #20 \| Наверх \| Cообщить модератору


	50. "Уязвимости в Cisco RV32x были устранены через блокировку зап..."	+/–
	Сообщение от пох (?), 28-Мрт-19, 14:07
	> я смотрю пох/нах у нас специалисты во всех сферах, сам-то хоть видел > его вживую хоть раз? стыдно сказать, нет ;-) Я ни разу не был на площадках, где оно работает. > и сколько раз он у тебя вис? не считал, но это у той конторы обыденнейшая ситуация "опять повисло, перезагрузите" - раз-другой за неделю мелькало в чятике. Коробок с десяток, какой-либо зависимости от нагрузки/расположения/настроек я не заметил. Да и настроек там кот наплакал, внешний траффик через те коробки не ходил, только туннели для внутренних нужд. > p.s. имею в доступности с два десятка микротиков: за почти два года > ни единого зависания (нагрузка у них постоянная от 10 до 75%). дружище, нагрузку в сети в bps/pps меряют ;-) хотя вообще-то если у тебя 75 это cpu load - ничего не хочу больше знать о тех некротиках.
	Ответить \| Правка \| Наверх \| Cообщить модератору