Исповедь системного администратора (многа букаф, мат)

еще как вариант SSTP сервер.
там юзают TCP 443 и клали все хуи на любые блокировки
Он нативный для Микрота и не процессорозависим. По слухам.
Я его не юзал

 

не проверял
https://interface31.ru/tech_it/2021/05/nastroyka-sstp-vpn-servera-na-routerah-mikrotik.html

на досуге займусь

 

да вроде и за секурность еще спич, не только кладьба на блокировки...

 

Ты понимаешь что ребята из аутсорса будут иметь доступ ко всему вашему трафику?

 

Алярм и Ахтунг!

 

SSTP сервер на Ебунте
https://github.com/maxqfz/SSTP

 

Ну а какой ты видишь выход из ситуации когда стоит куча цисок, всё работает через жопу, а платить человеку который в этом более-менее разбирался нет никакого желания? ) У меня так то админ круглый идиот оказался.

 

ты как техдиректор почему не хочеш заплатить спецу?

 

Ну с аутсосингом как минимум договор о неразглашении...
А как иначе то?

 

Ну для примера первая ситуация когда я начал что-то подозревать. Буквально второй месяц работы. Встаёт проблема что сервер СКУД из ЦОД не передаёт данные о появлении новых пропусков в один из филиалов. Не то чтобы совсем не передаёт, но из 20 пропусков до контролера доходит 3 штуки. Пингуем контроллер и там 90% потери пакетов. Админ едет на место, пытается там разбираться. В итоге говорит что там сел аккумулятор поэтому контроллер перекосило, хотя он там от сети питается. Почему при этом 90% потери пакетов, а не 100% непонятно. Но я думал я со специалистом работаю, ладно. Ситуация после замены аккумулятора конечно не меняется. После чего админ говорит "- Ну значит контроллер сдох, надо менять". И пока всё в общем выглядит логично.
Через пару дней общаясь с охраной я выясняю что у них уже х.з. сколько времени не работают камеры из филиала где возникла проблема с контроллером СКУД. Там стоит свой видеорегистратор, из главного здания к филиалу VPN канал l2 P2P идёт и они просто цепляются к их видеорегистратору. Но вот уже давно с этим проблема. Ок, начинаем разбираться, с компьютера охраны до видеорегистратора тоже 90% потерь пакетов. Идём к себе в кабинет пингуем видеорегистратор и всё ок.... Подключаемся в вебморде регистратора, всё ок. Пингуем контроллер СКУД и с ним тоже всё в порядке. О чём нам это говорит? Ну не надо быть гением чтобы понять что проблема очевидно в сетке.

Тогда я собственно и нашёл проблему с тем что из одной серверной у нас трафик ходит мягко говоря через жопу. Проблеме этой как минимум 2 года было... Ну вроде всё должно быть очевидно уже.

На следующий день ко мне приходит админ "-Ну чё ты вызвал людей менять контроллер СКУД?"... Я такой типа а в смысле... Восстанавливаю у него в голове события предыдущего дня, ну хз может он бухал вчера. Но блядь понимания в глазах не вижу. Объясняю еще раз. В итоге говорю что поехали на место я тебе кое что покажу, приезжаем туда я пингую СКУД контроллер со всех местных компьютеров и всё заебись. Смотрю на это чудовище... И блядь понимания всё равно нет, оно собирается его менять как неисправный. Окей блядь, час объясняю всю схему еще раз. Вроде начинает вырисовываться просветление на его лике. И тут оно выдаёт "Ну значит проблема в ЦИСКЕ" которая блядь стоит на входе в филиал и у которой только 1 канал с нашим ЦОД. Я блядь еще час объяснял что если бы проблема была в ней то было бы монописуально из какой подсети в офисе мы пингуем контроллер или видеорегистратор, мы везде сосали бы хуйца.

Норм да? У меня таких историй завались за полгода )))))))))

 

Я то хочу. Говорят "-Найн!" у нас и так много народу и раньше у нас админ был и слаботочником и сетевиком и шлагбаумы чинил.... ))))))) Я объясняю что времена слегка поменялись и сейчас таких искать заебёшся, сейчас бы квалифицированного специалиста хоть в одной области найти за те деньги что мы предлагаем это уже будет охуительный успех.

 

хоть в каком то виде документация существует?

 

Ну типа текстовик был с пепредачей дел, где было несколько паролей. Предыдущий админ на половину девайсов даже попасть не мог. Я доки разрыл 10 летней давности в куче типа "Мои документы" где часть этих паролей нашёл. Никаких схем не было. Собственно аутсорсеры мне карту сети и рисовали по итогу. Остальное я сам в меру своего понимания в Illustrator отрисовываю по старой привычке ) ну рили я не думал что такой пиздец бывает вообще

 

Ну как ты оцениваешь шансы на подписание такого договора когда на аутсорс отдаётся только часть инфраструктуры при том не самая большая? Да и в нашей конторе конторе куча народу под доменным админом на серваки ходят... Типа программиста 1С Я типа постепенно с этим борюсь, но до того момента когда можно будет на серьезных щах про договор о неразглашении разговаривать тут как до Китая раком. имхо конечно

 

(надо собрать все мысли, растёкшиеся по полкам)
illustartor - в жёппу. есть бесплатное, но на сайте. не помню сейчас. позволяет сохранить xml у себя.

Илья, я нет-нет, да и да - вступаю иногда в ряды каких-то канальий телеграмных, чтобы там попесдеть по душам за линух...
и за свои 30 лет возни с командной строкой в bash до сих пор нахожу "перлы".

В общем, не расстраивайся. Обращайся! хоть на каналы, хоть сюда. Добрые люди есть. А мы - вдвойне добры, т.к. и простодобры, так ещё и знакомы через перекрестие виртуального самолётного прицела
Правда, объём памяти в моих мозгах невелик уже стал, и я могу уже просто подзабыть чем пользовался. Но вспоминается легко после напоминания
Завтра повспоминаю про онлайн-утилиту по отрисовке всяких красявостей схематических.

(и да - привет всем нашим! АлексГансу, и той красавишне, чей лифчик искали всем коммьюнити, и тому, кто стал её мужем)

 

2011 неплохая машина. Но в целом... микроты довольно мазохистичны.

Я поднимал и ipsec и vpn и че-там еще у них внутрях. Ну, работает, че. Сложностей нет. Кроме того, что некоторые провайдеры рубят 500-й порт. Из замеченных особенностей - иногда идет изрядная оттормозка на поднятии
второй фазы туннеля между микротом и кинетиком. С чем это связано я так и не определил (может как-то увязано с интервалом смены фазы). Но бывает, да. А так - как гвоздями прибито. Найлед коннекшн, бля.

 

"Хозяин - барин"(С)
Главное не быть потом крайним.

 

"куча" - это сколько? Приличный длинк 1510-й серии стоит вменяемых бабок. 24 гигабитных порта с 10 гбит аплинками (в т.ч. SFP+) - 30 рублей. Самый конский прайс за 48+4 с PoE - 120 рублей. Остальное где-то посередине.
Серия хорошая, надежная. А про циску - забывай уже. Нет ей доверия ни на грош. На ядро можно 3400-ю серию смотреть. Но там блин ценники другие.

 

Судя по ситуации, службы ИБ там нет в принципе. Далее. В исключительных случаях прогер может иметь права админа в домене, но это должна быть другая учетка, а прогер - более-менее понимать, что он делает на КД.

Хождение кучи народа на КД - это прямой путь к крэшу сети по взлому из-за компрометации. Даже не по злобе, а по недомыслию.

зы антивирусная защита то хоть в наличии?

 

Ну в конторах поменьше прогерам порой приходится выполнять функции админов, но это другая история. Это переводит их в админы.

С ИБ вечная проблема, что или ИБ или работа. Совмещать можно, но требует усилий и времени на которые не все готовы. Ибо как обычно надо вчера.
В итоге ИБ проседает, случается трындец, все кричат и показывают пальцами, ИБ затягивает гайки.
КонецЦикла;