Заметки и замечания, рассказы и пересказы.

Позднее Ctrl + ↑

Дважды MTCNA

Ходит много разных разговоров на тему — стоит ли получать вендорские сертификаты. С одной стороны выходит, что работая с оборудованием, можно научиться всему самостоятельно. Конечно это займет определенное время, усилия, потребует самоотверженности и жертв в виде времени. Но есть более экономный в плане затрат времени путь — обучение и последующая сертификация. Из минусов этого пути — денежные затраты. А в остальном плюсы в виде структурированной подачи материала, ответы на интересующие вопросы от квалифицированного тренера и при успешной сдаче экзамена — подтверждающий обучение и статус сертификат. В случае с сертификацией Mikrotik дается еще и лицензия четвертого уровня.

Год назад я уже проходил обучение и добился сравнительно неплохого результата. Курс мне читал Роман Козлов из IntegraSky. В прошлый раз я набрал 85%, что по моему мнению соответствует четверке. То есть все, что ниже 90% — это какие-то неправильные ответы и по-моему в пяти бальной системе квалифицируется именно так. К слову сказать, это был второй результат в группе. Но предела совершенству нет и мне представилась возможность улучшить свои результаты и продлить сертификат, пройдя обучение и экзамен повторно.

В этом году курс слушал у Дмитрия Скоромнова из Курсы-по-ИТ.рф Vetriks. Он также известен как создатель альтернативных онлайн курсов по Mikrotik, довольно таки подробных. По ним я знакомился с оборудованием, разбирал программу, готовился к реальным курсам. Плюс в том, что сейчас они у меня тоже есть, что огромный плюс — всегда можно вернуться и пересмотреть какие-то моменты. В этом году Дмитрий стал сертифицированным тренером и официально читает как минимум программу по MTCNA.

Курс MTCNA мы слушали в районе Таганки (или Марксистской), в нескольких минутах от метро. Расположение крайне удачное. Помню в прошлый раз ездил на Окружную, что несколько дальше от центра, и как по мне чуть менее удобно. В самом обучающем центре все выглядит свежим — второй этаж, столы, стулья и интернет, если потребуется. Извините за подробность, но и уютный туалет, где можно уединиться для размышлений. Что для меня важно — хорошее кондиционирование помещения при сравнительно компактном помещении. Есть такая особенность — при духоте очень уж в сон тянет. Учащиеся работают на своем оборудовании, здесь речь идет о ноутбуке, а роутер выдается на время обучения. Момент слегка спорный — раньше я думал, что прелесть в стационарных местах в обучающих центрах, но со временем привычка работать на своем оборудование, которое ты знаешь все-таки возобладала.

Как только мы открыли наши материалы, то на меня нахлынула ностальгия — «ба, да это же очень похоже на то, что у меня было». Именно тот самый курс от Дмитрия. Но пройдясь по нему и после, сравнив с тем, что давали у Романа, вынужден был для себя признать, что это было только первое впечатление. Материалы курса идут по программе курса, но вместе с тем полнее и новее. Дмитрий крайне дотошно относится к ним: делая пометки, постоянно актуализируя их, наполняет свежими скриншотами. Даже в процессе рассказа и в перерывах, можно было обратить внимание на тот или иной пункт, и быть уверенным, что его пояснят, внесут пометки и актуализируют. В процессе прохождения не возникает диссонанса, когда изображение и подписи к ним как-то не соответствуют. Объем материала определенно больше того, что дается в официальном курсе, но здесь у меня не было сомнений так как я видел подход к аналогичному его видеокурсу. Составлено качественно, как говорится — сделано с любовью.

Стоит подробнее остановиться на некоторых материалах курса по темам:

  • * Очень плотный модуль введения. Дело в том, что этот модуль обычно считают маловажным и проходят его быстро. Да, для тех, кто уже что-то делал с Mikrotik этот модуль может показаться несколько скучным, но именно здесь дается основной базис. Те, кто только начинает — по-моему бесценно. К примеру здесь же дается информация по набору пакетов и как бывает, когда на некоторых аппаратах не проходит обновление, поскольку памяти недостаточно. В этом же модуле подробно разбирается netinstall с лабораторной работой — эта часть мне была особенно интересна, потому что толком делал ее пару раз всего. На прошлом обучении тему посчитали не очень важной и потрогали ее вкратце, она совершенно не запомнилась. Здесь же есть рассказ о конфигурации по умолчанию, точнее дефолтной конфигурации — пожалуй частый вопрос о том, а как там посмотреть дефолтный firewall.
  • * Не менее подробно идет продолжение во втором модуле, который не просто рассказывает о наличии бриджа, но и об его особенностях. Здесь ни слова нет об устаревшем master/slave, что до сих пор можно увидеть в непереработанных материалах. С исторической точки зрения, наверное, знать об этом неплохо, но чисто с практической — нет.
  • * Подробная настройка DHCP из третьего модуля действительно подробная, что интересно, то во время прошлого обучения крайне рекомендовали минимизировать время на создание dhcp-сервера при помощи визарда. Признаться, я так им и пользовался постоянно. Но такой путь хоть и проще, хоть и быстрее — не самый лучший, так как не дает всестороннего понимания.
  • * Роутинг в четвертом модуле дается также полнее — рассматриваются флаги маршрутом, использование нескольких адресов и check gateway. Здесь я могу понять Романа, который читал курс, что это подробнее в MTCRE, но у Дмитрия просто больше материала плюс есть о check gateway сразу.
  • * Wireless — преимущественно похожий модуль, у Романа был небольшой экскурс в физику процесса (в частности про волны и зону Френеля), а у Дмитрия, не смотря на наличие чуть меньшей теории, модуль больше посвящен практике конкретно оборудовании Mirkotik. Здесь опять же тоже можно понять, так как модуль больше обзорный и есть более углубленный MTCWE.
  • * Вишенка в торте модуль про Firewall.. он не просто больше и подробнее, что описать в двух словах, наверное, не выйдет. Для глубокого понимания работы дается кое-что из курса по управлению трафика — это схемы прохождения трафика и их разбор. С ними все встает на свои места сразу. Рассмотрены типы файерволов. А также connection tracker и состояния соединений, о чем у Романа было все-таки меньше. Довольно таки большое количество примеров и пояснений. На что лично я обратил внимание — маскарад всегда и везде. Как-то после занятий с Романом у меня отложилась вот так эта тема, но говоря о NAT стоит понимать, что кроме него есть scr-nat и он не менее интересен и религиозно более верный (это как тема netmap vs dst-nat). Дмитрий как раз раскрывает и эту тему. Более подробно рассматриваются пользовательские цепочки, не смотря на то, что это все-таки из трафик контроля — другой курс, но на экзамене было нечто подобное — информация и примеры не помешали, а скорее помогли. Также у Дмитрия есть довольно подробные рекомендации по ошибкам в файерволе и рекомендации по проектированию.
  • * Модуль по QoS оказался также шире, чем прошлой программе обучения — больше примеров и более подробные объяснения на схеме прохождения пакетов. Видимо под влиянием курса по трафик контролю, у Дмитрия эта тема дается глубже.
  • * Два оставшихся модуля в списке по туннелям и последний обзорный модуль по tools таких ярких впечатлений уже не оставил. Видимо уже был измотан и ждал приближения неизбежного — экзамена :)

Лабораторные работы — та часть курса, без которой вся теория была бы бессмысленной. Помимо основной книжки с материалами, есть книга с работами. Они идут по порядку с темами курсов. Они в лучшую сторону отличаются от того, что я видел раньше. Нет работ из серии — «Смотри, как я делаю. А теперь повтори». Дается алгоритм выполнения — точное задание по пунктам, которое предстоит выполнить. Четкое ТЗ помогает делать лабораторные работы именно так, как это предусматривается программой. Уделяется внимание такой, казалось бы, простой вещи как netinstall. С виду простой, но далеко не все умеют его делать и не знают о подводных камнях. Есть групповые лабораторные работы, которые выполняются в паре. Этот момент мне понравился еще в прошлый раз у Романа — необычно и несколько развивает в плане дебага, когда правильно нужно чтобы было не только у тебя, но и у твоего партнера. Чего здесь не было, но эта штука мне показалась полезной в прошлый раз — рисование схем, то есть для понимания связей мы рисуем схему. Правда, у Дмитрия были более подробные задания в описаниях лабораторных работ и здесь это не потребовалось. В остальном лабораторки у Дмитрия сложнее, выполняются в среднем дольше (нет работ из серии «делай как я» или «запусти команду и посмотри»).

Оформление материалов хорошее, есть достаточное количество текста и иллюстраций. То чего так не хватало у Романа — есть поля для заметок. Нужно заметить, что там выдавали блокнот, но вот спустя год я помню, где лежат материалы, а где черт возьми этот блокнот? :) Единственное над чем стоит, наверное, немного поработать Дмитрию в плане улучшения — сшив материалов. Они идут на пружине и не слишком готовы к стрессу в виде изгиба, есть такой недостаток у  пластиковых пружин. Возможно перейти на металлические. Так они станут долговечнее и проживут дольше.

При сдаче экзамена соблюдались все необходимые правила — тренер не подсказывает, слушатели не общаются — все в полном порядке. Сдавать мне было немного страшновато, не очень люблю такие испытания. Волнение также было из-за того, что уверенность в том, что сдам у меня была, а вот сдам ли лучше — черт его знает. В отличии от Романа тестового экзамена нет, что вероятно и к лучшему. Помнится мне, тестовый экзамен я завалил и довольно сильно тогда, что меня сильно расстроило. Дмитрий же тестового экзамена не проводил, а больше ориентировал на внимательность при разборе вопросов, при ответе на вопросы и поясняя логику вопросов. После трехдневной сессии такой подход оказался даже лучше. В результате невнимательность почти полностью побеждена и я набрал 97% на экзамене, лучший результат в группе. Для себя считаю это очень хорошим результатом.

Скрипт для обновления AddressList

Соорудил скрипт для обновления адрес листа или листов более или менее автоматически. Давно хотел завести что-то подобное для автоматизации.

Первоначальная задумка:

  • * у нас удаленно лежит адрес лист (где-то на веб сервере);
  • * мы по расписанию (это шедулер) забираем его к себе (это фетч);
  • * далее смотрим не нулевой ли размер, если нулевой — то выходим (пока не сделано, проверка идет по наличию файла);
  • * если все в порядке, то очищаем существующий адрес лист, импортируем новый и удаляем файл;

Из ограничений:

  • * пока не умеем работать с динамическими записями и очищать их;
  • * список адресов — это по сути rsc;
  • * список адресов там пока жестко задан адрес лист (непонятно получится ли это обратить в динамичный выбор);

Ссылка на сам скрипт:
https://github.com/skurudo/mikrotik-alau

BatMetal

Прекрасная подборка видео от ArhyBES на тему вселенной Batman’a и смежных ребят :)

* BatMetal (Dethklok — Face Fisted)

* BatMetal Return (Dethklok — Murmaider)

* BatMetal Forever (Brendon Small — My Name Is Murder, Powerglove — Batman, Dethklok — Awaken)

Mikrotik: Начало

С оборудованием Mikrotik меня познакомил где-то полтора года назад один хороший камрад. Мол, отличная штука, говорит — полезно в хозяйстве очень хорошо идёт. Сперва открещивался, пока не очень была понятна логика и идеология работы с устройствами. Потому как логика весьма инженерная, после домашних или начальных офисных маршрутизаторов сразу во всем разобраться было не так просто. Но после посещения МУМ, послушав доклады, пообщавшись с адептами, почитав интернет стало весьма интригующе.

Возможности устройства оказались весьма обширными, как и возможности кастомизации теми же скриптами. Среда использования тоже была довольно широкой — идеально для небольших организаций и средних предприятий. Возможно и можно использовать в более крупных инсталляциях — слышал и используют провайдеры, но за это сказать не могу.

Устройства исключительно радуют стабильностью работы. Из серии — настроил, поставил, забыл. А поскольку они работают на единой операционной системе RouterOS на всех устройствах мы видим единообразие в настройках и меню. Грубо говоря, мы можем делать что-то или проводить эксперименты на самом дешёвом железе за 15 баксов и потом сразу пересесть на нечто на два порядка дороже — элементы управления и логика работы никак не поменяется.

За прошедший год удалось внедрить Mikrotik на нескольких объектах, что дало увеличение стабильности работы в первую очередь. А также смогло дать возможность оперативной диагностики доступности устройств и сети в целом.

PS: Тогда же, чуть больше года назад я получил свой первый официальный сертификат :-)

Финальный список посещения фестиваля

В итоге фестивальный список срезался до трех картин. Так и хочется сказать — ну ничоси! :-)

  • Сегодня снова издевательский бэнто (Kyô mo iyagarase bentô)
  • Первая любовь (Hatsukoi)
  • Переезд по-самурайски (Hikkoshi daimyô!)

В списке могло бы быть еще пара картин, вроде «Фэйбл (Za Faburu)» и «12 ребят, которые хотят умереть (Jûni-nin no shinitai kodomo-tachi)», но в связи с ограниченным количеством билетом не срослось. Плюс не удается пойти в следующие выходные в связи неожиданной образовательной сессией.

Фестиваль японского кино в 2019 году

Как-то так получилось, что в связи со сменой работы, в прошлом году 52-ой фестиваль японского кино прошел мимо. Сил и желания сходить не было буквально никакого. Попробую наверстать в этом году, на 53 фестивале. Не смотря на то, что повторов кинолент не будет, идти на все не планирую. Предварительно заинтересовали следующие художественные фильмы:

  • * Судьба: История Камакуры
  • * Сегодня снова издевательский бэнто
  • * Первая любовь
  • * Фэйбл
  • * Отмывание квартир
  • * 12 ребят, которые хотят умереть
  • * Отель «Маскарад»
  • * Мы — маленькие зомби
  • * Мой папа — рестлер-злодей
  • * Переезд по-самурайски

Расписание:
19 ноября

— Потанцуй со мной — КАРО 11 Октябрь  — CC-Info

20 ноября

— Судьба: История Камакуры (2017) — КАРО 11 Октябрь — CC-Info

21 ноября

— Сегодня снова издевательский бэнто (2019) — КАРО 11 Октябрь  — CC-Info

22 ноября

— Первая любовь (2019) — КАРО 11 Октябрь  — CC-Info

23 ноября

— Банан посреди ночи: правдивая история (2018) — КАРО 7 Атриум  — CC-Info

— Фэйбл (2019) — КАРО 7 Атриум  — CC-Info

24 ноября

— Маленькая песня о любви (2019) — КАРО 11 Октябрь  — CC-Info

— Мы — маленькие зомби (2019)  — КАРО 11 Октябрь  — CC-Info

25 ноября

— Отмывание квартир (2018) — КАРО 11 Октябрь  — CC-Info

27 ноября

— Пришедший с моря (2018) — КАРО 11 Октябрь  — CC-Info

28 ноября

— 12 ребят, которые хотят умереть (2019) — КАРО 11 Октябрь  — CC-Info

30 ноября

— Фудзико: Пианистка тишины и одиночества (2018) — КАРО 11 Октябрь  — CC-Info

01 декабря

— Отель «Маскарад» (2019) — КАРО 11 Октябрь  — CC-Info

— Мой папа — рестлер-злодей (2018) — КАРО 11 Октябрь  — CC-Info

Не указана дата

  • Исповедь «неполноценного» человека: Осаму Дадзай и три женщины (2019) CC-Info
  • Переезд по-самурайски CC-Info

Кинотеатры:
КАРО 11 Октябрь

  • Москва, ул. Новый Арбат, д. 24.

КАРО 7 Атриум

  • Москва, ул. Земляной вал, 33 (ТРК «АТРИУМ»).

Каверзные вопросы микротоводам

Неожиданно для себя придумал несколько слегка каверзных вопросов, чтобы немного взбодрить камрадов.

Представьте себе, что случилось страшное — по какой-то неведомой причине у нас перестал открываться очень важный ресурс. Вот везде открывается, а из конкретного офиса — нет. Разбираться с провайдером и владельцем ресурса времени нет. Нужно срочно что-то придумать. Оперативно обеспечить доступ. Вот придумали по-быстрому использовать VPN. Выключенные маршруты — первый вариант, там работает не все — некоторые сервисы недоступны. Включенные маршруты из второго варианта, и теперь таки работает.

Если посмотреть на эту схему, то от нее пахнет легкими наркотиками. Настаиваю на том, что здесь можно назвать минимум две позиции, где есть существенный недочет. Можете попробовать испытать вопросы на коллегах :)

В качестве дополнения, фокусы должны быть с пояснениями, привожу логику размышления:

  1. Указан просто гигантский разбег по адресам, с таким успехом можно было бы зарядить весь трафик в тоннель. А это не всегда целесообразно и необходимо, не говоря уже про трафик и нагрузку. Отсюда может выйти подпунктом дополнение — поленились собрать IP-адреса сервиса и сделать маршруты по ним или же поленились использовать L7.
  1. Использование имени вместо адреса в шлюзе. Оно и так работает, конечно, но в этом место в случае реконнекта или изменений можно найти приключений, маршруты просто перестанут работать.

Группы пользователей в Mikrotik

С связи с расширением сети на даче появилась задача как-то группировать абонентов и что-то такое с ними вытворять — вводить ограничения и проводить мониторинг. Скорость и стабильность работы в связи со сменой оборудования и мобильного оператора возросла, но для спокойной жизни этого недостаточно. В задаче исходим из того, что у нас есть центральный маршрутизатор, в который сходятся несколько точек доступа. Сами точки доступа только передают подключение сразу в маршрутизатор без каких-либо затей. Если на Zyxel Keenetic функционал с двумя группами был из коробки в каком-то виде, то на Mikrotik нужно придумать что-то свое. Основная идея в том, что мы идентифицируем подключившегося по MAC-адресу и далее сопоставляем его с группой.

Сначала виделось два пути — делать дополнительные бриджи и раскидывать клиентов или делать vlan’ы. Делать бриджи только казалось хорошей идеей, на деле в них не было интерфейсов. Было создано несколько бриджей, с отдельными DHCP-серверами и в зависимости от MAC-адреса пользователю выдавался адрес из пула того или иного сервера. Пользователей так поделить удалось, но локальная и внешняя сеть в таком варианте не работает. Далее была идея использовать mac-based vlan. Но здесь мы сталкиваемся с тем, что не слишком удобно привязывать MAC-адрес и все равно нужно цепляться к интерфейсам. Других идей не было.

Находясь в сомнениях, я поделился своими мыслями с одним грамотным товарищем, и он натолкнул меня на другую идею, сказав — «зачем ты все пытаешься решить на L2, почему не хочешь делать управление разными сетями сразу?» Дальше товарищ отвлекся, а на меня в свою очередь снизошло озарение. Нет нужды городить огороды и развивать лопатостроение. Мух от котлет, то есть подключившихся пользователей, разделит как и в варианте с бриджами DHCP-сервер. Нам нужно задать несколько разных подсетей для разных групп пользователей. Пользователей поделит по MAC-адресу наш DHCP-сервер, добавляя в нужную группу — читай нужную подсеть. А дальнейшие манипуляции уже делать в Firewall / Queues. Осталось только реализовать схему и разбавить немного ручным трудом в виде работы с Leases.

Подготовка к внедрению, получаем аналоги групп:

Делаем немного QoS на Simple Queues:

И теперь в самое основное в Leases:

По результатам у нас пользователь попадает по умолчанию в Public сеть 192.168.1.0/24 с определенными условиями и ограничениями, оттуда вручную мы его можем перенести в другую «группу» или сеть с другими условиями, с более мягкими или жесткими ограничениями. Достаточно удобно, если не считать ручную работу.

Ранее Ctrl + ↓