Jak uruchomić lokalny serwer na VirtualBoxie do testów z urządzeniami GPRS?

Mon Jun 12, 2017 6:19 pm   

J.F. <jfox_xnospamx@poczta.onet.pl> wrote:


Tak - to tzw. conntrack. Ale w Playu widocznie tego nie bylo, poza tym i
tak nie zadziala po TLS-ie...


Pytanie jaka role spelnia takie urzadzenie i jak krytyczna jest lacznosc
z nim. U nas, jak padnie, to klient i tak nie moze korzystac i po prostu
technik jedzie i wymienia :)

--
[ Email: a@b a=grp b=chmurka.net ]
[ Web: http://www.chmurka.net/ ]

Wysłano z telefonu bez polskiej klawiatury, przepraszam za brak polskich znaków

Mon Jun 12, 2017 7:11 pm   

sundayman <sundayman@poczta.onet.pl> wrote:


Czyli max kilkaset utrzymanych połączeń, ale wymiana danych sporadycznie?
To myślę, że bez problemu da radę. Tylko sprawdź koniecznie, czy ten
chiński soft ma jakieś keepalive'y, czyli czy jeśli połączenie z jakiegoś
powodu po cichu umrze, ale modem nie zostanie o tym powiadomiony, to czy
modem mimo wszystko wykryje taką sytuację.

Może się to zdarzyć z różnych powodów. W praktyce - u jednego z operatorów
(jakiś wirtualny, nie pamiętam już nazwy, nie Play w każdym razie) nawet
kontekst PDP po cichu sobie padał i keepalive'y nie pomagały Ale chyba
już to rozwiązali.

--
[ Email: a@b a=grp b=chmurka.net ]
[ Web: http://www.chmurka.net/ ]

Mon Jun 12, 2017 7:26 pm   

sundayman <sundayman@poczta.onet.pl> wrote:


Czytam czytam, tylko odpisuję w miarę czytania :)


Czyli chcesz z tego zupełnie zrezygnować, wywalić soft producenta i zrobić
łączność sieciową samemu?

Jeśli tak, to musisz pamiętać o kilku rzeczach - tak na szybko:

1. Keepalive'y - żeby nie było sytuacji, w której połączenie będzie
aktywne tylko teoretycznie, ale w praktyce będzie martwe (bo np. wyleci z
tablicy połączeń gdzieś po drodze, a klient nie złapie RST)
2. Ponawianie połączeń - bo połączenie może umrzeć w każdym momencie i
klient musi sam połączyć się znowu
3. Szyfrowanie połączenia - żeby nikt nie podsłuchał ruchu
4. Uwierzytelnienie klienta - żeby nikt łącząc się na port serwera nie
mógł się podszyć za danego klienta
5. Możliwość zablokowania konkretnego klienta - w przypadku kradzieży
modemu

Co będzie rozmawiało z modemem od strony klienta? Jeśli jakiś pecet lub
coś, na czym uruchomisz Linuksa, to doradzałbym Ci postawienie tam VPN-a i
stworzenie prywatnej, zamkniętej sieci, w ramach której będziesz miał
dostęp do wszystkich urządzeń. OpenVPN wspiera to, o czym piszę, i
umożliwia łatwe zrobienie mutual authentication (czyli że nie tylko klient
weryfikuje certyfikat serwera, ale serwer weryfikuje certyfikat klienta -
czyli oba muszą mieć swój tajny klucz). Warunkiem jest to, żeby komputer
kliencki (czyli ten połączony z modemem kablem) miał zegar RTC lub
możliwość pobrania czasu w inny sposób (choćby z Twojego VPS-a), bo bez
tego sesja TLS się nie uda z powodu ważności certyfikatów.

Problem może być jedynie z tym, że OpenVPN spodziewa się interfejsu
socketowego - nie będzie gadał z modemem jego funkcjami. To można
rozwiązać na kilka sposobów, najprościej napisać jakieś małe proxy, które
będzie odbierało połączenia na localhoście i łączyło się z serwerem już
poleceniami modemu.

Czyli:

1. OpenVPN łączy się z localhostem (po socketach)
2. Proxy odbiera to połączenie
3. Proxy wysyła prośbę o połączenie do modemu
4. Proxy tuneluje ruch
5. Jeśli OpenVPN się rozłączy, proxy zamyka połączenie na modemie
6. Jeśli serwer zdalny się rozłączy (modem musi jakoś o tym powiadomić),
proxy zamyka połączenie z lokalnym OpenVPN-em

--
[ Email: a@b a=grp b=chmurka.net ]
[ Web: http://www.chmurka.net/ ]

Mon Jun 12, 2017 7:29 pm   

sundayman <sundayman@poczta.onet.pl> wrote:


Ok, jak setki to nie ma tematu.


Z tym nie mam doświadczenia.


W sumie nawet nie wiedziałem - u nas umową z Playem zajmuje się dział
operacji, a urządzenia nie korzystają z SMSów...

--
[ Email: a@b a=grp b=chmurka.net ]
[ Web: http://www.chmurka.net/ ]

Mon Jun 12, 2017 7:41 pm   

sundayman <sundayman@poczta.onet.pl> wrote:


Ok :)


To teraz wyobraź sobie, że trzeba zaktualizować soft w urządzeniu, soft ma
8MB, a archaiczny protokół po pierwsze dubluje ilość tych danych, a po
drugie nie wspiera ponawiania - czyli jak klient sobie ściągnie 6MB i mu
się połączenie wywali, to musi ściągać od nowa Nie dało się tego
wywalić i zastąpić czymś normalnym (kwestia polityki firmy i licencji na
soft do zarządzania).

Efekt był taki, że pewną część urządzeń mieliśmy nieaktualizowalną i jak
trzeba było zrobić zdalny update, to próbowaliśmy i jak po paru dniach
ciągle się nie udawało, to po prostu jechał technik z laptopem i kabelkiem
(a do niektórych urządzeń z pendrivem - nie każde miały możliwość
aktualizacji z pendrive). Już nawet urządzenia dialowe (łączące się przez
linię telefoniczną) działały lepiej - bardzo powoli, ale o ile klient nie
miał linii VoIP, to stabilnie.


2G ma tę przewagę nad 3G (przynajmniej tak zauważyłem w tych modemach,
które my mamy), że zauważalnie szybciej zapina się do sieci (nie wiem czy
samo logowanie trwa szybciej, czy negocjacja kontekstu - nie sprawdzałem,
wiem tylko organoleptycznie).

Z tego samego powodu zresztą wspomniane urządzenia dialowe miały wymuszoną
niski baudate. Negocjowały połączenie dużo szybciej, a danych i tak
podczas normalnej pracy (czyli o ile nie było update) nie było wiele (max
kilkaset bajtów), więc czas nawiązywania połączenia był ważniejszy od
czasu transmisji.

Mieliśmy za to karty wieloAPN-owe - każdy dostawca miał swojego prywantego
APN-a i połączysz się z nim tylko po tym APN-ie. Jak od rozpoczęcia całego
przełączania do uzyskania połączenia mijało 20 sekund, to już był dobry
wynik...

W Playmetric oczywiście tego problemu nie ma, bo wychodzisz do Internetu.

--
[ Email: a@b a=grp b=chmurka.net ]
[ Web: http://www.chmurka.net/ ]

Mon Jun 12, 2017 7:50 pm   

sundayman <sundayman@poczta.onet.pl> wrote:


Byle tylko proces aktualizacji wspierał ponawianie, bo może być tak, że
np. pobieranie pliku będzie trwało półtorej godziny, a po godzinie się
zerwie, bo modem się zresetuje :)


Pytanie jakie dane latają - bo np. danych osobowych nie można eksportować
poza UE. Ale zakładam że danych osobowych tam nie ma :)

Kwestia bardziej tego, czy w przypadku awarii serwera jest do kogo
zadzwonić i opieprzyć, czyli czy macie z Chińczykiem jakąś umowę, czy po
prostu serwer sobie działa, bo działa, a czy za 5 lat będzie działał, tego
nie wie już nikt...


Może padał właśnie dlatego, że wtedy był największy ruch (od wszystkich
klientów, nie od Was)...


Smog wawelski :)


Z tym nic się nie zrobi...

--
[ Email: a@b a=grp b=chmurka.net ]
[ Web: http://www.chmurka.net/ ]

Mon Jun 12, 2017 7:57 pm   

sundayman <sundayman@poczta.onet.pl> wrote:


Na pewno będzie pilnować (czyli będzie wysyłał keepalive TCP)?


Ok, to miałem na myśli mówiąc "wywalić chiński soft". Soft w modemie
zostaje, soft do zarządzania przez chińską chmurę wylatuje.


I do tego komputera będzie podpięty modem po RS-232, a na nim Twój soft,
który będzie rozmawiał z modemem komendami AT?


Bardziej chodzi o to, że są już dobre i sprawdzone rozwiązania, które
(pod warunkiem prawidłowego użycia) załatwiają bezpieczeństwo. Grzech
z nich nie skorzystać, jeśli są :)


Hmm, zakładałbym że połączenie z modemem po RS-232 i możliwość wydania mu
polecenia AT może narobić trochę szkód - od wysyłania SMS-ów premium i
połączeń na numery premium (ATDxxxx) przez wyjście do sieci i popełnianie
przestępstw. Tyle że to kwestia ustalenia, co jest zagrożeniem a co nie
(czyli czemu ufamy, a czemu nie). Jeżeli ufamy pecetowi użytkownika, to
nie zabezpieczamy się, a jeżeli nie ufamy, to lepiej nie dawać mu
bezpośrednio RS-232 tylko dostęp przez jakieś pudełko pomiędzy (które
niestety zwiększy koszt rozwiązania - także dlatego, że trzeba je
aktualizować i ewentualnie wymieniać).

Lub przerzucamy odpowiedzialność na usera odpowiednio skonstruowaną umową
:)


:D

--
[ Email: a@b a=grp b=chmurka.net ]
[ Web: http://www.chmurka.net/ ]

Tue Jun 13, 2017 9:54 am   

Użytkownik "Adam Wysocki" napisał w wiadomości grup
dyskusyjnych:ohobdp$s7k$1$gof@news.chmurka.net...
sundayman <sundayman@poczta.onet.pl> wrote:

Firma to dane osobowe ?

A tak swoja droga - czy nasze US nie robia czegos na chmurach MS ?

Jeszcze mozna by sprobowac zaszyfrowac.

J.

Tue Jun 13, 2017 11:31 am   

sundayman <sundayman@poczta.onet.pl> wrote:


Jak tak, to bez problemu U nas miały latać dane klienta (nazwa firmy,
adres) i już nie dało się (legalnie) wyjść poza UE.


No właśnie... mają interes w jej utrzymywaniu tak długo, jak sprzedają te
konkretne modemy...


Ale chiński serwer, czy sieć w Krakowie? :)

--
[ Email: a@b a=grp b=chmurka.net ]
[ Web: http://www.chmurka.net/ ]

Tue Jun 13, 2017 11:40 am   

sundayman <sundayman@poczta.onet.pl> wrote:


Też kwestia ilości i tego, czy macie kogoś do serwisu w każdym regionie,
bo trudno żeby technik z Krakowa jechał wymienić soft w Gdańsku.


W sumie jeśli to nie musi być "invented here", to jest trochę protokołów,
które są do tego przeznaczone - zaczynając chociażby od http, tam masz
obsługę nagłówka Range:, który umożliwia ponawianie ściągania i co ważne,
nie musisz tego implementować od początku, bo już istnieją sprawdzone
implementacje na licencjach pozwalających na ich użycie w komercyjnym
projekcie.

Można to oczywiście dowolnie komplikować, dodając chociażby binarne diffy,
ale ja jestem za tym, żeby system update'u zawsze był tak prosty, jak to
możliwe i rozsądne (a przynajmniej istniał taki zapasowy, prosty kanał, bo
im coś bardziej skomplikowane, tym bardziej podatne na błędy).

Dodałbym jedynie konieczność weryfikacji ściągniętego pliku, zanim
zostanie użyty, np. poprzez weryfikację podpisu przez PGP (wystawiając
plik robisz do niego podpis swoim kluczem prywatnym, a maszyna, która
ściąga plik, ma Twój klucz publiczny i weryfikuje przy jego pomocy, czy
podpis się zgadza i czy plik nie został zmieniony). Oczywiście utrata
klucza prywatnego wiąże się wtedy z utratą możliwości zarządzania
urządzeniami, więc trzeba go pilnować, a najlepiej zabezpieczyć hasłem i
wydrukować np. jako QR code (ja tak trzymam najważniejsze rzeczy i klucze,
których nie mogę stracić nawet jak padną mi wszystkie dyski twarde)...

--
[ Email: a@b a=grp b=chmurka.net ]
[ Web: http://www.chmurka.net/ ]

Tue Jun 13, 2017 11:43 am   

Cześć,

Nie czytałem całego wątku, więc nie wiem czy na coś się zdecydowałeś
ale, jeśli chcesz, mogę mogę Ci do testów, na parę tygodni, zrobić
wirtualkę ze stałym IP.


Pozdr,
Mariusz

Tue Jun 13, 2017 12:38 pm   

J.F. <jfox_xnospamx@poczta.onet.pl> wrote:


Nie mam pojęcia, ja zajmuję się technikaliami Prawnicy tak zdecydowali.


Mówiłem im że jest szyfrowane (bo jest), ale stwierdzili że to bez
znaczenia bo liczy się sam fakt.

--
[ Email: a@b a=grp b=chmurka.net ]
[ Web: http://www.chmurka.net/ ]

Tue Jun 13, 2017 5:30 pm   

I jedno i drugie.
Jak tam byłem na miejscu, to z góry wiadomo, że co tylko może pójść nie
tak - to pójdzie dwa razy. a do tego akurat wtedy chiński serwer
przestanie działać.

Jakaś kuśwa metafizyka. No w życiu tak pechowego miejsca nie widziałem.
Serio.

Wed Jun 14, 2017 12:46 am   

To bardzo miło, ale na razie dziękuję - jeszcze się zastanawiam, czy nie
wziąć DLS'a, bo właściwie i tak powinienem upgrade'ować swój internet w
pracy.

Jeżeli tak zrobię, to się kłopot rozwiąże.
Ale będę oczywiście pamiętać jakby co :)

Dzięki serdeczne

Wed Jun 14, 2017 2:17 am   

To są bardzo wyjątkowe przypadki - zasadniczo nie ma takiej potrzeby.
Raczej zdarza się awaria jako taka - ale to jest w gestii mojego
klienta, który ma swoich pracowników. Więc to raczej koncepcja na zaś -
żeby robić jakieś upgrade firmware, poszerzające funkcjonalność.
Jak dotąd jak urządzenie "wychodzi" ode mnie, to nie jest więcej
modyfikowane.




Oczywiście, kiedy przyjdzie pora to te koncepcje będę brał pod uwagę.