Многие задаются вопросом, какие данные собирает роутер в публичных сетях Wi-Fi или на съёмных квартирах и кому они могут быть доступны? Мы проверили, есть ли такая угроза.

Спойлер для ЛЛ: вы сами можете без дополнительных программ частично анализировать трафик через свой домашний роутер, что уж говорить о преступниках

О возможной утечке данных при взломе сетей или потенциальном отслеживании части трафика владельцем роутера пишут и рядовые интернет-пользователи, и эксперты. В подобных текстах говорится, что доступ можно получить как к истории поиска и списку посещённых сайтов, так и к паспортным и другим персональным данным. Например, в 2019 году с лёгкостью была взломана сеть Wi-Fi скоростных поездов «Сапсан», в которой компания «Российские железные дороги» хранила сведения о пассажирах. Значительное число публикаций касается родительского контроляи того, как подростки его обходят; тому, хранит ли роутер историю поиска и посещений, посвящены десятки SEO-статей. Отдельно эксперты отмечают уязвимость сетей в отелях, а «Лаборатория Касперского» крайне не рекомендует использовать точки Wi-Fi в арендованных через Airbnb или другие сервисы апартаментах.

Всем нам привычный Wi-Fi-роутер (маршрутизатор) предназначен для передачи данных в сетях разных типов. Простыми словами, он обеспечивает передачу данных между подключёнными к нему устройствами и интернетом. По умолчанию роутер не сохраняет историю интернет-сёрфинга, однако это только по умолчанию. Чем современнее модель или прошивка роутера, тем больше данных и функций доступно администратору сетевых соединений, запущенных с помощью устройства.

Админпанель относительно устаревшего роутера

Так, произведённый в первой половине 2010-х годов роутер с базовой прошивкой, вероятнее всего, даст администратору только минимальные данные об объёме трафика и позволит настроить простейший родительский контроль — ограничить время, в течение которого доступ к интернету появится на гаджете ребёнка. Сравнительно новое устройство, с прошивкой 2020 года, даст возможность увидеть полный список посещённых за время подключения страниц.

Пример современной прошивки

Владелец роутера может детально ознакомиться с контентом, который интересовал пользователя, если тот работал по незащищённому протоколу HTTP (сайты без защищённого соединения HTTPS всё ещё не редкость). Для этого достаточно зайти в системный журнал. Детальная история действий на защищённых сайтах при этом будет недоступной — в журнале отметятся только домены, а информация о том, что вы искали в интернете, куда покупали билеты и какое порно смотрели, роутером не сохраняется. Некоторые модели также позволяют видеть статистику по самым посещаемым с определённого гаджета сайтам. Стоит отметить, что предусмотренные производителем опции созданы большей частью для родительского или корпоративного контроля и не подразумевают слежения, например, за банковскими операциями. Эта информация не хранится в журнале роутера и не может утечь, если только вы не перешли по фишинговой ссылке или если протокол передачи данных не был подменён злоумышленником.

Проблема открытых (не защищённых паролем) и публичных сетей в том, что зачастую их достаточно легко взломать: администраторы не всегда уделяют достаточное внимание безопасности. Так, в 2017 году в Аргентине была взломана сеть в одной из кофеен Starbucks, и подключённые к ней устройства клиентов стали (без ведома владельцев) майнить криптовалюту Monero. То же самое касается сетей в отелях, ведь, зная пароль от сети и имея необходимое оборудование, хакер достаточно легко может провести атаку MiTM (Man in The Middle — «человек посередине»). Есть несколько типов такой атаки: например, злоумышленник может создать сеть-двойник (сеть с названием, идентичным той, к которой устройство подключается автоматически) или изменить настройки общественной точки доступа таким образом, чтобы трафик шёл через контролируемый мошенником узел. При MiTM-атаке взломщик получает доступ ко всем пересылаемым данным, а иногда и к данным на подключённых устройствах.

Wi-Fi-сети на съёмных квартирах и в апартаментах также являются довольно лёгкой добычей для хакеров. Устанавливая роутер, далеко не все владельцы задумываются о необходимости сменить заводской пароль или отключить возможность удалённого доступа к настройкам. Злоумышленнику при таком раскладе достаточно единожды подключиться даже к защищённой паролем сети и перенастроить её. В итоге, если мошенник захочет, он будет знать всё о недостаточно защищённом трафике всех следующих жильцов.

Таким образом, распространённые опасения не напрасны — даже вы сами можете без дополнительных программ частично анализировать трафик через свой домашний роутер, что уж говорить о преступниках. Собственно, предостережения экспертов связаны именно с этим: знаете ли вы, кто управляет сетью, к которой вы подключаетесь? А если нет — не лучше ли использовать мобильную сеть? Полностью отказаться от Wi-Fi едва ли возможно, но можно избегать открытых сетей, подключения и передачи без VPN важных данных через сети в отелях, на съёмных квартирах — везде, где вы не настраивали роутер самостоятельно и не уверены в его защищённости. При включённом VPN в системный журнал попадут только данные IP, который был вам присвоен во время сессии. При этом стоит помнить, что это лишь часть безопасного поведения.

Изображение на обложке: MORE ON / Pixabay

Наш вердикт: большей частью правда

Другие проверки

Ещё нас можно читать в Телеграме, в Фейсбуке и во Вконтакте

В сообществах отсутствуют спам, реклама и пропаганда чего-либо (за исключением здравого смысла)

Аудиоверсии проверок в виде подкастов c «Коммерсантъ FM» доступны в «Яндекс.Подкасты», Apple Podcasts, «ЛитРес», Soundstream и Google.Подкасты

https://www.worldcommunitygrid.org/forums/wcg/viewthread_thread,44246

Обновления проекта

Большое спасибо добровольцам, альфа-тестерам WCG, которые помогали нам находить ошибки и предоставляли научные данные на этапе тестирования. После полного перезапуска несколько партнеров по исследованиям готовы к работе с новыми рабочими единицами на новом этапе исследований.

Картирование маркеров рака

Добровольцы подсчитали 118 875 915 результатов для саркомы на этапе альфа-тестирования. Тем временем мы продолжили анализ идентифицированных 9 триллионов сигнатур генов рака легких. Наше внимание сосредоточено на 26 генах, которые присутствуют в сигнатурах всех размеров. Из этих 26 генов мы дополнительно исследовали VAMP1, ген, связанный со статусом курения пациента, который был широко представлен у пациентов, переживших случаи рака, что делает его хорошим выбором в качестве прогностического маркера. Для получения дополнительной информации ознакомьтесь с нашим недавним обновлением исследования от команды MCM.

OpenPandemics - COVID-19

На этапе альфа-тестирования добровольцы обработали 50 950 437 результатов. OPN1 продолжает поиск новых методов лечения COVID-19 и создает инструменты быстрого реагирования на будущие пандемии. Мы с нетерпением ждем возможности поделиться с ними новыми новостями в ближайшее время.

Помогите остановить туберкулез

Команда анализировала предыдущие результаты и разрабатывала новые стратегии поиска. Кроме того, руководитель группы доктор Анна Крофт перейдет в Университет Лафборо в качестве профессора. Вместе с доктором Крофтом мы празднуем этот захватывающий шаг и верим, что WCG станет больше (и достаточно большим), когда станут доступны новые рабочие единицы HSTB.

Разбить детский рак

Команда SCC представила Никиту Розанова в качестве нового члена команды, который использует свой опыт в компьютерном моделировании молекул для разработки новых потенциальных лекарств для лечения рака. Команда начала исследование нового целевого белка FLI1. Он является членом семейства факторов транскрипции ETS, которые контролируют пролиферацию, дифференцировку и выживание клеток. Слияние гена FL1 и EWSR1 часто присутствует в случаях саркомы Юинга и других видов рака.

EWSR1 кодирует РНК-связывающий белок (EWS), и когда EWS сливается с FLI1, последний становится постоянно активируемым (вместо точно регулируемого), создавая молекулярную среду для образования опухоли. Считалось, что слитый белок EWS-FLI1 ингибирует p53 и/или активирует передачу сигналов NOTCH, ускоряя прогрессирование саркомы. Полезные ингибиторы FLI1 должны специально нацеливаться на этот слитый белок, но не на другие родственные, чтобы избежать непреднамеренных побочных эффектов. Для получения дополнительной информации ознакомьтесь с нашим недавним обновлением исследования от команды SCC.

Вы имеете значение

По любым вопросам о текущих проектах или процессе перезапуска прокомментируйте эту ветку форума или свяжитесь с нами напрямую. Мы обобщим наиболее частые вопросы в будущем обновлении часто задаваемых вопросов.

Вместе мы можем сделать намного больше. WCG нуждается в вашей помощи! Если вы уже предоставляете свои вычислительные ресурсы, мы благодарим вас; но если вы можете добавить больше устройств дома или в офисе, подумайте об этом, так как нам потребуется большая сетка для размещения новых проектов. Если вы еще не присоединились к World Community Grid, вы можете зарегистрироваться здесь.

https://www.worldcommunitygrid.org/login

https://www.worldcommunitygrid.org/forums/wcg/viewthread_thread,45232

https://www.worldcommunitygrid.org/about_us/article.s?articleId=785

https://www.worldcommunitygrid.org/about_us/article.s?articleId=782

Хотите принять участие в распределенных вычислениях, тогда, Вам сюда:

https://boinc.berkeley.edu/wiki/Simple_view

https://boinc.berkeley.edu/download_all.php

https://boinc.ru

Ссылка на git-хаб, где лежат исходники программы-клиента BOINC.

https://github.com/BOINC/boinc

• оборудование номинально стало поддерживать динамику в виде ospf в последней прошивке, но по факту поддержка сказала "забудьте, мы случайно добавили, в следующей выпилим"

• Чаще всего был один провайдер в филиале (без резервного)

• в 11 филиалах была внедрена IP телефония на цисках, а значит были телефоны и управляемые PoE коммутаторы. В остальных сеть была из говна и палок ( TP-Link, домашние D-Link, в лучшем случае HP1810 - те что 2013 года выпуска)

• В головном офисе была сеть /16 на всё, кроме телефонии. То есть было деление телефония и "всё остальное", которое вообще не делилось на подсети, прям маска /16 была. Потому что я так решила в 2012 году. Ну аллё, я училась в универе, а компания была в 2 раза меньше, я признаю, что была дура)

• Ввиду некоторых причин, к нашей компании в конце 2019 присоединилась ещё одна такая же по размеру компания. Их сеть надо было присоединять (а также домен, телефонию, почту, сайт и людей). Мы уже сидели рядом, но каждый в своей сети.

• Управление сетью присоединяемой компании было на аутсорсе, доступа к управления сетью нам не дали, а аутсорсу платить перестали.

• Сеть у доставшейся нам компании была не сильно то отделена в плане администрирования от сети их головной компании, а нам фактически отпилили кусок и сказали типа вот вам ЦОД и ещё 25 филиалов, но администрировать не дадим, вдруг вы сломаете? Сами будем. Но вы же понимаете, у нас своих проблем есть, нам нашу компанию надо переварить, вы пишите что вам надо а мы когда-нибудь сделаем. Может быть. Но вам управление не отдадим. Да, взламывать тоже нельзя. И конфиги не покажем. Вот картинка для понимания:

• У них в филиалах не было интернета, только IPVPN от провайдера и выход в инет был из ЦОДа. И вроде так звучит ничего, но скорости были 2-5 мегабита на филиал (25-60 человек) или 5-12 мегабит на 60-120 человек. И нормальный сценарий, когда филиал не работает "потому что сеть тупит"

• Нам запретили светить наши сети в ЦОД без NAT, так как ЦОД оказался связан с нашей головной компанией, а у нас одинаковая адресация (в 2011 году мы отделяли сети и нам сказали, что никогда-никогда мы сети не будем сливать. ага-ага). И что? Из-за NAT очень плохо работает голосовой трафик, а также то, что требует коннекта напрямую к машине - центр управления касперского, например, да тот же AD. Картинка для понимания про пересечение сетей ниже

• Не надо думать, что головная организация нам чем-то помогала в плане людей или компетенций или быстрого согласования бюджета. Какой-накакой диалог в плане ИТ у нас только последние полтора года наладился.

• У нас не было системы учета заявок в ИТ. Также не было выделенной первой линии поддержки (за первую линию была я и мой коллега)

• Также сетью глобально управляла я (1 человек). К управлению сетевым оборудование в организации "А" был доступ у админов филиалов (кто хотел - ваял что-то, например, dhcp управлял, а кто-то говорил, что он вообще этим не будет заниматься и тогда всё на мне). Также на мне висела ip телефония (был чувак на аутсорсе по сложным вопросам и как раз свалил в Америку. Классно когда у тебя часовые пояса от -9 мск в Америке до +9 на Камчатке, очень бодрит. Он реагировал, но медленно). Ещё на мне полная поддержка и администрирование колл-центра на Infinity, который стал работать круглосуточно, а, ну и инфраструктура - виртуализация, домен - AD с политиками, DNS, почтовик, бэкапы, всё это в паре с еще одним коллегой. И все *nix, там по мелочи мониторинг, ftp, всякие пробы с автоматизацией. Первую линию поддержки не забываем, картриджи я уже редко меняла, но всякие сбросы пароля, "нет звука" тоже на мне. Также угадайте, кому было не лень писать документацию. Сейчас написала и сама не понимаю, как я не сдохла, читайте что было дальше))

Из хорошего:

• у нас появился ЦОД и много серверов

• При съебывании предыдущих арендаторов здания, мы нашли пачку цисок 2960, припорошенных строительной пылью, но живых

• Также на складе нашли штук 15 cisco asa 5506x

• Мы под шумок купили 1200 телефонов

• у нас появилась своя автономка, AS в смысле (блять, я до сих пор в BGP внешний боюсь тыкать палочкой). Которой, впрочем, мы не управляли, так как доступа к оборудованию не было.

• ю-ху, я побывала в настоящем ЦОДе! Там прикольно.

• У нас хороший коллектив. С костяком команды мы на данный момент больше 10 лет вместе работаем. Соответственно, ребята пахали не меньше и ко мне прислушивались.

• ИТ выделили наконец в отдельную оргструктуру и пришел исполнительный директор "из своих", в смысле долго работал у нас в ИТ, знал специфику и в целом болел за нас. До этого мы были вместе с юристами и хозяйственниками в одной структуре, классное же соседство?

• Нам добавилось 3 инфраструктурщика из другой компании, один из них очень компетентный, это должно было разгрузить меня и коллегу

Проблемы были обозначены и до ковида и даже начинались действия по их решению:

• Нам нужен сетевик мне в пару (я начала начальнику об этом ныть, пугать как меня переедет самосвал и всё рухнет, а также писать осторожные письма об этом же)

• Сеть головного офиса надо разделять (я не знала без динамики - как к этому нормально подступиться, там такой клубок был, а ЦОД его ещё добавил)

• Нам нужна система учета заявок и эникейщики на первую линию (у присоединенной компании была система, выдохнули, стали натягивать на нас. Утвердили 2 ставки на эникеев)

• Нам нужно заменить сетевое оборудование (роутеры) и нам надо втащить в телефонию все филиалы (там нужны телефоны, коммутаторы) - начали процесс закупочной процедуры.

• Нам нужна динамическая маршрутизация

• Нам нужно получить управление сетью (писали пламенные письма)

• Нам нужно утвердить новый план IP адресации, чтоб никто нигде не пересекался (спойлер - утвердили к 2022)

И тут в апреле грянул ковид. Подробно это отдельный роман надо писать, как мы пережили удаленку (попробуйте спровадить 400 человек на удаленку за 2 недели, когда это не было ещё отработано). В отдельный момент у нас было 6 видов VPN.

Добавились проблемы:

• Текущее оборудование ко всему дохнет по ЦПУ на шифровании. У младших моделей предел 15 мегабит.

• План по присоединению инфраструктуры новой компании был к сентябрю. Нам сказали типа "пятилетку за 2 года", мы сделали к июню, насколько помню.

• Работать 13-16 часов в сутки нихуя не весело

Решились проблемы: наняли двух эникейщиков, но они только начали въезжать в специфику.

Только пробежалась по верхушкам проблем, а уже такой длиннопост, но не делить же историю? Сейчас небольшое отступление и перейдём к действиям!

Я бы с удовольствием в то время прочитала пост на тему "у нас жопа с инфраструктурой, мы из неё выбрались вот так". Да хотя бы просто без подробностей рассказ, что такое возможно. Я искала статьи по теме, но всё, что находила выглядело как

1. мы делали всё вроде хорошо, но вылезали небольшие проблемки, мы потратили много денег и рабочего времени и их решили

2. мы делаем с нуля и охеренно хорошо за много денег и крутыми спецами

3. мы сейчас делаем хорошо, вот смотрите как. А куда делась жопа, которая была, мы не расскажем

4. да, у нас жопа с инфраструктурой, мы всё переделали. Ах да, у нас в компании 12 человек работает. Не ИТ, всего 12

5. у нас жопа с инфраструктурой и я уволился, зачем работать в компании, где нет смузи с облаками

Я даже всерьёз рассматривала пункт 5, но решила попробовать разгрести то, что есть. Комменты, конечно, пестрили советами "у вас плохо, а хорошо вот так". Как перейти из одного состояния в другое, не прерывая деятельность организации, силами того кто есть, преодолев бюрократию и вложившись в бюджет - вот вопрос, на который никто не мог дать ответа.

Теперь, к тому, что я/мы делали.
Буду рассказывать то, что делала и видела, в основном со своей стороны. Надо понимать, что во всех отделах наблюдалась жопа той или иной степени и все ебашили как не в себя.

Время начала 2020. Все присоединенные филиалаы пинаем на заключение договоров с провайдерами, чтоб там появился нормальный интеренет (желательно даже два). Все свои филиалы пинаем, чтоб подключали второго провайдера. Срочно расширяем в 2-3 раза имеющийся ipvpn, потому что это изменение текущего договора и гораздо проще согласовать, чем новый договор.

Перерыв на ковидную горячку, в которой мы, помимо прочего, на соплях и изоленте склеиваем инфраструктуру двух компаний. Это были тайные втыкания проводов, ебанистческие конфигурации, прокладки из каких-то промежуточных проксей и всё обмазано статической маршрутизацией. Параллельно начинается перенос инфраструктуры в ЦОД, в частности централизации сервисов из филиалов. Ну а хуле, давно пора. Нагрузка на каналы связи ещё возрастает, оборудование не вывозит, текущие подключения не вывозят.

Из загашника достали коммутаторы, все asa5606, я быстро вкурила как асы примерно настраивать (особый квест был с активацией лицензии на продвинутое шифрование) и пошла раскатывать на новые филиалы, где не было интернета. Помню, водитель привез домой пачку 6 штук, я не рассчитала и еле доволокла до лифта (они вроде маленькие, а коробки сцука тяжелые).

Где-то к июлю мы выдохнули, дендрофекальный монстр как-то работал. За это время два эникейщика втянулись в работу, а инфраструктурщики в нашу инфраструктуру. Мой коллега по первой линии стал руководителем отдела поддержки. Мне тоже отсыпали руководящую должность, правда, без сотрудников. Заработал сервис приема заявок и мы с переменным успехом пинали всех в регламент его использования, типа "нет заявки - нет проблемы".

Я разделила сеть головного офиса, выделив новую сеть /19, только разбив на подсети в этот раз. Таки накрутив статических маршрутов. Но без разделения на vlan (отдельно оставалась только телефония), так как всё было сильно вперемешку. Но, по крайней мере, всё было готово к делению.

Потом я посмотрела на свои распухшие от двух гарнитур уши и в деликатных выражениях вроде "нахуй", "ебись оно конём" и "у тебя три работника есть теперь, отъебись" отказалась от активного участия в жизни инфраструктурщиков (это где виртуализация и сервера, домен, почта, базы данных и прочее добро). Примерно в таких же выражениях сказала, что я перестаю быть за саппорт первой линии. Всем звонящим по старой памяти отвечала "у нас чудесные ребята в поддержке, я обязательно им передам, но быстрее будет если вы оставите заявку или позвоните им напрямую". Это было морально тяжело, потому что сбросить пароль - 5 секунд, настроить звук, подключить вебинар, проверить сайт, показать куда тыкнуть - минута, но это было волевое решение "я этим больше не занимаюсь".

В августе я свалила в отпуск проветрить мозги. Вернулась с четким решением, что с такой сетью жить нельзя. Что там с конкурсной процедурой на сетевое оборудование было непонятно. У головной организации было своё видение общей одновендорной сети и они его активно пихали, закупка длилась уже месяцев 8 и края видно не было. Надо сказать, руководителем направления я себя нихрена не ощущала, но, наверное в сентябре началось моё вживание в должность. Я ультимативно сказала "каждому филиалу надо купить микротик RB1100AHX4, самое позднее в октябре". Выбор был прост, он умел всё, тянул минимум гиг в шифровании, продавался в любой перди и стоил как говеный монитор, то есть покупку не нужно согласовывать с головной организацией. Можно купить по-тихому как расходку. Оглядываясь назад, нужно это было сказать в начале года, а не терпеть столько.

Я вооружилась бумажкой с фломастерами и рисовала план с ебучими стрелочками, чтобы разложить маршруты. На микротах на каждый филиал выделалась серая AS 650xx, чтоб суммировать маршруты на выходе. В результате у меня был кусок новой сети с ospf и кусок старой сети со статикой. На микротах уже более-менее адекватно срабатывал failover на разных провайдеров. Переключение каждого филиала на динамику - это "тут маршруты вычищаем, с трех серверов вычищаем, добавляем общий на микрот. А блин, забыли ещё два сервера специально для них, да ёпрст". Надо понимать, у каждого свои особенности и наследия, хватало там всякого. Был и саботаж с подключением провайдеров, с покупкой микротов. Были свои гуру, которые пихали мнение типа "вот вы нам только работу изобретаете". Я училась работать с людьми.

Также я сказала, что на саппорт колл-ценра нужен отдельный человек, так как их хотелки всё возрастали и админить дополнительно сценарии, опросы, ваять отчеты и прочее я уже не успевала. В январе мне выделили пол-ставки, я нашла человека из филиала, который это взял на себя, и через пару месяцев он стал тащить текучку по колл центру.

Всё это причесывалось где-то месяцев 5. Стало чуть лучше. Почему чуть? А мы так и не имели управления ни сетью ЦОДа, ни сетями присоединенных филиалов. Да, на местах в старой сети осталась только телефония, которую нам некуда было посадить, но всё же.

25 декабря 2020 нам внезапно привезли оборудование. В том числе, для полной замены сети ЦОД. Головная организация решила, что нахуй циски, везде должен быть хуавей (спойлер - не получилось от цисок полностью уйти). Почему всё тянулось и резко решилось? В конце года надо было потратить денег, что-то там с налогами. Ну что, можно менять? Нет! Теперь тендер на внедрение. Ну, резон был, с сетью ЦОД я ни разу не работала, с хуавеями тоже. Головная организация отыграла себе тендер на внедрение всей сети, а у нас денег было мало, мы договорились, что нам внедрят ЦОД, Москву и 2 филиала в регионах. Дальше мы посмотрим и сами, всё сами. Как вы убедились, тендер процесс не быстрый, я не пожалела, что внедрила микроты.
За прошедшее время в головной организации дважды уволилась команда сетевиков, но в 2021 году там пришел новый руководитель и случилось несколько положительных событий:

• Сдвинулось с мертвой точки согласование общего плана ip адресации.

• Нам таки выдали доступ почти ко всему сетевому оборудованию.

• Никто не стал залупаться и тендер на внедрение отыграли месяцев за 7 (небывалая скорость).

Стало реально полегче. Также на оф сайте хуавея был тогда выложен курс типа ccna, но для хуавея и на английском, абсолютно бесплатно. Я успела прослушать и как-то разобраться в консоли. Освоила взрослую cisco ASA, которая стояла в ЦОДе.

Никогда ранее я не сталкивалась с работой интеграторов (как-то мы всё сами внедряли). Мои ожидания: придут взрослые дяди, скажут как надо, быстро сделают всё красиво, как в лучших домах, напишут хорошую документацию, оставят понятную инструкцию и проведут обучение не хуже вендора.

Реальность: шесть месяцев собирают информацию, спрашивают тебя "что вы хотите?". Без четкого ТЗ результат ХЗ и планируешь в основном ты. Как в лучших домах никто не делает, на вопросы отвечают уклончиво. Выясняешь сам (блять, нам сосватали стеки, сейчас думаю, что с этим делать, разбирать или как). Когда внедряют - как все люди, путают адреса, имена, делают не совсем то, что договаривались. Тесты на отказоустойчивость проводить заставляешь чуть не силой. Итого до сих пор вычищаем хвосты, когда при определенном редком стечении обстоятельств филиал падает. С другой стороны, нам внедрили ЦОД, я бы надорвалась. Там было сложно, например, скрестить ospf с eigrp, причем с фильтрами и чтоб не кольцевалось. BGP опять же. И вообще были отзывчивы, когда я уронила ЦОД в 9 утра понедельника не отказались помочь. Обучение состояло в ответах на вопросы, которые мы успели придумать. Схему зато нарисовали хорошую, хотя и не совсем полную. Инструкции.. какие инструкции, вот вам доки с сайта хуавея. Если что, и обучение и инструкции были в договоре.

Ладно-ладно, нормально нам внедрили, это у меня были завышенные ожидания. Работали с нами двое: один классный спец и отзывчивый, второй не такой спец и распиздяй. В среднем - нормально.

Так вот, в сентябре 2021 начался процесс по изучению-перед-внедрением. В это же время ставлю вопрос ребром: или ещё один сетевик или внедрение будет года два идти, а я тут сдохну. Причем не абы какой джун-сетевик, а мне нужен конкретный спец из конкретного филиала, который в сетях шарит не хуже меня, а в линуксах получше. В тот момент он менял картриджи в филиале и мышки перетыкал, а на досуге внедряел астериск на соседнем заводе и делаел красиво там, где может. Дожала. Дали мне ставку, уломали отпустить человека директора филиала, он оттуда с радостью сбежал в феврале 2022, как раз к началу активных действий по внедрению. Так у меня появился супер-компетентный специалист, который ебашит как стадо бессмертных поней. Его только притормаживать надо, чтоб спал иногда)

Надо сказать, если по сети забрезжил свет в конце туннеля, то телефония выглядела как сеть пару лет назад. Были в ходу разная длина внутреннего номера, пересекающиеся номера, разделенные префиксом, три отдельных астериска, 11 cisco CUCME нерасширяемых, 1 cisco CUCM с просроченными лицензиями без ivr, которым мы не управляли (последний не павший бастион), kamailio и, простихоспади, вечнолагающий fusionPBX. А, к этому ещё цеплялся колл центр через связку. Трафик мог прийти в филиал, сходить в цод головной организации через наш цод, попасть потом в головной офис, прослушать ivr на фьюжн, опять вернуться в цод и распределиться на внутренний номер филиала. Надёжно, как китайские часы.

Головная организация "С" была окрылена идеей построить единую телефонию для себя и всех дочек, для чего готовила тендер (у вас зашевелились волосы?). Астериск их руководством категорически отметался как не-энтерпрайз решение. Даже если его внедрят единым паком и будут поддерживать. В этот момент я посмотрела на нашу телефонию, на то как страдают люди. Вспомнила как проходил тендер для сетевого оборудования. И озвучила "мы, конечно, готовим с вами документацию на тендер, решение головной компании - закон. Но сейчас мы подумали и я решила, что мы внедряем такой не энтерпрайзный, зато бесплатный и гибкий астериск. Как тендер отыграете, как деньги найдем, так сразу энтерпрайз, но нам вообще прямо сейчас надо как-то жить".

Итак, к внедрению у нас были всего 61 точка (в некоторых регионах несколько больших точек) в каждом из часовых поясов РФ и ЦОД. К июню 2022 силами нас и интеграторов совместно внедрили ЦОД, две точки в Москве и два региона. Оставалось ещё 57 и план "к новому году". Внедрения филиала состояло из собственно замены сетевого оборудования, переключения его туннелей на ЦОД, перекоммутирования по схеме, понижения контроллера домена, смены ip адресации (да, мы утвердили план!), перехода телефонии на астериск (от филиала требовалось сбросить телефоны или расставить новые), а также иногда ещё мы переключали провайдера телефонии в ЦОД, так как начали централизацию и в этом направлении. Также все одинокие точки филиалов в 1-2 компа переключаются напрямую на OpenVPN в ЦОД (которые раньше были зацеплены на филиал по L2TP). В филиале по дефолту есть одн, иногда два админа, которые работают руками на местах, всё. Да, уровень местных админов выше, чем у эникеев, но в массе не сильно. Со стороны головного офиса: я в Москве и наш бессмертный пони со сдвигом на +2 часа.

Летом я выбила ещё одного человека на саппорт астериска - он во внедрении не участвовал, но уже готовил конфиги по телефонии.

Сначала мы внедряли 3 филиала за выходные. Потом у нас стали падать туннели и мы месяц медитировали на wireshark, откатив филиалы частично обратно. Обратились к интегратору и ещё через 2 недели всё решилось одной строчкой в конфиге. Потом мы набрали опыт, наработали шаблонные конфиги, написали подробные инструкции.

Где-то с августа это выглядело как-то так:

• Берём 8-10 филиалов. Рассылаем инструкцию.

• Готовим конфиги и неделю их раскатываем на устройства в Москве.

• Отсылаем технику и, ели надо, телефоны в филиалы и от недели до двух она едет.

• В это время готовим телефонию, отвечаем на вопросы, внедряем в будни какой-нибудь маленький и далёкий филиал вроде Чукотки, где админ согласен в его ночь поработать.

• Раз в 3-4 недели внедрение на оба выходных. Субботу начинает в 6 по Москве коллега, я присодиняюсь в 8, заканчиваем в 18 и 20 соответственно, просто нон-стопом. Воскресенье в лайтс режиме доделывем и проверяем работоспособность, то есть начинаем в 8 и заканчиваем часов в 17, даже обедаем в середине (по-разному было, иногда и второй день активный). При этом, часть оборудования на местах ре-юзалось, к части мы неакуратно теряли доступ и с консолью восстанавливали (вообще по телефону попасть в romon циски не так и быстро - угадать момент по телефону, когда кнопку отпустить, когда break нажать, иногда 3-4 итерации надо).

Последнее внедрение было 11 декабря 2022. Уложились. У меня за год официально 26 отработанных выходных, из них 24 под внедрение. К этому несколько ночей в ЦОДе и пару выходных в начале, где мы не рссчитали и работали 2 дня, хотя планировали один.

Длинные итоги:

• Сейчас с сетью более-менее хорошо. Да, мы наводим красивости и вычищаем хвосты, но в целом вообще ОК.

• Телефония единая на астериске, колл-центр остался где был. Тендер головной организации ещё, кажется, не кончился.

• Коллега мой, бессмертный пони, так обмазал нам астериск сервисами, что никакой энтерпрайз рядом не валялся. Ну штырит человека работать.

• Сколько мы потратили денег (и сколько сэкономили) я считала и давала начальству в цифрах, там было интересно.

• За это время, были не только описанные события: была текущая работа, локальные проблемы - у нас сдохло два кондея одновременно в серверной, падал мастерхост, если кто помнит, мы теряли бэкапы, нас DDoS'или, мы перевозили сайт и продолжали централизацию. Дважды у меня увольнялся чувак, поддерживающий колл-центр. Выходили новые требования закона и требования от безопасников. Санкции не обошли стороной тоже. Много чего было.

• Сейчас я могу себе позволить "не беспокоить" ночью на телефоне (кроме белого списка, но всё же) и полностью отключаю рабочую симку в отпуске. Тележка остаётся для экстренных случаев, но их не было. За последние полгода мне звонили ночью один раз.

• Да, теперь половину моего рабочего времени составляют ебучие бумажки и совещания. Зато я снова нашла время обновить документацию и наваять статей во внутеннюю вики.

• У меня теперь группа из 5 человек или 3,8 ставки: из меня; спеца, который шарит в сетях и линухах и астериске как боженька; чувака, который сидит на саппорте астериска, но и к сетям его привлекаем уже; на 0,3 ставки сотрудник филиала с временем +6мск ебашит телефончики ночами в астериске, вот решили его нагрузить экстренным саппортом сети на Дальнем Востоке ещё; и чувак, который на 0,5 ставки поддерживает колл-центр.

• Что на нас? Сеть филиалов и ЦОД, филиалы теперь не управляют сетью центрального офиса вообще. А мелкие точки тоже в плане забрать к себе на администрирование. Телефония вся, с новыми сервисами. Колл-центр. Ну то, что к сети относится: DNS, DHCP. А также линухи с проксями на nginx, частично мониторинг и мелкие виртуалки под внутренние нужды с линухами. Я по старой памяти могу чего-то помочь с инфраструктурой, которую помню, но редко. В WMVare вот вообще не лезу.

• Были ли ошибки? Да дохрена. Не ошибается тот, кто ничего не делает.

• Не я ли была причиной изначальной жопы? Отчасти да, я не самая умная была в 22. И не умела настаивать на своем решении в 26. Ну а начальство могло нанять более копетентных специалистов? Могло, но не стало. Также обстоятельства извне внесли достаточно хаоса, чтобы не считать себя самой плохой.

• Молодец ли я? Мой синдром самозванца воет, но я его затыкаю. Я молодец. И моя команда молодцы. Ебать, я как это перечитала, вспомнила, так волосы на жопе шевелятся, из какой же задницы мы вырулили. Не было это легко, убедить всех, что надо именно так и не иначе. Хорошо, что руководство меня поддерживало.

• Меня неожиданно вштырило быть типа руководитетем. В смысле, принимать решения как будет развиваться та инфраструктура, за которую я отвечаю, и реализовывать это. Даже немного влиять на инфраструктуру в целом. То есть, я этим и раньше занималась, но теперь на новом уровне для себя это открыла. ITIL тут курсы прослушала, интересно было. Куда-то делось моё неумение общаться с людьми, я теперь могу полдня пиздеть по телефону и не ёбнуться. Хотя материться на работе на отучилась.

Я не гонюсь за рейтингом, поэтому одним постом, надеюсь, кому-то было интересно, а кого-то вдохновит или поддержит морально мой опыт.

А, ну и кому мало: бонус в комментариях!