VPN тунелинг

О проблемах hardware и стандартного и не очень software. Сисадмин, Вам сюда!

VPN тунелинг

Сообщение Шлеин Александр » Вторник 07.04.2009 07:55

Давайте пообщаемся на тему, кто какие туннели использует и на каком оборудовании агрегатирует IPSec, PPTP, L2TP ?
Изображение
ιlιllιlιॐιlιllιlι.
一万
Аватара пользователя
Шлеин Александр
 
Сообщения: 438
Зарегистрирован: Вторник 29.01.2008 15:18
Откуда: hkey_local_machine

Сообщение Мехти Ибрагимов » Вторник 07.04.2009 17:54

Я два года пытался понять, что такое VPN. Сейчас вроде понял. Была беда с настройкой роутеров под местную сеть. Потом местный умный дядя сказал, что зря ребята бьётесь настраивая LinkSys под местные же сети, работать не будет, возьмите D-Link. Правда и D-Link не заработал. Сейчас работает Zyxel. - есть оказывается война стандартов CISCO и Microsoft и они под PPTP понимают очень разные вещи.
Для удалённой работы использую TeamViewer. Работая дома имеешь полный доступ к Каскаду на автовокзале и к АП на ПАТП. Для других - в доступе в режиме реального врнмени пользователей Каскад к Автопарку не вижу смысла. Аналитик раз в неделю сверяет данные (пока, далее будет анализ путёвок АП и Навигации, но до этого пока не дошли).
Аватара пользователя
Мехти Ибрагимов
 
Сообщения: 549
Зарегистрирован: Пятница 22.06.2007 10:23
Откуда: Домодедовское ПАТП АСУ

Сообщение Шлеин Александр » Понедельник 13.04.2009 14:44

Ну циско и майкрософт может быть.

Хочется уйти в опен соурс, но с интерфейсом, BSD оно конечно круто олд скул и всё такое, MC и править .conf
Посему дорога к Router OS с GUI или WEB интерфейсом управления, возможность консольного подключения и т.п.

Вот нашёл http://www.vyatta.com/index.php

тока пока попробовать не могу, на виртуальной машине как-то криво "запускается".

Так же обнаружен интересный BSD based дистрибутив
http://m0n0.ch/wall/

off Ещё замечен интересный BSD based дистрибутив FreeNAS
Изображение
ιlιllιlιॐιlιllιlι.
一万
Аватара пользователя
Шлеин Александр
 
Сообщения: 438
Зарегистрирован: Вторник 29.01.2008 15:18
Откуда: hkey_local_machine

Сообщение Шлеин Александр » Понедельник 13.04.2009 14:56

Мехти Ибрагимов
А местные сети это не Ethernet? Почему не работало разобрался?
Изображение
ιlιllιlιॐιlιllιlι.
一万
Аватара пользователя
Шлеин Александр
 
Сообщения: 438
Зарегистрирован: Вторник 29.01.2008 15:18
Откуда: hkey_local_machine

Сообщение Мехти Ибрагимов » Понедельник 13.04.2009 19:22

В данном случае местная сеть это VPN с крайне ограниченным набором совместимых (изученным ими роутеров). Крайне мало информации. Стоят какие-то линуксовые сервера. Внятно из местных спецов ничего не выудишь. Плюнул просто. Работает относительно стабильно и ладно, ну и нет, физически, возможности становиться сетевым гуру.
Аватара пользователя
Мехти Ибрагимов
 
Сообщения: 549
Зарегистрирован: Пятница 22.06.2007 10:23
Откуда: Домодедовское ПАТП АСУ

Сообщение Шлеин Александр » Понедельник 13.04.2009 22:29

Мехти Ибрагимов
UTM биллинг? от NetUP?
как правило это PPTP без шифрования, поддерживаться должно всем чем не лень, в том числе и провайдер должен быть заинтересован в поддержке оборудования.
Изображение
ιlιllιlιॐιlιllιlι.
一万
Аватара пользователя
Шлеин Александр
 
Сообщения: 438
Зарегистрирован: Вторник 29.01.2008 15:18
Откуда: hkey_local_machine

Сообщение Мехти Ибрагимов » Вторник 14.04.2009 19:31

Провайдер в тот момент был монополистом и клал на всё, вплоть до отключения Инета на пару дней без объяснений.
Сейчас они рвут когти, но мне уж от них и отказываться лень, что ли. Хоть абы как работают.
Столько здоровья потрачено было на запуск этого дерьма. Да всё скорее, в режиме реального времени всегда.
Хотя бы то, что с тех эпохальных времён у меня лежит три роутера LinkSys и два D-Link. А заработал с ними толко Zyxel 330. Тот же LinkSys покупал галопом в Инетмагазине, срочно, перед самым Новым годом, нигде роутеров нет, цены бешеные, плевать, МТА требует. Давай скорее, а то 10 льготников за день карточки на USK не отметят. 2 января Шведов приезжает, почему народ отпустил на каникулы. Почему данные в объёме 10-15 записей в день ежедневно не поступают в МТА.
Поэма, блин.
Аватара пользователя
Мехти Ибрагимов
 
Сообщения: 549
Зарегистрирован: Пятница 22.06.2007 10:23
Откуда: Домодедовское ПАТП АСУ

Сообщение Шлеин Александр » Вторник 14.04.2009 22:58

Мехти Ибрагимов
Действительно поэма. Помню-помню, 2-ого января дежурил, учил на 10ти терминалах тётек данные снимать.

Кстати, вот неплохие вещички
http://www.roc-noc.com/

Тоже и доступное в нашей раше

http://www.mikc.ru/catalog.php?id_catalog=2

По опыту общения с RouterOS (MikroTik), могу сказать, что хорошая стабильная платформа для реализации, правда я её на десктопном РС крутил, щас вот чёто-то больше интереса вызывают RouterBoard с своими прелестями (низкое потребление э-ва ~5-10 Вт, наличие консольного последовательного порта и мизерные габариты).

Собстна к чему это я.... Провайдера я задумываюсь менять :)

В дополнение тут можно ознакомится с ценами на уровни лицензий.
http://wiki.mikrotik.com/wiki/License_levels

Выглядит очень вкусно копеечной ценой, несмотря на наличие в сети краденых дистрибутивов.


По поводу PPTP тунелей, обеспечивают ли они достаточную защиту передаваемых данных? Я конечно понимаю, что VPN с наскока не пробьёшь и это должна быть целенаправленная сетевая атака, да и глобальный государственный сниффер СОРМ-2 тоже существует. Но всё же "молекулы" для общего развития тоже интересны. :)


Polak Вы как гуру ИТ дел что-нибудь прокомментируете?
Изображение
ιlιllιlιॐιlιllιlι.
一万
Аватара пользователя
Шлеин Александр
 
Сообщения: 438
Зарегистрирован: Вторник 29.01.2008 15:18
Откуда: hkey_local_machine

Сообщение Олег Могилевцев » Среда 15.04.2009 11:01

Шлеин Александр писал(а):Polak Вы как гуру ИТ дел что-нибудь прокомментируете?

Применяем маршрутизаторы Allied Telesis AR-7*, AR-4*. Строим VPN-ы, как для соединения точек, так и для удаленного доступа клиентов в сеть. IPSec L2TP.
Аватара пользователя
Олег Могилевцев
pit
pit
 
Сообщения: 69
Зарегистрирован: Четверг 07.06.2007 14:11
Откуда: Полак АйТи

Сообщение Шлеин Александр » Четверг 16.04.2009 07:39

Олег Могилевцев
PPTP не используете?
Пробовали-ли конфигурации с резервным каналом на втором WAN порте?
Косяки в WEB морде устройства не замечены? Или через консоль настраиваете?
Какие плюсы/минусы в сравнении с программными реализациями и продуктами других брендов? Или просто другое не пробовали и это отработанный вариант?

В обще, опишите впечатления сложившиеся от работы с телесин и иным оборудование. Мне вот всё время CISCO навязывают, но я чёт отчасти антисемит циски.
Изображение
ιlιllιlιॐιlιllιlι.
一万
Аватара пользователя
Шлеин Александр
 
Сообщения: 438
Зарегистрирован: Вторник 29.01.2008 15:18
Откуда: hkey_local_machine

Сообщение Олег Могилевцев » Четверг 16.04.2009 20:14

Шлеин Александр писал(а):PPTP не используете?

Нет http://ru.wikipedia.org/wiki/PPTP
Шлеин Александр писал(а):Пробовали-ли конфигурации с резервным каналом на втором WAN порте?

Много раз. Автоматически переходит на резервный при аварии основного (и обратно).
Шлеин Александр писал(а):Косяки в WEB морде устройства не замечены? Или через консоль настраиваете?

Косяки WEB-интерфейса отсутствуют напрочь в связи с отсутствием WEB-интерфейса (вернее, он присутствует, но мы его выключаем и даже не знаем, как он выглядит). Технология простая и, пожалуй, единственно правильная - создается файл конфигурации на компьютере (соответственно, управление версиями, авторство изменений, перенос фрагментов кода, сравнение и другие приемы, свойственные программированию, а не клацанью мышкой по галочкам), который потом переносится в файловую систему устройства, конечно, удаленно.
Шлеин Александр писал(а):Какие плюсы/минусы в сравнении с программными реализациями и продуктами других брендов? Или просто другое не пробовали и это отработанный вариант?
В обще, опишите впечатления сложившиеся от работы с телесин и иным оборудование.
Мне вот всё время CISCO навязывают, но я чёт отчасти антисемит циски.

"++" работает почти все и почти всегда. Очень надежный. Поскольку не программный (т.е. не развернут на компьютере с какой-нибудь ОС), то не зависит ни от работоспособности машины, ни от проблем работоспособности и совместимости с ОС, т.е. ни от чего, кроме себя. АТ - оборудование премиум-класса (но меньше премиум, чем Cisco, потому цена более разумная), потому, конечно, намного выше уровнем, чем, скажем, DLink (которое я, например, вообще за оборудование не считаю - тренажеры для начинающих мазохистов, один только перевод документации с китайского на английский чего стоит :evil:). Почти в той же категории (по соотношению цена/качество), что AT, выступает Linksys (о котором имеем высокое мнение), но поскольку он, в основном, специализируется на домашних и SOHO продуктах, ждать от него бизнес-маршрутизатор с необходимым функционалом не приходится. Ну, и, вариант отработанный, конечно.
"--" нужно знать и уметь, кстати, от Cisco мало отличается.
Про Cisco - зря. Вообще, дорогое сетевое оборудование - это качественное сетевое оборудование. Ущерб от работы некачественного сетевого оборудования может быть гигантским и свести на нет всю экономию. Не говоря о том, что постоянный труд системного администратора (включая, по написанию постов в этот форум, на тему, кто, как, и каким манером ...) стоит денег.
Аватара пользователя
Олег Могилевцев
pit
pit
 
Сообщения: 69
Зарегистрирован: Четверг 07.06.2007 14:11
Откуда: Полак АйТи

Сообщение Шлеин Александр » Пятница 17.04.2009 09:00

Олег Могилевцев

У меня статистический скажем так опрос. Делал много на чём. SOHO коробки конечно да, изврат. Делал на 4,1 bsd, ubuntu, дистрибутивах-маршрутизаторах. Подводных камней особенных не было.

свойственные программированию

Ну тут не согласен. Это конфигурирование, система команд, или правка нужных конфигов в случае bsd ppp.conf natd.conf и так далее.

Насчёт циски, считаю, что она нужна там где нужна, в больших сетях с хорошей загрузкой. Программный маршрутизатор между прочим штука хорошая, но габариты и энерго потребление выше.

Пробовали-ли конфигурации основной-резервный с внешним адресом? Вот думаю как лучше реализовать переключение на запасной канал с сохранением работоспособности из вне.

На wiki читал. Хочется услышать устное сравнение протоколов туннелирования основанное на личном опыте, энциклопедию читать оно конечно хорошо.


Linksys....

http://www.thg.ru/network/200405231/
обзор конечно лохматого 2004 года, но ложка дёгтя там есть
Позиционируется производителем как бизнесс решение
http://www-ru.linksys.com/servlet/Satel ... 3126117B03
Можт конечно глюк веб морды, но ввод полных сетевых настроек должен поддерживаться в первую очередь.

Насчёт аллайдов, народ жаловался, что заявленное кол-во vlan у коммутаторов не соответствует действительности, настораживает, то что производитель завышает цифры.

Тогда выходит что Cisco в энтерпрайз, программные реализации на Linux и BSD в остальные массы.
Изображение
ιlιllιlιॐιlιllιlι.
一万
Аватара пользователя
Шлеин Александр
 
Сообщения: 438
Зарегистрирован: Вторник 29.01.2008 15:18
Откуда: hkey_local_machine

Сообщение Олег Могилевцев » Суббота 18.04.2009 16:58

Шлеин Александр писал(а): Пробовали-ли конфигурации основной-резервный с внешним адресом? Вот думаю как лучше реализовать переключение на запасной канал с сохранением работоспособности из вне.

Что такое сохранение работоспособности извне?
Аватара пользователя
Олег Могилевцев
pit
pit
 
Сообщения: 69
Зарегистрирован: Четверг 07.06.2007 14:11
Откуда: Полак АйТи

Сообщение Шлеин Александр » Воскресенье 19.04.2009 01:48

Олег Могилевцев

А это к примеру когда у вас веб, почто сервер и прочие требующие статичного IP не сваливаются при переключении на резерв канал. Думаю динамический днс вроде выход.
Изображение
ιlιllιlιॐιlιllιlι.
一万
Аватара пользователя
Шлеин Александр
 
Сообщения: 438
Зарегистрирован: Вторник 29.01.2008 15:18
Откуда: hkey_local_machine

Сообщение Олег Могилевцев » Воскресенье 19.04.2009 20:31

Шлеин Александр писал(а): когда у вас почто сервер
Все просто:
@ MX 10 AddressOfMainProvider.ru. ; адрес Вашего узла, выданный основным провайдером
@ MX 20 AddressOfBackupProvider.ru. ; адрес Вашего узла, выданный резервным провайдером
Шлеин Александр писал(а): когда у вас веб, и прочие требующие статичного IP не сваливаются при переключении на резерв канал
Все уже не просто: по стандарту Интернета нужна многоинтерфейсная (multihomed) автономная система и поддержка на стороне клиента BGP.
Шлеин Александр писал(а): Думаю динамический днс вроде выход.
Может, и выход, пробуйте... По мне проще для таких вещей купить внешний хостинг, где всё, что нужно, уже сделано.
Аватара пользователя
Олег Могилевцев
pit
pit
 
Сообщения: 69
Зарегистрирован: Четверг 07.06.2007 14:11
Откуда: Полак АйТи

След.

Вернуться в Будни сисадмина

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 7

cron