zorgzerg Feb 7 2012 at 07:20

Еще раз про IPSec, racoon и стереотипное мышление

2 min

8.7K

System administration*

Comments 26

Sicness Feb 7 2012 at 08:06

Вы меня простите, но все же этот случай все же можно было бы оставить комментарием :)

zorgzerg Feb 7 2012 at 09:10

Возможно, просто буков очень много показалось

Zeberty Feb 7 2012 at 08:20

Сам столкнулся с подобной проблемой, только у меня туннели зависали на «специальнообученном устройстве». Хотелось бы поинтересоваться у автора — бесперебойная работа наблюдается только с аппаратами LinkSys или D-link и 3COM тоже нормально работают?

zorgzerg Feb 7 2012 at 09:11

Все устройства функционируют нормально, да, и 3СОМ в том числе

Zelgadis Feb 7 2012 at 08:27

" Статья" о том как вы не осилили енота, но до последнего не признавались?

zar0ku1 Feb 7 2012 at 08:39

3-4 раза подвисания — это для вас нормально? /facepalm простите меня, но это писдец
из-за чего подвисания?

P.S. вы явно ниасилии енота

zorgzerg Feb 7 2012 at 09:33

Ну что тут можно сказать, долго курили и разбирались, много всего прочитано и опробовано, так что если кто-нибудь на моей площадке это смог бы сделать — 100% да, а так конечно шанс остается, но не думаю

zar0ku1 Feb 7 2012 at 09:38

У меня было реализовано головной + 7 филиалов, везде FreeBSD.
6 коннектов в пределах города, и 2 на материк
падали только на материк, и то по причине обрыва кабеля, а так за 2 года, НЕ БЫЛО НИ ЕДИНОГО РАЗРЫВА!!! (с)

navion Feb 7 2012 at 10:51

Как ваш комментарий опровергает написанное в топике, учитывая что проблема заключается во взаимодействии FreeBSD со сторонними реализациями IPSec?

zar0ku1 Feb 7 2012 at 12:14

Это пример того что FreeBSD-FreeBSD дружат отлично, а вот железки типа dlink, 3com etc подводят

zorgzerg Feb 7 2012 at 12:17

Так и пост вобщем-то об этом :) Но вы говорите что я не осилил енота, потому согласитесь есть разница в реализации

zar0ku1 Feb 7 2012 at 12:19

Тогда извиняюсь, но все равно не пойму, почему не использовать правильное решение?
да оно дороже, но его можно легко и красиво преподнести начальству и они дадут вам денег, и гемор у вас убавится

navion Feb 7 2012 at 16:30

Если железки соединяются друг с другом, а с FreeBSD возникают проблемы — значит проблема в последней. Впрочем, без дебага и настроек нельзя сказать это наверняка.

zorgzerg Feb 7 2012 at 12:10

А… подобная схема у меня была развернута в другой фирме, два офиса были соединены енотами на BSD в пределах одного города, только провайдеры разные, тоже не припомню проблем каких-либо, а вот с SOHO роутерами так и не смогли победить, к сожалению

zar0ku1 Feb 7 2012 at 12:18

Ну дык про это и речь, купите неттоп за 7р и будем вам счастье, да подороже, но стабильно

zorgzerg Feb 7 2012 at 12:26

не стоят эти 3 разрыва в месяц такого удорожания, учитывая что магазины фактически на оффлайн системах, и часик без корпоративной сетки посидеть могут только так. Всего одно рабочее место для администратора торговой точки, почту почитать и раз в месяц в терминалке сформировать отчеты в 1С, просто об этом стоило упомянуть в посте, я сразу как-то не подумал об этом просто :)

zar0ku1 Feb 7 2012 at 12:30

ну тогда понятно, вы же не рассказываете
у меня точки были на терминалах до головного офиса и оборот точке 1-2 ляма в день
если упала связь — тебя в клочки порвут

zorgzerg Feb 7 2012 at 12:49

да-да, я ж говорю, не подумал. нужно было лучше описывать инфраструктуру :)

zorgzerg Feb 7 2012 at 09:37

Ну и кстати, 3-4 — вполне нормально, особенно учитывая качество интернетов в некоторых городах. это количество отказов на месяц вообще, а не на один роутер

zar0ku1 Feb 7 2012 at 10:13

я живу на Сахалине, у нас один из самых дорогих и некачественных интернетов habrahabr.ru/blogs/personal/67607/#comment_1912079 вот список тарифов и цен на то время

что ж такое происходит что вам приходится 3-4 раза вмешиваться? как именно вмешиваетесь?

zorgzerg Feb 7 2012 at 12:07

Если розница сообщает, что связи до магазина нет, смотрим статус канала в админке удаленного роутера, если статус in negotiating, значит поможет только полная перезагрузка роутера, но это делается достаточно быстро

zar0ku1 Feb 7 2012 at 12:11

а если вы далеко? и некому подойти? попробуйте поставить FreeBSD — FreeBSD и проверить

zorgzerg Feb 7 2012 at 12:22

Так никому и ненадо подходить, мы сами дрыгаем роутеры, через интернет. На каждой точке реальный IP и всегда четко известно где кто. заходишь через вебку и перезагружаешь… в чем проблема то?! А вот если прошивка слетела (один раз такое было) или провод порвали… тут уж ничего не попишешь — вызываем подрядчика, который оказывает услуги «на месте». А разворачивать BSD сервер в каждом магазине — это простите бред. Все эти сервера так или иначе нужно админстрировать, следить за состоянием HDD, комп для этих целей даже самый простой и слабый будет дороже SOHO-роутера раза в 3, электричества будет кушать больше… короче проблем получаем больше, чем преимуществ

zar0ku1 Feb 7 2012 at 12:28

Если нет возможности перегрузить через вебку, если выходной и вы на пляжу?
Ну бред — не бред, я рассказал как у меня было, комп 7тысяч стоит, аптаймы по 500-600 дней были, потом перешли на единого провайдера и пробросили отдельный влан, поэтому сервера ушли

amarao Feb 7 2012 at 09:29

Пост в стиле «ххх работал плохо» без раздела про tcpdump и ручную отладку звучит не убедительно.

ЗЫ На предыдущей работе тунели держатся циской (IPSec + GRE), о «зависаниях каналов» вообще речь не идёт. Реконнектятся да, постоянно. Пользователи этого не замечают уже лет пять как.

zorgzerg Feb 7 2012 at 09:35

Эээм… не сохранилось просто ничего о tcpdump и о прочей ручной отладки, уже год как работаем по новой схеме и в ус не дуем.