Что нам стоит сеть построить

[xaker1]

html   сильно затрудняет чтение статьи. Уберите, пожалуйста.

[xaker1]

хм… &nbsp прошел как тэг в моем сообщении. А в статье нет

[xaker1]

Похоже в опере баг.
imglink.ru/show-image.php?id=4ade3d1e3a38a85fcf964dd0c33fb216

[kekekeks]

После nbsp надо; ставить. Без него срабатывает только если следующий символ — &

[xaker1]

Вполне возможно, но сейчас почему-то показывает как надо. Просто я проверил с осле — там nbsp показывалось, а лезть в код не было настроения.

[xaker1]

т.е. в осле оба nbsp как пробел показывались.

[inkvizitor68sl]

Микротиков на вас нет!
Но статья супер) Спасибо. Особенно радует то, что про OpenBSD не забывают.

[Darka]

DMVPN же.

[RussianNeuroMancer]

Так вроде в OpenBSD и n2n есть, с шифрованием Twofish.

[kekekeks]

Я правильно понимаю, что вы внутренний корпоративный трафик шлёте через интернеты без шифрования?

[kabachok]

Скоро все так будем делать, пора привыкать.

[kekekeks]

Обоснуйте, пожалуйста. Во многих случаях предприятие в законодательном порядкеобязано подвергать данные шифрованию при передаче. При работе с теми же персональными данными, например.

[elve]

А еще говорят, что я не понимаю сарказма (Шелдон)

[kabachok]

Ога, только ФСБ нашему на это насрать и нам остается довольствоваться Cisco с NPE лицензиями.

[mcconfig]

В данном случае да, шифрования нет, напишу про него в следующей статье, а если покурить man gif, думаю что вам не составит труда разобраться как это сделать.

[elve]

Тривиальная настройка туннелей. Даже динамической маршрутизации нету… Какую светлую мысль автор хотел до нас донести?

[erlioniel]

Автор хотел поделиться готовым кейсом для менее опытных пользователей. С чем с успехом справился.

[digreen]

Менее опытные пользователи пойдут дружным строем пользовать OpenBSD???

[curlydevil]

Могу ошибаться, но мне кажется что даже быстрей будет развернуть на железяке m0n0wall и там в уютненьком web-интерфейсе вбить нужные данные… Да и vpn сервер там поднимается на раз-два…

[Igg]

Использую PFsense, поделитесь мнением о monowall пожалуйста.

[curlydevil]

Ну, PFsense это, вроде как, надстройка над m0n0. Мнения о m0n0 хорошее — стоит в роли шлюза на 2х серверах с дхцп и впн сервером. На одном из них с captive portal. Сбоев в сети по вине сервера не было еще ни разу, да и проблем с сетью тоже…

[ekungurov]

Не надстройка, а параллельные проекты. В pfSense есть возможность доустанавливать доп. софт в виде модулей (по крайней мере там есть squid). m0n0wall же я не щупал.

[curlydevil]

Ну, я имел в виду, что pfsense, вроде как, «вырос» из m0n0. Я еще пытался щупать более суровую вещь — zeroshell. Мощно, много чего есть, но… интерфейс там сложноват… Плюс к доп. фичам в виде графиков и мелких свистелок надо ключи брать у разработчика (за $ либо «услугу» типа перевода оф. статей по проекту на другие языки, что, например, я делал).
Думаю, если автор не остановится в разработке — можно будет даже юзать, но пока что оно сделано рубанком. Но все-же даже «пощупать» — тоже интересно. Интегрированная прозрачная прокся с ClamAV — это прикольно…

[ranzhe]

Если сложноват ZeroShell, пощупайте Zentyal. Он более дружественен в этом плане, как мне кажется.

[curlydevil]

Спасибо, гляну на досуге.

[ekungurov]

Zentyal — это бывший eBox на базе Ubuntu Server. Веб-интерфейс забавный и красивый, сервисов с него управляется достаточно много, но настройки каждого сервиса в отдельности скудны.

[solarfly]

На раз-два — есть такое. Но все же слышал жалобы на глюки, которые решались только сменой версии.
Не всех устраивает FreeBSD, можно долго спорить по этому поводу, но в плане секьюрности доверия больше к OpenBSD, про которую можно забыть вообще на десятилетие.
Да и в конце концов, это же веб-морда, хочется иногда самому работу сделать, своими руками и быть за все спокойным.

[curlydevil]

Ну, на самом сервере, если не отключено в веб-морде, можно тоже в консоли посидеть — этого никто не отнимал ;)

[flacon]

За что я люблю *nix, так это за то что в 2011 году CPU 1,7Ghz, RAM 512Mb, HDD 20Gb, 2x Lan100Mb
все еще может называться ПК средней конфигурации!

[dma]

OpenBSD 4.8 появилась в ноябре прошлого года.

[solarfly]

Для большинства офисных нужд такой конфигурации хватит за глаза. И для меня странно выглядят многоядерные монстры, которые в некоторых организациях стоят в бухгалтерии. Дело не в никсах, которые потребляют только необходимые ресурсы, а в рынке, который убеждает, что такие машины уже ни на что не годны.

[hutoroff]

Спасибо за интересную статью. Думаю, в хозяйстве это знание пригодится.

[KASYANOV]

Статья действительно хорошая.
А мне одному кажетcя, что все больше и больше используют железки, типа длинка, линсиса и т.д.?
Они дешевые и в принципе надежные, там вам все что душе угодно, от PPTP до IPSec.
Или не комильфо?

[akshakirov]

мелкие SOHO девайсы на офисном трафике будут отмирать, а более приличные железки от зюхеля и длинка, стоить будут дороже старого писюка с OpenVPN.

[KASYANOV]

Позвольте не согласиться.
Допустим если под тарыми писюком имеете ввиду P3-4, который по определению ничего не стоит, то смысл понятен.
А если удариться в конкретику, то тот же длинк с 804HV или 808HV стоит 2500руб. Ну если Вам хочется все прелести VPN на 100 каналов IpSec и фаервол на 100 правил, то подойдет LinkSys RV082 за 10 т.р.
Согласитесь не дорого за VPN.

[akshakirov]

железки этой ценовой категории не живут под нагрузкой, не давайте маркетологам себя обманывать.

[KASYANOV]

Давайте тогда полемику потихоньку закруглять. Маркетинг на самом деле не причем, я сам поставил кучу различных железок в основном для VPN и могу голову дать на отсечение что пресловутый «RV082 за 10 т.р» лично у меня держит 16 каналов (16 офисов) уже более трех лет.
Виснет? Конечно, раз, два в квартал вешается, ребутим.
Старенькие PC вечные и не вешаются? )
Вообще, не суть, выбор VPN, это дело каждого, личное и интимное)

[akshakirov]

«RV082 за 10 т.р» это уже другой сегмент, простенький новый системник можно уложить в 4-5 тысяч рублей, т.ч. роутер на писюке выходит в двое дешевле и в разы функциональнее, а главное его проще интегрировать в уже существующую сеть.

[amaxcz]

и чего только люди не делают чтобы не использовать Debian/Cisco © :)

Хорошая статья, интересный прототип, показывающий условную начальную жизнеспособность OpenBSD…

Мне кажется что роутеры уровня WRT54-GL с прошивкой Tomato-vpn позволяет получить надежнее и стабильнее решение чем использовать десктопные ящики без UPS с унылой FS от OpenBSD…
:)

[saddy]

Как уже сказали в комментах выше, стоимость железки с конфигурацией которая сможет выдержать ту же нагрузку что и железо в статье стоит примерно в 1,5-2 раза дороже. И даже железка за 10-15к вполне может не иметь больше 1-2х wan… или другие функциональные ограничения… (кстати яркий пример, в интернет-центре от Зухеля, количество статических маршрутов ограничено 14цатью :)

[dma]

># vi /etc/rc.conf (Включаем PF)
>  pf=YES

Это необязательно. PF уже достаточно давно включен по-умолчанию.

[Karroplan]

от реальности эту сеть отделяют пара проблем:
1) ip-адреса у споков (не центра) могут быть динамические. такое очень часто у компаний с множеством маааленьких офисоф по всему интернету
2) резервирование центрального узла. вот отключится у вас интернет в нем и усё!

[Karroplan]

и к слову… в первом пункте, ip-адреса споков могут быть не только динамические, но ещё и «серые», не маршрутизируемые в интернете. это когда в инет местный «Нижневартовск-вася-пупкин-телеком» вас выпускает из-за nat.

[rengel_system]

Что будем делать когда офисов/точек подключения станет хотя бы 5, 10, 15? :)

[mcconfig]

Вот так сейчас все работает у меня, думаю что на данном этапе можно еще 2-3 удаленных офиса подключить:

ifconfig
gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
groups: gif
physical address inet aaa.aaa.aaa.aaa --> bbb.bbb.bbb.bbb
inet 192.168.255.1 --> 192.168.255.2 netmask 0xfffffffc
inet6 aaa::aaa:aaa:aaa:aaa%gif0 -> prefixlen 64 scopeid 0x7
gif1: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
groups: gif
physical address inet aaa.aaa.aaa.aaa --> ccc.ccc.ccc.ccc
inet 192.168.255.5 --> 192.168.255.6 netmask 0xfffffffc
inet6 aaa::aaa:aaa:aaa:aaa%gif1 -> prefixlen 64 scopeid 0x8
gif2: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
groups: gif
physical address inet aaa.aaa.aaa.aaa --> ddd.ddd.ddd.ddd
inet 192.168.255.9 --> 192.168.255.10 netmask 0xfffffffc
inet6 aaa::aaa:aaa:aaa:aaa%gif2 -> prefixlen 64 scopeid 0x9
gif3: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
groups: gif
physical address inet aaa.aaa.aaa.aaa --> eee.eee.eee.eee
inet 192.168.255.13 --> 192.168.255.14 netmask 0xfffffffc
inet6 aaa::aaa:aaa:aaa:aaa%gif3 -> prefixlen 64 scopeid 0xa
gif4: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
groups: gif
physical address inet aaa.aaa.aaa.aaa --> fff.fff.fff.fff
inet 192.168.255.17 --> 192.168.255.18 netmask 0xfffffffc
inet6 aaa::aaa:aaa:aaa:aaa%gif4 -> prefixlen 64 scopeid 0xb
gif5: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
groups: gif
physical address inet aaa.aaa.aaa.aaa --> ggg.ggg.ggg.ggg
inet 192.168.255.21 --> 192.168.255.22 netmask 0xfffffffc
inet6 aaa::aaa:aaa:aaa:aaa%gif5 -> prefixlen 64 scopeid 0xc
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500
groups: tun
inet 192.168.199.1 --> 192.168.199.2 netmask 0xffffffff

И текущие графики из монитоинга:







А вот для 10-15 надо будет менять тактику.