Еще раз про IPSec, racoon и стереотипное мышление

    Поводом для написания этого поста стала прочитанная мною сегодня статья хабраюзера sharptop. Просто начал писать комментарий, но он оказался очень длинным, итак: сказ о том, как мы енота разоблачали.

    Когда у нас открывалась розничная сеть, магазины увязывались с головой точно по такому же принципу: FreeBSD 7.0 + IPSec + какой-нибудь-роутер-с-поддержкой-айписек. Изначально выбор пал на 804 D-Link, но с ним не пошло, тестовый образец показывал не менее 400ms пинга через шифрованный канал, что было, по понятным причинам, абсолютно неприемлемо (возможно был бракованый аппарат, сейчас уже не выяснить, мы его где-то потеряли). В итоге стали приобретать 3COM OfficeConnect, они давали нормальный пинг. Удручало лишь одно: туннели заваливались с завидной регулярностью, и что мы не делали, автоматически они переподключаться не желали. Будучи свято уверены в непогрешимости BSD и силе опенсорса, винили, конечно, 3COM и переход на аппараты от LinkSys это подтвердил: отвалов на линксисах было гоораздо меньше, к сожалению найти их было проблематично, ибо к тому времени они уже продались цискам, и выпуск тех моделей был прекращен — шерстили по складам по всей стране.

    Когда численность точек подключения увеличилась до 20ти, терпеть это не было уже никакой возможности, технарь все утро занимался только поднятием туннелей вручную, причем во многих случаях кнопка reconnect не помогала, конечные устройства подвисали в состоянии in negotiating, и выручал только полный ребут устройства. Курения логов ракуна свет на суть проблемы не проливали. В итоге, стали возникать подозрения, что проблема все-таки в центральном офисе. Взяли на тест дешевый аппарат от D-Link'a DFL-260 (знаю-знаю, сам терпеть длинки не могу, но для теста же) чтобы использовать его в качестве точки входа в офис. Каково было удивление, когда отвалы каналов прекратились чуть больше чем совсем. За месяц работы (тестовый период) в рабочем режиме, было зарегистрировано что-то 3 или 4 отвала каналов (это в которые приходилось вмешиваться). Розница счастлива, технарь занялся обжиманием кабелей и инсталляцией виндовс другими интересными и интеллектуальными задачами, все довольны. Как оказалось, «дело было не в бобине» (оконечных устройствах), а именно в ipsec-tools aka racoon (ну либо мы его приготовили неправильно, но это уж хз, не особый я, возможно, специалист по варению енотов). Стоит ли говорить, что DFL-260 мы купили и запустили в боевом режиме, благо он обошелся в 12т.р. всего и, к слову, DI-804HV с ним отлично работают. Сейчас уже 28 точек подключения, проблем так же не наблюдается — не более двух-трех подвисаний туннелей в месяц. Кстати хинт: для DFL-260 в интернетах можно найти прошивку буржуйскую, в которой включены богопротивные не разрешенные в РФ криптоалгоритмы типа 3DES.

    Что этим всем я хотел сказать?! Иногда слепая вера (в данном случае в BSD и порты ея) может порядком подпортить вам жизнь. Если проблема есть — проверять нужно с обоих концов, так что, если кто-то сталкивался с подобными граблями, попробуйте переложить функцию шифрования и маршрутизации трафика в центральном офисе на специальнообученное устройство, возможно это добавит стабильности и вашей системе.

    Similar posts

    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 26

      +2
      Вы меня простите, но все же этот случай все же можно было бы оставить комментарием :)
        +1
        Возможно, просто буков очень много показалось
        0
        Сам столкнулся с подобной проблемой, только у меня туннели зависали на «специальнообученном устройстве». Хотелось бы поинтересоваться у автора — бесперебойная работа наблюдается только с аппаратами LinkSys или D-link и 3COM тоже нормально работают?
          0
          Все устройства функционируют нормально, да, и 3СОМ в том числе
          +2
          " Статья" о том как вы не осилили енота, но до последнего не признавались?
            0
            3-4 раза подвисания — это для вас нормально? /facepalm простите меня, но это писдец
            из-за чего подвисания?

            P.S. вы явно ниасилии енота
              0
              Ну что тут можно сказать, долго курили и разбирались, много всего прочитано и опробовано, так что если кто-нибудь на моей площадке это смог бы сделать — 100% да, а так конечно шанс остается, но не думаю
                0
                У меня было реализовано головной + 7 филиалов, везде FreeBSD.
                6 коннектов в пределах города, и 2 на материк
                падали только на материк, и то по причине обрыва кабеля, а так за 2 года, НЕ БЫЛО НИ ЕДИНОГО РАЗРЫВА!!! (с)
                  0
                  Как ваш комментарий опровергает написанное в топике, учитывая что проблема заключается во взаимодействии FreeBSD со сторонними реализациями IPSec?
                    +1
                    Это пример того что FreeBSD-FreeBSD дружат отлично, а вот железки типа dlink, 3com etc подводят
                      0
                      Так и пост вобщем-то об этом :) Но вы говорите что я не осилил енота, потому согласитесь есть разница в реализации
                        0
                        Тогда извиняюсь, но все равно не пойму, почему не использовать правильное решение?
                        да оно дороже, но его можно легко и красиво преподнести начальству и они дадут вам денег, и гемор у вас убавится

                        –1
                        Если железки соединяются друг с другом, а с FreeBSD возникают проблемы — значит проблема в последней. Впрочем, без дебага и настроек нельзя сказать это наверняка.
                      0
                      А… подобная схема у меня была развернута в другой фирме, два офиса были соединены енотами на BSD в пределах одного города, только провайдеры разные, тоже не припомню проблем каких-либо, а вот с SOHO роутерами так и не смогли победить, к сожалению
                        0
                        Ну дык про это и речь, купите неттоп за 7р и будем вам счастье, да подороже, но стабильно
                          0
                          не стоят эти 3 разрыва в месяц такого удорожания, учитывая что магазины фактически на оффлайн системах, и часик без корпоративной сетки посидеть могут только так. Всего одно рабочее место для администратора торговой точки, почту почитать и раз в месяц в терминалке сформировать отчеты в 1С, просто об этом стоило упомянуть в посте, я сразу как-то не подумал об этом просто :)
                            0
                            ну тогда понятно, вы же не рассказываете
                            у меня точки были на терминалах до головного офиса и оборот точке 1-2 ляма в день
                            если упала связь — тебя в клочки порвут
                              0
                              да-да, я ж говорю, не подумал. нужно было лучше описывать инфраструктуру :)
                    0
                    Ну и кстати, 3-4 — вполне нормально, особенно учитывая качество интернетов в некоторых городах. это количество отказов на месяц вообще, а не на один роутер
                      0
                      я живу на Сахалине, у нас один из самых дорогих и некачественных интернетов habrahabr.ru/blogs/personal/67607/#comment_1912079 вот список тарифов и цен на то время

                      что ж такое происходит что вам приходится 3-4 раза вмешиваться? как именно вмешиваетесь?
                        0
                        Если розница сообщает, что связи до магазина нет, смотрим статус канала в админке удаленного роутера, если статус in negotiating, значит поможет только полная перезагрузка роутера, но это делается достаточно быстро
                          0
                          а если вы далеко? и некому подойти? попробуйте поставить FreeBSD — FreeBSD и проверить
                            0
                            Так никому и ненадо подходить, мы сами дрыгаем роутеры, через интернет. На каждой точке реальный IP и всегда четко известно где кто. заходишь через вебку и перезагружаешь… в чем проблема то?! А вот если прошивка слетела (один раз такое было) или провод порвали… тут уж ничего не попишешь — вызываем подрядчика, который оказывает услуги «на месте». А разворачивать BSD сервер в каждом магазине — это простите бред. Все эти сервера так или иначе нужно админстрировать, следить за состоянием HDD, комп для этих целей даже самый простой и слабый будет дороже SOHO-роутера раза в 3, электричества будет кушать больше… короче проблем получаем больше, чем преимуществ
                              0
                              Если нет возможности перегрузить через вебку, если выходной и вы на пляжу?
                              Ну бред — не бред, я рассказал как у меня было, комп 7тысяч стоит, аптаймы по 500-600 дней были, потом перешли на единого провайдера и пробросили отдельный влан, поэтому сервера ушли
                    +1
                    Пост в стиле «ххх работал плохо» без раздела про tcpdump и ручную отладку звучит не убедительно.

                    ЗЫ На предыдущей работе тунели держатся циской (IPSec + GRE), о «зависаниях каналов» вообще речь не идёт. Реконнектятся да, постоянно. Пользователи этого не замечают уже лет пять как.
                      0
                      Эээм… не сохранилось просто ничего о tcpdump и о прочей ручной отладки, уже год как работаем по новой схеме и в ус не дуем.

                    Only users with full accounts can post comments. Log in, please.