Pull to refresh

Создание point-to-multipoint тоннелей на базе инкапсуляции GRE в Linux 2.6

Lumber room
В ОС Linux встроена поддержка двух типов тоннелей: ipip и gre. В том виде, в котором тоннели традиционно используются в системе, без разницы, какой из них использовать: они оба дают в точности одинаковые накладные расходы к пакетам, посылаемым в тоннель IPv4-in-IPv4 (специально проверял), одинаково защищаются средствами IPsec и занимают одинаковое процессорное время для обработки. Однако, это разные типы тоннелей, и возможности gre значительно более широкие.
К сожалению, нигде в интернете не описывается очень удобная и замечательная особенность gre-тоннелей, и большинство (если не все) администраторов Linux не знают о такой возможности, как mGRE-тоннели. К счастью, мы намереваемся восполнить этот недостаток :-)

Читать дальше →
Total votes 21: ↑18 and ↓3 +15
Views 7.1K
Comments 6

ASN GateWay — шлюз доступа WiMAX

Network standards *
Этим небольшим топиком я завершаю цикл статей (раз, два) о технологии WiMAX.
Статья будет посвящена по большей части центральному устройству сети: ASN-GW (что в переводе на общечеловеческий Access Service Network GateWay)

Что к чему
Total votes 25: ↑24 and ↓1 +23
Views 5.9K
Comments 30

Не совсем обычное VPN соединение обычными средствами

Network technologies *
Искал интересную тему, заслуживающую внимания, чтобы получить инвайт на Хаброхабре и вот нашёл. Такой особенный случай мне пришлось недавно реализовать.

Постановка задачи: Получить доступ к узлам удалённой сети.


Здесь мы будем говорить о двух сетях, которые нужно объединить, одну из которых я буду называть «моя офисная сеть», а другую «удалённая сеть».
Системный администратор удалённой сети отказывается вносить наименьшие изменения, для подключения и единственное что можно сделать — это поместить своё оборудование в удалённой сети. Выход в интернет из этой сетиv4 производится через шлюз, который натит в мир. Нужно построить тоннель, между двумя офисами, чтобы узлы моей офисной сети могли получать доступ к узлам удалённой сети, при минимальных изменениях c обеих сторон.

Для выполнения задачи объединения двух сетей и построения виртуального тоннеля нужно использовать Virtual Private Network. В ходе поиска подходящего варианта подключения, для себя разделил VPN на два вида: клиент-серверный вариант и равноправный. В следующих моментах заключается принципиальное отличие:
  • В равноправном VPN, использующем глобальную сеть интернет, нужно иметь один реальный IP адрес, для каждого из узлов (минимум 2-ва узла). Здесь соединение может быть инициировано каждой из сторон (именно поэтому я так и обозвал его, равноправный), их может быть больше двух.
  • В клиент-серверном варианте, использующем глобальную сеть интернет, нужен только один реальный IP адрес, для сервера. Соединение здесь происходит по требованию клиента, сервер всегда ожидает, клиентов может быть больше одного.

Примечание1: В обоих вариантах должно соблюдается одно из условий (для клиент-серверного варианта, только для сервера):
  • A. VPN peer, должен находится непосредственно на шлюзе (должно быть установлено дополнительное ПО, или устройство должно быть способно устанавливать нужный тип VPN соединений).
  • B. Если же нет возможности запустить VPN peer непосредственно на шлюзе, нужно его сконфигурировать так, чтобы он смог пропускать порт на другое устройство, настроенное как VPN peer.


Читать дальше →
Total votes 12: ↑8 and ↓4 +4
Views 152K
Comments 16

Кошерная организация туннелей в OpenWRT

*nix *
Итак нам требуется организовать туннель между двумя linux-хостами, одним из которых является наш soho-роутер с этой замечательной прошивкой на борту. Сразу оговоримся, что для нас самое важное — скорость соединения и уменьшение накладных расходов. Посему, о установке пакетов которые реализуют аутентификацию, шифровку трафика, но занимают большое количество заветных килобайт в памяти роутера, мы забудем.
Читать дальше →
Total votes 16: ↑11 and ↓5 +6
Views 33K
Comments 6

Сети для самых маленьких. Часть седьмая. VPN

System administration *Network technologies *
Tutorial


Покупка заводов в Сибири была стратегически правильным решением для компании “Лифт ми Ам”. После того, как лифты стали ездить не только вверх, но и вниз, дела компании пошли… нет полетели, вверх. Лифты начали разбирать, как горячие пирожки со стола. Название уже не соответствовало действительности и было принято решение о ребрендинге. (На самом деле их замучила судебная тяжба с Моби).
Итак, под крыло ЛинкМиАп планируется взять заводы в Новосибирске, Томске и Брно. Самое время подумать о том, как это хозяйство подключить к имеющейся сети.

Итак, сегодня рассматриваем
1) Возможные варианты подключения, их плюсы и минусы
2) Site-to-Site VPN на основе GRE и IPSec
3) Большая тема: динамическая многоточечная виртуальная сеть (DMVPN) в теории и на практике.

В традиционном видео лишь ёмкая выжимка из статьи, посвящённая работе и настройке DMVPN.

Читать дальше →
Total votes 118: ↑118 and ↓0 +118
Views 574K
Comments 43

Простой Ethernet-туннель на Linux в четыре-шесть команд

Configuring Linux *Network technologies *
Sandbox
Tutorial
Краткая шпаргалка:
HOST1: ip link add grelan type gretap  local <IP1> remote <IP2>
HOST1: ip link set grelan up
HOST1: iptables -I INPUT -p gre -s <IP2> -j ACCEPT
HOST2: ip link add grelan type gretap local <IP2> remote <IP1>
HOST2: ip link set grelan up
HOST2: iptables -I INPUT -p gre -s <IP1> -j ACCEPT


Четыре команды на туннель и две на firewall (не нужны если трафик между своими серверми уже разрешен)
Это всё что нужно, дальше длинное объяснение с подробностями.
Читать дальше →
Total votes 52: ↑44 and ↓8 +36
Views 83K
Comments 35

Работа с сетью в Windows Server Technical Preview

Microsoft corporate blog
Уже месяц прошел с того момента, как была анонсирована Windows 10 Technical Preview и как был представлен Windows Server Technical Preview. Для того, чтобы увидеть произошедшие изменения, даже не нужно глубоко копаться в системах – интерфейс уже другой – вернулась кнопка пуск, нет стартового меню… На самом деле, в нашем блоге уже рассказывали об изменениях и в Windows 10, и в Windows Server Technical Preview, и даже в System Center. Я же сегодня хочу рассказать о тех изменениях, которые ожидают нас в работе с сетью. К сожалению, не все обещанные возможности можно проверить на работоспособность в технической версии – но на то это и Technical Preview. Заинтересовавшихся жду под катом.


Читать дальше →
Total votes 22: ↑18 and ↓4 +14
Views 20K
Comments 1

Поговорим о VPN-ах? Типы VPN соединений. Масштабирование VPN

IT Infrastructure *Network technologies *
Sandbox
Коллеги, здравствуйте. Меня зовут Семенов Вадим и я хочу представить статью, посвященную вопросу масштабируемости VPN-ов, причем тех VPN-ов, которые доступны для настройки в обычной корпоративной сети предприятия, а не со стороны провайдера. Надеюсь, данная статья станет справочным материалом, который может потребоваться при дизайне сети, либо при её апгрейде, либо для того, чтобы освежить в памяти принцип работы того или иного VPN-на. 
Читать дальше →
Total votes 54: ↑53 and ↓1 +52
Views 173K
Comments 39

Админские байки: в погоне за фрагментацией туннелей в оверлейной сети

Webzilla corporate blog

Лирическое вступление


Когда администраторы сталкиваются с неожиданной проблемой (раньше работало, и, вдруг, после обновления, перестало), у них существует два возможных алгоритма поведения: fight or flight. То есть либо разбиратся в проблеме до победного конца, либо убежать от проблемы не вникая в её суть. В контексте обновления ПО — откатиться назад.

Откатиться после неудачного апгрейда — это, можно сказать, печальная best practice. Существуют целые руководства как готовиться к откату, как их проводить, и что делать, если откатиться не удалось. Целая индустрия трусливого поведения.

Альтернативный путь — разбираться до последнего. Это очень тяжёлый путь, в котором никто не обещает успеха, объём затраченных усилий будет несравним с результатом, а на выходе будет лишь чуть большее понимание произошедшего.

Завязка драмы


Облако «Instant Servers» Webzillа. Рутинное обновление хоста nova-compute. Новый live image (у нас используется PXE-загрузка), отработавший шеф. Всё хорошо. Внезапно, жалоба от клиента: «одна из виртуалок странно работает, вроде работает, но как начинается реальная нагрузка, так всё замирает». Инстансы клиента переносим на другую ноду, проблема клиента решена. Начинается наша проблема. Запускаем инстанс на этой ноде. Картинка: логин по ssh на Cirros успешен, на Ubuntu — зависает. ssh -v показывает, что всё останавливается на этапе «debug1: SSH2_MSG_KEXINIT sent».

Все возможные внешние методы отладки работают — метаданные получаются, DHCP-аренда инстансом обновляется. Возникает подозрение, что инстанс не получает опцию DHCP с MTU. Tcpdump показывает, что опция отправляется, но не известно, принимает ли её инстанс.

Нам очень хочется попасть на инстанс, но на Cirros, куда мы можем попасть, MTU правильный, а на Ubuntu, в отношении которой есть подозрение о проблеме MTU, мы как раз попасть не можем. Но очень хотим.

Если это проблема с MTU, то у нас есть внезапный помощник. Это IPv6. При том, что «белые» IPv6 мы не выделяем (извините, оно пока что не production-ready в openstack), link-local IPv6 работают.
Читать дальше →
Total votes 40: ↑39 and ↓1 +38
Views 20K
Comments 35

Настойка можжевельника: готовим Juniper SRX. Часть 3: Virtual Routers

Nexign corporate blog
Tutorial
juniper — можжевельник (англ.)

Продолжаем готовить настойку из можжевельника. О том, как мы начинали, можно почитать здесь и здесь. Сегодня же немного потрогаем такую удобную штуку, как Virtual Routers, и подумаем, как ее применить с наибольшей пользой.

image

Содержание:

Часть 1: Знакомство
Часть 2: IPSec
Часть 3: Virtual Routers

В Juniper есть тип сущностей Routing Instance, предназначенный для манипуляций с трафиком (маршрутизации и инкапсуляции). RI позволяют «разделить» один роутер на несколько поменьше, при этом каждый instance будет обрабатывать трафик «по-своему», независимо от других и с разными возможностями. Это полезно для организации всевозможных VPN, когда нужно изолировать друг от друга нескольких клиентов и разрулить их по разным правилам. При этом информацией о VPN можно обмениваться с другими роутерами (например, при организации MPLS VPN).
Читать дальше →
Total votes 8: ↑8 and ↓0 +8
Views 18K
Comments 0

Магистратура за рубежом шаг за шагом

MBA Consult corporate blog Studying in IT Education abroad
image

Сегодня мы начинаем серию публикации о магистратуре за рубежом. Эта тема очень актуальна в последнее время, количество студентов, которые поступают за границу с каждым годом увеличивается. Мы постараемся затронуть самые важные и интересные вопросы.
Читать дальше →
Total votes 11: ↑11 and ↓0 +11
Views 11K
Comments 0

Магистратура за рубежом: гранты и стипендиальные программы

MBA Consult corporate blog Studying in IT Education abroad
image

Финансовые обязательства при поступлении в магистратуру за границу кажутся неподъемными: стоимость обучения, расходы на проживание, учебные пособия. Однако, не стоит забывать, что многие университеты дают стипендии свои студентам, кроме того, существует множество грантов для оплаты обучения. Итак, сегодня речь пойдет о стипендиях и грантах для магистерских программ. Напомним, что в прошлой статье мы рассказывали о стоимости магистратуры за рубежом.
Читать дальше →
Total votes 18: ↑17 and ↓1 +16
Views 30K
Comments 1

Поступление на PhD — 2-3. Языковые тесты и GRE

Studying in IT Education abroad
Предыдущим постом я начал небольшую серию, посвященную процессу поступления на аспирантскую программу в зарубежных университетах (преимущественно США, но информация может быть релевантна и в отношении других стран).

В этот раз я хотел поговорить об одной из важнейших проблем, которая возникает на пути абитуриента — языковых и не совсем экзаменах.
Читать дальше →
Total votes 12: ↑12 and ↓0 +12
Views 8.9K
Comments 5

Магистратура в Англии

MBA Consult corporate blog Studying in IT Education abroad
image

Не секрет, что магистратура в Великобритании одно из самых востребованных направлений для студентов. Сегодня мы расскажем не только о процессе поступления, требованиях, стоимости обучения, но о грантах и стипендиях.
Читать дальше →
Total votes 10: ↑10 and ↓0 +10
Views 6.6K
Comments 0

Front-door VRF. Ещё один практический пример

CBS corporate blog Cisco *Network technologies *


Привет habr! Про настройку VPN совместно с VRF на оборудовании Cisco существует много статей в Интернете. Здесь есть неплохая шпаргалка по настройке IPsec VPN в виде крипто-карт и VTI-туннелей совместно с VRF. В этой статье хабра приведён пример DMVPN с VRF. VRF даёт большую гибкость при настройке оборудования и вариантов её использования большое количество. Главное не забывать, что у нас есть такой инструмент. В моей заметке я решил рассмотреть ещё одну интересную задачу из нашей практики, для решения которой также пригодилось использование Front-door VRF для построения IPsec туннелей. Речь пойдёт про построение параллельных VPN-туннелей через разных Интернет-провайдеров и распределение трафика по этим туннелям.
Читать дальше →
Total votes 9: ↑9 and ↓0 +9
Views 19K
Comments 2

Экзамены для поступления в «бесплатную» магистратуру в США

Studying in IT Education abroad
Tutorial
Доброго времени суток, дорогие хабрачане!

В продолжении темы о поступлении в магистратуру в США, расскажу о необходимых экзаменах.

Любой желающий поступить в магистратуру в США обязан подтвердить достаточный для обучения уровень владения английским языком (IELTS/TOEFL) и общий уровень подготовки (GRE/GMAT). Для языкового экзамена есть исключения, когда человек уже проучился в американском вузе или школе, но для таких людей данная ветка даже и не нужна.

Итак, рекомендую сдавать эти экзамены поочередно: IELTS/TOEFL ==> GRE/GMAT. Потому что, второй экзамен идет сложнее, и успешная сдача второго экзамена требует как минимум upper-intermediate.

Что же все таки сдать IELTS или TOEFL? Для начала обозначим то, что 99% американских вузов принимают IELTS. И минимальный порог в среднем 6.5 баллов в общем, и как минимум 6.0 в каждой секции. Лига плюща принимает 7.0 overall и выше, в то время как для «средних» и 5.5 бывает достаточно, хотя такие вузы не предоставят вам полное финансирование скорее всего. Зато порадуют приемлемой ценой и скидками на обучение. Лично я сам сдавал IELTS и необходимо было набрать 6.5 overall. Помните в предыдущем посте я как-то говорил, что все карты легли так, чтобы я поступил именно в Бэйлор? Так вот, это единственный университет, которые не обозначили минимальный порог по секциям (во всех других вузах в каждой секции допускается на 0.5 меньше чем overall). А я завалил одну секцию =( Помню когда увидел результаты я не знал радоваться или нет, ведь не смотря на достаточный общий балл, я не знал точно примут ли заваленную секцию. Уточнив у представителей вуза удовлитворительность моего результата, я с радостью приступил к подготовке к следующему экзамену. Записался на ближайшую дату (уже через две недели) и начал подготовку.
Читать дальше →
Total votes 10: ↑10 and ↓0 +10
Views 19K
Comments 17

Цифры растут: зарегистрирована атака в 620 Gbps

WEBO Group corporate blog Information Security *
Translation


В сентябре этого года на сайт KrebsOnSecurity.com была произведена DDOS-атака большого объема и необычной природы. Атака не удалась благодаря работе команды Akamai, компании, которая обеспечивает защиту этого сайта. По данным Akamai, эта атака почти вдвое превосходила по объему самую крупную атаку до этого зарегистрированную компанией

Атака началась утром 20 сентября, и первоначально оценивалась в 665 Gbps, впоследствии в процессе анализа оказалось, что объем атаки несколько меньше – 620 Gbps. Такой объем – это во много раз больше, чем требуется для того, чтобы «уложить» большинство сайтов в интернете.

Как удалось провести такую атаку: ботнет из IoT устройств
Читать дальше →
Total votes 35: ↑31 and ↓4 +27
Views 14K
Comments 19

Виртуальная сетевая среда для тестирования сетевых протоколов. Используем QEMU+YOCTO+TAP

IT systems testing *
Sandbox


Идея создания сетевой тестовой среды возникла когда пришла необходимость запускать и отлаживать устройства с IPsec и GRE протоколами. С похожими проблемами сталкивались и разработчики strongSwan. Проблема была с прогоном unit тестов. Они приготовили виртуальную сеть на базе UML (user mode linux). В этом документе описано в общих чертах, что это такое и как работает. Подносить виртуальную сеть под UML буду при первой возможности, a на первом этапе тестовая среда была поднята на QEMU и на дистрибуциях приготовленных под YOCTO. Итак даная статья описывает: как создать свою дистрибуцию linux, поднять и настроить несколько инстанций QEMU, настроить виртуальную сеть и как пример поставить GRE туннель. Получается очень полезная штука для отладки и тестирования маршрутизаторов. Так, что всех заинтересованных приглашаю ниже.
Читать дальше →
Total votes 12: ↑11 and ↓1 +10
Views 5.8K
Comments 5

Выходим в интернет за пределами РФ: (MikroTik<->Ubuntu) * GRE / IPsec

Configuring Linux *System administration *Network technologies *Server Administration *
Позволю себе опубликовать свой опыт применения сетевых технологий в меру моей испорченности для выхода в интернет из-за пределов РФ. Не будем рассуждать о том, зачем это нужно. Надеюсь, что все всем и так понятно.

Итак, у нас есть статический публичный IP адрес, который приходит Ethernet шнуром в MikroTik RouterBOARD 750G r3 (hEX). Пробуем собрать вот такую конструкцию.


Настройку L2tp линка в рамках этой статьи я не описываю, а на схеме он нарисован только потому, что в ней упоминается.
Читать дальше →
Total votes 35: ↑31 and ↓4 +27
Views 62K
Comments 50

Настройка VPN сервера (GRE/IPSec StrongSwan, OSPF Quagga)

Configuring Linux *System administration *IT Infrastructure *Network technologies *Server Administration *
Tutorial
Кто бы мог подумать, что развернуть часть серверов компании в Amazon было плохой идеей.

В итоге поставленная задача — сделать дополнительный VPN-туннель между Amazon и инфраструктурой в РФ.

image
Читать дальше →
Total votes 8: ↑6 and ↓2 +4
Views 28K
Comments 8
1