• VPN везде и всюду: IPsec без L2TP со strongSwan

      image
      достаточно сильный лебедь

      Если вы когда-либо искали VPN, который будет работать на десктопах, мобильных устройствах и роутерах без установки дополнительного ПО и перепрошивки роутера, вы, вероятно, выбирали между PPTP и L2TP+IPsec. У протокола PPTP имеются проблемы с безопасностью и прохождением через брандмауеры и NAT, так что в 2015 году его уже использовать не стоит, а использование L2TP излишне, т.к. L2 VPN, по моему мнению, для обычного удаленного доступа не нужен практически никогда.

      Удивительно, что в интернете не так-то просто можно найти информацию о настройке чего-то помимо L2TP+IPsec в транспортном режиме, учитывая, что это обширный стек протоколов, который можно конфигурировать буквально как душе угодно, поэтому я попытаюсь устранить такое несовершенство мира.

      Небольшое введение в мир IPsec

      Вообще говоря, не совсем правильно называть IPsec VPN. IPsec не предназначен для построения «виртуальных частных сетей», а создан для шифрования или защиты от подмены передаваемых по IP данных. Это специальный слой поверх IP, который, в зависимости от режима и настроек, работает по-разному. В отличие от привычного VPN, который создает новый интерфейс в системе, на который вы, как это чаще всего бывает, назначаете IP-подсеть из диапазона частных адресов (т.е. создаете новый сетевой сегмент), и через который маршрутизируется трафик в зашифрованном виде, IPsec просто шифрует трафик магическим образом между «внешними» интерфейсами сервера и клиента.
      Читать дальше →
    • Загрузочный сервер — как загрузочная флешка, только сервер и по сети

        Загрузочная флешка с набором нужного софта — замечательный инструмент системного администратора. Казалось бы, что может быть лучше? А лучше может быть загрузочный сервер!

        Представьте, вы выбрали в BIOS загрузку по сети и можете установить ОС/вылечить компьютер от вирусов/реанимировать диски/протестировать ОЗУ/etc с PXE Boot сервера, ведь это куда удобнее, нежели бегать с флешкой от машины к машине.
        А в случае большого компьютерного парка, такой инструмент и вовсе незаменим.

        Вот такое меню встречает нашу команду инженеров при загрузке с PXE



        Под катом вас ждет описание всех настроек, а так же небольшой сюрприз.
        Поехали!
      • Делаем тетрис под FPGA

          Всем привет!

          imageНа этих долгих новогодних выходных я задался вопросом: насколько легко написать какую-то простенькую игрушку на FPGA с выводом на дисплей и управлением с клавиатуры. Так родилась еще одна реализация тетриса на ПЛИС: yafpgatetris.


          Конечно, игры на FPGA делаются больше для фана и обучения, чем для каких-то реальных “продакшен” задач, да и от “разработки” игр я очень далек, можно сказать, для меня это новый опыт.


          Если интересно, как можно запускать игру без операционной системы, реализуя её на самом низком уровне, с помощью триггеров и комбинационной логики, добро пожаловать под кат.

          Читать дальше →
        • IPv6 под прицелом



            Казалось бы, зачем сейчас вообще вспоминать про IPv6? Ведь несмотря на то, что последние блоки IPv4-адресов были розданы региональным регистраторам, интернет работает без каких-либо изменений. Дело в том, что IPv6 впервые появился в 1995 году, а полностью его заголовок описали в RFC в 1998 году. Почему это важно? Да по той причине, что разрабатывался он без учета угроз, с той же доверительной схемой, что и IPv4. И в процессе разработки стояли задачи сделать более быстрый протокол и с большим количеством адресов, а не более безопасный и защищенный.
            Подробности
          • Pro Git, 2-е издание


              Вне всяких сомнений, Pro Git — это одна из лучших книг про систему контроля версий git. Совсем недавно появилось второе издание этой замечательной книжки. Большие изменения произошли в издательском процессе: исходный код книги теперь хранится в AsciiDoc, а не в Markdown, а различные форматы (PDF, ePub и Mobi) автоматически генерируются с помощью O'Reilly Atlas platform. Разработка книги активно ведётся на гитхабе, актуальная online-версия находится в открытом доступе на официальном сайте, а любители печатной продукции могут заказать себе экземпляр на Amazon. Второе издание получилось почти в два раза больше первого: на сегодняшний день PDF-версия содержит 570 страниц. Помимо улучшения старого материала, книжка также пополнилась новыми главами и разделами:
              Читать дальше →
            • Шпаргалка по управлению сервисами CentOS 7 с systemd

                Systemd – менеджер системы и сервисов в операционной системе Linux. При разработке eго стремились спроектировать обратно совместимым со скриптами инициализации SysV init и предоставить полезные функции, такие, как параллельный запуск системных сервисов во время загрузки, активацию демонов по требованию, поддержку снепшотов состояния системы и логику управления сервисами, основанную на зависимостях. В CentOS 7 systemd заменяет Upstart как систему инициализации по умолчанию.

                В этой статье мы рассмотрим процесс управления сервисами в systemd для пользователя CentOS 7. Эти знания будут полезны и в других дистрибутивах, ведь systemd уже давно используется в Fedora и планируется в Ubuntu 14.10 и Debian 8. Хорошо это или нет — оставим за кадром.

                CentOS 7 Systemd Infobox

                В процессе чтения статьи вы можете попробовать systemd на классических VPS и облачных VPS от Infobox. Мы стремимся своевременно добавлять поддержку современных ОС, чтобы вы могли использовать последние технологии для более эффективной работы. Сама идея написания статьи родилась после очередного вопроса пользователей об использовании сервисов в CentOS 7.
                Читать дальше →
              • Виртуальные сети: VXLAN и VMware NSX


                  Созданные почти четверть века назад виртуальные локальные сети VLAN были для своего времени неплохим способом управления узлами сети. Но в условиях массового перехода на облачные технологии и повсеместным внедрением виртуальных машин возможностей традиционных VLAN для современных ЦОД стало явно недостаточно. Причем самыми болезненными вопросами стало ограничение доменов второго уровня на четырех тысячах VLAN при невозможности переноса виртуальных машин через границы L2.

                  В рамках стандартной модели сети решение было сравнительно очевидным: сеть надо тоже виртуализировать, создавая виртуальные оверлейные сети поверх существующих.

                  И как это делается?
                  Читать дальше →
                • Немного о Iptables, Iproute2 и эмуляции сетевых проблем

                    Однажды мне понадобилось в Zabbix сделать мониторинг потери пакетов между мастером и репликами (репликация плохо себя чувствует если канал не очень хороший). Для этого, в Zabbix есть встроенный параметр icmppingloss, на удаленный хост отправляется серия ICMP пакетов и результат фиксируется в системе мониторинга. И вот параметр добавлен, триггер настроен. Казалось бы задача выполнена, однако как говорится «Доверяй, но проверяй». Осталось проверить что триггер сработает когда потери действительно будут. Итак, как сэмулировать потерю пакетов? Об этом, да и не только, пойдет речь под катом.

                    image

                    Читать дальше →
                    • +46
                    • 33.2k
                    • 8
                  • Взгляд на 10G Ethernet со стороны FPGA разработчика

                    Всем привет!

                    Многие специалисты знают, что топовое сетевое оборудование использует специальные чипы для обработки трафика. Я принимаю участие в разработке таких молотилок и хочу поделиться своим опытом в создании таких высокопроизводительных девайсов (со интерфейсами 10/40/100G Ethernet).

                    Для создания нового канала сетевики чаще всего берут оптику, пару SFP+ модулей, втыкают их в девайсы: лампочки радостно загораются, пакеты начинают приходить: чип начинает их передавать получателям. Но как чип получает пакеты из среды передачи? Если интересно, то добро пожаловать под кат.
                    Читать дальше →
                  • Атака на IPv6: NDP Table Exhaustion

                      IPv6 уверенно шагает рано или поздно войдёт в нашу жизнь в той же степени, что и IPv4. Интересная особенность — долгий период разработки и внедрения привёл к тому, что некоторые первоначальные идеи были списаны в утиль, а сама конструкция постепенно обросла костылями. И, что обидно, к решению некоторых серьёзных проблем приступили только недавно.

                      Под катом — как положить IPv6 и даже IPv4 сеть DoS-атакой NDP Table Exhaustion, а также варианты полумер и мер защиты.

                      image

                      Читать дальше →
                    • Функции в Perl

                      • Tutorial
                      image

                      В Perl заложено огромное количество возможностей, которые, на первый взгляд, выглядят лишними, а в неопытных руках могут вообще приводить к появлению багов. Доходит до того, что многие программисты, регулярно пишущие на Perl, даже не подозревают о полном функционале этого языка! Причина этого, как нам кажется, заключается в низком качестве и сомнительном содержании литературы для быстрого старта в области программирования на Perl. Это не касается только книг с Ламой, Альпакой и Верблюдом («Learning Perl», «Intermediate Perl» и «Programming Perl») — мы настоятельно рекомендуем их прочитать.

                      В этой статье мы хотим подробно рассказать о маленьких хитростях работы с Perl, касающихся необычного использования функций, которые могут пригодится всем, кто интересуется этим языком.
                      Читать дальше →
                    • LinkMeUp. Выпуск №17. Недостатки TCP и новые протоколы транспортного уровня

                        17-й выпуск подкаста Linkmeup посвящён глубокотехнической теме.
                        В гостях у нас Дмитрий Качан — аспирант СибГУТИ. Дмитрий в данный момент занимается разработкой транспортных протоколов, работающих на уровне приложений.
                        Поэтому сегодня мы говорим о недостатках TCP, почему сейчас он уже не может выполнять свою роль протокола с гарантированной доставкой в некоторых случаях.
                        Вы узнаете какие сейчас есть подходы к решению этой проблемы.

                        Новости выпуска

                        1. Правительство хочет, чтобы данные россиян хранились в нашей стране (link).
                        2. HP сделал свой сетевой симулятор доступным широкой общественности (link).
                        3. В MIT разработали технологию управления трафиком датацентра, которая многократно уменьшает задержки и очереди (link).
                        4. Плавный переход к теме гостя. Big Data на службе футбола (link).


                        Скачать файл подкаста.





                        Под катом вы можете найти список некоторых коммерческих решений и протоколов для эффективной передачи информации с гарантированной доставкой, а также сами исследования Дмитрия.
                        Читать дальше →
                      • Базовая настройка Juniper серии SRX

                        Здесь уже есть несоклько статей про настройку маршрутизаторов Juniper SRX (например, раз, два, три и т.д.). В этой я постараюсь консолидировать полезную информацию, дополнив ее некоторыми приятными мелочами.

                        Всех заинтересовавшихся прошу под кат.
                        Читать дальше →
                      • HP Network Simulator доступен для публичного использования!

                          image
                          Хорошие новости!

                          Не так давно (в апреле этого года) мы выпустили новую версию симулятора сетевого оборудования HP, доступную для использования всеми желающими!

                          Ранее данный продукт был известен в недрах HP как HP Simware, и предназначался только для внутреннего пользования. Чуть позже была выпущена версия для наших партнеров, а теперь он доступен для широкой публики под новым именем – HP Network Simulator.

                          Продукт основан на новой сетевой операционной системе HP Comware v7 и предназначен для сетевого моделирования и изучения пользовательского интерфейса и функциональных возможностей ОС HP Comware.

                          В этой статье я в деталях расскажу о принципах работы симулятора и покажу, как можно использовать данный инструмент в работе сетевого инженера на конкретных примерах.
                          Читать дальше →
                          • +19
                          • 36.8k
                          • 6
                        • Всё, что вы хотели знать о Ethernet фреймах, но боялись спросить, и не зря

                            Статья получилась довольно объёмная, рассмотренные темы — форматы Ethenet фреймов, границы размеров L3 Payload, эволюция размеров Ethernet заголовков, Jumbo Frame, Baby-Giant, и много чего задето вскользь. Что-то вы уже встречали в обзорной литературе по сетям передачи данных, но со многим, однозначно, не сталкивались, если глубоко не занимались изысканиями.

                            Начнём с рассмотрения форматов заголовков Ethernet фреймов в очереди их появления на свет.

                            Форматы Ehternet фреймов.


                            1) Ethernet II



                            Рис. 1
                            Читать дальше →
                          • В поисках идеальной сети: OpenFlow и все-все-все

                              Здравствуйте, уважаемые читатели,

                              в этом посте мы расскажем о своем поиске идеального сетевого решения для облачной инфраструктуры и о том, почему мы решили остановиться на OpenFlow.

                              image

                              Читать дальше →
                              • +5
                              • 12.5k
                              • 8
                            • SDN: революция или эволюция? Семинар в Яндексе

                                Привет, меня зовут Даниил Гинсбург, я работаю в Яндексе сетевым архитектором.

                                В своем докладе я попытался дать свое определение понятия Software-defined Network, которое сегодня понимается в индустрии как чрезмерно широко, так и чрезмерно узко. Мой рассказ также затронул исторические корни SDN, его будущее и вопросы практического развертывания.



                                Видеозапись доклада



                                Для начала попытаемся ответить на вопрос, все ли у нас хорошо в сетях? Может быть, нам и переделывать ничего не надо? Я уверен, что это не так, и сейчас попытаюсь обосновать свою точку зрения.
                                Читать дальше →
                              • Еще один способ перехвата трафика через ARP Spoofing

                                  На Хабре было уже много статей на тему классического ARP спуфинга, однако все они были похожи тем, что для полноценного перехвата трафика надо было подменять ARP записи у двух машин. Как правило, это жертва и ее шлюз по умолчанию. Однако, идея спуфить шлюз не всегда хороша. Он вполне может иметь на борту детектор атак, который в два счета доложит админу что сеть ломают и халява кончится, не начавшись. В данной статье будет рассмотрен метод перехвата трафика, при котором атака производится только на хост-жертву. Как обычно в таких случаях, статья чисто для ознакомления, использование во вред карается по закону и т.д.
                                  Под катом много букв.

                                  Читать дальше →
                                • VIM как IDE для разработки на Python

                                  • Tutorial
                                  image
                                  Данная статья будет посвящена настройке vim, в которой я поделюсь своим «скромным» пониманием того, каким должен быть текстовый редактор, чтобы в нем было удобно/приятно/легко (нужное подчеркнуть) писать код также, как это сейчас возможно во всевозможных IDE типа PyCharm, SublimeText и т.п.
                                  Весь процесс постараюсь описать как можно более подробно, чтобы вопросов по мере чтения для начинающих осваивать vim возникало как можно меньше.
                                  Читать дальше →
                                • Интересные приемы программирования на Bash

                                  Эти приемы были описаны во внутреннем проекте компании Google «Testing on the Toilet» (Тестируем в туалете — распространение листовок в туалетах, что бы напоминать разработчикам о тестах).
                                  В данной статье они были пересмотрены и дополнены.
                                  Читать дальше →