dnsmasq как авторитативный ДНС или что-то в этом духе

Кажись, придумал. Ипы и роутинг настраивает dnsmasq, а ДНС-запросы форвардит сам bind через * IN NS ... . Щас попробую....

Хрен: *.domain.com: invalid NS owner name (wildcard) . Видимо, придётся создавать отдельную зону.

Вот надоело с ручным прописыванием параметров париться.

Оффтопик, но для прописывания параметров на куче ВМ есть cfengine / puppet / chef

Да в свете проблем с которыми я сталкиваюсь, похоже, это самый онтопик.

Если что могу сбросить статьи из рабочей вики по puppet для rhel . Для debian отличий практически нет

Мде, похоже что с ipv6 вообще труба. Даже такие вещи как dnsmasq, nginx (в директиве proxy_pass) итп толком не поддерживают его, поэтому затея обернулась фейлом.

Мде, похоже что с ipv6 вообще труба.

Это только верхушка айсберга же. Я и удивлён, что вы приняли решение делать всё на ип6 (да еще и будучи из Р, если не ошибаюсь), и даже восхищаться такому самоотверженному труду, на этой базе.

Т.к. нативного ipv6 почти нигде нет то доступ к сервакам ipv6 я хотел сделать через openvpn, но, вот незадача, openvpn тоже поддерживает v6 кривовато. Т.е. вот так я написать не могу:

# hostname.domain.com резолвится в ipv4 и в ipv6
ifconfig-push hostname.domain.com
ifconfig6-push hostname.domain.com

Оно не хочет работать. А ещё оно отказалось работать с сетями отличного от /64 размера.

Жаль, так хотелось всё сделать «по уму».

Я задвинул идею, на работе, мол давайте делать внутрях ип6.
Мне предложили провести аудит того, что от этого решения отпадёт.
Через неделю откраснелся, подав отчёт (подать нужно было однозначно), и решил подождать еще лет 5ть, минимум, и потом только начать думать, о том, что бы начать думать проверить это всё снова :)

А как же Яндекс? Нужно мнение независимого эксперта :)

sudo cast ivlad

$ host -t aaaa yandex.ru
yandex.ru has no AAAA record

PS доклад от ivlad про ipv6 я видел.

ipv6 = ССЗБ. Ко всему прочему тут нужно смотреть на поведение dhcp-клиента. Дело в том, что ему совершенно никто не мешает слать в пень то, что о его хостнейме думает dhcp-сервер.

Аааа. Я не так тебя понял. А зачем тачке сообщаться свой хостнейм? У тебя будут проблемы с localhost и user на линуксовых тачках и кириллические имена на оффтопике. Лучше делать ручками, либо можно делать 2001-0db8-11a3-09d7-1f34-8a2e-07a0-765d.domain.com . Но я бы предпочел вариант ручками. Если тут вопрос про саморазворачивающуюся инфраструктуру, то тебе вверху уже сказать, что есть кукла и шеф, потому что это машине нужно навязывать нужный хостнейм, а не под неё подстраиваться.

Вообще то, если говорить про нативный (без всяких туннелей, которые в последнее время винда и многие другие устройства сами на себе без спроса поднимают) ipv6 в LAN + ipv6 NAT на пограничных маршрутизаторах + ipv6tables/иной v6 фаерволл, то всё будет ок. Другой вопрос, что многие люди считают, что v6 клиентов нужно голой жопой в Сеть выставлять. Если Вы v4 клиентам в компании дадите реальные статические ip, то будет даже хуже. Вопрос в дебилизме создателей ipv6, которые решили, что NAT - зло, и что всем нужно сидеть в Сети, открыв все порты, и которые пиарят это на право и на лево, забывая про оффтоп и криворуких юзеров/админов/интеграторов/производителей говнодевайсов.

машине нужно навязывать нужный хостнейм

Я его и навязываю при установке :). Можно было бы подготовить образов и внутри прописать скрипты, но это оверкилл.

Да, тред об автоматизации. Я никогда этим не занимался серьёзно. Поэтому пробую различные варианты. Хотелось обойтись без кукловода, но пока это фантастика. Пока есть пять виртуалок и я уже с ними проблемы: выделить адрес, прописать ДНС, для некоторых требуется настройка фаервола, для других требуется ещё что-нить указать. Плюс постоянно создаю новые для различных тестов (посмотреть новое ядро, софт протестировать). Причём ОС различные, поэтому не всегда можно склонировать уже существующую виртуалку и перебить в ней адреса и хостнейм.

NAT - зло, и что всем нужно сидеть в Сети, открыв все порты, и которые пиарят это на право и на лево, забывая про оффтоп и криворуких юзеров/админов/интеграторов/производителей говнодевайсов.

Ну, nat, судя по lwn, будет т.к. многие этого хотят. Вне зависимости от того нат это хорошо или плохо.

Честно говоря, я и сам бы им воспользовался потому что это может местами упростить конфигурацию. Например, сейчас я не могу сделать ip -6 neigh proxy SUBNET/96 via eth0 потому что комманда proxy работает только с индивидуальными хостами (!). Гениальное решение от разработчиков ядра.

Через неделю откраснелся, подав отчёт (подать нужно было однозначно), и решил подождать еще лет 5ть, минимум, и потом только начать думать, о том, что бы начать думать проверить это всё снова :)

Если не для связности с интернетом, а для внутренней коммуникации - то почему бы и нет.

Наших админов надо закопать за такое :(.

Да, тред об автоматизации.
Пока есть пять виртуалок

http://copypast.ru/foto5/0214/hands_005.jpg

Ещё есть разнообразные parallel ssh, pssh, cluster ssh и т.д. При объёмах менее 30 виртуалок (если ты с ними ничего не делаешь: поставил и забыл) проще и стабильнее сделать руками. Мало того, не забывай, что в некоторых случаях (LDAP, dhcp, загрузка по сети, NFS с образами виртуалок на хостовой машине к другому хосту и т.д.) у тебя образуется единая точка отказа, которая может убить всю инфраструктуру. Тут нужно также думать о HA, а также проводить более серьезный аудит безопасности.

Вообще подобные действия делаются либо через куклу (или иного агета, который может быть зашит в эталонном образе (зачем тебе установщик?), либо через кикстарт-файлы к анаконде и бездисковую установку (зачем? это же для физических серверов и то не всегда надо).

В случае паравиртуальных контейнеров всё намного проще и более интегрировано. Также (если тебе нужно именно инфраструктура) можно посмотреть в сторону oVirt.

Но мой совет: не будет ССЗБ. Тебе никто не мешает экспериментировать на виртуалках (можно включить эмуляция vtx для вложенной виртуализации), но не тяни рученки к энтерпрайзу (беря во внимание также твой тред про ipv6). Но это не значит, что данные технологии вообще не нужны и их надо выкинуть. Просто у тебя масштабы не те и персонала маловато.

Если не для связности с интернетом, а для внутренней коммуникации - то почему бы и нет.

Если делать то всё, а у нас работа поверх интерета, вся почти, и, к примеру, over 10000 хостов за проксями. А там и онтопы и оффтопы и брэндовое сетевое и нонеймовое сетевое, и транспорты разных уровней от разных провайдеров, и тунели итд итп. И зная этих криворуких бокопоров, я бы просто не рискнул.

Ну, nat, судя по lwn, будет т.к. многие этого хотят. Вне зависимости от того нат это хорошо или плохо.

Вы серьёзно считаете, что мои первым действием после прочтения http://book.itep.ru/4/44/ip6_4411.htm было не поиск «iptables ipv6 nat», а что-то другое? Я этот модуль ещё в виде патча застал, только мне оно не надо, из-за того, что я не ССЗБ.

Честно говоря, я и сам бы им воспользовался потому что это может местами упростить конфигурацию.

Местами NAT вообще может сделать сеть работоспособной, т.к. не все имеют BGP на резервных линках или не совершают смену провайдера.

Если не для связности с интернетом, а для внутренней коммуникации - то почему бы и нет.

Учитывая, что в это «почему бы и нет» скрытно входит «оплатя время сотрудников, перепрошив кучу роутеров, сделав прокси/nat к only ipv4 сервисам, потрахав мозги не одной тех поддержке, заплатив за аудит ИБ, а также за глюки и время простоя», то скорее «почему бы не исключить его использование на ближайшие 5 лет». Тем более, сколько ж Вам хостов нужно иметь, чтобы засрать 10.X ?

Дадада :)

Дадада :)

Дадада что?

См мой пост выше. ipv6 = куча проблем.

Ох, а я было дело подумал, по привычке, что тут претензия к реальности таких требований.
Да, вы точно всё подметили. И, кстате, учли что я не озвучил - время простоя. То, сколько мы потеряем на этом (работа с деньгами, тем более) - мне останется только прятаться в лесу, после этого, и, думаю, делать я это буду на глубине ~1 м под шаром сырой земли :)

Учитывая, что в это «почему бы и нет» скрытно входит «оплатя время сотрудников, перепрошив кучу роутеров, сделав прокси/nat к only ipv4 сервисам, потрахав мозги не одной тех поддержке, заплатив за аудит ИБ, а также за глюки и время простоя», то скорее «почему бы не исключить его использование на ближайшие 5 лет». Тем более, сколько ж Вам хостов нужно иметь, чтобы засрать 10.X ?

Я с удовольствием пожертвую всеми этими пунктами, ибо я настоящий ipv6 фанбой.

Я с удовольствием пожертвую всеми этими пунктами

а твои клиенты? :)

только мне оно не надо, из-за того, что я не ССЗБ.

CCЗБ говоришь, да? А что прикажешь делать провайдеру, клиенты которого хотят белые IP-адреса, а их уже не выдают? Застрелиться?

а твои клиенты? :)

А я не про хостинг, а про backbone.

Вопрос в дебилизме создателей ipv6, которые решили, что NAT - зло, и что всем нужно сидеть в Сети, открыв все порты

Нет, вопрос только в твоем личном дебилизме, под названием «я не осилил фаерволл». Такого рода задачи должны решаться именно им, а не костылем по имени нат.

По теме, я полгода назад подымал ради эксперимента виртуалку с гентой на чистом IPv6(то есть совсем, IPv4 из ядра был выпилен). Геморроя было много, но вовсе не по тем причинам, о которых ты говоришь(я до них не добрался, да). Проблемы начались как минимум с NFS, который не мог тогда нормально в IPv6(хз как оно там сейчас)

Такого рода задачи должны решаться именно им, а не костылем по имени нат.

+много

Проблемы начались как минимум с NFS

v3 или v4?

Ай-ай-ай, как не хорошо переходить на личности. Считай что я с тебя скор снял :).

С обоими(я предпочитаю v4). Грабли с rpcbind, который надо было патчить для работы, а патч не накладывался, потому что на древнюю версию был(новый не нашел). Как-то так. Может сейчас уже поправили, не в курсе, всё что читал до этого: «rpcbind ПОКА не поддерживает IPv6». А мне для полноценного тестирования без NFS ну никак...

Тем более, сколько ж Вам хостов нужно иметь, чтобы засрать 10.X ?

Всё банальнее. Местные товарищи из компетентных органов требуют БЕЛЫЕ адреса у клиентов, иначе просто грозятся отобрать лицензию. Не, есть вариант поставить их чудо СОРМ у нас(сейчас он физически у наших аплинков). Но цена за эту коробочку мягко говоря не радует...

Ай-ай-ай, как не хорошо переходить на личности. Считай что я с тебя скор снял :).

Это не личности, это крайняя форма донесения того, что он не прав :) Я готов принести извинения и вычести себя скора, если обидел нашего милого ктулху666.

http://wiki.linux-nfs.org/wiki/index.php/Ipv6PlanningDocument
Почитай, авось интересно будет.

Тред не читал, сразу отвечал? Мы тут говорим про корпоративную локалочку.

Нет, вопрос только в твоем личном дебилизме, под названием «я не осилил фаерволл». Такого рода задачи должны решаться именно им, а не костылем по имени нат.

Вопрос в фанбоизме и не понимании того, что дыра (даже одна и маленькая) в файерволле = угроза безопасности, а также возможность у внешнего наблюдателя точно знать кто куда подключается внутри компании. Мало того, любые изменения в фаере будут требовать последующего обязательного аудита, т.к. нельзя на 100% гарантировать, что они не были (с точки зрения безопасности) регрессивными. В вопросах безопасности (особенно, когда речь идет о финансовых и корпоративных данных, а не о домашнем порно тазхейта) будет использоваться та технология, которая работает более «пассивно» и не может иметь кучи мелких и внезапных проколов по своему периметру. Мало того, в корпоративной локалке в 99,9% случаев ipv6 то не нужен, не то что белые ipv6 адреса. А когда он нужен, это обычно какой-нибудь говнософт, который NAT пробить не может.
Я ни один срач прочитал уже на тему «ipv6 круто vs ipv6 безопасность» и про ipv6tables файерволл в режиме роутинга, а не маскарадинга прекрасно знаю. Но в плане безопасности мой выбор непреклонен.

По теме, я полгода назад подымал ради эксперимента виртуалку с гентой на чистом IPv6(то есть совсем, IPv4 из ядра был выпилен). Геморроя было много, но вовсе не по тем причинам, о которых ты говоришь(я до них не добрался, да). Проблемы начались как минимум с NFS, который не мог тогда нормально в IPv6(хз как оно там сейчас)

Это весьма ССЗБ, т.к. ipv4 кусок стека нужен для ipv6-to-ipv4 трансляции для ipv6-only софта (либо тебе шлюз нужен), а также куча софта хочет 127.0.0.1. Да и софт, поддерживающий ipv6 может без ipv4 не завестись из-за legacy-проверок. NFS является чисто локальным (а не через Сеть) транспортом, поэтому ipv6 там не особо нужен.

Мне кажется одно тянет другое. Я не очень понимаю что можно делать в корпоративной локалочке если ни nginx, ни какой-нить monit, ни dnsmasq, ни прочий софт толком не поддерживают ipv6. Да даже на уровне ядра много веселухи.

С обоими(я предпочитаю v4). Грабли с rpcbind, который надо было патчить для работы, а патч не накладывался, потому что на древнюю версию был(новый не нашел). Как-то так. Может сейчас уже поправили, не в курсе, всё что читал до этого: «rpcbind ПОКА не поддерживает IPv6». А мне для полноценного тестирования без NFS ну никак...

Учитывая, что в NFS много фирм заинтересованно, думаю, что сделали. В любом случае ipv6 в локалке - это обычно ССЗБ и вопиющее ненужно.

Всё банальнее. Местные товарищи из компетентных органов требуют БЕЛЫЕ адреса у клиентов, иначе просто грозятся отобрать лицензию. Не, есть вариант поставить их чудо СОРМ у нас(сейчас он физически у наших аплинков). Но цена за эту коробочку мягко говоря не радует...

Мы говорим про корпоративную локалку. Мало того, даже в Вашем вопросе, как видите, проблема совершенно не техническая, а связанная с дебильными законами и желанием власти лезть в личную жизнь. Мало того, Вы ещё раз показали, что ipv6 - отличный помощник для злоумышленников.

И каким образом им помогут белые ipv6, если большая часть роутеров и удаленных серверов ipv6 не юзают?

Кстати, сколько оно стоит то?

любые изменения в фаере будут требовать последующего обязательного аудита, т.к. нельзя на 100% гарантировать, что они не были (с точки зрения безопасности) регрессивными.

я уже про аудит не первый раз слышу. Вы какие-то ужасы рассказываете. Но даже если нужен аудит то кто его проводит? Свои же сотрудники? Тогда нет проблем с ними это обсудить. И задокументировать, хотя я никогда не понимал принципа «давайте добавим 100500 правил на фаервол» и всегда держал только простые конфигурации потому что в противном случае головная боль у себя и сотрудников обеспечена.

А вот если для изменений настроек фаервола нужно заполнять документы, получать роспись трёх начальников то... вы что-то делаете неправильно.

я уже про аудит не первый раз слышу. Вы какие-то ужасы рассказываете. Но даже если нужен аудит то кто его проводит? Свои же сотрудники? Тогда нет проблем с ними это обсудить. И задокументировать, хотя я никогда не понимал принципа «давайте добавим 100500 правил на фаервол» и всегда держал только простые конфигурации потому что в противном случае головная боль у себя и сотрудников обеспечена.

Выполнить аудит не так просто, особенно, если в сети есть сенсоры, ханипуты и часть машин не всегда включены. Но основную мысль Вы не поняли. Мысль была в том, что зачем делать небезопасности вещи и проводить аудит, если можно сделать априори безопасные вещи и не проводить аудит так часто?

Мне кажется одно тянет другое. Я не очень понимаю что можно делать в корпоративной локалочке если ни nginx, ни какой-нить monit, ни dnsmasq, ни прочий софт толком не поддерживают ipv6. Да даже на уровне ядра много веселухи.

Вот ты и сам ответил, почему ipv6 ненужно :)

Мне кажется, что мы несколько ушли от основной темы треда.

Кстати, сколько оно стоит то?

Обычно я слышал про такой порядок цен: http://www.oc.ru/price/ats/sorm/ . Внутри какой-нить селерон и общая пропускная способность где-то в 100мбит (по крайней мере так было раньше когда я работал в ДЦ). Причём это коробочка может ещё и трафик уродовать, см. темы на форуме. Теперь представим сколько их нужно на один ряд стоек в ДЦ... Правда, в этом случае предложат коробочку побольше...

если большая часть роутеров и удаленных серверов ipv6 не юзают?

Магистральные операторы ipv6 давно поддерживают.В европах предоставление ipv6 становится трендом. Ну а сервера... сервера потихоньку переходят на dual stack.

почему ipv6 ненужно :)

Ну, не то что бы оно не нужно, мир к нему не готов. Я вот сейчас сижу и думаю - заниматься пинанием софтописателей на тему портирования софта или нет. Наверно займусь как только эпопея с systemd в чруте закончится.

мы несколько ушли от основной темы треда.

ну и что, я узнаю новое :).