Двойная перемаркировка пакетов для работы с двумя провайдерами на прозрачном мосте

Угадал автора по названию новости!

В предисловии у Вас написано, что много пользователей и мало IP.

Там сказано о клиентах vpn. IP много не бывает, но экономия IP упоминается в этой статье вскольз, так как проблема решается совсем не эта. То было просто лирическое отступление, принятое в предисловиях. Экономия IP рассмотрена во второй статье и, как уже упоминал, это перпендикулярно.

Брандмаузер(c)

У тебя ненависть к немецкому языку, немцам, али вовсе всему человечеству? Или ты родился в 00-х?

«транспарентный файрвол с роутером»

кроме транспарентного он, имо, ультрафиолетово. Другое дело что исторически дойче-вариант более прижился, и в том же «мире пк» лет 10 тому назад напиши хоть файрвол, хоть инфернальный_айпи_привратник-мочила, айн хрен поправят на брандмауер)

Блин, главное-то забыл — материал минимум будет полезен к прочтению местным любителям срача за определения) И автору спасибо

Клиентам VPN вообще никакой NAT не нужен, в этом ведь и суть VPN.

Реализацмя представленной multi-homing сети, безусловно, имеет смысл. Например - в домашних условиях, если есть желание устроить load balancing между двумя 3G модемами или что-то в этом духе.

В рамках предприятия такие костыли подставлять - дело неблагодарное. Уговори уже начальство потратить пару сотен долларов в год на поддержание AS и пиринг с провайдерами ;)

IP много не бывает

да господи! для вас растянули ip-адреса аж на 128-разрядов ..

...а вам всё мало ip-адресов :-D :-D

ну что за люди такие

https://animatika.ru/netcat_files/userfiles/3/facepalm.jpg

я понимаю что вас путает что в английском слова не являются столь же самодостаточными переносчиками смысла как в русском, и большая часть понимается из контекста задаваемого гораздо большими факторами, эта завораживающая концепция языка дарит нам прекраснейший механизм каламбуров.. современный руский язык в этом плане является мешаниной из самодостаточных и контекстозависимых терминов, хоть исконно больше склонен к самодостаточному разделению. но это не важно. важно что прозрачный не задаёт того спектра смыслов как transparent и в данном случае корректнее будет термин транспарентность( да он есть официально и закреплён именно в таком виде по причинам)

это тот же случай как когда Warlock предлагают переводить как колдуна или чернокнижника, но эти термины не всегда пересекаются. к счастью у нас есть термин Варлок который специально полностью эквивалентен термину Warlock

к счастью в языках будущего всё стало настолько сложным что люди больше не принимают решений по переводу и локализации.

В русском языке так же давно и прочно утвердились кальки с английского, которые в некотором смысле более уместны, так как эпицентром развития IT до сих пор является США (конкретно, Bay Area), где принят английский язык.

Было бы очень хорошо, если бы автор перестал красить IP-адреса в разные цвета и начал их называть по имени — публичные и приватные. Вы бы их на вкус ещё попробовали, ей-богу!

https://www.redhat.com/archives/libvir-list/2013-January/msg01107.html

Я это нагугливал и пробовал — тоже самое, всё равно спамит. И самое главное, масло масленное, ведь в обычных правилах юзается -o, а физика — в бриджах. Так что самая натуральная пичалька. Впрочем, сейчас появится время, попробую ядро посвежее, может они уже убрали это дурацкое предупреждение, сколько можно предупреждать и спамить по нескольку раз на правило.

Было бы очень хорошо, если бы автор перестал красить IP-адреса

Видите ли, слово «публичные» можно нагрепать в статье, но статья для людей, а не роботов. Люди прекрасно понимают термины белый/серый, исползуют в качестве синонимов и статья благодаря синонимам легче читается и не такая суконная.

да господи! для вас растянули ip-адреса аж на 128-разрядов ..

Господин хипстер. А давайте поработайте бесплатно и обойдите 2500 клиентов (это реальная наша цифра, а не гипербола), от яселек до ФСБ, и настройте там IPv6, чтобы они с нами так соединялись.

Клиентам VPN вообще никакой NAT не нужен, в этом ведь и суть VPN.

Вы ничего не поняли в простейшей задаче и спорите сами с собой.

Уговори уже начальство потратить пару сотен долларов в год на поддержание AS и пиринг с провайдерами ;)

Я так думаю, лет через несколько в этом не будет никакой проблемы в России вообще. Уже федералов загнали на РТ безальтернативно. RusNet (нет, это не то, что делал demos/relcom, а новая чебурашка) уже сделали. Так что между бюджетниками вскрости в этой сети с адресами всё будет беспроблемно.

Господин хипстер. А давайте поработайте бесплатно и обойдите 2500 клиентов (это реальная наша цифра, а не гипербола), от яселек до ФСБ, и настройте там IPv6, чтобы они с нами так соединялись.

да. и давайте начнём это делать лет 5~10 назад. :-)

вместо того чтобы (уже в те времена!) саботировать его внедрение фразами "мы поддерживаем и не планируем пока-что поддержку v6 в нашей инфраструктуре, потому что другие тоже его не поддерживают".

это называется групповая безответственности (кольцо-безответственности) :-) ! сервис-провайдеры не предоставляют v6-сервисов потому что всё равно ведь наверно нет v6-клиентов способных достучаться. сетевые-провайдеры не предоставляют доступов к v6-сервисам потому что всё равно ведь наверно нет v6-сервисов. v6-клиенты, а что v6-клиенты, они вобщем-то раньше всех вышли из кольца-безответственности.. :-)

если бы число v6-активных-клиентов перевалило бы за 50% — то остальных v4-клиентов можно было бы просто законно принижать "ну простите, вы сами выбрали пусть оставаться с проблемами", вместо выдумывания как побеждать уже подеждённые проблемы :-)

да. и давайте начнём это делать лет 5~10 назад. :-)

Видите ли, если хотя бы один клиент откажется работать по IPv6, то весь этот переход будет бесполезным. И потому и смысла начинать делать и сейчас и возможно через 10 лет вперед не будет. И слава богу.

Видите ли, если хотя бы один клиент откажется работать по IPv6, то весь этот переход будет бесполезным.

те кто захотели остаться работать по старому (v4) протоколу — вполне могут потерпеть «особые» условия работы: всякие там «не прозрачные» миграции и прочии сервисные дисконнекты и временные отказы в обуживании.

уж наверняка им не привыкать жить в условиях: "ой! опять эта хрень перестала работать, ну ладно, не будем ни чего чинить, ведь всё остальное работает хорошо значит ни чего трагать не будем"

ой! опять эта хрень перестала работать,

Это вы просто не в курсе. Никаких перерывов никак делать невозможно. Это срыв бюджетного финансирования, начиная от зарплаты людям и кончая всероссийскими проектами, что влечет уголовную ответственность.

Щас бы в 2018м софтроутеры из говна и палок подымать, ммммм))))

Ну а чо, импортозамещение — прекрасный аргумент :) Да и на кошках вот это всё, что написано в трёх статьях фиг сделаешь. А сделал, кстати, на железке суперсетифицированной, вполне надежной, 1U, SSD, 8 распаянных эзернетов на материнке, все дела. А этот снобизм на счёт «говна и палок» и привёл к тому, что никто и ничего в России-матушке даже не пытается что-то сделать, обосрут и убедят потратиться на ничем не лучшие решения, а именно будет хуже и дороже, как изначально так и по ТСО.

О, этот одмен всё так же огрызается в комментах. Ничего не меняется.

Предлагаю написать жалобу, чтобы разобрались, что страница чсв-страдальца-эникея делает на сайте ведомства.

железке суперсетифицированной
1U, SSD, 8 распаянных эзернетов на материнке, все дела

По описанию похоже на Континентопарашу от «котиков безопасности», где надо было рестартовать службу для применения политик Firewall.

А этот снобизм на счёт «говна и палок»

Не снобизм. Просто один из способов сделать говнороутер, когда нет 40 баксов на лицензию RouterOS.

никто и ничего в России-матушке даже не пытается что-то сделать

Пытаются, как «кот безопасности», но не могут дотянуть свой продукт даже до уровня Микротика. Не знаю, что им мешает.

Поясню про континентоговно: Вот ты хочешь сделать изменения в конфиге этого, сертифицированного КГБ за большие откаты, куска зеленого говна. Для того, чтоб изменения применились, шлюз ребутает сетевую службу и дропает на какое-то время инет. Это продукт 2017-2018 года! Такое поведение железки могло бы быть оправдано в 1999 году, но не сейчас!

Для того, чтоб изменения применились, шлюз ребутает сетевую службу и дропает на какое-то время инет.

Откровенно говоря, защищать это у меня руки не подымаются, но у вас какое-то нетехническое представление о том, что там делается. Какую службу? Вы о чём? Адреса менять — так что угодно разорвёт. Новые vpn или правила фильтрации — нормально оно умеет правиться «без единого разрыва».

Не снобизм. Просто один из способов сделать говнороутер, когда нет 40 баксов на лицензию RouterOS.

Увы, вы лишний раз подтвердили свой снобизм. Мало того, ещё в худшей форме. Обычно свысока смотрят на применение софт-решения при наличии дорогих железок, а у вас еще и не пойми какое железо и хотите и так же закрытую ОС за недорого. И смысл? Тот же сфотроутер, но за деньги и с ограниченным функционалом под имеющиеся задачи. Ну не умеете сами делать, ну бывает, чо, но прикрываться снобизмом — только получится утверджаться в такой же среде, которая и убивает всякое желание уметь и развиваться.

Скорее привычка красить адреса выдаёт специалиста уровня ЛАНа на пару соседних домов. «Публичный» и «приватный» в контексте IP несут максимально точное определение, исключающее вольные трактования.

Смешные цифры какие-то. 25 миллионов абонентов — вот это уже разговор, да и то в США крупные провайдеры успешно справились примерно за полтора года.

Я критикую не Ваше решение проблемы, а скупость (и видимо пофигизм) работодателя. Поверьте, когда Вы уйдёте из этой конторы, уже спустя месяц новый админ завалит данное поделие а через полгода его заменят на циску (или в худшем случае - на другое такое-же самодельное решение).

Многие здесь занимались подобным рутеростроением на третьих пентиумах, но с тех пор это всё стало историей.

Желаю Вам получить максимум опыта и перебираться на новое место работы, где можно с Вашими знаниями участвовать в разработке и внедрении реально интересных решений с нормальными бюджетами и оборудованием.

но у вас какое-то нетехническое представление о том, что там делается. Какую службу?

Формально происходит разрыв соединений и остановка коммуникации по всем сетевым портам на короткое время при сохранении конфигурации firewall.

Я, так понимаю, идет «защита бренда»...

а у вас еще и не пойми какое железо и хотите и так же закрытую ОС за недорого

HP GEN6 это «не пойми какое железо»... Лол, «траль тоньше», копирайтер)))

тот же сфотроутер, но за деньги и с ограниченным функционалом под имеющиеся задачи

А континентопараша — несофтовая, неограниченная и не за деньги, да? Она может летать, готовить пиццу и исполнять желания?

Ну не умеете сами делать, ну бывает

Ну у вас девушки нет и вы любите пердолиться с консолькой, ну бывает, чо... Вот вам симметричный ответ на гнилую предъяву)))

только получится утверджаться в такой же среде, которая и убивает всякое желание уметь и развиваться.

Поднимать софтроутеры это пипец какое развитие, да! IQ 300 MENSA PRO PLUS TURBO RICK&MORTY LEVEL!

inb4 софтроутер это определенная ступень развития сетевого энтузиаста, будущего профессионала. Либо какое-то уж совсем упоротое внедрение для странных людей.

Но это не MENSA LEVEL, далеко не.

(простите, что отдельным постом)

Формально происходит разрыв соединений и остановка коммуникации по всем сетевым портам на короткое время при сохранении конфигурации firewall.

Не знаю, о чём речь, но в решении ТС ничего такого нет. nf_conntrack FTW! Можно даже между кластером маршрутизаторов синхронизировать таблицу установленных соединений при желании - тогда даже перезагрузка будет прозрачна для пользователей.

между кластером маршрутизаторов

Тогда и бабушка будет дедушкой!

Интересно, есть ли где-нить такие вот внедрения? Везде, где видел, стоит один грустный зеленый шлюз. Ну, может, с другом в виде випнет координатора...

А континентопараша — несофтовая, неограниченная и не за деньги, да?

Здесь обсуждается статья, а не изделие Инфосека. Короче, до свидания, на вас только время терять.

Поверьте, когда Вы уйдёте из этой конторы, уже спустя месяц новый админ завалит данное поделие а через полгода его заменят на циску (или в худшем случае - на другое такое-же самодельное решение).

Это поделие само должно уйти через месяц, когда старый провайдер перестанет с нами работать. То что заменят на циску, я слабо представляю, по многим причинам, от знаний/оплата до смысла там её ставить вообще.

Я лично в одной конторе лет 7 назад как раз такие кластера с самописными скриптами (iptables+corosync+pacemaker) заменял на Cisco ASA :)

PIXы, ASA давно лежат на складе. Во-первых, там нет да нет всплывает что-то типа https://habr.com/post/397021/ , во-вторых, оно всё равно не умеет той гибкости, что можно наворотить на ОС общего назначения, скажем оно если работает в режиме прозрачного МЭ, то в режиме маршрутизатора вообще ничего не может делать кроме управления, в-третьих, тут люди имеют извращенную логику, типа вот 5 строчек для ОС Линукс — это сложно и непонятно, а ASA — это раз плюнуть найти человека, который это может поддерживать? Да ну нафиг!

Сбриджевать линки от двух провайдеров это как-то непрофессионально. В результате роутеры провайдеров оказываются directly connected. Во-первых, они могут гонять между собой через вас трафик на layer 2, у вас ведь пожоже нет правил ebtables, которые это пресекали бы. Во-вторых, широковещательные ARP-запросы, посылаемые роутерами провайдеров в эти линки, бриджуются с одного линка на другой. В-третьих, каждый широковещательный ARP-запрос, посылаемый вашим роутером, посылается в результате в оба линка.

На мой взгляд тут не надо было бриджевать линки от провайдеров. Надо было на интерфейсах eth0 и eth3 включить proxy ARP, а на интерфейсе eth1 сконфигурировать две подсети с белыми адресами, которые раздать серверам.

            (isp1)     (isp2)
              |1.1.1.1   |2.2.2.1
1.1.1.0/24 <=====>    <=====> 2.2.2.0/24
              |          |
              |1.1.1.2   |2.2.2.2
              |eth0      |eth3
            (company-router)
              |eth1
              |1.1.1.2
              |2.2.2.2
1.1.1.0/24    |
2.2.2.0/24 <=====>
            | | |
   +--------+ | +--------+
   |          |          |
   |1.1.1.3   |1.1.1.7   |1.1.1.14
   |2.2.2.3   |2.2.2.7   |2.2.2.14
(serv3)    (serv7)     (serv14)

Legend:
(name)   host
<====>   ethernet vlan
|        link

В результате роутеры провайдеров оказываются directly connected.

Угу, они спать не могут, только бы найти клиента, который объеденил их, и сразу же бросятся пириться. Ну да, ну да.

у вас ведь пожоже нет правил ebtables, которые это пресекали бы.

Это тянет на отдельную статью. Какой в этом решении ради вселенского перфекционизма смысл для решения, которое потребуется всего на 2 месяца?

На мой взгляд тут не надо было бриджевать линки от провайдеров.

Мост тут не для объединения, а для решения, описанного в первой статье. Ну некуда делить сетку /29 то.

Во-первых, там нет да нет всплывает что-то типа https://habr.com/post/397021/

Есть такая поговорка: «Locks were invented to keep honest people honest»

Когда кто-то хочет получить информацию, он её получит. Зависит лишь от технических и финансовых возможностей. Продукция Cisco достаточно безопасна, чтобы защитить от кулхацкеров. Большего от неё и не требуется.

во-вторых, оно всё равно не умеет той гибкости, что можно наворотить на ОС общего назначения

Согласен, для некоторых задач ASA недостаточно гибка. Наличие security contexts часто спасает, но не всегда.

в-третьих, тут люди имеют извращенную логику

Логика вполне понятная. Наличие сертификата CCNP Security означает умение читать и писать конфиги для этих железок. Таких людей десятки, если не сотни тысяч, а в сетях самых разных размеров установлены миллионы устройств. Документации, опять-же море и я даже молчу про такую полезную команду как packet-tracer, аналога которой мне так не хватает в linux.

В первой статье в разделе «Правильное решение» также должен быть proxy ARP, а не бриджинг.

пока ты топишь за отказ от «ОС общего назначения» в пользу вендорлока Cisco, сама Cisco медленно поворачивает свой взгляд на такие странные штуки как «чего бы не использовать линукс как роутер» http://www.enterprisenetworkingplanet.com/datacenter/datacenter-blog/cisco-fa...

Я, возможно, открою кому-то тайну, но Cisco ASA отродясь были построены на ядре linux на обычном x86 железе. Что касается SDN - там они тоже в роли основного игрока и продают даже сервера много лет, специально заточенные под OpenStack и интеграцию с openvswitch.

Не говорю, что проприетарщина это круто. Просто удивился, услышав про самодельный шлюз в сколько-нибудь крупной организации в наши дни.

В первой статье в разделе «Правильное решение» также должен быть proxy ARP, а не бриджинг.

Бездоказательно.

Там решалась проблемы, чтобы белая ЛВС считала, что шлюз во вне — это конторский маршрутизатор, на нем один единственный МЭ в сети и все маршруты до клиентов и vpn-ов, а шлюз провайдера считал, что в сети нет никакого маршрутизатора, а есть коммутатор, а проблемы фильтрации и маршрутизации конторы его не волнуют.

Просто удивился, услышав про самодельный шлюз в сколько-нибудь крупной организации в наши дни

ну так себе тема для рассуждения.
если кругом CTO которые обмазываются сертифицированным оборудованием, сертифицированными инженерами, сертифицированными сертификатами, сертифицированной поддержкой и всё это за сертифицированные миллиарды — смотреть на самодельный(OMG, sic!, да как тако~) шлюз как на ерунду повод, честно говря, так себе.

просто с моего дивана, как ты сказал, бегают сотни тыщ сертифицированных, с учётом, что вендра выбирают (в среднем) раз за историю компании — можно сертифицировано прикрыть себе пятую точку %вендор_неймом%.
а можно сделать самодельный шлюз, не потратив много теньге и быть выгнаным с позорам за косяк в конфиге.

Не говорю, что проприетарщина это круто.

Выбирайте одно из двух: Вы либо это самое говорите и нагло врёте, либо просто несёте неудержимый словесный понос не вдаваясь в логику и смысл сказанного.

и быть выгнаным с позорам за косяк в конфиге.

А что, сертифицированного от вышвыривания на мороз спасает сертификат? Я всегда считал, что сертификат может повысить шанс на принятие с желаемой оплатой, а не от увольнения.

ну это не мой отдел. это %вендор_нейм%, уже решаем с поддержкой.