LINUX.ORG.RU

Вышел VyOS 1.1.8

 , ,


1

1

VyOS — дистрибутив для маршрутизаторов, форк Vyatta. Поддерживает платформу x86/x86_64. Некоторое начальное представление о том, что это такое, можно получить из статьи.

Несмотря на минорный номер, обновление не только устраняет уязвимости и прочие ошибки, но и добавляет новые возможности.

Предыдущая версия, 1.1.7 была выпущена более 1,5 лет назад (17.02.2016).

Новые возможности (более подробное описание каждой функции доступно по основной ссылке):

  • User/password authentication for OpenVPN client mode
  • Bridged OpenVPN servers no longer require subnet settings
  • New OpenVPN options exposed in the CLI
  • Point to point VXLAN tunnels are now supported
  • AS-override option for BGP
  • Buffer size option for NetFlow/sFlow
  • VLAN QoS mapping options
  • Ability to set custom sysctl options
  • Custom client ID for DHCPv6
  • Ethernet offload options
  • Syslog level «all»

Некоторые, наиболее заметные багфигсы:

  • Устранение уязвимостей ПО (OpenSSL, dnsmasq, hostapd)
  • Protocol negation in NAT not working correctly (it had exactly opposite effect and made the rule match the negated protocol instead)
  • Inability to reconfigure L2TPv3 interface tunnel and session ID after interface creation
  • GRUB not getting installed on RAID1 members
  • Lack of USB autosuspend causing excessive CPU load in KVM guests
  • VTI interfaces not coming back after tunnel reset
  • Cluster failing to start on boot if network links take too long to get up

Ссылки:

>>> "1.1.8 release is available for download" -- новость в блоге авторов

★★★★★

Проверено: jollheef ()

VyOS - это основанный на дистрибутиве Debian межсетевой экран, представляющий собой основанную на дистрибутиве Debian операционную систему.

У вас там в Wiki ошибка. «Основанный на дистрибутиве Debian» и тут же «основанную на дистрибутиве Debian».

Лучше перевести новость полностью. Не подтвердят же.

a1batross ★★★★★ ()
Последнее исправление: a1batross (всего исправлений: 1)
Ответ на: комментарий от a1batross

У вас там в Wiki ошибка. «Основанный на дистрибутиве Debian» и тут же «основанную на дистрибутиве Debian».

Увы, не у меня. Я доступа к редактированию не имею.

Harliff ★★★★★ ()

А насколько VyOS обогнал или отстал от AT&T Vyatta?

Поснится когда Vyatta ещё принадлежала Broadcom, те продавали её в качестве NFV решения, не знаю, что-то ней AT&T там делать собирается.

ZANSWER ()

Чем оно лучше/хуже Mikrotik RouterOS? Плюсы-минусы-подводные камни.

Вроде бы, большинство из его фич микротик умеет в бесплатной версии (level 1, требуется только регистрация).

moooV ()
Ответ на: комментарий от moooV

В бесплатной версии Cloud Hosted Router у тебя ограничение по пропускной способности в один мегабит на интерфейс. level1 лицензия RouterOS годится только для домашнего роутера: куча ограничений ко количеству интерфейсов (два человека по впн уже не подключатся одновременно, два влана не заведёшь), нет протоколов динамической маршрутизации и так далее. Ну и интерфейс консоли не cisco-like, что для меня минус.

lizard ★★ ()
Ответ на: комментарий от moooV

несмотря на то, что Mikrotik RouterOS выглядит весьма приятно, но у меня лично были с ним проблемы - достаточно часто случалось, что он терял подключение к провайдеру по PPPOE и не мог подключиться больше (только перезагрузка) и DHCPv6-PD «работает» с аналогичным успехом. Сменил это на роутер на основе Debian, все проблемы ушли. =)

skvorli ()
Ответ на: комментарий от moooV

Чем оно лучше/хуже Mikrotik RouterOS? Плюсы-минусы-подводные камни.

Более удобный configuration management. Есть явное разделение на обычный режим и режим конфигурирования. Можно внести несколько изменений, просмотреть их (вывод в виде diff'a), и если всё нравится — сделать commit. Если не понравилось — exit discard. Можно сравнить с одной из предыдущих версий конфигурации. Если изменения потенциально опасные (могут привести к невозможности управления устройством), то можно использовать commit-confirm (применённые изменения нужно подтвердить командой confirm, иначе устройство восстановит старые настройки). Пока с перезагрузкой, на 2.0 планируют сделать без перезагрузки.

cli, на мой вкус, более продуманный (такое мнение не у меня одного, кстати). Нет GUI, кому-то это будет минусом.

Есть полноценное GNU/Linuх-окружение (если выполнить sudo su).

OpenVPN нормально поддерживается (в RouterOS нет UDP и ещё чего-то).

У RouterOS есть некоторые фичи (MPLS, например), которые не реализованы в VyOS.

Подводные камни? Консистентной качественной документации нет. Есть документация от Brocade (если нужно, могу поискать ссылку) --- отлично написано, на 95% корректно. Есть документация по VyOS, но её мало, и написана она... недостаточно академично.

Harliff ★★★★★ ()
Последнее исправление: Harliff (всего исправлений: 2)
Ответ на: комментарий от moooV

тем, что его можно подебажить/пофиксить при необходимости, да и на багрепорты реагируют шустро. а в микротике нет даже нормального tcpdump'а (вернее, есть целых 2 его аналога, но оба кривые и недоделанные), а critical баги (ну типа полного виса системы при ssh брутфорсе) могут жить годами.

NiTr0 ★★★★★ ()
Ответ на: комментарий от Harliff

Подводные камни? Консистентной качественной документации нет.

да собссно у микротика точно так же, а скорее - даже хуже. есть некоторые примеры настройки, и есть мантра дистрибьютеров «у вас виснет из-за неправильных настроек, сбросьте все и настройте правильно» (ессно, «правильные настройки» не приводятся).

NiTr0 ★★★★★ ()
Ответ на: комментарий от Harliff

Cli у VyOS (Vyatta) прямо из JunOS/IOS XR, не удивительно, что он приятнее того, что есть в RouterOS. Правда, как вы уже заметили, по функциональному наполнению, первая отстаёт от второй, зато она OpenSource, а вторая ClosedSource, разница, как говорится на лицо.

P/S/ Я знаю, что если совершить тайный обряд, можно получить какую-то часть из исходных кодов RouterOS, ту, что взята у GNU, но она не содержит много того, что Mikrotik называет «MikroTikls proprietary SOFTWARE», то есть всё самое ценное, чего нет в VyOS. :)

ZANSWER ()
Последнее исправление: ZANSWER (всего исправлений: 1)
Ответ на: комментарий от NiTr0

в микротике нет даже нормального tcpdump'а (вернее, есть целых 2 его аналога, но оба кривые и недоделанные)

Люто, бешенно плюсую. Что Torch, что Packet capture - тот еще ад при дебаге

Pinkbyte ★★★★★ ()
Ответ на: комментарий от BigKAA

Только из-за этого убики брать приходиться.

Пользуемся сами Edgerouter-ами, но вот меня волнует вопрос - а не треснет ли там OpenVPN на 100-200Мбит/сек(речь про Edgerouter PRO). GRE у меня в более-менее хитрых конфигурациях загибался как раз на такой скорости(100% CPU, вот это вот всё).

Не, если простые Ethernet-интерфейсы без VLAN-ов, без бондинга и прочего и целый один GRE-туннель - всё четко.

Но, к сожалению, приходится признать, что Ubiquiti/Mikrotik - это «типа Cisco для очень бедных» и плясать от этого. То там нет offload-а нужной фичи, то фича есть, но реализована ТАК криво, что лучше бы о ней вообще не заявляли(MPLS в Edgerouter, я про тебя, да-да...)

Pinkbyte ★★★★★ ()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от Pinkbyte

приходится признать, что Ubiquiti/Mikrotik - это «типа Cisco для очень бедных»

немного не так.

вайфайки у них вполне ничего (хотя на моей памяти лет 5-6 назад микротыки то ли грувы то ли еще что-то типа того на пром.объекте искаропки нормально не работали, тот что АР уходил в себя раз в неделю, тот что клиент - раз в месяц, подперли временно костылем в виде ребута при пропадании пинга - познавать дзен апдейта фирмвари по тимвьюверу с чахлым 2g+ edge каналом не хотелось).

остальное - уровня сохо. ну т.е. грубо говоря длинк с кучей крутилок, часть из которых не работает вообще, часть - работает через заднее место, часть - кое-как пыхтит, если не включать несколько фич вместе. в т.ч. распиаренные CCR с неадекватным ценником (старшая 72-ядерная поделка сдыхает на 2 гбитах терминации пппое+нат - ну т.е. как какой-то целерон)

NiTr0 ★★★★★ ()
Ответ на: комментарий от Pinkbyte

Тем не менее они позволяют выполнить экспорт в PCAP, для полноценного анализа в Wireshark и этого более чем достаточно для того чтобы провести полноценный TSHOOT.

Набортный анализ хорош только для предварительного ознакомления или проверки на уровне, пришёл ли пакет вообще или нет, не более того.

И это касается в том числе и Cisco/Juniper, поэтому винить RouterOS за то, что у них слабо развит монитор пакетов, при возможности их экспорта в PCAP, можно, но такая ли это проблема на самом деле?

Скажем я бы хотел например, лучше увидеть ERSPAN в RouterOS, который Cisco даже описала ввиде ещё не вышедшего RFC, пока это только Draft, но уже под номером 03, тем не менее в ядро Linux, в последнюю версию уже включили реализацию ERSPAN type II, могу спутать тип, пишу по памяти.

И это гораздо важнее локального tcpdump, а уж про удобство вообще молчу. Получить полную копию всего трафика порта в том виде, в котором он был получен или отправлен, в реальном времени.

ZANSWER ()
Ответ на: комментарий от Quasar

Вопрос был по существу, тк кроме микрота с другими роутерными осами дел не имел (если, конечно, саму линь в общем случае не считать роутерной осью).

Например, сейчас у меня стоит сколхозенный из 6 сетевух, мамки на i845, старого целерона 1.7 и ide винта на 8гб роутер под ROS с бесплатным level 1, справляется отлично уже год, вообще идеально. Конечно, у меня задачи довольно простые - частный дом, поэтому роутинг нескольких подсетей - интернет в домашнюю сеть для повседневного использования, видеонаблюдение, небольшая рендер-ферма в подвале, гостевой вайфай, итд. По факту, нужен NAT, фаервол, шейпер. До этого колхозил то же самое и на генте, и на убунте - всегда что-то периодически падало и требовало ковыряния: то айпишник не получит от провайдера, то бридж отвалится, то ARP invalid, то еще какие косяки при пропаже питания. А микротик работает без единого разрыва, что называется - «Just works». Один раз настроил и забыл, обслуживания ноль.

Поэтому и интересно мнение насчет других роутерных ос. Кстати, консольный интерфейс у него мне очень вкатил - намного проще и удобнее, чем в голом линуксе.

[оффтопъ] А насчет проприетарности меня совсем другое мнение: это чаще жирный плюс, чем минус - во всяком случае, по моему опыту в области графики это именно так: и по возможностям софта, и по размеру коммьюнити - разрыв в порядок или два однозначно. Открытому софту «срать, пердеть, не долететь», как говорится.

В других областях - хз, но если смотреть, что пользователи голосуют рублем и производители пилят именно то, что востребовано, то в бОльшинстве случаев это так. Просто посмотри на долю непроприетарных ос на десктопе. [/оффтопъ]

moooV ()
Ответ на: комментарий от moooV

Ну а я эти микротики в виде ccr-1036 и 1072 плотно использую, и могу ответственно заявить, что они не то чтобы полное говно, но явно не выдерживают сравнения даже с джуниперами.

lizard ★★ ()
Ответ на: комментарий от moooV

Один раз настроил и забыл, обслуживания ноль.

ровно до того момента, как выяснится что какая-то нужная фича не работает/работает через анус. и тогда начинается веселый квест «угадай, почему оно не работает, и придумай как его починить». при том, что дебага нет от слова вообще.

потому и типовое решение проблемы - тупое тыканье галочек в надежде, что отключение фичи Х починит фичу У.

Просто посмотри на долю непроприетарных ос на десктопе.

лучше посмотреть долю непроприетарных ОС в, к примеру, веб-хостинге. который к маршрутизации куда ближе, чем десктоп.

NiTr0 ★★★★★ ()
Ответ на: комментарий от lizard

они обычно не выдерживают сравнения даже с линукс-тазиками, при условии прямых рук. я приводил пример терминации пппое с натом и бгп - железка ценой в 3 килобакса сдувается на 2 гбитах трафика. чторавно производительности какого-то современного целерона под линуксом.

и это не говоря о том, что бгп в микротике сам по себе ущербный (при 2 фуллвью флап бгп сессии приводит к 20-минутной перестройке таблицы маршрутизации), распараллеливание по ядрам делается средствами RPS (аппаратных очередей нет) из-за чего при средней загрузке в 30-40% по ядрам отдельные ядрышки упираются в полку и начинаются дропы пакетов, в CCR с гигабитными портами те самые гигабитные порты реализованы на дешманских soho сетевушках от атероса (которые в общем-то примерно уровня via/realtek по производительности/фичам/нагрузке на проц)...

потому и пишу - это не циско/джун для бедных, это асус/длинк с кучей рюшек.

NiTr0 ★★★★★ ()
Ответ на: комментарий от NiTr0

ровно до того момента, как выяснится что какая-то нужная фича не работает/работает через анус. и тогда начинается веселый квест «угадай, почему оно не работает, и придумай как его починить». при том, что дебага нет от слова вообще.

потому и типовое решение проблемы - тупое тыканье галочек в надежде, что отключение фичи Х починит фичу У.

Ой, да не надо. Я бывший веб-разраб, даже в паре крупных хостеров успел поработать. Так вот, наличие исходников к починке проблемы не приближает ни грамма - для этого даже знания c/c++ мало, надо быть досконально знакомым с внутрянкой софта, который используется. Конечно, можно потратить несколько дней на расковыривание багов в пхп/сфинксе/мускуле, а можно просто написать багрепорт и городить костыли, пока его чинят.

Так что в этом плане ну ни капли не отличается от проприетарщины - гипотетический плюс в виде «оно открытое, починим» разбивается об масштабы тулов и неочевидность багов в них.

moooV ()
Ответ на: комментарий от moooV

Так вот, наличие исходников к починке проблемы не приближает ни грамма

открытые исходники + нормальный дебаг + живое коммюнити куда лучше, чем саппорт-попугай сохо поделок, предлагающий попробовать сбросить настройки и сконфигурить все по-новой в качестве универсального решения проблем.

повторюсь, в роутерос более 3 лет существовал критический баг, вешающий намертво девайс при множестве ssh коннектов. ну т.е. любой брутфорс на ssh - и девайс висит. решение - лишь отключать/прикрывать файрволом ssh. разработчик был в курсе, но клал на эту дырень болт, рекомендуя не использовать ssh.

NiTr0 ★★★★★ ()
Ответ на: комментарий от NiTr0

Здесь насчет микротика конкретно согласен, но такая херня бывает везде, независимо от открытости софта - достаточно вспомнить недавные драмы с сисмтемд и WONTFIX.

moooV ()
Ответ на: комментарий от moooV

systemd - опциональный компонент который легко выкосить (да и юзается не везде). в ядре же баги фиксятся довольно оперативно. + опять же если сильно надо - заплатку вполне можно и самому сделать.

а закрытый проприетарный блоб, лишенный какой-либо вменяемой диагностики (ни netconsole, ни логгинга крашей в терминал, ничего) в сумме с отсутствующей поддержкой (попробуйте-ка заключить SLA к примеру) - к серьезному использованию непригоден.

ну и да, вы не ответили: какой % закрытых осей (ну, там, винда к примеру, с ее потугами родить через анус IIS) на веб-хостингах?

NiTr0 ★★★★★ ()
Ответ на: комментарий от NiTr0

Если честно, я думал, что примерно такой же, как и открытых на десктопе. Нагуглил - нет, ни чего подобного.

W3C говорит, что на ноябрь 2017 линукс 37%, винда - 33%. Пруф: https://w3techs.com/technologies/comparison/os-linux,os-windows

moooV ()
Ответ на: комментарий от moooV

остальное - «неизвестный unix» который скорее всего линукс с зарезанной идентификацией https://w3techs.com/technologies/details/os-unix/all/all т.е. проприетарных ос - всего 33%.

и в линуксе - подавляющее большинство у топ-3: убунту, дебиан, центос. RHEL с поддержкой не особо-то юзают.

NiTr0 ★★★★★ ()
Ответ на: комментарий от moooV

Я бывший веб-разраб
наличие исходников к починке проблемы не приближает ни грамма

Потому и не приближает, что вы веб-разраб а не программист. Лично я много раз фиксил, менял под свои задачи существующие продукты и только наличие исходников делало это возможным.

A-234 ★★★★★ ()
Ответ на: комментарий от A-234

Тут сразу пара вопросов:

1) Сколько времени это заняло? И могла ли компания это себе позволить по времени - обычно же «ололо, горим!» и «должно было быть выкачено в прод еще вчера».

2) Было ли это в рабочее время, или для своих увлечений? Если в рабочее время, то отсылались ли патчи в апстрим? Например, во всех компаниях, где я работал, это бы не поощрялось - собственность компании же.

moooV ()
Ответ на: комментарий от moooV

И для себя и по работе. Время зависит от размера «допилинга», от пары часов до нескольких месяцев. Глупо мастерить свой самобытный браузер только потому что вам понадобилась не реализованная фича в киоск-моде. Это только на первый взгляд изменение чужого кода выглядит сумасшедшей задачей, при правильном инструментарии и наличии опыта, как правило, проще допилить нечто существующее чем городить с нуля свое.

A-234 ★★★★★ ()

Осталось выпилить из этой системы линакс и заменить его на кошерную RTOS (тот же FreeRTOS или Embox) и станет пригодно к продакшену. :)

anonymous ()
Ответ на: комментарий от NiTr0

Кстати, а есть какие-нибудь тесты? В соседнем филиале упёрлись рогом (подозреваю, просто ниасилили настройку биллинга) и городят pppoe как раз с терминацией на 1036. Я как-то бегло гуглил, но нашёл только пару вопросов на форумах. Дистрибьюторы и саппорт микротика такие вопросы тактично игнорируют.

lizard ★★ ()