Компутер: Intel i3 @2.8GHz, 8 гигов памяти, нвидия 9800GT... бывший домашний комп теперь трудится на работе. На борту суся с кедами. Компу 5 лет, но тянет почти все последние игрушки на средненьких настройках. В частности, иногда в Метро ЛЛ шпилю и другие линуховые стим игрушки. Два 17" моника.

На кампутере перчатки, кепка, очки, бафф - велопринадлежности. Рядом лежит старый eeePC 900, убунта + lxde на борту, используется оперативного вмешательства в сеть на объектах. Удобен весом и размерами, закинул в рюкзак и гоу на велосипеде в другой офис. Только вот ком-порта не хватает иной раз для цисок.

На столе: грязная кружка, Андройд, Пикачу на фингерборде, сигареты :( с зиппой, псевдодеревянные калонки Genius, уши Филлипс, записульки и канц. принадлежности, семейное фото. :)

На стене мышь имеет функциональное назначение - кнопка электромагнитного замка на входе в кабинет. И опять куча записулек на пробковой доске, которая так же используется иногда как дартс.

Очень удобное кресло, но летом жарко, ибо кожзам. На спинке мелкий велорюкзак на 10 литров.

Посоветуйте дистрибутив, заточенный под роутер.

Есть роутер, через который соединяются несколько десятков пользователей и офисов (туннели, pptp, openvpn, оптика, радиоканал etc...). То есть некий exchange point, связывающий региональную сеть. И есть задача - запилить отказоустойчивость, продублировав роутер. Не нашел как запилить сюда картинку, так что вот упрощенная схема ссылкой.

Можно настроить все на любом дистре, но хочется чего-нибудь специализированного, правильного и красивого. Есть так же в наличии циски 28xx, но openvpn они не умеют.

Нужно чтобы умело vlan, gre, ip-ip, ipsec, ospf, pptp+mppe, openvpn, routing policy, vrrp, snmp. Важно чтобы была человеческая веб-морда... большинство компонентов настроил и забыл, а вот ВПНы заводить и удалять задалбывает из консоли.

По нагрузке: ~100 активных подключений с шифрованием (openvpn/ipsec/mppe) с нагрузкой 30-50мбит + 10 офисов через езернет, все те же 30-50мбит.

Есть недорогие серверные железки: двуядреные @2.8Ghz, 4Gb RAM, 2xSATA в зеркале. Железки вполне себе справляются, проверялось с запасом. А циски 2801 и 2811, кстати, не справляются. Например, 2811 с vpn-модулями склеивается по процу при ~35-40mbps ipsec. В бумажках нагло врут про ~130mbps ipsec.

Никакого NATа, никаких проксей - только впн с шифрованием и роутинг.

Пока выбор пал на Vyatta - самый шустрый и, по словам неких «специалистов», самый надежный, но они выпилили веб-морду из бесплатной версии, да и вообще подобная тенденция не радует.

Есть еще pfSense, но он более для шлюз/фаерволл заточен, нежели под роутер, да и по скорости прилично проигрывает Vyatta.

Да и вообще куча всяких шлюзных дистров - Zentyal, m0n0wall и прочие, а вот для роутеров...

Ситуация:
на циске на одном интерфейсе два ипа - 1.1.1.1 праймари и 2.2.2.1 секондари. Два IPSEC соединения, настроенные на эти два ипа и работает только то, которое на 1.1.1.1 настроено, так как трафик выходит всегда с праймари source ip.

Нужно либо в одном из IPSEC-соединений задать явно source ip 2.2.2.1, потому что на другом конце IPSEC настроен на этот ип. Или же поставить source ip 2.2.2.1 для определенного назначения, аналог линухового:
iptables -t nat -A POSTROUTING -d 3.3.3.3 -j SNAT --to-source 2.2.2.1

Хотелось бы обойтись без ната и поберечь ресурсы, так как трафик будет не маленький, а еще плюс 3 IPSEC соединения.

Добре Вам,

уже третьи сутки бьюсь головой об клаву, не могу победить IPSEXC.

Ситуация: две локалки, GRE туннели между ними, с одной стороны Cisco с последней прошивкой ADVIPSERVICESK9-M Version 12.4(24)T8, с другой стороны сервачок с openSUSE 13.1 на борту + ipsec-tools-0.7.3. Нужно туннель зашифровать.

Сейчас пытаюсь разобраться c IPSEC, так что туннель пока потушен с обоих концов. Пытаюсь добиться чтобы просто хотя бы ходил трафик в шифрованном виде между этими двумя точками.

На линухе айпишник 1.1.1.1, на циске 2.2.2.2.

Конфиг на циске:

crypto isakmp policy 30
 encr aes 
 authentication pre-share
 group 5  
 lifetime 28800
crypto isakmp key fxPJ941oLxesoq8F1nDrMtSBTrbl3MiG address 1.1.1.1
!         
crypto ipsec transform-set SUN_SET esp-aes esp-sha-hmac 
!         
crypto map SUN 30 ipsec-isakmp 
 description SUN_TUN_KZT
 set peer 1.1.1.1
 set transform-set SUN_SET 
 match address 110
!
ip access-list extended BLA
 permit ip host 2.2.2.2 host 1.1.1.1
 permit ip host 1.1.1.1 host 2.2.2.2
!
interface FastEthernet0/0
 ip address 2.2.2.2 255.255.255.248
 crypto map SUN
!

На линухе, racoon.conf:

remote anonymous
{
    exchange_mode aggressive,main;
    doi ipsec_doi;
    situation identity_only;
    my_identifier address 1.1.1.1;
    peers_identifier address 2.2.2.2;
    lifetime time 8 hour;
    passive off;
    proposal_check obey;
    generate_policy off;

    proposal {
        encryption_algorithm aes 128;
        hash_algorithm sha1;
        authentication_method pre_shared_key;
        lifetime time 28800 sec;
        dh_group 5;
    }
}

sainfo anonymous
{
    pfs_group 5;
    lifetime time 28800 sec;
    encryption_algorithm aes 128;
    authentication_algorithm hmac_sha1;
    compression_algorithm deflate;
}

setkey.conf

flush;
spdflush;

spdadd 1.1.1.1 2.2.2.2 any -P out ipsec esp/tunnel/1.1.1.1-2.2.2.2/require;
spdadd 2.2.2.2 1.1.1.1 any -P in ipsec esp/tunnel/1.1.1.1-2.2.2.2/require;

psk.txt

2.2.2.2 fxPJ941oLxesoq8F1nDrMtSBTrbl3MiG

В итоге с логах все хорошо... циска:

*Dec  4 14:34:01.770: IPSEC(create_sa): sa created,
  (sa) sa_dest= 2.2.2.2, sa_proto= 50, 
    sa_spi= 0x17516333(391209779), 
    sa_trans= esp-aes esp-sha-hmac , sa_conn_id= 35
    sa_lifetime(k/sec)= (4581842/3600)
*Dec  4 14:34:01.770: IPSEC(create_sa): sa created,
  (sa) sa_dest= 1.1.1.1, sa_proto= 50, 
    sa_spi= 0x67A1DC4(108666308), 
    sa_trans= esp-aes esp-sha-hmac , sa_conn_id= 36
    sa_lifetime(k/sec)= (4581842/3600)

линуха:

2013-12-04T14:14:48.651365+06:00 sun racoon: INFO: IPsec-SA established: ESP/Tunnel 1.1.1.1[500]->2.2.2.2[500] spi=391209779(0x17516333)

Пинги не ходят.

Запускаю пинг в количестве 1 шт. имотрю tcpdump на линухе... С линухи на циску:

14:10:43.166677 IP 1.1.1.1 > 2.2.2.2: ESP(spi=0x53fa4b7c,seq=0x10), length 132
14:10:43.175262 IP 2.2.2.2 > 1.1.1.1: ESP(spi=0x0a5e45e5,seq=0x10), length 132
14:10:43.175262 IP 2.2.2.2 > 1.1.1.1: ICMP echo reply, id 22116, seq 1, length 64

14:10:55.471651 IP 2.2.2.2 > 1.1.1.1: ESP(spi=0x0a5e45e5,seq=0x11), length 148
14:10:55.471651 IP 2.2.2.2 > 1.1.1.1: ICMP echo request, id 43, seq 0, length 80

То есть с линухи уходит ICMP пакет в зашифрованном виде, приходит 1 пакет с ответом в зашифрованном виде и 1 в открытом? Или это так tcpdump отображает один и тот же пакет до и после расшифровки? С циски пинг так же приходит по два раза, в зашифрованном виде и в открытом. Линуха при этом не отвечает.

Если мониторить со стороны циски... пинг с циски на линуху:

*Dec  4 14:51:24.774: IP: s=2.2.2.2 (local), d=1.1.1.1 (FastEthernet0/0), len 100, sending
*Dec  4 14:51:24.774: IP: s=2.2.2.2 (local), d=1.1.1.1 (FastEthernet0/0), len 100, output feature, IPSec output classification(25), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Dec  4 14:51:24.774: pak 47A81C50 consumed in output feature , packet consumed, IPSec: to crypto engine(54), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Dec  4 14:51:24.774: IP: s=2.2.2.2 (local), d=1.1.1.1 (FastEthernet0/0), len 168, post-encap feature, (1), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Dec  4 14:51:24.774: IP: s=2.2.2.2 (local), d=1.1.1.1 (FastEthernet0/0), len 168, post-encap feature, FastEther Channel(2), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Dec  4 14:51:24.774: IP: s=2.2.2.2 (local), d=1.1.1.1 (FastEthernet0/0), len 168, sending full packet

Видно, что зашифрован и отправлен 1 пакет, ответа от линухи нет. Копии пакета в открытом виде нет, так что скорее всего tcpdump показывает действительно пакеты по два раз.

Вот и получается фигня какая-то, IPSEC договорились, пакеты ходят, но связи нет. Видно, что загвоздка в линухе... но где копать?

Прошу помощи у более опытных специалистов, чем я, настроивших over 0 IPSEC каналов. На третьи сутки уже ум за разум заходит.

Кресло-качалка на лоджии. Вечером и на выходных отдыхаю на сквозняке. :)

Зимой не вариант, холодно. :(

Доброго времени суток!

Что есть:
openSUSE 11.0
ejabberd 2.1.0
PHP 5.2.9
MySQL 5.0.51
Внешняя авторизация в MySQL через PHP-скрипт(http://www.ejabberd.im/check_mysql_php)
~1500 пользователей, ~500 постоянно подключенных.

И в довесок к этому есть следующая проблема:
После запуска сервера в течении нескольких дней все работает отлично, потом начинаются глюк с авторизацией - пускает любого пользователя с любым паролем. Иногда не с первого раза, но все равно пускает. Т.е. ввожу в клиенте несуществующего пользователя или существующего, но с неправильным паролем и подключаюсь как ни в чем не бывало. Иногда отбривает с первого раза, но после пару переподключений все равно пускает. Точно такая же ситуация с веб-админкой. Ввожу пароль админа, заведомо неправильный пароль - пару раз отбривает, потом пускает.

По логу скрипта видно, что сам скрипт отрабатывает нормально. Т.е. с БД общается, отвечает что пользователь/пароль неправильный, но у ejabberd как будто свое мнение на этот счет:

Nov  9 15:17:59 ns01 pipe-auth: Reading 29 bytes ... 
Nov  9 15:17:59 ns01 pipe-auth: IN: auth:zigmund:domain.com:passw
Nov  9 15:17:59 ns01 pipe-auth: GO: auth:zigmund:domain.com:passw
Nov  9 15:17:59 ns01 pipe-auth: data length is : 29
Nov  9 15:17:59 ns01 pipe-auth: Command was : auth
Nov  9 15:17:59 ns01 pipe-auth: Command : auth:zigmund:domain.com:cffbad68bb97a6c3f943538f119c992c ==> 0 
Nov  9 15:17:59 ns01 pipe-auth: RE: 
Nov  9 15:17:59 ns01 pipe-auth: OUT: 2

Подключение внешней авторизации в ejabberd:

{host_config, "domain.com",
    [
      {auth_method, external},
      {extauth_program, "/home/jabber/current/conf/auth-domain-com.php"}
    ]}.

Вначале стоял другой PHP-скрипт авторизации, было точно такая же проблема. То же самое и с ejabberd - обновлял несколько версий, глюк остается. Такое ощущение как будто буфер пайпа переполняет, или еще что-нибудь в этом роде... После перезапуска все отлично в течении нескольких дней / недели, потом опять все заново.