Компутер: Intel i3 @2.8GHz, 8 гигов памяти, нвидия 9800GT... бывший домашний комп теперь трудится на работе. На борту суся с кедами. Компу 5 лет, но тянет почти все последние игрушки на средненьких настройках. В частности, иногда в Метро ЛЛ шпилю и другие линуховые стим игрушки. Два 17" моника.

На кампутере перчатки, кепка, очки, бафф - велопринадлежности. Рядом лежит старый eeePC 900, убунта + lxde на борту, используется оперативного вмешательства в сеть на объектах. Удобен весом и размерами, закинул в рюкзак и гоу на велосипеде в другой офис. Только вот ком-порта не хватает иной раз для цисок.

На столе: грязная кружка, Андройд, Пикачу на фингерборде, сигареты :( с зиппой, псевдодеревянные калонки Genius, уши Филлипс, записульки и канц. принадлежности, семейное фото. :)

На стене мышь имеет функциональное назначение - кнопка электромагнитного замка на входе в кабинет. И опять куча записулек на пробковой доске, которая так же используется иногда как дартс.

Очень удобное кресло, но летом жарко, ибо кожзам. На спинке мелкий велорюкзак на 10 литров.

>>> Просмотр (1632x920, 1087 Kb)

Посоветуйте дистрибутив, заточенный под роутер.

Есть роутер, через который соединяются несколько десятков пользователей и офисов (туннели, pptp, openvpn, оптика, радиоканал etc...). То есть некий exchange point, связывающий региональную сеть. И есть задача - запилить отказоустойчивость, продублировав роутер. Не нашел как запилить сюда картинку, так что вот упрощенная схема ссылкой.

Можно настроить все на любом дистре, но хочется чего-нибудь специализированного, правильного и красивого. Есть так же в наличии циски 28xx, но openvpn они не умеют.

Нужно чтобы умело vlan, gre, ip-ip, ipsec, ospf, pptp+mppe, openvpn, routing policy, vrrp, snmp. Важно чтобы была человеческая веб-морда... большинство компонентов настроил и забыл, а вот ВПНы заводить и удалять задалбывает из консоли.

По нагрузке: ~100 активных подключений с шифрованием (openvpn/ipsec/mppe) с нагрузкой 30-50мбит + 10 офисов через езернет, все те же 30-50мбит.

Есть недорогие серверные железки: двуядреные @2.8Ghz, 4Gb RAM, 2xSATA в зеркале. Железки вполне себе справляются, проверялось с запасом. А циски 2801 и 2811, кстати, не справляются. Например, 2811 с vpn-модулями склеивается по процу при ~35-40mbps ipsec. В бумажках нагло врут про ~130mbps ipsec.

Никакого NATа, никаких проксей - только впн с шифрованием и роутинг.

Пока выбор пал на Vyatta - самый шустрый и, по словам неких «специалистов», самый надежный, но они выпилили веб-морду из бесплатной версии, да и вообще подобная тенденция не радует.

Есть еще pfSense, но он более для шлюз/фаерволл заточен, нежели под роутер, да и по скорости прилично проигрывает Vyatta.

Да и вообще куча всяких шлюзных дистров - Zentyal, m0n0wall и прочие, а вот для роутеров...

Ситуация:
на циске на одном интерфейсе два ипа - 1.1.1.1 праймари и 2.2.2.1 секондари. Два IPSEC соединения, настроенные на эти два ипа и работает только то, которое на 1.1.1.1 настроено, так как трафик выходит всегда с праймари source ip.

Нужно либо в одном из IPSEC-соединений задать явно source ip 2.2.2.1, потому что на другом конце IPSEC настроен на этот ип. Или же поставить source ip 2.2.2.1 для определенного назначения, аналог линухового:
iptables -t nat -A POSTROUTING -d 3.3.3.3 -j SNAT --to-source 2.2.2.1

Хотелось бы обойтись без ната и поберечь ресурсы, так как трафик будет не маленький, а еще плюс 3 IPSEC соединения.

Добре Вам,

уже третьи сутки бьюсь головой об клаву, не могу победить IPSEXC.

Ситуация: две локалки, GRE туннели между ними, с одной стороны Cisco с последней прошивкой ADVIPSERVICESK9-M Version 12.4(24)T8, с другой стороны сервачок с openSUSE 13.1 на борту + ipsec-tools-0.7.3. Нужно туннель зашифровать.

Сейчас пытаюсь разобраться c IPSEC, так что туннель пока потушен с обоих концов. Пытаюсь добиться чтобы просто хотя бы ходил трафик в шифрованном виде между этими двумя точками.

На линухе айпишник 1.1.1.1, на циске 2.2.2.2.

Конфиг на циске:

crypto isakmp policy 30
 encr aes 
 authentication pre-share
 group 5  
 lifetime 28800
crypto isakmp key fxPJ941oLxesoq8F1nDrMtSBTrbl3MiG address 1.1.1.1
!         
crypto ipsec transform-set SUN_SET esp-aes esp-sha-hmac 
!         
crypto map SUN 30 ipsec-isakmp 
 description SUN_TUN_KZT
 set peer 1.1.1.1
 set transform-set SUN_SET 
 match address 110
!
ip access-list extended BLA
 permit ip host 2.2.2.2 host 1.1.1.1
 permit ip host 1.1.1.1 host 2.2.2.2
!
interface FastEthernet0/0
 ip address 2.2.2.2 255.255.255.248
 crypto map SUN
!

На линухе, racoon.conf:

remote anonymous
{
    exchange_mode aggressive,main;
    doi ipsec_doi;
    situation identity_only;
    my_identifier address 1.1.1.1;
    peers_identifier address 2.2.2.2;
    lifetime time 8 hour;
    passive off;
    proposal_check obey;
    generate_policy off;

    proposal {
        encryption_algorithm aes 128;
        hash_algorithm sha1;
        authentication_method pre_shared_key;
        lifetime time 28800 sec;
        dh_group 5;
    }
}

sainfo anonymous
{
    pfs_group 5;
    lifetime time 28800 sec;
    encryption_algorithm aes 128;
    authentication_algorithm hmac_sha1;
    compression_algorithm deflate;
}

setkey.conf

flush;
spdflush;

spdadd 1.1.1.1 2.2.2.2 any -P out ipsec esp/tunnel/1.1.1.1-2.2.2.2/require;
spdadd 2.2.2.2 1.1.1.1 any -P in ipsec esp/tunnel/1.1.1.1-2.2.2.2/require;

psk.txt

2.2.2.2 fxPJ941oLxesoq8F1nDrMtSBTrbl3MiG

В итоге с логах все хорошо... циска:

*Dec  4 14:34:01.770: IPSEC(create_sa): sa created,
  (sa) sa_dest= 2.2.2.2, sa_proto= 50, 
    sa_spi= 0x17516333(391209779), 
    sa_trans= esp-aes esp-sha-hmac , sa_conn_id= 35
    sa_lifetime(k/sec)= (4581842/3600)
*Dec  4 14:34:01.770: IPSEC(create_sa): sa created,
  (sa) sa_dest= 1.1.1.1, sa_proto= 50, 
    sa_spi= 0x67A1DC4(108666308), 
    sa_trans= esp-aes esp-sha-hmac , sa_conn_id= 36
    sa_lifetime(k/sec)= (4581842/3600)

линуха:

2013-12-04T14:14:48.651365+06:00 sun racoon: INFO: IPsec-SA established: ESP/Tunnel 1.1.1.1[500]->2.2.2.2[500] spi=391209779(0x17516333)

Пинги не ходят.

Запускаю пинг в количестве 1 шт. имотрю tcpdump на линухе... С линухи на циску:

14:10:43.166677 IP 1.1.1.1 > 2.2.2.2: ESP(spi=0x53fa4b7c,seq=0x10), length 132
14:10:43.175262 IP 2.2.2.2 > 1.1.1.1: ESP(spi=0x0a5e45e5,seq=0x10), length 132
14:10:43.175262 IP 2.2.2.2 > 1.1.1.1: ICMP echo reply, id 22116, seq 1, length 64

14:10:55.471651 IP 2.2.2.2 > 1.1.1.1: ESP(spi=0x0a5e45e5,seq=0x11), length 148
14:10:55.471651 IP 2.2.2.2 > 1.1.1.1: ICMP echo request, id 43, seq 0, length 80

То есть с линухи уходит ICMP пакет в зашифрованном виде, приходит 1 пакет с ответом в зашифрованном виде и 1 в открытом? Или это так tcpdump отображает один и тот же пакет до и после расшифровки? С циски пинг так же приходит по два раза, в зашифрованном виде и в открытом. Линуха при этом не отвечает.

Если мониторить со стороны циски... пинг с циски на линуху:

*Dec  4 14:51:24.774: IP: s=2.2.2.2 (local), d=1.1.1.1 (FastEthernet0/0), len 100, sending
*Dec  4 14:51:24.774: IP: s=2.2.2.2 (local), d=1.1.1.1 (FastEthernet0/0), len 100, output feature, IPSec output classification(25), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Dec  4 14:51:24.774: pak 47A81C50 consumed in output feature , packet consumed, IPSec: to crypto engine(54), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Dec  4 14:51:24.774: IP: s=2.2.2.2 (local), d=1.1.1.1 (FastEthernet0/0), len 168, post-encap feature, (1), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Dec  4 14:51:24.774: IP: s=2.2.2.2 (local), d=1.1.1.1 (FastEthernet0/0), len 168, post-encap feature, FastEther Channel(2), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Dec  4 14:51:24.774: IP: s=2.2.2.2 (local), d=1.1.1.1 (FastEthernet0/0), len 168, sending full packet

Видно, что зашифрован и отправлен 1 пакет, ответа от линухи нет. Копии пакета в открытом виде нет, так что скорее всего tcpdump показывает действительно пакеты по два раз.

Вот и получается фигня какая-то, IPSEC договорились, пакеты ходят, но связи нет. Видно, что загвоздка в линухе... но где копать?

Прошу помощи у более опытных специалистов, чем я, настроивших over 0 IPSEC каналов. На третьи сутки уже ум за разум заходит.

Кресло-качалка на лоджии. Вечером и на выходных отдыхаю на сквозняке. :)

Зимой не вариант, холодно. :(

>>> Просмотр (1600x1200, 231 Kb)

Доброго времени суток!

Что есть:
openSUSE 11.0
ejabberd 2.1.0
PHP 5.2.9
MySQL 5.0.51
Внешняя авторизация в MySQL через PHP-скрипт(http://www.ejabberd.im/check_mysql_php)
~1500 пользователей, ~500 постоянно подключенных.

И в довесок к этому есть следующая проблема:
После запуска сервера в течении нескольких дней все работает отлично, потом начинаются глюк с авторизацией - пускает любого пользователя с любым паролем. Иногда не с первого раза, но все равно пускает. Т.е. ввожу в клиенте несуществующего пользователя или существующего, но с неправильным паролем и подключаюсь как ни в чем не бывало. Иногда отбривает с первого раза, но после пару переподключений все равно пускает. Точно такая же ситуация с веб-админкой. Ввожу пароль админа, заведомо неправильный пароль - пару раз отбривает, потом пускает.

По логу скрипта видно, что сам скрипт отрабатывает нормально. Т.е. с БД общается, отвечает что пользователь/пароль неправильный, но у ejabberd как будто свое мнение на этот счет:

Nov  9 15:17:59 ns01 pipe-auth: Reading 29 bytes ... 
Nov  9 15:17:59 ns01 pipe-auth: IN: auth:zigmund:domain.com:passw
Nov  9 15:17:59 ns01 pipe-auth: GO: auth:zigmund:domain.com:passw
Nov  9 15:17:59 ns01 pipe-auth: data length is : 29
Nov  9 15:17:59 ns01 pipe-auth: Command was : auth
Nov  9 15:17:59 ns01 pipe-auth: Command : auth:zigmund:domain.com:cffbad68bb97a6c3f943538f119c992c ==> 0 
Nov  9 15:17:59 ns01 pipe-auth: RE: 
Nov  9 15:17:59 ns01 pipe-auth: OUT: 2

Подключение внешней авторизации в ejabberd:

{host_config, "domain.com",
    [
      {auth_method, external},
      {extauth_program, "/home/jabber/current/conf/auth-domain-com.php"}
    ]}.

Вначале стоял другой PHP-скрипт авторизации, было точно такая же проблема. То же самое и с ejabberd - обновлял несколько версий, глюк остается. Такое ощущение как будто буфер пайпа переполняет, или еще что-нибудь в этом роде... После перезапуска все отлично в течении нескольких дней / недели, потом опять все заново.