Открыть список
Как стать автором
Обновить
  • по релевантности
  • по времени
  • по рейтингу

Создание point-to-multipoint тоннелей на базе инкапсуляции GRE в Linux 2.6

Чулан
В ОС Linux встроена поддержка двух типов тоннелей: ipip и gre. В том виде, в котором тоннели традиционно используются в системе, без разницы, какой из них использовать: они оба дают в точности одинаковые накладные расходы к пакетам, посылаемым в тоннель IPv4-in-IPv4 (специально проверял), одинаково защищаются средствами IPsec и занимают одинаковое процессорное время для обработки. Однако, это разные типы тоннелей, и возможности gre значительно более широкие.
К сожалению, нигде в интернете не описывается очень удобная и замечательная особенность gre-тоннелей, и большинство (если не все) администраторов Linux не знают о такой возможности, как mGRE-тоннели. К счастью, мы намереваемся восполнить этот недостаток :-)

Читать дальше →
Всего голосов 21: ↑18 и ↓3 +15
Просмотры7.1K
Комментарии 6

ASN GateWay — шлюз доступа WiMAX

Стандарты связи
Этим небольшим топиком я завершаю цикл статей (раз, два) о технологии WiMAX.
Статья будет посвящена по большей части центральному устройству сети: ASN-GW (что в переводе на общечеловеческий Access Service Network GateWay)

Что к чему
Всего голосов 25: ↑24 и ↓1 +23
Просмотры5.5K
Комментарии 30

Не совсем обычное VPN соединение обычными средствами

Сетевые технологии
Искал интересную тему, заслуживающую внимания, чтобы получить инвайт на Хаброхабре и вот нашёл. Такой особенный случай мне пришлось недавно реализовать.

Постановка задачи: Получить доступ к узлам удалённой сети.


Здесь мы будем говорить о двух сетях, которые нужно объединить, одну из которых я буду называть «моя офисная сеть», а другую «удалённая сеть».
Системный администратор удалённой сети отказывается вносить наименьшие изменения, для подключения и единственное что можно сделать — это поместить своё оборудование в удалённой сети. Выход в интернет из этой сетиv4 производится через шлюз, который натит в мир. Нужно построить тоннель, между двумя офисами, чтобы узлы моей офисной сети могли получать доступ к узлам удалённой сети, при минимальных изменениях c обеих сторон.

Для выполнения задачи объединения двух сетей и построения виртуального тоннеля нужно использовать Virtual Private Network. В ходе поиска подходящего варианта подключения, для себя разделил VPN на два вида: клиент-серверный вариант и равноправный. В следующих моментах заключается принципиальное отличие:
  • В равноправном VPN, использующем глобальную сеть интернет, нужно иметь один реальный IP адрес, для каждого из узлов (минимум 2-ва узла). Здесь соединение может быть инициировано каждой из сторон (именно поэтому я так и обозвал его, равноправный), их может быть больше двух.
  • В клиент-серверном варианте, использующем глобальную сеть интернет, нужен только один реальный IP адрес, для сервера. Соединение здесь происходит по требованию клиента, сервер всегда ожидает, клиентов может быть больше одного.

Примечание1: В обоих вариантах должно соблюдается одно из условий (для клиент-серверного варианта, только для сервера):
  • A. VPN peer, должен находится непосредственно на шлюзе (должно быть установлено дополнительное ПО, или устройство должно быть способно устанавливать нужный тип VPN соединений).
  • B. Если же нет возможности запустить VPN peer непосредственно на шлюзе, нужно его сконфигурировать так, чтобы он смог пропускать порт на другое устройство, настроенное как VPN peer.


Читать дальше →
Всего голосов 12: ↑8 и ↓4 +4
Просмотры150.6K
Комментарии 16

Кошерная организация туннелей в OpenWRT

*nix
Итак нам требуется организовать туннель между двумя linux-хостами, одним из которых является наш soho-роутер с этой замечательной прошивкой на борту. Сразу оговоримся, что для нас самое важное — скорость соединения и уменьшение накладных расходов. Посему, о установке пакетов которые реализуют аутентификацию, шифровку трафика, но занимают большое количество заветных килобайт в памяти роутера, мы забудем.
Читать дальше →
Всего голосов 16: ↑11 и ↓5 +6
Просмотры31.5K
Комментарии 6

Сети для самых маленьких. Часть седьмая. VPN

Системное администрированиеСетевые технологии
Tutorial


Покупка заводов в Сибири была стратегически правильным решением для компании “Лифт ми Ам”. После того, как лифты стали ездить не только вверх, но и вниз, дела компании пошли… нет полетели, вверх. Лифты начали разбирать, как горячие пирожки со стола. Название уже не соответствовало действительности и было принято решение о ребрендинге. (На самом деле их замучила судебная тяжба с Моби).
Итак, под крыло ЛинкМиАп планируется взять заводы в Новосибирске, Томске и Брно. Самое время подумать о том, как это хозяйство подключить к имеющейся сети.

Итак, сегодня рассматриваем
1) Возможные варианты подключения, их плюсы и минусы
2) Site-to-Site VPN на основе GRE и IPSec
3) Большая тема: динамическая многоточечная виртуальная сеть (DMVPN) в теории и на практике.

В традиционном видео лишь ёмкая выжимка из статьи, посвящённая работе и настройке DMVPN.

Читать дальше →
Всего голосов 118: ↑118 и ↓0 +118
Просмотры520.9K
Комментарии 43

Простой Ethernet-туннель на Linux в четыре-шесть команд

Настройка LinuxСетевые технологии
Из песочницы
Tutorial
Краткая шпаргалка:
HOST1: ip link add grelan type gretap  local <IP1> remote <IP2>
HOST1: ip link set grelan up
HOST1: iptables -I INPUT -p gre -s <IP2> -j ACCEPT
HOST2: ip link add grelan type gretap local <IP2> remote <IP1>
HOST2: ip link set grelan up
HOST2: iptables -I INPUT -p gre -s <IP1> -j ACCEPT


Четыре команды на туннель и две на firewall (не нужны если трафик между своими серверми уже разрешен)
Это всё что нужно, дальше длинное объяснение с подробностями.
Читать дальше →
Всего голосов 52: ↑44 и ↓8 +36
Просмотры77K
Комментарии 35

Работа с сетью в Windows Server Technical Preview

Блог компании Microsoft
Уже месяц прошел с того момента, как была анонсирована Windows 10 Technical Preview и как был представлен Windows Server Technical Preview. Для того, чтобы увидеть произошедшие изменения, даже не нужно глубоко копаться в системах – интерфейс уже другой – вернулась кнопка пуск, нет стартового меню… На самом деле, в нашем блоге уже рассказывали об изменениях и в Windows 10, и в Windows Server Technical Preview, и даже в System Center. Я же сегодня хочу рассказать о тех изменениях, которые ожидают нас в работе с сетью. К сожалению, не все обещанные возможности можно проверить на работоспособность в технической версии – но на то это и Technical Preview. Заинтересовавшихся жду под катом.


Читать дальше →
Всего голосов 22: ↑18 и ↓4 +14
Просмотры19.1K
Комментарии 1

Поговорим о VPN-ах? Типы VPN соединений. Масштабирование VPN

IT-инфраструктураСетевые технологии
Из песочницы
Коллеги, здравствуйте. Меня зовут Семенов Вадим и я хочу представить статью, посвященную вопросу масштабируемости VPN-ов, причем тех VPN-ов, которые доступны для настройки в обычной корпоративной сети предприятия, а не со стороны провайдера. Надеюсь, данная статья станет справочным материалом, который может потребоваться при дизайне сети, либо при её апгрейде, либо для того, чтобы освежить в памяти принцип работы того или иного VPN-на. 
Читать дальше →
Всего голосов 54: ↑53 и ↓1 +52
Просмотры162.6K
Комментарии 39

Админские байки: в погоне за фрагментацией туннелей в оверлейной сети

Блог компании Webzilla

Лирическое вступление


Когда администраторы сталкиваются с неожиданной проблемой (раньше работало, и, вдруг, после обновления, перестало), у них существует два возможных алгоритма поведения: fight or flight. То есть либо разбиратся в проблеме до победного конца, либо убежать от проблемы не вникая в её суть. В контексте обновления ПО — откатиться назад.

Откатиться после неудачного апгрейда — это, можно сказать, печальная best practice. Существуют целые руководства как готовиться к откату, как их проводить, и что делать, если откатиться не удалось. Целая индустрия трусливого поведения.

Альтернативный путь — разбираться до последнего. Это очень тяжёлый путь, в котором никто не обещает успеха, объём затраченных усилий будет несравним с результатом, а на выходе будет лишь чуть большее понимание произошедшего.

Завязка драмы


Облако «Instant Servers» Webzillа. Рутинное обновление хоста nova-compute. Новый live image (у нас используется PXE-загрузка), отработавший шеф. Всё хорошо. Внезапно, жалоба от клиента: «одна из виртуалок странно работает, вроде работает, но как начинается реальная нагрузка, так всё замирает». Инстансы клиента переносим на другую ноду, проблема клиента решена. Начинается наша проблема. Запускаем инстанс на этой ноде. Картинка: логин по ssh на Cirros успешен, на Ubuntu — зависает. ssh -v показывает, что всё останавливается на этапе «debug1: SSH2_MSG_KEXINIT sent».

Все возможные внешние методы отладки работают — метаданные получаются, DHCP-аренда инстансом обновляется. Возникает подозрение, что инстанс не получает опцию DHCP с MTU. Tcpdump показывает, что опция отправляется, но не известно, принимает ли её инстанс.

Нам очень хочется попасть на инстанс, но на Cirros, куда мы можем попасть, MTU правильный, а на Ubuntu, в отношении которой есть подозрение о проблеме MTU, мы как раз попасть не можем. Но очень хотим.

Если это проблема с MTU, то у нас есть внезапный помощник. Это IPv6. При том, что «белые» IPv6 мы не выделяем (извините, оно пока что не production-ready в openstack), link-local IPv6 работают.
Читать дальше →
Всего голосов 40: ↑39 и ↓1 +38
Просмотры19.6K
Комментарии 35

Настойка можжевельника: готовим Juniper SRX. Часть 3: Virtual Routers

Блог компании Nexign
Tutorial
juniper — можжевельник (англ.)

Продолжаем готовить настойку из можжевельника. О том, как мы начинали, можно почитать здесь и здесь. Сегодня же немного потрогаем такую удобную штуку, как Virtual Routers, и подумаем, как ее применить с наибольшей пользой.

image

Содержание:

Часть 1: Знакомство
Часть 2: IPSec
Часть 3: Virtual Routers

В Juniper есть тип сущностей Routing Instance, предназначенный для манипуляций с трафиком (маршрутизации и инкапсуляции). RI позволяют «разделить» один роутер на несколько поменьше, при этом каждый instance будет обрабатывать трафик «по-своему», независимо от других и с разными возможностями. Это полезно для организации всевозможных VPN, когда нужно изолировать друг от друга нескольких клиентов и разрулить их по разным правилам. При этом информацией о VPN можно обмениваться с другими роутерами (например, при организации MPLS VPN).
Читать дальше →
Всего голосов 8: ↑8 и ↓0 +8
Просмотры17.5K
Комментарии 0

Магистратура за рубежом шаг за шагом

Блог компании MBA ConsultУчебный процесс в ITОбразование за рубежом
image

Сегодня мы начинаем серию публикации о магистратуре за рубежом. Эта тема очень актуальна в последнее время, количество студентов, которые поступают за границу с каждым годом увеличивается. Мы постараемся затронуть самые важные и интересные вопросы.
Читать дальше →
Всего голосов 11: ↑11 и ↓0 +11
Просмотры11K
Комментарии 0

Магистратура за рубежом: гранты и стипендиальные программы

Блог компании MBA ConsultУчебный процесс в ITОбразование за рубежом
image

Финансовые обязательства при поступлении в магистратуру за границу кажутся неподъемными: стоимость обучения, расходы на проживание, учебные пособия. Однако, не стоит забывать, что многие университеты дают стипендии свои студентам, кроме того, существует множество грантов для оплаты обучения. Итак, сегодня речь пойдет о стипендиях и грантах для магистерских программ. Напомним, что в прошлой статье мы рассказывали о стоимости магистратуры за рубежом.
Читать дальше →
Всего голосов 18: ↑17 и ↓1 +16
Просмотры27.6K
Комментарии 1

Поступление на PhD — 2-3. Языковые тесты и GRE

Учебный процесс в ITОбразование за рубежом
Предыдущим постом я начал небольшую серию, посвященную процессу поступления на аспирантскую программу в зарубежных университетах (преимущественно США, но информация может быть релевантна и в отношении других стран).

В этот раз я хотел поговорить об одной из важнейших проблем, которая возникает на пути абитуриента — языковых и не совсем экзаменах.
Читать дальше →
Всего голосов 12: ↑12 и ↓0 +12
Просмотры8.2K
Комментарии 5

Магистратура в Англии

Блог компании MBA ConsultУчебный процесс в ITОбразование за рубежом
image

Не секрет, что магистратура в Великобритании одно из самых востребованных направлений для студентов. Сегодня мы расскажем не только о процессе поступления, требованиях, стоимости обучения, но о грантах и стипендиях.
Читать дальше →
Всего голосов 10: ↑10 и ↓0 +10
Просмотры6K
Комментарии 0

Front-door VRF. Ещё один практический пример

Блог компании CBSCiscoСетевые технологии


Привет habr! Про настройку VPN совместно с VRF на оборудовании Cisco существует много статей в Интернете. Здесь есть неплохая шпаргалка по настройке IPsec VPN в виде крипто-карт и VTI-туннелей совместно с VRF. В этой статье хабра приведён пример DMVPN с VRF. VRF даёт большую гибкость при настройке оборудования и вариантов её использования большое количество. Главное не забывать, что у нас есть такой инструмент. В моей заметке я решил рассмотреть ещё одну интересную задачу из нашей практики, для решения которой также пригодилось использование Front-door VRF для построения IPsec туннелей. Речь пойдёт про построение параллельных VPN-туннелей через разных Интернет-провайдеров и распределение трафика по этим туннелям.
Читать дальше →
Всего голосов 9: ↑9 и ↓0 +9
Просмотры16.5K
Комментарии 2

Экзамены для поступления в «бесплатную» магистратуру в США

Учебный процесс в ITОбразование за рубежом
Tutorial
Доброго времени суток, дорогие хабрачане!

В продолжении темы о поступлении в магистратуру в США, расскажу о необходимых экзаменах.

Любой желающий поступить в магистратуру в США обязан подтвердить достаточный для обучения уровень владения английским языком (IELTS/TOEFL) и общий уровень подготовки (GRE/GMAT). Для языкового экзамена есть исключения, когда человек уже проучился в американском вузе или школе, но для таких людей данная ветка даже и не нужна.

Итак, рекомендую сдавать эти экзамены поочередно: IELTS/TOEFL ==> GRE/GMAT. Потому что, второй экзамен идет сложнее, и успешная сдача второго экзамена требует как минимум upper-intermediate.

Что же все таки сдать IELTS или TOEFL? Для начала обозначим то, что 99% американских вузов принимают IELTS. И минимальный порог в среднем 6.5 баллов в общем, и как минимум 6.0 в каждой секции. Лига плюща принимает 7.0 overall и выше, в то время как для «средних» и 5.5 бывает достаточно, хотя такие вузы не предоставят вам полное финансирование скорее всего. Зато порадуют приемлемой ценой и скидками на обучение. Лично я сам сдавал IELTS и необходимо было набрать 6.5 overall. Помните в предыдущем посте я как-то говорил, что все карты легли так, чтобы я поступил именно в Бэйлор? Так вот, это единственный университет, которые не обозначили минимальный порог по секциям (во всех других вузах в каждой секции допускается на 0.5 меньше чем overall). А я завалил одну секцию =( Помню когда увидел результаты я не знал радоваться или нет, ведь не смотря на достаточный общий балл, я не знал точно примут ли заваленную секцию. Уточнив у представителей вуза удовлитворительность моего результата, я с радостью приступил к подготовке к следующему экзамену. Записался на ближайшую дату (уже через две недели) и начал подготовку.
Читать дальше →
Всего голосов 10: ↑10 и ↓0 +10
Просмотры17.8K
Комментарии 17

Цифры растут: зарегистрирована атака в 620 Gbps

Блог компании WEBO GroupИнформационная безопасность
Перевод


В сентябре этого года на сайт KrebsOnSecurity.com была произведена DDOS-атака большого объема и необычной природы. Атака не удалась благодаря работе команды Akamai, компании, которая обеспечивает защиту этого сайта. По данным Akamai, эта атака почти вдвое превосходила по объему самую крупную атаку до этого зарегистрированную компанией

Атака началась утром 20 сентября, и первоначально оценивалась в 665 Gbps, впоследствии в процессе анализа оказалось, что объем атаки несколько меньше – 620 Gbps. Такой объем – это во много раз больше, чем требуется для того, чтобы «уложить» большинство сайтов в интернете.

Как удалось провести такую атаку: ботнет из IoT устройств
Читать дальше →
Всего голосов 35: ↑31 и ↓4 +27
Просмотры13.5K
Комментарии 17

Виртуальная сетевая среда для тестирования сетевых протоколов. Используем QEMU+YOCTO+TAP

Тестирование IT-систем
Из песочницы


Идея создания сетевой тестовой среды возникла когда пришла необходимость запускать и отлаживать устройства с IPsec и GRE протоколами. С похожими проблемами сталкивались и разработчики strongSwan. Проблема была с прогоном unit тестов. Они приготовили виртуальную сеть на базе UML (user mode linux). В этом документе описано в общих чертах, что это такое и как работает. Подносить виртуальную сеть под UML буду при первой возможности, a на первом этапе тестовая среда была поднята на QEMU и на дистрибуциях приготовленных под YOCTO. Итак даная статья описывает: как создать свою дистрибуцию linux, поднять и настроить несколько инстанций QEMU, настроить виртуальную сеть и как пример поставить GRE туннель. Получается очень полезная штука для отладки и тестирования маршрутизаторов. Так, что всех заинтересованных приглашаю ниже.
Читать дальше →
Всего голосов 12: ↑11 и ↓1 +10
Просмотры5K
Комментарии 5

Выходим в интернет за пределами РФ: (MikroTik<->Ubuntu) * GRE / IPsec

Настройка LinuxСистемное администрированиеСетевые технологииСерверное администрирование
Позволю себе опубликовать свой опыт применения сетевых технологий в меру моей испорченности для выхода в интернет из-за пределов РФ. Не будем рассуждать о том, зачем это нужно. Надеюсь, что все всем и так понятно.

Итак, у нас есть статический публичный IP адрес, который приходит Ethernet шнуром в MikroTik RouterBOARD 750G r3 (hEX). Пробуем собрать вот такую конструкцию.


Настройку L2tp линка в рамках этой статьи я не описываю, а на схеме он нарисован только потому, что в ней упоминается.
Читать дальше →
Всего голосов 35: ↑31 и ↓4 +27
Просмотры56.2K
Комментарии 50

Настройка VPN сервера (GRE/IPSec StrongSwan, OSPF Quagga)

Настройка LinuxСистемное администрированиеIT-инфраструктураСетевые технологииСерверное администрирование
Tutorial
Кто бы мог подумать, что развернуть часть серверов компании в Amazon было плохой идеей.

В итоге поставленная задача — сделать дополнительный VPN-туннель между Amazon и инфраструктурой в РФ.

image
Читать дальше →
Всего голосов 8: ↑6 и ↓2 +4
Просмотры22.9K
Комментарии 8
1