LINUX.ORG.RU

Двойная перемаркировка пакетов для работы с двумя провайдерами на прозрачном мосте

 , , , policy-routing


7

2

В третьей статье из цикла «прозрачный брандмауэр с маршрутизатором» рассмотрена задача плавного перехода на новые адреса другого провайдера и особенности фильтрации пакетов через встроенный мост Linux на ядрах 4.X

>>> Статья полностью

★★★★★

Проверено: jollheef ()
Последнее исправление: Deleted (всего исправлений: 1)

Угадал автора по названию новости!

Pyzia ★★★★★
()
Ответ на: комментарий от jekader

В предисловии у Вас написано, что много пользователей и мало IP.

Там сказано о клиентах vpn. IP много не бывает, но экономия IP упоминается в этой статье вскольз, так как проблема решается совсем не эта. То было просто лирическое отступление, принятое в предисловиях. Экономия IP рассмотрена во второй статье и, как уже упоминал, это перпендикулярно.

vodz ★★★★★
() автор топика
Ответ на: комментарий от baist

Брандмаузер(c)

У тебя ненависть к немецкому языку, немцам, али вовсе всему человечеству? Или ты родился в 00-х?

bigc ★★
()
Ответ на: Брандмауэр с маршрутизатором от Camel

«транспарентный файрвол с роутером»

кроме транспарентного он, имо, ультрафиолетово. Другое дело что исторически дойче-вариант более прижился, и в том же «мире пк» лет 10 тому назад напиши хоть файрвол, хоть инфернальный_айпи_привратник-мочила, айн хрен поправят на брандмауер)

bigc ★★
()
Ответ на: комментарий от bigc

Блин, главное-то забыл — материал минимум будет полезен к прочтению местным любителям срача за определения) И автору спасибо

bigc ★★
()
Ответ на: комментарий от vodz

Клиентам VPN вообще никакой NAT не нужен, в этом ведь и суть VPN.

Реализацмя представленной multi-homing сети, безусловно, имеет смысл. Например - в домашних условиях, если есть желание устроить load balancing между двумя 3G модемами или что-то в этом духе.

В рамках предприятия такие костыли подставлять - дело неблагодарное. Уговори уже начальство потратить пару сотен долларов в год на поддержание AS и пиринг с провайдерами ;)

jekader ★★★★★
()
Ответ на: комментарий от vodz

IP много не бывает

да господи! для вас растянули ip-адреса аж на 128-разрядов ..

...а вам всё мало ip-адресов :-D :-D

ну что за люди такие

user_id_68054 ★★★★★
()
Ответ на: комментарий от vodz

я понимаю что вас путает что в английском слова не являются столь же самодостаточными переносчиками смысла как в русском, и большая часть понимается из контекста задаваемого гораздо большими факторами, эта завораживающая концепция языка дарит нам прекраснейший механизм каламбуров.. современный руский язык в этом плане является мешаниной из самодостаточных и контекстозависимых терминов, хоть исконно больше склонен к самодостаточному разделению. но это не важно. важно что прозрачный не задаёт того спектра смыслов как transparent и в данном случае корректнее будет термин транспарентность( да он есть официально и закреплён именно в таком виде по причинам)

это тот же случай как когда Warlock предлагают переводить как колдуна или чернокнижника, но эти термины не всегда пересекаются. к счастью у нас есть термин Варлок который специально полностью эквивалентен термину Warlock

к счастью в языках будущего всё стало настолько сложным что люди больше не принимают решений по переводу и локализации.

Thero ★★★★★
()
Ответ на: Брандмауэр с маршрутизатором от Camel

В русском языке так же давно и прочно утвердились кальки с английского, которые в некотором смысле более уместны, так как эпицентром развития IT до сих пор является США (конкретно, Bay Area), где принят английский язык.

anonymous
()
Ответ на: комментарий от vodz

Было бы очень хорошо, если бы автор перестал красить IP-адреса в разные цвета и начал их называть по имени — публичные и приватные. Вы бы их на вкус ещё попробовали, ей-богу!

anonymous
()
Ответ на: комментарий от init_

Я это нагугливал и пробовал — тоже самое, всё равно спамит. И самое главное, масло масленное, ведь в обычных правилах юзается -o, а физика — в бриджах. Так что самая натуральная пичалька. Впрочем, сейчас появится время, попробую ядро посвежее, может они уже убрали это дурацкое предупреждение, сколько можно предупреждать и спамить по нескольку раз на правило.

vodz ★★★★★
() автор топика
Ответ на: комментарий от anonymous

Было бы очень хорошо, если бы автор перестал красить IP-адреса

Видите ли, слово «публичные» можно нагрепать в статье, но статья для людей, а не роботов. Люди прекрасно понимают термины белый/серый, исползуют в качестве синонимов и статья благодаря синонимам легче читается и не такая суконная.

vodz ★★★★★
() автор топика
Ответ на: комментарий от user_id_68054

да господи! для вас растянули ip-адреса аж на 128-разрядов ..

Господин хипстер. А давайте поработайте бесплатно и обойдите 2500 клиентов (это реальная наша цифра, а не гипербола), от яселек до ФСБ, и настройте там IPv6, чтобы они с нами так соединялись.

vodz ★★★★★
() автор топика
Последнее исправление: vodz (всего исправлений: 1)
Ответ на: комментарий от jekader

Клиентам VPN вообще никакой NAT не нужен, в этом ведь и суть VPN.

Вы ничего не поняли в простейшей задаче и спорите сами с собой.

Уговори уже начальство потратить пару сотен долларов в год на поддержание AS и пиринг с провайдерами ;)

Я так думаю, лет через несколько в этом не будет никакой проблемы в России вообще. Уже федералов загнали на РТ безальтернативно. RusNet (нет, это не то, что делал demos/relcom, а новая чебурашка) уже сделали. Так что между бюджетниками вскрости в этой сети с адресами всё будет беспроблемно.

vodz ★★★★★
() автор топика
Ответ на: комментарий от vodz

Господин хипстер. А давайте поработайте бесплатно и обойдите 2500 клиентов (это реальная наша цифра, а не гипербола), от яселек до ФСБ, и настройте там IPv6, чтобы они с нами так соединялись.

да. и давайте начнём это делать лет 5~10 назад. :-)

вместо того чтобы (уже в те времена!) саботировать его внедрение фразами "мы поддерживаем и не планируем пока-что поддержку v6 в нашей инфраструктуре, потому что другие тоже его не поддерживают".

это называется групповая безответственности (кольцо-безответственности) :-) ! сервис-провайдеры не предоставляют v6-сервисов потому что всё равно ведь наверно нет v6-клиентов способных достучаться. сетевые-провайдеры не предоставляют доступов к v6-сервисам потому что всё равно ведь наверно нет v6-сервисов. v6-клиенты, а что v6-клиенты, они вобщем-то раньше всех вышли из кольца-безответственности.. :-)

если бы число v6-активных-клиентов перевалило бы за 50% — то остальных v4-клиентов можно было бы просто законно принижать "ну простите, вы сами выбрали пусть оставаться с проблемами", вместо выдумывания как побеждать уже подеждённые проблемы :-)

user_id_68054 ★★★★★
()
Последнее исправление: user_id_68054 (всего исправлений: 2)
Ответ на: комментарий от user_id_68054

да. и давайте начнём это делать лет 5~10 назад. :-)

Видите ли, если хотя бы один клиент откажется работать по IPv6, то весь этот переход будет бесполезным. И потому и смысла начинать делать и сейчас и возможно через 10 лет вперед не будет. И слава богу.

vodz ★★★★★
() автор топика
Ответ на: комментарий от vodz

Видите ли, если хотя бы один клиент откажется работать по IPv6, то весь этот переход будет бесполезным.

те кто захотели остаться работать по старому (v4) протоколу — вполне могут потерпеть «особые» условия работы: всякие там «не прозрачные» миграции и прочии сервисные дисконнекты и временные отказы в обуживании.

уж наверняка им не привыкать жить в условиях: "ой! опять эта хрень перестала работать, ну ладно, не будем ни чего чинить, ведь всё остальное работает хорошо значит ни чего трагать не будем"

user_id_68054 ★★★★★
()
Последнее исправление: user_id_68054 (всего исправлений: 1)
Ответ на: комментарий от user_id_68054

ой! опять эта хрень перестала работать,

Это вы просто не в курсе. Никаких перерывов никак делать невозможно. Это срыв бюджетного финансирования, начиная от зарплаты людям и кончая всероссийскими проектами, что влечет уголовную ответственность.

vodz ★★★★★
() автор топика
Ответ на: комментарий от Der_Langrisser

Ну а чо, импортозамещение — прекрасный аргумент :) Да и на кошках вот это всё, что написано в трёх статьях фиг сделаешь. А сделал, кстати, на железке суперсетифицированной, вполне надежной, 1U, SSD, 8 распаянных эзернетов на материнке, все дела. А этот снобизм на счёт «говна и палок» и привёл к тому, что никто и ничего в России-матушке даже не пытается что-то сделать, обосрут и убедят потратиться на ничем не лучшие решения, а именно будет хуже и дороже, как изначально так и по ТСО.

vodz ★★★★★
() автор топика

О, этот одмен всё так же огрызается в комментах. Ничего не меняется.

Предлагаю написать жалобу, чтобы разобрались, что страница чсв-страдальца-эникея делает на сайте ведомства.

anonymous
()
Ответ на: комментарий от vodz

железке суперсетифицированной
1U, SSD, 8 распаянных эзернетов на материнке, все дела

По описанию похоже на Континентопарашу от «котиков безопасности», где надо было рестартовать службу для применения политик Firewall.

А этот снобизм на счёт «говна и палок»

Не снобизм. Просто один из способов сделать говнороутер, когда нет 40 баксов на лицензию RouterOS.

никто и ничего в России-матушке даже не пытается что-то сделать

Пытаются, как «кот безопасности», но не могут дотянуть свой продукт даже до уровня Микротика. Не знаю, что им мешает.

Der_Langrisser
()

Поясню про континентоговно: Вот ты хочешь сделать изменения в конфиге этого, сертифицированного КГБ за большие откаты, куска зеленого говна. Для того, чтоб изменения применились, шлюз ребутает сетевую службу и дропает на какое-то время инет. Это продукт 2017-2018 года! Такое поведение железки могло бы быть оправдано в 1999 году, но не сейчас!

Der_Langrisser
()
Ответ на: комментарий от Der_Langrisser

Для того, чтоб изменения применились, шлюз ребутает сетевую службу и дропает на какое-то время инет.

Откровенно говоря, защищать это у меня руки не подымаются, но у вас какое-то нетехническое представление о том, что там делается. Какую службу? Вы о чём? Адреса менять — так что угодно разорвёт. Новые vpn или правила фильтрации — нормально оно умеет правиться «без единого разрыва».

vodz ★★★★★
() автор топика
Ответ на: комментарий от Der_Langrisser

Не снобизм. Просто один из способов сделать говнороутер, когда нет 40 баксов на лицензию RouterOS.

Увы, вы лишний раз подтвердили свой снобизм. Мало того, ещё в худшей форме. Обычно свысока смотрят на применение софт-решения при наличии дорогих железок, а у вас еще и не пойми какое железо и хотите и так же закрытую ОС за недорого. И смысл? Тот же сфотроутер, но за деньги и с ограниченным функционалом под имеющиеся задачи. Ну не умеете сами делать, ну бывает, чо, но прикрываться снобизмом — только получится утверджаться в такой же среде, которая и убивает всякое желание уметь и развиваться.

vodz ★★★★★
() автор топика
Ответ на: комментарий от vodz

Скорее привычка красить адреса выдаёт специалиста уровня ЛАНа на пару соседних домов. «Публичный» и «приватный» в контексте IP несут максимально точное определение, исключающее вольные трактования.

anonymous
()
Ответ на: комментарий от vodz

Смешные цифры какие-то. 25 миллионов абонентов — вот это уже разговор, да и то в США крупные провайдеры успешно справились примерно за полтора года.

anonymous
()
Ответ на: комментарий от vodz

Я критикую не Ваше решение проблемы, а скупость (и видимо пофигизм) работодателя. Поверьте, когда Вы уйдёте из этой конторы, уже спустя месяц новый админ завалит данное поделие а через полгода его заменят на циску (или в худшем случае - на другое такое-же самодельное решение).

Многие здесь занимались подобным рутеростроением на третьих пентиумах, но с тех пор это всё стало историей.

Желаю Вам получить максимум опыта и перебираться на новое место работы, где можно с Вашими знаниями участвовать в разработке и внедрении реально интересных решений с нормальными бюджетами и оборудованием.

jekader ★★★★★
()
Последнее исправление: jekader (всего исправлений: 1)
Ответ на: комментарий от vodz

но у вас какое-то нетехническое представление о том, что там делается. Какую службу?

Формально происходит разрыв соединений и остановка коммуникации по всем сетевым портам на короткое время при сохранении конфигурации firewall.

Я, так понимаю, идет «защита бренда»...

а у вас еще и не пойми какое железо и хотите и так же закрытую ОС за недорого

HP GEN6 это «не пойми какое железо»... Лол, «траль тоньше», копирайтер)))

тот же сфотроутер, но за деньги и с ограниченным функционалом под имеющиеся задачи

А континентопараша — несофтовая, неограниченная и не за деньги, да? Она может летать, готовить пиццу и исполнять желания?

Ну не умеете сами делать, ну бывает

Ну у вас девушки нет и вы любите пердолиться с консолькой, ну бывает, чо... Вот вам симметричный ответ на гнилую предъяву)))

только получится утверджаться в такой же среде, которая и убивает всякое желание уметь и развиваться.

Поднимать софтроутеры это пипец какое развитие, да! IQ 300 MENSA PRO PLUS TURBO RICK&MORTY LEVEL!

Der_Langrisser
()

inb4 софтроутер это определенная ступень развития сетевого энтузиаста, будущего профессионала. Либо какое-то уж совсем упоротое внедрение для странных людей.

Der_Langrisser
()

Но это не MENSA LEVEL, далеко не.

(простите, что отдельным постом)

Der_Langrisser
()
Ответ на: комментарий от Der_Langrisser

Формально происходит разрыв соединений и остановка коммуникации по всем сетевым портам на короткое время при сохранении конфигурации firewall.

Не знаю, о чём речь, но в решении ТС ничего такого нет. nf_conntrack FTW! Можно даже между кластером маршрутизаторов синхронизировать таблицу установленных соединений при желании - тогда даже перезагрузка будет прозрачна для пользователей.

jekader ★★★★★
()
Ответ на: комментарий от jekader

между кластером маршрутизаторов

Тогда и бабушка будет дедушкой!

Интересно, есть ли где-нить такие вот внедрения? Везде, где видел, стоит один грустный зеленый шлюз. Ну, может, с другом в виде випнет координатора...

Der_Langrisser
()
Ответ на: комментарий от Der_Langrisser

А континентопараша — несофтовая, неограниченная и не за деньги, да?

Здесь обсуждается статья, а не изделие Инфосека. Короче, до свидания, на вас только время терять.

vodz ★★★★★
() автор топика
Ответ на: комментарий от jekader

Поверьте, когда Вы уйдёте из этой конторы, уже спустя месяц новый админ завалит данное поделие а через полгода его заменят на циску (или в худшем случае - на другое такое-же самодельное решение).

Это поделие само должно уйти через месяц, когда старый провайдер перестанет с нами работать. То что заменят на циску, я слабо представляю, по многим причинам, от знаний/оплата до смысла там её ставить вообще.

vodz ★★★★★
() автор топика
Ответ на: комментарий от Der_Langrisser

Я лично в одной конторе лет 7 назад как раз такие кластера с самописными скриптами (iptables+corosync+pacemaker) заменял на Cisco ASA :)

jekader ★★★★★
()
Ответ на: комментарий от jekader

PIXы, ASA давно лежат на складе. Во-первых, там нет да нет всплывает что-то типа https://habr.com/post/397021/ , во-вторых, оно всё равно не умеет той гибкости, что можно наворотить на ОС общего назначения, скажем оно если работает в режиме прозрачного МЭ, то в режиме маршрутизатора вообще ничего не может делать кроме управления, в-третьих, тут люди имеют извращенную логику, типа вот 5 строчек для ОС Линукс — это сложно и непонятно, а ASA — это раз плюнуть найти человека, который это может поддерживать? Да ну нафиг!

vodz ★★★★★
() автор топика

Сбриджевать линки от двух провайдеров это как-то непрофессионально. В результате роутеры провайдеров оказываются directly connected. Во-первых, они могут гонять между собой через вас трафик на layer 2, у вас ведь пожоже нет правил ebtables, которые это пресекали бы. Во-вторых, широковещательные ARP-запросы, посылаемые роутерами провайдеров в эти линки, бриджуются с одного линка на другой. В-третьих, каждый широковещательный ARP-запрос, посылаемый вашим роутером, посылается в результате в оба линка.

На мой взгляд тут не надо было бриджевать линки от провайдеров. Надо было на интерфейсах eth0 и eth3 включить proxy ARP, а на интерфейсе eth1 сконфигурировать две подсети с белыми адресами, которые раздать серверам.

            (isp1)     (isp2)
              |1.1.1.1   |2.2.2.1
1.1.1.0/24 <=====>    <=====> 2.2.2.0/24
              |          |
              |1.1.1.2   |2.2.2.2
              |eth0      |eth3
            (company-router)
              |eth1
              |1.1.1.2
              |2.2.2.2
1.1.1.0/24    |
2.2.2.0/24 <=====>
            | | |
   +--------+ | +--------+
   |          |          |
   |1.1.1.3   |1.1.1.7   |1.1.1.14
   |2.2.2.3   |2.2.2.7   |2.2.2.14
(serv3)    (serv7)     (serv14)

Legend:
(name)   host
<====>   ethernet vlan
|        link
iliyap ★★★★★
()
Ответ на: комментарий от iliyap

В результате роутеры провайдеров оказываются directly connected.

Угу, они спать не могут, только бы найти клиента, который объеденил их, и сразу же бросятся пириться. Ну да, ну да.

у вас ведь пожоже нет правил ebtables, которые это пресекали бы.

Это тянет на отдельную статью. Какой в этом решении ради вселенского перфекционизма смысл для решения, которое потребуется всего на 2 месяца?

На мой взгляд тут не надо было бриджевать линки от провайдеров.

Мост тут не для объединения, а для решения, описанного в первой статье. Ну некуда делить сетку /29 то.

vodz ★★★★★
() автор топика
Ответ на: комментарий от vodz

Во-первых, там нет да нет всплывает что-то типа https://habr.com/post/397021/

Есть такая поговорка: «Locks were invented to keep honest people honest»

Когда кто-то хочет получить информацию, он её получит. Зависит лишь от технических и финансовых возможностей. Продукция Cisco достаточно безопасна, чтобы защитить от кулхацкеров. Большего от неё и не требуется.

во-вторых, оно всё равно не умеет той гибкости, что можно наворотить на ОС общего назначения

Согласен, для некоторых задач ASA недостаточно гибка. Наличие security contexts часто спасает, но не всегда.

в-третьих, тут люди имеют извращенную логику

Логика вполне понятная. Наличие сертификата CCNP Security означает умение читать и писать конфиги для этих железок. Таких людей десятки, если не сотни тысяч, а в сетях самых разных размеров установлены миллионы устройств. Документации, опять-же море и я даже молчу про такую полезную команду как packet-tracer, аналога которой мне так не хватает в linux.

jekader ★★★★★
()
Ответ на: комментарий от jekader

пока ты топишь за отказ от «ОС общего назначения» в пользу вендорлока Cisco, сама Cisco медленно поворачивает свой взгляд на такие странные штуки как «чего бы не использовать линукс как роутер» http://www.enterprisenetworkingplanet.com/datacenter/datacenter-blog/cisco-fa...

system-root ★★★★★
()
Ответ на: комментарий от system-root

Я, возможно, открою кому-то тайну, но Cisco ASA отродясь были построены на ядре linux на обычном x86 железе. Что касается SDN - там они тоже в роли основного игрока и продают даже сервера много лет, специально заточенные под OpenStack и интеграцию с openvswitch.

Не говорю, что проприетарщина это круто. Просто удивился, услышав про самодельный шлюз в сколько-нибудь крупной организации в наши дни.

jekader ★★★★★
()
Ответ на: комментарий от iliyap

В первой статье в разделе «Правильное решение» также должен быть proxy ARP, а не бриджинг.

Бездоказательно.

Там решалась проблемы, чтобы белая ЛВС считала, что шлюз во вне — это конторский маршрутизатор, на нем один единственный МЭ в сети и все маршруты до клиентов и vpn-ов, а шлюз провайдера считал, что в сети нет никакого маршрутизатора, а есть коммутатор, а проблемы фильтрации и маршрутизации конторы его не волнуют.

vodz ★★★★★
() автор топика
Ответ на: комментарий от jekader

Просто удивился, услышав про самодельный шлюз в сколько-нибудь крупной организации в наши дни

ну так себе тема для рассуждения.
если кругом CTO которые обмазываются сертифицированным оборудованием, сертифицированными инженерами, сертифицированными сертификатами, сертифицированной поддержкой и всё это за сертифицированные миллиарды — смотреть на самодельный(OMG, sic!, да как тако~) шлюз как на ерунду повод, честно говря, так себе.

просто с моего дивана, как ты сказал, бегают сотни тыщ сертифицированных, с учётом, что вендра выбирают (в среднем) раз за историю компании — можно сертифицировано прикрыть себе пятую точку %вендор_неймом%.
а можно сделать самодельный шлюз, не потратив много теньге и быть выгнаным с позорам за косяк в конфиге.

system-root ★★★★★
()
Ответ на: комментарий от jekader

Не говорю, что проприетарщина это круто.

Выбирайте одно из двух: Вы либо это самое говорите и нагло врёте, либо просто несёте неудержимый словесный понос не вдаваясь в логику и смысл сказанного.

vodz ★★★★★
() автор топика
Ответ на: комментарий от system-root

и быть выгнаным с позорам за косяк в конфиге.

А что, сертифицированного от вышвыривания на мороз спасает сертификат? Я всегда считал, что сертификат может повысить шанс на принятие с желаемой оплатой, а не от увольнения.

vodz ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.