Причиной написания этого поста стало то, что я прочитал сегодня.
статья хабраузер острый верх .
Я только начала писать комментарий, но он получился очень длинным, итак: рассказ о том, как мы разоблачили енота.
Когда мы открывали розничную сеть, магазины были подключены по одному и тому же принципу: FreeBSD 7.0 + IPSec + поддержка некоторых маршрутизаторов с ipisek .
Изначально выбор пал на 804 D-Link, но не сложилось; тестовый образец показал пинг не менее 400мс по зашифрованному каналу, что было по понятным причинам абсолютно неприемлемо (возможно, устройство было бракованное, сейчас не можем узнать, оно у нас где-то есть - потом потерялось).
В итоге начали покупать 3COM OfficeConnect, они дали нормальный пинг.
Удручало только одно: туннели разрушались с завидной регулярностью, и что бы мы ни делали, они не хотели автоматически переподключаться.
Будучи твёрдо уверенными в непогрешимости BSD и силе открытого исходного кода, они винили, конечно, 3COM и переход на устройства от LinkSys подтвердил это: дампов на Linksys было гораздо меньше, к сожалению, найти их было проблематично, потому что тем самым время они уже были проданы Cisco, и выпуск тех моделей был прекращен — они валялись на складах по всей стране.
Когда количество точек подключения увеличилось до 20, терпеть это уже было невозможно; техник все утро только поднимал туннели вручную, и во многих случаях кнопка переподключения не помогала, конечные устройства зависали в состоянии разговора, и помогала только полная перезагрузка устройства.
Курение логовищ ракун не пролило никакого света на суть проблемы.
В результате стали возникать подозрения, что проблема все-таки в центральном офисе.
Мы взяли на тестирование дешёвое устройство от D-Link DFL-260 (знаю-знаю, сам терпеть не могу длинные кабели, но для теста), чтобы использовать его как точку входа в офис.
Каково же было удивление, когда сброс мусора в канале прекратился чуть более чем полностью.
За месяц работы (тестовый период) в рабочем режиме было зарегистрировано где-то 3 или 4 отказа канала (это те, в которые надо было вмешиваться).
Продавец доволен, техник занят обжимкой кабелей и установкой Windows другими интересными и интеллектуальными задачами, все довольны.
Как оказалось, «проблема была не в катушке» (конечных устройствах), а в ipsec-tools aka racoon (ну или мы его неправильно подготовили, но это я не знаю, я не спец, возможно я эксперт по варке енотов).
Само собой, мы купили ДФЛ-260 и запустили его в боевой режим, благо он стоил 12 тысяч рублей.
все и, кстати, DI-804HV прекрасно с ним работает. Сейчас точек подключения уже 28, проблем тоже нет – не более двух-трех морозильных тоннелей в месяц.
Кстати, подсказка: для DFL-260 в Интернете можно найти буржуйские прошивки, в которых присутствуют безбожные криптографические алгоритмы типа 3DES, не разрешенные в РФ.
Что я хотел всем сказать?! Иногда слепая вера (в данном случае в BSD и ее порты) действительно может испортить вам жизнь.
Если есть проблема, нужно проверять с обоих концов, поэтому если кто сталкивался с подобными граблями, попробуйте перенести функцию шифрования и маршрутизации трафика в центральном офисе на специально обученное устройство, возможно, это добавит стабильности вашей системе.
.
Теги: #Системное администрирование #ipsec #FreeBSD #DI-804HV #DI-804HV #DFL-260
-
Tor Как Угроза Безопасности Банка
19 Oct, 24 -
Программист На Больничном
19 Oct, 24 -
Курс «Основы Программирования»
19 Oct, 24
