Админская фамилия

Презентация Ильи Князева с MUMа в Новосибирске. Много полезной информации о туннелях. Резервирование каналов передачи данных с использованием различных типов L2 VPN from Dmitry Bubnov

Первая сисадминка показала, что такие мероприятия нужны в Челябинске. И на вторую было приглашено намного больше народа, но пришло больше ненамного. В этот раз насчитали порядка 25 человек. Анонсировали 4 доклада, но один докладчик не смог присутствовать в связи с напряженностью на работе - ждем его доклад на следующих мероприятиях.Спасибо всем, кто присутствовал, задавал вопросы и комментировал! Спасибо за ваши предложения и обратную связь! Ведь только благодаря вам мы сможем сделать следующую Сисадминку чуточку лучше. Типы и разновидности VPN from Dmitry Bubnov Как мы отбиваемся от ежедневного DDoS from Dmitry Bubnov Немного про бесшовный роуминг и Wi fi на уровне l1-l2 osi from Dmitry Bubnov

Я уже писал о MTU и даже приводил прекрасный документ от Cisco. А сегодня случайно наткнулся на ixbt на ветку о MTU в разных типах туннелей. Решил скопипастить - лишним не будет.Чтобы систематизировать свое представление о работе различных реализаций VPN-ов и расставить для себя все точки над “i”, выполнил расчет значений MTU и MSS для payload (полезного передаваемого трафика) в разных типах VPN, используемых совместно с Ethernet. Прошу проверить мои расчеты и указать мне на ошибки, если таковые имеются.Итак.1. PPTPPPTP это полезный_TCP -> IP -> PPP -> GRE -> IP -> EthernetДля Ethernet MTU=1500; заголовки IP -20 байт, заголовок GRE -4 байта, заголовок PPP -2 байта.Итого, MTU=1500-20-4-2=1474; MSS=MTU-40=14342. Незашифрованный L2TP поверх IPL2TP это полезный_TCP -> IP -> PPP -> L2TP -> UDP -> IP -> EthernetДля Ethernet MTU=1500; заголовки IP -20 байт, заголовки UDP -8 байт, заголовки L2TP -16 байт, заголовок PPP -2 байта.Итого, MTU=1500-20-8-16-2=1454; MSS=MTU-40=14143. L2TP поверх IPSECL2TP поверх IPSEC это полезный_TCP -> IP -> PPP -> L2TP -> UDP -> ESP -> IP -> EthernetПолучается то же самое, что и пункт 2, за вычетом размера заголовков ESP -20 байт.Итого, MTU=1454-20=1434; MSS=MTU-40=13944. L2TP поверх IPSEC с NAT-TraversalЭто полезный_TCP -> IP -> PPP -> L2TP -> UDP -> ESP -> IP -> UDP -> IP -> EthernetПолучается то же самое, что и пункт 3, за вычетом размера заголовков UDP -8 байт и IP -20 байт.Итого, MTU=1434-28=1406; MSS=MTU-40=1366.

Каждый раз при включении компа прописыать роутинг и поднимать впн неудобно. Проще написать скрипт, который сделает всё это сам и кинуть его в автозагрузку.Вот скрипт:#!/bin/bash           #указываем кто будет выполнять скрипт (bash)route del default     #убираем дефолтный маршрутLOG="/var/log/pptp-run.log"     #логи будут писаться в /var/log/pptp-run.logwhile true;do echo -e “\n==============================================\n date” >> $LOG /usr/sbin/pptp vpn.server.ru >> $LOG     #вывод сообщений из pptp в pptp-run.log sleep 10;doneСохраняем его в /usr/local/bin/pptp-run-sh. Не забываем сделать его исполняемым: chmod +x pptp-run.shИ прописываем в автозагрузку:sudo nano /etc/rc.localпоследней строчкой указываем:  /usr/local/bin/pptp-run.shВсё! Скрипт будет выполняться при запуске системы с правами системы (а может и нет=)), а так же при очередном “отваливании” впн-соединения. 

Я знаком с линукс-системами не так уж давно (около полугода). После установки возник резонный вопрос: “Как здесь поднять инет?”. Роутера у меня дома нет. Пров раздаёт инет по VPN(PPTP).Когда у меня стоял Sabayon - было попроще, чем сейчас. Из под винды качается софтина KVPNC.   Потом в линухе она устанавливается(уже не помню как в сабайоне). В окошке прописывается тип подключения и адрес впн-сервера. На этом всё работает!Под убунтой было сложнее. Окружение у меня - гном. А волшебная программка под ним не канает. Пришлось извращаться. Была перечитана куча страниц, выданных гуглом, и справка моего прова. А так как в линуксе я нуб - это был для меня бесполезный набор букв.Итак, инструкция.Нужны пакеты pptp (это клиент для VPN подключения) и pppd (демон протокола ppp). В Ubuntu 10.04 они включены по умолчанию.В фаил /etc/ppp/options вносим следующие изменения (предварительно забэкапив его).             local      lock      nodetach      mtu 1512      mru 1512      require-mppe-40      require-mppe-128      require-mppe      lcp-echo-interval 30      lcp-echo-failure 5      require-mschap-v2      refuse-pap      refuse-chap      refuse-mschap      refuse-eap      defaultroute      user ВАШ_ЛОГИН      noauthПодробнее про параметры:lock - этот параметр указывает pppd заблокировать последовательный порт перед тем, как его открыть;nodetach - этот параметр указывает pppd не отсоединятся от терминала, с которого он был запущен;mtu, mru - Максимальный размер блока(в байтах), который может быть передан/принят на канальном уровне OSI. Можно подсмотреть в свойствах подключения из под винды;pap, chap, mschap, eap - виды шифрования. Именно из-за них мой Lucid не хотел подключаться. Пришлось по очереди комментить их и проверять.Про остальные ничего сказать не могу.  3. Фаил /etc/ppp/chap-secrets должен быть таким: логин * “пароль” *Именно так! (логин пробел звездочка кавычка пароль кавычка пробел звездочка). На редактирование надо обладать правами суперюзера. Мне нравится редактор nano, поэтому sudo nano chap-secrets  4.  sudo chmod 400 chap-secrets   5. Дальше мой провайдер рекомендует редактировать таблицу маршрутиризации. Но это уж у каждого своё. Кому-то надо, кому-то нет.  6. Соединение устанавливается так: sudo pptp имя.сервера.руХодить по каталогам из терминала - cd .Сам в линухе далеко не гуру. Поэтому не обессудьте, если где-то будет ошибка. Свой инет поднимал именно так. Про параметры взято отсюда.