Skip to content

Метка: network

IPSec: Mikrotik и Juniper

Я уже писал как настроить IPSec между Cisco и Mikrotik. С тех пор утекло много воды, но, периодически, возникает необходимость задружить Микротик с чем-нибудь. Иногда даже по IPSec. Сегодня будем дружить с Juniper SRX.
mkt2srx
Кратенько, буквально в режиме how-to хочу рассказать как их подружить через ipsec site-to-site. На стороне Juniper настраиваем route-based VPN. На обеих сторонах будем использовать DST/SRC-NAT чтобы жизнь медом не казалась.
Читать далее IPSec: Mikrotik и Juniper

13 комментариев

Сказ о том, как мы отечественного производителя поддерживали

Если долго мучиться — что-нибудь получится!
(с) народная мудрость

Настало время увлекательных историй, %username%!

Сразу оговорюсь, что описанной ниже истории никогда не случалось. Все совпадения случайны, все персонажи вымышлены.

В силу своей профессиональной деятельности, нам приходится работать с разными операторами связи. Практически все они — федерального уровня, либо их «дочки» в странах СНГ. Одной из таких компаний является… Пусть он будет Z.
История взаимоотношений с ним давняя и коллеги, наверное, расскажут много интересного. Но это как-нибудь потом, а пока расскажу свою историю я.
Требования к безопасности в этой компании серьезные — положение обязывает (А еще 152-ФЗ «О защите персональных данных»). Причем если раньше требования были драконовские (в духе «Миссия невыполнима»: изолированное помещение, сканер сетчатки, автоматчики…), то сейчас свелись к просто строгим: индивидуальные учетки и шифрованные каналы связи между нами и заказчиком. Шифрование — ГОСТовское, никакого вам буржуйского заграничного IPSec. Рынок таких решений мал, поставщиков — раз-два и кончились. Реализация… ну не Checkpoint и не Cisco, но терпимо.

Но это была присказка, а за сказкой прошу под кат!

Читать далее Сказ о том, как мы отечественного производителя поддерживали

2 комментария

Настойка можжевельника: готовим Juniper SRX. Часть 3: Virtual Routers

juniper — можжевельник (англ.)

Продолжаем готовить настойку из можжевельника. О том, как мы начинали, можно почитать здесь и здесь. Сегодня же немного потрогаем такую удобную штуку, как Virtual Routers, и подумаем, как ее применить с наибольшей пользой.

Содержание:
Часть 1: Знакомство
Часть 2: IPSec
Часть 3: Virtual Routers
Читать далее Настойка можжевельника: готовим Juniper SRX. Часть 3: Virtual Routers

2 комментария

Траблшутинг ipsec-туннелей в Juniper

Статья подготовлена для Хабрахабр

Статей по настройке IPSec на Juniper SRX уже появилось несколько: раз, два, три. Но я бы хотел отойти чуть в сторону, и поговорить о том случае, когда что-то пошло не так.

JunOS предоставляет довольно удобные средства мониторинга и траблшутинга туннелей. Часть из них описана в официальной вики, часть есть на просторах интернета, что-то узнаешь из общения с JTAC.

Что оказалось полезным для меня:
Описание ошибок VPN — довольно подробная табличка при анализе логов. Так же информацию можно посмотреть здесь (удобно сгруппировано по типам VPN-туннелей).

Ну а самая мякотка под катом.

Читать далее Траблшутинг ipsec-туннелей в Juniper

Leave a Comment

Настойка можжевельника: готовим Juniper SRX. Часть 2: IPSec

Не так давно мы пощупали немножко Juniper SRX, настроили его , и собрали отказоустойчивый кластер. Теперь начнем поднимать на нем «боевые» схемы, ради которых все и затевалось.
Например, соберем мысленно вот такую схему:
jpsrxvpn

На схеме видим центральный офис и подключенную к нему ноду — это может быть как филиал, так и какой-то удаленный заказчик/клиент, для связи с которыми требуется защищенное соединение. Разумеется, их может быть несколько (об этом ниже). Способ связи при этом нам абсолютно не важен: хоть Интернет, хоть «темное волокно» — данные все равно нужно шифровать, чтобы свести к нулюминимуму риск их утечки. И чем выше стойкость шифра и совершенней способ фильтрации, тем целее будут нервы администратора (как вы, наверное, знаете, сисадмин, как и любая замкнутая система, всегда стремится к состоянию покоя).

Сегодня мы будем поднимать IPSec-туннели.
Читать далее Настойка можжевельника: готовим Juniper SRX. Часть 2: IPSec

2 комментария

Настойка можжевельника: готовим Juniper SRX. Часть 1

juniper — можжевельник (англ.)

Намедни в мои цепкие лапы попали два Juniper SRX 550. Попали не просто так, а для организации надежного ipsec и NAT-шлюза, а также OSPF-роутера. Ну а так как главное для нас — надежность, то именно с нее и начнем.

Для того, чтобы обеспечить отказоустойчивость сервисов, критично важные узлы обычно дублируют. Для ЦОДов это уже практически стандарт — N+N или хотя бы N+1. При этом устройства могут работать как независимо друг от друга, так и в кластере. Для обоих типов есть свои плюсы и минусы, но если нужен не просто роутинг/свитчинг, но нечто более «интеллектуальное» (например, те же NAT или IPSec), то без кластера тут точно не обойтись. Так что при плановом апгрейде в качестве замены Cisco 7201 рассматривались именно роутеры, способные работать в кластере. В связи с этим ASR 1k отправился лесом (как и ISR), ASA не рассматривалась (потому как готовить ее не умею), а VSS из Cat6503 — это уж слишком жирно и в плане цены, и в плане съедаемой электроэнергии.

Герой нашего рассказа. (Здесь и далее — картинки с официального сайта Juniper)
Читать далее Настойка можжевельника: готовим Juniper SRX. Часть 1

Leave a Comment

Как отравить кошку? Детективная история со счастливым концом

Статья подготовлена для Habrahabr

Устраивайся поудобнее, мой читатель. Сегодня я расскажу тебе увлекательную историю.

Все началось недавно. Свежеустановленный (меньше месяца) роутер Cisco вдруг на всех обиделся и ушел в себя. Настолько ушел, что на внешние раздражители реагировать перестал совершенно, трафик через себя пропускать посчитал делом неблагодарным и недостойным, и вообще закуклился по самое не могу.

Первая мысль после перезагрузки роутера: какой-то шутник решил запустить очередную убер-программу. Ну, или чей-нибудь ноут сошел с ума – тоже бывает. Однако пристальное изучение трафика (netflow, прослушка tcpdump-ом на предмет хитрого бродкаста) ничего не дало. Более того, шторм-контроль на клиентских портах не срабатывал.

А тем временем, роутер, проработавший после ребута едва ли пять минут, снова завис. Прошу заметить, в самый разгар рабочего дня. «К счастью», телефония шла через этот же роутер, и только это спасло нас от воплей огорченных коллег:).
Читать далее Как отравить кошку? Детективная история со счастливым концом

Leave a Comment

Поднимаем L2TP-сервер с ipsec на Mikrotik

Mikrotik довольно часто можно увидеть в маленьких и средних офисах в качестве роутера. Собственно, это одна из самых удачных ниш для него. Небольшая производительность (при богатых возможностях) и надежность (по сравнению с чисто аппаратными решениями от той же Cisco) не позволяет закрепиться ни в ISP (разве что в качестве CPE), ни в энтерпрайзе. Остается еще радиодоступ (где с микротиком довольно успешно конкурирует Ubiquiti), но мы сейчас не о нем.

Итак, ситуация: небольшой офис на десяток машин. Внутри есть сервер с 1С и прочие радости жизни в виде общей шары и принтеров. Снаружи — некоторое количество сотрудников, которым нужно дать возможность работать из дома или из других мест (например, через публичные wifi-сети и 3g-свистки). Разумеется, трафик, проходящий через публичные сети нужно шифровать, потому что ни сотовые сети, ни, тем более, wifi-сети (как и сети других операторов связи) защищенность канала связи не гарантируют, а утечка паролей и прочей конфиденциальной информации, передающейся в открытом виде (нешифрованный http, ftp, telnet и другие) может стать очень неприятным сюрпризом.

Читать далее Поднимаем L2TP-сервер с ipsec на Mikrotik

129 комментариев

Настройка MVR на Cisco ME3400

Начну с небольшого ликбеза. MVR (он же Multicast Vlan Registration) — технология, позволяющая инжектировать мультикаст во влан клиента непосредственно на свиче доступа. У D-Link такая технология называется ISM VLAN (IGMP Snooping Multicast VLAN). Таким образом до самого доступа влан с мультикаст-потоком у нас один, и только в самом конце он подмешивается к обычному пользовательскому влану. При этом Join/Leave сообщения также перехватываются и инжектируются в мультикаст-влан.

Для чего вообще это нужно? Можно, например, развести влан с мультикастом и клиентским трафиком по разным физическим трассам. Или не превращать каждый маршрутизатор еще и в PIM-роутер, уменьшая нагрузку на него. Вместе с IGMP Snooping использование MVR так же позволяет сэкономить на емкости каналов между сервером-источником и клиентами, например при использовании схемы vlan-на-пользователя.
В общем, если вы осознали, что вам нужна именно эта технология, добро пожаловать под кат.

Читать далее Настройка MVR на Cisco ME3400

Leave a Comment