Kenyon Жалоба Опубликовано 2 августа, 2012 У меня один вариант с 2005 года - это OpenVPN. OpenVPN в аппаратных роутерах типа Cisco и Ericsson нету и думаю не предвидится. В Российских криптошлюзах типа ViPNet или S-terra тоже как-то не замечен. Ну и еще я не уверен, что внутри OpenVPN удасться запустить Multicast или MPLS. Ну и почему GRE плохой я так и не услышал))))) Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
S10 Жалоба Опубликовано 3 августа, 2012 Ну и почему GRE плохой я так и не услышал))))) Просто тролль не умеет его готовить. Явное указание интерфейсов таки не помогло... Дома в виртуальной лабе сеть работает нормально. Кажется, баг в дистрибутиве все же присутствует. Бинго! Мешает правило, дающее отлуп при доступе к подсетям 87.240.128.0/18 93.186.224.0/21 217.20.144.0/20 94.100.184.40/31 Баг или фича? Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Kenyon Жалоба Опубликовано 3 августа, 2012 Просто тролль не умеет его готовить. Явное указание интерфейсов таки не помогло... Дома в виртуальной лабе сеть работает нормально. Кажется, баг в дистрибутиве все же присутствует. Бинго! Мешает правило, дающее отлуп при доступе к подсетям 87.240.128.0/18 93.186.224.0/21 217.20.144.0/20 94.100.184.40/31 Баг или фича? Баг в фиче)))))))))) Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
swin Жалоба Опубликовано 3 августа, 2012 Ну и еще я не уверен, что внутри OpenVPN удасться запустить Multicast или MPLS. Ну и почему GRE плохой я так и не услышал))))) Дядя, тыб прежде мануалы почитал, ага ? У OpenVPN есть два режима сетевой карты tun (ip tunnel) и tap (ethernet tunnel), во втором он работает как полноценная сетевая карта с маками и мультикастами, можно дома запустить его, карточку TAP объединить в мостик с локалкой Реала, соединяться туда снаружи и смотреть IPTV. Кроме того, он легко ставится как на линуксы, так и на винду, для транспорта используется стандартный TCP или UDP, проходит через NAT, особенно через дурной NAT на 3G-модемах, может также работать через прокси. Твой говённый GRE может этим похвастаться ? Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Kenyon Жалоба Опубликовано 3 августа, 2012 Дядя, тыб прежде мануалы почитал, ага ? У OpenVPN есть два режима сетевой карты tun (ip tunnel) и tap (ethernet tunnel), во втором он работает как полноценная сетевая карта с маками и мультикастами, можно дома запустить его, карточку TAP объединить в мостик с локалкой Реала, соединяться туда снаружи и смотреть IPTV. Кроме того, он легко ставится как на линуксы, так и на винду, для транспорта используется стандартный TCP или UDP, проходит через NAT, особенно через дурной NAT на 3G-модемах, может также работать через прокси. Твой говённый GRE может этим похвастаться ? Зачем мне линуксы и винды) У меня есть Cisco и Ericsson) NAT мне тоже ни к чему) У меня везде роутинг))) 3G-модемы тоже в топку - у меня оптика) Если у тебя сеть из нескольких компов, то OpenVPN норм, а когда у тебя узлы по всему региону и все построено на спец. железе, а не на серваках обычных, то лучше уж GRE) Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
oldbay Жалоба Опубликовано 3 августа, 2012 Бинго! Мешает правило, дающее отлуп при доступе к подсетям 87.240.128.0/18 93.186.224.0/21 217.20.144.0/20 94.100.184.40/31 Баг или фича? про что и говорилось - плохо систематизированный шухер в ipables (особенно если не ты его собственноручно навел) всегда выходит боком. Я в таких случаях сбрасываю все на минимум, а потом потихоньку накручиваю правила с оригинала - и смотрю что мешает. Ну и почему GRE плохой я так и не услышал))))) Тут никакого религиозного фанатизма, вообще пользуюсь всем подряд - в зависимости от реальной необходимости: pptp(в комплекте c GRE) - когда нужно предоставлять туннель для подключения удаленной виндовой инфраструктуры и клиентов ... с openvpn данные ребята часто совладать не могут, или не хотят (даже с клиентом) openvpn в самых разных случаях , со свином согласен - штуковина действительно весьма гибкая и удобная. ssh туннель - им соединяю филиалы конторы - работает тем же портом что и ssh и на том же протоколе(никаких лишних дырок в фаерволе и демонов в системе со своими сокетами), так же как и openvpn в системе создаются tun интерфейсы - к которым легко правила для iptables прикручивать(в том числе траффик через биллинг и шейпер пускать). п.с в общем - как, блин, в мультике: давайте жить дружно Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
S10 Жалоба Опубликовано 3 августа, 2012 про что и говорилось - плохо систематизированный шухер в ipables (особенно если не ты его собственноручно навел) всегда выходит боком. Я в таких случаях сбрасываю все на минимум, а потом потихоньку накручиваю правила с оригинала - и смотрю что мешает. Идея такая: найти, каким скриптом правила применяются(хранятся они в /var/efw/outgoing/config), и заменить reject-with icmp-port-unreachable на tcp-reset или icmp-host/net/etc-unreachable. Кажется, ноги у проблемы растут именно отсюда. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
oldbay Жалоба Опубликовано 3 августа, 2012 Идея такая: найти, каким скриптом правила применяются(хранятся они в /var/efw/outgoing/config), и заменить reject-with icmp-port-unreachable на tcp-reset или icmp-host/net/etc-unreachable. Кажется, ноги у проблемы растут именно отсюда. если у вас дропаются пакеты с определенных подсетй: 87.240.128.0/18 93.186.224.0/21 217.20.144.0/20 94.100.184.40/31 То явно работает какая то система блеклистов. У маршрутизатора есть web интерфейс? может в нем данная настройка, тупо, отключается и соответственно правила из iptables уйдут? просто конфиги в /var/efw/outgoing/config это дистроспецифичная хрень и, скорее всего, зацеплена она за насройки через веб = можете удалить и всю web морду перекорёжит ... в любом случае сделайте бэкапы изменяемых скриптов или каталога целиком. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
S10 Жалоба Опубликовано 3 августа, 2012 У маршрутизатора есть web интерфейс? может в нем данная настройка, тупо, отключается и соответственно правила из iptables уйдут? Более того, это добавленные мною правила для закрытия быдлосетей. Я знаю, что делаю; без бэкапа никуда Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
oldbay Жалоба Опубликовано 3 августа, 2012 Более того, это добавленные мною правила для закрытия быдлосетей. Я знаю, что делаю; без бэкапа никуда Наступил на собственные правила - бывает, ну тогда добивай его гада. Хорошо что вопрос в принципе решен Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты