rimidal

Он для интернета больше подходит, чем для локалок. Лучше IPSEC или на точках фильтрация по макам и хоть впа шифрование. Фильтрация по макам не исключает прослушку, железо умеет только wep в режиме моста :( А что лучше для отказоустойчивости маршрутов ospf, два канала: wifi и internet, ipsec или openvpn? Или без разницы?

Хорошая статья. Но вот эта фраза вызывает сомнение: "При использовании АОЛС возможность перехвата полностью исключена." По моему, чего уж проще снять сигнал с рассеивающегося даже на пыли потоке света. Ну ладно, не так уж и просто, но "полностью исключена" это фраза для голивуда. Насчёт радио, вот уже 3 месяца терзаю линк на 5,6 км. 2,4 ГГц. Оборудование 802.11 G, устоявшаяся скорость чуть больше 10 МБит/сек. TP-Link WA5210G + DLink антена на 21 dbi. Оборудование из дешёвого сегмента, возможно по этому периодические провалы скорости - когда солнце выходит линию :) Ах да, возможность перехвата исключил openVPN-ом :)

Это что за дизайнерское решение такое с криво прибитой гофрой внутри помещения? Заказчику совсем на внешний вид начхать было? И о чём вообще статья? Ни одного технического решения. О чём хоть с мегафоном долго разговаривали? Аааааа! Я понял ноухау защищаете.

Отражатель на головке антенны не туда смотрит?!

Vyatta 6.3 стоит на esxi 4.1 машине с одним ethernet. Есть vlan через wifi мост. на eth0 две подсети и ещё три vlan по одной сети. Могу putty через vlan подключиться на адрес без vlan, но немогу на интерфейс eth0 vif 30. ping идёт. маршрутизация по умолчанию работает, спокойно подключаюсь к машинам в сетях. show system connections показывает что по нужному адресу с vlan SYN_RECV и всё - отвал по таймауту. Куды рыть подскажите пож.

Надо пробовать. На вики есть такое: "Сервер посылает клиенту подтверждение с уникальным идентификатором сессии, все последующие кадры в сессии будут иметь этот идентификатор. Таким образом, между сервером и клиентом создается виртуальный канал, который идентифицируется идентификатором сессии(!) и MAC-адресами клиента и сервера." Т.е. может и на одном mac заработает?? Или точно нет - проверено???

Не нравится мне усложнять, потом глюки никто не разберёт. для eth есть interfaces ethernet <ethx> hw‐id <mac‐addr> а для vif такой команды нет. Проще в esxi ещё интерфейс поднять..... а на нём vlan :) и всё для экономии портов хост машины..... и я не понял что такое сабы?

Опа.... :~$ show interfaces ethernet detail eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 00:0c:29:82:82:fc brd ff:ff:ff:ff:ff:ff eth0.10@eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP link/ether 00:0c:29:82:82:fc brd ff:ff:ff:ff:ff:ff eth0.20@eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP link/ether 00:0c:29:82:82:fc brd ff:ff:ff:ff:ff:ff И что делать? В принципе у меня всё в esxi крутится, так что разнести не проблема, но точно pppoe линки не поднимутся? Не совсем понятно, каждый pppoe ведь свой мак получит??

Яж говорю linux/VYATTA. Т.е., что такое зебра я не вкурсе. Но блин эти адреса самостоятельно назначаются вообще везде, включая windows 7. Похоже, что это в самом протоколе определено. Так вопрос - если открытых портов на этих адресах нет то локально и нет уязвимостей, и все интерфейсы в одной подсети fe80::/64 то и маршрутизироваться не должно? Или всё же защищать надо?

Ничего в IPv6 не настраивал но есть такое :~$ show interfaces Interface IP Address State Link Description eth0 192.168.100.245/24 up up eth1 192.168.101.1/24 up up eth2 192.168.102.1/24 up up lo 127.0.0.1/8 up up lo ::1/128 up up :~$ show ipv6 route Codes: K - kernel route, C - connected, S - static, R - RIPng, O - OSPFv3, I - ISIS, B - BGP, * - FIB route. C>* ::1/128 is directly connected, lo C * fe80::/64 is directly connected, eth1 C * fe80::/64 is directly connected, eth0 C>* fe80::/64 is directly connected, eth2 :~$ Вопрос на это забить? Или нужно как-то защищать сеть (firewall)? И собственно почему/зачем к каждому интерфейсу, в т.ч. не настроенному, привязывают IPv6 адрес?

Спасибо.

Свитч с vlan у меня уже есть. Просто теорию представляю себе а опыта маловато. Решил уточнить. Т.е. ответ - разносить модемы через vlan?

Есть два adsl модема к провайдеру, оба в режиме моста, pppoe. Экономлю физические интерфейсы, модемы подключаю через свитч. Как pppoe клиент узнает через какой модем ему конектиться? И смущает вложенность interfaces { ethernet eth0 { description "WAN" hw-id 00:0c:29: vif 10 { description "inet money" address 192.168.2.3/24 description "inet unlim" pppoe 0 { password **************** user-id ********* } vif 20 { address 192.168.1.3/24 description "inet unlim" pppoe 1 { password **************** user-id ********* } } } По ману до 15 pppoe на интерфейс, но как они разрулятся по разным модемам? Т.е. с vlan всё понятно, а без них можно?

В комментах что-то такое есть. anticisco.ru/blogs/?p=493#more-493

Спасибо, а примеров для vyatta "policy routing" нет? Или не набросаете в общих чертах, я по докам уже доделывал бы. Например: четыре интерфейса eth0 - 192.168.0.1/24 #lan1 eth1 - 192.168.1.1/24 #lan2 pppoe1 - dhcp eth2 vif 10 #inet anlim adsl pppoe2 - dhcp eth2 vif 20 #inet $$$ adsl В норме lan1 полностью маршрутизируется через pppoe2, lan2 через pppoe1. При пропадании pppoe1 lan2 через шейпер на pppoe2, при поднятии линка обратно. А с "голым линуксом" не хочется связываться т.к. в vyatte много чего заточено/сделано под эту тему.

Добрый, в офисе есть 2 провайдера, один анлим и один с тарификацией по трафику. Как VoIP пускать по обоим сетям, а пользователей только анлиму? И планируется подключить второй офис (прямой канал - wifi и провайдер), и зарезервировать каналы по 3G. Нужен не совсем WAN Load Balancing, а маршрутизацией от источника управлять, по правилам в зависимости от наличия каналов. В том числе между офисами. Хоть в каком направлении копать подскажите пожалуйста.....

Спасибо, на работе сам допетрил. Только почему не работает на составляющих интерфейсах не пойму. Ведёт себя странно: Если до создания бриджа пинговать что-либо, то это доступно и после поднятия (вероятно в течении жизни записи в кэше), после clear arp уже ничего не доступно, и в show arp появляется почти вся сетка (наверно из-за широковещательных) но маки недоступны. И ещё ВОПРОС, если я хочу повесить шейпер и файервол, на какой интерфейс вешать? Исходящий eth0 или тоже на br0??

На работе (крупный офис) выделенный канал 1 мб. Эпизодически начинают пропадать пакеты. Интерфейс занят на 100%. между офисом и маршрутизатором стоит шифрующий прокси, с маршрутизатора видно только каналы на другие офисы. Не понятно кто трафик делает. Хочу перед шифрующим прокси поставить vyatta в режиме bridge и на br0 повесит NetFlow. конфигов дома нет... Тестирую в такой конфигурации. vyatta - ширпотребный системник с двумя интерфейсами. br0{ eth0 eth1} eth0 adress 192.168.0.12/24 ssh Моя машина 192.168.0.16/24 воткнута в eth0 vyatta. Если сначала конфигурирую eth0, применяю и потом конфигурирую br0 то вижу и сеть и vyatta. После перезагрузки vyatta прекрасно вижу всю сеть - не вижу сам vyatta 192.168.0.12. (или необходимо межу мной и роутером коммутатор иметь???) Вопрос: почему после перезагрузки пропадает доступ к ssh vyatta (релиз 6,1 от 16/10/2010).