Sławomir Jasiński » vyatta http://www.jasinski.us blog webdevelopera Sun, 05 Sep 2010 10:15:13 +0000 en hourly 1 http://wordpress.org/?v=3.0.1 Vyatta problemy z nat reflection i hairpin nate http://www.jasinski.us/2009/04/vyatta-problemy-z-nat-reflection-i-hairpin-nate/ http://www.jasinski.us/2009/04/vyatta-problemy-z-nat-reflection-i-hairpin-nate/#comments Mon, 20 Apr 2009 07:21:14 +0000 admin http://www.jasinski.us/?p=241
Jako, że w życiu nie ma lekko to i z moją Vyattą pojawił się problem. Oczywiście wpadłem na sposób jego rozwiązania, ale regułka nie chciała działać za żadne skarby. Na szczęście problem okazał się być sprzętowy (a raczej czeski sprzętowy – źle wpięte kable do kolejnych interfaców). Problem zasadniczo dotyczył takiego wydarzenia:

sieć lokalna, w klasie 192.168.0.1/16 (255.255.0.0) oczywiście wszystko za NATem, żeby było ciekawiej w środku tej sieci jeden serwer lokalny (LAMP) dostępny ze świata pod określoną nazwą domenową. Na routerze mamy odpowiednie forwardy:

rule 20 {
  destination {
    address x.x.x.x
    port http,https,ftp
  }
  inbound-interface eth1
  inside-address {
    address 192.168.0.111
  }
  protocol tcp
  type destination
}

No i pojawił nam się malutki problem… Otóż dostęp do zasobów serwer w postaci subdomena.domena.pl był dostępny tylko z zewnątrz. Chyba, że wpisaliśmyn na sztywno mapowanie w hostach / static-dns sub.domena.pl na adres wewnętrzny 192.168.0.111. Udało mi się wyśledzić, że domeny były rozpoznawane po zewnętrznym adresie IP, a potem cały ruch musiał być zamieniany na wewnętrzne adresy przez maskaradę.
Problem mógł być rozwiązany na dwa sposoby. Pierwszy który mi przyszedł do głowy, to postawienie wewnętrznego serwera DNS, który obsługiwałby sieć lokalną i od razu “podmieniał” domeny na adresy IP lokalne.
Drugi to przechwycenie ruchu z sieci lokalnej kierowanego na zewnętrzny adres domeny i przerzucenie go od razu na serwer wewnętrzny.
Drugie rozwiązanie, być może mniej eleganckie dawało mi szybkie rozwiązanie problemu. Niestety nie chciało działać (bo źle wpiąłem kable do switcha i ruch był routowany przez switch a nie przez router ;) . Z całym problemem nie wiedząc o switchu skierowałem sie na forum Vyatty i dosyć szybkó naprowadzono mnie na moje nieskuteczne rozwiązanie ;) .
Tak czy inaczej poniżej przydatna regułka, pamiętać należy że eth0 obsługuje ruch wewnętrzny, eth1 wyjście na świat.

rule 2 {
  destination {
    address x.x.x.x
  }
  inbound-interface eth0
  inside-address {
    address 192.168.0.111
  }
  source {
    address 192.168.0.0/16
  }
  type destination
}
rule 3 {
  destination {
    address 192.168.0.111
  }
  outbound-interface eth0
  source {
    address 192.168.0.0/16
  }
  type masquerade
}

Regułki są bajecznie proste. Pierwsze przechwytuje cały ruch z sieci lokalnej kierowanyn na zewnętrzne IP naszego serwera (wtedy DNSy nie muszą podrabiać adresów). Druga robi maskaradę dla wewnętrznego serwera tak aby mógł on pokazywać się w sieci lokalnej. Ważne jest aby regułki te były PRZED tymi, które puszczają ruch z zewnątrz.

]]> http://www.jasinski.us/2009/04/vyatta-problemy-z-nat-reflection-i-hairpin-nate/feed/ 0 Vyatta i limity przepustowości na interfejsie http://www.jasinski.us/2009/04/vyatta-i-limity-przepustowosci-na-interfejsie/ http://www.jasinski.us/2009/04/vyatta-i-limity-przepustowosci-na-interfejsie/#comments Tue, 07 Apr 2009 08:21:48 +0000 admin http://www.jasinski.us/?p=236 vyatta_logoNadszedł ten moment, kiedy jestem zmuszony w końcu zabrać się za konfigurację mojej ulubionej Vyatty. Sprawa jest tradycyjnie prosta :) Wyszło mi na to, że będę udostępniął internet po sąsiedzku co za tym idzie wyszło na to, że najlepiej będzie jeżeli całość zestawie na osobnym interfejsie.

Osobną sieć udostępniam przez eth3, do dyspozycji mamy umowne łącze symetryczne 1mbit

configure
set qos-policy traffic-shaper slimak
set qos-policy traffic-shaper slimak bandwidth 512kbit
set qos-policy traffic-shaper slimak default bandwidth 100%
commit

teraz nakładamy regułkę na interfejs eth3

set interfaces ethernet eth3 qos-policy out slimak

Teraz już na naszym interfejsie nie da się pociągnąć więcej niż 512kbit.
Jako, że klient zamówił sobie łącze niesymetryczne musimy mu jeszcze przyciąć upload:

set qos-policy traffic-limiter siecin
set qos-policy traffic-limiter siecin class 1
set qos-policy traffic-limiter siecin class 1 bandwidth 128kbit
commit

teraz regułkę nakładamy na iterfejs

set interfaces ethernet eth3 qos-policy in siecin
commit

Warto pamiętać o zapisaniu zmian
save

Ważna informacja: regułka na ograniczenia INa działa tak, że jeżeli nie ma obciążenia łącza to idzie z maksymalną prędkością, jeżeli pojawia się ruch na regułkach / interfejsach które nie są objęte reguła wtedy prędkość spada do zadanej wielkości.

Oczywiście podałem tutaj maksymalnie prosty schemat działania tego mechanizmu, ponieważ wykorzystałem dodatkowy interface i odpadło mi praktycznie całe rozpoznawanie ruchu. Gdybyśmy chcieli limitować poszczególne komputery / usługi trzeba poczytać o “matchach” czyli o sposobie klasyfikowania ruchu do danej klasy.

Przykład może nie jest optymalny, ale “u mnie działa”

]]> http://www.jasinski.us/2009/04/vyatta-i-limity-przepustowosci-na-interfejsie/feed/ 0 Po urlopie http://www.jasinski.us/2009/04/po-urlopie/ http://www.jasinski.us/2009/04/po-urlopie/#comments Fri, 03 Apr 2009 09:49:56 +0000 admin http://www.jasinski.us/?p=232 Moja słaba aktywność w ostatnim okresie nie oznacza wcale, że nie będę nic pisał. Po prostu byłem na “prawdziwym” urlopie pierwszym od… n-lat :) Urlop był baaardzo udany, parę fotek można znaleźć na Picassie. Co w przygotowaniu ? Czym się ostatnio zajmuję? Na pewno opiszę jak zrobić statystyki dla Vyatty przy pomocy RRD Toola, bo tym się bawiłem. Na pewno napiszę też parę słów o separacji sieci też pod Vyattą bo też mnie czeka w najbliższych dniach. Poza tym nowych odkryć i fascynacji brak. No może poza Szwajcarią, która ostatnio odwiedziłem.

]]> http://www.jasinski.us/2009/04/po-urlopie/feed/ 0 Vyatta http://www.jasinski.us/2009/02/vyatta/ http://www.jasinski.us/2009/02/vyatta/#comments Thu, 05 Feb 2009 10:59:24 +0000 admin http://www.jasinski.us/?p=188 vyatta_logoW ramach cotygodniowego kursu pt. “Jaki router mam wybrać ?” przedstawimy krótki opis i pierwsze wrażenia z Vyatty. Jest on przedstawiany jako Open-Sourceowa alternatywa dla Cisco. System ten ma oczywiście dwie “wersje” czyli komercyjną i nie, my z wiadomych względów zajmiemy sią tą drugą. System jest na tyle “poważny”, że nie oferuje na dzień dobry żadnego GUI. Oparty jest na Debianie, ma bardzo intuicyjny system konfiguracji i rewelacyjną dokumentację. Instalka zajmuje niecałe 190MB (sporo jak na system bez GUI). Ale wszystko idzie bardzo sprawnie. System jest w postaci LiveCD także, tylko po uruchomieniu możemy się cieszyć właściwym systemem. Zasadniczo to co udało mi się “na szybko” zrobić to uruchomić VPN, który działa. Warto wspomnieć że najnowsza wydanie ma mnóstwo doskonałych rozwiązań w postaci:

  • Obsłgi OpenVPN (wcześniej IPSEC i PPTP)
  • systemu IPS i Traffic Filtering
  • filtrowanie po URL (koniec z nasza-klasa w biurze i reklamami ;)
  • Web Caching – mamy web proxy :)
  • DNS Forwarding
  • Dynamic DNS (dziwne, że wcześniej tego nie było, ale “poważne” systemu nie pracują na zmiennych IPkach
  • kilka innych nowości, które praktycznie mi się nie przydadzą,
  • RAID-1 – bezpieczeństwo :)
  • eksperymentalnie “Ethernet Link Bonding” czyli coś co pozwala sklejać fizyczne interface na jeden wirtualny, celem zwiększenia wydajności,

A z tego co było, a bardzo mi się podoba to możliwość odpalenia antywyriusa, który pracuje na określonych portach (http, ftp, pop3) i skanuje nam pliki przed pobraniem na dysk lokalny. Uff… tyle tytułem wstępu.

Aha… o Vyatta usłuszałem po raz pierwszy przy okazji ciekawego artykułu na techit.pl – warto sobie coś poczytać tytułem wstępu.

]]> http://www.jasinski.us/2009/02/vyatta/feed/ 0