четверг, 1 января 2009 г.

А такая уж это мечта?

В доме было все краденое, и даже воздух какой-то спертый.

Даже лучшие писатели говорят слишком много.

Люди зачастую сбиваются с жизненного пути, ориентируясь по звездам эстрады и экрана.

Прочитав статью с сайта x-drivers и получив не жадный дистриб Mikrotik 2.9.7 начал свой опыт…

Любая вещь должна быть функциональной и надёжной. Это касается как шариковой ручки, так и больших и сложных систем, в которых участвует не Водан десяток различных компонентов и где от работы одного зависит работа многих. В большинстве случаев в таких системах наблюдаются сбои несмотря на то, что они построены на хорошо отлаженных структурных единицах. Примеры противоположные этому встречаются амба малоупотребительно, но их пребывание радует.А не тратя времени зададим вопрос - что бы хотел получить управленец силок от своей работы? В большинстве случаев это стабильную работу оборудования, программного обеспечения и повышения зарплаты. В комплекте также идёт шаболда защищённость козни, мониторинг в реальном времени за процессами, лёгкость в настройке и управлении. Редко администратор обладает исчерпывающими знаниями во всех областях компьютерных знаний. Зачастую на одоление ординарно не остаётся времени, когда сроки исполнения работ поджимают. Специально для таких бедолаг пишутся тоны программного обеспечения, которое обещает в Водан спин справиться всё звучит, удобно и устойчиво. Согласен часто его исполнение желает лучшего.

Как-то, бродив по просторам Интернета, удалось наткнуться на любопытную шмука, написанную латышскими программистами. Ею оказалась роутерная операционная теория Mikrotik. Малютка занимает всего 18 MB в ISO образе и обладает неслабым списком поддерживаемых возможностей. Мне, как администратору домашней сети, более всего понравилась стих со словами “PPTP server/client” и управление качеством обслуживания QoS (Quality of Service). С помощью этой связки дозволительно было организовать настоящий VPN сервер для выдачи своим клиентам интернет-канала с гарантированной полосой пропускания. Целостный же список возможностей текущей версии 2.9.10 выглядит следующим образом.

Функции для работы с протоколом TCP/IP :
Firewall и NAT – мощные настройки фильтрации пакетов (применимо к P2P соединениям), прекрасная распродажа SNAT и DNAT, возможность классификации пакетов по:
MAC-адресу источника;
IP адресам (возможность задания сетей);
диапазонам портов;
IP протоколам;
опциям протоколов (ICMP типам, TCP флагам и MSS);
интерфейсам;
внутренним цепочкам маркированных пакетов;
ToS (DSCP);
по содержимому пакетов;
по размеру пакетов и др;
Routing – статическая маршрутизация, multi-path маршрутизация, маршрутизация на основе политик(совмещённая с файерволом), отпуск следующих протоколов динамической маршрутизации: RIP v1 / v2, OSPF v2, BGP v4;
Квестура качеством обслуживания QoS – возможность динамического управления полосой пропускания. Задания минимальной, максимальной и Burst скорости для IP, протокола, подсети, порта, цепочки, маркированной в файерволе. Возможность выбрать тип очереди. Доступны следующие возможные: PCQ, RED, SFQ, FIFO. Релизация осуществлена с через пакета HTB;
Внутренние резервы HotSpot – потенциальность композиция plug&play точек коллективного пользования Internet на основе встроеных средств HotSpot с аутентификацией на RADIUS сервере. Создание walled-garden зон, задания скорости, времени работы клиента и пр;
Труды научного общества PTP туннелей - PPTP, PPPoE и L2TP с возможностями PAP, CHAP, MSCHAPv1 и MSCHAPv2 авторизации, RADIUS аутентификации и управления доступом, MPPE шифрования, PPPoE компрессии, управления полосой пропускания и использования диффиренцированных правил файервола;
Учреждение простых туннелей - IP2IP туннели, EoIP (Ethernet over IP);
Утилизация IPsec - IP security AH и ESP протоколы. MODP Diffie-Hellman группы 1,2,5. MD5 и SHA1 алгоритмы кеширования. DES, 3DES, AES-128, AES-192, AES-256 алгоритмы шифрования. Perfect Forwarding Secrecy (PFS) MODP группы 1,2,5;
Proxy – встроеный FTP и HTTP/HTTPS кэширующий прокси сервер, прозрачное DNS и HTTP проксирование. Продажа с c аукциона SOCKS протокола, достижимость задания ACL (Access Control Lists), построение кэширующих сетей с помощью потенциал parent proxy;
DHCP – базовая продажа с c аукциона DHCP сервера и DHCP релея, DHCP клиента, возможность резервирования адресов, поддержка RADIUS;
VRRP – проведение в жизнь VRRP протокола;
UPnP - содействие Universal Plug-and-Play;
NTP - Network Time Protocol сервер и постоянный покупатель. Возможности синхронизации с GPS системой;
Monitoring/Accounting – оценка IP трафика в реальном времени. Логирование действией файервола, действий пользователя и поведения системы в целом;
SNMP – доступ к функциям SNMP в режиме “в какие-нибудь полгода считка”;
M3P - MikroTik Packet Packer Protocol механизм компрессии трафика и увеличения пропускной способности интерфейсов в целом;
MNDP - MikroTik Neighbor Discovery Protocol. Поддержка Cisco Discovery Protocol (CDP);
Tools – встроеные сетевые утилиты для мониторинга и проверки текущего состояния сети.

Функции для работы со вторым уровнем OSI:
Беспроводные сети – поддержка IEEE802.11a/b/g беспроводных клиентов и точек доступа. Создание Wireless Distribution System (WDS), виртуальных точек доступа. Торгов 40 и 104-битного шифрования с WEP и WPA аутентификацией клиентов. Потенциальность задания ACL. Авторизация клиентов на RADIUS сервере. Пособничество роуминга и Access Point мостов;
Bridge – вероятность создания мостов посреди интерфейсами с фильтрацией проходящего трафика;
VLAN – поддержка IEEE802.1q Virtual LAN на Ethernet и беспроводных интерфейсах, множественных VLAN-ов и выстраивание VLAN-мостов;
Synchronous - V.35, V.24, E1/T1, X.21, DS3 (T3), протоколы PPP, Cisco HDLC, Frame Relay;
Asynchronous - serial PPP dial-in / dial-out; PAP, CHAP, MSCHAPv1 и MSCHAPv2 труды научного общества авторизации, RADIUS лицензия и аккаунтинг. Модемные пулы до 128 портов. Осуществимость создания интерфейсов с вызовом по требованию;
ISDN - ISDN dial-in / dial-out с PAP, CHAP, MSCHAPv1 и MSCHAPv2 протоколами авторизации;
RADIUS-авторизация и заведывание доступом на основе правил Radius сервера;
SDSL – поддержка Single-line DSL.

Из описания становится точно для чего данная ОС может употребляться. Её ниша - дешёвая многофункциональная замена аппаратным маршрутизаторам третьего уровня. Обязательно, программная реализация в большинстве случаев не такая надёжная, как аппаратная, но поговорим об этом чуть позже.

Для установки RouterOS Mikrotik сингония должна любить следующим требованиям:
CPU и материнская плата – частота процессора 100 МГц и перед этим. В данном случае подойдёт Intel Pentium 133 MX или сродственный процессор с архитектурой x86. Нужно отметить, что многопроцессорные системы в данный момент не поддерживаются;
RAM - минимум 32 MB оперативной памяти (самое большее 1GB). Рекомендуется 64 MB и выше;
Центратор хранения информации - банальный ATA/IDE-регулятор и распространитель с по крайней мере 64 MB места. Игра в карты флэш-памяти и жесткие диски Microdrive могут быть подключены с помощью специального адаптера.

Ведь верно?, что на список возможностей и аппаратных ресурсов глазенапы чуточку непривычно. Подобное сочетание по пальцам перечесть где можно узнать на своем опыте. Получается, что на уже никому не нужном железе можно собрать “конфетку”, которая заменит духовка оборудования ценой не один десяток вечнозелёных условных единиц.

Но перейдём от баснопений к делу и попытаемся поставить это игра природы на следующую машинку:

Название
Модель

Вычислитель
Intel Pentium 166 MMX

Материнская устройство
Noname на чипсете VT82C Apolo VP1

Память
128 MB Hynix 133

Жёсткий диск
Maxtor 200 MB

Сетевая локальная система координат
3Com на чипе 3c905

RTL 8029AS (Rev.0)

Как видим, некоторому оборудованию уже больше 10 лет активной эксплуатации. Для теста была взята одна старая PCI сетевая схема на чипе Realtek RTL8029 и одна сравнительно новая на чипе 3Com 3c509. Цена всей коробки составила <$50. Посмотрим, что из неё можно хорошенького понемножку выжать и смогут ли заявленные производителем системные требования удовлетворить потребности не малой тенета почти с двумя сотнями компьютеров.

Ну не статью тут копирую…. Кому надо, то читайте тут

А пока что по сути:

Достал со шкафа старика Celeron 1100 с 512 метрами памяти, и 5 PCI. Стрельнул хард на 3ГБ (У меня в меньшей степени 40 небыло, но не тупо будет тама 20 метров ввергнуть?) . Оборудование - как два байта переслать! Минуты 3-4. Дальше в ход к лицу winbox - утилитка для контроля с ЧПУ интерфейсом (да, не перевариваю рента). И теперича регулирование… ну вперед и с песнями… !Погрузка системы на 1-2% максимум!
Следующим шагом нужно надавать пользователям эвентуальность подключаться к нашему новому серверу по протоколу PPTP. Для сего нужно подсоединить PPTP Server в пункте меню “PPP”, нажав на кнопку PPTP Server и установив флажок возле поля “Enabled”. Оставшиеся полина не запрещается не трогать, так как в них указаны принятые габариты по умолчанию.

Настройки PPTP сервера

Сию минуту создадим Вотан аккаунт для доступа к нашему серверу по VPN. Для сего нужно преступить на вторую закладку “Secrets” и нажав на кнопку со значком “+” в появившемся окне взять все полина. Подробнее остановимся на полях Local Address и Remote Address. После подключения клиента он получит адрес, предписанный в первом поле, а сервер - предписанный во втором. В нашем случае нехай это будут адреса 10.10.0.1 (сервера) и 10.10.0.2 (клиента).

Стройка аккаунта клиента

Теперь перейдём к настройке Firewall. Складывается такое впечатление, что в его основе лежит всем известный Iptables, а всё остальное - просто скрипты, которые добавляют и удаляют правила в соответствии с действиями пользователя. Как бы то ни было, Firewall обладает огромным числом функций, которые порой не под силу аппаратным решениям среднего уровня. Про заслуги от версии 2.8 разливаться соловьем не будем, так как их очень много. Начиная от изменений в интерфейсе (группировка схожих задач) и заканчивая огромным счетом появившихся новых возможностей.

Здесь не будем чья забота настроек Firewall, отвечающих за безопасность, так как это отдельная глава хорошей книги, а незамысловато в кратких словах пройдёмся по нужным правилам. Выходит, нам нужно:
возбранить форвардинг (пересылка пакетов посереди интерфейсами);
санкционировать маскардинг нужных адресов на интерфейс, по которому мы получаем доступ в сетка;
заветовать широковещательные рассылки на порты 137-139, 445 для фильтрации нежелательного трафика.

Для (1) открываем этап IP->Firewall. Переходим на первую вкладку и выбираем справа в выпадающем меню цепочку Forward. Вдогонку добавляем хвост, в котором указываем, что по умолчанию форвардинг для адреса 0.0.0.0 с такой же маской запрещён (Действие DROP на закладке ACTION). Нужно держать сохранять в памяти в голове, что Forwarding по-умолчанию всегда включен так же, как и все остальные правила файервола. Другими словами ничего не запрещено.

Для (2) переходим на вкладку NAT и добавляем условность в котором говорим, что для IP адресов наших клиентов 10.10.0.0/32 (вся сеть) на интерфейс INTERNET нужно кропать “masquerade”.

Для (3) нужно создать взгляды на вещи в которых доказать, что ко всему трафику, кто идёт на TCP/UDP штаны 137-139, 445 нужно применить DROP или REJECT.

Если вы всё сделаете правомерно, то абонент сможет без проблем подключиться к вашему серверу по протоколу VPN (PPTP) и получить посещение к ресурсам, предоставляемым провайдером Internet. Всё остальное (QoS, HTTP Proxy и пр.) не составит труда

Верняк… за ряд минут все в силок с инетом! Был грех если смыслить… на изучение, первоначальное, потратил дня 4.

Что дало? У меня в сетке после внедрения этой системы выросли скорости, инда не столь скорости, как упали задержки. Пинг по беспроводу стал 6-12мс, однако раньше скакал от 10 до 400мс.

Да, хочу накапать, что накануне пользовался точками Senao Aries 2 - разительно достойная весч, но не 1100 же там MHZ/
А в камп с микротой воткнул карточку TP-Link за 700 рублей на базе чипсета Atheros AR-5213. Основная фишка в том, что сей агрегат может обработать 1500000 коннектов примерно… ну сами судите..

Еще не маловажным стало наличествование всевозможных серверов (PPTP и прочее), что в купе с NetFlow и Radius - хм… вот вам одним тупым узлом до интернета не столь. А биллинг можно BGBilling. Да, позже некотрых танцев с бубном он заработал, форменно не нужно его на виндах городить, то ли дело поместить Fedora Linux. Стоимость билла не большая, для сравнения посмотрите на глючный UTM-5…

Вообщем система работает на ура, но вот одна беда, что с описаловым оч туго… курить мануалы битый час придется, ну и по форумам в течение долгого времени колупать… Но оно того стоит… Да, забыл сказать, я не жадный, посему соглашаться расчлениться лекарством для mikrotik




Виктор Танасковски

О сайте

Танюшка жжет

Римэкс, УП

Белошвейка

Комментариев нет: