Главная » Форум » Gentoo Linux » Системное администрирование

gentoo + ipsec or cisco

HolyBoy 4 сентября, 2007 - 20:11

Требуется настроить маршрутизатор и vpn соединение между двумя офисами. В одном офисе находится маршрутизатор cisco pix, в другом офисе, там где нахожусь я, хотелось бы поставить linux-сервер (маршрутизатор, почта, etc) на базе gentoo вместо cisco 877 (в качестве маршрутизатора+), который мне навязывают. В принципе, я нашел мануал http://www.opennet.ru/base/net/ipsec_linux_pix.txt.html , но хотелось бы узнать

1. Нет ли каких-нибудь подводных камней в создании подключения по этой доке, может существует иной мануал?
2. После создания подключения останется ли обычный выход в интернет? Т.е. созданный канал будет означать всего-лишь, что будет доступна еще одна подсеть среди остальных в интернете?

‹ Запуск сервисов Jabber server и список пользователей в PostgreSQL базе ›
»

циска.!

Автор Daevy, дата создания 5 сентября, 2007 - 08:25.

оставляй циску если навязывают, стабильней будет, вдруг у тебя на линуксовом серевре сгорит чтото?
а циски вон стоят и работают:-)
и по ВПН из своего опыта, у меня несколько филиалов связаны с центральной сетью через vpn, настроилось нормально
подводных камней:-) не было, разве что у меня впн на базе StrongSwan, изредка тунели приходится поднимать, из-за глючности dlink'ов которые стоят на филиалах, а так нормально не жалуюсь

»

+1

Автор b0rkes, дата создания 5 сентября, 2007 - 10:19.

циски в этом отношении надежнее, и на мой взгляд удобнее эти туннели мониторить и проще настраивать.
плюс на циске можно будет настроить qos, который будет нужен, если у вас будет выделенный канал. Как это сделать на линуксе - не разу не видел (но думаю что возможно).

»

QoS давно есть, с

Автор evadim, дата создания 5 сентября, 2007 - 12:13.

QoS давно есть, с недавних пор есть и DSCP

»

1)Стабилность

Автор wi, дата создания 5 сентября, 2007 - 11:19.

1)Стабилность любой системы и скорость ее восстановления зависит от наличия зипа. Представте что циска сдохла (такое, поверте,случается). Что дальше? Запчастей для маршрутизатора под линем можно на любой свалке задаром найти. Такого барахла в любой большой конторе вагон и маленькая тележка, чего не скажешь о цисках.
2)Где взять линя вопросов нет, а вот иос просто так не раздают. Линь много гибче иоса, и как бы расширить функционал маршрутизатора не вопрос. Понять что случилось с линем с его системой логов много проще, чем разобраться почему дохнет циска. Помнится года два назад 837 перешивали ибо дохли из за кривого иоса- ужасна.

3) Производительность "цисок для бедных" оставляет желать лучшего. Высказивания цискарей типа "мы порвем весь этот линевый хлам" имеют право на жизнь начиная с трех-четырех тыщь вечнозеленых, причем сравнивают их как правило с поделками на коленке общей остаточной стоимостью равной бутылке хорошего пива. ИМХО за четыре штуки баксов можно такой крутой маршрутизатор на коленке собрать, что цискам и не снилось. По надежности ничуть не хуже получится.

»

Вот и у меня

Автор HolyBoy, дата создания 5 сентября, 2007 - 12:20.

Вот и у меня такие же мысли. С чем удобнее работать - с киско или с линуксом? Что более гибко в настройке? Если подходить только с этой стороны, то выбор за линуксом.
Окончательному решению вопроса мешали только возможные проблемы с созданием vpn канала. Но с ним проблем не должно быть, как понимаю.
_______________________________________________________________________
Intel Core2Duo E6600 / 2 Gb RAM / NV GF 8800 GTX / x86_64-pc-linux-gnu

»

насчет ИОСа,

Автор b0rkes, дата создания 5 сентября, 2007 - 12:24.

насчет ИОСа, при большом желании достать большинство иосов - давно не проблема, неужели у вас нет знакомых с ССО-аккаунтом на циско.ком?
Какая процедура ужаснее - пересобрать ядро или перезалить ИОС - это кому как, кому что ближе. ИОСы кстати тоже бывают разные, по аналогии со стабильными/нестабильными ветками.

Насчет мониторинга опять же не согласен. Есть SNMP, есть syslog, есть графические утилиты. Все что надо, можно посмотреть.

За 3-4 килобакса можно взять маршрутизатор, который вам будет и шифровать и участвовать в динамич роутинге, и mpls-ить, и голосовой шлюз с мини IP-АТС на него можно запихать, при этом производительность будет приличной. Соберете ли вы все это на коленке большой вопрос, может быть, но потратите явно не один день.

А что если пров дает вам скажем V.35-й интерфейс и подключает к Frame Relay?

»

собрать это всё

Автор evadim, дата создания 5 сентября, 2007 - 13:02.

собрать это всё можно легко - я в первый раз столкнувшись с asterisk страдал неделю, теперь за пару дней соберу. всё это стоит на серве за $1500 - и мне отчего-то кжется что 2 двуядерных Xeon с 4мя гигами оперативы и полтерабайтом винтов раотают быстрее.
особенно NAT.
а сам астериск - это и есть мини-атс, на которой можно сэкономить.

Linux Kernel v2.6.22-gentoo-r5 Configuration написал(а):
CONFIG_WAN:

Wide Area Networks (WANs), such as X.25, Frame Relay and leased
lines, are used to interconnect Local Area Networks (LANs) over vast
distances with data transfer rates significantly higher than those
achievable with commonly used asynchronous modem connections.

Usually, a quite expensive external device called a `WAN router' is
needed to connect to a WAN. As an alternative, a relatively
inexpensive WAN interface card can allow your Linux box to directly
connect to a WAN.

If you have one of those cards and wish to use it under Linux,
say Y here and also to the WAN driver for your card.

»

>>насчет ИОСа,

Автор wi, дата создания 5 сентября, 2007 - 17:10.

>>насчет ИОСа, при большом желании достать большинство иосов - давно не проблема, неужели у вас нет знакомых с ССО-аккаунтом на циско.ком?

Достать. Ключевое слово. Почему нельзя просто взять? Чем я хуже того знакомого с ССО-аккаунтом на циско.ком?

>>Насчет мониторинга опять же не согласен.
Никто не говорит что циска не мониторится, пока она жива. А вот если сдохло - значит сдохло. И все.. Вот уж месяц как периодически валится 871 под нагрузкой. урезали по скорости, валится перестала, но это же не тру вей . До завала все шокколадно, что после случается посмотреть не удаеццо. Гугль молчит.

>>А что если пров дает вам скажем V.35-й интерфейс и подключает к Frame Relay?
Не думаю что циска имеет исключительные права на реализацию V.35.

ЗЫ
В общем и целом как бы не противник цисок. Может где у провайдеров - штука незаменимая. Но я не провайдер, и в случае линя/фряхи разбираться, на мой взгляд, проще. А насчет скорости развертывания - что под циской, что под линем - одинаково. Копипаст однако. Я ж не собираюсь каждый маршрутизатор с бутсрапа поднимать.

»

Увы

Автор HolyBoy, дата создания 14 сентября, 2007 - 12:26.

К сожалению, моя т. зр. не прошла. Оппоненты в качестве аргументов привели:
1. использование линукса для создания впн канала не оправдалось, т.к. openvpn часто отваливалось по непонятным причинам.
2. киска использует для создания шифрованого трафика спец. процессор, в то время, как линукс-машина нагружает ЦП. Линукс не справляется с передачей большого объема информации.
3. фаерволл у циски более "интеллектуален", засекает DOS-атаки по шаблонам и отрубается полностью от сети, в то время как iptables этого не делает.
4. ну и самым основным соображением стало желание делать "как все", т.е. так, как делают в сотрудничающей с нами компании. У них на циске стоит все.

К сожалению я не мог опровергнуть первое утверждение, т.к. не знал, что собиралось, как собиралось и кем собиралось. По поводу второго указал, что если ЦП не справляется, то это исправляется простой заменой его, в то время, как на циске придется в случае такой оказии менять все устройство. Пропустили мимо ушей. По поводу третьего - не знаю, не проверял. Ну а с 4 трудно поспорить. :)
_______________________________________________________________________
Intel Core2Duo E6600 / 2 Gb RAM / NV GF 8800 GTX / x86_64-pc-linux-gnu

»

с 4 намного

Автор evadim, дата создания 14 сентября, 2007 - 23:38.

с 4 намного проще всего остального - "а если все в окна прыгать начнут? и вы за ними?"

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".