Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Tomas1212 27. 01. 2013, 18:17:31
-
Zdravím,
řeším menší problém, mám linuxovou GW, kterou bych chtěl ideálně udržovat ještě na jednou stroji pořád aktuální.
poskytuje základní služby jako iptables, ipsec, dhcp...
Asi nejlepší mi přijde:
rsync - vytvořit 2 skripty, jeden na ukládání pravidel a druhý na jejich obnovu na druhé stroji např. každých 24H by mohlo stačit, to samé pro DHCP,ipsec (pokud to jde), nebo existuje něco na živý klon? No a v případě výpadku jen přehodit kabel :)
Díky za připomínky, pokud je to proveditelné, tak si to již dostuduji ... :)
-
Jo, co tím rsyncem prostě kopírovat celé /?
-
Abys v případě výpadku přehodil kabel?
Aha, panáček má zbytečně moc času.
No nebudu ti vymlouvat, abys na to šel jako tytýt (různě synchronizoval obě brány a tak), ale někteří na to jdou chytře:
V DNS si nastavit že pokud selže hlavní brána, použij.....
subnet 192.168.0.0 netmask 255.255.255.0 {
....
option routers 192.168.0.1, 192.168.0.2;
http://linux.die.net/man/5/dhcp-options
Obě brány mohou běžet a výpadek v síti ani nepoznáš ::)
Ale klidně to dělej tak pitomě jak jen je libo ;)
-
Jedno se Rumáčovi nedá upřít, ví jak se to má dělat a s nikým se nesere! ;D ;D
Jen bych ho raději viděl v politice, pěkně v parlamentu vidlema ;D
-
Mmm díky, prostuduji....
jen si nejsem jistý použitím v mém případě...
----internet----- LINUX GW ------- SWITCH ---- několik VLAN pro servery, DMZ, .....
Jak tedy pomocí změny DNS tady nahradím vypadlou GW??? Napadá mě jedině:
INTERNET--- ROUTER ----- LINUX GW ------ SWITCH ---- ..................
| |
|--COPY GW -- |
ale opět mám další slabé místo... A neukamenujte mě prosím, návrhy sítí moc nepobírám zatím. Díky
-
DNS
DHCP
Abys v případě výpadku přehodil kabel?
Aha, panáček má zbytečně moc času.
No nebudu ti vymlouvat, abys na to šel jako tytýt (různě synchronizoval obě brány a tak), ale někteří na to jdou chytře:
V DNS si nastavit že pokud selže hlavní brána, použij.....
subnet 192.168.0.0 netmask 255.255.255.0 {
....
option routers 192.168.0.1, 192.168.0.2;
http://linux.die.net/man/5/dhcp-options
Obě brány mohou běžet a výpadek v síti ani nepoznáš ::)
Ale klidně to dělej tak pitomě jak jen je libo ;)
No já nevím, to by ještě ISP musel umět dva routery a pakety na ně nějak chytře kopírovat (?).
-
Poobhliadnite sa po VRRP http://lmgtfy.com/?q=vrrp
Splni to ale len cast vasho zadania 8)
-
vrrp - snad ideální řešení, děkuji!
-
Pokud jsem to správně vše pochopil, tak pomocí KEEPALIVED (využívajícího VRRP) zajistím vysokou dostupnost routeru + vytvořím někde na síťovém disku skript na nastavení IPtables + IPsec a v případě potřeby upravuji pouze tyto skripty + pokud se přepne router z MASTER na SLAVE tak automaticky spustím tyto skripty, abych si přenesl nastavení, nevýhoda je v tom, že mi to sundá všechny současná spojení (pořád lepší jak čekat 1-2H na technika)
-
Jenom malá poznámka, spíš ze zvědavosti: jaký smysl má dělat dvojitou gw, když tam zůstávají jiné single points of failure: router a switch?
-
Jo a ještě jedna poznámka: pokud ta gw provozuje stavový firewall, tak synchronizace na úrovni souborů je k ničemu - nezesynchronizují se dynamická pravidla ("seznam navázaných spojení") a tak jako tak všechna spojení spadnou.
Pokud přichází v úvahu změna OS, ve FreeBSD a OpenBSD na tohle existují specializovaná udělátka pfsync a CARP:
http://www.freebsd.org/cgi/man.cgi?query=pfsync&sektion=4
http://www.freebsd.org/doc/handbook/carp.html
-
Proč řeším jen GW? Protože zodpovídám za ni + 2 servery, které mam vyřešené, ale s GW si nějak nevím rady...
Prostuduji, reálné to je, ale raději bych to dostal do stávajícího řešení.... Díky za rady, pokud někoho ještě něco napadne budu rád...
-
RUM to napsal dobře, používám to taky tak a výpadku GW jsem si všiml až když chcípla i ta záložní ;D
-
a tak jako tak všechna spojení spadnou.
Toto v drvivej vacsine pripadov neni problem. Spadnute spojenia sa obnovia a ide sa dalej, vypadok v maximalne jednotkach sekund. Takze VRRP + sychronicacia fw pravidiel (a nejakych dalsich statickych zalezitosti) je podla mna dostatocne riesenie.
-
Toto v drvivej vacsine pripadov neni problem.
To uz musi tazatel vedet sam, jestli to pro nej je nebo neni problem :)
-
RUM to napsal dobře, používám to taky tak a výpadku GW jsem si všiml až když chcípla i ta záložní ;D
Můžeš to trošku upřesnit? Nějak jsem z jeho popisu nepochopil, jak přesvědčí o dvou routerech ISP uplinku - to musí ISP specificky umět, ne?
-
RUM to napsal dobře, používám to taky tak a výpadku GW jsem si všiml až když chcípla i ta záložní ;D
Můžeš to trošku upřesnit? Nějak jsem z jeho popisu nepochopil, jak přesvědčí o dvou routerech ISP uplinku - to musí ISP specificky umět, ne?
Nejspíš ISP dá každému z těch routerů jinou IP adresu (což by pro ISP nemělo být nic extra složitého) a routery provádějí IP masquerading (SNAT).
-
Mě to funguje i bez maškarády.
Mám dvě vstupní linky, protože nechci mít slabé místo na lince, na konci každé linky je GW s vlastní veřejnou IP a ve veřejných DNS je záznam pro obě (záloha má vyšší cenu). DHCP ve vnitřní síti se pak chová tak, jak to RUM napsal.
Chtěl jsem to extra jednoduše a tohle funguje.
DHCP běží jen na hlavní stroji s dlouhou lease time, na druhém je skript, který kontroluje jestli hlavní DHCP běží a pokud ne, spustí vlastní DHCP s minimalistickým nekolizním poolem. DHCP se dá sdílet, ale chtěl jsem to jednoduše.
-
Jo a z Internetu mi leze dovnitř jen pošta.
-
Tak jsem narazil na problém, že potřebuji na obou vstupních rozhraních stejnou IP - skrz poštu atd..... Je reálné otestovat řešení:
na mikrotik VRRP BACKUP zakázat vstupní rozhraní a mít toto rozhraní ve switchi před těmito zařízeními - barákový router + switch s VLANs pro každého uživatele - a mít na 2 portech stejnou VLAN na rozhraních clonovanou MAC a v případě přepnutí na backup stroj skriptem povolit WAN rozhraní + natahat iptables... ?
http://feryjunaedi.files.wordpress.com/2009/02/simple-vrrp-ciscomikrotik.jpg
Ptám se raději zda je to možné, abych neztratil X hodin laborováním a pak nezjistil, že to nejde :) díky
-
Pošta se dá nastavit pomocí dalšího reverzního záznamu.
(V DNS můžeš mít několik poštovních serverů.)
Mám to udělané takto:
Linka hlavní:
Hlavní Cisco ----> Brána1(Hlavní)
Hlavní Cisco ----> Brána2 (Záložní) do síťové karty 3, která je vypnutá, nakonfigurovaná s veřejnou IP Brány1 a zapíná se ručně
Linka záložní:
Záložní ADSL ----> Brána2
Brána1 je tedy spojená s hlavní linkou a vnitřní sítí (2x síťová karta).
Brána2 je spojená se záložním ADSL a vnitřní sítí, ale MÁ NAVÍC JEŠTĚ JEDNO ROZHRANÍ, které vede do hlavního CISCO switche a KTERÉ MÁ IP HLAVNÍ BRÁNY (3x síťová karta).
Původně jsem to měl udělané tak, že když Brána1 chcípla, provedl IF UP a spojení se automaticky obnovilo.
Jenže poslední fail byl tak dávno a toho rázu, že to dneska dělám tak, že v případě výpadku se podívám, jestli brána opravdu chcípla a pokud ano, udělám IF up ručně. Nicméně uživatelům pošta chodí i přes záložní bránu naprosto pohodově, internet taky, takže jediné, jak se výpadek projeví, je, že se VPNkáři nemohou připojit do firmy.
Ale mám víc řešení a udělaná různě, tohle mi přišlo jako extrémně nejjednodušší na konfiguraci, s čím se člověk opravdu vůbec nemusí drbat.
-
Jo a zkoušel jsem i cluster u jiného zákazníka, ale tohle mi přišlo jako sprostě jednoduché a opraví to i Linuxové embryo. ::)
S clusterem bylo celkem hodně ***ní a někdy v tom strašilo.
Něco vypnout a zapnout je zase nešikovné.
Výše uvedené řešení je dostačující, protože většina uživatelů stejně potřebuje ze sítě ven a přijímat poštu ::)
-
No já nevím, to by ještě ISP musel umět dva routery a pakety na ně nějak chytře kopírovat (?).
Ne, jen ti ISP musi dat vic nez jednu IP, coz teda kazdy normalni da. Samo, aktualni konexe ti zbuchnou, ale to v pripade toho prohazovani kabelu taky.
Jenom malá poznámka, spíš ze zvědavosti: jaký smysl má dělat dvojitou gw, když tam zůstávají jiné single points of failure: router a switch?
Zadny, pravdepodobnost ze chcipne router je zhruba stejna jako ze chcipne ta jedina linka, pripadne router na druhy strane (u ISP). Zrovna nedavno sem resil 1/2 denni vypadek (poslo providerovo cisco na nasi strane) ... pak se s vedenim resilo zalohovani pripojeni, nacoz sem jim rek, ze to nebudou chtit platit ... mno a po te co prisla nabidka, se samo presne k tomu doslo - ze platit nejakych 40k za jeden pulden(rocne) ... je trochu dost.
Jo a ještě jedna poznámka: pokud ta gw provozuje stavový firewall, tak synchronizace na úrovni souborů je k ničemu - nezesynchronizují se dynamická pravidla ("seznam navázaných spojení") a tak jako tak všechna spojení spadnou.
Pokud přichází v úvahu změna OS, ve FreeBSD a OpenBSD na tohle existují specializovaná udělátka pfsync a CARP:
http://www.freebsd.org/cgi/man.cgi?query=pfsync&sektion=4
http://www.freebsd.org/doc/handbook/carp.html
To samo, ale nemusis k tomu chodit ... ;D
2PanKapitanRUM: jop, pokud jde jen o maily a provoz smerem ven, neni duvod se stim drbat ... pokud ale potrebujes i celkem zasadni provoz smerem dovnitr, tak stejne skoncis na tom, ze musis mit bud PI nebo dve konexe od jednoho ISP (a dokopat ho k routovani).
-
2PanKapitanRUM: jop, pokud jde jen o maily a provoz smerem ven, neni duvod se stim drbat ... pokud ale potrebujes i celkem zasadni provoz smerem dovnitr, tak stejne skoncis na tom, ze musis mit bud PI nebo dve konexe od jednoho ISP (a dokopat ho k routovani).
To máš pravdu, jenže jsi to řekl i jinde přesně, 40kk ročně za 1/2 den ne každej vezme.
Chce to promyslet, co je vlastně ten hlavní a důležitý provoz, jestli by neměl být třeba někde v housingu.
(App, housing si taky klidně chcípne na 1/2 dne!)
Hodně věcí se dá řešit pomocí VPN tunelů a tam se záložní trasa dá nastavit taky.
Původní tazatel chtěl přehazovat kabel, proto si myslím, že tam ten failover asi tak kritickej nebude.
-
RUM to napsal dobře, používám to taky tak a výpadku GW jsem si všiml až když chcípla i ta záložní ;D
Můžeš to trošku upřesnit? Nějak jsem z jeho popisu nepochopil, jak přesvědčí o dvou routerech ISP uplinku - to musí ISP specificky umět, ne?
Nejspíš ISP dá každému z těch routerů jinou IP adresu (což by pro ISP nemělo být nic extra složitého) a routery provádějí IP masquerading (SNAT).
Aha, tak to pak samozřejmě jo. Já jsem to z toho prvního komentáře pochopil tak, že by to mělo jít nezávisle na tom, jestli se něco změní u ISP.