Сложные сетевые решения (VPN/Routing и т.п.)

Сложные сетевые решения (VPN/Routing и т.п.)

Последнее время наблюдается такой тренд, что аббревиатура VPN ассоциируется исключительно с обходом блокировок Роскомнадзора, а о прямом назначении этой технологии уже даже и забыли, причем у многих компаний с распределенными филиалами в плане построения сетевой инфраструктуры твориться полный бардак.

Я в свою очередь могу предложить услуги по построению сложных сетевых решений для объединения офисов, организации удаленных рабочих мест, защищенного обмена данными с вашим сайтом и многое другое, не выходящие за рамки законодательства.  Обратите внимание на то, что я специально акцентирую внимание на том, что внедряемые технологии не должны выходить за рамки законодательства и я не строю различные системы обхода блокировок и сканеры уязвимостей.


Записи в блоге - Сложные сетевые решения (VPN/Routing и т.п.)


Настройка одновременной работы с несколькими внутренними доменами

Настройка одновременной работы с несколькими внутренними доменами

Если вы подключены по VPN сразу к нескольким внутренним доменам (например поддерживаете несколько компаний использующи Active Directory и внутренние домены) и хотели бы работать с ними с использованием внутренней DNS-адресации, то вы можете настроить локальный DNS-сервер Bind и настроить пересылку DNS-запросов к серверам которые обслуживают эти внутренние зоны, если имена этих внутренних доменов конечно не пересекаются.


Разработка собственного модуля авторизации для OpenVPN

Разработка собственного модуля авторизации для OpenVPN

Как вы наверное знаете помимо стандартной авторизации по ключам и сертификатам вы можете дополнительно использовать парольную защиту как дополняющий механизм к модели сертификатов или полностью перейти исключительно на парольную авторизацию. Стоит отметить, что защищенность OpenVPN с авторизацией с использованием Login/Password будет гораздо выше чем использование механизмов PPTP например.


OpenVPN-сеть для LXD-кластера без назначения адресов клиентов (использование стороннего DHCP для управления клиентами VPN-сети)

OpenVPN-сеть для LXD-кластера без назначения адресов клиентов (использование стороннего DHCP для управления клиентами VPN-сети)

Представляю вашему вниманию небольшой экскурс в активно используемую мной технологию построения распределенных виртуальных сетей на базе OpenVPN в немного непривычной реализации. Если вы работаете с OpenVPN технологиями, то наверное обратили внимание что практически все руководства описывают OpenVPN сеть где OpenVPN-сервер выступет в качестве DHCP-сервера и назначает адреса для своих клиентов, но я сегодня хотел бы предложить вам уйти от типовых реализаций.


Как сделать Double VPN - Подробная инструкция

Как сделать Double VPN - Подробная инструкция

В мире анонимайзеров нововведение, - Double VPN. Основной особенностью его является то, что сервер к которому мы подключаемся и сервер точкой выхода которого будет исходящий трафик, это два разных сервера, причем желательно расположенные в разных странах. Особой сложности реализация такого механизма не представляет, хотя некоторые интересные моменты там есть. Типовая схема реализации маршрутизации трафика через OpenVPN сервер использует механизм NAT и собственно сам OpenVPN в режиме изменения основного шлюза. В этом случае весь трафик клиента перенаправляется на сервер OpenVPN, где уже направляется далее в сеть Internet с подменой адреса источника.


SSL защита подключений к Asterisk (Let's encrypt)

SSL защита подключений к Asterisk (Let's encrypt)

Наверное каждый кто работал с SIP-технологиями знает, что обмен данными по порту 5060 осуществляется в незащищенном виде и использовать программные телефоны без защиты соединения не рекомендуется, так как ваш пароль можно легко перехватить в управляющем потоке. И если простые аппаратные телефоны вообще в принципе не имеют защиты трафика при помощи SSL и могут использоваться только в рамках локальной или VPN-сети, то программные телефоны уже наверное все поддерживают защиту соедиенения.


Настройка основного и резервного DNS-серверов с автоинкрементом серийного номера зоны на базе PowerDNS

Настройка основного и резервного DNS-серверов с автоинкрементом серийного номера зоны на базе PowerDNS

Как вы наверное знаете, вам совсем не обязательно использовать DNS-сервера провайдера для управления вашим доменом и вы можете осуществлять хостинг DNS-записей на своих собственных DNS-серверах. Такой подход дает большую гибкость в управлении DNS-зоной, но и настройка DNS-серверов работающих в режиме MASTER-SLAVE это не самая тривиальная задача. Если вы все же решили изучить этот вопрос, то вы наверное обратили внимание, что 90% статей сводятся к настройке двух DNS-серверов Bind в режиме ведущий-ведомый и может показаться, что bind это единственный Opensource DNS-сервер.


Правила iptables которые надо настроить для работы pptp туннеля в Linux

Правила iptables которые надо настроить для работы pptp туннеля в Linux

PPTP - это наверное самый простой в реализации VPN-тунель (как его настроить в Linux я уже рассказывал), он не такой безопасный как IPSEC и использует дополнительный порт для управления соединением, а передача данных осуществляется посредством GRE-соединения.


Сканирование локальной сети и поиск рабочих станций (практический пример)

Сканирование локальной сети и поиск рабочих станций (практический пример)

Сегодня мы будем удаленно искать потерянные рабочие станции на филиале. Поступила типовая задачка провести инвентаризацию рабочих станций, но как обычно старые записи не соответствуют действительности и многое поменялось, поэтому надо начинать с банального сканирования сети и поиска рабочих станций.


Простейшая конфигурация HTTP-прокси сервера SQUID

Простейшая конфигурация HTTP-прокси сервера SQUID

Предположим, что вы уже настроили VPN до вашего удаленного сервера заграницей и теперь хотите установить там HTTP-прокси сервер для того чтобы направить запросы определенных приложений (например Torrent-трекера) через наш импортный VPS-сервер. Как это делается? Все не то, что просто, а элементарно и я вас сейчас научу.


Какую дополнительную нагрузку на процессор создает копирование данных по сети (защищенное и без криптозащиты)

Какую дополнительную нагрузку на процессор создает копирование данных по сети (защищенное и без криптозащиты)

Я сейчас готовлю небольшой обзор на тему параноидальной защиты OpenVPN и решил поделиться с читателями моего блога результатами эксперимента который мы проводили в рамках тестирования дополнительной нагрузки создаваемой передачей данных внутри OpenVPN сети и при копировании средствами SCP. При резервном копировании большого объема данных у одного и заказчиков наблюдался основательный рост нагрузки на процессор и я решил проверить сколько в пике может создать дополнительной нагрузки на процессор передача данных в OpenVPN-туннеле, SCP-копирование и чистая передача данных.


Настройка Ubuntu Linux в качестве терминального сервера x2go

Настройка Ubuntu Linux в качестве терминального сервера x2go

Продолжение старой заметки - Полноценный терминальный сервер на базе Ubuntu Linux. Она вызвала слишком много вопросов и была скорее просто небольшой обзорной статьей по технологиям удаленного доступа к графической консоли Linux-сервера, сейчас я продемонстрирую на практике как сделать из небольшой VPS-ки полноценный терминальный сервер на базе Ubuntu Linux


Пример простого Firewall на базе IPtables для VPS-сервера на базе Ubuntu Linux

Пример простого Firewall на базе IPtables для VPS-сервера на базе Ubuntu Linux

Для каждого из популярных Linux-дистрибутивов имеется свой собственный Firewall, для Ubuntu Linux это UFW, для Centos и RedHat это Firewalld, у Suse Linux это SuSEfirewall2 и еще несколько местечковых проектов. И естественно, что у каждого из них своя специфика, бережно разбросанные грабли и т.п., наверное именно по этому в 80% случаев на клиентских серверах я вижу не Firewall-пакет дистрибутива, а простой shell-скрипт который отрабатывает при активации интерфейса для которого применяются правила.


Набор скриптов для управления LXD-фермой

Набор скриптов для управления LXD-фермой

В свете последних сообщений о том, что в системе LXC и LXD было исправлено достаточно много ошибок связанных с утечкой памяти, возникло желание, пересобрать свежие версии LXC и LXD для тестовой фермы и понаблюдать до внедрения на продакшн. Перед внедрением на прод естественно надо посмотреть два-три дня и сравнить полученные за тестовый период метрики. Про пересборку фермы LXC-LXD я уже писал, но сегодня я хотел предложить вашему вниманию набор скриптов которые я использую для построения узла фермы контейнерной виртуализации.


Как узнать ip-адрес шлюза в Linux

Как узнать ip-адрес шлюза в Linux

Казалось бы такой банальный вопрос, а иногда возникает некоторое недопонимание. Прежде всего надо определиться адрес какого именно шлюза мы пытаемся узнать? Внешний адрес в интернет который будет виден другим пользователям и по которому все время пытаются пробить или внутренний адрес маршрутизатора? В общем, будет немного теории и простые команды которые вам помогут узнать адрес вашего шлюза.


Есть вопросы? Спрашивайте и я обязательно вам отвечу!

* Поля обязательные для заполнения .

Моя официальная страница на FaceBook
Мой микроблог в твиттер