Тема поднятия криптованного канала между D-Link и cisco конечно уже несколько избита. Хотя, до недавнего времени у меня были некоторые пробелы в этом направлении. Просто не доводилось использовать такую схему подключения.

Как правило, в варианте подключения, который я использую, присутствует два маршрутизатора cisco, между которыми поднят GRE-туннель. Ну и в настройках IPSec интересным трафиком (ну который нам надо закриптовать) является именно этот GRE-трафик. Все логично, легко и просто.

Вот сегодня столкнулся с ситуацией, когда надо закриптовать трафик между нашей сеткой и сетью, находящейся за D-Link-ом. В этих устройствах отсутствует возможность построения GRE-туннелей, поэтому в начале этот вариант показался тупиковым.

Но, всё оказалось не так плохо. Явный туннель строить не пришлось

Итак, есть две сети, которые нужно объединить посредством IPSec, скажем 132.132.132.0/30 со стороны циски и 192.192.192.0/30 со стороны длинка. Внешний интерфейс на cisco имеет адрес xxx.xxx.xxx.xxx, а на d-link — yyy.yyy.yyy.yyy.

Ну и схема:

+==============+----    cisco    ---------------------   d-link   ---+==============+
 132.132.132/30        xxx.xxx.xxx.xxx                 yyy.yyy.yyy.yyy      192.192.192/30

Далее »

Популярность: 13%

Пишу этот пост в несколько расстроенных чувствах, поскольку наткнулся на ситуацию, описанную народной мудростью: «А ларчик то просто открывался».

Вообщем, имееться несколько филиалов, вернее сказать имелось, подключенных к центру по ТЧ-каналам. На их подсети на центральном маршрутизаторе прописаны статические маршруты. Вроде всё работает, но постоянно присутствовало огромное желание поднять на них динамику, которая используется для большинства остальных филиалов. Ну не люблю я зоопарк, и все тут. Люблю чтобы всё было по шаблону и везде одинаково ).

Но вот незадача. Почему-то протокол не поднимался. Вернее как, на центральном маршрутизаторе состояние связи с филиальным было FULL, а вот на отделении после EXCHANGE наступал LOADING. На этом все и заканчивалось.

Вроде как и солюшн нашел к этой ситуации:

…
OSPF Stuck in LOADING
In the LOADING state, routers send link-state request packets. During the adjacency, if a router receives an outdated or missing link-state advertisement (LSA), it requests that LSA by sending a link-state request packet. Neighbors that do not transition beyond this state are most likely exchanging corrupted LSAs. This problem is usually accompanied by a «%OSPF-4-BADLSA» console message. Since this is not a common problem, it is recommend that the network administrator contacts the Cisco TAC.

If a neighbor does not reply or a neighbor reply never reaches the local router, the router will also be stuck in the LOADING state. The most common possible causes of the problem are:

* Mismatched MTU
* Corrupted link-state request packet

The output of show ip ospf neighbor indicates that the R2 neighbor is stuck in LOADING. The debug ip ospf adj command can help diagnose these problems. Command output can indicate an MTU interface mismatch. Command output can also indicate a possible problem due to packet corruption.
…

Далее »

Популярность: 5%

Как ни странно, но репликацию настроить удалось. В прошлом посте я немного исказил ситуацию, сказав, что если не получится сделать реплику, то сделаю export/import через ldif. На самом деле, реплика обязательна, т.к. она приходит с вышестоящего сервера.

Вообщем-то процедура настройки репликаций описана в этом документе.

На моем свежеиспеченном сервере это выглядело так. Согласно вышеуказанного документа, при остановленном сервере в файл конфигурации /opt/fedora-ds/slapd-<server name>/config/dse.ldif добавил следующую запись:

Далее »

Популярность: 2%

Имеется почтовая система на базе Netscape Messaging Server + Netscape Directory Server 4.2 и полтыщи юзеров на ней. Поскольку железо, на котором установлена эта система, уже дышит на ладан, было принято решение о переносе её на другой сервер. Вся гнусность ситуации в том, что данное ПО поставлялось в бинарном виде, слинкованное с древними библиотеками…

Последней ОС, которая без проблем его поддерживала, был Red Hat 7.3. Попытки поставить бинарники на RHEL 5 похожи на танцы с бубном с неопределенным результатом.

Поскольку новых версий продукта нет и не будет, то теперь стоит задача безболезненно перевести всю эту белиберду на что-нибудь из open-source.

Скажу сразу, это не готовое решение, это так, мысли и заметки в слух.

Итак, навеяло мне следующее:

1. Заменить Directory Server на его дальнего потомка — Fedora Directory Server. Эта процедура должна быть относительно безболезненной.
2. Messaging Server заменить на связку, например sendmail или exim + cyrus-imap.
3. Обеспечить перенос пользовательской почты… Довольно сложно сказать, как можно автоматизировать этот пункт. В родном руководстве по администрированию от Netscape на эту тему встречена только одна загадочная фраза: мол, обращайтесь с данным вопросом к разработчикам. Сами пользовательские ящики хранятся в собственном формате.

Fedora Directory Server

Сервер каталогов от Fedora Core установился, практически, без проблем. Страница этого проекта находится здесь. Последняя доступная версия — 1.0.4.

Далее »

Популярность: 1%

Одной из самых первых утилит, которые я ставлю на свежеустановленный сервер является screen. Эта маленькая программка является воистину незаменимой во многих случаях, особенно, если дело касается работы с удаленными хостами.

Основной задачей screen, как видно из её названия, является создание и управление множеством виртуальных терминалов в рамках одной login-сессии. Однако, воистину волшебной является возможность отключения от текущей сессии и последующее подключение к ней. Эта особенность хорошо зарекомендовала себя при работе с серверами по низкоскоростным и малонадежным каналам связи, таких как GPRS или PPP. Что такого полезного в этой особенности? Я думаю, что те, кто хотя бы раз пытался произвести длительный по времени процесс компиляции, напримем пересобрать мир на удаленном сервере с FreeBSD, меня поймут. Разорвался канал — наша песня хороша, начинай сначала .

После запуска screen сразу создает 0-е окно, запускает в нем shell и помещает туда пользователя. Все последующие операции выполняются при помощи клавиатурных комбинаций, которые начинаются с «Ctrl-a».

Как уже было сказано выше, для меня самой востребованной возможностью является отключение от текущей сессии.

Далее »

Популярность: 5%

Современные требования к безопасности компьютерных систем предусматривают наличие у пользователей, как минимум, нетривиальных паролей с длиной не менее 8 символов. Причем весьма желательно иметь на разных системах разные пароли к своим учетным записям. После превышения определенного порога их количества, особенно если они имеют вид типа «zio5zu0ona~Mac7a!», возникает стойкое желание послать все эти требования подальше и забыть всё как страшный сон .

К счастью, не всё так плохо. Существует ряд программ для упорядочненного хранения паролей и другой конфиденциальной информации в зашифрованном виде. Как правило, эти программы имеют древовидную структуру хранилища данных, что позволяет эффективно группировать и классифицировать хранимую информацию. При иcпользовании данного ПО пользователю достаточно помнить лишь один пароль — для доступа к базе, да и то не во всех случаях. Некоторые хранилки паролей позволяют сгенерировать ключик для доступа, который можно носить на флешке, дискете etc.

В данном посте я попытался сделать обзор некоторых представителей этого подмножества ПО. Критериями отбора программ были использование криптостойких алгоритмов шифрования, удобство использования и, что немаловажно, кросплатформенность. Последний, в моем случае, имел решающее значение, ибо на работе у меня FreeBSD, дома — Windows XP, а в кармане — PocketPC. А файл паролей хочется иметь один.

Итак…

Далее »

Популярность: 2%

Давным-давно, когда только я столкнулся Linux-ом, стояла у меня на десктопе Красная Шапка 6.0 с KDE, помоему, версии 1.1. Вот тогда я и познакомился с програмкой под названием xearth, которая отрисовывала в реальном времени наш бренный земной шарик. Особенно интересно было мне его обозревать сидя эдак часа в 3 утра за монитором . А чтобы удовольствие было постоянным и непрерывным, пришлось сделать ей автозагрузку.

Прошло время, некоторое время я не пользовался Unix-like ОС-ями в качестве десктопа вообще. А потом, когда снова поставил на рабочую станцию себе Линух, оказалось, что в новых КЕДах програмка-то не работает. Не дает KDE замещать свои обои и все тут. Тогда не было ни желания, ни времени разбираться что и почему.

А вот на днях решил тряхнуть стариной. XEarth, правда, заставить работать не получилось, но зато я нашел ей полноценный заменитель — xplanet.

Вообще, xplanet имеет кучу настроек и ещё больше возможностей . Так что здесь будет описан лишь быстрый процесс получения желаемого при минимальном конфигурировании.

Основная идея такова. Поскольку КДЕ не дает рисовать что-то поверх background-a своего рабочего стола, то нужно сделать картинку и поместить её в качестве фона.

КДЕ предоставляет такую возможность. Для этого идем в «Configure Desktop...»->Вкладка «Backround». Выключаем картинку («No picture»). Дальше отсюда же в «Advanced Options» включаем возможность использования програм для отрисовки фона («Use the following program for drawing the background»). Запись для использования xplanet уже должна быть. Остается только её подредактировать.

Для себя я использовал следующую строку запуска:

Далее »

Популярность: 4%