Архив за месяц: Ноябрь 2010

Настраиваем соединение филиалов с головным офисом через OPENVPN

Задача: Соеденить филиалы с головным офисом посредством openvpn
Тех. характеристики: На всех филиалах в качестве шлюзовой машинки используется freebsd
Решение:

Устанавливаем openvpn

cd /usr/ports/security/openvpn
make install clean
mkdir -p /usr/local/etc/openvpn/{ccd,easy-rsa/keys}
cp /usr/local/share/doc/openvpn/easy-rsa/2.0/* /usr/local/etc/openvpn/easy-rsa/
ln -sf /usr/local/etc/openvpn/easy-rsa/keys /usr/local/etc/openvpn/

Если данный шлюза будет использоваться в качестве сервера то правим под себя
/usr/local/etc/openvpn/easy-rsa/vars
cd /usr/local/etc/openvpn/easy-rsa
sh
chmod +x *
. ./vars

Генерируем ключ сервера
./clean-all && ./build-ca && ./build-dh && ./build-key-server server

создадим файл /usr/local/etc/openvpn/server.conf

mode server
tls-server
daemon
ifconfig 192.168.10.1 255.255.255.0
port 9888
proto tcp-server
dev tap
ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/server.crt
key /usr/local/etc/openvpn/keys/server.key
dh /usr/local/etc/openvpn/keys/dh1024.pem
client-config-dir /usr/local/etc/openvpn/ccd
push «route 192.168.10.0 255.255.255.0 192.168.10.1»

# Забегу вперед. Роуты на сети клиентов
route 172.161.250.0 255.255.255.0 192.168.10.101
route 172.161.252.0 255.255.255.0 192.168.10.102
route 192.16.0.0 255.255.255.0 192.168.10.111
#

keepalive 10 120
client-to-client
comp-lzo
persist-key
persist-tun
verb 3
log-append /var/log/openvpn.log

в rc.conf добавим

openvpn_enable=»YES»
openvpn_configfile=»/usr/local/etc/openvpn/server.conf»

Далее нужно подгрузить модуль для работы с tap-интерфейсами:
kldload if_tap

Чтобы модуль автоматически подгружался при загрузке нужно добавить в /boot/loader.conf строку:
if_tap_load=»YES»

Стартуем.
/usr/local/etc/rc.d/openvpn start

Правим PF

if_vpn = «tap0»
net_int = «xxx.xxx.0.0/24»
net_vpn = «192.168.10.0/24»

# Разрешаем исходящий трафик в сторону VPN-сети
pass out quick on $if_vpn from ($if_vpn) to $net_vpn
pass out quick on $if_vpn from $net_int to $net_vpn

# Разрешаем входящий трафик со стороны VPN-сети
pass in quick on $if_vpn from $net_vpn to any keep state

# Разрешаем обращение к нашему VPN-серверу снаружи
pass in quick on $ext_if inet proto tcp from any to ($ext_if) port 9888 flags S/SA keep state

Продолжение следует…

CISCO LAN2LAN VPN

!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
!
crypto isakmp key 123456 address 100.100.100.100 no-xauth
!
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association idle-time 600
!
crypto ipsec transform-set vpnTRANS esp-3des esp-md5-hmac
!
crypto map VPN 10 ipsec-isakmp
set peer 100.100.100.100
set transform-set vpnTRANS
match address 101
!

interface FastEthernet0/0
description $ETH-LAN$
ip address 172.16.0.1 255.255.255.0
ip access-group 1 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
no snmp trap link-status
no mop enabled
!
interface FastEthernet0/1
description $ETH-WAN$
ip address 10.10.10.10 255.255.255.248
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
ip policy route-map vpn-client
duplex auto
speed auto
no snmp trap link-status
crypto map VPN
!
access-list 101 permit ip 172.16.0.0 0.0.0.255 host 192.168.0.1
!
ip route 192.168.0.1 255.255.255.255 FastEthernet0/1

наболело

Кругом столько высокомерных завышенных дятлов, вышедших из вузов, но в силу свой большой галочки и не менее больших корочек работают не по специальности, так как в вузе пинали хуи, либо работают по специальности манагерами высшего звена, которые что либо приносят.. или уносят тем, кто не занимался ерундой, а начал работать раньше их, имел голову на плечах без всяких вузов, галочек и корочек. В том время, как эти самые умные люди и вообще будущее всей планеты, сидело, ковыряясь в носу и слушая совков-преподов о том, как им нужны будут кадры, дипломированные специалисты и инжинеры. Опомниться пора бы уже, какая эта страна и что в ней к чему. Образование, армию, производство мы давно уже безвозвратно просрали. Остается только крутиться и не тешить себя надеждами о том что примут, позовут и чаем накормят.

если ты быдло тупое то нехуй вообще идти в учреждения высшего образования… иди в пту или на рынок продавцом кричать кааааму аааааарбууууузы… кругом море людей с опытом работы и со знаниями намного выше вузовских, которые учились на своих ошабках а не в вузах… и любой работодатель выберет именно их, потому-что они действительно ЗНАЮТ и УМЕЮТ решать какие-либо траблы… я собеседовал спецов с красным дипломим итмо… пиздец… стыдно за будущее россии… сколково твою мать
А если ты идешь устраиватся на работу то нехуй корчить из себя мегамозг… так и скажи что я нихуя не знаю и не умею и окончил мегаприахуительное заведение имя которому вуз…. не стоит тыкать своими приебучими корочками мне в ебло… таких как ты отбивают сразу…. признай то что ты дурак…. такого быстрей возьмут на работу…

Cacti не рисует графики

Вот вроде всё хорошо, но графики не рисовал. Хоть пулер запускался от
рути и права уже на rrd были 777

Помогло вот что:

chown -R cacti:www

*/5 * * * * cacti /usr/local/bin/php /usr/local/share/cacti/poller.php > /dev/null 2>/var/log/cacti.log