7 сетевых linux-команд, о которых стоит знать системным администраторам

1 NordVPN

Доступные приложения:

  • ПК
  • Mac
  • IOS
  • Android
  • Linux

NordVPN управляет огромной сетью серверов по всему миру и является самым быстрым VPN, который мы тестировали. Он работает в Китае, разблокирует Netflix и многие другие потоковые сервисы и использует защищенное от утечек шифрование. Вы можете подключить до шести устройств одновременно с приложениями, доступными для Windows, MacOS, iOS и Android, Fire TV и Linux. Поддержка в чате доступна на сайте 24/7.

Поддерживаемые протоколы туннелирования включают NordLynx (Wireguard), OpenVPN и IKEv2. Разделенное туннелирование не поддерживается, но аварийный выключатель для конкретного приложения отключит выбранные программы из Интернета, если VPN-соединение разорвется по какой-либо причине.

Минусы:

  • Приложение для iOS может не работать в Китае
  • В приложении Android нет аварийного выключателя

ЛУЧШЕЕ ДЛЯ ТУННЕЛИРОВАНИЯ:NordVPN – это самый быстрый VPN-сервис с отличной безопасностью. Попробуйте без риска с 30-дневной гарантией возврата денег.

Прочтите наш полный обзор NordVPN.

Купон NordVPN

68% скидка + БЕСПЛАТНЫЕ месяцы

Скидка применяется автоматически

Active Users

Sub-menu:

This submenu allows to monitor active (connected) users.

command will show all currently connected users.

command will show received/sent bytes and packets

Properties

Property Description
address (IP address) IP address the client got from the server
bytes (integer) Amount of bytes transfered through tis connection. First figure represents amount of transmitted traffic from the router’s point of view, while the second one shows amount of received traffic.
caller-id (string) For PPTP and L2TP it is the IP address the client connected from. For PPPoE it is the MAC address the client connected from.
encoding (string) Shows encryption and encoding (separated with ‘/’ if asymmetric) being used in this connection
limit-bytes-in (integer) Maximal amount of bytes the user is allowed to send to the router.
limit-bytes-out (integer) Maximal amount of bytes the user is allowed to send to the client.
name (string) User name supplied at authentication stage
packets (integer/integer) Amount of packets transfered through tis connection. First figure represents amount of transmitted traffic from the router’s point of view, while the second one shows amount of received traffic
service (async | isdn | l2tp | pppoe | pptp | ovpn | sstp) Type of service the user is using.
session-id (string) Shows unique client identifier.
uptime (time) User’s uptime

На что обращать внимание при выборе VPN

То, как вы планируете использовать VPN, определяет, какие функции туннелирования вам подойдут лучше всего. VPN-туннелирование можно использовать для нескольких целей:

  • Разблокирование потоковых сайтов из-за границы : VPN-туннель должен иметь высокую скорость и стабильное соединение. Никаких утечек, которые могли бы выдать ваш реальный IP-адрес.
  • Доступ в Интернет из Китая : VPN-туннель должен быть незаметным и безопасным. Обфускация часто используется для сокрытия VPN-туннелей, входящих и исходящих из Китая, в обход Великого файрвола. Это также относится к другим странам, где VPN заблокированы, например, в ОАЭ и Иране.
  • Обеспечение безопасности общедоступного Wi-Fi : туннель должен быть защищен от утечек. Аварийный выключатель может помочь защитить этот туннель.
  • Торрент : безопасность и скорость здесь имеют первостепенное значение. VPN должен иметь аварийный выключатель, отсутствие утечек и желательно раздельное туннелирование.
  • Приватный просмотр веб-страниц : надежное шифрование в туннеле VPN в сочетании с политикой отсутствия журналов и режимом инкогнито или приватного просмотра вашего браузера позволяет просматривать веб-страницы конфиденциально и анонимно.

Owner

An Owner router for a VR is the default Master router and operates as the Owner for all subnets included in the VR. As mentioned before priority on an owner router must be the highest value (255). For example network,R1is an Owner. Its priority is set to 255 and virtual IP is the same as real IP (owns the virtual IP address).

All Virtual Router members can be configured so that virtual IP is not the same as physical IP. Such Virtual address can be called floating or pure virtual IP address.

The advantage of this setup is the flexibility given to the administrator. Since the virtual IP address is not the real address of any one of the participant routers, the administrator can change these physical routers or their addresses without any need to reconfigure the virtual router itself.

Configuring IPSec on the FabrikaM side

The last part is to configure the IPSec tunnel on the FabrikaM side. It’s important that both sides have this tunnel configured. If one side doesn’t have it, the communication will failed, as the other side will send only encrypted packets.

I clicked on the IP > IPSec and the IPSec dialog appeared. I chose the tab named Peers and clicked on the button .

I filled the IP address of the Contoso router, the pre-shared key, changed the hash algorithm to SHA-1 and set the correct DPD values. I defined my peer.

The second step is to configure the correct proposal. As I will made it manually, I will not use the default proposal. I switched to the tab named Proposals and clicked on the button .

I renamed this proposal to Contoso and chose AES-128 as the encryption algorithm. I also chose PFS group to be modp1024.

The last step is to define the policy. I switched to the tab named Policies and clicked on the button .

This is the transport policy. Therefore, we need to encrypt all traffic only between two routers.

The traffic will flow between the same IP addresses and I also chose the correct proposal. That’s all! I clicked on the button and completed the IPSec part.

Включение и отключение link (сетевых устройств)

Вы можете использовать опцию set с опцией up или down для включения или остановки сетевого интерфейса. Вы также должны использовать sudo как показано ниже:

sudo ip link set wlo1 down

Мы вводим следующее, чтобы снова взглянуть на сетевой интерфейс:

ip link show wlo1

Состояние сетевого интерфейса DOWN. Мы можем использовать опцию up для перезапуска сетевого интерфейса, как показано ниже:

sudo ip link set wlo1 up

Мы вводим следующее, чтобы выполнить ещё одну быструю проверку состояния сетевого интерфейса:

ip link show wlo1

Сетевой интерфейс был перезапущен, и состояние отображается как UP.

Функциональность

В процессе туннелирования данные будут разбиваться на более мелкие фрагменты, известные как пакеты, которые будут перемещаться по «туннелю» для транспортировки к конечному пункту назначения. Когда эти пакеты проходят через туннель, они шифруются и инкапсулируются. Частные сетевые данные и сопутствующий им информационный протокол также инкапсулируются в передающие устройства сети общего пользования для отправки. В принимающей стороне будет происходить процесс декапсуляции и дешифровки.
Кроме того, туннель рассматривается в качестве логического пути или соединения, которое будет инкапсулировать пакеты, проходящие через транзитную внутреннюю сеть. Этот протокол туннелирования будет шифровать исходный кадр, чтобы содержимое не было интерпретировано за пределами маршрута. Для того чтобы процесс действительно работал, данные будут отправляться, как только туннель будет уже установлен, и клиенты или сервер будут использовать один и тот же туннель для передачи и получения данных через внутреннюю сеть. Передача данных будет зависеть от протоколов туннелирования, которые используются для передачи.

Уровень канала передачи данных — уровень 2

VPN протоколы, которые работают на этом уровне, являются точкой, указывающей на протокол туннелирования и протокол туннелирования второго уровня.

IPIP и GRE тунели

Рассмотрим два типа туннелей: IPIP и GRE – это туннели ядерного уровня.

IPIP

IPIP-туннель (IP-within-IP Encapsulation Protocol).

В IP-пакет вместо TCP, UDP или любого другого пакета заворачивается еще один
IP-пакет, а в поле “протокол” ставится соответствующий номер IPIP — 94.
Через IPIP- тоннель нельзя передавать broadcast, multicast и пакеты IPv6.
Можно соединить только две сети IPv4, которые в обычной ситуации не могли бы работать друг с другом.

GRE

GRE-туннель (General Routing Encapsulation).

GRE — это протокол туннелирования (инкапсуляции), который был разработан фирмой Cisco.
По туннелям этого типа могут передаваться broadcast, multicast пакеты и IPv6.
Также GRE-туннели обладают опциональным атрибутом key в виде произвольного 4-байтового числа, который позволяет сконфигурированный несколько GRE-туннелей между одной парой IP-адресов основной сети (в отличии от IPIP-туннелей, в которых это невозможно).
Номер протокола GRE – 47.

Данные по обоим типам туннелей передаются в не зашифрованном виде, рекомендуется в связке c IPIP или GRE использовать IPSec.

Диагностика IPSec Openswan

Запуск сервиса и поиск возникающих проблем.

Openwan logs (pluto): /var/log/auth.log /var/log/syslog /var/log/pluto/peer/a/b/c/d/a.b.c.d.log

  • The /var/log/auth.log is where logs on the authentication transactions are, stored.
  • The /var/log/syslog is the system log, it’s always good to check here for any startup or general errors.
  • /var/log/pluto/peer/a/b/c/d/a.b.c.d.log file is the per peer pluto log. You can find some of the startup and shutdown information in here.

Если на обоих серверах нет ошибок, то туннель должен сейчас подняться. Вы можете проверить туннель с помощью команды ping с следующим образом. Если туннель не поднят, то частная подсеть на стороне B не должна быть доступна со стороны А, т. е. команда ping не должна работать. После того, как туннель будет поднят , попробуйте команду ping для доступа к частной подсети на стороне B со стороны A. Это должно работать.

Кроме того, в таблице маршрутизации сервера должны появиться маршруты к частной подсети.

# ip route 
 via  dev eth0 src 
default via  dev eth0
  • Команды проверки состояний соединений:

    ipsec verify
    service ipsec status
    ip xfrm state list - управления SAD, возможности шире, чем у setkey
    ipsec addconn --checkconfig - проверка конфигурации
    ipsec auto --status - подробное состояние
    ip xfrm monitor
  • Политики ipsec, согласно которым принимается решение какой трафик направлять в туннель

    ip xfrm pol show

tcpdump Linux примеры использования запускаем для прослушки физического интерфейса на котором построен туннель (а не виртуального GRE). В другом окне например ping -ем удаленную серую сеть (например, ping 192.168.1.11). tcpdump должен показывать ESP пакеты.tcpdump -i em0 -n host 91.x.x.81

16:15:54.419117 IP x.x.x.x > 91.x.x.81: ESP(spi=0x01540fdd,seq=0xa20), length 92

Ссылки

  • GRE туннели — протокол туннелирования сетевых пакетов
  • Libreswan VPN software

  • IPsec в Linux: взаимодействие IPSec и Netfilter
  • Сети для самых маленьких. Часть седьмая. VPN Наглядно описан GRE туннель, IpSec и GRE over IPSec
  • What is an IPsec (Openswan) Site-to-Site VPN?

  • Руководство FreeBSD VPN через IPsec

Openswan:

Quick HOWTO : Ch35 : Configuring Linux VPNs

  • OpenSWAN — полноценная реализация IPsec для ядер Linux версий 2.0, 2.2, 2.4, 2.6 и выше

  • Как в Linux с помощью Openswan создать туннель IPsec VPN

  • Организация VPN соединений вида сеть-сеть с использованием IpSec OpenS/WAN

  • Openswan-2.6.26_ IPSec for Linux. Webmin

Racoon:

  • Конфигурация IPsec «узел-узел»

  • Виртуальная частная сеть. (туннельный режим, соединение сеть-сеть)

Setup examples

Let us assume we want to bridge two networks: ‘Office LAN’ and ‘Remote LAN’. By using EoIP setup can be made so that Office and Remote LANs are in the same Layer2 broadcast domain.

Consider following setup:

As you know wireless station cannot be bridged, to overcome this limitation (not involving WDS) we will create EoIP tunnel over the wireless link and bridge it with interfaces connected to local networks.

We will not cover wireless configuration in this example, lets assume that wireless link is already established

At first we create EoIP tunnel on our gateway …

 interface eoip> add name="eoip-remote" tunnel-id=0 \
\... remote-address=10.0.0.2
 interface eoip> enable eoip-remote
 interface eoip> print
Flags: X - disabled, R - running
  0    name=eoip-remote mtu=1500 arp=enabled remote-address=10.0.0.2 tunnel-id=0
 interface eoip>

… and on Remote router

 interface eoip> add name="eoip-main" tunnel-id=0 \
\... remote-address=10.0.0.1
 interface eoip> enable eoip-main
 interface eoip> print
Flags: X - disabled, R - running
  0   name=eoip mtu=1500 arp=enabled remote-address=10.0.0.1 tunnel-id=0

 interface eoip>

Next step is to bridge local interfaces with EoIP tunnel
On Our GW …

 interface bridge> add 
 interface bridge> print
Flags: X - disabled, R - running
 0  R name="bridge1" mtu=1500 arp=enabled mac-address=00:00:00:00:00:00 
      protocol-mode=none priority=0x8000 auto-mac=yes 
      admin-mac=00:00:00:00:00:00 max-message-age=20s forward-delay=15s 
      transmit-hold-count=6 ageing-time=5m 
 interface bridge> port add bridge=bridge1 interface=eoip-remote
 interface bridge> port add bridge=bridge1 interface=office-eth
 interface bridge> port print
Flags: X - disabled, I - inactive, D - dynamic
 #    INTERFACE      BRIDGE  PRIORITY PATH-COST
 0    eoip-remote    bridge1 128      10
 1    office-eth     bridge1 128      10
 interface bridge>

… and Remote router:

 interface bridge> add 
 interface bridge> print
Flags: X - disabled, R - running
 0  R name="bridge1" mtu=1500 arp=enabled mac-address=00:00:00:00:00:00 
      protocol-mode=none priority=0x8000 auto-mac=yes 
      admin-mac=00:00:00:00:00:00 max-message-age=20s forward-delay=15s 
      transmit-hold-count=6 ageing-time=5m 
 interface bridge> port add bridge=bridge1 interface=ether
 interface bridge> port add bridge=bridge1 interface=eoip-main
 interface bridge> port print
Flags: X - disabled, I - inactive, D - dynamic
 #    INTERFACE      BRIDGE  PRIORITY PATH-COST
 0    ether          bridge1 128      10
 1    eoip-main      bridge1 128      10     
 interface bridge>

Что такое GRE туннель?

GRE туннель представляет собой соединение точка — точка, его можно считать одной из разновидностей VPN туннеля, без шифрования. Основное достоинство GRE это возможность передавать широковещательный трафик, что позволяет пропускать через такой туннель протоколы маршрутизации использующие его, IPSec — протокол защиты сетевого трафика на IP-уровне туннели в чистом виде этого не могут. Причин для организации GRE туннеля может быть множество от банальной необходимости пробросить свою сеть через чужое IP пространство до использования протоколов OSPF, RIPv2, EGRP совместно с IPSec. Так же GRE, в отличии от IPIP, может помочь пробросить немаршрутизируюмые протоколы, такие как NetBios, IPX, AppleTalk.

Различия между туннель GRE или IPIP:

  • IPIP — инкапсулирует только unicast IPv4-трафик
  • GRE — IPv4/IPv6 unicast/multicast трафик

Туннелирование увеличивает нагрузку на систему и сеть, потому что добавляются дополнительные IP-заголовки. Таким образом, если обычный размер пакета (MTU) в сети равен 1500 байтам, то при пересылке по туннелю, пакет будет меньше, 1476 байт для GRE и 1480 байт для IPIP. Задать MTU можно вручную или с помощью PMTUD (path MTU discovery). Основная проблема в ручной настройке MTU и/или MSS состоит в том, что по пути между вашими площадками может оказаться линк с MTU, скажем, 1300. Тут на помощь может прийти PMTUD. Протокол целиком и полностью полагается на ICMP протокол диагностики перегрузки сети unreachable messages, которые должны быть разрешены на всем пути между соседями. Cisco рекомендует устанавливать MTU в 1400 байт вне зависимости от того работает GRE поверх IPSec в туннельном или в транспортном режиме.

Туннелирование подразумевает три протокола:

  • пассажир — инкапсулированный протокол (IP, CLNP, IPX, AppleTalk, DECnet Phase IV, XNS, VINES и Apollo)
  • протокол инкапсуляции (GRE)
  • транспортный протокол (IP)

Point-to-point (точка-точка)

Имеется 2 сервера с реальными статическими IP адресами, нужно объединить их в одну сеть.

Вся настройка GRE туннеля сводиться к прописыванию в /etc/network/interfaces следующих параметров:

На первом сервере в /etc/network/interfaces

auto tun0
iface tun0 inet static
        address 192.168.10.1
        netmask 255.255.255.0
        broadcast 192.168.10.255
        up ifconfig tun0 multicast
        pre-up iptunnel add tun0 mode gre local 217.65.2.57 remote 217.65.2.60 ttl 225
        pointopoint 192.168.10.2
        post-down iptunnel del tun0

На втором сервере в /etc/network/interfaces

auto tun0
iface tun0 inet static
        address 192.168.10.2
        netmask 255.255.255.0
        broadcast 192.168.10.255
        up ifconfig tun0 multicast
        pre-up iptunnel add tun0 mode gre local 217.65.2.60 remote 217.65.2.57 ttl 225
        pointopoint 192.168.10.1
        post-down iptunnel del tun0

Обратный SSH-туннель: выставляем ресурсы в Интернет

Обратный SSH-туннель применяется для того, чтобы на удаленном хосте (ssh-сервере) открыть сокет и перенаправлять соединения, устанавливаемые с этим сокетом, на порт локального хоста (ssh-клиента).

Практический пример:

Вы работаете дома, на удаленке, и завершили разработку веб-сайта. Коллеги с работы просят вас показать результат. Для этого вам нужно сделать так, чтобы 80 порт вашего веб-сервера стал доступен вашим коллегам.

Вы устанавливаете соединение с ssh-сервером корпоративного роутера (публичный ip 1.1.1.1) и задаете правило обратной трансляции с помощью аргумента -R (remote port). Затем указываете точку входа, находящуюся на удаленном хосте (ssh-cервере), 172.16.0.1:8080 и адрес трансляции на порт локального хоста (ssh-клиента) 127.0.0.1:

Что происходит с пакетом отправленным по обратному SSH-туннелю:

1. Источник с адресом192.168.0.200 отправляет пакет с адресом назначения 192.168.0.1:8080, который поступив на ssh-сервер попадает в сокет, открытый процессом sshd;

2. Процесс sshd переписывает адрес и порт назначения с 192.168.0.1:8080 на 127.0.0.1:80 и отправляет и отправляет его по SSH туннелю стороне инициатору сеанса;

3. На хосте процесс ssh смотрит адрес назначения полученного пакета и переписывает адрес отправителя с 192.168.0.200 на адрес своего loopback, затем отправляет его в локальный сокет 127.0.0.1:80, открытый процессом веб-сервера.

Summary

Sub-menu:

The MikroTik RouterOS provides scalable Authentication, Authorization and Accounting (AAA) functionality.

Local authentication is performed using the User Database and the Profile Database. The actual configuration for the given user is composed using the respective user record from the User Database, associated item from the Profile Database, and the item in the Profile database which is set as default for a given service the user is authenticating to. Default profile settings from the Profile database have the lowest priority while the user access record settings from the User Database have the highest priority with the only exception being particular IP addresses take precedence over IP pools in the local-address and remote-address settings, which described later on.

Support for RADIUS authentication gives the ISP or network administrator the ability to manage PPP user access and accounting from one server throughout a large network. The MikroTik RouterOS has a RADIUS client which can authenticate for PPP, PPPoE, PPTP, L2TP and ISDN connections. The attributes received from RADIUS server override the ones set in the default profile, but if some parameters are not received they are taken from the respective default profile.

IPSec (сеть-сеть) между серверами Linux

# aptitude install ipsec-tools racoon

Алгоритм настройки IPsec

  1. Настройка пакета racoon
  2. Создание политики безопасности
  3. Виртуальные интерфейсы. Они нужны для маршрутизации сетей находящихся в локальных сетях. Два соединенных сервера будут видеть себя без интерфейсов(иногда без них не заводится и между серверами, странно вообще-то).

Ниже приведены конфиги для случая с предопределёнными ключами.

> nano /etc/racoon/racoon.conf
path include "/etc/racoon";
path pre_shared_key "/etc/racoon/psk.txt";
#path certificate "/etc/racoon/certs";

remote 10.5.21.23
{
        exchange_mode aggressive,main;
        doi ipsec_doi;
        situation identity_only;
        my_identifier address; #Определяет метод идентификации, который будет использоваться при проверке подлинности узлов.
        lifetime time 2 min; 
        initial_contact on;
        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method pre_shared_key; # Определяет метод проверки подлинности, используемый при согласовании узлов.
                dh_group 2;
        }
        proposal_check strict;
}

sainfo anonymous # Отмечает, что SA может автоматически инициализировать соединение с любым партнёром при совпадении учётных сведений IPsec.
{
        pfs_group 2;
        lifetime time 2 min ;
        encryption_algorithm 3des, blowfish 448, des, rijndael ;
        authentication_algorithm hmac_sha1, hmac_md5 ;
        compression_algorithm deflate ;
}

Создадим политику безопасности

> nano pol.cfg
#!/sbin/setkey -f
flush;
spdflush;

spdadd  10.5.21.24 10.5.21.23 any -P out ipsec esp/transport//require;

spdadd 10.5.21.23 10.5.21.24 any -P in ipsec esp/transport//require;
> chmod +x pol.cfg
> ./pol.cfg

Создадим выполняемый файл для создания интерфейсов и запустим его.

>nano tun.sh
#!/bin/sh
ip tunnel del tun0
ip tunnel add tun0 mode ipip remote 10.5.21.23 local 10.5.21.24 dev eth0 # создаем интерфейс tun0 и устанавливаем туннель
                                                                         # между хостами (здесь нужно использовать реальные IP адреса сетевых интерфейсов).
ifconfig tun0 10.0.9.1 pointopoint 10.0.9.2                              # назначаем интерфейсу IP адреса, для текущего хоста и для другого конца
                                                                         # туннеля (не обязательно).
ifconfig tun0 mtu 1472
ifconfig tun0 up

# ниже можно прописать нужные нам маршруты, например так
route add -net ... netmask 255.255.255.0 gw ...
route add -net ... netmask 255.255.255.0 gw ...

> ./tun.sh

Для автоматической загрузки правил файл tun.sh правильно поместить для FAQ Debian в директорию /etc/network/if-up.d

Все IPSec тунель между сетями настроен.

QinQ

В строгом смысле 802.1ad QinQ не является туннелем, но преследует сходную цель — мультиплексирование пользовательских VLAN в одном 802.1q VLAN. Этот протокол нередко применяется провайдерами для предоставления клиентам виртуальных выделенных линий вместо MPLS, если задача только в том, чтобы пробросить несколько клиентских VLAN с одной точки сети с другую.

В отличие от всех описанных протоколов, это протокол исключительно канального уровня и требует поддержки со стороны коммутаторов, которая присутствует не во всех моделях и версиях ОС. Также разные коммутаторы могут требовать разного протокола для провайдерских кадров: либо 802.1ad по стандарту (протокол Ethernet 0x88A8), либо 802.1q (протокол 0x8100).

Некоторые коммутаторы поддерживают QinQ странным образом. К примеру, я видел модели Dell PowerEdge, которые при включении QinQ на одном порте отключали обычный 802.1q VLAN на всех остальных, с очевидными последствиями для пользователей. Всегда проверяй настройки на стенде. Но если все нормально поддерживается, протокол прекрасно решает свою задачу.

Чтобы создать виртуальную выделенную линию, нам надо создать один внешний (провайдерский) VLAN и один или более внутренних (клиентских). Терминировать провайдерские туннели вместе с клиентскими на одном маршрутизаторе приходится не так часто, но иногда бывает нужно.

Создаем провайдерский:

1
2

$ip link add name eth0.10link eth0 type vlan proto802.1adid10

$ip link set dev eth0.10up

Интерфейсы VLAN, так же как и туннели, создаются выключенными, и нужно не забывать их поднимать командой . Если коммутаторы требуют 802.1q в качестве протокола внешнего VLAN, нужно поменять на .

Теперь создадим клиентские интерфейсы:

1
2
3
4
5

$ip link add name eth0.10.20link eth0.10type vlan proto802.1qid20

$ip link set dev eth0.10.20up

$ip link add name eth0.10.25link eth0.10type vlan proto802.1qid25

$ip link set dev eth0.10.25up

Присвоить клиентским VLAN адреса можно как обычно — командой . Присваивать адрес провайдерскому можно так же, но чаще всего не требуется.

На этом все. Надеюсь, эти знания помогут вам в построении виртуальных сетей и настройки iproute2.

Pfsense и MikroTik, настройка VPN туннеля

Инструкция по настройке VPN туннеля типа IpSec между облачным роутером Pfsense и MikroTik. В результате настройки должно получиться объединение двух сетей, за MikroTik и за Pfsense.

Что такое Pfsense

PfSense — дистрибутив для создания межсетевого экрана/маршрутизатора, основанный на FreeBSD. PfSense предназначен для установки на персональный компьютер, известен своей надежностью и предлагает функции, которые часто можно найти только в дорогих коммерческих межсетевых экранах. Настройки можно проводить через web-интерфейс, что позволяет использовать его без знаний базовой системы FreeBSD. Сетевые устройства с pfSense обычно применяются в качестве периметровых брандмауэров, маршрутизаторов, серверов DHCP/DNS, и в технологии VPN в качестве узла топологии hub/spoke.

Cистемные требования Pfsense

10-20Mbps Современные (младше 4 лет) процессоры Intel или AMD с тактовой частотой 500 МГц или выше.
21-100 Mbps Современный процессор Intel или AMD с тактовой частотой 1,0 ГГц.
101-500 Mbps Не меньше, чем современный процессор Intel или AMD с тактовой частотой 2,0 ГГц. Оборудование серверного класса с сетевыми адаптерами PCI-e или более новое настольное оборудование с сетевыми адаптерами PCI-e.
501+ Mbps Требуется несколько ядер с тактовой частотой> 2,0 ГГц. Оборудование серверного класса с сетевыми адаптерами PCI-e.

Настройка VPN в MikroTik для подключения к Pfsense

Со стороны роутера MikroTik будет настроен стандартный VPN туннель типа IpSec. Больше сведений по настройке VPN типа IpSec представлено в статье:

Настройка MikroTik IpSec, VPN туннель между офисами →

VPN туннель IpSec состоит из двух фаз:

  • PHASE-1 – идентификация устройств между собой, по заранее определенному IP адресу и ключу.
  • PHASE-2 – определение политики для трафика между туннелей: шифрование, маршрутизация, время жизни туннеля.

Настройка находится в IP→IPsec→Profile

Настройка находится в IP→IPsec→Peers

Настройка находится в IP→IPsec→Identities

Настройка находится в IP→IPsec→Proposals

Настройка находится в IP→IPsec→Policies

Поддержи автора статьи, сделай клик по рекламе ↓↓↓

Настройка находится в IP→IPsec→Policies→Action

/ip ipsec profile
add dh-group=modp1024 enc-algorithm=3des hash-algorithm=md5 lifetime=8h name=Pfsense
/ip ipsec peer
add address=10.10.10.10/32 name=Pfsense profile=Pfsense
/ip ipsec proposal
add auth-algorithms=md5 enc-algorithms=3des lifetime=8h name=Pfsense
/ip ipsec policy
add dst-address=192.168.5.0/24 peer=Pfsense proposal=Pfsense \
sa-dst-address=10.10.10.10 sa-src-address=0.0.0.0 src-address=\
192.168.1.0/24 tunnel=yes
/ip ipsec identity
add peer=Pfsense secret=Pt36ENepT3t3

Настройка VPN в Pfsense для подключения к MikroTik

Pfsense имеет удобный web интерфейс, с помощью которого и будет производиться настройка VPN туннеля типа IpSec для связи с роутером MikroTik.

Поддержи автора статьи, сделай клик по рекламе ↓↓↓

Есть вопросы или предложения по настройке DNS сервера в MikroTik? Активно предлагай свой вариант настройки! →

Running Packet Sniffer

Commands:

The commands are used to control runtime operation of the packet sniffer. The start command is used to start/reset sniffering, stop — stops sniffering. To save currently sniffed packets in a specific file save command is used.

It is also possible to use .

Example

In the following example the packet sniffer will be started and after some time — stopped:

 tool sniffer> start
 tool sniffer> stop

Below the sniffed packets will be saved in the file named test:

 tool sniffer> save file-name=test
 tool sniffer> /file print
  # NAME                           TYPE         SIZE       CREATION-TIME
  0 test                           unknown      1350       apr/07/2003 16:01:52
 tool sniffer>

Замечания

Рядом в Firewall Для Туннелей? мне отметили ещё и ssh port-forwarding. httptunnel, proxytunnel тоже реализуют port-forwarding. И это не более чем port-forwarding – в маршрут его не пропишешь, необходимо поднимать тот же ppp over cat по этим портам, icmp не проходит. То есть для каждого подключения придётся делать порт-форвардинг: imap, irc, и что мне ещё взбредёт в голову. А если я по nfs подключаюсь? тут даже не отфорвардишь: портов ипользуется разом несколько, да и ещё какая-то чать на udp.

Так что для защиты службы это – самое то (вместо того же stunnel), а вот для организации туннеля – нет 🙂

У меня была ещё ситуация, в которой бы никакой ssh port-forwarding не спас. Как и ppp over ssh – пришлось добавлять дополнительный транспорт 🙂

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector