Коллеги, привет, как вы считаете, имеет-ли право на существование слеюдующий подход - у оператора есть задача раздавать белые и серые адреса. Я предлагаю всем раздавать серые, но для тех, кто купил "белые", делать 1:1 PAT translation на шлюзе (FreeBSD) - то есть у каждого абонента, купившего "белый" адрес, будет собственная трансляция. Таким образом - и в интернет по-белому, и с соседями по лестничной клетке - по-свойски. Чтобы поддержать такую "дуал-хомовость" социально - клиенту прежде всего говорить его hostname, а адрес - необязательно (может быть путаница в нежном мозгу). При этом настроить DNS таким образом, чтобы при запросе на "вася.тут" из серой сети ответ давался серым адресом, а при таком же запросе снаружи - ответ давался белым адресом. Все это для того, что по минимуму менять существующую инфраструктуру и использовать то, что есть на сейчас. В связи с этим вопросы: 1) проходил-ли кто через такую схему и какие у нее есть грабли, которых я пока не вижу? 2) умеет-ли какой-нибудь dns-сервер отвечать на запросы из разных сетей разными ответами по одному и тому-же хостнейму? И еще один вопрос - а есть-ли на FreeBSD функционал типа VRRP? Спасибо. -- /doka ~~~~~~~~ http://doka-ua.blogspot.com/ http://omar-ha-em.blogspot.com/ «Возлюби ближнего своего» - это значит прежде всего: «дай ближнему своему покой!». И как раз эта деталь добродетели связана с наибольшими трудностями. (с) Ф.Ницше
Привет. On 17 нояб. 2010, at 23:11, Vladimir Litovka wrote:
Коллеги, привет,
как вы считаете, имеет-ли право на существование слеюдующий подход - у оператора есть задача раздавать белые и серые адреса. Я предлагаю всем раздавать серые, но для тех, кто купил "белые", делать 1:1 PAT translation на шлюзе (FreeBSD) - то есть у каждого абонента, купившего "белый" адрес, будет собственная трансляция. Таким образом - и в интернет по-белому, и с соседями по лестничной клетке - по-свойски. Чтобы поддержать такую "дуал-хомовость" социально - клиенту прежде всего говорить его hostname, а адрес - необязательно (может быть путаница в нежном мозгу). При этом настроить DNS таким образом, чтобы при запросе на "вася.тут" из серой сети ответ давался серым адресом, а при таком же запросе снаружи - ответ давался белым адресом.
Все это для того, что по минимуму менять существующую инфраструктуру и использовать то, что есть на сейчас.
В связи с этим вопросы:
1) проходил-ли кто через такую схему и какие у нее есть грабли, которых я пока не вижу? 2) умеет-ли какой-нибудь dns-сервер отвечать на запросы из разных сетей разными ответами по одному и тому-же хостнейму?
bind умеет: http://oreilly.com/pub/a/oreilly/networking/news/views_0501.html
И еще один вопрос - а есть-ли на FreeBSD функционал типа VRRP?
Есть CARP в базе, freevrrpd в портах. -- Sincerely, Alexey Luckyanchikov
барин знает толк в извращениях :) Зачем? почему не выдать по-человечески внешний айпишник и зачем занимать 2 айпишника вместо одного On Wed, Nov 17, 2010 at 11:11:20PM +0200, Vladimir Litovka wrote:
Коллеги, привет,
как вы считаете, имеет-ли право на существование слеюдующий подход - у оператора есть задача раздавать белые и серые адреса. Я предлагаю всем раздавать серые, но для тех, кто купил "белые", делать 1:1 PAT translation на шлюзе (FreeBSD) - то есть у каждого абонента, купившего "белый" адрес, будет собственная трансляция. Таким образом - и в интернет по-белому, и с соседями по лестничной клетке - по-свойски. Чтобы поддержать такую "дуал-хомовость" социально - клиенту прежде всего говорить его hostname, а адрес - необязательно (может быть путаница в нежном мозгу). При этом настроить DNS таким образом, чтобы при запросе на "вася.тут" из серой сети ответ давался серым адресом, а при таком же запросе снаружи - ответ давался белым адресом.
Все это для того, что по минимуму менять существующую инфраструктуру и использовать то, что есть на сейчас.
В связи с этим вопросы:
1) проходил-ли кто через такую схему и какие у нее есть грабли, которых я пока не вижу? 2) умеет-ли какой-нибудь dns-сервер отвечать на запросы из разных сетей разными ответами по одному и тому-же хостнейму?
И еще один вопрос - а есть-ли на FreeBSD функционал типа VRRP?
Спасибо.
-- /doka ~~~~~~~~ http://doka-ua.blogspot.com/ http://omar-ha-em.blogspot.com/
«Возлюби ближнего своего» - это значит прежде всего: «дай ближнему своему покой!». И как раз эта деталь добродетели связана с наибольшими трудностями. (с) Ф.Ницше
-- ------------------------------------------------------------------------------- Vasiliy P. Melnik VPM-RIPE, VPM-UANIC
Hi! On Wed, Nov 17, 2010 at 11:11:20PM +0200, Vladimir Litovka writes: VL> Коллеги, привет, VL> как вы считаете, имеет-ли право на существование слеюдующий подход - у VL> оператора есть задача раздавать белые и серые адреса. Я предлагаю всем VL> раздавать серые, но для тех, кто купил "белые", делать 1:1 PAT translation VL> на шлюзе (FreeBSD) - то есть у каждого абонента, купившего "белый" адрес, VL> будет собственная трансляция. Таким образом - и в интернет по-белому, и с VL> соседями по лестничной клетке - по-свойски. Чтобы поддержать такую VL> "дуал-хомовость" социально - клиенту прежде всего говорить его hostname, а VL> адрес - необязательно (может быть путаница в нежном мозгу). При этом VL> настроить DNS таким образом, чтобы при запросе на "вася.тут" из серой сети VL> ответ давался серым адресом, а при таком же запросе снаружи - ответ давался VL> белым адресом. VL> Все это для того, что по минимуму менять существующую инфраструктуру и VL> использовать то, что есть на сейчас. VL> В связи с этим вопросы: VL> 1) проходил-ли кто через такую схему и какие у нее есть грабли, которых я VL> пока не вижу? VL> 2) умеет-ли какой-нибудь dns-сервер отвечать на запросы из разных сетей VL> разными ответами по одному и тому-же хостнейму? По идее должно рабоать. Первое, что приходит в голову - не все протоколы работают через nat, даже если он static 1:1. Клиент может купить белый IP для какой-нибудь онлайновой игрухи, а она у него не захочет работать - он обидится. Или SIP какой-нибудь - мало ли. Да и если клиент захотел белый IP, является ли для него обмен по-свойски вирусами с соседом по лестничной клетке благом? Может, правильнее давать белый IP в дополнение к существующему серому? Особо умные смогут повесить алиасом оба. А отвечать DNS разное в зависимости от исходящего IP - не проблема. Но, кстати, зачем? Не достаточно ли, чтобы собственный DNS (который отрабатывает рекурсивные запросы от своих клиентов) резолвил в серую сеть, а "внешний" DNS - в белые IP? Это ведь могут быть совсем разные сервера (и они таки обычно разные). -- Паша.
Паша,
спасибо.
See below inline.
2010/11/17 Pavel Gulchouck
даже если он static 1:1. Клиент может купить белый IP для какой-нибудь онлайновой игрухи, а она у него не захочет работать - он обидится. Или SIP какой-нибудь - мало ли.
good issue, я об этом не подумал. Если шлюз - FreeBSD, есть-ли у ейного NAT/PAT такие вот well-known caveats?
Да и если клиент захотел белый IP, является ли для него обмен по-свойски вирусами с соседом по лестничной клетке благом?
сложно сказать, насколько они (клиенты) вообще в курсе существования вирусов и прочей такой фигни :)
Может, правильнее давать белый IP в дополнение к существующему серому? Особо умные смогут повесить алиасом оба.
можно, но мне кажется, что в общем это может усложнить maintenance & troubleshooting. У ребят нет саппорта, как такового. Правда, и абонентов там пара сотен, но все равно - хотелось бы удержать это на разумном уровне внутренней простоты. А отвечать DNS разное в зависимости от исходящего IP - не проблема.
Но, кстати, зачем? Не достаточно ли, чтобы собственный DNS (который отрабатывает рекурсивные запросы от своих клиентов) резолвил в серую сеть, а "внешний" DNS - в белые IP? Это ведь могут быть совсем разные сервера (и они таки обычно разные).
А тут он - один. Они бы с радостью купили второй сервер, но деньги потрачены на консультантов ;-) -- /doka ~~~~~~~~ http://doka-ua.blogspot.com/ http://omar-ha-em.blogspot.com/ «Возлюби ближнего своего» - это значит прежде всего: «дай ближнему своему покой!». И как раз эта деталь добродетели связана с наибольшими трудностями. (с) Ф.Ницше
даже если он static 1:1. Клиент может купить белый IP для какой-нибудь онлайновой игрухи, а она у него не захочет работать - он обидится. Или SIP какой-нибудь - мало ли.
good issue, я об этом не подумал. Если шлюз - FreeBSD, есть-ли у ейного NAT/PAT такие вот well-known caveats?
еще в голову приходит ipsec - там тоже не все весело.
А отвечать DNS разное в зависимости от исходящего IP - не проблема.
Но, кстати, зачем? Не достаточно ли, чтобы собственный DNS (который отрабатывает рекурсивные запросы от своих клиентов) резолвил в серую сеть, а "внешний" DNS - в белые IP? Это ведь могут быть совсем разные сервера (и они таки обычно разные).
А тут он - один. Они бы с радостью купили второй сервер, но деньги потрачены на консультантов ;-)
ну можно на одном серваке развесить хоть мульен биндов - главное чтобы он выдержал. Что касается ответов с разных интерйесов - не вижу проблемы вывесить днс-сервер на белые айпишники и раздавать уже белые айпишники. З.Ы. или там итого 1 сервер ? -- ------------------------------------------------------------------------------- Vasiliy P. Melnik VPM-RIPE, VPM-UANIC
On Wed, Nov 17, 2010 at 11:11:20PM +0200, Vladimir Litovka wrote:
Коллеги, привет,
как вы считаете, имеет-ли право на существование слеюдующий подход - у оператора есть задача раздавать белые и серые адреса. Я предлагаю всем раздавать серые, но для тех, кто купил "белые", делать 1:1 PAT translation на шлюзе (FreeBSD) - то есть у каждого абонента, купившего "белый" адрес, будет собственная трансляция. Таким образом - и в интернет по-белому, и с соседями по лестничной клетке - по-свойски. Чтобы поддержать такую "дуал-хомовость" социально - клиенту прежде всего говорить его hostname, а адрес - необязательно (может быть путаница в нежном мозгу). При этом настроить DNS таким образом, чтобы при запросе на "вася.тут" из серой сети ответ давался серым адресом, а при таком же запросе снаружи - ответ давался белым адресом.
Клиенту не нужно говорить его hostname. Он уже обозвал свою винду "васин комп под столом" и ему по одному месту, что ты не собираешься это вносить в DNS. А грамотным пользователям (~1%), которым этот "белый адрес" действительно нужен, достаточно собственно знания этого адреса, в свой DNS они его сами внесут так как им надо.
Все это для того, что по минимуму менять существующую инфраструктуру и использовать то, что есть на сейчас.
В связи с этим вопросы:
1) проходил-ли кто через такую схему и какие у нее есть грабли, которых я пока не вижу?
PAT это грабли заведомые. Хочешь давать белые адреса "в параллель" с серыми - давай их через туннели (pptp/pppoe).
2) умеет-ли какой-нибудь dns-сервер отвечать на запросы из разных сетей разными ответами по одному и тому-же хостнейму?
Механизм views в bind ?
И еще один вопрос - а есть-ли на FreeBSD функционал типа VRRP?
В применении к firewall'у/NAT'у в FreeBSD есть лучше - pf+pfsync+carp позволяют делать active-standby пару с полной синхронизацией state'ов, в результате физический вылет active машины не приводит к разрыву установленных tcp-соединений. Works like a charm, на прошлой работе у меня на этом был построен redundant array of inexpensive firewalls :) -- In theory, there is no difference between theory and practice. But, in practice, there is.
Привет!
В КПИ еще на bind 4 был подобный DNS организован: разные bind слушали на
разных адресах; в bind 9 есть view.
Best wishes,
Maxim
2010/11/17 Vladimir Litovka
Коллеги, привет,
как вы считаете, имеет-ли право на существование слеюдующий подход - у оператора есть задача раздавать белые и серые адреса. Я предлагаю всем раздавать серые, но для тех, кто купил "белые", делать 1:1 PAT translation на шлюзе (FreeBSD) - то есть у каждого абонента, купившего "белый" адрес, будет собственная трансляция. Таким образом - и в интернет по-белому, и с соседями по лестничной клетке - по-свойски. Чтобы поддержать такую "дуал-хомовость" социально - клиенту прежде всего говорить его hostname, а адрес - необязательно (может быть путаница в нежном мозгу). При этом настроить DNS таким образом, чтобы при запросе на "вася.тут" из серой сети ответ давался серым адресом, а при таком же запросе снаружи - ответ давался белым адресом.
Все это для того, что по минимуму менять существующую инфраструктуру и использовать то, что есть на сейчас.
В связи с этим вопросы:
1) проходил-ли кто через такую схему и какие у нее есть грабли, которых я пока не вижу? 2) умеет-ли какой-нибудь dns-сервер отвечать на запросы из разных сетей разными ответами по одному и тому-же хостнейму?
И еще один вопрос - а есть-ли на FreeBSD функционал типа VRRP?
Спасибо.
-- /doka ~~~~~~~~ http://doka-ua.blogspot.com/ http://omar-ha-em.blogspot.com/
<<Возлюби ближнего своего>> - это значит прежде всего: <<дай ближнему своему покой!>>. И как раз эта деталь добродетели связана с наибольшими трудностями. (с) Ф.Ницше
Добрий день. Вот є можливість підключити до мережі Інтернет міську раду. Починають задавати різні питання про захист інформації. Питаннячко може щось змінилося в країні чи може можна якимось документом відмазатись щоб ні себе не підставляти ні людей які підписують угоду. Дякую. Віталій Пучков.
participants (7)
-
Alexandre Snarskii -
Alexey Luckyanchikov -
Maxim Tuliuk -
Pavel Gulchouck -
Vasiliy P. Melnik -
Vitaly Puchkov -
Vladimir Litovka