Настройка OpenVPN на pfSense

Доброго времени суток, `whoami`!
Я долго искал, как правильно настраивать OpenVPN на pfSense и случайно наткнулся на очень хорошее видео.
[youtube odjviG-KDq8 100% 500]
После несложных манипуляций OpenVPN был поднят и настроен.

Как отрезолвить кириллическое доменное имя?

Как-то не приходилось сталкиваться с кириллическими доменными именами. Но вот понадобилось отрезолвить одно такое. Оказалось кириллицу так просто не отрезолвишь, тк доменные имена могут содержать только латинские символы, но никак не кириллицу.

Оказалось, что «это» надо сначала сконвертировать в набор латинских символов в соответствии с одним из RFC предусмотренных для этого. Такое преобразование называется Punycode. Конвертер есть к примеру тут http://r01.ru/domain/whois/instruments/converter.php

Примеры преобразований:

  домен.рф   ->   xn--d1acufc.xn--p1ai
  xn--d1acufc5f.xn--p1ai   ->   домены.рф

Читать далее «Как отрезолвить кириллическое доменное имя?»

Балансировка трафика с помощью BGP на Cisco

И так, у Вас есть автономная система [AS] и выделенный блок IP адресов. Вы подключились к оператору и вроде бы все хорошо. Но как всегда, хочется чего-то большего… А именно, иметь резервирование канала, чтобы спать спокойно при проблемах у основного провайдера. Заодно можно было бы и сбалансировать трафик, чтобы резервный канал не простаивал…

Для балансировки трафика и резервирования аплинка очень удобно использовать возможности протокола BGP. Давайте на примере рассмотрим, как это можно сделать.

Читать далее «Балансировка трафика с помощью BGP на Cisco»

Протокол STP — как оно работает

Введение

Как известно, грамотный дизайн отказоустойчивой сети подразумевает использование резервирования каналов. Наиболее подходящей для этого является кольцевая топология. Однако, в случае построения сети по технологии Ethernet в чистом виде, множественные связи между узлами не предусмотрены и могут привести к полной неработоспособности всей конструкции. Например, в случае попадания в кольцо широковещательного пакета, он будет передаваться активным оборудованием по кругу бесконечно, обеспечивая предельную загрузку. Для предотвращения подобных ситуаций был создан специальный протокол Spanning Tree Protocol (STP).

Читать далее «Протокол STP — как оно работает»

Выделение группы адресов для NAT

В Mikrotik есть такая замечательная вещь, как возможность группировать коннекшены. Мы воспользуемся этой возможностью, чтобы организовать NAT не на один IP, а на серию.

Для этого мы красим трафик к примеру на три группы (NAT на 3 адреса). Группируем по адресу и порту.

Читать далее «Выделение группы адресов для NAT»

mount: RPC :Remote system error — connection refused

Есть в debian такая засада — pormap по умолчанию слушает только localhost.
~# cat /etc/default/portmap

# Portmap configuration file
#
# Note: if you manually edit this configuration file,
# portmap configuration scripts will avoid modifying it
# (for example, by running 'dpkg-reconfigure portmap').

# If you want portmap to listen only to the loopback
# interface, uncomment the following line (it will be
# uncommented automatically if you configure this
# through debconf).
OPTIONS="-i 127.0.0.1"

В общем-то в этом есть трабла — комментируем или создаем конфиг /etc/portmap с указанием какой адрес слушать и перегружаем portmap и nfs

# /etc/init.d/portmap restart
# /etc/init.d/nfs-kernel-server restart

[relatedPosts]

Список портов для работы Active Directory через firewall

Для работы с Active Directory находящимся за firewall’ом необходимо открыть следующие порты:

  • TCP и UDP порт 88 для Kerberos авторизации.
  • TCP и UDP порт 135 для операций взаимодействия контроллер-контроллер и контроллер-клиент.
  • TCP порт 139 и UDP 138 для File Replication Service между контроллерами домена.
  • TCP и UDP порт 389 для LDAP запросов от клиента к серверу.
  • TCP и UDP порт 445 для File Replication Service
  • TCP и UDP порт464 для смены пароля Kerberos
  • TCP порт 3268 и 3269 для доступа к Global Catalog от клиента к контроллеру.
  • TCP и UDP порт 53 для DNS запросов

Для обновлений с WSUS необходим порт 80/tcp

Читать далее «Список портов для работы Active Directory через firewall»

Два провайдера

Часто бывает так, что локальная сеть имеет два выхода в Internet, то есть двух провайдеров. Пусть это будут ISP1 и ISP2. Эти два канала можно использовать следующим образом:

* одновременно использовать два канала для load-balancing
* один канал основной, второй backup’ный

второй канал можно использовать также двумя способами

* использовать его при падении основного
* при загрузке основного канала на Х% подключать backup’ный

Если рассматривать вырожденный случай, когда провайдер один и два канала, то тут все просто. Надо прописать два маршрута по умолчанию одинаковыми метриками

ip route 0.0.0.0 0.0.0.0 195.0.1.2
ip route 0.0.0.0 0.0.0.0 195.0.1.6

Читать далее «Два провайдера»