Задать вопрос

iddqda

network engineer, netdevops
Ответы пользователя по тегу Сетевое администрирование

  • Статические IP через L2 туннель OpenVPN -- чего не хватает и почему не работает?

    @iddqda
    network engineer, netdevops
    Вопрос понял, а вот ваше решение осознать не осилил
    я бы вообще не стал делать tap и прочие br0

    все можно просто промаршрутизировать
    по такой схеме:
    A --link1--> B --link2-> С

    • A - это шлюз провайдера
    • B - VPS
    • С - ваш сервер с проектом
    • link1 это тот VLAN куда вам адреса сгрузили
    • link2 - тунель openvpn


    все решается простой маршрутизацией
    на своем сервере C вешаете IP1 на интерфейс lo1
    sudo ip link add name lo1 type dummy
    поднимаете туннель openvpn (B сервер, C клиент и не забыть push "redirect-gateway def1" в конфиге)
    на хосте B указываете статический маршрут на IP1 в туннель

    Дальше спросить того кто выдал IP1 адрес как он смашрутизирован на A.
    если как хостовый маршрут где next-hop указывает на хост B то все уже должно работать.
    если его просто для вас зарезервировали в VLAN (link1) без отдельного маршрута, то тут два пути
    1. proxy-arp т.е. интерфейс B должен отвечать на arp для хоста IP1 своим mac-ом
    2. анонсировать IP1 динамикой
    Ответ написан
    Комментировать
    Комментировать

  • Как заставить Zabbix обрабатывать не стандартные SNMP Trap'ы?

    @iddqda
    network engineer, netdevops
    Я делаю вот так
    1. в snmptrapd прописываю OID трапа, который хочу ловить и обрабатывать и путь к обработчику
    примерно вот так:
    traphandle .1.3.6.1.4.1.9.9.315.0.0.1 /etc/zabbix/externalscripts/traphandlers/cisco-psec-traphandler.py
traphandle .1.3.6.1.4.1.9.9.548.0.1.1 /etc/zabbix/externalscripts/traphandlers/cisco-psec-traphandler.py


    2. обработчики пишу на питоне. на перле уже даже моя бабушка не пишет.
    3. в Заббиксе создаю item типа zabbix_trapper на хосте, который мониторю, точнее в шаблоне, который потом вешаю на хост.
    4. из самого обработчика вызываю zabbix_sender который шлет нужное значение на нужный хост по ключу item-а созданного в 3-м пункте

    а что касается чтения лога то этим кто-то должен заниматься.
    в случае с мониторингом серверов, сервера сами это делают посредством агента, а кто будет это делать за вашу железку?
    Ответ написан
    5 комментариев
    5 комментариев

  • Docker+nodejs+5ip. Как заставить делать внешний http запрос через разные IP?

    @iddqda
    network engineer, netdevops
    используй драйвер macvlan https://docs.docker.com/network/macvlan/

    вот так примерно делается:
    docker network create -d macvlan --subnet=10.2.4.96/16 --gateway=10.1.1.1 -o parent=eno1 mac_net
docker run --net=mac_net --ip=10.2.5.5 -it --rm busybox
/ # ping 10.1.2.10 -c 1
PING 10.1.2.10 (10.1.2.10): 56 data bytes
64 bytes from 10.1.2.10: seq=0 ttl=63 time=0.423 ms

docker run --net=mac_net --ip=10.2.5.6 -it --rm busybox
/ # ping 10.1.2.10 -c 1
PING 10.1.2.10 (10.1.2.10): 56 data bytes
64 bytes from 10.1.2.10: seq=0 ttl=63 time=0.423 ms


    при этом tcpdump запущенный на хосте показывает такое:
    10:29:07.257561 IP 10.2.5.5 > 10.1.2.10: ICMP echo request, id 1536, seq 2, length 64
10:29:07.257924 IP 10.1.2.10 > 10.2.5.5: ICMP echo reply, id 1536, seq 2, length 64
10:29:26.101902 IP 10.2.5.6 > 10.1.2.10: ICMP echo request, id 1536, seq 0, length 64
10:29:26.102431 IP 10.1.2.10 > 10.2.5.6: ICMP echo reply, id 1536, seq 0, length 64
    Ответ написан
    Комментировать
    Комментировать

  • Кем выставляются биты ToS?

    @iddqda
    network engineer, netdevops
    Может и приложение если ОС ему позволит.
    Например ping можно запустить с ключем -Q или iperf с ключем -S
    Отдельные приолжения типа софтофонов или видеоконференций способны маркировать свой трафик самостоятельно. Так же можно раскрасить трафик ядром с помощью iptables.
    Но как правило админы серверов таким не страдают и приходится маркировку проводить уже на сетевых устройствах.
    Ответ написан
    Комментировать
    Комментировать

  • Best practice FreeRadius cluster?

    @iddqda
    network engineer, netdevops
    haproxy, vrrp, ... зачем это все?
    radius он из той же эпохи откуда dns и smtp
    когда отказоустойчивость достигается просто указыванием на клиенте нескольких серверов
    сделайте просто второй радиус и настройте rsync для файла users, репликацию sql-базы или что у вас там в бекенде
    Ответ написан
    5 комментариев
    5 комментариев

  • Как быть если провайдер по VPNL2 не предоставляет QinQ?

    @iddqda
    network engineer, netdevops
    на новом филиале должны быть точно такие же вланы что и в головном

    поубивал бы.
    Ладно когда временные костыли лепят на продакшн, но тащить убогие практики в новые проекты ...
    что мешает по L3 с филиалом связность потсроить? Какие сервисы в 2019-м году не умеют в L3?

    но если так уж хочется пачку вланов over любой тарнспорт прокиньте через MPLS или VXLAN-ами
    оборудование придется поновее найти конечно
    можно еще через openvpn накостылить ну и у микротика есть ipoe
    Ответ написан
    4 комментария
    4 комментария