Системное администрирование / Еще раз про IPSec, racoon и стереотипное мышление

в 3:20, , рубрики: DI-804HV, freebsd, ipsec, метки: , ,

Поводом для написания этого поста стала прочитанная мною сегодня статья читателя sharptop. Просто начал писать комментарий, но он оказался очень длинным, итак: сказ о том, как мы енота разоблачали.
Когда у нас открывалась розничная сеть, магазины увязывались с головой точно по такому же принципу: FreeBSD 7.0 + IPSec + какой-нибудь-роутер-с-поддержкой-айписек. Изначально выбор пал на 804 D-Link, но с ним не пошло, тестовый образец показывал не менее 400ms пинга через шифрованный канал, что было, по понятным причинам, абсолютно неприемлемо (возможно был бракованый аппарат, сейчас уже не выяснить, мы его где-то потеряли). В итоге стали приобретать 3COM OfficeConnect, они давали нормальный пинг. Удручало лишь одно: туннели заваливались с завидной регулярностью, и что мы не делали, автоматически они переподключаться не желали. Будучи свято уверены в непогрешимости BSD и силе опенсорса, винили, конечно, 3COM и переход на аппараты от LinkSys это подтвердил: отвалов на линксисах было гоораздо меньше, к сожалению найти их было проблематично, ибо к тому времени они уже продались цискам, и выпуск тех моделей был прекращен — шерстили по складам по всей стране.
Когда численность точек подключения увеличилась до 20ти, терпеть это не было уже никакой возможности, технарь все утро занимался только поднятием туннелей вручную, причем во многих случаях кнопка reconnect не помогала, конечные устройства подвисали в состоянии in negotiating, и выручал только полный ребут устройства. Курения логов ракуна свет на суть проблемы не проливали. В итоге, стали возникать подозрения, что проблема все-таки в центральном офисе. Взяли на тест дешевый аппарат от D-Link'a DFL-260 (знаю-знаю, сам терпеть длинки не могу, но для теста же) чтобы использовать его в качестве точки входа в офис. Каково было удивление, когда отвалы каналов прекратились чуть больше чем совсем. За месяц работы (тестовый период) в рабочем режиме, было зарегистрировано что-то 3 или 4 отвала каналов (это в которые приходилось вмешиваться). Розница счастлива, технарь занялся обжиманием кабелей и инсталляцией виндовс другими интересными и интеллектуальными задачами, все довольны. Как оказалось, «дело было не в бобине» (оконечных устройствах), а именно в ipsec-tools aka racoon (ну либо мы его приготовили неправильно, но это уж хз, не особый я, возможно, специалист по варению енотов). Стоит ли говорить, что DFL-260 мы купили и запустили в боевом режиме, благо он обошелся в 12т.р. всего и, к слову, DI-804HV с ним отлично работают. Сейчас уже 28 точек подключения, проблем так же не наблюдается — не более двух-трех подвисаний туннелей в месяц. Кстати хинт: для DFL-260 в интернетах можно найти прошивку буржуйскую, в которой включены богопротивные не разрешенные в РФ криптоалгоритмы типа 3DES.
Что этим всем я хотел сказать?! Иногда слепая вера (в данном случае в BSD и порты ея) может порядком подпортить вам жизнь. Если проблема есть — проверять нужно с обоих концов, так что, если кто-то сталкивался с подобными граблями, попробуйте переложить функцию шифрования и маршрутизации трафика в центральном офисе на специальнообученное устройство, возможно это добавит стабильности и вашей системе.


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js