V pravém sloupci je přepínaní několika druhů map

Jde konkrítně o statistiku způsobu úmrtí podle vnějších příčin. Když přeskočíme ta děsivá čísla týkající se smrti na silnici a kolem aut, dostanem se k nepříliš běžným příčinám, a najdeme že:

Více lidí zemře pádem z postele 7, než z lešení 4, nebo ze skály 4….

Kousnutí nebo úder psem stál vloni život 2 lidi, kousnutí nebo úder jinými savci 3 – psi nejsou tedy nejnebezpečnější

Větší množství lidí se utopí při koupání ve vaně 12, než v přírodní vodě 11, ale v přirodní zas žádná žena, jen muži…

Kontakt se sršni, vosami a včelami 6 vs Kontakt se štíry 1 (aha, takže nevadí že se vos bojím, dělám dobře, jsou nebezpečnější než škorpioni :0 )

Náhodná otrava alkoholem a expozice jeho působení 144!!! vs narkotika 10

Úmyslné sebepoškození oběšením 862!
To už taková legrace není, přestalo mi to připadat vtipné, jestě to dopíšu, každopádně jsou to zajímavá ale děsivá čísla :\

Zdroj zde

Zkusmo ho používám asi týden na dvou počítačích, v anglických verzích windows. Funguje, zatím nebrzdí, nežere nepříměřené množství paměti, zatím nic nechytil, ale upřímně, žadný antivirus ani antispyware nemám mnoho let, tak uvidíme. Na úmyslné stažení viru jsem zatím nesebral odvahu Možná to testnu ve virtuálu, tam je jednoduché vrátit se k snapshotu před pokusem

Proč openvpn? Je předvídatelné, jasně si definuji na jakém jednom portu poběží, zda tcp, udp, prochází bez problémů přes NAT a je jednoduché pro něj nastavit fw pravidla, projde i přes EC2 AWS fw, narozdíl od l2tp ipsecu.

Takže k zadání – propojit vzdálenou site a lokální site prostÅ™ednictvím internetu a spojit tak obÄ› sítÄ›.

Nejdříve si vyrobíme statický klíč, ten rozdistribuujeme na obě strany

openvpn –genkey –secret /root/secret

configure
set interfaces openvpn vtun0
set interfaces openvpn vtun0 remote-address 10.0.0.1
set interfaces openvpn vtun0 local-address 10.0.0.2
set interfaces openvpn vtun0 remote-host 1.2.3.4
#remote hostů muze byt definovano vice
set interfaces openvpn vtun0 mode site-to-site
set interfaces openvpn vtun0 shared-secret-key-file /root/secret
commit

Druhá strana samozřejmě s obrácením local-address- remote-address a správným remote-host.

Dalšími parametry jde samozřejmě měnit porty, šifrování, nicméně v této podobě bude spojení funkční, routing záleží na specifickém nastavení vaší infrastruktury, zda použijete statický nebo dynamický, atd.

Použijeme dva kusy routeru. Nastavíme je dle potřeby, dostanou odlišné venkovní i vnitřní adresy. IP adresy které si budou přehozavat podle potřeby mezi sebou nenastavujeme natvrdo, o to se postará právě cluster.

Nastavení prvního routeru bude tÅ™eba – vnitÅ™ní adresa 192.168.1.10, venkovni 12.13.14.10
Nastavení druhého routeru bude tÅ™eba – vnitÅ™ní adresa 192.168.1.20, venkovni 12.13.14.20

A IP adresy které budou clusterovat budou – vnitÅ™ní adresa 192.168.1.300, venkovni 12.13.14.30

Oba routery mají konfiguraci vyřešenou samostatně, to je věc konkrétní situace, popisuju jen cluster.
Takže vnitřní dns a gw si nastavíme na .30, konfigurace clusteru na routeru1 bude vypadat:

configure
set cluster interface eth0
set cluster interface eth1
set cluster pre-shared-secret secretsecret
set cluster group testcluster
set cluster group testcluster primary router1
set cluster group testcluster secondary router2
set cluster group testcluster monitor ?IP adresa?
set cluster group testcluster monitor ?IP adresa dalsi?
set cluster group testcluster service 192.168.1.30/24
set cluster group testcluster service 12.13.14.30/24
commit


service může být IPadresa kterou clusterujeme nebo ipsec. K cemu to je? Levný a jednoduchý způsob jak zálohovat připojení na internet, VPN mezi pobočkami nebo VPN přístup do sítě.

monitor – seznam IP adres které se kontrolují na dostupnost, může jich být nÄ›kolik, vnitÅ™ní, vnÄ›jší, záleží co je potÅ™eba.

Někdy se ještě může hodit mít jeden standardní router a druhý na slabším hw jen jako backup, potom pomocí

set cluster group testcluster auto-failback true

zajistíme, že pokud primární opět běží, převede se provoz na něj.

Siuace:
eth0 – pÅ™ipojení do Internetu, IP 1.2.3.4, gw 1.2.3.1
eth1 – interní síť 10.0.0.0
vpn síť – 10.0.1.0
– schválnÄ› používám odliÅ¡ný rozsah, kvůli pozdÄ›jšímu rozliÅ¡ní pravidly na FW, pokud bychom nechtÄ›li povolit putovním uživatelům úplnÄ› plný přístuip vÅ¡ude.

Autentizaci volím lokální, další možností je použít radius, a to umožňuje využít k třeba Active Directory, nebo cokoliv jiného.


configure
set vpn l2tp remote-access authentication mode local
set vpn l2tp remote-access client-ip-pool start 10.0.1.100
set vpn l2tp remote-access client-ip-pool stop 10.0.1.200
set vpn l2tp remote-access outside-address 1.2.3.4
set vpn l2tp remote-access outside-nexthop 1.2.3.1
set vpn l2tp remote-access ipsec-settings authentication pre-shared-secret tajneheslo
set vpn l2tp remote-access ipsec-settings authentication mode pre-shared-secret
set vpn l2tp remote-access authentication mode local
set vpn l2tp remote-access authentication local-users username Novak password 123
set vpn ipsec nat-traversal enable
set vpn ipsec nat-networks allowed-network 10.0.1.0/24
set vpn ipsec ipsec-interfaces interface eth0
set vpn ipsec copy-tos enable
commit


Ve windows klientu je třeba jen nastavit venkovní IP adresu, ipsec-preshared-key, jméno, heslo.

Vyatta je open source alternativa k Cisco routerům. Je k dispozici jako sw nebo jako hw appliance. Samozřejmě zajímavější je samostatné řeěení pouze jako software, poběží na standardním x86 stroji od embeded zařízení typu soekris přes kancelářské PC až po rackový IBM server, dle požadovaného výkonu. Jako elegantní řešení může být i instalace sw do virtuálního stroje, buď jako router, firewall nebo vpn koncentrátor či jako součást sitetosite vpn spojení. Pokud se chceme vyhnout nějakým bastlům které nikdo jiný než tvůrce nedokáže oprašovat, je to ideální řešení. Router obsahuje jednotný CLI a webové GUI pro správu a konfiguraci. Celá konfigurace pak je v jednom jediném souboru a není třeba editovat a udžzovat jich šedesát.

Community edice je dostupná zdarma: http://www.vyatta.org/, takže hurá na to.

Pro začátek tedy instalace a základní konfigurace:

Nabootujeme z live-cd, tady se da vsechno vyzkouset, a pomoci prikazu
install-system
nainstalujeme.

Představme si, že chceme domácí router pro připojení na internet, dhcp klient zvenku, dhcp server dovnitř, forwarding dns server.

Nejdříve si pustíme ssh a webové gui:


configure
set service ssh
set service ssh allow-root
set service http
commit


Nastavíme interfacy, venkovni dostává dhcp adresu, vnitřní má pevnou. A pojmenujeme si je.

set interfaces ethernet eth0 address dhcp
set interfaces ethernet eth0 description "Internet"
set interfaces ethernet eth1 address 192.168.1.1/24
set interfaces ethernet eth1 description "InternalLan"
commit


Pokud je z internetu pevná adresa, budeme chtít nastavit default gateway a dns servery:


set system name-server 1.1.1.1
set system name-server 1.1.1.2
set system gateway-address 1.1.1.3
commit


Zevnitř ven všechno zanatujeme:


set service nat rule 1
set service nat rule 1 type source
set service nat rule 1 translation-type masquerade
set service nat rule 1 outbound-interface eth0
set service nat rule 1 protocols all
set service nat rule 1 source network 192.168.1.0/24
set service nat rule 1 destination network 0.0.0.0/0
commit


A ve vnitřní síti zřídíme dhcp serverem přidělováni adres, dns server budeme my, default gateway také:


set service dhcp-server shared-network-name Intrenal1 subnet 192.168.1.0/24 start 192.168.1.2 stop 192.168.1.99
set service dhcp-server shared-network-name Intrenal1 subnet 192.168.1.0/24 dns-server 192.168.1.1
set service dhcp-server shared-network-name Intrenal1 subnet 192.168.1.0/24 default-router 192.168.1.1
commit


Zbývá forwarding dns, když jsme tedy ten dns server pro vnitřní síť a konfiguraci si uložíme.


set service dns forwarding listen-on eth1
set service dns forwarding name-server 1.1.1.1
set service dns forwarding name-server 1.1.1.2
commit
save


nebo jde použít:


set service dns forwarding listen-on eth1
set service dns forwarding system
commit


Tímto nám router běží, příště popíšu VPNky pomocí openvpn, l2tp/ipsec, později se dostanem ke clusteru, ospf nebo bgp.