Может ли FreeSCO...

[Igor B.]

Посмотрел я описание фриски на сайте Nab-а и не увидел ответов на следующие вопросы (может, плохо смотрел?):
1. Поддерживает ли она туннелирование (PPTP, IPSEC, туннели CISCO)?
2. Поддерживает ли она policy routing и QoS (по типу пакета iproute2 в линуксе)?
3. Поддерживается ли авторизация через Radius или Tacacs?

[Nab]

Посмотрел я описание фриски на сайте Nab-а и не увидел ответов на следующие вопросы (может, плохо смотрел?):

Ребята это частный проект Хоть и планируется зеркало, и даже место под него мне уже выделили, острая нехватка времени
На сайте описаны в большинстве своем те вещи, с которыми столкнулся я сам лично. Или решения задач которые возникли в процессе общения с пользователями и админами...

1. Поддерживает ли она туннелирование (PPTP, IPSEC, туннели CISCO)?

Вот в этом топике http://forums.freesco.org/support/index.ph...=14625&hl=ipsec на форуме фриски указано что Cisco IPSec отличается от стандартного, и используется как правило между самими Cisco маршрутизаторами. Хотя и его можно запустить в работу. Другой вопрос что IPSec не работает сквозь NAT.. А вот IPSec от Cisco работает, но только насколько я понял через свое оборудование....
Что касается PPtP и PPPoE, то эти туннели идут в дистрибутиве. Но следует отличать работу самой фриски по подключению к поставщику этих сервисов и работу в качестве шлюза, или сервера...
Для этих целей необходимо дополнительное програмное обеспечение....

2. Поддерживает ли она policy routing и QoS (по типу пакета iproute2 в линуксе)?

По поводу policy routing конкретно не скажу, но из того что я читал на опеннет то возможность такая есть, хотя донастраивать много прийдется вручную...
QoS в ограниченном виде присутствует ( шейпинг есть ). Реализация полноценного HTB (поправьте если ошибаюсь) мне не известна....
Учитывая что у FreeSCO ядро 2.0.39 то не все сетевые возможности она поддерживает
В частности мне не удалось найти нормальной реализации tun/tap драйверов.....

3. Поддерживается ли авторизация через Radius или Tacacs?

Через RADIUS или Tacacs авторизацию проводит не IP протокол а ppp или еще какая технология авторизации, и естественно ее возможно прикрутить к FreeSCO.... чем сейчас и занимаюсь

[Igor B.]

1. Поддерживает ли она туннелирование (PPTP, IPSEC, туннели CISCO)?

Вот в этом топике http://forums.freesco.org/support/index.ph...=14625&hl=ipsec на форуме фриски указано что Cisco IPSec отличается от стандартного, и используется как правило между самими Cisco маршрутизаторами. Хотя и его можно запустить в работу. Другой вопрос что IPSec не работает сквозь NAT.. А вот IPSec от Cisco работает, но только насколько я понял через свое оборудование....

Ну то, что цисковский ipsec нестандартный - это, мягко говоря, неправда. Во-первых, ipsec, насколько я помню, цискарями и придуман. Т.е. то, что не работает с ним, само не является стандартным. Во-вторых, с цисковскими маршрутизаторами по ipsec прекрасно вяжется винда (2000 и выше) и продукция других фирм.
Насчет "неработы" ipsec через NAT - не знаю, не пробовал. Теоретически этому ничто не мешает. Но, возможно, ошибаюсь.

Что касается PPtP и PPPoE, то эти туннели идут в дистрибутиве. Но следует отличать работу самой фриски по подключению к поставщику этих сервисов и работу в качестве шлюза, или сервера...
Для этих целей необходимо дополнительное програмное обеспечение....

Конечно, в первую очередь интересует работа Фриски как сервера входящих подключений. По всем этим видам связи. И (см. ниже вопрос про Радиус) авторизация входящих клиентов.

По поводу policy routing конкретно не скажу, но из того что я читал на опеннет то возможность такая есть, хотя донастраивать много прийдется вручную...
QoS в ограниченном виде присутствует ( шейпинг есть ). Реализация полноценного HTB (поправьте если ошибаюсь) мне не известна....
Учитывая что у FreeSCO ядро 2.0.39 то не все сетевые возможности она поддерживает
В частности мне не удалось найти нормальной реализации tun/tap драйверов.....

Да, если имеется в виду версия Линукс-ядра 2.0 - тогда понятно. Многое будет грустно. В Линукс ipsec нативный появился только в ядрах 2.4 (причем не сразу).

Через RADIUS или Tacacs авторизацию проводит не IP протокол а ppp или еще какая технология авторизации, и естественно ее возможно прикрутить к FreeSCO.... чем сейчас и занимаюсь

Да ну? А я думал, что даже X-ы это ай-пи :P Ясно, что это не айпи-протокол. Но подключающихся клиентов-то проверять надо!

Я задал вопросы то тем моментам, которые доступны практически любому цисковскому роутеру (в "тяжелом" софтовом комплекте). Вот представим пограничный маршрутизатор(ы) компании, имеющей несколько филиалов с постоянными выходами в интернет. Что они должны уметь (по минимуму):
1. Держать между собой связь через Интернет для объединения сетей филиалов. Протокол PPTP считается весьма уязвимым. "Пацанским" для этих целей считается IPSEC. Кроме того, в некоторых филиалах циски уже могут стоять.
2. Принимать входящие подключения "домашних" сотрудников. У некоторых могут быть старые винды, поэтому необходимы функции сервера PPTP. Ясен пень, этих сотрудников надо авторизовать.
3. Обеспечивать выход клиентов в и-нет. И не только серферов (через прокси типа SQUID), но и по всяким разным "не-проксируемым" протоколам. Т.е. NAT.
4. Канал, предположим, не сильно крутой. Значит, надо обеспечивать шейпинг. А если офисные АТС вяжутся между собой по IP, то нужен QoS, дабы в момент переговоров обеспечить "вытеснение" других соединений для обеспечения приемлемого качества связи.
5. Чем хороши "цисковские" туннели - тем, что они хорошо NAT-ятся. Это также бывает нужно, особенно когда есть клиентские программы, не терпящие двойного NAT-а (например, некоторые клиент-банки). Для "спасения" этих клиентов (и для других целей) также приходится иногда применять условную маршрутизацию.

[Nab]

Ну то, что цисковский ipsec нестандартный - это, мягко говоря, неправда. Во-первых, ipsec, насколько я помню, цискарями и придуман. Т.е. то, что не работает с ним, само не является стандартным. Во-вторых, с цисковскими маршрутизаторами по ipsec прекрасно вяжется винда (2000 и выше) и продукция других фирм.
Насчет "неработы" ipsec через NAT - не знаю, не пробовал. Теоретически этому ничто не мешает. Но, возможно, ошибаюсь.

Угу, через NAT работает IPSEC over NAT и то совсем недавно...

Что касается PPtP и PPPoE, то эти туннели идут в дистрибутиве. Но следует отличать работу самой фриски по подключению к поставщику этих сервисов и работу в качестве шлюза, или сервера...
Для этих целей необходимо дополнительное програмное обеспечение....

Конечно, в первую очередь интересует работа Фриски как сервера входящих подключений. По всем этим видам связи. И (см. ниже вопрос про Радиус) авторизация входящих клиентов.

Радиус уже вроде настроен, но к сожалению до авторизации пока не дошли Пишется биллинг и модуль авторизации в зачаточном состоянии...

Я задал вопросы то тем моментам, которые доступны практически любому цисковскому роутеру (в "тяжелом" софтовом комплекте). Вот представим пограничный маршрутизатор(ы) компании, имеющей несколько филиалов с постоянными выходами в интернет. Что они должны уметь (по минимуму):
1. Держать между собой связь через Интернет для объединения сетей филиалов. Протокол PPTP считается весьма уязвимым. "Пацанским" для этих целей считается IPSEC. Кроме того, в некоторых филиалах циски уже могут стоять.
2. Принимать входящие подключения "домашних" сотрудников. У некоторых могут быть старые винды, поэтому необходимы функции сервера PPTP. Ясен пень, этих сотрудников надо авторизовать.

Реализация pptp как я сказал нативная, сервер VPN POPTOP ставиться на фриску и работает на ура...
на очереди Радиус...

3. Обеспечивать выход клиентов в и-нет. И не только серферов (через прокси типа SQUID), но и по всяким разным "не-проксируемым" протоколам. Т.е. NAT.

Это есть практически без ограничений....

4. Канал, предположим, не сильно крутой. Значит, надо обеспечивать шейпинг.

Шейпинг есть, сейчас ведутся работы чтоб сделать его динамическим и рулить трафиком по предпочтениям и по загрузке....

А если офисные АТС вяжутся между собой по IP, то нужен QoS, дабы в момент переговоров обеспечить "вытеснение" других соединений для обеспечения приемлемого качества связи.

Вот в этом к сожаленью не уверен разве что в рамках предыдущей фразы...

5. Чем хороши "цисковские" туннели - тем, что они хорошо NAT-ятся. Это также бывает нужно, особенно когда есть клиентские программы, не терпящие двойного NAT-а (например, некоторые клиент-банки). Для "спасения" этих клиентов (и для других целей) также приходится иногда применять условную маршрутизацию.

pptp, pppoe, SSH туннели, портфорвардинг, все есть уже из коробки... надо конфигурировать под свои нужды ...