Як я у ж зазначив раніше, в процесі знайомства з новою, для мене, платформою Untangle я натрапив на досить дивну поведінку. Почав я з того, що закачавши образ на віддалений сервер ESXi, вирішив спокійно вночі підняти VPN сервер, щоб вранці вже користувач не існує через rdp, а через IPSec. Підтягнув образ, залив його в ІНВЕНТОР, почав установку. Всі поставити прекрасно, але як тільки я налаштував сітку на одному з інтерфейсов- у мене все впало, тобто з'єднання відвалилося без можливості відновлення таким чином, ніби впала мережу. Маючи все таки певне уявлення про роботу шлюзів і фаервольних рішень, я прикинув, що відвалитися ESXi вже не міг точно, бо в будь-якому випадку новий шлюз міг би залочити тільки свій віртуальний інтерфейс, а не доступ у внутрішню сітку, так що з ранку я почав виходити з того, що спрацював закон Мерфі, який мені в процесі численних налаштувань неодноразово нагадував про свою існування, коли ти натискаєш на кнопку зберегти, а в усьому офісі робиться світло; і у мене в момент настройки Untangle порушили мережу.
В результаті ребутнулі сервак ESXi, все піднялося, так що ввечері я виїхав на віддалену майданчик. Прибувши на місце, трохи пошакаліл по свічі, бо вирішив було, що проблема полягала в них, але все було начебто нормально, так що я приступив знову до налаштування Untangle. Треба відзначити, що я, як справжній російський одміну, хоча і веселюся на цю тему, деякий час вже як читаю мануал тільки після того як все зламалося, так що в даному випадку я вважав, що офіційного wiki how-to-install untangle цілком достатньо для того щоб поставити платформу. Стартанул сервак на ESXi, і як тільки, судячи з процентним співвідношенням завантаження, платформа запустила мережеві інтерфейси у мене знову полягла мережу. Це мене спонукало в абсолютно не поняткі, оскільки мережа лежала наглухо- тобто вона була відсутня як клас-пінг не проходили навіть до свіча, в який була встромлено машина, не кажучи вже про якісь шлюзи і сервера, що сиділи на сусідах по каскаду. Рубонувши сервер, знову підняв ESXi і видалив з нього Untangle, вирішивши підняти його в тестовому варіанті у себе на машині. У підсумку на слід. день, піднявши його в оболонці VMware Workstation я так само радісно поклав сітку свого офісу, але оскільки доступ до віртуальної середовищі у мене вже був не по мережі, то відрубавши інтерфейси на віртуально машині, я поліз в інет з одвічним питанням "whatafuck?".
Виявилося, що в платформі Untangle реалізована технологія Re-Router (до цього мені з нею якось не доводилося зустрічатися), завдяки якій дана платформа безпеки інтегрується в існуючу мережеву топологію без будь-яких додаткових перенастроювань інфраструктури, шляхом загортання на себе всього трафіку на рівні L2 протоколів. Приблизно те ж саме відбувається при уразливості men-in-middle, коли машина всередині сітки виробляє так звану атаку ARP spoofing, відповідаючи на всі ARP broadcasts "ЦЕ ЙА!" І тим самим беручи на себе функціонал центрального шлюзу і взагалі всіх машин в сітці, так що в ARP таблиці свічів все пакети замикаються на інтерфейсі Untangle, і навіть після падіння платформи трафік не буде проходити до динамічної зміни ARP таблиці. Дана технологія інтегрована в ядро, і в першому наближене, не отключабельна, так що на форумі Untangle тамтешні фахівці радять ставитися до неї як до даності, і в зв'язку з цим, в обов'язковому порядку, використовувати на сервері два інтерфейси, навіть в разі потреби використання одного- як в моєму варіанті VPN-сервера. Але в цьому випадку робочий інтерфейс треба робити зовнішнім, а внутрішній переводити в режим bridge і бріджевать його на зовнішній інтерфейс
Налаштування в адмінській частини Untangle: Config -> Networking -> Internal Interface
Config Type: bridge
Bridge to: External (static)
Rating: 10.0 / 10 (2 votes cast)
Rating: +2 (from 2 votes)
Почав колупатися з новим продуктом Untangle. який мені посоватевал Євгена-сан, в якості альтернативи VPN сервера, який я почав колупати деякий час назад, оскільки IPSEC від D-Link на чудовій залізницею DFL-210 відмовлявся підніматися, а Checkpoint UTM - клієнт затиснув купувати.
Але ось після установки на сервер, почалися досить цікаві граблі, про які я розповім трохи пізніше.
Rating: 9.5 / 10 (2 votes cast)