Часть первая.
=============
События развивались в России в одном захолустном городке.
Была маленькая конторка, в которой присутствовали:
- сеть 192.168.x.x/24 c хостами, на которых крутились некоторые процессы.
- маршрутизатор, через который можно было выбраться наружу из сети.
- пользователи, которые и работали на хостах в сети 192.168.x.x/24.
- сисадмин, который смотрит, что бы пользователи вели себя хорошо (главное действующее лицо)
- директор (который играет в этой пьессе не самую последнюю роль, хотя бы потому, что платит зарплату главному действующему лицу, правда - зарплату маленькую ;-), отчего главное действующее лицо иногда впадает в депрессию, сопровождаемую длительными запоя... В прочем, я отвлёкся).
- рваные обои на стенах, техничка, четыре мусорных ведра, два сдохших моника и прочая лабуда, которая, даже если и имела интересное прошлое (или имеет интересное настоящее и, может быть, будет иметь весьма интересное будующее), к нашей драме отношения никакого не имеет.
Жила себе фирма потихоньку, прогнивая в этом болоте, пока однажды...
И вот, однажды, один пользователь, который не справлялся с работой, прибежал к директору и начал скулить (мол, не успеваю, всё такое). И проронил фразу: "Эх, если б я мог работать из дома..." (то, типа, стал бы работать в четверо производительнее и т.д. и т.п.). Директор сказал: "Свободен... И пригласи ко мне сисадмина!".
Часть вторая.
=============
Утро для сисадмина начиналось ну очень хорошо. Он побрился (что бывает раз - два раза в месяц), помылся (что бывает каждый день, когда не пьёт, но всё равно приятно!). Сел в свою полуразвалившуюся машину системы ТАЗик и поехал на работу. Приехал почти во время (поскольку опоздание на час - это даже и не опоздание, а так... Ах, да опять отвлёкся! Что-то часто отвлекаться стал, ну да ладно...).
Пришёл к себе в кабинет, включил свой компьютер, налил кофе, сел и задумался. Он уже думал о том, куда бы ему поехать на выходные ("... а может, и не дожидаться их - смотаться прям щас, на хер!" - думал он). Как вдруг в кабинет зашёл юзер и испуганно сказал: "Директор просил зайти".
"Эх", - подумал сисадмин и пошёл к директору.
Сисадмин подошёл к кабинету Директора, постучался, вошёл.
С: Звали?
Д: Да. Проходи, присаживайся.
С(присаживаясь): Что нибудь случилось?
Д: Нет, ну что-ты. С твоего последнего визита - эээ, помнится, неделю назад - ээ, ну, да не важно. В общем, сделать нужно кое-что...
И Директор озадачил Сисадмина проблемой: нужно сделать так, что б Пупкин смог работать из дома... И тут началась часть III...
Часть третья.
=============
Зайдя в кабинет к Сисадмину, можно было обнаружить его с остывшим кофе, дымящейся сигаретой и монитором, на котором прыгал какой-то непонятный чертёнок (Кто-то из пользователей как-то спрашивал у сисадмина, что это за чертёнок, и тот объяснял пользователям что-то про Би-Эс-Ди, но у тех это вызывало только смешки, после чего он обрубил интернет на хер на целый день с зарубкой порно-сайтов в добавок, после чего никто глупых вопросов больше не задавал). Сисадмин думал. Ход мыслей был следующим
Ход мыслей сисадмина
--------------------
Итак, Пупкин хочет работать из дома. Сволочь! Все выходные испортил... Гад. Я ему, пожалуй, ещё мпеги с авишками зарежу. Что б другим неповадно было. Ну да ладно...
Итак, есть:
1) Сеть 192.168.x.x/24, в которой сидят хосты, на которых процессы.
2) Маршрутизатор.
Нужно:
Сделать так, что б юзер с хоста А где-то в инете коннектился к сети через маршрутизатор Б и потом работал с хостом В.
Тогда должна прорисовываться следующая картина:
1) Используем некоторое ПО, которое позволяет следующее
2) Пользователь авторизуется на маршрутизаторе (логин-пароль, по ключу или ещё как-то)
3) У пользователя появляется ещё один интерфейс, на который вешается некоторый IP, который ему выдаёт сервер (или который забит статически, не важно!).
4) После этого у пользователя прописывается ещё один маршрут: в сеть 192.168.x.x стучаться через появившийся интерфейс (маршрутизатор и так знает, как добраться до юзера).
5) Любой пакет, попадающий на этот интерфейс, заворачивается в упаковочку и внутри другого пакета идёт до роутера, роутер распаковывает пакет и отдаёт его хосту C (или другому в сети, кому придёт в общем). И при это хост C даже и не подозревает, что кто-то там что-то заворачивает куда-то. Обратно - такая же схема. Это инкапсуляция.
6) Ну, до кучи, пакетик внутри нужно бы ещё и зашифровать, что б злые дяди не видели наши дырки :)
Маршрутизатор у Сисадмина был на FreeBSD. И он начал искать, как можно подключать юзверей:
1) Через pptp сервер. Серверное ПО - mpd, poptop. Клиентское - во всех форточках есть.
2) VTUN. Но вот клиентского ПО - нет в форточках.
3) IPSec (racoon).
Второй вариант из-за отсутствия виндового клиента отпал сразу же (а жаль, ведь, блин, ест мало ресурсов и жмёт хорошо).
IPSec - можно, очень надёжно, но, блин, ещё в винде придётся клиентское ПО ставить (а Сисадмин нашёл только коммерческое ПО, что претило ему). Плюс нужно учесть, что есть только стандартная deflate компрессия, которая не сжимает зашифрованный трафик почти никак, и эффективная ширина туннеля сокращается примерно в 2.2 - 2.5 раза.
И тогда предоставил Сисадмин решение: mpd. Настраивается в винде легко и быстро, похоже на дайл-ап, так что юзеры коннектятся не думая. Авторизация по пользователю/паролю. Шифрование трафика. Компрессия (смешная, правда, 6%).
Но сказал директор: а почему вот, блин, из дайл-апа нельзя работать? Почему так медленно? Что сделать, что б залетало просто?
И ответил сисадмин: из-за шифрования трафика реальная толщина туннеля сокращаятся в 2 раза, примерно. Плюс (чёрт, правда, знает почему, часть покетов, когда работаешь по дайл-апу, теряется. Т.е. пускаешь пинг, 40-50% потеряно. В чём дело-непонятно).
И сказал тогда директор (мило улыбаясь, что не к добру): а ты подумай :)
********************************
З.Ы. Конечно, получилось очень длинно, может быть, некрасиво, нехорошо. Но всё же, сисадмины.
Вопрос. Кто как решил для себя эту задачу (что б ширина туннеля не уменьшалась во столько раз). Может, какими-то другими средствами. Или Ваши Пупкины не пользуются дайл-апом? :)
З.Ы.2: Только не подумайте, что Сисадмин в конец этакий раздолбай. Это ведь только сказка :)
Вариант для распечатки
OpenNET: Виртуальная конференция (Public)
(??) on
02-Авг-04, 12:00 (MSK)
