Виртуальный свитч

  Проброс ethernet через интернет по udp или виртуальныйы свитч на FreeBSD.



Соединяем две ethernet сетки чтобы они видели друг друга

как будто находятся в одному коммутаторе.



Делать будем на основе ядерного netgraph,

в частности модули ng_ether и ng_bridge.



Добавляем в /boot/loader.conf

netgraph_load="YES"
ng_ether_load="YES"
ng_bridge_load="YES"

Есть 2 варианта работы системы



1. Без модуля ng_bridge.

Мы получим как бы объединение сетевых интерфейсов в один невидимый.

Сами сервера с этими интерфейсами не будут видеть трафик на них.

Получается прозрачное соединение как будто между сетями

протянули физический кабель.

Весь трафик приходящий на интерфейс одного из серверов

будет прозрачно проходить на другой.



2. С модулем ng_bridge.

Мы получим как бы включение интерфейсов на обоих серверах в один свитч.

Сервера будут видеть трафик на интерфейсах.

Трафик не предназначеный для соседней

сети не пойдет по каналу (реализация обычного свитча).





Конфигурация:



Имеем два типичных роутера.



1.

Два сетевых интерфейса

fxp0 - белый интернет адрес для примера 1.1.1.1

fxp1 - серый локальный адрес 192.168.0.1



2.

Два сетевых интерфейса

fxp0 - белый интернет адрес для примера 1.1.1.2

fxp1 - серый локальный адрес 192.168.0.2



При загрузке модуля ng_ether на обоих роутерах в netgraph

атоматически были созданы узлы с названием сетевых карт.

lmik# ngctl list
There are 3 total nodes:
  Name: ngctl3178       Type: socket          ID: 00000009   Num hooks: 0
  Name: fxp0            Type: ether           ID: 00000001   Num hooks: 0
  Name: fxp1            Type: ether           ID: 00000002   Num hooks

Вариант №1 непрактичный и рассматривать его не будем,

просто напишу конфигурацию графов вдруг кому-то понадобится.

ngctl mkpeer fxp0 ksocket lower inet/dgram/udp
ngctl msg switch:link1 bind inet/1.1.1.1:1234
ngctl msg switch:link1 connect inet/1.1.1.2:1234
ngctl msg fxp1: setpromisc 1
ngctl msg fxp1: setautosrc 0

Вариант №2



На первом сервере конфигурация нетграфов будет выглядеть так:

#Создаем узел bridge и подключаем к его хуку link0 физический (нижний) уровень fxp1
ngctl mkpeer fxp1: bridge lower link0
#назовем этот узел switch
ngctl name fxp1:lower switch
#создадим узел ksocket и подсоединим его хуком inet/dgram/udp к хуку link1 нашего switch
ngctl mkpeer switch: ksocket link1 inet/dgram/udp
#Отправляем сообщение узлу switch:link1 (туда подключен узел ksocket) 
#чтобы тот забиндил сокет для входящего трафика на нашем внешнем IP
ngctl msg switch:link1 bind inet/1.1.1.1:1234
#Отправляем команду узлу switch:link1 (туда подключен узел ksocket) 
#чтобы тот соединился со вторым сервером 
ngctl msg switch:link1 connect inet/1.1.1.2:1234
#Соединяем хук link2 нашего switch с верхним уровнем интерфейса fxp1
#т.е подключаем наш сервер в наш виртуальный свитч.
ngctl connect switch: fxp1: link2 upper
#включаем на сетевой карте прослушку всех пакетов,
#а не только тех что предназначаются ей.
ngctl msg fxp1: setpromisc 1
ngctl msg fxp1: setautosrc 0

На втором нужно изменить строчки:

ngctl msg switch:link1 bind inet/1.1.1.2:1234
ngctl msg switch:link1 connect inet/1.1.1.1:1234

Просто поменять местами адреса.



Для красоты оформляем запуск нашего виртуалсвитча в скрипт

и при желании кладем в /usr/local/etc/rc.d

#!/bin/sh

#тут указываем наш белый адрес
self=1.1.1.1
peer=1.1.1.2
#тут порт по которому будет бегать трафик
port=1234
#интерфейс который включаем в свитч
if=fxp1
case "$1" in
        start)
            echo "Starting netgraph switch."
		ngctl mkpeer ${if}: bridge lower link0
		ngctl name ${if}:lower switch
		ngctl mkpeer switch: ksocket link1 inet/dgram/udp
		ngctl msg switch:link1 bind inet/${self}:${port}
		ngctl msg switch:link1 connect inet/${peer}:${port}
		ngctl connect switch: ${if}: link2 upper
		ngctl msg ${if}: setpromisc 1
		ngctl msg ${if}: setautosrc 0
            echo "Ok."
            exit 0
            ;;
        stop)
            echo "Stopping netgraph switch."
            /usr/sbin/ngctl shutdown ${if}:
            /usr/sbin/ngctl shutdown switch:
            echo "Ok."

            exit 0
            ;;
        restart)
            sh $0 stop
            sh $0 start
            ;;
        *)
            echo "Usage: `basename $0` { start | stop | restart }"
            exit 64
            ;;
esac

Красота какая, никаких впн крутить не надо, просто запустить скрипт :),

никаких реконектов и т.п...



Возможно попробую в ближайшее время привернуть возможность фильтрования

трафика через ipfw и шифрование если это возможно :)

размещено: 2008-06-12,

				последнее обновление: 2008-06-18,

				автор: LMik

Dushes, 2008-06-12 в 22:01:03

хм ... а как это может пригодиться в реальных условиях ?

void, 2008-06-13 в 2:06:12

Информация по netgraph - оч. полезная штука, даже если даный случай никому не пригодится. По нетграфу инфы минимум в сети. Аффтару полюбе зочод, респект и уважуха!

LMik, 2008-06-13 в 10:15:46

Езернет с работы домой себе прокинуть например... Мультикаст например по такому тунелю побежит без проблем.

max, 2008-06-13 в 14:02:26

use openvpn

Alexander, 2008-06-13 в 14:55:30

http://www.unixdoc.ru/index.php?mode=2&podmode=1&arcicle_id=179&theme=tunnel%20udp%20freebsd%20netgraph

xatop, 2008-06-15 в 22:49:16

Добавьте кнопку: отправить страницу или линк по e-mail

Gruber, 2008-06-16 в 13:44:55

Прошу прощения.... Тут в хендбуке наткнулся http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/ipsec.html Вроде бы аналогичное вполне штатное решение?? Интересно по производительности есть ли разница?

LMik, 2008-06-16 в 16:00:04

IPSEC немного не то, это впн.

unknownDaemon, 2008-06-18 в 4:19:02

И все-таки тема шифрования не раскрыта... заманчиво, но весь кайф VPN в том, что есть возможность шифровать траф, чтобы банально кидисы не снифали влегкую... И потом насколько шустрым и надежным будет это шифрование - вопрос... Впрочем успехов ;-)

berkleysuperdaemon, 2008-06-25 в 17:43:59

если надо шифрование, то, возможно, надо сначала поднять шифрованный туннель а по нему уже пустить наш ng_bridge?

wanderer, 2008-07-18 в 15:43:35

ммм... я может чего не понимаю, а что с безопасностью? трафик как-нибудь шифруется, проходя по инету?

Elight, 2008-08-21 в 22:17:21

wanderer: траффик в описанном случае не защищён практически ничем, так что организовать man-in-the-middle атаку - проще простого ("физические" аспекты я не принимаю во внимание). Но! Никто ведь не мешает организовать шифрование получившегося UDP-траффика средствами VPN (IPSEC, OpenVPN и т.п.). Сам так и сделал - весьма доволен результатом. Автору - большое спасибо за статью.

Elight, 2008-08-25 в 23:26:58

Да, и ещё один момент выяснился в ходе эксплуатации - возникают трудности с использованием firewall (в частности, PF) во "внутренней" сети. И утилиты tcpdump/iftop показывают только исходящий траффик...

jafff, 2008-12-03 в 11:56:28

Поставил, все работает, но как сделать запуск при запуске системы? netgraph_enable="YES" не запускает :( скрипт лежит тут /usr/local/etc/rc.d

buryanov, 2009-01-06 в 21:46:34

по поводу, где это может пригодится - Фирма собирается переезжать в новый офис, но переезд всех и за 1 раз не получается, на фирме есть сервера и сервисы, переподъём которых невозможен(невозможного ничего нет!!!), в обоих офисах должно быть одно адресно пространство, плюс ко всему фирма работает с другими фирмами по ipsec. Вот тут то и пригодится это решение поднятое поверх vpn. думаю к конц месяца будет очень полезным...

FreeBSP, 2009-12-15 в 20:54:43

первый вариант(который без ng_bridge) [code] ngctl mkpeer fxp0 ksocket lower inet/dgram/udp ngctl msg switch:link1 bind inet/1.1.1.1:1234 ngctl msg switch:link1 connect inet/1.1.1.2:1234 ngctl msg fxp1: setpromisc 1 ngctl msg fxp1: setautosrc 0 [/code] Помоему тут забыли строчку типа ngctl name fxp:lower switch кстати о втором варианте об этой стрчке не забыли))

abibas, 2010-10-05 в 10:17:24

Elight, для pf юзай pftop.

Проброс ethernet через интернет по udp или виртуальныйы свитч на FreeBSD netgraph.

`Проброс ethernet через интернет по udp или виртуальныйы свитч на FreeBSD netgraph.`