вторник, 6 марта 2018 г.

Домашняя сеть V3


Пока есть немного времени до начала подготовки к следующему экзамену, решил написать хоть что-то существенное в блог. Первым постом я выбрал описание моей домашней «топологии». Очередная халтурка… У меня тут теперь светлое будущее. SDNа пока нет (если Ansible не считается), но IPv6 уже работает. В целом ничего особо не изменилось с прошлых разов (V2, V1), но пару моментов хотел бы обозначить. 
На это раз я решил опустить ненужные детали и сконцентрировать на том, что удалось наворочить, крупными мазками. К слову о мазках, теперь я снова имею возможность рисовать схемы от руки. Руки эти правда отвыкли уже.

Публичная сеть.

В центре схемы расположился интернет, в котором я представлен в виде домена *.labnfun.ru, парой IPv4 адресов и парой IPv6 префиксов. К публичной сети подключён мой пограничный маршрутизатор М2. Это все тот же Mikrotik 951G-2HnD из прошлого поста. Тут все без изменений. Он имеет публичный адрес 109.106., «натит» всю домашнюю сеть в интернет, ограничивает доступ и «пробрасывает» трафик из публичной сети в домашнюю средствами DNAT. К публичной сети также подключен мой арендованный VPS в Европе. Его я использую для всякого разного. Это VPN, мониторинг, различные тесты. Естественно, он анонсирует в домашнюю сеть часть префиксов для некоторых сайтов, по понятным причинам. В будущем, возможно, здесь будет DNS сервер, который будет отвечать за labnfun.ru. Но это пока только мечты.

Частная сеть

Моя частная сеть довольно жестоко сегментирована. Сделано это было с заделом на будущее, которое уже наступило. Сейчас приходиться думать о разграничении доступа, ведь многое смотрит в Интернет. Здесь говорить особо не о чем. Есть WiFi, есть физическая сеть, да и все. В глубине домашней сети стоит еще один роутер Mikrotik 951-2n, который выполняет скорее роль инфраструктурного файервола. В мире IPv6 это стало актуально как никогда, за NATом не спрячешься.

VPN

Здесь все немного интереснее. На самом VPS настроен PPTP «на всякий пожарный». На домашнем пограничном маршрутизаторе аналогично есть удаленный доступ, организован средствами PPTP и L2TP в связке с IPSec.

Туннели

Сюда я отнесу GRE/IPSec туннель между VPS и домашней сетью. Через него ходит как IPv4, так и IPv6 трафик. Есть еще один туннель, который соединяет Hurricane Electric и VPS. Это 6-in-4 туннель и о нем мы поговорим ниже.

IPv6

Тут я не стал искать легких путей и максимально усложнил себе жизнь. К сожалению, мой провайдер не умеет в IPv6 нативно, поэтому пришлось поднимать тунель до всеми известного туннельного провайдера - Hurricane Electric. В таком подходе нет ничего необычного. Вам выдается одна подсеть для стыка и ещё одна для раздачи клиентам. В моем случае, я нарезал эту подсеть для домашних подсетей. По сути, каждая линия соединяющая устройства на картинке имеет свою собственную IPv4 и IPv6 подсеть. Ясно, что все это нужно как-то роутить. Поэтому на всех нодах поднят OSPF и OSPFv3. На Микротиках нативно, на VPSе с помощью легендарной Quagga. Об этом тоже уже писал.

Виртуализация

Никуда не делся хост виртуализации. Здесь у меня расположен NAS, всякие инфраструктурные сервера и, конечно же, лаба. Также использую Guacamole, о нем уже как-то писал. Данная штуковина проксирует удаленный доступ к домашней и не только инфраструктуре. Для пользователя это выглядит как веб-портал в котором можно подключится к устройствам по VNC, RDP, SSH, TELNET.

Такие дела.

Комментариев нет:

Отправить комментарий