tinc

@uncle_gaara есть возражения против tinc? )

не знаю не юзал

знаю что амазоновский фаервол могёт в айписек как нехуй

и ещё знаю что опенвпн для этого не нужен

tinc ты просто ставишь сразу на все ноды

и трафик всегда идет кратчайшим путем

но тоже юзерспейс. поиграть можно, гигабиты таскать - дорого.

все ноды получаются неким подобием гейтов?

ну, нужно подцепиться к любой другой ноде

а дальше трафик разложится

а

У меня это все надо чтобы гео кластер rabbit сделать.

Трафика там не много будет

А чо ты не хочешь взять тот же StrongSWAN ?

то есть серьезно - GRE

или GRE да

Вот вы кто про профессии?

замучили человека.

смотри, Дмитрий. у тебя задача связать два региона, так?

почему просто через интернет трафик напрямую нельзя отправить?

Я как бы больше программист, мне все эти GRE, стронгсван ­пиздец )

Потому что политика партии - есть одна входная точка входа в регион

Остальное все закрытая сеть

ну верная политика

окей. вот тогда на этой точке входа и пляши.

2 точки входа, 2 закрытые сети

единственное требование - что бы закрытые сети с разными подсетями были и всё

Т.е. щас вот дикие менеджеры родили проект который гео распределен по странам

у тебя в каждом регионе есть точка входа. между ними ты поднимаешь VPN. вероятно, тебе нужно шифрование этого трафика в интернете. поэтому VPN должен быть с шифрованием.

ща...

А tinс c шифрованием*

? Оно естественно надо

если нет шифрования - все элементарно просто. GRE поднимается в одну команду.

с шифрованием - с GRE/IPsec сложнее, поэтому этот вариант лучше отбросить нафиг.

Это одна из причин почему я хочу через vpn. Ибо мудиться с сертификатами для rabbitmq нет никакого желания + его надо вытаскивать наружу

окей. ты берешь tinc, потому что у него нет понятия "кто сервер, кто клиент". apt-get install -y tinc

mkdir -p /etc/tinc/my-company-network/hosts

да ну емое

export NETNAME="myCompanyNet"

mkdir -p /etc/tinc/$NETNAME

mkdir -p /etc/tinc/$NETNAME/hosts

окей. ты берешь tinc, потому что у него нет понятия "кто сервер, кто клиент". apt-get install -y tinc

да зачем это всё. тут айписека достаточно

ты щас запаришься теорию ipsec'а объяснять, пока вы родите работающий конфиг на стронгсване

Вы главное не подеритесь ) Скажите, в чем реальные отличия этих подходов?

ipsec лучше всем в твоей задаче :)

кроме тяжести поднятия

да я ему уже скинул конфиг в личку

а, збс

Макс, а у тебя такая е задача была?

у меня разные были

у меня были циски, джуниперы и микротики с пачками офисов по россии

сейчас айписек связывает наши инстансы с циской одного небезызвестного обсоса

что бы мы им данные могли на их блядь сраный сфтп складывать

StrongSwan ок норм

инфа 100%

+

Короче я люблю прямые решения. Давайте попробую тогда этот. Коль и конфиг уже есть

давай

пиши в личку, подскажу

Попробую сам сначала, спасибо за конфиг

да не за что

@spuzirev а где у tinc должны лежать ключи нод к которым конектиться? (не свои)

Решил таки tinc?

Да, чот ipsec ту мач для меня

Да блин

Давай за косарь сделаю XD

ERROR: S client not available

Ахаха

Знаешь как говорится make it work then make it right )

Мне бы щас хоть как нибудь :)

Всего лишь касарь XD

Но ведь мне с этим потом еще работать )

Я вот файлы зон забросил по машинам, а вот понять в каком фармате ключи разложить чет не могу

Обе опции помечены устаревшими согласно документаци

А, нихера. Прмо в конфиг в перемешку с опциями надо класть о_О

А чо инклюд нельзя сделать?

ебать вы тут понаписывали

причем непонятно про что

во во

начла читать и забил

сьездил называется стейка покушать

?

А чо инклюд нельзя сделать?

Емнип нельзя. https://www.tinc-vpn.org/documentation/tinc.conf.5 You should use tincd -K to generate public/private keypairs. It will generate two keys. The private key should be stored in a separate file /etc/tinc/NETNAME/rsa_key.priv -- where NETNAME stands for the network (see NETWORKS) above. The public key should be stored in the host configuration file /etc/tinc/NETNAME/hosts/NAME -- where NAME stands for the name of the local tinc daemon (see NAMES).

Ну собсна, вроде они начали видеть друг-друга, пингуется в обе стороны.

Теперь самое главное, мне надо на этих инстансах править раутинг таблицы чтобы траик начал ходить с инстанса в регионе А в инстанс в регионе Б или через амазоновский раутинг?

И тот IP который поднимается с помощью tinc должен ли он быть в сети моей VPC? Или я могу взять какую то левую сетку 10. например и на каждом инстансе добавлять правило, что мол для такой то сети трафик надо раутить не в дифолт а вот в tun

В файлах хостов после конфига

слушайте, а может реально ru_aws ? а то я три четверти слов не понимаю

А такой уже есть?)

нет.но у меняпаблик ссылки кончились )))

А при чем тут авс

и в простите redis?

почему редис? если ты про то, что это ключ значение? то да. с рест апи, ну и возможностью ключи вложенные делать

почему редис? если ты про то, что это ключ значение? то да. с рест апи, ну и возможностью ключи вложенные делать

Я имел ввиду "в ldap или redis"

Я вот единственное не понимаю, почему ldap не постеснили такими поделками в dovecot каком-нибудь и иже с ним

А что такое вложенный ключ?

В общем я настроил все. Вернулся к варианту OpenVPN ?

Могу рассказать как если кому интересно. Было куча подводных камней. Включая и грабли амазона

Да конечно расскажи. Даже не спрашивай

Слушайте, а посоветуйте хорошую базу для userdb. Считайте /etc/passwd. Наверное с распределенным кэшированием. Наверное это kv. ldap это конечно мясо