제2의 비엔지니어 인생관을 꿈꾸며

Posted
Filed under Network
사용자 삽입 이미지
이번에 설명할 기능은 바로 압축기능입니다. 요즘은 x86 서버가 고성능이 때문에 서버단에서 DB데이터나 패킷까지 압축하는 방법으로 최소한의 트래픽으로 병목현상을 줄이고 시간을 단축시키는것 즉 이것을 튜닝이라고 합니다. 웹사이트도 서버단에서 압축과 캐쉬 기능으로 성능을 극대화 하는거와 비슷하게 보면 되겠습니다.
대부분 말만 자기네 솔루션 및 제품 기술 서비스가 제일 빠르고 좋다고 합니다. 그러나 막상 분석해보면 그냥 영업용 멘트일뿐 현실을 전혀 그렇지 않은게 전부라고 보면 되겠습니다.
전 직접 확인하지 않으면 몸이 근질근질 해서 테스트 해봤습니다.

사용자 삽입 이미지

압축률이 어마어마 합니다. 실제 VPN이 사용한 패킷은 너무 적습니다.
이거 레알? 할사람들 많을거고 자빠질 사람 많을겁니다. 하지만 사실입니다.
DB튜닝 잘하는 사람 몸값 높습니다. 이유는 서비스의 두뇌이고 핵심이기 때문에 기업에서 대우가 좋습니다. 물론 당사자들도 책임부담과 역할비중이 높은것도 있기도 합니다.

VPN 튜닝도 앞으로 엄청난 변화를 불러올것입니다.

KORNET1
2018/12/07 02:05 2018/12/07 02:05
Posted
Filed under Network
사용자 삽입 이미지



KORNET1 
수개월 연구끝에 서비스 오픈을 준비하였습니다. 이건 마약입니다. 속도 및 안정성 그리고 그 숨막히고 답답했던 모든 스트레스를 해소 할수 있는 유일한 탈출구를 연구끝에 완료하였습니다.

유투브, 구글, 넷플릭스, 페북, 포탈 동영상, 게임, 뉴스, 카카오톡 음성통화, 라인...

모든 서비스 업체 VPN을 다 분석했지만 글로벌 및 국내 단독 서비스입니다.

사이트 바로가기
2018/12/05 23:28 2018/12/05 23:28
Posted
Filed under HW&SW
리눅스 우분투 기반으로 LDAP , 윈도우 서버의 Active Directory를 대신할수 있는 서버가 예전 버젼부터 제공이 되긴 하였습니다.
그런데 5.0 들어서면서 Openchange 가 망해버렸고 그 이후로 익스체인지와 동일한 기능을 사용하지 못하는 아쉬움에 관심을 갖지 못한 서버였습니다. 삼바 프로토콜 버젼이 올라가도 포리스트와 도메인 기능수준은 여전히 2003까지만 지원하고 있습니다.(윈도우10, 서버2016 도메인가입은 지원)
5.1 버젼에는 IDS/IPS 기능과 IM 메신저 서버 기능이 추가되었습니다. 그래도 별반 관심이 없었던 이유중 하나가 가장 치명적인게 아래 그림과 같이 전화접속 권한 부여 기능이 없어서입니다.
VPN계정용으로 사용할려고 했는데 그게 안되서 단순하게 파일서버 및 클러스터 기능밖에 사용할수 없는 한계에 차기 6 버젼때 해결해 줄려나? 했는데 역시나 지원불가였습니다.
사용자 삽입 이미지
그런데 반전이 일어났습니다. 누가 필자대신 피드백 메일을 보냈는지 이걸 대신할수 있는 서비스가 추가되었습니다. RADIUS 서버 기능이 아래 그림과 같이 떡 추가가 되어버렸습니다.
사용자 삽입 이미지
가상화 KVM도 추가가 되었더군요. OS지원이 너무 한정적이여서 그냥 에뮬레이션 용도로 쓰는것만 추천합니다. Hyper-V에 KVM 서비스가 구동이 되는거 보니 에뮬레이션 방식이 아닌가 싶습니다.
아래 그림과 같이 RADIUS 인증으로 바꾸고 접속해보니 아주 접속이 잘됩니다.
리눅스 Free RADIUS 서버가 생기면서 VPN 서버 이중화 구성이 용이하고 사용자 라이센스의 부담이 덜하게 되었습니다.
사용자 삽입 이미지



2018/11/24 00:28 2018/11/24 00:28
Posted
Filed under Study


Symptoms

When configuring the VMware High Availability (HA) in vCenter Server, you see the message:

Host <xxx> currently has no management network redundancy
 Purpose
To prevent the Host <xxx> currently has no management network redundancy message when configuring the VMware High Availability (HA) in vCenter Server, VMware recommends to add a second vmnic to the service console or management network vSwitch configured with NIC teaming, and that you keep both as active adapters, or place one in standby.
 Cause
This message is displayed if the network redundancy configuration within theService Console/VMkernel Port Management Network is incorrect. This message can be safely ignored.

 Resolution
To prevent this message from appearing, and to comply with proper network redundancy, VMware recommends to add a second vmnic to the service console or management network vSwitch configured with NIC teaming, and that you keep both as active adapters, or place one in standby. For more information, see NIC teaming in ESXi and ESX (1004088).

Alternatively, you can add a second service console on a different vSwitch and subnet.<o></o> To suppress this message on ESXi and ESX hosts in the VMware High Availability (HA) cluster, or if the warning appears for a host already configured in a cluster, set the VMware HA advanced option das.ignoreRedundantNetWarning to true and reconfigure VMware HA on that host. This advanced option is available in VMware Virtual Center 2.5 Update 3 and later.

If the warning appears even when there are two available uplinks for the vSwitch hosting the Service Console/VMkernel Port Management Network, providing a redundancy, see ESX/ESXi host displays warning message when test condition is false (2008602).
 
Note: If the warning continues to appear, disable and re-enable VMware High Availability in the cluster.

To set das.ignoreRedundantNetWarning to true:

From the VMware Infrastructure Client, right-click on the cluster and click Edit Settings.
Select vSphere HA and click Advanced Options.
In the Options column, enter das.ignoreRedundantNetWarning
In the Value column, type true.

Note: Steps 3 and 4 create a new option.
 
Click OK.
Right-click the host and click Reconfigure for vSphere HA. This reconfigures HA.
To set das.ignoreRedundantNetWarning to true in the vSphere 5.1 Web Client:

From the vSphere Web Client, right-click the cluster.
Click the Manage tab for the cluster, then under Settings click vSphere HA.
Click Edit in the top right corner.
Expand the Advanced Options section, and click Add.
In the Options column, type das.ignoreRedundantNetWarning.
In the Value column, type true.
Click OK.
Right-click the host and click Reconfigure for vSphere HA.

2018/10/08 18:59 2018/10/08 18:59
Posted
Filed under Network

1) If RRAS based VPN server is behind a firewall (i.e. a firewall is placed between Internet and RRAS server), then following ports need to be opened (bidirectional) on this firewall to allow VPN traffic to pass through: -
•For PPTP:  ◦IP Protocol=TCP, TCP Port number=1723   <- Used by PPTP control path
◦IP Protocol=GRE (value 47)   <- Used by PPTP data path

•For L2TP: ◦IP Protocol Type=UDP, UDP Port Number=500    <- Used by IKEv1 (IPSec control path)
◦IP Protocol Type=UDP, UDP Port Number=4500   <- Used by IKEv1 (IPSec control path)
◦IP Protocol Type=ESP (value 50)   <- Used by IPSec data path

•For SSTP:
◦IP Protocol=TCP, TCP Port number=443   <- Used by SSTP control and data path
•For IKEv2: ◦IP Protocol Type=UDP, UDP Port Number=500    <- Used by IKEv2 (IPSec control path)
◦IP Protocol Type=UDP, UDP Port Number=4500   <- Used by IKEv2 (IPSec control path)
◦IP Protocol Type=ESP (value 50)   <- Used by IPSec data path


2) If RRAS server is directly connected to Internet, then you need to protect RRAS server from the Internet side (i.e. only allow access to the services on the public interface that isaccessible from the Internet side). This can be done using RRAS static filters or running Windows Firewall on the public interface (or the interface towards the Internet side). In this scenario following ports need to be opened (bidirectional) on RRAS box to allow VPN traffic to pass through
•For PPTP:  ◦IP Protocol=TCP, TCP Port number=1723  <- Used by PPTP control path
◦IP Protocol=GRE (value 47)  <- Used by PPTP data path

•For L2TP:
◦IP Protocol Type=UDP, UDP Port Number=500   <- Used by IKEv1 (IPSec control path)
◦IP Protocol Type=UDP, UDP Port Number=4500 <- Used by IKEv1 (IPSec control path)
◦IP Protocol Type=UDP, UDP Port Number=1701  <- Used by L2TP control/data path
◦IP Protocol Type=50  <- Used by data path (ESP)


•For SSTP:
◦IP Protocol=TCP, TCP Port number=443   <- Used by SSTP control and data path
•For IKEv2:
◦IP Protocol Type=UDP, UDP Port Number=500   <- Used by IKEv2 (IPSec control path)
◦IP Protocol Type=UDP, UDP Port Number=4500 <- Used by IKEv2 (IPSec control path)
◦IP Protocol Type=UDP, UDP Port Number=1701  <- Used by L2TP control/data path
◦IP Protocol Type=50 <- Used by data path (ESP)

방화벽 뒷단에 VPN서버를 배치하는것과 다이렉트로 DMZ 영역에 VPN서버를 배치하여 포트를 개방하는 방법입니다. 앞서 1탄에 설명을 했지만 SSTP와 IKEv2를 제외하고는 중국에서는 전부 블랙당하고 OPENVPN도 SSL을 사용한다고 해도 감지하여 블랙당하는걸 직접 테스트 하였습니다.
아이폰은 현재로서는 유일하게 IKEv2 방식을 사용할수밖에 없고 나머지 플랫폼은 전부 SSTP 클라이언트로 접속하여 VPN을 사용할수가 있습니다.
SSTP 클라이언트가 내장된 라우터 및 공유기가 현존하는 제품중 미크로틱 제품이 유일하다라고 국내에서는 트루네트워크가 총판을 담당하고 있습니다.
미크로틱 라우터도 SSTP 서버를 지원하지만 중국에서는 이마져도 감지가 되어 차단된다는걸 명심해야됩니다.
중국에서 VPN 을 차단되지 않고 원활하게 사용할수 있는 VPN을 아직까지 서비스 하지 못하여 IP만 맨날 바꾸는 업체들이 여기저기 보이고 있는게 아쉬울뿐입니다.
Windows Server의 VPN을 비웃기라도 한듯 리눅스및 어플라이언스에 의존한 결과가 아닌가 싶습니다.


KORNET1 

2018/08/29 10:14 2018/08/29 10:14