?

Log in

No account? Create an account

Previous Entry | Next Entry

О глаголаниях языками

Нныче буду я вам хвастаться своей неиллюзорной крутостью и неженской логикой и немужской интуицией. Но самое страшное - в сказке ложь, но намёк не только молодцам, а и девицам.


Началось всё довольно интересно и полторы недели назад. Поставили мне чисто IT-шную задачу: сделать так, чтобы Барин со своего несъедобно-яблочного лаптопа мог из любой точки мира (где есть эти ваши интернеты) залезть к данным нашей внутренней сети. С условием, что никаких внутренних устройств мы не ставим и серверов не поднимаем. То есть поднять на наших роутерах RAS-VPN.

Первым делом я обратилась к нашим субподрячикам, которые поставляли всё сетевое хозяйство с вопросом: А вы такое никогда не делали?

Ответ был не обнадёживающий: "Нет, и это в принципе не возможно". Но ваша яка - Сырно. То есть бака совсем. Словам не верит, а самая умная из ёкаев. И кое-какое чутьё и знание как работает этот мир подсказывает ей - не "невозможно", а "не знаем, не умеем, и документов нет", но на самом деле - реально. И предупреждаю: задача признана невыполнимой, но в теории я нюхом чую, что на самом деле это реально - начинаю копать сама. Потому что я ответственная и потому что мне тупо интересно.

Далее много специфики. экс-джобсо-устройства принципиально не умеют pptp, но умеют IKEv2 и L2TP over IPsec. Второй вариант отпадает, потому что его не умеют уже роутеры на принимающей стороне. Но последниц - несёт в себе потенциал. Ищу, что возможно.

Первый стоп.

Оборудование НР. Производство СШП. Клиентское оборудование - несъедобное яблоко.И яблоко класть хотело на законы СШП, запрещающие кому-либо "сильное" шифорвание, и требует только его. А НР исполняет их, и роутеры в базовой поставке просто делают круглые глазки и спрашивают: "какой AES, какой 3DES, не знаем!". Вообще не знают таких слов.

Но я же Сырно и сорорита. Я упёртая. Копаюсь в этих ваших интернетах. Оказывается, прошивка-то умеет, но надо дополнительную лицензию. Читаю условия. НРЕ тоже не дураки: надо всего лишь зарегистрироваться у них, дать серийный номер устройства и они присылают тебе на мэйл лицензионный код. Активируешь его и... устройство знает сильное шифрование! Победа? Нет.

Я Commware 7 вижу впервые в жизни. Оно по внутренней логике близко к CISCO ios, с которым я в принципе хорошо общаюсь, но какие-то слова другие, а какие-то обороты - тем более. Но иногда до идиотизма, как у "кошек" no, так у НРЕшек undo. Абсолютно симметричные команды, но слово другое. Ладно, разбираюсь, опять же лазаю по мануалам. Вроде законфигурировала. В мануалах, кстати, простейшей конфигурации под вот эту вроде бы распространённую задачу шаблона нет. Но я же самая умная из ёкаев. И представляю себе, как оно должно быть устроено. Попытка.

Всё валится на первой фазе обмена ключами. Дебаг роутера лепечет какую-то ерунду, что о Nat-T договорились, но предложенные алгоритмы не котируются. Перехват пакетов на лаптопе даёт понимание, что он лезет с определённой криптографией, но и довольно экзотической группой Диффи-Хелмана 14. И хочет жизнь SA в 28800 секунд, непременно. Которое у НРЕ не умолчальное и надо ручками прописывать. Победа?

Нет. Ключ не идёт. Копаю-копаю дебаги, мануалы, интернет... И догадываюсь: если на роутере два keychain для маски 0.0.0.0 0.0.0.0 (а у меня же задача из любой точки мира подключаться) то он проверяет только первый. Даже если где-то дальше прописан второй - это не работает. Как только ты первый раз попал в маску - всё.

А изначально конфигурацию задавала не я. Какой там ключик - не знаю. И сменить могу только переписав его везде, обвалив всю систему на час. Ладно, выянила, какой ключ. Кстати, это security breach - если ключ для динамических офисов и удалённых работников обязан совпадать. Но.. Победа?

Нет. первая фаза проходит, обваливаемся на второй. Что за ерунда? Есть у меня такой трансформ, о чём вы говорите? Требуете транспорт-режим, хорошо, даю. Ничего удивительно, NAT-T в тоннель не может, известно. Но нет, даже прямого указания на транспортный режим недостаточно. Копаюсь снова в интернете, нахожу для другого роутера конфигурацию, алаптирую по своему пониманию... Фаза 2 спотыкается на другом этапе!

Опять копаю дебаг, копаю интернет. Нахожу некую странную конфигурацию, нюхом чую - здесь может быть идея. Точно! Не только в ключике надо прописать маску, но и уровнем выше.

Заработало? Нет. Из фазы IKE вышли в фазу l2tp. Тут было просто. Включить-выключить. Компьютерная ОС не умееть дополнительно шифровать сам туннель. Или умеет, но с дополнительными плясками с бубном, недокументированными. Но мне и так хорошо, трафик и так уже зашифрован через сильный IKE, это без квантовых компьютеров в режиме реального времени не ломается.

Заработало!

Фигу тебе, яка, с маслицем! Заработало на Win10 лаптопе. А на айпонте - нет. Опять лезем в дебаг. И видим странную картину: айпонт предлагает алгоритмы шифрования (aes256+sha1), которые явно прописаны в трансформе... и жизнь SA 3600 секунд, котрая отличается от "умолчальной". А в системе роутера-сервера это не понятно где прописывать. Поковырялась, нашла... Всё равно не работает.

И тут вчера меня осенило. Кто войну видел - тот в цирке не смеётся. Подлое несъедобное яблоко на второй фазе IKE приходит с неким трансформом. Но если он не совпадает с первым трансформом на роутере, т.е. если они с первой попытки не договорились об алгоритмах шифрования - они... честно пытаются договориться о каком-то другом, но ни один из них не крутит счётчик. То есть несъедобное яблоко не предлагает другой вариант трансформа, а НРЕ-роутер не пытается проверить следующие трансформы!

Ощущение, что здесь какая-то засада меня посетило, когда я осознала, что (опять же недокументировано, но работает), что в конфигурации трансформа можно указывать несколько алгоритмов. Мол, любой из этих. Но убогая вебморда, показывающая не всё, что сконфигурировано - в этом "мульти-трансформе" показывает только первый упомянутый алгоритм. Дурная идея: а если сменить порядок в мультитрансформе? И поставить желанный для несъедобного яблока алгоритм первым... Сработала! Айпонт полностью устанавливает связь! Именем Лэйн и Императора я превозмогла!

Правда, это, похоже, в мистическом смысле, стоило мне одной из парных очень красивых серёжек... Но найду. А не найду - так заработаю на ещё, у девушки серёжек много, поношу покамест другие, или другие другие, или третьи-четвёртые-пятые другие. А там ещё куплю, я же люблю всякую мелкую ювелирку!

Ребята, две недели бития лбом об стену. Из-за того, что никто и нигде не сказал, как это делается. Нет, дело не в том, что мне нужен был шаблон.



Я не филлипинка. Если шаблон есть, мне, конечно, легче. Но и без него я достаточно хорошо понимаю внутреннюю логику вещей, чтобы собрать её, или хотя бы задать правильный вопрос. На который будет правильный ответ, а не "ошибка у тебя в ДНК". Но билась я об то, что две стороны претендуют, что говорят на одном языке... но на самом деле не просто используют свой собственный диалект, а и не пытаются договориться о каких-то смыслах и соглашениях. И цинично изображают, именно изображают попытки. Ната,ot_urs, вот это тебе рассказ о языках. Вроде бы протоколированных, механических вообще, то есть семантически бедных и зажатых законами. Иконка увидела туда сломалась? (Кстати, здесь я только синонимами пошалила, смыслов третьих не выдумывала).
Да. И что важно: Не зная языка "родного" одного "придурка", догадываясь о языке второго, но понимая суть происходящего из совершенно третьего опыта - я таки смогла их подружить.

Comments

( 37 comments — Leave a comment )
alex_tanin
Oct. 14th, 2017 09:53 am (UTC)
Маржан, честно, я специфику себе представляю плохо, и о значении ряда терминов догадывался по контексту, но и то понимаю, что Вы сделали считающееся (даже производителем и поставщиком) невозможным. Самостоятельно нашли решение, ориентируясь на понимание самой сути процесса. Если я скажу слово "гениально", оно не будет преувеличением, пожалуйста, не спорьте)
yakabito
Oct. 14th, 2017 10:20 am (UTC)
Спорить всё же буду. Гениальность для этого свершения не является необходимым условием. Но неслабый ум и понимание "как это работает" - безусловно, как минимум достаточным. С другой стороны, есть и другая суть этого поста. Когда вы говорите, что глокая куздра штено будланула бокра - наш слушатель безусловно поймёт, что некая женская личность с какими-то эмоциями сделала что-то над какой-то мужской личностью. Не более. И ожидать, что под "штено" слушатель понимает "нежно" или "яростно", а под "будланула" - "поцеловала" или "отпи...дила" - как минимум глупо. А и в этом примере я даю "пропущенный" перевод слов. Представляешь, что творится, когда человек не думает о даже конструкции утверждения? А чо, кому надо - и так поймут. А кто решил, что я феерический бред произнесла - они ж просто не хотят меня, ШИКАРНУЮ, понять!
(no subject) - alex_tanin - Oct. 14th, 2017 10:37 am (UTC) - Expand
(no subject) - yakabito - Oct. 14th, 2017 10:55 am (UTC) - Expand
(no subject) - alex_tanin - Oct. 14th, 2017 11:27 am (UTC) - Expand
(no subject) - yakabito - Oct. 14th, 2017 12:26 pm (UTC) - Expand
(no subject) - yakabito - Oct. 16th, 2017 04:31 am (UTC) - Expand
(no subject) - alex_tanin - Oct. 16th, 2017 08:00 am (UTC) - Expand
gellemar
Oct. 14th, 2017 10:42 am (UTC)
Маржан, дорогая, и чему я тебя буду учить? Какой я тебе сенпай? По возрасту разве. Ты крута. Ты сумела то, с чем я справился бы с не меньшими проблемами и трудностями. Мы равны. Хорошо, хорошо. Ты красивая и хрупкая девушка, а я широкий и мощный твой щит. Но пулемёт-то уже у тебя такой же! : -)) Ты прелесть!
yakabito
Oct. 14th, 2017 11:00 am (UTC)
Но ты научил меня так думать, быть такой. Именно сенпай-кохай. Мы можем быть равными, чуть раньше, чуть позже... Не сенсей, именно сенпай. Чуть старше, чуть мудрей. А я слушаю.
dannallar
Oct. 14th, 2017 11:35 am (UTC)
Необязательность применения стандартов да, часто изумляет.
yakabito
Oct. 14th, 2017 11:45 am (UTC)
Временами до опфигения (именно так).
(no subject) - dannallar - Oct. 15th, 2017 01:00 am (UTC) - Expand
(no subject) - yakabito - Oct. 15th, 2017 09:54 am (UTC) - Expand
(no subject) - dannallar - Oct. 15th, 2017 10:31 am (UTC) - Expand
nekomata_tengri
Oct. 14th, 2017 02:39 pm (UTC)
извините если не в тему, ...

я просто хочу рассказать что если есть задача сделать впн из подручных материалов,
то обратите внимание на SoftEther VPN Open Source
бесплатно, открыты, разработано японским университетом https://www.softether.org/

коннектит все со всем:




и многое другое,
yakabito
Oct. 16th, 2017 03:22 pm (UTC)
Что Вы, очень даже в тему. И хорошая вещь, реально надо присмотреться. Но условиям этой конкретной задачи не удовлетворяет (наша задача: сервером работает весьма крутой роутер НРЕ, клиент - любая ОС, с отдельным приоритетом для несъедобных яблок). То есть надо чётко то, что уже есть в RFC, то, что уже гарантированно поддерживается (пусть и местами недокументированно и местами документацию не написали), но в рамках уже существующего стандарта. И то, что, соответственно, пусть с плясками, но теоретически возможно _без_ привлечения сторонних софтверных решений. Ну так бывают и другие задачи, всё верно. Так что благодарю, не лишняя ссылочка.

Edited at 2017-10-16 03:28 pm (UTC)
(no subject) - nekomata_tengri - Oct. 16th, 2017 03:31 pm (UTC) - Expand
(no subject) - yakabito - Oct. 16th, 2017 05:52 pm (UTC) - Expand
ramonacby
Oct. 14th, 2017 04:11 pm (UTC)
дроччер. яб так не замарачивался и забил болт
dannallar
Oct. 15th, 2017 01:02 am (UTC)
И стал бы изучать труды Розенталя.
(no subject) - yakabito - Oct. 15th, 2017 10:02 pm (UTC) - Expand
(no subject) - alex_tanin - Oct. 16th, 2017 08:10 am (UTC) - Expand
(no subject) - yakabito - Oct. 16th, 2017 08:34 am (UTC) - Expand
(no subject) - alex_tanin - Oct. 16th, 2017 10:13 am (UTC) - Expand
(no subject) - dannallar - Oct. 16th, 2017 02:06 pm (UTC) - Expand
(no subject) - yakabito - Oct. 16th, 2017 02:17 pm (UTC) - Expand
(no subject) - yakabito - Oct. 15th, 2017 09:48 am (UTC) - Expand
ot_urs
Oct. 15th, 2017 01:49 am (UTC)
Любопытно, на абревиатуре NAT-T ты вспоминала обо мне? ^__^
yakabito
Oct. 15th, 2017 09:51 am (UTC)
Хи-хи, а было бы забавно! Но нет, про тебя я вспомнила когда пришлось разбираться, что же такое на самом деле они друг-другу говорят, о чём умалчивают, мол догадайтесь сами... И вспомнила наши с тобой разговоры, когда слова вроде бы русские, а имеешь в виду ты не совсем то, что пишешь.
snow_alis
Oct. 15th, 2017 10:25 am (UTC)
Маржан, ты такая умница, решила неразрешимое!
Если бы ты была мужчиной, я бы точно в тебя влюбилась))
yakabito
Oct. 15th, 2017 10:28 am (UTC)
Ничего против сёдзе-ай не имею! ^____x
shurishka
Oct. 15th, 2017 11:10 am (UTC)
Смотрю с восхищением!
Текст поняла только наполовину, но размер геморроя прочувствовала.
НР не люблю в принципе - очень уж они замороченные, уговорить их поработать нелегко.
yakabito
Oct. 15th, 2017 11:21 am (UTC)
На самом деле, НРЕ я вполне себе люблю. Особенно их hi-end оборудование. Хотя в случае именно сетевого - предпочту всё-таки CISCO. Всё логично, настраивается, есть интересные функции... надо только действительно разобраться в диалекте и тонкостях. Но это везде так.

К ним у меня другая претензия, как раз на mid-low-end. Они очень уж думают о том, как бы с минимальными затратами для пользователя окучить требования большинства их. В результате при установке драйверов сетевого принтера ставится и куча ненужного барахла... и это полбеды. Вторая половина в том, что для этого обеспечения задействованы пропертиарные функции. И тупо взять драйвер и поставить не даёт иногда нужного эффекта. А подчас и ещё печальнее: например, история их жизни: популярный домашний сетевой принтер + Win7 до определённого момента работает... потом компьютер получает какие-то обновления в сути не связанные с сетевой работой и всё. А через полгода получает ещё одни - и опять всё работает. Потому что именно документировать, что "нам надо это" - поленились.
(no subject) - shurishka - Oct. 15th, 2017 11:33 am (UTC) - Expand
(no subject) - yakabito - Oct. 15th, 2017 11:41 am (UTC) - Expand
(no subject) - shurishka - Oct. 15th, 2017 01:38 pm (UTC) - Expand
( 37 comments — Leave a comment )