klink0v (klink0v) wrote,
klink0v
klink0v

Наболело

Очередная очередь из говномёта. Кому не нравятся псто такого типа, лучше под кат не ходите.

Ввиду своего небольшого масштаба и специфики деятельности фирма, в которой я работаю, очень часто вынуждена под всех прогибаться: под клиентов, под партнёров, под банки, даже под некоторых своих же сотрудников и т.д. и т.п. И всё бы ничего, но часто сей интимный процесс затрагивает и меня тоже. А я, сцуко, до фига гордый. Поэтому портится настроение.

Вот, относительно недавно, манагеры нашли какого-то очередного бизнес-партнёра, с которыми решили намутить новый супер-дупер-пупер спецпроект. Подробностей, понятно, раскрыть не могу. Скажу лишь только, что с IT у этих товарищей дела обстоят ну очень плохо, зато хороша развита бюрократия, бумажки, регламенты, процедуры и правила.

Стали обсуждать с ними техническую часть вопроса. Мы предложили самое простое решение: веб-сервер + SSL/TLS, мы им шлём в XML некую инфу, они что-то возвращают нам в ответ, все счастливы. Но тут взъерепенилась их служба безопасности: как же так, веб-сервера "голой попой" в интернет выставлять, там критичная бизнес-информация, бла-бла-бла, все дела, давайте, мол, вместо этого строить тоннели. Я тяжело вздохнул. Ну раз надо, значит надо. Дали мне контакты их типа сисасдмина.

Лирическое отступление номер 1. Когда я пишу кому-то письма, подписываюсь просто "системный администратор", без лишних понтов. Чем занимаюсь, то и пишу. С той стороны прилетел ответ с внизу которого красовалось гордое.

Инженер по связи
Управление Информационных технологий
Отдел системного обеспечения
центральных проектов

"Да-а-а-а-а", думаю. Начало уже хорошое. Обычно там, где много понтов, мало дела и крайне низкий КПД. Потому что все силы уходят исключительно в поддержание понтов. Ну ладно. Пытаемся что-нибудь сделать.

Тут лирическое отступление номер 2. По специализации я линуксоид-опенсорсник. Хотя не чураюсь и любых других технологий, а также свободен от любых профессионально-религиозных предрассудков. Мне принципиально всё равно на чём строить те или иные решения, лишь бы сделать быстро и надёжно. Если какую-то задачу проще решить на винде, то возьму в руки именно винду. И так далее.

Но в данном случае, поскольку вражеский "инженер по связи" (назовём его Васей), заявивший себя матёрым цискарём, предложил делать GRE/IPSec, я со своей стороны взял Linux/StrongSWAN.

Лирическое отступление номер 3. У меня к данному моменту уже накопился опыт "вязки" разношёрстного оборудования. Как я только в молодости не изгалялся. Женил друг на дружке и Cisco, и DrayTek-и, и Mikrotik, и Linux/Racoon/Pluto/Charon, причём лёжа, раком, стоя, вприсядку в произвольных комбинациях, по Preshared-ключу, по сертификатам, с GRE и без него, делал Failover-мультилинк через нескольких провайдеров с OSPF, стыковался со всякими МТС-Билайнами и вообще, уже давно знаю толк в извращениях меня сейчас сложно чем-то удивить. Поэтому просто попросил у Васи кусок из его конфига, наивно полагая, что через 20 минут всё заработает. Ага, щаззз, разбежался.

Сначала Вася прислал конфиг в зашифрованном ZIP-архиве. Пароль к нему продиктовал по телефону (типа "безопасно", ога), который, конечно же, не подошёл. Со второй попытки Вася осилил PGP. Потом беглая проверка его конфига (внезапно, я понимаю цисковский синтаксис) показала, что Вася написал его методом копипасты, да так и не удосужился проверить, поэтому понаделал ошибок. Ладно, указал на них, поправили. Но дальше, когда я запустил в тестовом режиме Charon-а, выяснилось, что с их стороны циска намертво закрыта Firewall-ом, в котором никто не удосужился проковырять для меня дырку. К тому же Вася не потрудился выслать мне параметры установления первой фазы IPSec-соединения. А когда таки выслал, у меня волосы зашевелились (на попе), потому что самое стойкое, что он предлагает использовать - это aes-128/sha1/dh-5, а минимально допустимое - 3des/md5/dh-2 [сглотнул].

Но это всё ёще цветочки. Я продолжаю тестирование и вижу, что их циска меня не авторизует. Ну, говорит, не знаю кто ты такой, давайдосвидания. При этом сама с той стороны даже не пытается установить соединение первой, несмотря на наличие честных прямых IP с обоих концов. Прошу Васю выслать уже полный конфиг циски, предварительно затерев в нём всю приватную информацию. Нахожу ещё несколько ошибок. Высылаю. До кучи они же (!) начинают меня (!) торопить. Мол, "давай-давай, скорей-скорей, у нас тут сроки горят". Я потихоньку начинаю звереть от такого расклада.

Не знаю чего там Вася наколдовал, но похоже что моим советам он не внял. Меня его циска по-прежнему не авторизует, но зато когда она первая устанавливает соединения, тоннель вроде как срастается, но ненадолго. Трафик не ходит, через несколько секунд всё разваливается обратно. Вася уверен в своей правоте-непогрешимости и утверждает, что во всех бедах виноват мой линукс. Мол-де, "с другими клиентами всё работает". Я зверею всё сильнее. Снова тыкаю его носом в его косяки, потихоньку начиная догадываться, что он, мягко говоря, не понимает сути действия тех или иных директив в конфиге.

Потом от него приходит несколько эпичных писем, по которым мне всё уже становится окончательно ясно. Вот самые шедевральные цитаты.

... Я предлагаю пока исключить туннель вобще и сделать криптомап. Какие ваши айпишники можно пинговать для проверки. ...
... Я сразу сказал, что с линуксами имел только поверхностное знакомство. Циску с циской то я подружу. Её даже необязательно куда то везти, достаточно вывести её в Инет через нат. Но это не интересно. Я пробую разные варианты настроек. С моей стороны, я предлагаю следующее: я завтра найду отдельную циску с белым адресом для этого эксперимента (потому что сложно анализировать логи и дебаги, когда помимо этого валится ещё куча с десятков других тунелей). Останавливаемся на варианте с GRE тунелем. Белый адрес скорей всего будет другой. ...
...Мне пока смутно представляется каким образом Циска связывается с линухом по GRE-тунелю зазищённым IPsec. В интернете в основном примеры, где циска с линуксом строит IPSec туннель без гре. А возможно мы всё это по разному понимаем. Я не претендую на правильность моего конфига, и прекрасно понимаю что он скорее всего будет отличаться от тех, что я делал где на другом конце тоже циска. ...

Ёлы-палы, ну что за детский сад, штаны на лямках... Я уже окончательно выхожу из себя. Пишу в ответ гневное письмо в стиле "ты мудак или как" "лично мне фирма платит не за НИОКР и эксперименты, а за готовые решения". Достаю с антресолей старую запылившуюся Cisco 851, везу её в свой датацентр, по-быстрому настраиваю этому пациенту рутовый доступ от неё, отдаю логин-пароль и говорю "нннн-н-на, мудохайся сам как умеешь, только меня не трогай". Само собой, воткнул я оный терминал не напрямую в свою боевую сетку, а через промежуточный Mikrotik. Мало ли чего там этот рептилоид натворит, надо ж всё-таки иметь возможность контролировать. Запустил сниффер, направил копию перехваченного потока на свой рабочий десктоп. Прошли сутки, наблюдаю первые результаты.

Лирическое отступление номер 4. Микротику внутри себя негде хранить дампы сетевого трафика. Поэтому он заворачивает перехваченные пакеты (и ethernet-фреймы) в протокол TZSP и направляет на некоторый наперёд заданный IP-адрес, куда попросишь. А на целевой системе всё это безобразие можно захватить, переработать и при необходимости сохранить для последующих разборов полётов тем же Wireshark-ом. Что я и сделал.

И что же я вижу? Вижу, что отданная Васе на растерзание циска начинает гадить в мою сторону ARP-запросами по всему диапазону моих серых (приватных) IP-адресов. Одновременно с этим я наблюдаю всплеск входящего трафика через свежепостроенный IPSec-тоннель (но не вижу что внутри, ибо шифрованное). Варианта два: либо Вася сканирует мою сетку чем-нибудь навроде nmap-а, либо у него там рассадник вирусов. Пишу Васе, прилагаю к сообщению дампы. Прошу разобраться, а заодно отключить на этой циске STP, ибо нафиг не нужен, только гадит в сеть почём зря. Получаю ну просто эпичный ответ с копией моему и его начальнику.

Дампы я глянул мельком. Ещё раз повторюсь, я не согласен с Вами по поводу сканирования.
Обратите внимание на строчку IPv4, где фигурируют в основном src: 192.168.xxx.yyy Dst: 192.168.qqq.rrr. У меня таких адресов нет совсем. Ищите их у себя.
По поводу отключения STP, прописывания дополнительных тонких настроек, защиты её от внешних угроз и прочее - это Ваша циска и находится она в поле Вашей ответственности. И делайте это сами. Ибо Вам за это платит ваша фирма, а не мне.
А если по-человечески, Я со своей стороны, сделал выводы относительно Вашего поведения, и не намерен больше Вам помогать.

У меня нет слов. Ну что за *****! Сам, значит, обосрался, специально для него принесли на блюдечке циску, чтоб он смог выполнить свою (!) задачу, дык он ещё и лезет в залупу и заявляет что циска эта отныне не его зона ответственности и обслуживать он её не будет. И вообще, он сделал всем огромное одолжение, настроив этот несчастный тоннель и теперь "помогать" не будет. Я чё-то и ржу, и рыдаю одновременно. И думаю, что же теперь делать с пристыкованной ко мне сеткой, в которой так и бесится никем не пуганная вирусня. И как всё это добро саппортить дальше, ибо этот валенок настолько валенок, что не смог даже развернуть дампы и посмотреть что находится внутри TZSP-потока. Ну разумеется, пресловутые "src: 192.168.xxx.yyy Dst: 192.168.qqq.rrr" - это Mikrotik и мой рабочий десктоп соответственно. Только ж надо на минуточку включить мозг и хотя бы попытаться понять что тебе прислали, а не считать себя кулхацкером, а всех вокруг - дебилами.

Дальше идёт бессвязно-эмоциональная часть.

... "Инженер по связи... центральных проектов".... Неужели при приёме на работу этих ПТУшников никто не собеседует? ...
... Начальник велел не ссориться. Велел дружить. Ибо "стратегический партнёр". Взять и просто послать на йух никак нельзя. ...
... Не ходите, коллеги, работать ни в банковский сектор, ни в автопром. Нечего вам делать в этих отраслях. А если и есть чего, то люди с мозгом там долго не выдерживают. Проверено. ...
... Снова нет настроения работать и мучительно хочется уволиться. ...
... И как саппортить дальше это говно с сисадмином-имбецилом по ту сторону тоннеля? А саппортить-то придётся. И неполадки как-то диагностировать-устранять впоследствии надо будет. ...
... Где же взять столько места в стойке, чтоб под каждого нового "стратегического партнёра" отдельную циску ставить? ...
... И что прикажете делать, когда вирусня из его подсеток через тоннель начнёт всерьёз засирать мой боевой 10-мегабитный входящий линк? ...
.... Сколько уже можно прогибаться под всех и каждого? Я, конечно, понимаю, что за это неплохо платят. Но всё же. ...

Вот. Выплакался. Немного полегчало.

Tags: работа, размышления
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 28 comments