Автор: Игорь Кальметов

Почтовый сервер Tegu получил Свидетельство о государственной регистрации Роспатента

Сведения о РИД внесены в официальный бюллетень ФСИС (Роспатент) 01.10.2020. Номер свидетельства 2020661802.

Лаборатория МБК представляет собственный полностью отечественный почтовый сервер Tegu.

Почтовый сервер представляет из себя асинхронный движок на python3 (сервер SMTP, сервер IMAP, WEB панель администрирования). Список реализованных функций:

• Собственная реализация сервера SMTP
• Собственная реализация сервера IMAP
• Доставка писем на сторонний сервер по протоколу LMTP (например, Dovecot) или доставка в собственное хранилище maildir
• WEB панель администрирования
• Подключение неограниченного количества каталогов LDAP. Каталоги могут быть абсолютно разных стандартов (OpenLDAP, 389 Directory Server, MS AD…).
• Тонкая настройка атрибутов LDAP для подключения к каталогам любой сложности.
• Поддержка псевдонимов почтовых ящиков, списков перенаправления (списки рассылки), почтовых групп (группы с адресом email позволяют доставить письмо всем их членам).
• Содержание неограниченного количества почтовых доменов. Для каждого домена может быть подключён один и более каталогов LDAP.
• Мастер-пользователи почты (те кто имеют доступ ко всем ящикам) определяются членством в группе каталога LDAP.
• Поддержка проверки SPF
• Поддержка технологии GreyList (временный отказ незнакомому отправителю). Данная технология срезает до 80% нежелательной корреспонденции. Возможно исключить проверку для списка доменов отправителя.
• Поддержка DNS Black List. Данная технология позволяет отказать в обслуживании отправителям, сервера которых были скомпрометированы в глобальной сети Интернет.
• Подпись DKIM для исходящих сообщений
• Размеры отдельных ящиков можно настроить, указав эти размеры в настраиваемом поле LDAP.
• Предоставление общего доступа к папкам ящиков другим пользователям и группам пользователей.

Сервер поставляется под лицензией MIT License

Скачать релиз 2.0.0

Сейчас по причине короновируса многие задумываются о переходе на уделенный формат работы, но все ли готовы это сделать?

Fixed Mobile Convergence (FMC) — технологическое решение на стыке разных типов сетей связи: фиксированной и мобильной, которое позволяет создать единую сеть офисных и мобильных телефонов с общим планом короткой нумерации.

Технология дает возможность созваниваться напрямую по коротким внутренним номерам сотрудникам не только из разных офисов разных городов, но и использовать для этого различные типы телефонных аппаратов и сред передачи.

При данной организации связи у сотрудников организации, как у использующих мобильный телефон, так и со стационарным проводным телефоном существует возможность дозваниваться до коллег напрямую, минуя секретарей или автоматическое голосовое меню (IVR или DISA), набирая при этом короткий номер, а не федеральный номер. При получении звонка как на стационарный, так и на мобильный телефон сотрудник видит не федеральный, а короткий номер абонента, а также его имя. Кроме того, сотрудники, использующие мобильные телефоны могут в полной мере использовать дополнительную функциональность, предоставляемую офисной АТС (такую как голосовые меню, очереди, конференции, перехват звонков, запись разговоров и т.п.).

Одним из ключевых преимуществом является то, что организация пользуется также специальным внутрикорпоративным тарифом на мобильную связь.

Таким образом, данный вид организации телефонной системы не только более функционален, но и оптимален в части финансовых затрат.

Системная архитектура

Описанные выше пользовательские простота и функциональность на технологическом уровне достигаются путем интеграции офисной IP-АТС и АТС мобильного оператора. В настоящее время в России функции FMC предоставляют все операторы большой четверки за исключением Теле2.

За непринципиальными отличиями общий принцип организации сети одинаков при использовании любого из операторов (но в данном документе рассматривается на базе МТС).

Единый номерной пул телефонии создается за счет совокпности

• построение VPN-туннелей между операторами,
• построения SIP-транков между операторами,
• настройки маршрутов вызовов,
• настройки правил обработки вызовов.

Практический кейс

Клиент (крупный ритейлер металлопроката) представляет собой распределенную компанию, имеющую офисы в 25 городах России. Кроме офисов продаж в различных городах есть складские площадки, с которых ведется отгрузка металлопроката. Склады представляют собой огромные территории с развитой дорожной, железнодорожной сетью, площадками для работы мостовых кранов, ангаров для хранения и погрузки и т.п. помещений.

• Помимо офисной телефонии клиенту требуется корпоративная мобильная телефония для рабочих на складских площадках;
• Все вызовы на и с мобильных телефонов должны осуществляться с помощью коротких номеров;
• Обязательно фиксировать факт звонка (журналирование);
• Вызовы на городские номера должны быть по умолчанию запрещены;
• Отдельные номера должны иметь выход на городские номера, при этом канал должен закрываться корпоративном городским номером (АОН);
• Все звонки на все направления должны быть записаны;
• У координаторов должна быть возможность прослушивать весь телефонный эфир, а также подключаться в канал (как по радио).

Данный проект был полностью реализован специалистами компании Лаборатория МБК

Сегодня поговорим о том, как построить отказоустойчивую быструю защищенную корпоративную сеть передачи данных на OS Debian.

Итак: VxLAN ethernet-туннель поверх IP-туннеля WireGuard с динамическими маршрутами OSPF

WireGuard является туннелем третьего (сетевого) уровня.
Соответственно возможности канального уровня (логические мосты, широковещательные рассылки и т.д.) недоступны в данном туннеле.
Так же, пока, WireGuard не предоставляет возможностей автоматической передачи параметров сети (маршруты, динамические адреса) соседям.
Чтобы обойти данные ограничения можно прибегнуть к двум дополнительным решениям:

• VxLAN — технология виртуальной сети, использующая инкапсюляцию L2 Ethernet в UDP-пакеты.
• OSPF — не нуждающийся в представлении протокол динамической маршрутизации, основанный на технологии отслеживания состояния канала и использующий для нахождения кратчайшего пути алгоритм Дейкстры.

В примере будем предполагать, что у нас есть три площадки со своим маршрутизатором на Debian Linux:

1. router01
   • WAN IP: 123.124.125.1
   • LAN: 10.1.1.0/24
2. router02
   • WAN IP: 124.125.126.2
   • LAN: 10.2.2.0/24
3. router03
   • WAN IP: 125.126.127.3
   • LAN: 10.3.3.0/24

Этап 1 — Установка шифрованного туннеля WireGuard

Для установки соответствующего ПО можно обратиться к официальной документации Debian.

В нашей конфигурации можно воспользоваться разными топологиями туннеля.
Например:

1. Подключение многих к одному (клиенты-сервер или звезда)
2. Подключение всех ко всем (ячеистая сеть или mesh)
3. Смешанный тип подключений

В данной статье мы воспользуемся первым вариантом (хотя это и не принципиально).
Сеть туннеля WireGaurd назначим 10.10.10.0/24
Второй и третий маршрутизатор будут подключаться к первому.

На первом маршрутизаторе создадим конфигурацию с подключениями ко второму и третьему:

/etc/wireguard/wg0.conf

[Interface] ListenPort = 4444
PrivateKey = закрытый_ключ_первого_маршрутизатора

Второй маршрутизатор

[Peer] PublicKey = открытый_ключ_второго_маршрутизатора
AllowedIPs = 10.10.10.2/32
Endpoint = 124.125.126.2:4444

Третий маршрутизатор

[Peer] PublicKey = открытый_ключ_третьего_маршрутизатора
AllowedIPs = 10.10.10.3/32
Endpoint = 125.126.127.3:4444

На втором маршрутизаторе создадим конфигурацию с подключением к первому маршрутизатору:

/etc/wireguard/wg0.conf

[Interface] ListenPort = 4444
PrivateKey = закрытый_ключ_второго_маршрутизатора

Первый маршрутизатор

[Peer] PublicKey = открытый_ключ_первого_маршрутизатора
AllowedIPs = 10.10.10.0/24
Endpoint = 123.124.125.1:4444

На третьем маршрутизаторе, также, создадим конфигурацию с подключением к первому маршрутизатору:

/etc/wireguard/wg0.conf

[Interface] ListenPort = 4444
PrivateKey = закрытый_ключ_третьего_маршрутизатора

Первый маршрутизатор

[Peer] PublicKey = открытый_ключ_первого_маршрутизатора
AllowedIPs = 10.10.10.0/24
Endpoint = 123.124.125.1:4444

Далее на всех маршрутизаторах добавим конфигурацию сетевого интерфейса для WireGuard:

/etc/network/interfaces

auto wg0
iface wg0 inet static
address 10.10.10.1/24 # для второго и третьего — 10.10.10.2/24 и 10.10.10.3/24 соответственно
pre-up ip link add $IFACE type wireguard
pre-up wg setconf $IFACE /etc/wireguard/$IFACE.conf
post-down ip link del $IFACE

После этого поднимем интерфейсы туннеля на всех маршрутизаторах:

ifup wg0

На этом установка шифрованного туннеля WireGuard закончена.

Этап 2 — Установка виртуальной сети VxLAN поверх WireGuard

Определимся, что виртуальная сеть будет иметь адресацию — 10.20.20.0/24

Для начала создадим файл, в котором перечислим все пиры, которые будут участвовать в виртуальной сети.
Данный файл должен иметь одно и то же содержимое на всех маршрутизаторах (пирах).
Т.к. виртуальную сеть будем строить в туннеле WireGuard, то и адреса пиров будут в этой сети:

/etc/wireguard/vxpeers (расположение и имя файла не имеет значения)

10.10.10.1
10.10.10.2
10.10.10.3

Далее добавим конфигурацию сетевого интерфейса виртуальной сети VxLAN:

/etc/network/interfaces

auto vxlan0
iface vxlan0 inet static
address 10.20.20.1/24 # для второго и третьего — 10.20.20.2/24 и 10.20.20.3/24 соответственно
pre-up ip link add $IFACE type vxlan id 42 dev wg0 dstport 0
pre-up for peerip in $(cat /etc/wireguard/vxpeers); do \
ip a | egrep «$peerip\/» 2>&1 1> /dev/null || \
bridge fdb append to 00:00:00:00:00:00 dst $peerip dev $IFACE; done
post-down bridge fdb del 00:00:00:00:00:00 dev $IFACE
post-down ip link del $IFACE

И поднимем интерфейс:

ifup vxlan0

Этап 3 — Настройка динамической маршрутизации локальных сетей за маршрутизаторами

Для организации OSPF можно использовать Quagga или FRRouting.

Для FRRouting есть нюанс — после перезапуска конфигурация не применяется.
Чтобы решить эту проблему в файле /etc/frr/daemons надо переменную ospfd_options привести к виду:
ospfd_options=» -A 127.0.0.1 -f /etc/frr/ospfd.conf»

После установки выбранного пакета и активации ospfd подключимся к консоли OSPF:

telnet localhost ospfd

После ввода пароля вводим следующие команды:

enable
configure terminal
hostname router01 # для второго и третьего маршрутизаторов — router02 и router03 соответственно
access-list filter_connected_routes_alist permit 10.1.1.0/24 # для второго и третьего маршрутизаторов — 10.2.2.0/24 и 10.3.3.0/24 соответственно
access-list filter_connected_routes_alist deny any
route-map filter_connected_routes_rmap permit 10
match ip address filter_connected_routes_alist
interface vxlan0
ip ospf mtu-ignore
<Ctrl+D>
router ospf
ospf router-id 10.20.20.1 # для quagga — router-id 10.20.20.1 # для второго и третьего маршрутизаторов — 10.20.20.2 и 10.20.20.3 соответственно
redistribute connected metric 1 route-map filter_connected_routes_rmap
network 10.20.20.0/24 area 0
write memory

После этого выходим из консоли нажатиями Ctrl+D.
Через некоторое время (пол.минуты — минута) демоны ospfd обменяются конфигурацией и добавят динамические маршруты на всех маршрутизаторах.

Вот собственно и все — ваша корпоративная сеть готова. Осталось конечно добавить приоритезацию, мониторинг и многое другое, но об этом в следующих статьях.

Самое приятное в нашей работе — отзывы благодарных клиентов. Это значит, что мы не напрасно стараемся, а занимаемся полезным делом, которое получается.

Служба доменных имен — это распределенная база доменных имен, которая является одной из старейших сетевых служб. И как любая старая служба, требует время от времени пересмотра концепции и обновления. Одно из таких событий случится 1 февраля 2019 года т.е. через несколько дней.

В этот день основные узлы службы прекратят поддерживать устаревший протокол DNS. Это изменение сделает большинство операций DNS более эффективными и позволит развертывать новые функции, в т.ч. механизмы защиты от DDoS-атак.

Я полагаю, что событие для большинства произойдет незаметно. Тем не менее не лишним будет проверить свой домен здесь https://dnsflagday.net