Установил тут OpenVPN да слегка запарился.
Он может делать соединения не точка-точка, а вообще защищенную ЛВС? Суть в том, что есть большой хаб, в котором присутствует несколько сетей со своей адресацией (изврат, но это от бедности). Есть в конфиге параметр remote. В случае соединения точка-точка, когда нужно соединить две локальных сети через интернет, все понятно - я указываю адрес противоположной стороны. А если мне нужно несколько машин соединить так, чтобы они общались между собой по защищенному протоколу, то чего в конфигах прописать? Не совсем понял я. Примерчиков бы.
Или может я вообще неправильно чего-то понимаю.
Юзаю OpenVPN-1.5.1-beta7
Несколько машин включены в хаб. Надо организовать между ними общение по защищенному IP протокору. Как еще (кроме OpenVPN) можно это организовать?
Как соединить больше двух локальных сетей через интернет по защищенному протоколу?
организуй VPN по протоколу не PPTP, а IPSEC с шифрованием. если твой OPEN VPN это умеет, тогда его и юзай. Для нескольких сетей кидают туннели между собой:/IPROUTE2/iproute2/ip/ip tunnel add tunl1 mode ipip remote айпи_адрес_инета local айпи_адрес_инета_свой
ifconfig tunl1 192.168.53.1 pointopoint 192.168.53.2 up
/sbin/route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.53.2
>Установил тут OpenVPN да слегка запарился.
>Он может делать соединения не точка-точка, а вообще защищенную ЛВС? Суть в
>том, что есть большой хаб, в котором присутствует несколько сетей со
>своей адресацией (изврат, но это от бедности). Есть в конфиге параметр
>remote. В случае соединения точка-точка, когда нужно соединить две локальных сети
>через интернет, все понятно - я указываю адрес противоположной стороны. А
>если мне нужно несколько машин соединить так, чтобы они общались между
>собой по защищенному протоколу, то чего в конфигах прописать? Не совсем
>понял я. Примерчиков бы.
как я понял - делать туннели с каждой машины на каждую... с соответствующим количеством интрефейсов...
либо делать с одной машины туннели на каждую другую и маршрутизировать их между собой...что с чем ты соединяешь? в смысле, ОС какие?
и покажи, плиз, свои конфиги, а то у меня тоже не все гладко получается - не пропускает пакеты размером больше некоторого порога...
>>Установил тут OpenVPN да слегка запарился.
>>Он может делать соединения не точка-точка, а вообще защищенную ЛВС? Суть в
>>том, что есть большой хаб, в котором присутствует несколько сетей со
>>своей адресацией (изврат, но это от бедности). Есть в конфиге параметр
>>remote. В случае соединения точка-точка, когда нужно соединить две локальных сети
>>через интернет, все понятно - я указываю адрес противоположной стороны. А
>>если мне нужно несколько машин соединить так, чтобы они общались между
>>собой по защищенному протоколу, то чего в конфигах прописать? Не совсем
>>понял я. Примерчиков бы.
>как я понял - делать туннели с каждой машины на каждую... с
>соответствующим количеством интрефейсов...
>либо делать с одной машины туннели на каждую другую и маршрутизировать их
>между собой...
>
>что с чем ты соединяешь? в смысле, ОС какие?
>и покажи, плиз, свои конфиги, а то у меня тоже не все
>гладко получается - не пропускает пакеты размером больше некоторого порога...соединять сети через шлюзовые машины, вот пример на одной из сторон на линуксе, думаю разберешься:
ip tunnel add tunl1 mode ipip remote внеш_ip_удал_хоста local внеш_ip_моего_хоста
ifconfig tunl1 192.168.53.1 pointopoint 192.168.53.2 up
/sbin/route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.53.2
смотрим по ifconfig интерфейс туннеля:tunl1 Link encap:IPIP Tunnel HWaddr
inet addr:192.168.53.1 P-t-P:192.168.53.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MTU:1480 Metric:1
RX packets:1945 errors:0 dropped:0 overruns:0 frame:0
TX packets:2461 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0на другой стороне аналогично, ip адреса с точность до наоборот
>соединять сети через шлюзовые машины, вот пример на одной из сторон на
>линуксе, думаю разберешься:
>ip tunnel add tunl1 mode ipip remote внеш_ip_удал_хоста local внеш_ip_моего_хостакак я понимаю, это просто туннель? но мне нужен туннель с шифрованием и аутентификацией, поэтому я сейчас и занимаюсь OpenVPN-ом.
и поэтому прошу у автора темы его конфиги, может его конфиги грамотнее моих...
>>соединять сети через шлюзовые машины, вот пример на одной из сторон на
>>линуксе, думаю разберешься:
>>ip tunnel add tunl1 mode ipip remote внеш_ip_удал_хоста local внеш_ip_моего_хоста
>
>как я понимаю, это просто туннель? но мне нужен туннель с шифрованием
>и аутентификацией, поэтому я сейчас и занимаюсь OpenVPN-ом.
>и поэтому прошу у автора темы его конфиги, может его конфиги грамотнее
>моих...да, это просто туннель
>>Установил тут OpenVPN да слегка запарился.
>>Он может делать соединения не точка-точка, а вообще защищенную ЛВС? Суть в
>>том, что есть большой хаб, в котором присутствует несколько сетей со
>>своей адресацией (изврат, но это от бедности). Есть в конфиге параметр
>>remote. В случае соединения точка-точка, когда нужно соединить две локальных сети
>>через интернет, все понятно - я указываю адрес противоположной стороны. А
>>если мне нужно несколько машин соединить так, чтобы они общались между
>>собой по защищенному протоколу, то чего в конфигах прописать? Не совсем
>>понял я. Примерчиков бы.
>как я понял - делать туннели с каждой машины на каждую... с
>соответствующим количеством интрефейсов...
>либо делать с одной машины туннели на каждую другую и маршрутизировать их
>между собой...
>
>что с чем ты соединяешь? в смысле, ОС какие?
>и покажи, плиз, свои конфиги, а то у меня тоже не все
>гладко получается - не пропускает пакеты размером больше некоторого порога...Соединяю пока две винды 2000. Буквально сейчас взвожу на одной машине линух. Так как задача именно такая - должен быть линуховый шлюз в другую сеть. Винды настраиал чисто по мануалу.
На одной машине:
; Comp A
remote 198.1.2.12
port 4999
proto tcp-client
dev tap
dev-node my-tap
secret key.txt
ping 10
verb 4
mute 10На второй:
; Comp B
remote 198.1.2.251
port 4999
proto tcp-server
dev tap
dev-node my-tap
secret key.txt
ping 10
verb 4
mute 10Адреса иетерфейсов my-tap:
Comp A - 192.168.15.1
Comp B - 192.168.15.2Порт поменял, потому что уже был сервис на 5000.
Все работает. Пинги прыгают.
Скоросто прокачки больших потоков данных не мерил.
А вообще кто-нить знает чато лучше здесь использовать - tcp или udp?А FreeS/WAN кто-нить пробовал?
>Соединяю пока две винды 2000. Буквально сейчас взвожу на одной машине линух.
>Так как задача именно такая - должен быть линуховый шлюз в
>другую сеть. Винды настраиал чисто по мануалу.
я как раз и соединял Линукс с виндами...>Все работает. Пинги прыгают.
пинги с большими размерами пакетов проверял?
у меня был эффект, когда пакеты размером больше 1258 байт не проходили...
но это лечится...
если для Линукс будешь брать stable-версию 1.4, то прочитай внимательно Releas Notes на их сайте, есть различия с версий 1.5 в установках по-умолчанию касательно mtu.>Скоросто прокачки больших потоков данных не мерил.
у меня при перекачке данных с одной подсети в другую (с винта на винт) было порядка 1Мбайта/с чистых данных.
шифрующий и сжимающий Линукс на Целероне-2000 был за гружен на 15-20%, дешифрующая Винда на Пентиум-2-400 была загружена на 40%
в канале между подсетями было чуть больше 1Мбайта/с без сжатия и до двух раз меньше со сжатием.>А вообще кто-нить знает чато лучше здесь использовать - tcp или udp?
по логике вещей - без разницы, потому что OpenVPN должна сама следить за порядком и целостностью пакетов... но если сделали реализацию на tcp, то вероятно смысл в этом есть...
мне проверить не удалось, так в версии 1.4 под Линукс есть только udp.>А FreeS/WAN кто-нить пробовал?
я пробовал, но настроить Винды, чтобы они работали в паре с FreeSWAN мне так и не удалось за месяц (!). где-то глубже на этом форуме даже мой тред есть на эту тему...
в итоге я на него плюнул и поставил OpenVPN, потратил два неполных дня, и теперь все шикарно работает!