Необходимо связать две локальные сети (в разных городах) в одну.
Имеется: в Самаре SHDSL Win2000 Server IP статитеческий
в Отрадном 33.6k Linux Slackware 9 IP статитеческий
Что посоветуете почитать?
P.S. Linux знаю на уровне "собрать ядро, поставить роутер (iptables, ipchains), samba, http". Винду получше.
Супер география, Самара и Отрадное!!!!Уточняем Самара и Москва, я полагаю.
>Супер география, Самара и Отрадное!!!!
>
>Уточняем Самара и Москва, я полагаю.Нет именно Самара и Отрадный :)
Я пишу как есть на самом деле.
Нафига мне Москва?:)
>>Супер география, Самара и Отрадное!!!!
>>
>>Уточняем Самара и Москва, я полагаю.
>
>Нет именно Самара и Отрадный :)
>Я пишу как есть на самом деле.
>Нафига мне Москва?:)
:)
да хоть Австралия :)
интернет тем и хорош, что географическая разнесенность качественной роли не играет...я в аналогичных целях использую OpenVPN http://openvpn.sourceforge.net/
про плюсы и минусы я уже писал http://www.opennet.me/openforum/vsluhforumID1/39681.html
Если хочешь просто то бери красну шапку 9 и скачивай freeswan 2.01
установливаеться без проблем, если интересует что спрошива
Если хочешь просто то бери красну шапку 9 и скачивай freeswan 2.01
установливаеться без проблем, если интересует что спрошивай.
Но на обеих концах должны быть линуксы.
Если не трудно то опиши как работает OPENvpn где и как преобразовываються
ip адреса???
>Если не трудно то опиши как работает OPENvpn где и как преобразовываються
>
>ip адреса???
во-первых на сайте документация очень хорошая...
а во вторых, основная идея работы OpenVPN (как и многих других туннелирующих VPN) заключается в том, что на двух компьютерах, имеющих доступ в интернет, появляется по дополнительному виртуальному интерфейсу, находящиеся в одной ip-подсети и создается туннель между ними. остается только настроить маршрутизацию, чтобы пакеты для другой сети шли не на шлюз по умолчанию, а на свой интерфейс VPN.
т.е. в результате всем выглядит все так, как будто эти интерфейсы просто соединены кабелем...
РЕБЯТ! Ну чего придумывать! Возьми скажем какой-нить D-Link DI и настрой как роутер с VPN'ом, в чем проблема то. Там куча возможностей, и два офиса будут работать нормально и проблем минимум, не надо загружать сервак и возиться с разной фигнёй
>РЕБЯТ! Ну чего придумывать! Возьми скажем какой-нить D-Link DI и настрой как
>роутер с VPN'ом, в чем проблема то. Там куча возможностей, и
>два офиса будут работать нормально и проблем минимум, не надо загружать
>сервак и возиться с разной фигнёй:)
1) D-Link (как и любое железо) денег стоит
2) такую железяку далеко не в любом городе купить можно
3) а ты сам пробовал эти D-Link-и?
мы их пробовали неоднократно, и, в итоге, на направлениях критичных для нашего бизнеса не осталось ни одного (!) D-Link-а... все было заменено на оборудование других производителей...
4) OpenVPN сервак не загружает вообще, памяти ест очень мало (порядка 1Мб)
мне максимум удалось загрузить проц PII-400 на 20-25% при передаче по локалке!
на интернетных скоростях загрузки не заметно вообще.
5) а понадобится подключить еще один филиал - опять бегать, железяку искать, с прошивками и настройками морочиться?
Здесь есть пример:
http://gennadi.dyn.ee/modules.php?name=Forums&file=viewtopic...
>Здесь есть пример:
>
>http://gennadi.dyn.ee/modules.php?name=Forums&file=viewtopic...
только я там ничего не нашел про настройку виндов...
читал я эту статью, когда с ipsec боролся... увы, под виндой он и не заработал...да и вообще слишком сложно это по сравнению с 10 строчками конфига OpenVPN...
Вы как я понял настраивали VPN так подскажите пожалуйста
как выглядит firewall (правила iptables) для машины на которой весит vpn,
особенно интересует цепочка forward.
>Вы как я понял настраивали VPN так подскажите пожалуйста
>как выглядит firewall (правила iptables) для машины на которой весит vpn,
>особенно интересует цепочка forward.у меня не очень сильные правила, так как vpn используется только для технических нужд.
вот пример для сотрудника, который пользуется диалапным интернетом через своего провайдера:
разрешают внутренний трафик только от и для него:
iptables -I INPUT 1 -i tap1 -s 192.168.104.5 -j ACCEPT
iptables -I OUTPUT 1 -o tap1 -d 192.168.104.5 -j ACCEPT
дальний конец туннеля имеет адрес 192.168.104.5если на удаленной стороне не один комп, а целая подсетка, до добавляются такие правила:
iptables -I INPUT 1 -i tap0 -s 192.168.0.0/24 -j ACCEPT
iptables -I OUTPUT 1 -o tap0 -d 192.168.0.0/24 -j ACCEPT
где 192.168.0.0/24 - подсеть в филиалеразрешают подключение из интернета к OpenVPN:
iptables -I INPUT 1 -p udp -i eth1 -s 111.222.333.0/24 --sport 1234 --dport 1234 -j ACCEPT
iptables -I INPUT 1 -p udp -i eth1 -s 111.222.444.0/24 --sport 1234 --dport 1234 -j ACCEPT
iptables -I INPUT 1 -p udp -i eth1 -s 111.222.555.0/24 --sport 1234 --dport 1234 -j ACCEPT
iptables -I OUTPUT 1 -p udp -o eth1 -d 111.222.333.0/24 --sport 1234 --dport 1234 -j ACCEPT
iptables -I OUTPUT 1 -p udp -o eth1 -d 111.222.444.0/24 --sport 1234 --dport 1234 -j ACCEPT
iptables -I OUTPUT 1 -p udp -o eth1 -d 111.222.555.0/24 --sport 1234 --dport 1234 -j ACCEPT
адреса провайдер выдает динамически из трех пулов 111.222.333.0/24, 111.222.444.0/24 и 111.222.555.0/24 (адреса вымышленные и несуществующие)кроме того есть правило:
iptables -I FORWARD 1 -o ! eth1 -i ! eth1 -s 192.168.0.0/16 -d 192.168.0.0/16 -j ACCEPT
где eth1 смотрит в интернет.
правило довольно опасное, так как разрешает полную внутренню маршрутизацию, но все интерфейсы, кроме общей локалки, находятся под моим личным контролем и обычно вообще пустые.а вообще правила ничем не отличаются от любых других интерфейсом, ес-сно, кроме имени...
А на русском языке есть описание openVPN???
Хотя бы introduction?
А то про freeswan я хорошо понял.
Извини Михаил что так надоедаю :)
>А на русском языке есть описание openVPN???
>Хотя бы introduction?
не знаю, не видел...
мне того, что на сайте, оказалось вполне достаточно, так что я даже и не искал...>А то про freeswan я хорошо понял.
мда? тогда подкинь ссылочку, может и я пойму :)>Извини Михаил что так надоедаю :)
да ничего страшного... :)
Вот здеесь есть что почитать:
http://www.securitylab.ru/34649.html
http://www.securitylab.ru/34649.html
Если стоит ред нат 9 то вообще все "идет по маслу" :)
Michael, я так понимаю, Вы с openvpn работаете....
уточните мне несколько моментов:
- для каждого туннеля необходимо писать отдельный конфиг ?
- каждый теннель занимает свой порт ?
- сегодня я в одно месте серсию 1.5, а послезавтра я в другом месте поставлю какую-то 1.* или 2.*
они будут совместимы ?
- у тебя есть всязки линух-винда (интересует качество,стабильность....) ?
- что можешь сказать про соединение 15-20 точек(звезда) openvpn'ом....Буду очень благодарен. :)
>- для каждого туннеля необходимо писать отдельный конфиг ?
да, отдельный конфиг, очень желательно отдельный файл с ключем>- каждый теннель занимает свой порт ?
да, что удобно для ужесточения правил файервола>- сегодня я в одно месте серсию 1.5, а послезавтра я в
>другом месте поставлю какую-то 1.* или 2.*
>они будут совместимы ?
на сайте заявлено что версии 1.* совместимы начиная с какой-то из младших первых версий, не помню точно...
сам я имел дело только с различными бета-версиями 1.5, так как только начиная с них появился вариант под Винды.
сейчас использую 1.5_beta12, несмотря на то что вышел окончательный релиз 1.5... просто нет необходимости тратить время на обновление, и сейчас все нормально работает.
но рекомендую ставить 1.5, в ней исправлены некоторые существенные баги.>- у тебя есть всязки линух-винда (интересует качество,стабильность....) ?
если сразу полностью заработало, то потом можно не волноваться, у меня за 5 месяцев никаких внезапных остановок не было...
надо быть осторожным с бета-версиями, иногда приходится подбирать параметры, чтобы обойти какой-нибудь баг.
принципиальных багов мне не попадалось, но иногда приходилось указывать явно некоторые параметры, несмотря на то, что они должны определяться автоматически.>- что можешь сказать про соединение 15-20 точек(звезда) openvpn'ом....
у меня в центре стоит Линукс, на филиалах и у сотрудников Вин2000
сейчас на 5 туннелей запущено по экземпляру openvpn, каждый со своим конфигом.в виндах openvpn-овская служба должна сама подхватывать все конфиги из каталога с конфигами, но я сам пробовал класть туда только один конфиг...
15-20 соединений - думаю, проблем не будет.
>>- для каждого туннеля необходимо писать отдельный конфиг ?
>да, отдельный конфиг, очень желательно отдельный файл с ключем
а возможно, как в freeswan, один конфиг на несколько соединений ?
а в нем уже расписать все ключи и т.д.
>>>- для каждого туннеля необходимо писать отдельный конфиг ?
>>да, отдельный конфиг, очень желательно отдельный файл с ключем
>а возможно, как в freeswan, один конфиг на несколько соединений ?
>а в нем уже расписать все ключи и т.д.
нет, например потому, что нельзя нескольким процессам открыть один и тот же порт.
да и другие коллизии могут получиться...да, собственно, я и не вижу необходимости все совать в один файл...
имхо, по раздельности даже лучше тем, что можно останавливать, перенастраивать, запускать одни туннели не мешая другим, которые находятся в работе.
>имхо, по раздельности даже лучше тем, что можно останавливать, перенастраивать, запускать одни
>туннели не мешая другим, которые находятся в работе.ок.
спасибо за советы...
буду строить.
Михаил у меня возник такой вопрос как через тунель юзеров выкинуть в инет
т.е. все запросы адресованные в инет компов филиала проходят через тунель ко мне а дальше NAT и в инет, что-то я не чем понять что мне надо крутить??филиал--->-vpn---->-центральный офис---proxy--nat--->---inet
>Михаил у меня возник такой вопрос как через тунель юзеров выкинуть в
>инет
>т.е. все запросы адресованные в инет компов филиала проходят через
>тунель ко мне а дальше NAT и в инет, что-то я
>не чем понять что мне надо крутить??
>
>филиал--->-vpn---->-центральный офис---proxy--nat--->---inet
вот прям так и делать, как нарисовано.
только обычно применяется либо прокси, либо нат. одновременно они применяются редко, да и смысла не вижу... только если есть какие-то экзотические условия...
да и vpn, скорее всего, будет на той же машине, что и прокси...
т.е. схема будет примерно такой:
филиал-->vpn-->internet-->vpn-->proxy-->internet1) если применяется прокси, то:
либо прокси должен слушать vpn-интерфейс, который смотрит на филиал (что не желательно, так как интерфейс может быть не все время поднят), либо (что лучше) настроить маршрутизацию с vpn-интерфейса на тот интерфейс, который слушает прокси. ес-сно файервол должен пропускать пакеты из филиала на прокси (или вообще в локальную сеть) и обратно.
т.е. компьютеры филиала будут присоединяться к прокси так же, как будто они в локальной сети2) если применяется нат, то:
файерволл должен пропускать пакеты из филиала, натить их, и выпускать в интернет.
на пограничном компьютере в филиале должен быть задан маршрут на внешний адрес пограничного компьютера у тебя, а маршрут по умолчанию - на адрес vpn-интерфейса у тебя. т.е. все пакеты, кроме тех, которыми обмениваются концы туннеля, должны по умолчанию отправляться через vpn к тебе.PS. но есть ли смысл применения такой схемы? ведь так придется два раза платить за филиальный трафик...
>PS. но есть ли смысл применения такой схемы? ведь так придется два
>раза платить за филиальный трафик...
Есть:)
Связь филиал - центр осуществляеться - 70$ за каждую точку соединение на скорости 1024 Kb.
>>PS. но есть ли смысл применения такой схемы? ведь так придется два
>>раза платить за филиальный трафик...
>Есть:)
>Связь филиал - центр осуществляеться - 70$ за каждую точку соединение на
>скорости 1024 Kb.to klez:
извиняюсь за наглость, но все же...
кто и где предоставляет такие условия ?
мне это интересно, т.к. сам занимаюсь подобным проектом...
если у тебя ADSL то позвони своему провайдеру и спроси могут ли она поднять еще один АТМ канал (по-моему это так называеться)-к сожилению действительно только в пределах города :( -но у меня все филиалы в пределах города.
КГТС или проще ГТС города Казанию.
Михаил ты на какой системе (дистр linux) поднимал OPENVPN?
Если что может e-mail даш или лучше на форуме тему открывать?
Вдруг какие-то вопросы появиться при установки-настройки OpenVPN
>Михаил ты на какой системе (дистр linux) поднимал OPENVPN?
конкретно я поднимал на RH 8.0, но реально, имхо, это не имеет никакого значения.
вряд ли есть зависимость от конкретного дистрибутива...>Если что может e-mail даш или лучше на форуме тему открывать?
>Вдруг какие-то вопросы появиться при установки-настройки OpenVPN
мой e-mail есть во всех моих постах - miksoft@mail.ruесли честно, то мне надоело общие вопросы обсуждать. предлагаю сначала поставить, прочитать документацию (на мой взгляд ее достаточно для решения всех проблем) и если что-то все-таки не получится, то открывать новую тему на форуме с конкретной проблемой.
можно и на емейл написать, но оперативность ответа не обещаю.
>я в аналогичных целях использую OpenVPN http://openvpn.sourceforge.net/
>про плюсы и минусы я уже писал http://www.opennet.me/openforum/vsluhforumID1/39681.html
Почитал... прочувствовал, в принципе установка действитильно несложная,
но возник вопрос несколько организационного характера:
Сеть 50 компов и с той стороны еше 10 - уже много да еще учитывая что там 33.6кбпс. Конечно хотелось сначала сделать бриджом т.к. тогда все в одном сегменте, но на сколько я понял из того что там написано, бридж делать геморройнее чем роутер (хотя я так и не понял чем отличается настройки OpenVPN со стороны клиента в бридже от настроек в роутере). Единственный минус бриджа (а иногда и плюс) это broadcast.Но т.к. с той стороны канал узкий то есть подозрения что он забьется широковещательными сообщениями. Ну поставил WINS и с широковещательными вроде разобрался.
Теперь сам вопрос: насколько теперь (с WINS) будет прозрачен роутер если учесть что в сети только windows машины.
P.S. Netbios естественно через TCP/IP
>Необходимо связать две локальные сети (в разных городах) в одну.
>Имеется: в Самаре SHDSL Win2000 Server IP статитеческий
> в Отрадном 33.6k
>Linux Slackware 9 IP статитеческий
>Что посоветуете почитать?Почитать про FreeS/WAN (сначала на www.securitylab.ru, потом на www.freeswan.org оригинальную доку).
Потом взять на www.freeswan.ca super-freeswan-1.99.8 и поставить на Слаку.
В доке и описано как винду подключать.>P.S. Linux знаю на уровне "собрать ядро, поставить роутер (iptables, ipchains), samba,
>http". Винду получше.
Лучше поставить 2.6.x ядро, чтоб заюзать KAME, ipsec-tools и прочесть http://lartc.org/howto/
Разобраться и настроить хоть как-нить - 30 минут.
>Лучше поставить 2.6.x ядро, чтоб заюзать KAME, ipsec-tools и прочесть http://lartc.org/howto/
>Разобраться и настроить хоть как-нить - 30 минут.
да новое ядро только скачать - уже дольше 30 минут может оказаться :)
и поставить его - тоже не тривиальная задача для многих... не зря столько вопросов про это...и вообще, кардинально менять ядро ради VPN - это (ИМХО) из пушки по воробьям стрелять :)