URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 41275
[ Назад ]

Исходное сообщение
"Дилема: создавать vpn сервер или настраивать nat."
Отправлено kD , 04-Мрт-04 14:55

Нужно из локальной сети пользователей подключить к инету через vpn сервер провайдера. Подскажите какая реализация лучше:
Вижу два варианта, первый - создать на моем сервере соединение с провайдеровским и всех локальных пользователей через настроенный nat пускать в инет. Второй способ - создать свой vpn сервер и заставить всех локальных пользователей к нему присоединятся и далее сам сервер соединить с сервером провайдера.
Подскажите какие недостатки и какие преимущества у этих вариантов ? И, может быть, существуют еще варианты ?

Содержание

Дилема: создавать vpn сервер или настраивать nat.,eNemo, 15:11 , 04-Мрт-04
- Дилема: создавать vpn сервер или настраивать nat.,Leech, 15:16 , 04-Мрт-04
- Дилема: создавать vpn сервер или настраивать nat.,kD, 16:16 , 04-Мрт-04

Сообщения в этом обсуждении

"Дилема: создавать vpn сервер или настраивать nat."
Отправлено eNemo , 04-Мрт-04 15:11

Тут вопроса, насколько я вижу, два:
1) Достаточно ли реальных ип-адресов, чтобы не использовать nat.
2) Нужна ли секурность внутри сети.
Проблему нехватки ип-адресов решает nat. Проблему секурности решает vpn до конечных машин. И ничего не мешает использовать и то, и другое одновременно.
Дальше по ситуации.

"Дилема: создавать vpn сервер или настраивать nat."
Отправлено Leech , 04-Мрт-04 15:16

>Тут вопроса, насколько я вижу, два:
>1) Достаточно ли реальных ип-адресов, чтобы не использовать nat.
>2) Нужна ли секурность внутри сети.
>
>Проблему нехватки ип-адресов решает nat. Проблему секурности решает vpn до конечных машин.
>И ничего не мешает использовать и то, и другое одновременно.
>
>Дальше по ситуации.
у меня та же ситуация. Секурность внутри сети не нужна.
у Провайдера - Microsoft сервер VPN PPTP (!!) , у меня - маршрутизатор, ест-но под линухом.
Что делать пока не знаю.

"Дилема: создавать vpn сервер или настраивать nat."
Отправлено kD , 04-Мрт-04 16:16

>Тут вопроса, насколько я вижу, два:
>1) Достаточно ли реальных ип-адресов, чтобы не использовать nat.
Здесь понятно, те без ната не обойтись в любом случае - реальный адрес всего один, а клиентов много :)))
>2) Нужна ли секурность внутри сети.
Шифрования нет ни у сервера провайдера, а я уж тем более не буду ничего такого городить внутри сети (нафиг надо).

Хорошо, поставлю вопрос немного подругому:
Два варианта - 1. Создаю сервер, его соединяю с провайдеровским впн сервером, далее для всех пакетов клиентов на уровне интерфейса делаю nat и все работает. 2. Создаю впн сервер, его соединяю с провайдеровским впн сервером, далее заставляю всех локальных пользователей в обязательном порядке соединяться с моим впн сервером и внутри опять делаю нат, который им позволит выбираться с единым айпишником в инет.
Первый вариант я сделал ,но не понравилось мне как все работало - происходили какие-то не понятные задержки при открытии страниц у клиентов (или вообще пропадало соединение, даже пинг не проходил, хотя интерфейс не падал, а через несколько секунд восстанавливалось.Соединение с сервером-сайтом я имею в виду, а соединение с серваком было стабилным), хотя через tcpdump небыло поятно где проблемы, то есть не смог понять dns ли давал задержку или вообще соединение с серваком провайдера было кривое.
Вот и родился сабж ,может второй вариант более грамотен с точки зрения работы впн ?
И еще вопрос: пусть я установил соединение с впн серваком, дальше мне обязательно поддерживать это соединение посылая пинг через некоторый промежуток времени ? или канал будет нормально и без пинга существовать и быть активным ?
Думаю может задержка здесь происходит. То есть я запретил отправлять по каналу icmp пакеты (настройка set link keep-alive 0 0 для mpd сервера ) - правильно ли это или это может давать задержку при открытии интернет ресурса для пользователя ?