Ситуация такая есть три оффиса географически разделённых между сабой.
1 офисс FreeBSD 6.1 настроен нат и squid
2 тоже самое
3 Сидят за железякой за каким то D-link'ом
Надо обьеденить 1 и 2 офиссы
Как это сделать лучше?
Киньте ссылочки по настройке туннелей желательно шифрованных :)
>Ситуация такая есть три оффиса географически разделённых между сабой.
>1 офисс FreeBSD 6.1 настроен нат и squid
>2 тоже самое
>3 Сидят за железякой за каким то D-link'ом
>Надо обьеденить 1 и 2 офиссы
>Как это сделать лучше?
>Киньте ссылочки по настройке туннелей желательно шифрованных :)Не очень понял, что значит "объединить", но про тунели чтиаем
man ssh, делая особый упор на -L
>Ситуация такая есть три оффиса географически разделённых между сабой.
>1 офисс FreeBSD 6.1 настроен нат и squid
>2 тоже самое
>3 Сидят за железякой за каким то D-link'ом
>Надо обьеденить 1 и 2 офиссы
>Как это сделать лучше?
>Киньте ссылочки по настройке туннелей желательно шифрованных :)для связи между офисами использую vtund и openvpn.
буду вопросы - задавай.
>для связи между офисами использую vtund и openvpn.
>буду вопросы - задавай.Установил vtun на 2 машинах для пробы
настраивал как здесь http://www.opennet.me/docs/RUS/vpn_vtun/
туннель создаётся внутренний адрес пигуется на серваке но в сеть непускает
как прописать правила в ipfw что бы он пускал
>>для связи между офисами использую vtund и openvpn.
>>буду вопросы - задавай.
>
>Установил vtun на 2 машинах для пробы
>настраивал как здесь http://www.opennet.me/docs/RUS/vpn_vtun/
>туннель создаётся внутренний адрес пигуется на серваке но в сеть непускает
>как прописать правила в ipfw что бы он пускалпри поднятом тунели за надо моршрутезировать не файрволом а роутом :)
>>>для связи между офисами использую vtund и openvpn.
>>>буду вопросы - задавай.
>>
>>Установил vtun на 2 машинах для пробы
>>настраивал как здесь http://www.opennet.me/docs/RUS/vpn_vtun/
>>туннель создаётся внутренний адрес пигуется на серваке но в сеть непускает
>>как прописать правила в ipfw что бы он пускал
>
>при поднятом тунели за надо моршрутезировать не файрволом а роутом :)Очень интересное замечание, но, позвольте отметить, что роутинг поднимается самим vtund, и в конфиге, специально для этого есть опции. Так что если правильно настроен конфиг - то машруты прописаны правильно, и если нет , всё-таки, связи между сетями, то нужно ковырять файервол.
p.s. Да поможет вам traceroute и tcpdump :)
>>для связи между офисами использую vtund и openvpn.
>>буду вопросы - задавай.
>
>Установил vtun на 2 машинах для пробы
>настраивал как здесь http://www.opennet.me/docs/RUS/vpn_vtun/
>туннель создаётся внутренний адрес пигуется на серваке но в сеть непускает
>как прописать правила в ipfw что бы он пускалСам когда-то на такие грабли наткнулся.
Сделай трассировку маршрута и посмотри на каком IP у тебя идёт потеря пакетов. Вот для
этого IP и открой всё в файрволе. Правил для ipwf не приведу, так как у меня Linux и я использую IP tables, но вообщем у меня схема такова что между всеми IP, участвующими в создании туннеля, я открыл связь (изначально) а потом всё что не нужно уже рубанул.
p.s. Главное не забыть открыть траффик между твоими реальными IP и адресами виртуальных интерфейсов, которые использует vtund (в конфиге ты указывал их).кусок конфига сервера:
up {
ifconfig "%% 10.200.0.1 dstaddr 10.200.0.5 mtu 1350 up";
#route "add -net 10.26.5.0 netmask 255.255.255.0 gw 10.200.0.5 ";
route "add -net 192.168.2.0 netmask 255.255.255.0 gw 10.200.0.5 ";
};
конфиг клиента:
ifconfig "%% 10.200.0.5 dstaddr 10.200.0.1 mtu 1350 up ";
route "add -net 192.168.0.0 netmask 255.255.255.0 gw 10.200.0.1";
};т.е. между 192.168.0.0/24 и 10.200.0.5, между 10.200.0.5 и 10.200.0.1, между 10.200.0.1 и 192.168.2.0/24, между 192.168.0.0/24 и 192.168.2.0/24
ещё проверь свои маршруты, может где неправильно в конфиге чего написал.
И напоследок: долго мучился пока не понял в чём была проблема, учитывая то что вышесказанное я всё проверил. Немаловажно правильно выбрать адреса для интерфейсов vtund. я сначала выбрал 10.10.0.1, так вот, оказывается мой провайдер использовал такой же диапазон для своих внутренних нужд и получался полный бред с маршрутизацией пакетов. Когда изменил на 10.200.0.1 - всё заработало.
Не знаю, понятно ли изложил свои мысли по этому поводу, если чгео непонятно, могу привести рабочие конфиги и правила файрвола.
Спасибо за помощь всё заработало.
>туннель создаётся внутренний адрес пигуется на серваке но в сеть непускает
>как прописать правила в ipfw что бы он пускалкстати, сразу не вкурил... у вас пингуется "внутренний адрес на серваке" пингуется из сети другого офиса, или из сети за которой стоит этот сервак? Т.е. не забыли ли вы включить пересылку пакетов (iptbles -I FORWARD ...)?
насчёт FreeBSD - я смогу написать правила, если прочитаю доки по ipfw, но я не хочу это делать :)
>Ситуация такая есть три оффиса географически разделённых между сабой.
>1 офисс FreeBSD 6.1 настроен нат и squid
>2 тоже самое
>3 Сидят за железякой за каким то D-link'ом
>Надо обьеденить 1 и 2 офиссы
>Как это сделать лучше?
>Киньте ссылочки по настройке туннелей желательно шифрованных :)http://www.freebsd.org/handbook/ipsec.html
там предельно простое описание как поднять gif тунели и использовать IPSec для шифрования трафика
и вообще прочитай http://www.freebsd.org/handbook целиком, весьма поучитильное чтиво.
У меня стоит
1 офис FreeBSD + racoon
2 офис Длинк Di-804HV
работает, но кривовато.
и если паралельно на Di-804HV поднимаю pptp сервер, то
IPsec тунель падает при подключении клиента к pptp.Кто сталкивался?
Прошивка на Di-804HV --> 1.45
>У меня стоит
>1 офис FreeBSD + racoon
>2 офис Длинк Di-804HV
>работает, но кривовато.
>и если паралельно на Di-804HV поднимаю pptp сервер, то
>IPsec тунель падает при подключении клиента к pptp.
>
>Кто сталкивался?
>Прошивка на Di-804HV --> 1.45"Падает туннель"? - это как?
Может просто меняется маршрутизация?
Здравствуйте,
Может меняется маршрутизация, проверю!
Спасибо.
>Здравствуйте,у меня есть четыре сервера БСД 6.2 один из них работает как сервер для втун туннелей другие 3 как клиенты. Но проблема в том что все 3 машины-клиент падают периодически через ночь и приходиться запустить их через ссх(в смысле втунклиент падает). Может есть какой нить другой софт лучше чем втун? Подскажите я начинающий
>>Здравствуйте,
>
>у меня есть четыре сервера БСД 6.2 один из них работает как
>сервер для втун туннелей другие 3 как клиенты. Но проблема в
>том что все 3 машины-клиент падают периодически через ночь и приходиться
>запустить их через ссх(в смысле втунклиент падает). Может есть какой нить
>другой софт лучше чем втун? Подскажите я начинающийМожет и есть. Попробуй OpenVPN. Но я тебе скажу, как факт: на моих серваках vtund годами уже работает. И не падает. Ты логи смотрел? Каковы причины "падения" впн?