URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 87017
[ Назад ]

Исходное сообщение
"Доступ к интернету через туннель"
Отправлено strike1984 , 26-Окт-09 09:25

Привет всем. Есть вопрос по организации сети:
Как лучше всего выпускать в инет филиалы, если провайдер выделит белый ip только в офисе, а в филиалах серые ip.
Интернет<-->Офис-белый ip(ipsec,gre-tunnel)<-->(ipsec,gre-tunnel) Филиал.
Сквид, например, хоть и пускает в интернет, не пускает в почту, и другие порты наружу недоступны будут.
Выпускать филиал из под второго NAT вроде не лучшая мысль.
Есть более лучшие технологии, желательно прозрачные для пользователей(настройка только на сервере)?
Почитал про socks, но надеюсь найти лучшие варианты.

Содержание

Доступ к интернету через туннель,DiMUS, 09:48 , 26-Окт-09
- Доступ к интернету через туннель,DiMUS, 09:56 , 26-Окт-09
- Доступ к интернету через туннель,strike1984, 09:56 , 26-Окт-09
  - Доступ к интернету через туннель,Сергей, 09:20 , 27-Окт-09
- Доступ к интернету через туннель,DiMUS, 10:02 , 26-Окт-09
  - Доступ к интернету через туннель,strike1984, 07:31 , 27-Окт-09

Сообщения в этом обсуждении

"Доступ к интернету через туннель"
Отправлено DiMUS , 26-Окт-09 09:48

>Привет всем. Есть вопрос по организации сети:
>Как лучше всего выпускать в инет филиалы, если провайдер выделит белый ip
>только в офисе, а в филиалах серые ip.
>Интернет<-->Офис-белый ip(ipsec,gre-tunnel)<-->(ipsec,gre-tunnel) Филиал.
>Сквид, например, хоть и пускает в интернет, не пускает в почту, и
>другие порты наружу недоступны будут.
>Выпускать филиал из под второго NAT вроде не лучшая мысль.
>Есть более лучшие технологии, желательно прозрачные для пользователей(настройка только на сервере)?
>Почитал про socks, но надеюсь найти лучшие варианты.
На мой взгляд такая схема была-бы лучше:
FreeBSD+vtund+в офисах белые ip(жизнь проще будет)
vtun в настройке проще на мой взгляд чем ipsec, если цисок нет.
Кто кстати мешает туннель через нат прокинуть?

"Доступ к интернету через туннель"
Отправлено DiMUS , 26-Окт-09 09:56

>>Привет всем. Есть вопрос по организации сети:
>>Как лучше всего выпускать в инет филиалы, если провайдер выделит белый ip
>>только в офисе, а в филиалах серые ip.
>>Интернет<-->Офис-белый ip(ipsec,gre-tunnel)<-->(ipsec,gre-tunnel) Филиал.
>>Сквид, например, хоть и пускает в интернет, не пускает в почту, и
>>другие порты наружу недоступны будут.
>>Выпускать филиал из под второго NAT вроде не лучшая мысль.
>>Есть более лучшие технологии, желательно прозрачные для пользователей(настройка только на сервере)?
Вобщем мне представляется схема такая:
рутер на FreeBSD(на мой взгляд эта система в настройке проще), филиалы цепляешь по vpn, ну юзеров уже как
хочешь, если подсчет траффика не нужен, то транспарент прокси
и dhcp

"Доступ к интернету через туннель"
Отправлено strike1984 , 26-Окт-09 09:56

>
>На мой взгляд такая схема была-бы лучше:
>FreeBSD+vtund+в офисах белые ip(жизнь проще будет)
>vtun в настройке проще на мой взгляд чем ipsec, если цисок нет.
>
С freebsd знаком минимум - не вариант.
Чтобы получить белый ip-адрес для филиала нужны большие финансовые затраты, точнее провайдер предлагает ip-адрес только для тарифов с абонентской платой от 5 т.р.
>Кто кстати мешает туннель через нат прокинуть?
Тоже еще таким не занимался, т.к. всегда были белые ip на филиалах. Сейчас погуглю
ОС debian, туннель openswan. Еще нашел openswan nat traversal, но не смог нагуглить что это такое и как это работает.

"Доступ к интернету через туннель"
Отправлено Сергей , 27-Окт-09 09:20

Я хотел бы вам заметить, что сквид никогда не занимался проксированием почты, вам очевидно надо посмотреть на правила маршрутизации в филиалах и офисе, ну и естествнно на правила файрволов

"Доступ к интернету через туннель"
Отправлено DiMUS , 26-Окт-09 10:02

Извиняюсь, тут и без ната обойтись можно :)

"Доступ к интернету через туннель"
Отправлено strike1984 , 27-Окт-09 07:31

>Извиняюсь, тут и без ната обойтись можно :)
Ты прав, отключил свой тормоз и заработало.