Привет всем. Есть вопрос по организации сети:
Как лучше всего выпускать в инет филиалы, если провайдер выделит белый ip только в офисе, а в филиалах серые ip.
Интернет<-->Офис-белый ip(ipsec,gre-tunnel)<-->(ipsec,gre-tunnel) Филиал.
Сквид, например, хоть и пускает в интернет, не пускает в почту, и другие порты наружу недоступны будут.
Выпускать филиал из под второго NAT вроде не лучшая мысль.
Есть более лучшие технологии, желательно прозрачные для пользователей(настройка только на сервере)?
Почитал про socks, но надеюсь найти лучшие варианты.
>Привет всем. Есть вопрос по организации сети:
>Как лучше всего выпускать в инет филиалы, если провайдер выделит белый ip
>только в офисе, а в филиалах серые ip.
>Интернет<-->Офис-белый ip(ipsec,gre-tunnel)<-->(ipsec,gre-tunnel) Филиал.
>Сквид, например, хоть и пускает в интернет, не пускает в почту, и
>другие порты наружу недоступны будут.
>Выпускать филиал из под второго NAT вроде не лучшая мысль.
>Есть более лучшие технологии, желательно прозрачные для пользователей(настройка только на сервере)?
>Почитал про socks, но надеюсь найти лучшие варианты.На мой взгляд такая схема была-бы лучше:
FreeBSD+vtund+в офисах белые ip(жизнь проще будет)
vtun в настройке проще на мой взгляд чем ipsec, если цисок нет.
Кто кстати мешает туннель через нат прокинуть?
>>Привет всем. Есть вопрос по организации сети:
>>Как лучше всего выпускать в инет филиалы, если провайдер выделит белый ip
>>только в офисе, а в филиалах серые ip.
>>Интернет<-->Офис-белый ip(ipsec,gre-tunnel)<-->(ipsec,gre-tunnel) Филиал.
>>Сквид, например, хоть и пускает в интернет, не пускает в почту, и
>>другие порты наружу недоступны будут.
>>Выпускать филиал из под второго NAT вроде не лучшая мысль.
>>Есть более лучшие технологии, желательно прозрачные для пользователей(настройка только на сервере)?Вобщем мне представляется схема такая:
рутер на FreeBSD(на мой взгляд эта система в настройке проще), филиалы цепляешь по vpn, ну юзеров уже как
хочешь, если подсчет траффика не нужен, то транспарент прокси
и dhcp
>
>На мой взгляд такая схема была-бы лучше:
>FreeBSD+vtund+в офисах белые ip(жизнь проще будет)
>vtun в настройке проще на мой взгляд чем ipsec, если цисок нет.
>С freebsd знаком минимум - не вариант.
Чтобы получить белый ip-адрес для филиала нужны большие финансовые затраты, точнее провайдер предлагает ip-адрес только для тарифов с абонентской платой от 5 т.р.>Кто кстати мешает туннель через нат прокинуть?
Тоже еще таким не занимался, т.к. всегда были белые ip на филиалах. Сейчас погуглю
ОС debian, туннель openswan. Еще нашел openswan nat traversal, но не смог нагуглить что это такое и как это работает.
Я хотел бы вам заметить, что сквид никогда не занимался проксированием почты, вам очевидно надо посмотреть на правила маршрутизации в филиалах и офисе, ну и естествнно на правила файрволов
Извиняюсь, тут и без ната обойтись можно :)
>Извиняюсь, тут и без ната обойтись можно :)Ты прав, отключил свой тормоз и заработало.