Здравствуйте!
Как известно, VPN в топологии звезды имеет один существенный недостаток - весь траффик внутри впн проходит через сервер, в связи с чем увеличивается время задержки пакетов, проходящих от одного клиента к другому. Так же на сервере VPN необходим достаточно широкий канал, если подключено множество клиентов.
В связи с этим возникает резонный вопрос: как можно было бы реализовать Dynamic Multipoint VPN во фрях? Реализация множества туннелей вручную по типу полносвязной сети (всех со всеми) не подходит, т.к. если количество клиентов хотя бы порядка 10, тогда придется настраивать N*(N-1) туннелей (90!), что отнимет массу времени и за всем этим уследить будет практически невозможно. Интересует решение именно на Freebsd.
Кто что думает по этому поводу? =)

• DMVPN на FreeBSD,BarS, 14:58 , 24-Дек-10
  • DMVPN на FreeBSD,BarS, 15:04 , 24-Дек-10
    • DMVPN на FreeBSD,ailman, 17:46 , 24-Дек-10
      • DMVPN на FreeBSD,BarS, 11:40 , 27-Дек-10
        • DMVPN на FreeBSD,ailman, 12:21 , 27-Дек-10
• DMVPN на FreeBSD,ailman, 13:10 , 28-Дек-10

>[оверквотинг удален]
> траффик внутри впн проходит через сервер, в связи с чем увеличивается
> время задержки пакетов, проходящих от одного клиента к другому. Так же
> на сервере VPN необходим достаточно широкий канал, если подключено множество клиентов.
> В связи с этим возникает резонный вопрос: как можно было бы реализовать
> Dynamic Multipoint VPN во фрях? Реализация множества туннелей вручную по типу
> полносвязной сети (всех со всеми) не подходит, т.к. если количество клиентов
> хотя бы порядка 10, тогда придется настраивать N*(N-1) туннелей (90!), что
> отнимет массу времени и за всем этим уследить будет практически невозможно.
> Интересует решение именно на Freebsd.
> Кто что думает по этому поводу? =)

Вопрос интересный, OpenVPN при работе с сертификатами пофигу что у тебя за сертификат если он не обозначен как конфигурации как только серверный, можно попробовать пойти по этому пути,  типа динамических соединений между клиентами, а вот как узнать реальный IP (хотя на сервере можно). Трудно, но выполнимо. Пилить прийдется много, но сделать реально.

Хотя очень трудно это сделать, если запустить на каждом клиенте сервер и клиент на сервер, как-то выяснять реальный IP нужного клиента и цеплятся к нему клиентом. Нет - слишком заморочено. Короче зря написал.

> Хотя очень трудно это сделать, если запустить на каждом клиенте сервер и
> клиент на сервер, как-то выяснять реальный IP нужного клиента и цеплятся
> к нему клиентом. Нет - слишком заморочено. Короче зря написал.

Тоже думал реализовать с помощью опенвпн-а и с помощью скриптов.
В принципе, можно было бы с клиентов первоначально телнетиться на последовательность каких-нить определенных портов(нестандартных) сервака, на серваке написать скрипт, который парсит логи запущенного tcpdump-а и проверяет. Если последовательность верная, то данные IP являются нашими, инициируем между клиентами vpn-соединение... как-то так... но тоже геморр и не факт, что будет работать ))
думал как-то над приблизительным алгоритмом действий со стороны сервера и клиентов для реализации DMVPN с маршрутизацией до сетей за клиентами (поделюсь позже), может соберемся всем миром и зафигачим свой впн? ))
Еще идеи?

>[оверквотинг удален]
> Тоже думал реализовать с помощью опенвпн-а и с помощью скриптов.
> В принципе, можно было бы с клиентов первоначально телнетиться на последовательность каких-нить
> определенных портов(нестандартных) сервака, на серваке написать скрипт, который парсит
> логи запущенного tcpdump-а и проверяет. Если последовательность верная, то данные IP
> являются нашими, инициируем между клиентами vpn-соединение... как-то так... но тоже геморр
> и не факт, что будет работать ))
> думал как-то над приблизительным алгоритмом действий со стороны сервера и клиентов для
> реализации DMVPN с маршрутизацией до сетей за клиентами (поделюсь позже), может
> соберемся всем миром и зафигачим свой впн? ))
> Еще идеи?

Есть идея парсить логи и конфиги openvpn на сервере и собирать на основе их конфиги, потом клиент по ssh (или что попроще, все равно через тунель трафик идет) забирает конфиг и рестартует openvpn. Варианты в этом направлении есть, вроде уже более менее организовать можно, только вот для чего понять не могу все эти заморочки, можно ведь нарваться полный атас. Уж лучше циску использовать.

> Есть идея парсить логи и конфиги openvpn на сервере и собирать на
> основе их конфиги, потом клиент по ssh (или что попроще, все
> равно через тунель трафик идет) забирает конфиг и рестартует openvpn. Варианты
> в этом направлении есть, вроде уже более менее организовать можно, только
> вот для чего понять не могу все эти заморочки, можно ведь
> нарваться полный атас. Уж лучше циску использовать.

Собирать конфиги на базе парсинга логов openvpn хорошая идея, тоже сегодня думал над этим. Изначально ведь в любом случае надо организовать "звезду", так что это действительно будет проще...
Были бы циски, я бы не поднимал этот вопрос. А в бюджет их закладывать и не планируется.
Лень и жадность - двигатель прогресса ;)

Наткнулся на софтинку под названием Tinc - http://www.tinc-vpn.org/
Слышал, что она умеет создавать "сетчатые виртуальные сети". Реально ли её использовать для объединения нескольких офисов каждый с каждым и насколько это удобно (в случае дальнейшего расширения при открытии новых филиалов)?