Евгений Ломакин прислал статью с описанием объединения удаленных локальных сетей используя шифрованный туннель, созданный при помощи пакета OpenVPN (http://openvpn.net/). Настройки приводятся как для Linux, так и для FreeBSD.URL: http://www.opennet.me/base/net/openvpn_setup.txt.html
Новость: http://www.opennet.me/opennews/art.shtml?num=4945
Нафиг такие решения. Сегодня этот OpenVPN есть а завтра уже нет. Необходимо опираться на стандарты (вернее на реализации стандартов) а не на наколенные приложения с неясным будущим.
Это как вы заметили "наколенное приложение" работает на порядок лучше многих "реализаций стандартов", и настраивается намного проще... да и существовать будет дольше...
А вот как many-to-one не работает. Надо 10 туннелей - заводи 10 процессов на 10 портов. Если я не прав - ткните носом в конфиг
---cut---
А вот как many-to-one не работает. Надо 10 туннелей - заводи 10 процессов на 10 портов. Если я не прав - ткните носом в конфиг
---cut---вы неправы. в 2.x реализована достаточно забавная идея облака и множества динамических клиентов. заточено под mobile. хорошо реализует и many-to-one и many-to-many. причем динамически. иногда очень полезно.
в конфиг не ткну, могу только посоветовать почитать документацию на ветку 2.x на http://openvpn.net/
---cut---
With OpenVPN, you can:
* tunnel any IP subnetwork or virtual ethernet adapter over a single UDP or TCP port,
* configure a scalable, load-balanced VPN server farm using one or more machines which can handle thousands of dynamic connections from incoming VPN clients (OpenVPN 2.0 examples),
...
---cut---many-to-many tested (tm). таки работает :)
ps: или я неверно понял ваше many-to-one?
// wbr
Is OpenVPN standards-compliant?As a user-space VPN daemon, OpenVPN is compatible with with SSL/TLS, RSA Certificates and X509 PKI, NAT, DHCP, and TUN/TAP virtual devices.
Чем Вам не реализация стандартов?
>Нафиг такие решения. Сегодня этот OpenVPN есть а завтра уже нет. Необходимо
>опираться на стандарты (вернее на реализации стандартов) а не на наколенные
>приложения с неясным будущим.Видите ли, если бы эти стандарты ещё давали работать как следует... Например, PPTP. Стандарт, отлично. Только вот в чём проблема: если пакеты фрагментируются на входе в туннель (что типично для случая низкого MTU), а по дороге к другой стороне есть раутеры с хитрой политикой переупорядочения или load-balancing'ом, то вторые половинки фрагментов придут раньше первых. А в PPTP жёстко сказано, что при приходе пакетов
не по порядку имеющие seq (в GRE заголовке) меньше предыдущих - дропаются нафиг.
Сделано это для того чтобы управляющие пакеты PPP не путались. OK, не путаются. А пакеты данных при чём тут??
Дробить пакеты на выходе тоже сложно - заметная часть клиентов такого не понимает.
Результат - у нас есть категория клиентов у которых PPTP не работает в принципе, потому что повлиять на провайдеров по дороге нельзя.Вообще есть три типа туннелирования, каждый со своими граблями:
- в транспорт негарантированной доставки без управления потоком с дроблением на входе. Примеры - PPTP, L2TP, UDP в OpenVPN, tunnel IPSEC. В подавляющем большинстве реализаций имеют слабоизлечимые проблемы с MTU.
- в транспорт негарантированной доставки без управления потоком с дроблением на выходе. Обычно страдают проблемой с load-balancing (см. выше).
- в транспорт типа TCP. Никаких проблем с MTU, но про изохронные потоки (multimedia всех видов, VoIP, heartbeat'ы...) можно забыть как класс.OpenVPN по сравнению со всей этой мутной кашей смотрится _очень_ хорошо.
на стороне сервера
server <net> <netmask>
на стороне клиента
clientи будут 10 туннелей на 1 процесс на 1 порту
хм... а ipsec уже не в моде ?
ipsec отдельно, а OpenVPN это ssl решение. Плюс ко всему поддерживается для многих платформ. И если для ipsec соединения BSD==>Windows, нужны танцы с бубнами, то для OpenVPN настройки и файлы одинаковы для обеих платформ.
P.S. сам юзаю пока ipsec, как выйдет OpenVPN 2, скорее всего перелезу на него.
Это как обсуждая статью о почтовой системе на postfix, спросить - "A что сендмейл уже не в моде?"
Каждому своё.
OpenVPN очень удобное и простое решение. Больше всего понравилось, что при соединении 2 сетей прописать роутинг можно средствами OpenVPN. Использую с версии 2.0Beta11. Вчера поставил rc6.
За 3 месяца работы ни одного сбоя. Вообщем, для небольших сетей, рекомендую
Харошая штука. Может мобильных виндовых клиентов к серверам присобачивать. И через файрволы и НАТ отлично работает.... И трафик жмёт и шЫфровалово, в общем шоколадная вещь, для моей небольшой сети.
оффтоп..
Теперь ясно, почему Вы не любите PAM и Ldap -- у Вас же сеть небольшая :))
Про LDAP я ваще ничего не говорил. А без ПАМ и в большой сети шоколадно.
у меня на команду:openvpn reg -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650
говорит что нет такой команды reg
Есть подозрение, что тут написано с ошибкой, и надо писать openssl...
Здесь ошибка была
openssl reg -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650
> openssl reg -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650получил вот такое:
openssl:Error: 'reg' is an invalid command.
root#boar[p0]/home/nemo>uname -a
FreeBSD boar.xxx.com 4.7-STABLE FreeBSD 4.7-STABLE #0: Fri Oct 25 16:41:59 EEST 2002 root@boar.xxx.com:/usr/src/sys/compile/BOAR i386
root#boar[p0]/home/nemo>root#boar[p0]/home/nemo>pkg_info | grep open
openldap-client-2.2.26 Open source LDAP client implementation
openssl-0.9.7g SSL and crypto library
openvpn-2.0_3 Secure IP/Ethernet tunnel daemon
root#boar[p0]/home/nemo>
Объединение двух сетей с файрволами на iptables через OpenVPN сделал за 1 рабочий день. Из него ушло время на выбор реализации VPN, сравнение реализаций по описанию на этом сайте, компиляцию, собственно настройку клиент-сервера и подстройку файрволов.
Да, чуть не забыл. OpenSSL тоже пришлось компилировать, т.к. у меня пакет был старый, и я OpenSSL до этого не использовал. И поддержку драйвера tun/tap также пришлось компилировать, т.к. моё ядро было скомпилировано без него.
Вывод: прекрасный выбор для лентяя при объединении двух сетей. При большем количестве подсетей - не знаю, не пробовал.
Абсолютно согласен ;)
Послепервого опыта подключал еще одну сеть - заняло 20 минут ;)
А MPD не катит? Все очень даже "шоколадно" как говорит ZOD. Процесс 1 клиентов несколько (сейчас около 10-15 единовременно) у всех примерно одинаковые настройки за исключением некоторых нюансов по желанию клиента. Все данные и аккаунтинг на radius завернуто. Работет через netgraph (появляются интефейсы ng0, ng1, ...). Клиенты виндовые, линуксовые, бсдэшные.
MPD штука хорошая, только вот netgraph никуда не портирован!..А так, мне MPD очень нравилась...
Простите, что хорошего в том, что процесс один? я вот считаю это большим минусом, сравнивая с linux-овым poptop+pppd... Упавший (или специально опущенный) poptop совершенно не мешает уже подключенным людям работать. И нагрузка на проц, несмотря на суперперспективность нетграфа и прочие его псевдопрелести больше у mpd, чем у pppd+poptop... :-\А соединять две сетки через pptp - как-то неправильно, учитывая, что pptp - какашка...
Стабильно, и просто.
Проект жить будет.
Не много оффтоп.
Нужно на предпритятии организовать VPN, чтоб пользователи из филиалов могли заходить читать и забирать почту с нашего почтового сервера, расположенного в локальной сети. она же соединяеться с инетом таким образом:[inet, роутер, NAT и переброс пакетов на внутренний ip и порт]
|
[DMZ сервера, почтовый шлюз на postfix]
|
[локальная сеть и в ней же стоит сам exchange]Значит надо организовать VPN сервак, тока где он должен работать в DMZ, или в самой локалке...
PPTP работать здесь наверно не будет, т.к. NAT. А OpenVPN будет работать?
>Значит надо организовать VPN сервак, тока где он должен работать в DMZ,
>или в самой локалке...
>PPTP работать здесь наверно не будет, т.к. NAT. А OpenVPN будет работать?OpenVPN-сервер в данном случае лучше ставить на пограничный роутер.
Можно поставить и DMZ, но тогда на всех хостах, которые должны взаимодействовать с филиальными хостами, придется прописывать отдельный маршрут(ы) для филиалов.Могу добавить, что OpenVPN -очень хороший выбор!
По моему опыту OpenVPN совершенно нормально работает в массе сетевых конфигураций:
1) Филиал имеет свою выделенку с фикисированным реальным ip-адресом;
2) Филиал имеет свою выделенку с "серым" ip-адресом и сидит за НАТ-ом;
3) Филиал имеет свою выделенку с динамическим ip-адресом (в том числе dial-up и GPRS);
4) Филиал использует dial-up соединение с центральным офисом, минуя интернет вообще.
Причем, при наличии соответсвующих разрешений в файерволле, может невидимо для приложений переходить с одного маршрута на другой.
В частности, оракловая репликация между филиалами, идущая поверх OpenVPN, не замечает перехода филиала на резервный модем в случае пропадания интернета и также не замечает повторные дозвоны модема.