форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"VPN"
Сообщение от cybertim on 02-Фев-04, 17:52  (MSK)
Необходимо связать две локальные сети (в разных городах) в одну. Имеется: в Самаре SHDSL Win2000 Server IP статитеческий          в Отрадном 33.6k Linux Slackware 9 IP статитеческий Что посоветуете почитать? P.S. Linux знаю на уровне "собрать ядро, поставить роутер (iptables, ipchains), samba, http". Винду получше.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "VPN"
Сообщение от A Clockwork Orange on 02-Фев-04, 17:55  (MSK)
Супер география, Самара и Отрадное!!!! Уточняем Самара и Москва, я полагаю.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "VPN"
	Сообщение от cybertim on 02-Фев-04, 17:59  (MSK)
	>Супер география, Самара и Отрадное!!!! > >Уточняем Самара и Москва, я полагаю. Нет именно Самара и Отрадный :) Я пишу как есть на самом деле. Нафига мне Москва?:)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "VPN"
	Сообщение от Михаил on 02-Фев-04, 18:59  (MSK)
	>>Супер география, Самара и Отрадное!!!! >> >>Уточняем Самара и Москва, я полагаю. > >Нет именно Самара и Отрадный :) >Я пишу как есть на самом деле. >Нафига мне Москва?:) :) да хоть Австралия :) интернет тем и хорош, что географическая разнесенность качественной роли не играет... я в аналогичных целях использую OpenVPN http://openvpn.sourceforge.net/ про плюсы и минусы я уже писал http://www.opennet.me/openforum/vsluhforumID1/39681.html
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "VPN"
	Сообщение от klez on 03-Фев-04, 01:13  (MSK)
	Если хочешь просто то бери красну шапку 9 и скачивай freeswan 2.01 установливаеться без проблем, если интересует что спрошива
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "VPN"
	Сообщение от klez on 03-Фев-04, 01:13  (MSK)
	Если хочешь просто то бери красну шапку 9 и скачивай freeswan 2.01 установливаеться без проблем, если интересует что спрошивай. Но на обеих концах должны быть линуксы.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "VPN"
	Сообщение от klez on 03-Фев-04, 01:21  (MSK)
	Если не трудно то опиши как работает OPENvpn где и как преобразовываються ip адреса???
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "VPN"
	Сообщение от Michael on 03-Фев-04, 08:46  (MSK)
	>Если не трудно то опиши как работает OPENvpn где и как преобразовываються > >ip адреса??? во-первых на сайте документация очень хорошая... а во вторых, основная идея работы OpenVPN (как и многих других туннелирующих VPN) заключается в том, что на двух компьютерах, имеющих доступ в интернет, появляется по дополнительному виртуальному интерфейсу, находящиеся в одной ip-подсети и создается туннель между ними. остается только настроить маршрутизацию, чтобы пакеты для другой сети шли не на шлюз по умолчанию, а на свой интерфейс VPN. т.е. в результате всем выглядит все так, как будто эти интерфейсы просто соединены кабелем...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "VPN"
	Сообщение от Крис on 03-Фев-04, 11:36  (MSK)
	РЕБЯТ! Ну чего придумывать! Возьми скажем какой-нить D-Link DI и настрой как роутер с VPN'ом, в чем проблема то. Там куча возможностей, и два офиса будут работать нормально и проблем минимум, не надо загружать сервак и возиться с разной фигнёй
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "VPN"
	Сообщение от Michael on 03-Фев-04, 12:25  (MSK)
	>РЕБЯТ! Ну чего придумывать! Возьми скажем какой-нить D-Link DI и настрой как >роутер с VPN'ом, в чем проблема то. Там куча возможностей, и >два офиса будут работать нормально и проблем минимум, не надо загружать >сервак и возиться с разной фигнёй :) 1) D-Link (как и любое железо) денег стоит 2) такую железяку далеко не в любом городе купить можно 3) а ты сам пробовал эти D-Link-и? мы их пробовали неоднократно, и, в итоге, на направлениях критичных для нашего бизнеса не осталось ни одного (!) D-Link-а... все было заменено на оборудование других производителей... 4) OpenVPN сервак не загружает вообще, памяти ест очень мало (порядка 1Мб) мне максимум удалось загрузить проц PII-400 на 20-25% при передаче по локалке! на интернетных скоростях загрузки не заметно вообще. 5) а понадобится подключить еще один филиал - опять бегать, железяку искать, с прошивками и настройками морочиться?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "VPN"
	Сообщение от Gennadi on 03-Фев-04, 12:49  (MSK)
	Здесь есть пример: http://gennadi.dyn.ee/modules.php?name=Forums&file=viewtopic&t=2
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "VPN"
	Сообщение от Michael on 03-Фев-04, 14:12  (MSK)
	>Здесь есть пример: > >http://gennadi.dyn.ee/modules.php?name=Forums&file=viewtopic&t=2 только я там ничего не нашел про настройку виндов... читал я эту статью, когда с ipsec боролся... увы, под виндой он и не заработал... да и вообще слишком сложно это по сравнению с 10 строчками конфига OpenVPN...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "VPN"
	Сообщение от klez on 03-Фев-04, 16:54  (MSK)
	Вы как я понял настраивали VPN так подскажите пожалуйста как выглядит firewall (правила iptables) для машины на которой весит vpn, особенно интересует  цепочка forward.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "VPN"
	Сообщение от Michael on 03-Фев-04, 19:00  (MSK)
	>Вы как я понял настраивали VPN так подскажите пожалуйста >как выглядит firewall (правила iptables) для машины на которой весит vpn, >особенно интересует  цепочка forward. у меня не очень сильные правила, так как vpn используется только для технических нужд. вот пример для сотрудника, который пользуется диалапным интернетом через своего провайдера: разрешают внутренний трафик только от и для него: iptables -I INPUT 1 -i tap1 -s 192.168.104.5 -j ACCEPT iptables -I OUTPUT 1 -o tap1 -d 192.168.104.5 -j ACCEPT дальний конец туннеля имеет адрес 192.168.104.5 если на удаленной стороне не один комп, а целая подсетка, до добавляются такие правила: iptables -I INPUT 1 -i tap0 -s 192.168.0.0/24 -j ACCEPT iptables -I OUTPUT 1 -o tap0 -d 192.168.0.0/24 -j ACCEPT где 192.168.0.0/24 - подсеть в филиале разрешают подключение из интернета к OpenVPN: iptables -I INPUT  1 -p udp -i eth1 -s 111.222.333.0/24 --sport 1234 --dport 1234 -j ACCEPT iptables -I INPUT  1 -p udp -i eth1 -s 111.222.444.0/24 --sport 1234 --dport 1234 -j ACCEPT iptables -I INPUT  1 -p udp -i eth1 -s 111.222.555.0/24 --sport 1234 --dport 1234 -j ACCEPT iptables -I OUTPUT 1 -p udp -o eth1 -d 111.222.333.0/24 --sport 1234 --dport 1234 -j ACCEPT iptables -I OUTPUT 1 -p udp -o eth1 -d 111.222.444.0/24 --sport 1234 --dport 1234 -j ACCEPT iptables -I OUTPUT 1 -p udp -o eth1 -d 111.222.555.0/24 --sport 1234 --dport 1234 -j ACCEPT адреса провайдер выдает динамически из трех пулов 111.222.333.0/24, 111.222.444.0/24 и 111.222.555.0/24 (адреса вымышленные и несуществующие) кроме того есть правило: iptables -I FORWARD 1 -o ! eth1 -i ! eth1 -s 192.168.0.0/16 -d 192.168.0.0/16 -j ACCEPT где eth1 смотрит в интернет. правило довольно опасное, так как разрешает полную внутренню маршрутизацию, но все интерфейсы, кроме общей локалки, находятся под моим личным контролем и обычно вообще пустые. а вообще правила ничем не отличаются от любых других интерфейсом, ес-сно, кроме имени...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "VPN"
	Сообщение от klez on 03-Фев-04, 23:47  (MSK)
	А на русском языке есть описание openVPN??? Хотя бы  introduction? А то про freeswan я хорошо понял. Извини Михаил что так надоедаю :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	15. "VPN"
	Сообщение от Michael on 04-Фев-04, 09:06  (MSK)
	>А на русском языке есть описание openVPN??? >Хотя бы  introduction? не знаю, не видел... мне того, что на сайте, оказалось вполне достаточно, так что я даже и не искал... >А то про freeswan я хорошо понял. мда? тогда подкинь ссылочку, может и я пойму :) >Извини Михаил что так надоедаю :) да ничего страшного... :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	16. "VPN"
	Сообщение от klez on 04-Фев-04, 11:16  (MSK)
	Вот здеесь есть что почитать: http://www.securitylab.ru/34649.html http://www.securitylab.ru/34649.html Если стоит ред нат 9 то вообще все "идет по маслу" :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	17. "VPN"
	Сообщение от просто интересно on 04-Фев-04, 12:27  (MSK)
	Michael, я так понимаю, Вы с openvpn работаете.... уточните мне несколько моментов: - для каждого туннеля необходимо писать отдельный конфиг ? - каждый теннель занимает свой порт ? - сегодня я в одно месте серсию 1.5, а послезавтра я в другом месте поставлю какую-то 1.* или 2.* они будут совместимы ? - у тебя есть всязки линух-винда (интересует качество,стабильность....) ? - что можешь сказать про соединение 15-20 точек(звезда) openvpn'ом.... Буду очень благодарен. :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	18. "VPN"
	Сообщение от Michael on 04-Фев-04, 13:34  (MSK)
	>- для каждого туннеля необходимо писать отдельный конфиг ? да, отдельный конфиг, очень желательно отдельный файл с ключем >- каждый теннель занимает свой порт ? да, что удобно для ужесточения правил файервола >- сегодня я в одно месте серсию 1.5, а послезавтра я в >другом месте поставлю какую-то 1.* или 2.* >они будут совместимы ? на сайте заявлено что версии 1.* совместимы начиная с какой-то из младших первых версий, не помню точно... сам я имел дело только с различными бета-версиями 1.5, так как только начиная с них появился вариант под Винды. сейчас использую 1.5_beta12, несмотря на то что вышел окончательный релиз 1.5... просто нет необходимости тратить время на обновление, и сейчас все нормально работает. но рекомендую ставить 1.5, в ней исправлены некоторые существенные баги. >- у тебя есть всязки линух-винда (интересует качество,стабильность....) ? если сразу полностью заработало, то потом можно не волноваться, у меня за 5 месяцев никаких внезапных остановок не было... надо быть осторожным с бета-версиями, иногда приходится подбирать параметры, чтобы обойти какой-нибудь баг. принципиальных багов мне не попадалось, но иногда приходилось указывать явно некоторые параметры, несмотря на то, что они должны определяться автоматически. >- что можешь сказать про соединение 15-20 точек(звезда) openvpn'ом.... у меня в центре стоит Линукс, на филиалах и у сотрудников Вин2000 сейчас на 5 туннелей запущено по экземпляру openvpn, каждый со своим конфигом. в виндах openvpn-овская служба должна сама подхватывать все конфиги из каталога с конфигами, но я сам пробовал класть туда только один конфиг... 15-20 соединений - думаю, проблем не будет.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	19. "VPN"
	Сообщение от просто интересно on 04-Фев-04, 14:55  (MSK)
	>>- для каждого туннеля необходимо писать отдельный конфиг ? >да, отдельный конфиг, очень желательно отдельный файл с ключем а возможно, как в freeswan, один конфиг на несколько соединений ? а в нем уже расписать все ключи и т.д.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	20. "VPN"
	Сообщение от Michael on 04-Фев-04, 15:18  (MSK)
	>>>- для каждого туннеля необходимо писать отдельный конфиг ? >>да, отдельный конфиг, очень желательно отдельный файл с ключем >а возможно, как в freeswan, один конфиг на несколько соединений ? >а в нем уже расписать все ключи и т.д. нет, например потому, что нельзя нескольким процессам открыть один и тот же порт. да и другие коллизии могут получиться... да, собственно, я и не вижу необходимости все совать в один файл... имхо, по раздельности даже лучше тем, что можно останавливать, перенастраивать, запускать одни туннели не мешая другим, которые находятся в работе.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	21. "VPN"
	Сообщение от просто интересно on 04-Фев-04, 16:43  (MSK)
	>имхо, по раздельности даже лучше тем, что можно останавливать, перенастраивать, запускать одни >туннели не мешая другим, которые находятся в работе. ок. спасибо за советы... буду строить.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	22. "VPN"
	Сообщение от klez on 05-Фев-04, 11:41  (MSK)
	Михаил у меня возник такой вопрос как через тунель юзеров выкинуть в инет т.е. все запросы адресованные в инет компов   филиала проходят через тунель ко мне а дальше NAT и в инет, что-то я не чем понять что мне надо крутить?? филиал--->-vpn---->-центральный офис---proxy--nat--->---inet
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	23. "VPN"
	Сообщение от Michael on 05-Фев-04, 13:27  (MSK)
	>Михаил у меня возник такой вопрос как через тунель юзеров выкинуть в >инет >т.е. все запросы адресованные в инет компов   филиала проходят через >тунель ко мне а дальше NAT и в инет, что-то я >не чем понять что мне надо крутить?? > >филиал--->-vpn---->-центральный офис---proxy--nat--->---inet вот прям так и делать, как нарисовано. только обычно применяется либо прокси, либо нат. одновременно они применяются редко, да и смысла не вижу... только если есть какие-то экзотические условия... да и vpn, скорее всего, будет на той же машине, что и прокси... т.е. схема будет примерно такой: филиал-->vpn-->internet-->vpn-->proxy-->internet 1) если применяется прокси, то: либо прокси должен слушать vpn-интерфейс, который смотрит на филиал (что не желательно, так как интерфейс может быть не все время поднят), либо (что лучше) настроить маршрутизацию с vpn-интерфейса на тот интерфейс, который слушает прокси. ес-сно файервол должен пропускать пакеты из филиала на прокси (или вообще в локальную сеть) и обратно. т.е. компьютеры филиала будут присоединяться к прокси так же, как будто они в локальной сети 2) если применяется нат, то: файерволл должен пропускать пакеты из филиала, натить их, и выпускать в интернет. на пограничном компьютере в филиале должен быть задан маршрут на внешний адрес пограничного компьютера у тебя, а маршрут по умолчанию - на адрес vpn-интерфейса у тебя. т.е. все пакеты, кроме тех, которыми обмениваются концы туннеля, должны по умолчанию отправляться через vpn к тебе. PS. но есть ли смысл применения такой схемы? ведь так придется два раза платить за филиальный трафик...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	24. "VPN"
	Сообщение от klez on 05-Фев-04, 13:40  (MSK)
	>PS. но есть ли смысл применения такой схемы? ведь так придется два >раза платить за филиальный трафик... Есть:) Связь филиал - центр осуществляеться - 70$ за каждую точку соединение на скорости 1024 Kb.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	25. "VPN"
	Сообщение от просто интересно on 05-Фев-04, 19:28  (MSK)
	>>PS. но есть ли смысл применения такой схемы? ведь так придется два >>раза платить за филиальный трафик... >Есть:) >Связь филиал - центр осуществляеться - 70$ за каждую точку соединение на >скорости 1024 Kb. to klez: извиняюсь за наглость, но все же... кто и где предоставляет такие условия ? мне это интересно, т.к. сам занимаюсь подобным проектом...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	26. "VPN"
	Сообщение от klez on 05-Фев-04, 20:26  (MSK)
	если у тебя ADSL то позвони своему провайдеру и спроси могут ли она поднять еще один АТМ канал (по-моему это так называеться)-к сожилению действительно только в пределах города :(  -но у меня все филиалы в пределах города. КГТС или проще ГТС города Казанию.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	27. "VPN"
	Сообщение от klez on 06-Фев-04, 16:47  (MSK)
	Михаил ты на какой системе (дистр linux)  поднимал OPENVPN? Если что может e-mail даш или лучше на форуме тему открывать? Вдруг какие-то вопросы появиться при установки-настройки OpenVPN
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	28. "VPN"
	Сообщение от Михаил on 08-Фев-04, 08:50  (MSK)
	>Михаил ты на какой системе (дистр linux)  поднимал OPENVPN? конкретно я поднимал на RH 8.0, но реально, имхо, это не имеет никакого значения. вряд ли есть зависимость от конкретного дистрибутива... >Если что может e-mail даш или лучше на форуме тему открывать? >Вдруг какие-то вопросы появиться при установки-настройки OpenVPN мой e-mail есть во всех моих постах - miksoft@mail.ru если честно, то мне надоело общие вопросы обсуждать. предлагаю сначала поставить, прочитать документацию (на мой взгляд ее достаточно для решения всех проблем) и если что-то все-таки не получится, то открывать новую тему на форуме с конкретной проблемой. можно и на емейл написать, но оперативность ответа не обещаю.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	29. "VPN"
	Сообщение от cybertim on 09-Фев-04, 10:10  (MSK)
	>я в аналогичных целях использую OpenVPN http://openvpn.sourceforge.net/ >про плюсы и минусы я уже писал http://www.opennet.me/openforum/vsluhforumID1/39681.html Почитал... прочувствовал, в принципе установка действитильно несложная, но возник вопрос несколько организационного характера:   Сеть 50 компов и с той стороны еше 10 - уже много да еще учитывая что там 33.6кбпс. Конечно хотелось сначала сделать бриджом т.к. тогда все в одном сегменте, но на сколько я понял из того что там написано, бридж делать геморройнее чем роутер (хотя я так и не понял чем отличается настройки OpenVPN со стороны клиента в бридже от настроек в роутере). Единственный минус бриджа (а иногда и плюс) это broadcast.Но т.к. с той стороны канал узкий то есть подозрения что он забьется широковещательными сообщениями. Ну поставил WINS и с широковещательными вроде разобрался. Теперь сам вопрос: насколько теперь (с WINS) будет прозрачен роутер если учесть что в сети только windows машины. P.S. Netbios естественно через TCP/IP
		Рекомендовать в FAQ | Cообщить модератору | Наверх

30. "VPN"
Сообщение от MrKooll on 13-Фев-04, 20:13  (MSK)
>Необходимо связать две локальные сети (в разных городах) в одну. >Имеется: в Самаре SHDSL Win2000 Server IP статитеческий >         в Отрадном 33.6k >Linux Slackware 9 IP статитеческий >Что посоветуете почитать? Почитать про FreeS/WAN (сначала на www.securitylab.ru, потом на www.freeswan.org оригинальную доку). Потом взять на www.freeswan.ca super-freeswan-1.99.8 и поставить на Слаку. В доке и описано как винду подключать. >P.S. Linux знаю на уровне "собрать ядро, поставить роутер (iptables, ipchains), samba, >http". Винду получше.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	31. "VPN"
	Сообщение от Carrie on 15-Фев-04, 11:45  (MSK)
	Лучше поставить 2.6.x ядро, чтоб заюзать KAME, ipsec-tools и прочесть http://lartc.org/howto/ Разобраться и настроить хоть как-нить - 30 минут.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	32. "VPN"
	Сообщение от Михаил on 15-Фев-04, 12:59  (MSK)
	>Лучше поставить 2.6.x ядро, чтоб заюзать KAME, ipsec-tools и прочесть http://lartc.org/howto/ >Разобраться и настроить хоть как-нить - 30 минут. да новое ядро только скачать - уже дольше 30 минут может оказаться :) и поставить его - тоже не тривиальная задача для многих... не зря столько вопросов про это... и вообще, кардинально менять ядро ради VPN - это (ИМХО) из пушки по воробьям стрелять :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.