Добрый день.Подскажите, можно ли на IPSEC создавать подключения типо "звезда" на freebsd ?
Нужно объединить несколько серверов в впн сеть.
Если с openvpn все более менее понятно: ставиться отдельный openvpn сервер и к нему клиентами подключаем каждый сервер. Получаем звезду. Openvpn есть в портах.По Ipsec я делал соединения точка-точка. Как насчет соединения звездой для объединения нескольких машин в сетку?
>[оверквотинг удален]
>Подскажите, можно ли на IPSEC создавать подключения типо "звезда" на freebsd ?
>
>
>Нужно объединить несколько серверов в впн сеть.
>Если с openvpn все более менее понятно: ставиться отдельный openvpn сервер и
>к нему клиентами подключаем каждый сервер. Получаем звезду. Openvpn есть в
>портах.
>
>По Ipsec я делал соединения точка-точка. Как насчет соединения звездой для объединения
>нескольких машин в сетку?Можно. rаcoon тебе в помощь.
>[оверквотинг удален]
>Подскажите, можно ли на IPSEC создавать подключения типо "звезда" на freebsd ?
>
>
>Нужно объединить несколько серверов в впн сеть.
>Если с openvpn все более менее понятно: ставиться отдельный openvpn сервер и
>к нему клиентами подключаем каждый сервер. Получаем звезду. Openvpn есть в
>портах.
>
>По Ipsec я делал соединения точка-точка. Как насчет соединения звездой для объединения
>нескольких машин в сетку?Тут есть одно НО.
OpenVPN работает как клиент серверное приложение, потому здесь все просто и понятно. Есть один сервер и куча клиентов.
Ну а теперь что такое IPSec?
В IPSec нет понятия сервера и клиента. Там есть source и destination.
Ну и даже если брать схему с использованием транспортного режима то получаем что есть один сервер source и удаленный drstination. Если смотреть с другой стороны то все наоборот.
Ну а теперь самое интересное.
Возьмите нарисуйте на концах воображаемой пятиконечной звезды по одному серверу. И пронумеруйте их по часовой стрелки начиная от 1 находящегося на 12 часов.
Теперь нарисуйте связь кратчайшим маршрутом от 1 до 3. Получится одна линия, эта линия и есть наш IPSec между 1 и 3. Ну а теперь то же самое от 1 до всех оставшихся. Получается 5 линий, и каждая из них это отдельная настройка IPSec. Ну и теперь самое интересное, свяжите все серверы друг с другом. Вот и получится такая интересная схема. Ну и самое главное если это филиалы связанные интернетом, то надо будет использовать или туннельный режим или поверх транспортного поднимать туннель gre или ipip. Ну и плюс маршрутизация.ЗЫ. Вообще красивая схема получается, а если еще использовать OSPF и т.п. то можно будет почти всегда из одного офиса достучаться в другой.
В головном офисе прописываешь с туннели с офисами, а в филиалах прописываешь роутинг на сетки, но запихиваешь их в имеющейся тоннель с головным офисом...
> В головном офисе прописываешь с туннели с офисами, а в филиалах
>прописываешь роутинг на сетки, но запихиваешь их в имеющейся тоннель с
>головным офисом...чисто с ipsec так не получиться если только не юзать NAT, а так придеться только ipsec транспортный режим (не ТУНЕЛЬНЫЙ) а по верх уже ли GRE или IPIP - если знаешь как это реальзовать в тунельном режиме то покажи как прописать маршрутизацию для IPSEC в тунельном режиме из одной подсети в другую, не связаных ipsec тунелем, через какой-нить nexthop - весь рунет будет тебе благодарен :)
>> В головном офисе прописываешь с туннели с офисами, а в филиалах
>>прописываешь роутинг на сетки, но запихиваешь их в имеющейся тоннель с
>>головным офисом...
>
>чисто с ipsec так не получиться если только не юзать NAT, а
>так придеться только ipsec транспортный режим (не ТУНЕЛЬНЫЙ) а по верх
>уже ли GRE или IPIP - если знаешь как это реальзовать
>в тунельном режиме то покажи как прописать маршрутизацию для IPSEC в
>тунельном режиме из одной подсети в другую, не связаных ipsec тунелем,
>через какой-нить nexthop - весь рунет будет тебе благодарен :)Здесь видимо человек имел ввиду что есть разница между тУннель и тОннель.
А вот что из них что не пояснил.
ЗЫ. Сорри не удержался.