The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]



"Openvpn или не в ту степь полез?"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (VPN / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"Openvpn или не в ту степь полез?"  +/
Сообщение от hwnsk email(ok) on 20-Май-18, 18:59 
Добрый вечер.
Лет 10 точно не притрагивался к консоли и т.п.
Вообщем возникла задача, которую нужно организовать... В голове каша, не думаю что без посторонней помощи разберусь.

Итак, есть порядка 500-600 машин имеющих полный зоопарк в плане выхода в мир (именно поэтому выбрал openvpn), к машинам нужен доступ для администрирования, и сбора информации.
Нюансы:
1. Машинам не нужно видеть друг друга. (С этим все понятно client to client в коммент и забыли)
2. Некоторым машинам нужно видеть все эти 600 машин и иметь возможность доступа к ним.

Пока бегло читал мануал к Опенвпн, увидел возможность создания скрипта, на изучение и написание естественно мозгов уже нет, хотя от готового не отказался бы. :)

В цифрах примерно вот так:
10.10.0.0/22 - для клиентов (не должны видеть друг друга, но должны видеть 10.10.200.0/24)
10.10.200.0/24 - пускай это будут некие админы (должны видеть друг друга и 10.10.0.0/22)
Вообщем прошу определиться и написать маршруты, так-как мой мозг уже деградировал, и переучился в другое русло...

Система FreeBSD (ранее только на ней и работал, во времена 6.0:) ).

ps Смотрел в сторону softether, но там нельзя статикой выдавать ip (поднять свой dhcp можно, но думаю openvpn справится с моей задачей), дикость по мне... Хотя идея отличная!

Надеюсь на понимание.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Openvpn или не в ту степь полез?"  +3 +/
Сообщение от Непонятор on 20-Май-18, 20:28 
> Надеюсь на понимание.

А вот нет понимания. 600-700 машин - это серезная такая организация. Почему сеть/машины серезной организации полез админить человек, который "лет 10 точно не притрагивался к консоли". Даже если Вам удастся нашаманить/нагуглить решение - вы оставите 100500 дырок и возможных проблем, которые периодически будут возникать.

Наймите профессионала.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Openvpn или не в ту степь полез?"  +1 +/
Сообщение от Аноним (??) on 20-Май-18, 22:13 
> Надеюсь на понимание.

Чувак, ты не спрашиваешь "ребята, смотрите, я сделал вот так и вот эдак, но у меня не получается, помогите разобраться, где я накосячил?"

Ты просишь бесплатно сделать за тебя работу, за которую ты потом получишь деньги, положение и уважение.

Так что на понимание тут не надейся.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Openvpn или не в ту степь полез?"  +1 +/
Сообщение от hwnsk email(ok) on 20-Май-18, 23:05 
>> Надеюсь на понимание.
> Чувак, ты не спрашиваешь "ребята, смотрите, я сделал вот так и вот
> эдак, но у меня не получается, помогите разобраться, где я накосячил?"
> Ты просишь бесплатно сделать за тебя работу, за которую ты потом получишь
> деньги, положение и уважение.
> Так что на понимание тут не надейся.

Я не прошу делать за меня работу, я прошу совета. У меня к слову вообще сомнения что из этого что-то выйдет.
Я не работаю в этой организации админом даже близко, да и нет у нас такой штатной единицы..., и вводить пока не планирую, не влезаю в деньги. Но это уже отступление от темы.

Два вопроса:
1. Это вообще возможно?
2. Теста ради я поднял на виртуалке все это добро. Настроил в рамках своей компетенции. ВПН работает, пинги ходят в рамках одной сети. Чисто теоретически я с легостью могу поднять второй ВПН сервер, настроить маршруты...
Вижу вот какое решение:
Каждому клиенту, писать маршрут к сети второго ВПН сервера (где будет сидеть саппорт). На втором впн сервере в свою очередь написать маршрут до первого впн сервера. Ну вообщем как-то так... Рабочий вариант, как считаете?


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Openvpn или не в ту степь полез?"  +/
Сообщение от shadow_alone (ok) on 20-Май-18, 23:12 
Ты бы бюджет озвучил, тебе бы за него и решили задачу, побыстрому.

На твой вопрос ответ - да, можно.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Openvpn или не в ту степь полез?"  +/
Сообщение от hwnsk email(ok) on 20-Май-18, 23:15 
> Ты бы бюджет озвучил, тебе бы за него и решили задачу, побыстрому.
> На твой вопрос ответ - да, можно.

Вовсе не спортивно. Если Опеннет за 10 лет превратился в площадку фрилансеров, то я пожалуй удалюсь.

Решение у меня в целом выше в посте, если это действительно можно, то вопросы возникнут по делу, если вообще возникнут...

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Openvpn или не в ту степь полез?"  +/
Сообщение от shadow_alone (ok) on 20-Май-18, 23:16 
>> Ты бы бюджет озвучил, тебе бы за него и решили задачу, побыстрому.
>> На твой вопрос ответ - да, можно.
> Вовсе не спортивно. Если Опеннет за 10 лет превратился в площадку фрилансеров,
> то я пожалуй удалюсь.
> Решение у меня в целом выше в посте, если это действительно можно,
> то вопросы возникнут по делу, если вообще возникнут...

Ну так, тогда, задавай вопросы по делу.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Openvpn или не в ту степь полез?"  +/
Сообщение от hwnsk email(ok) on 20-Май-18, 23:29 
>>> Ты бы бюджет озвучил, тебе бы за него и решили задачу, побыстрому.
>>> На твой вопрос ответ - да, можно.
>> Вовсе не спортивно. Если Опеннет за 10 лет превратился в площадку фрилансеров,
>> то я пожалуй удалюсь.
>> Решение у меня в целом выше в посте, если это действительно можно,
>> то вопросы возникнут по делу, если вообще возникнут...
> Ну так, тогда, задавай вопросы по делу.

Я уже выше спросил

Клиенты висят на первом впн сервере в сетке 10.10.0.0/22, они не видят друг друга. У первого сервера есть маршрут, скажем до 10.10.200.0/26 (сеть второго ВПН сервера), откуда вообщем-то все и будет рулиться. Рабочий вариант?
Или еще подумать....

В любом случае пора на боковую, утро вечера мудреней.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Openvpn или не в ту степь полез?"  +/
Сообщение от shadow_alone (ok) on 20-Май-18, 23:31 
>[оверквотинг удален]
>>> то я пожалуй удалюсь.
>>> Решение у меня в целом выше в посте, если это действительно можно,
>>> то вопросы возникнут по делу, если вообще возникнут...
>> Ну так, тогда, задавай вопросы по делу.
> Я уже выше спросил
> Клиенты висят на первом впн сервере в сетке 10.10.0.0/22, они не видят
> друг друга. У первого сервера есть маршрут, скажем до 10.10.200.0/26 (сеть
> второго ВПН сервера), откуда вообщем-то все и будет рулиться. Рабочий вариант?
> Или еще подумать....
> В любом случае пора на боковую, утро вечера мудреней.

Рабочий

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Openvpn или не в ту степь полез?"  +/
Сообщение от hwnsk email(ok) on 20-Май-18, 23:33 
>[оверквотинг удален]
>>>> Решение у меня в целом выше в посте, если это действительно можно,
>>>> то вопросы возникнут по делу, если вообще возникнут...
>>> Ну так, тогда, задавай вопросы по делу.
>> Я уже выше спросил
>> Клиенты висят на первом впн сервере в сетке 10.10.0.0/22, они не видят
>> друг друга. У первого сервера есть маршрут, скажем до 10.10.200.0/26 (сеть
>> второго ВПН сервера), откуда вообщем-то все и будет рулиться. Рабочий вариант?
>> Или еще подумать....
>> В любом случае пора на боковую, утро вечера мудреней.
> Рабочий

Ну вот, есть еще порох оказывается. Осталось попробовать.
На днях дойдут руки и отпишусь по результатам.
Спасибо.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Openvpn или не в ту степь полез?"  +/
Сообщение от fantom (??) on 21-Май-18, 10:24 
>[оверквотинг удален]
> 10.10.200.0/24)
> 10.10.200.0/24 - пускай это будут некие админы (должны видеть друг друга и
> 10.10.0.0/22)
> Вообщем прошу определиться и написать маршруты, так-как мой мозг уже деградировал, и
> переучился в другое русло...
> Система FreeBSD (ранее только на ней и работал, во времена 6.0:) ).
> ps Смотрел в сторону softether, но там нельзя статикой выдавать ip (поднять
> свой dhcp можно, но думаю openvpn справится с моей задачей), дикость
> по мне... Хотя идея отличная!
> Надеюсь на понимание.

2 openvpn стартуешь.
1 для тех, кому можно все, 2-й для тех кому нельзя.
как маршруты добавить - в конфиге пример закомментированый есть.
Дополнительная изоляция может быть достигнута файрволом.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Openvpn или не в ту степь полез?"  +/
Сообщение от hwnsk email(ok) on 23-Май-18, 20:05 
>[оверквотинг удален]
>> переучился в другое русло...
>> Система FreeBSD (ранее только на ней и работал, во времена 6.0:) ).
>> ps Смотрел в сторону softether, но там нельзя статикой выдавать ip (поднять
>> свой dhcp можно, но думаю openvpn справится с моей задачей), дикость
>> по мне... Хотя идея отличная!
>> Надеюсь на понимание.
> 2 openvpn стартуешь.
> 1 для тех, кому можно все, 2-й для тех кому нельзя.
> как маршруты добавить - в конфиге пример закомментированый есть.
> Дополнительная изоляция может быть достигнута файрволом.

2 ВПНа запустил
Конфиги настроил
Маршруты прокинул, но есть затык, сижу вспоминаю, пока так. Если подскажите буду признателен.
        10.10.0.0    255.255.192.0      10.10.200.1      10.10.200.4     35
      10.10.200.0    255.255.255.0         On-link       10.10.200.4    291
      10.10.200.0    255.255.255.0      10.10.200.1      10.10.200.4     35
      10.10.200.4  255.255.255.255         On-link       10.10.200.4    291
    10.10.200.255  255.255.255.255         On-link       10.10.200.4    291

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Openvpn или не в ту степь полез?"  +/
Сообщение от hwnsk email(ok) on 23-Май-18, 20:22 
>[оверквотинг удален]
>    10.10.200.4    291
>       10.10.200.0    255.255.255.0  
>     10.10.200.1      10.10.200.4
>     35
>       10.10.200.4  255.255.255.255    
>      On-link      
>  10.10.200.4    291
>     10.10.200.255  255.255.255.255      
>    On-link       10.10.200.4
>    291

Я молодец.... у меня был выключен ip forwarding :) АЖ ржу с себя...

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Openvpn или не в ту степь полез?"  +/
Сообщение от hwnsk email(ok) on 23-Май-18, 20:33 
>[оверквотинг удален]
>>     10.10.200.1      10.10.200.4
>>     35
>>       10.10.200.4  255.255.255.255
>>      On-link
>>  10.10.200.4    291
>>     10.10.200.255  255.255.255.255
>>    On-link       10.10.200.4
>>    291
> Я молодец.... у меня был выключен ip forwarding :) АЖ ржу с
> себя...

        10.10.0.0    255.255.192.0      10.10.200.1      10.10.200.4     35
      10.10.200.0    255.255.255.0         On-link       10.10.200.4    291
      10.10.200.4  255.255.255.255         On-link       10.10.200.4    291
    10.10.200.255  255.255.255.255         On-link       10.10.200.4    291

Вот такие маршруты получились...
Могу продолжить развивать тему, подобных я еще не видел.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Openvpn или не в ту степь полез?"  +/
Сообщение от hwnsk email(ok) on 23-Май-18, 21:05 
>[оверквотинг удален]
>        On-link    
>    10.10.200.4    291
>       10.10.200.4  255.255.255.255    
>      On-link      
>  10.10.200.4    291
>     10.10.200.255  255.255.255.255      
>    On-link       10.10.200.4
>    291
> Вот такие маршруты получились...
> Могу продолжить развивать тему, подобных я еще не видел.

Маршруты с машины, где client to clint отсутствует

        10.10.0.0    255.255.192.0         On-link         10.10.0.8    956
        10.10.0.8  255.255.255.255         On-link         10.10.0.8    956
     10.10.63.255  255.255.255.255         On-link         10.10.0.8    956
      10.10.200.0    255.255.255.0        10.10.0.1        10.10.0.8    700

icmp не идут никуда кроме 10.10.200.1 получается отсутствие client to client по дефолту зарезало icmp ?

С машинки где client to clint включен, icmp ходит в сеть 10.10.0.0/22

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Openvpn или не в ту степь полез?"  +/
Сообщение от hwnsk email(ok) on 23-Май-18, 21:50 
>[оверквотинг удален]
>      10.10.0.8    956
>      10.10.63.255  255.255.255.255    
>     On-link      
>   10.10.0.8    956
>       10.10.200.0    255.255.255.0  
>       10.10.0.1    
>    10.10.0.8    700
> icmp не идут никуда кроме 10.10.200.1 получается отсутствие client to client по
> дефолту зарезало icmp ?
> С машинки где client to clint включен, icmp ходит в сеть 10.10.0.0/22

И в этом вопросе разобрался...
В целом задачу я решил.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Openvpn или не в ту степь полез?"  +/
Сообщение от fantom (??) on 24-Май-18, 09:58 
>[оверквотинг удален]
>>     On-link
>>   10.10.0.8    956
>>       10.10.200.0    255.255.255.0
>>       10.10.0.1
>>    10.10.0.8    700
>> icmp не идут никуда кроме 10.10.200.1 получается отсутствие client to client по
>> дефолту зарезало icmp ?
>> С машинки где client to clint включен, icmp ходит в сеть 10.10.0.0/22
> И в этом вопросе разобрался...
> В целом задачу я решил.

Резюме:
"Мастерство не пропьёшь!" ТМ
:)

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Openvpn или не в ту степь полез?"  +/
Сообщение от hwnsk email(ok) on 29-Май-18, 21:20 
>[оверквотинг удален]
>>>       10.10.0.1
>>>    10.10.0.8    700
>>> icmp не идут никуда кроме 10.10.200.1 получается отсутствие client to client по
>>> дефолту зарезало icmp ?
>>> С машинки где client to clint включен, icmp ходит в сеть 10.10.0.0/22
>> И в этом вопросе разобрался...
>> В целом задачу я решил.
> Резюме:
> "Мастерство не пропьёшь!" ТМ
> :)

И тем не менее кой с чем сдаюсь... :)

syslogd: unknown priority name "ipv4.ip_forward=1" Валится в консоль.. В конфиге syslog.conf ничего необычного нет, в sysctl.conf только net.inet.ip.forwarding=1
Откуда лезет ума не приложу..., времени искать к сожалению нет. Может подскажите где может быть зарыта эта строчка?

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "Openvpn или не в ту степь полез?"  +/
Сообщение от fantom (??) on 30-Май-18, 10:32 
>[оверквотинг удален]
>>> И в этом вопросе разобрался...
>>> В целом задачу я решил.
>> Резюме:
>> "Мастерство не пропьёшь!" ТМ
>> :)
> И тем не менее кой с чем сдаюсь... :)
> syslogd: unknown priority name "ipv4.ip_forward=1" Валится в консоль.. В конфиге syslog.conf
> ничего необычного нет, в sysctl.conf только net.inet.ip.forwarding=1
> Откуда лезет ума не приложу..., времени искать к сожалению нет. Может подскажите
> где может быть зарыта эта строчка?

Ну попробуйте по /etc грепнуть
grep -R ip_forward /etc

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "Openvpn или не в ту степь полез?"  –1 +/
Сообщение от hwnsk email(ok) on 30-Май-18, 13:52 
>[оверквотинг удален]
>>> Резюме:
>>> "Мастерство не пропьёшь!" ТМ
>>> :)
>> И тем не менее кой с чем сдаюсь... :)
>> syslogd: unknown priority name "ipv4.ip_forward=1" Валится в консоль.. В конфиге syslog.conf
>> ничего необычного нет, в sysctl.conf только net.inet.ip.forwarding=1
>> Откуда лезет ума не приложу..., времени искать к сожалению нет. Может подскажите
>> где может быть зарыта эта строчка?
> Ну попробуйте по /etc грепнуть
> grep -R ip_forward /etc

Таки нашел, там куда только с божьей помощью оно могло попасть.
Спасибо.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "Openvpn или не в ту степь полез?"  +/
Сообщение от fantom (??) on 30-Май-18, 22:38 
>[оверквотинг удален]
>>>> :)
>>> И тем не менее кой с чем сдаюсь... :)
>>> syslogd: unknown priority name "ipv4.ip_forward=1" Валится в консоль.. В конфиге syslog.conf
>>> ничего необычного нет, в sysctl.conf только net.inet.ip.forwarding=1
>>> Откуда лезет ума не приложу..., времени искать к сожалению нет. Может подскажите
>>> где может быть зарыта эта строчка?
>> Ну попробуйте по /etc грепнуть
>> grep -R ip_forward /etc
> Таки нашел, там куда только с божьей помощью оно могло попасть.
> Спасибо.

Таки обращайтесь :)

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

11. "Openvpn или не в ту степь полез?"  –1 +/
Сообщение от universite (ok) on 21-Май-18, 23:09 
> Добрый вечер.
> Лет 10 точно не притрагивался к консоли и т.п.
> Вообщем возникла задача, которую нужно организовать... В голове каша, не думаю что
> без посторонней помощи разберусь.
> Итак, есть порядка 500-600 машин имеющих полный зоопарк в плане выхода в
> мир (именно поэтому выбрал openvpn), к машинам нужен доступ для администрирования,

Подсказки:
1) Вместо openvpm можно использовать mpd5 + radius
2) Ipfw умеет делать правила по таблицам - ipfw tablearg
3) не забывайте про mss-fix

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor