- VPN, A Clockwork Orange, 17:55 , 02-Фев-04 (1)
Супер география, Самара и Отрадное!!!!Уточняем Самара и Москва, я полагаю.
- VPN, cybertim, 17:59 , 02-Фев-04 (2)
>Супер география, Самара и Отрадное!!!! > >Уточняем Самара и Москва, я полагаю. Нет именно Самара и Отрадный :) Я пишу как есть на самом деле. Нафига мне Москва?:)
- VPN, Михаил, 18:59 , 02-Фев-04 (3)
>>Супер география, Самара и Отрадное!!!! >> >>Уточняем Самара и Москва, я полагаю. > >Нет именно Самара и Отрадный :) >Я пишу как есть на самом деле. >Нафига мне Москва?:) :) да хоть Австралия :) интернет тем и хорош, что географическая разнесенность качественной роли не играет...я в аналогичных целях использую OpenVPN http://openvpn.sourceforge.net/ про плюсы и минусы я уже писал https://www.opennet.ru/openforum/vsluhforumID1/39681.html
- VPN, klez, 01:13 , 03-Фев-04 (4)
Если хочешь просто то бери красну шапку 9 и скачивай freeswan 2.01 установливаеться без проблем, если интересует что спрошива
- VPN, klez, 01:13 , 03-Фев-04 (5)
Если хочешь просто то бери красну шапку 9 и скачивай freeswan 2.01 установливаеться без проблем, если интересует что спрошивай. Но на обеих концах должны быть линуксы.
- VPN, klez, 01:21 , 03-Фев-04 (6)
Если не трудно то опиши как работает OPENvpn где и как преобразовываються ip адреса???
- VPN, Michael, 08:46 , 03-Фев-04 (7)
>Если не трудно то опиши как работает OPENvpn где и как преобразовываються > >ip адреса??? во-первых на сайте документация очень хорошая... а во вторых, основная идея работы OpenVPN (как и многих других туннелирующих VPN) заключается в том, что на двух компьютерах, имеющих доступ в интернет, появляется по дополнительному виртуальному интерфейсу, находящиеся в одной ip-подсети и создается туннель между ними. остается только настроить маршрутизацию, чтобы пакеты для другой сети шли не на шлюз по умолчанию, а на свой интерфейс VPN. т.е. в результате всем выглядит все так, как будто эти интерфейсы просто соединены кабелем...
- VPN, Крис, 11:36 , 03-Фев-04 (8)
РЕБЯТ! Ну чего придумывать! Возьми скажем какой-нить D-Link DI и настрой как роутер с VPN'ом, в чем проблема то. Там куча возможностей, и два офиса будут работать нормально и проблем минимум, не надо загружать сервак и возиться с разной фигнёй
- VPN, Michael, 12:25 , 03-Фев-04 (9)
>РЕБЯТ! Ну чего придумывать! Возьми скажем какой-нить D-Link DI и настрой как >роутер с VPN'ом, в чем проблема то. Там куча возможностей, и >два офиса будут работать нормально и проблем минимум, не надо загружать >сервак и возиться с разной фигнёй :) 1) D-Link (как и любое железо) денег стоит 2) такую железяку далеко не в любом городе купить можно 3) а ты сам пробовал эти D-Link-и? мы их пробовали неоднократно, и, в итоге, на направлениях критичных для нашего бизнеса не осталось ни одного (!) D-Link-а... все было заменено на оборудование других производителей... 4) OpenVPN сервак не загружает вообще, памяти ест очень мало (порядка 1Мб) мне максимум удалось загрузить проц PII-400 на 20-25% при передаче по локалке! на интернетных скоростях загрузки не заметно вообще. 5) а понадобится подключить еще один филиал - опять бегать, железяку искать, с прошивками и настройками морочиться?
- VPN, Gennadi, 12:49 , 03-Фев-04 (10)
- VPN, Michael, 14:12 , 03-Фев-04 (11)
- VPN, klez, 16:54 , 03-Фев-04 (12)
Вы как я понял настраивали VPN так подскажите пожалуйста как выглядит firewall (правила iptables) для машины на которой весит vpn, особенно интересует цепочка forward.
- VPN, Michael, 19:00 , 03-Фев-04 (13)
>Вы как я понял настраивали VPN так подскажите пожалуйста >как выглядит firewall (правила iptables) для машины на которой весит vpn, >особенно интересует цепочка forward. у меня не очень сильные правила, так как vpn используется только для технических нужд. вот пример для сотрудника, который пользуется диалапным интернетом через своего провайдера: разрешают внутренний трафик только от и для него: iptables -I INPUT 1 -i tap1 -s 192.168.104.5 -j ACCEPT iptables -I OUTPUT 1 -o tap1 -d 192.168.104.5 -j ACCEPT дальний конец туннеля имеет адрес 192.168.104.5 если на удаленной стороне не один комп, а целая подсетка, до добавляются такие правила: iptables -I INPUT 1 -i tap0 -s 192.168.0.0/24 -j ACCEPT iptables -I OUTPUT 1 -o tap0 -d 192.168.0.0/24 -j ACCEPT где 192.168.0.0/24 - подсеть в филиале разрешают подключение из интернета к OpenVPN: iptables -I INPUT 1 -p udp -i eth1 -s 111.222.333.0/24 --sport 1234 --dport 1234 -j ACCEPT iptables -I INPUT 1 -p udp -i eth1 -s 111.222.444.0/24 --sport 1234 --dport 1234 -j ACCEPT iptables -I INPUT 1 -p udp -i eth1 -s 111.222.555.0/24 --sport 1234 --dport 1234 -j ACCEPT iptables -I OUTPUT 1 -p udp -o eth1 -d 111.222.333.0/24 --sport 1234 --dport 1234 -j ACCEPT iptables -I OUTPUT 1 -p udp -o eth1 -d 111.222.444.0/24 --sport 1234 --dport 1234 -j ACCEPT iptables -I OUTPUT 1 -p udp -o eth1 -d 111.222.555.0/24 --sport 1234 --dport 1234 -j ACCEPT адреса провайдер выдает динамически из трех пулов 111.222.333.0/24, 111.222.444.0/24 и 111.222.555.0/24 (адреса вымышленные и несуществующие) кроме того есть правило: iptables -I FORWARD 1 -o ! eth1 -i ! eth1 -s 192.168.0.0/16 -d 192.168.0.0/16 -j ACCEPT где eth1 смотрит в интернет. правило довольно опасное, так как разрешает полную внутренню маршрутизацию, но все интерфейсы, кроме общей локалки, находятся под моим личным контролем и обычно вообще пустые. а вообще правила ничем не отличаются от любых других интерфейсом, ес-сно, кроме имени...
- VPN, klez, 23:47 , 03-Фев-04 (14)
А на русском языке есть описание openVPN??? Хотя бы introduction? А то про freeswan я хорошо понял. Извини Михаил что так надоедаю :)
- VPN, Michael, 09:06 , 04-Фев-04 (15)
>А на русском языке есть описание openVPN??? >Хотя бы introduction? не знаю, не видел... мне того, что на сайте, оказалось вполне достаточно, так что я даже и не искал...>А то про freeswan я хорошо понял. мда? тогда подкинь ссылочку, может и я пойму :) >Извини Михаил что так надоедаю :) да ничего страшного... :)
- VPN, klez, 11:16 , 04-Фев-04 (16)
- VPN, просто интересно, 12:27 , 04-Фев-04 (17)
Michael, я так понимаю, Вы с openvpn работаете.... уточните мне несколько моментов: - для каждого туннеля необходимо писать отдельный конфиг ? - каждый теннель занимает свой порт ? - сегодня я в одно месте серсию 1.5, а послезавтра я в другом месте поставлю какую-то 1.* или 2.* они будут совместимы ? - у тебя есть всязки линух-винда (интересует качество,стабильность....) ? - что можешь сказать про соединение 15-20 точек(звезда) openvpn'ом....Буду очень благодарен. :)
- VPN, Michael, 13:34 , 04-Фев-04 (18)
>- для каждого туннеля необходимо писать отдельный конфиг ? да, отдельный конфиг, очень желательно отдельный файл с ключем>- каждый теннель занимает свой порт ? да, что удобно для ужесточения правил файервола >- сегодня я в одно месте серсию 1.5, а послезавтра я в >другом месте поставлю какую-то 1.* или 2.* >они будут совместимы ? на сайте заявлено что версии 1.* совместимы начиная с какой-то из младших первых версий, не помню точно... сам я имел дело только с различными бета-версиями 1.5, так как только начиная с них появился вариант под Винды. сейчас использую 1.5_beta12, несмотря на то что вышел окончательный релиз 1.5... просто нет необходимости тратить время на обновление, и сейчас все нормально работает. но рекомендую ставить 1.5, в ней исправлены некоторые существенные баги. >- у тебя есть всязки линух-винда (интересует качество,стабильность....) ? если сразу полностью заработало, то потом можно не волноваться, у меня за 5 месяцев никаких внезапных остановок не было... надо быть осторожным с бета-версиями, иногда приходится подбирать параметры, чтобы обойти какой-нибудь баг. принципиальных багов мне не попадалось, но иногда приходилось указывать явно некоторые параметры, несмотря на то, что они должны определяться автоматически. >- что можешь сказать про соединение 15-20 точек(звезда) openvpn'ом.... у меня в центре стоит Линукс, на филиалах и у сотрудников Вин2000 сейчас на 5 туннелей запущено по экземпляру openvpn, каждый со своим конфигом. в виндах openvpn-овская служба должна сама подхватывать все конфиги из каталога с конфигами, но я сам пробовал класть туда только один конфиг... 15-20 соединений - думаю, проблем не будет.
- VPN, просто интересно, 14:55 , 04-Фев-04 (19)
>>- для каждого туннеля необходимо писать отдельный конфиг ? >да, отдельный конфиг, очень желательно отдельный файл с ключем а возможно, как в freeswan, один конфиг на несколько соединений ? а в нем уже расписать все ключи и т.д.
- VPN, Michael, 15:18 , 04-Фев-04 (20)
>>>- для каждого туннеля необходимо писать отдельный конфиг ? >>да, отдельный конфиг, очень желательно отдельный файл с ключем >а возможно, как в freeswan, один конфиг на несколько соединений ? >а в нем уже расписать все ключи и т.д. нет, например потому, что нельзя нескольким процессам открыть один и тот же порт. да и другие коллизии могут получиться...да, собственно, я и не вижу необходимости все совать в один файл... имхо, по раздельности даже лучше тем, что можно останавливать, перенастраивать, запускать одни туннели не мешая другим, которые находятся в работе. - VPN, просто интересно, 16:43 , 04-Фев-04 (21)
>имхо, по раздельности даже лучше тем, что можно останавливать, перенастраивать, запускать одни >туннели не мешая другим, которые находятся в работе. ок. спасибо за советы... буду строить.
- VPN, klez, 11:41 , 05-Фев-04 (22)
Михаил у меня возник такой вопрос как через тунель юзеров выкинуть в инет т.е. все запросы адресованные в инет компов филиала проходят через тунель ко мне а дальше NAT и в инет, что-то я не чем понять что мне надо крутить??филиал--->-vpn---->-центральный офис---proxy--nat--->---inet
- VPN, Michael, 13:27 , 05-Фев-04 (23)
>Михаил у меня возник такой вопрос как через тунель юзеров выкинуть в >инет >т.е. все запросы адресованные в инет компов филиала проходят через >тунель ко мне а дальше NAT и в инет, что-то я >не чем понять что мне надо крутить?? > >филиал--->-vpn---->-центральный офис---proxy--nat--->---inet вот прям так и делать, как нарисовано. только обычно применяется либо прокси, либо нат. одновременно они применяются редко, да и смысла не вижу... только если есть какие-то экзотические условия... да и vpn, скорее всего, будет на той же машине, что и прокси... т.е. схема будет примерно такой: филиал-->vpn-->internet-->vpn-->proxy-->internet1) если применяется прокси, то: либо прокси должен слушать vpn-интерфейс, который смотрит на филиал (что не желательно, так как интерфейс может быть не все время поднят), либо (что лучше) настроить маршрутизацию с vpn-интерфейса на тот интерфейс, который слушает прокси. ес-сно файервол должен пропускать пакеты из филиала на прокси (или вообще в локальную сеть) и обратно. т.е. компьютеры филиала будут присоединяться к прокси так же, как будто они в локальной сети 2) если применяется нат, то: файерволл должен пропускать пакеты из филиала, натить их, и выпускать в интернет. на пограничном компьютере в филиале должен быть задан маршрут на внешний адрес пограничного компьютера у тебя, а маршрут по умолчанию - на адрес vpn-интерфейса у тебя. т.е. все пакеты, кроме тех, которыми обмениваются концы туннеля, должны по умолчанию отправляться через vpn к тебе. PS. но есть ли смысл применения такой схемы? ведь так придется два раза платить за филиальный трафик...
- VPN, klez, 13:40 , 05-Фев-04 (24)
>PS. но есть ли смысл применения такой схемы? ведь так придется два >раза платить за филиальный трафик... Есть:) Связь филиал - центр осуществляеться - 70$ за каждую точку соединение на скорости 1024 Kb. - VPN, просто интересно, 19:28 , 05-Фев-04 (25)
>>PS. но есть ли смысл применения такой схемы? ведь так придется два >>раза платить за филиальный трафик... >Есть:) >Связь филиал - центр осуществляеться - 70$ за каждую точку соединение на >скорости 1024 Kb. to klez: извиняюсь за наглость, но все же... кто и где предоставляет такие условия ? мне это интересно, т.к. сам занимаюсь подобным проектом... - VPN, klez, 20:26 , 05-Фев-04 (26)
если у тебя ADSL то позвони своему провайдеру и спроси могут ли она поднять еще один АТМ канал (по-моему это так называеться)-к сожилению действительно только в пределах города :( -но у меня все филиалы в пределах города. КГТС или проще ГТС города Казанию.
- VPN, klez, 16:47 , 06-Фев-04 (27)
Михаил ты на какой системе (дистр linux) поднимал OPENVPN? Если что может e-mail даш или лучше на форуме тему открывать? Вдруг какие-то вопросы появиться при установки-настройки OpenVPN - VPN, Михаил, 08:50 , 08-Фев-04 (28)
>Михаил ты на какой системе (дистр linux) поднимал OPENVPN? конкретно я поднимал на RH 8.0, но реально, имхо, это не имеет никакого значения. вряд ли есть зависимость от конкретного дистрибутива...>Если что может e-mail даш или лучше на форуме тему открывать? >Вдруг какие-то вопросы появиться при установки-настройки OpenVPN мой e-mail есть во всех моих постах - miksoft@mail.ru если честно, то мне надоело общие вопросы обсуждать. предлагаю сначала поставить, прочитать документацию (на мой взгляд ее достаточно для решения всех проблем) и если что-то все-таки не получится, то открывать новую тему на форуме с конкретной проблемой. можно и на емейл написать, но оперативность ответа не обещаю.
- VPN, cybertim, 10:10 , 09-Фев-04 (29)
>я в аналогичных целях использую OpenVPN http://openvpn.sourceforge.net/ >про плюсы и минусы я уже писал https://www.opennet.ru/openforum/vsluhforumID1/39681.html Почитал... прочувствовал, в принципе установка действитильно несложная, но возник вопрос несколько организационного характера: Сеть 50 компов и с той стороны еше 10 - уже много да еще учитывая что там 33.6кбпс. Конечно хотелось сначала сделать бриджом т.к. тогда все в одном сегменте, но на сколько я понял из того что там написано, бридж делать геморройнее чем роутер (хотя я так и не понял чем отличается настройки OpenVPN со стороны клиента в бридже от настроек в роутере). Единственный минус бриджа (а иногда и плюс) это broadcast.Но т.к. с той стороны канал узкий то есть подозрения что он забьется широковещательными сообщениями. Ну поставил WINS и с широковещательными вроде разобрался. Теперь сам вопрос: насколько теперь (с WINS) будет прозрачен роутер если учесть что в сети только windows машины. P.S. Netbios естественно через TCP/IP
- VPN, MrKooll, 20:13 , 13-Фев-04 (30)
>Необходимо связать две локальные сети (в разных городах) в одну. >Имеется: в Самаре SHDSL Win2000 Server IP статитеческий > в Отрадном 33.6k >Linux Slackware 9 IP статитеческий >Что посоветуете почитать? Почитать про FreeS/WAN (сначала на www.securitylab.ru, потом на www.freeswan.org оригинальную доку). Потом взять на www.freeswan.ca super-freeswan-1.99.8 и поставить на Слаку. В доке и описано как винду подключать. >P.S. Linux знаю на уровне "собрать ядро, поставить роутер (iptables, ipchains), samba, >http". Винду получше.
- VPN, Carrie, 11:45 , 15-Фев-04 (31)
Лучше поставить 2.6.x ядро, чтоб заюзать KAME, ipsec-tools и прочесть http://lartc.org/howto/ Разобраться и настроить хоть как-нить - 30 минут.
- VPN, Михаил, 12:59 , 15-Фев-04 (32)
>Лучше поставить 2.6.x ядро, чтоб заюзать KAME, ipsec-tools и прочесть http://lartc.org/howto/ >Разобраться и настроить хоть как-нить - 30 минут. да новое ядро только скачать - уже дольше 30 минут может оказаться :) и поставить его - тоже не тривиальная задача для многих... не зря столько вопросов про это...и вообще, кардинально менять ядро ради VPN - это (ИМХО) из пушки по воробьям стрелять :)
|