- VPN,
 A Clockwork Orange, 17:55 , 02-Фев-04 (1)Супер география, Самара и Отрадное!!!!Уточняем Самара и Москва, я полагаю.
- VPN, cybertim, 17:59 , 02-Фев-04 (2)
>Супер география, Самара и Отрадное!!!!
>
>Уточняем Самара и Москва, я полагаю. Нет именно Самара и Отрадный :)
Я пишу как есть на самом деле.
Нафига мне Москва?:)
- VPN, Михаил, 18:59 , 02-Фев-04 (3)
>>Супер география, Самара и Отрадное!!!!
>>
>>Уточняем Самара и Москва, я полагаю.
>
>Нет именно Самара и Отрадный :)
>Я пишу как есть на самом деле.
>Нафига мне Москва?:)
:)
да хоть Австралия :)
интернет тем и хорош, что географическая разнесенность качественной роли не играет...я в аналогичных целях использую OpenVPN http://openvpn.sourceforge.net/
про плюсы и минусы я уже писал https://www.opennet.ru/openforum/vsluhforumID1/39681.html
- VPN, klez, 01:13 , 03-Фев-04 (4)
Если хочешь просто то бери красну шапку 9 и скачивай freeswan 2.01
установливаеться без проблем, если интересует что спрошива
- VPN, klez, 01:13 , 03-Фев-04 (5)
Если хочешь просто то бери красну шапку 9 и скачивай freeswan 2.01
установливаеться без проблем, если интересует что спрошивай.
Но на обеих концах должны быть линуксы.
- VPN, klez, 01:21 , 03-Фев-04 (6)
Если не трудно то опиши как работает OPENvpn где и как преобразовываються
ip адреса???
- VPN, Michael, 08:46 , 03-Фев-04 (7)
>Если не трудно то опиши как работает OPENvpn где и как преобразовываються
>
>ip адреса???
во-первых на сайте документация очень хорошая...
а во вторых, основная идея работы OpenVPN (как и многих других туннелирующих VPN) заключается в том, что на двух компьютерах, имеющих доступ в интернет, появляется по дополнительному виртуальному интерфейсу, находящиеся в одной ip-подсети и создается туннель между ними. остается только настроить маршрутизацию, чтобы пакеты для другой сети шли не на шлюз по умолчанию, а на свой интерфейс VPN.
т.е. в результате всем выглядит все так, как будто эти интерфейсы просто соединены кабелем...
- VPN, Крис, 11:36 , 03-Фев-04 (8)
РЕБЯТ! Ну чего придумывать! Возьми скажем какой-нить D-Link DI и настрой как роутер с VPN'ом, в чем проблема то. Там куча возможностей, и два офиса будут работать нормально и проблем минимум, не надо загружать сервак и возиться с разной фигнёй
- VPN, Michael, 12:25 , 03-Фев-04 (9)
>РЕБЯТ! Ну чего придумывать! Возьми скажем какой-нить D-Link DI и настрой как
>роутер с VPN'ом, в чем проблема то. Там куча возможностей, и
>два офиса будут работать нормально и проблем минимум, не надо загружать
>сервак и возиться с разной фигнёй :)
1) D-Link (как и любое железо) денег стоит
2) такую железяку далеко не в любом городе купить можно
3) а ты сам пробовал эти D-Link-и?
мы их пробовали неоднократно, и, в итоге, на направлениях критичных для нашего бизнеса не осталось ни одного (!) D-Link-а... все было заменено на оборудование других производителей...
4) OpenVPN сервак не загружает вообще, памяти ест очень мало (порядка 1Мб)
мне максимум удалось загрузить проц PII-400 на 20-25% при передаче по локалке!
на интернетных скоростях загрузки не заметно вообще.
5) а понадобится подключить еще один филиал - опять бегать, железяку искать, с прошивками и настройками морочиться?
- VPN, Gennadi, 12:49 , 03-Фев-04 (10)
- VPN, Michael, 14:12 , 03-Фев-04 (11)
- VPN, klez, 16:54 , 03-Фев-04 (12)
Вы как я понял настраивали VPN так подскажите пожалуйста
как выглядит firewall (правила iptables) для машины на которой весит vpn,
особенно интересует цепочка forward.
- VPN, Michael, 19:00 , 03-Фев-04 (13)
>Вы как я понял настраивали VPN так подскажите пожалуйста
>как выглядит firewall (правила iptables) для машины на которой весит vpn,
>особенно интересует цепочка forward. у меня не очень сильные правила, так как vpn используется только для технических нужд. вот пример для сотрудника, который пользуется диалапным интернетом через своего провайдера: разрешают внутренний трафик только от и для него:
iptables -I INPUT 1 -i tap1 -s 192.168.104.5 -j ACCEPT
iptables -I OUTPUT 1 -o tap1 -d 192.168.104.5 -j ACCEPT
дальний конец туннеля имеет адрес 192.168.104.5 если на удаленной стороне не один комп, а целая подсетка, до добавляются такие правила:
iptables -I INPUT 1 -i tap0 -s 192.168.0.0/24 -j ACCEPT
iptables -I OUTPUT 1 -o tap0 -d 192.168.0.0/24 -j ACCEPT
где 192.168.0.0/24 - подсеть в филиале разрешают подключение из интернета к OpenVPN:
iptables -I INPUT 1 -p udp -i eth1 -s 111.222.333.0/24 --sport 1234 --dport 1234 -j ACCEPT
iptables -I INPUT 1 -p udp -i eth1 -s 111.222.444.0/24 --sport 1234 --dport 1234 -j ACCEPT
iptables -I INPUT 1 -p udp -i eth1 -s 111.222.555.0/24 --sport 1234 --dport 1234 -j ACCEPT
iptables -I OUTPUT 1 -p udp -o eth1 -d 111.222.333.0/24 --sport 1234 --dport 1234 -j ACCEPT
iptables -I OUTPUT 1 -p udp -o eth1 -d 111.222.444.0/24 --sport 1234 --dport 1234 -j ACCEPT
iptables -I OUTPUT 1 -p udp -o eth1 -d 111.222.555.0/24 --sport 1234 --dport 1234 -j ACCEPT
адреса провайдер выдает динамически из трех пулов 111.222.333.0/24, 111.222.444.0/24 и 111.222.555.0/24 (адреса вымышленные и несуществующие) кроме того есть правило:
iptables -I FORWARD 1 -o ! eth1 -i ! eth1 -s 192.168.0.0/16 -d 192.168.0.0/16 -j ACCEPT
где eth1 смотрит в интернет.
правило довольно опасное, так как разрешает полную внутренню маршрутизацию, но все интерфейсы, кроме общей локалки, находятся под моим личным контролем и обычно вообще пустые. а вообще правила ничем не отличаются от любых других интерфейсом, ес-сно, кроме имени...
- VPN, klez, 23:47 , 03-Фев-04 (14)
А на русском языке есть описание openVPN???
Хотя бы introduction?
А то про freeswan я хорошо понял.
Извини Михаил что так надоедаю :)
- VPN, Michael, 09:06 , 04-Фев-04 (15)
>А на русском языке есть описание openVPN???
>Хотя бы introduction?
не знаю, не видел...
мне того, что на сайте, оказалось вполне достаточно, так что я даже и не искал...>А то про freeswan я хорошо понял.
мда? тогда подкинь ссылочку, может и я пойму :) >Извини Михаил что так надоедаю :)
да ничего страшного... :)
- VPN, klez, 11:16 , 04-Фев-04 (16)
- VPN, просто интересно, 12:27 , 04-Фев-04 (17)
Michael, я так понимаю, Вы с openvpn работаете....
уточните мне несколько моментов:
- для каждого туннеля необходимо писать отдельный конфиг ?
- каждый теннель занимает свой порт ?
- сегодня я в одно месте серсию 1.5, а послезавтра я в другом месте поставлю какую-то 1.* или 2.*
они будут совместимы ?
- у тебя есть всязки линух-винда (интересует качество,стабильность....) ?
- что можешь сказать про соединение 15-20 точек(звезда) openvpn'ом....Буду очень благодарен. :)
- VPN, Michael, 13:34 , 04-Фев-04 (18)
>- для каждого туннеля необходимо писать отдельный конфиг ?
да, отдельный конфиг, очень желательно отдельный файл с ключем>- каждый теннель занимает свой порт ?
да, что удобно для ужесточения правил файервола >- сегодня я в одно месте серсию 1.5, а послезавтра я в
>другом месте поставлю какую-то 1.* или 2.*
>они будут совместимы ?
на сайте заявлено что версии 1.* совместимы начиная с какой-то из младших первых версий, не помню точно...
сам я имел дело только с различными бета-версиями 1.5, так как только начиная с них появился вариант под Винды.
сейчас использую 1.5_beta12, несмотря на то что вышел окончательный релиз 1.5... просто нет необходимости тратить время на обновление, и сейчас все нормально работает.
но рекомендую ставить 1.5, в ней исправлены некоторые существенные баги. >- у тебя есть всязки линух-винда (интересует качество,стабильность....) ?
если сразу полностью заработало, то потом можно не волноваться, у меня за 5 месяцев никаких внезапных остановок не было...
надо быть осторожным с бета-версиями, иногда приходится подбирать параметры, чтобы обойти какой-нибудь баг.
принципиальных багов мне не попадалось, но иногда приходилось указывать явно некоторые параметры, несмотря на то, что они должны определяться автоматически. >- что можешь сказать про соединение 15-20 точек(звезда) openvpn'ом....
у меня в центре стоит Линукс, на филиалах и у сотрудников Вин2000
сейчас на 5 туннелей запущено по экземпляру openvpn, каждый со своим конфигом. в виндах openvpn-овская служба должна сама подхватывать все конфиги из каталога с конфигами, но я сам пробовал класть туда только один конфиг... 15-20 соединений - думаю, проблем не будет.
- VPN, просто интересно, 14:55 , 04-Фев-04 (19)
>>- для каждого туннеля необходимо писать отдельный конфиг ?
>да, отдельный конфиг, очень желательно отдельный файл с ключем
а возможно, как в freeswan, один конфиг на несколько соединений ?
а в нем уже расписать все ключи и т.д.
- VPN, Michael, 15:18 , 04-Фев-04 (20)
>>>- для каждого туннеля необходимо писать отдельный конфиг ?
>>да, отдельный конфиг, очень желательно отдельный файл с ключем
>а возможно, как в freeswan, один конфиг на несколько соединений ?
>а в нем уже расписать все ключи и т.д.
нет, например потому, что нельзя нескольким процессам открыть один и тот же порт.
да и другие коллизии могут получиться...да, собственно, я и не вижу необходимости все совать в один файл...
имхо, по раздельности даже лучше тем, что можно останавливать, перенастраивать, запускать одни туннели не мешая другим, которые находятся в работе. - VPN, просто интересно, 16:43 , 04-Фев-04 (21)
>имхо, по раздельности даже лучше тем, что можно останавливать, перенастраивать, запускать одни
>туннели не мешая другим, которые находятся в работе. ок.
спасибо за советы...
буду строить.
- VPN, klez, 11:41 , 05-Фев-04 (22)
Михаил у меня возник такой вопрос как через тунель юзеров выкинуть в инет
т.е. все запросы адресованные в инет компов филиала проходят через тунель ко мне а дальше NAT и в инет, что-то я не чем понять что мне надо крутить??филиал--->-vpn---->-центральный офис---proxy--nat--->---inet
- VPN, Michael, 13:27 , 05-Фев-04 (23)
>Михаил у меня возник такой вопрос как через тунель юзеров выкинуть в
>инет
>т.е. все запросы адресованные в инет компов филиала проходят через
>тунель ко мне а дальше NAT и в инет, что-то я
>не чем понять что мне надо крутить??
>
>филиал--->-vpn---->-центральный офис---proxy--nat--->---inet
вот прям так и делать, как нарисовано.
только обычно применяется либо прокси, либо нат. одновременно они применяются редко, да и смысла не вижу... только если есть какие-то экзотические условия...
да и vpn, скорее всего, будет на той же машине, что и прокси...
т.е. схема будет примерно такой:
филиал-->vpn-->internet-->vpn-->proxy-->internet1) если применяется прокси, то:
либо прокси должен слушать vpn-интерфейс, который смотрит на филиал (что не желательно, так как интерфейс может быть не все время поднят), либо (что лучше) настроить маршрутизацию с vpn-интерфейса на тот интерфейс, который слушает прокси. ес-сно файервол должен пропускать пакеты из филиала на прокси (или вообще в локальную сеть) и обратно.
т.е. компьютеры филиала будут присоединяться к прокси так же, как будто они в локальной сети 2) если применяется нат, то:
файерволл должен пропускать пакеты из филиала, натить их, и выпускать в интернет.
на пограничном компьютере в филиале должен быть задан маршрут на внешний адрес пограничного компьютера у тебя, а маршрут по умолчанию - на адрес vpn-интерфейса у тебя. т.е. все пакеты, кроме тех, которыми обмениваются концы туннеля, должны по умолчанию отправляться через vpn к тебе. PS. но есть ли смысл применения такой схемы? ведь так придется два раза платить за филиальный трафик...
- VPN, klez, 13:40 , 05-Фев-04 (24)
>PS. но есть ли смысл применения такой схемы? ведь так придется два
>раза платить за филиальный трафик...
Есть:)
Связь филиал - центр осуществляеться - 70$ за каждую точку соединение на скорости 1024 Kb. - VPN, просто интересно, 19:28 , 05-Фев-04 (25)
>>PS. но есть ли смысл применения такой схемы? ведь так придется два
>>раза платить за филиальный трафик...
>Есть:)
>Связь филиал - центр осуществляеться - 70$ за каждую точку соединение на
>скорости 1024 Kb. to klez:
извиняюсь за наглость, но все же...
кто и где предоставляет такие условия ?
мне это интересно, т.к. сам занимаюсь подобным проектом... - VPN, klez, 20:26 , 05-Фев-04 (26)
если у тебя ADSL то позвони своему провайдеру и спроси могут ли она поднять еще один АТМ канал (по-моему это так называеться)-к сожилению действительно только в пределах города :( -но у меня все филиалы в пределах города.
КГТС или проще ГТС города Казанию.
- VPN, klez, 16:47 , 06-Фев-04 (27)
Михаил ты на какой системе (дистр linux) поднимал OPENVPN?
Если что может e-mail даш или лучше на форуме тему открывать?
Вдруг какие-то вопросы появиться при установки-настройки OpenVPN - VPN, Михаил, 08:50 , 08-Фев-04 (28)
>Михаил ты на какой системе (дистр linux) поднимал OPENVPN?
конкретно я поднимал на RH 8.0, но реально, имхо, это не имеет никакого значения.
вряд ли есть зависимость от конкретного дистрибутива...>Если что может e-mail даш или лучше на форуме тему открывать?
>Вдруг какие-то вопросы появиться при установки-настройки OpenVPN
мой e-mail есть во всех моих постах - miksoft@mail.ru если честно, то мне надоело общие вопросы обсуждать. предлагаю сначала поставить, прочитать документацию (на мой взгляд ее достаточно для решения всех проблем) и если что-то все-таки не получится, то открывать новую тему на форуме с конкретной проблемой.
можно и на емейл написать, но оперативность ответа не обещаю.
- VPN, cybertim, 10:10 , 09-Фев-04 (29)
>я в аналогичных целях использую OpenVPN http://openvpn.sourceforge.net/
>про плюсы и минусы я уже писал https://www.opennet.ru/openforum/vsluhforumID1/39681.html
Почитал... прочувствовал, в принципе установка действитильно несложная,
но возник вопрос несколько организационного характера:
Сеть 50 компов и с той стороны еше 10 - уже много да еще учитывая что там 33.6кбпс. Конечно хотелось сначала сделать бриджом т.к. тогда все в одном сегменте, но на сколько я понял из того что там написано, бридж делать геморройнее чем роутер (хотя я так и не понял чем отличается настройки OpenVPN со стороны клиента в бридже от настроек в роутере). Единственный минус бриджа (а иногда и плюс) это broadcast.Но т.к. с той стороны канал узкий то есть подозрения что он забьется широковещательными сообщениями. Ну поставил WINS и с широковещательными вроде разобрался.
Теперь сам вопрос: насколько теперь (с WINS) будет прозрачен роутер если учесть что в сети только windows машины.
P.S. Netbios естественно через TCP/IP
- VPN, MrKooll, 20:13 , 13-Фев-04 (30)
>Необходимо связать две локальные сети (в разных городах) в одну.
>Имеется: в Самаре SHDSL Win2000 Server IP статитеческий
> в Отрадном 33.6k
>Linux Slackware 9 IP статитеческий
>Что посоветуете почитать? Почитать про FreeS/WAN (сначала на www.securitylab.ru, потом на www.freeswan.org оригинальную доку).
Потом взять на www.freeswan.ca super-freeswan-1.99.8 и поставить на Слаку.
В доке и описано как винду подключать. >P.S. Linux знаю на уровне "собрать ядро, поставить роутер (iptables, ipchains), samba,
>http". Винду получше.
- VPN, Carrie, 11:45 , 15-Фев-04 (31)
Лучше поставить 2.6.x ядро, чтоб заюзать KAME, ipsec-tools и прочесть http://lartc.org/howto/
Разобраться и настроить хоть как-нить - 30 минут.
- VPN, Михаил, 12:59 , 15-Фев-04 (32)
>Лучше поставить 2.6.x ядро, чтоб заюзать KAME, ipsec-tools и прочесть http://lartc.org/howto/
>Разобраться и настроить хоть как-нить - 30 минут.
да новое ядро только скачать - уже дольше 30 минут может оказаться :)
и поставить его - тоже не тривиальная задача для многих... не зря столько вопросов про это...и вообще, кардинально менять ядро ради VPN - это (ИМХО) из пушки по воробьям стрелять :)
|
Версия для распечатки
VPN, 
