The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"DMVPN на FreeBSD"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (VPN / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"DMVPN на FreeBSD"  +/
Сообщение от ailman email(ok) on 24-Дек-10, 12:53 
Здравствуйте!
Как известно, VPN в топологии звезды имеет один существенный недостаток - весь траффик внутри впн проходит через сервер, в связи с чем увеличивается время задержки пакетов, проходящих от одного клиента к другому. Так же на сервере VPN необходим достаточно широкий канал, если подключено множество клиентов.
В связи с этим возникает резонный вопрос: как можно было бы реализовать Dynamic Multipoint VPN во фрях? Реализация множества туннелей вручную по типу полносвязной сети (всех со всеми) не подходит, т.к. если количество клиентов хотя бы порядка 10, тогда придется настраивать N*(N-1) туннелей (90!), что отнимет массу времени и за всем этим уследить будет практически невозможно. Интересует решение именно на Freebsd.
Кто что думает по этому поводу? =)
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "DMVPN на FreeBSD"  +/
Сообщение от BarS (??) on 24-Дек-10, 14:58 
>[оверквотинг удален]
> траффик внутри впн проходит через сервер, в связи с чем увеличивается
> время задержки пакетов, проходящих от одного клиента к другому. Так же
> на сервере VPN необходим достаточно широкий канал, если подключено множество клиентов.
> В связи с этим возникает резонный вопрос: как можно было бы реализовать
> Dynamic Multipoint VPN во фрях? Реализация множества туннелей вручную по типу
> полносвязной сети (всех со всеми) не подходит, т.к. если количество клиентов
> хотя бы порядка 10, тогда придется настраивать N*(N-1) туннелей (90!), что
> отнимет массу времени и за всем этим уследить будет практически невозможно.
> Интересует решение именно на Freebsd.
> Кто что думает по этому поводу? =)

Вопрос интересный, OpenVPN при работе с сертификатами пофигу что у тебя за сертификат если он не обозначен как конфигурации как только серверный, можно попробовать пойти по этому пути,  типа динамических соединений между клиентами, а вот как узнать реальный IP (хотя на сервере можно). Трудно, но выполнимо. Пилить прийдется много, но сделать реально.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "DMVPN на FreeBSD"  +/
Сообщение от BarS (??) on 24-Дек-10, 15:04 
Хотя очень трудно это сделать, если запустить на каждом клиенте сервер и клиент на сервер, как-то выяснять реальный IP нужного клиента и цеплятся к нему клиентом. Нет - слишком заморочено. Короче зря написал.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "DMVPN на FreeBSD"  +/
Сообщение от ailman email(ok) on 24-Дек-10, 17:46 
> Хотя очень трудно это сделать, если запустить на каждом клиенте сервер и
> клиент на сервер, как-то выяснять реальный IP нужного клиента и цеплятся
> к нему клиентом. Нет - слишком заморочено. Короче зря написал.

Тоже думал реализовать с помощью опенвпн-а и с помощью скриптов.
В принципе, можно было бы с клиентов первоначально телнетиться на последовательность каких-нить определенных портов(нестандартных) сервака, на серваке написать скрипт, который парсит логи запущенного tcpdump-а и проверяет. Если последовательность верная, то данные IP являются нашими, инициируем между клиентами vpn-соединение... как-то так... но тоже геморр и не факт, что будет работать ))
думал как-то над приблизительным алгоритмом действий со стороны сервера и клиентов для реализации DMVPN с маршрутизацией до сетей за клиентами (поделюсь позже), может соберемся всем миром и зафигачим свой впн? ))
Еще идеи?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "DMVPN на FreeBSD"  +/
Сообщение от BarS (??) on 27-Дек-10, 11:40 
>[оверквотинг удален]
> Тоже думал реализовать с помощью опенвпн-а и с помощью скриптов.
> В принципе, можно было бы с клиентов первоначально телнетиться на последовательность каких-нить
> определенных портов(нестандартных) сервака, на серваке написать скрипт, который парсит
> логи запущенного tcpdump-а и проверяет. Если последовательность верная, то данные IP
> являются нашими, инициируем между клиентами vpn-соединение... как-то так... но тоже геморр
> и не факт, что будет работать ))
> думал как-то над приблизительным алгоритмом действий со стороны сервера и клиентов для
> реализации DMVPN с маршрутизацией до сетей за клиентами (поделюсь позже), может
> соберемся всем миром и зафигачим свой впн? ))
> Еще идеи?

Есть идея парсить логи и конфиги openvpn на сервере и собирать на основе их конфиги, потом клиент по ssh (или что попроще, все равно через тунель трафик идет) забирает конфиг и рестартует openvpn. Варианты в этом направлении есть, вроде уже более менее организовать можно, только вот для чего понять не могу все эти заморочки, можно ведь нарваться полный атас. Уж лучше циску использовать.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "DMVPN на FreeBSD"  +/
Сообщение от ailman email(ok) on 27-Дек-10, 12:21 
> Есть идея парсить логи и конфиги openvpn на сервере и собирать на
> основе их конфиги, потом клиент по ssh (или что попроще, все
> равно через тунель трафик идет) забирает конфиг и рестартует openvpn. Варианты
> в этом направлении есть, вроде уже более менее организовать можно, только
> вот для чего понять не могу все эти заморочки, можно ведь
> нарваться полный атас. Уж лучше циску использовать.

Собирать конфиги на базе парсинга логов openvpn хорошая идея, тоже сегодня думал над этим. Изначально ведь в любом случае надо организовать "звезду", так что это действительно будет проще...
Были бы циски, я бы не поднимал этот вопрос. А в бюджет их закладывать и не планируется.
Лень и жадность - двигатель прогресса ;)

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "DMVPN на FreeBSD"  +/
Сообщение от ailman email(ok) on 28-Дек-10, 13:10 
Наткнулся на софтинку под названием Tinc - http://www.tinc-vpn.org/
Слышал, что она умеет создавать "сетчатые виртуальные сети". Реально ли её использовать для объединения нескольких офисов каждый с каждым и насколько это удобно (в случае дальнейшего расширения при открытии новых филиалов)?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру