|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Alexander V. Gaiduk 2:5020/400 25 Aug 2004 18:04:06
To : Aleksey Barabanov
Subject : Hа: Hа: VPN
--------------------------------------------------------------------------------
> >> > ситуёвина такая:
> >> >
> >> > сеть1:
> >> > линух (192.168.1.1)
> >> > eth0 - локалка: 192.168.х.х
> >> > eth1 - наружа: [кошка]->(наш провайдер)->...
> >> > /proc/sys/net/ipv4/ip_forward = 0 - так надо.
> >> Т.е. весь траффик _должен_ будет проксироваться. Т.е. маскарада не
будет
> и
> >> не будет роутинга. Как же будет работать vpn ?
> >
> > этот линух - DNS / MAIL сервер, на него ходят как снаружи, так и
изнутри.
> > но не через него. весь маскарад на кошке, прокся на другом линухе с
одним
> --^^^^^^^^^^^
> Вопрос с роутингом остается открытым.
весь роутинг+маскарадинг живет в кошке.
уж как смог нарисовал нужную часть сетки
[смотреть моноширинным шрифтом]
+ )))))))))))))))))))))))))))))) +
-+- -+-
+++ +++
+++ +++
| +------------+ |
| |DNS/Mail/VPN| | +----+
| |----+ +----| +-+-------+ |VPN |
| |eth1| |eth0| | hub | |----|
| +--+-+--+--+-+ +-+-+-+-+-- |eth0|
| |||| | | | | | | +-+--+
| +++++-----++ | | |
| | inet hub | | +------+
| +---------++ |
| | |
++---------+ +---+---+ |
|провайдер |==| кошка | |
+----------+ +---+---+ |
| |
+----+-----+ |
| стэк +-+
+----------+
| свичей |
+----------+
| головной |
+----------+
| конторы |
+----------+
> И появляется второй вопрос. Туннуль то будет от чего до чего ?
на картинке, там где скобочки - это радиоканал :)
> >> > сеть2:
> >> > линух (192.168.10.1)
> >> > eth0 - локалка 192.168.10.х
> >> > hub->[RadioEthernet]->(наш провайдер)
> >> >
> >> > сеть2 должна быть прозрачно видна из сети 192.168.х.х
> >> Здесь "видна" понимается как беспрепятственное прохождение траффика,
или
> > еще
> >> и dns-ы надо увязать ?
> >
> > DNS у всех один - 192.168.1.1
> Это не рационально. Т.е. в условиях недоступности туннеля резолвинг в сети
2
> работать не будет. Обычно делают слейв во второй сети, или по мастеру для
> собственной зоны и по слейву для удаленной зоны.
ах, это.
это не проблема - сделаем.
> > но эта сетка должна быть видна как равноправная для всех членов
> > корпоративной сети, что живут на 192.168.x.y (где x - несколько чисел)
> Что значит "равноправная" ? Адрес корпоративной сети какой ? Или это набор
> сетей ?
набор сетей:
в головной конторе
192.168.1.x
192.168.2.x
........
192.168.50.x
в удаленных подразделениях
192.168.10.x
.........
192.168.110.x
но все эти сети прозрачны для всех членов сети.
> > есть центральная организация с >400 хостов,
> > есть еще 8 удаленных подразделений <30 хостов до которых протянуты
> > каналы по оптике или xDSL но два из подразделений слишком далеко для
> > оптики/xDSL (дорого), по этому туда только RadioEthernet от нашего
> > провайдера.
> Hу тогда вы должны понимать, что для соединения сетей роутинг через
> пограничные хосты необходим.
вот я постепенно и накапливаю информацию про все это.
> >> > юзеры сети2 должны видеть _только_ сеть 192.168.х.х, ну и свою
> >> 192.168.10.х
> >>
> >> Аналогичный вопрос.
> >>
> >> И еще. Если вы вводите ограничение траффика для одной из сторон, то тем
> >> самым условия "видимости" тоже следует пересмотреть.
> >
> > я имел в виду, если у RadioEthernet железки будет реальный IP (пока
> > неизвестно),
> > надо чтоб юзеры из этой сетки не могли поставив себе в Default Gataway
> > этот IP лазить в инет. ибо в инет надо только через центральную кошку.
> 1. Это решается через файрвол.
> 2. Это приводит к удвоению траффика.
это не страшно, т.к. по радио нам дают всего 1 Мбит.
а суммарный трафик тех локальных юзеров будет небольшой.
> У меня есть "странноватый" клиент, который пошел на такое в отношении
почты.
> Hо в Сеть они все-таки ходят через свой локальный гейт. (Кстати, именно
там
> радиоэзернет на 50км ;)
>
> >> > RadioEthernet железка пока еще не установлена, по этому интересуют
> >> > все возможные конфигурации VPN, как со стороны нашего провайдера,
> >> > так и с нашей стороны.
> >> Ищите в гугле все на эту тему. Вариантов море. Hе далее 2-х недель даже
> >> здесь что-то обсуждалось. Hа вскидку ppp-ssh, pptp, vtun, openvpn,
> >> freeswan/ipsec .... есть даже l2tp ;)
> >
> > рекомендуют vtun или openvpn.
> Главное различие в протоколах. Есть семейство туннелей на tcp/udp, а есть
на
> собственных протоколах. Последние плохо живут если приходится их рутить
> через всякие линуксовые и аппаратурно несостоятельные сетки, где не
> соблюдается полная протокольная прозрачность. И с этой точки зрения
OpenVPN
> сильно привлекательно выглядит. А vtun староват.
ну вот, с софтом определился.
--- ifmail v.2.15dev5.3
* Origin: Internet-Arkhangelsk Company (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
VPN |
Alexander V. Gaiduk |
23 Aug 2004 16:51:44 |
 Re: VPN |
Alex Korchmar |
23 Aug 2004 16:57:34 |
 Re: VPN |
Valentin Nechayev |
24 Aug 2004 22:20:15 |
|
Hа: VPN |
Alexander V. Gaiduk |
25 Aug 2004 09:39:22 |
 Re: Hа: VPN |
Aleksey Barabanov |
25 Aug 2004 11:24:05 |
 Hа: Hа: VPN |
Alexander V. Gaiduk |
25 Aug 2004 12:50:32 |
|
Re: Hа: Hа: VPN |
Aleksey Barabanov |
25 Aug 2004 13:28:44 |
|
Hа: VPN |
Alexander V. Gaiduk |
25 Aug 2004 14:58:35 |
|
Re: Hа: VPN |
Aleksey Barabanov |
25 Aug 2004 15:13:26 |
|
Hа: Hа: VPN |
Alexander V. Gaiduk |
25 Aug 2004 18:04:06 |
|
Re: Hа: Hа: VPN |
Aleksey Barabanov |
25 Aug 2004 18:27:53 |
|
Hа: Hа: Hа: VPN |
Alexander V. Gaiduk |
26 Aug 2004 10:38:30 |
|
Re: Hа: Hа: Hа: VPN |
Aleksey Barabanov |
26 Aug 2004 11:36:53 |
|
Re: VPN |
Valentin Nechayev |
25 Aug 2004 18:17:04 |
|
|
