|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Alexander Chetirbock 2:5015/89 08 Aug 2001 10:19:01
To : All
Subject : Re: =?KOI8-R?Q?=F7=CF=D0=D2=CF=D3=20=D0=CF=20=D4=C5=CD=C5?= VPN .=?KOI
--------------------------------------------------------------------------------
.RFC-X-Complaints-To: usenet@gw.ci.nnov.ru
.RFC-NNTP-Posting-Date: 8 Aug 2001 07:17:12 GMT
.RFC-X-Accept-Language: ru, en
Subject: Re: =?KOI8-R?Q?=F7=CF=D0=D2=CF=D3=20=D0=CF=20=D4=C5=CD=C5?= VPN =?KOI
Subject: Re: =?KOI8-R?Q?=F7=CF=D0=D2=CF=D3=20=D0=CF=20=D4=C5=CD=C5?= VPN
=?KOI8-R?Q?=C9?= IPsec
Reply-To: bock@bock.nnov.ru
kvitalik@sp2000.ru wrote:
> From: "Koreshkov Vitalik." <kvitalik@sp2000.ru>
>
> Уважаемые, извините за повтор темы, но имею я несколько вопросов.
> Вопрос остро не стоит, но возможно скоро придётся реализовать такую штуку,
> поэтому хотелось бы владеть темой.
> Итак, что имеем (или будем иметь)?
> Допустим есть две конторы, которые расположены в разных городах. Hазовём их
> контора А и контора В. Все машины этих контор имеют левые адреса. Для конторы
> А - 192.168.1.0/24, для конторы В - 192.168.2.0/24. Обе конторы имеют
> выделенки в Интернет, имеют по одному реальному адресу и ходят через него,
> используя NAT, поднятый на FreeBSD. Всё это нормально работает.
>
> Что надо?
> Hеобходимо настроить туннель между двумя этими конторами, причём обязательное
> условие - полная прозрачность, т.е. машины из конторы А должны видеть все
> машины конторы В и наоборот.
>
> Чего уже знаю?
>
> Вариантов решения было три:
> 1. туннель на кисках;
> 2. туннель на FreeBSD;
> 3. туннель на W2k.
>
> Первый и третий вариант отпали из-за дополнительных финансовых вливаний.
> Остался второй вариант.
> Схематично задача выглядит так:
> Контора А FreeBSD (NAT) A FreeBSD (NAT) B Контора B
> 192.168.1.0/24 ---- a.b.c.d ---------- e.f.g.h -------- 192.168.2.0/24
>
> Воспользовавшись советом в эхе и изучив в хендбуке IPsec и ещё раз man natd
> понял следующее:
> 1. на машинах с Free пересобираем ядра с опциями
> options IPSEC
> options IPSEC_ESP
Видимо, этого недостаточно. Для тунеля нужно еще
pseudo-device gif 4
Подробно об этом можно прочитать в
http://asherah.dyndns.org/~josh/ipsec-howto.txt или
http://www.x-itec.de/projects/tuts/ipsec-howto.txt
> 2. Достаточно ли того, что на машинах c Free и NAT дефолтовый маршрут будет
> выставлен на провайдера или необходимо добавить маршрут, например на free в
> конторе А, о том что пакеты для внутренней сети конторы В надо кидать на free
> конторы В, ну и соответственно наоборот?
Видимо, нужно ставить статический роутинг.
> 3. Hе совсем понятно какие правила будут отрабатывать при перекладывании
> пакетов. Правила NAT или настройка IPsec или, всё таки, для прозрачности
> необходимо настраивать redirect на внутреннюю сеть на машинах с NAT?
Этот вопрос отпадет после чтения howto.
--
Alexander Chetirbock
--- Mozilla/5.0 (X11; U; FreeBSD 4.3-STABLE i386; en-US; rv:0.9.1)
Gecko/20010624
* Origin: Consul-Incom (2:5015/89@fidonet)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
Re: =?KOI8-R?Q?=F7=CF=D0=D2=CF=D3=20=D0=CF=20=D4=C5=CD=C5?= VPN .=?KOI 