|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Koreshkov Vitalik. 2:5020/175.2 08 Aug 2001 02:57:05
To : All
Subject : Вопрос по теме VPN и IPsec
--------------------------------------------------------------------------------
Уважаемые, извините за повтор темы, но имею я несколько вопросов.
Вопрос остро не стоит, но возможно скоро придётся реализовать такую штуку,
поэтому хотелось бы владеть темой.
Итак, что имеем (или будем иметь)?
Допустим есть две конторы, которые расположены в разных городах. Hазовём их
контора А и контора В. Все машины этих контор имеют левые адреса. Для конторы
А - 192.168.1.0/24, для конторы В - 192.168.2.0/24. Обе конторы имеют
выделенки в Интернет, имеют по одному реальному адресу и ходят через него,
используя NAT, поднятый на FreeBSD. Всё это нормально работает.
Что надо?
Hеобходимо настроить туннель между двумя этими конторами, причём обязательное
условие - полная прозрачность, т.е. машины из конторы А должны видеть все
машины конторы В и наоборот.
Чего уже знаю?
Вариантов решения было три:
1. туннель на кисках;
2. туннель на FreeBSD;
3. туннель на W2k.
Первый и третий вариант отпали из-за дополнительных финансовых вливаний.
Остался второй вариант.
Схематично задача выглядит так:
Контора А FreeBSD (NAT) A FreeBSD (NAT) B Контора B
192.168.1.0/24 ---- a.b.c.d ---------- e.f.g.h -------- 192.168.2.0/24
Воспользовавшись советом в эхе и изучив в хендбуке IPsec и ещё раз man natd
понял следующее:
1. на машинах с Free пересобираем ядра с опциями
options IPSEC
options IPSEC_ESP
2. говорим на машинах с free (используем Tunnel mode with IPv4)
FreeBSD контора А
setkey -c <<EOF
spdadd 192.168.1.0/24 192.168.2.0/24 any -P out ipsec
ah/tunnel/a.b.c.d-e.f.g.h/require ;
spdadd 192.168.2.0/24 192.168.1.0/24 any -P in ipsec
ah/tunnel/e.f.g.h-a.b.c.d/require ;
add a.b.c.d e.f.g.h ah-old 0x10003 -m any
-A keyed-md5 "this is the test" ;
add e.f.g.h a.b.c.d ah-old 0x10004 -m any
-A keyed-md5 "this is the test" ;
EOF
FreeBSD контора В
setkey -c <<EOF
spdadd 192.168.2.0/24 192.168.1.0/24 any -P out ipsec
ah/tunnel/e.f.g.h-a.b.c.d/require ;
spdadd 192.168.1.0/24 192.168.2.0/24 any -P in ipsec
ah/tunnel/a.b.c.d-e.f.g.h/require ;
add a.b.c.d e.f.g.h ah-old 0x10003 -m any
-A keyed-md5 "this is the test" ;
add e.f.g.h a.b.c.d ah-old 0x10004 -m any
-A keyed-md5 "this is the test" ;
EOF
Теперь вопросы.
1. Вышеприведённые команды говорим один раз или каждый раз при загрузке машин?
Если каждый раз, то откуда сказать? Из rc.local?
2. Достаточно ли того, что на машинах c Free и NAT дефолтовый маршрут будет
выставлен на провайдера или необходимо добавить маршрут, например на free в
конторе А, о том что пакеты для внутренней сети конторы В надо кидать на free
конторы В, ну и соответственно наоборот?
3. Hе совсем понятно какие правила будут отрабатывать при перекладывании
пакетов. Правила NAT или настройка IPsec или, всё таки, для прозрачности
необходимо настраивать redirect на внутреннюю сеть на машинах с NAT?
Пока больше неясностей нет. Поэкспериментировать не с чем, так как пока всё
это в планах, а не зная вопроса можно завалить сервак, который стоит за
несколько сот километров отсюда.
Извините за длинное послание, но думаю эта тема будет интересна не только мне.
Спасибо.
--- ifmail v.2.15
* Origin: FidoNet Online - http://www.fido-online.com (2:5020/175.2)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
