VPN-SERVER(DHCP+DNS)-3 ОФИСА

[q3shtorm]

Нужен совет

Помогите пожалуйста разобраться.

Сначала расскажу ситуацию, а потом саму если так можно назвать проблемку.

Есть сервер, там стоит ubuntu 10.10 десктоп.
На сервере 6 сетевых карт.

Провайдер раздаёт инет по vpn через локальную сеть 10.231.х.х. Есть 3 отдельных учётки (логин+пароль)
От свича провайдера идут 3 витухи и подходят к 3м сетевухам на сервере (предположим eth1-vpn1, eth2-vpn2, eth3-vpn3)

От оставшихся 3х сетевых карт как предполагается кабели будут идти в 3 свича  (eth4-switch1, eth5-switch2, eth6-switch3), уставноленные каждый (свич) в разных офисах, далее на клиенские машины.

Надо что бы у  3х офисов были 3 разных локальных сети без доступа друг к другу (что бы с 1 свича нельзя было зайти на компы на 2 и 3 свиче и наоборот.) ну и инет у всех тоже должен быть. Инет предпочтительно делить по скорости между всеми пользователями поровну, но желательно с учётом пользователей находящихся в данный момент в сети.
Так же нужно уставновить контроль трафика между всеми офисами и за каждым пользователем в отдельности.

Будет ли скорость суммироваться со всех 3х подключений впн или будет раздоваться каждое подключение на каждый офис - разницы нет, должно быть просто одинаково, в реализации лучьше проще да надёжнее)

Мои предположения такие : поставить dhcp сервер (dhcp3-server) для начала - что бы он раздавал на каждую из сетевух (eth 4-5-6) идущую на свичи свою адресацию, но сразу проблема я не знаю как его настроить на работу с 3 интерфейсами.
Далее поднять 3 впн соединения, но я не знаю как привязать впн соединение к определённому интерфейсу. При создании (создавал по скрипту предоставляемому провайдером) даёться выбрать только шлюз, но по стечению обстоятельств шлюз в eth 1-2-3 одинаковый, а по одному локальному соединению провайдер не даёт поднять больше 1 vpn туннеля.
Раздавать инет предполагается или натом с помощью iptable или кеширующий прокси squid, но опять же хз так ли разумнее сделать или есть другой вариант(ы)
Вот насчёт dns даже и не знаю надо оно или нет, но если надо то настройка есть, начитался про bind9.
По контролю трафика вопрос отдельны, но с этим я думаю разберусь, манов куча.

Внимание вопрос: кто что думает, может кто то сталкивался с подобным или где то видел реализацию.

Главное что бы у офисов были отдельные сети без доступа друг к другу и был инет по ровну на всех, остальное не важно)

В гугле был, по форуму тоже посмотрел, моей ситуации не нашёл.
В линуксе относительно новенький так что за корявость изложения мыслей или что то не верно написанное просьба сильно не ругать, если требуется какая то доп. информация с удовольствием предоставлю.


Заранее спасибо, с удовольствием рассмотрю любые предложения\замечания и всё остальное.

[AnrDaemon]

Встречный вопрос - в чём проблема? Я лично не вижу ничего, что могло бы вызвать затруднения у человека, умеющего читать man iproute2.
Учёт трафика - немного отдельная тема.

[Гарри Кашпировский]

Конкретно что понимается под словом VPN?

[q3shtorm]

Встречный вопрос - в чём проблема? Я лично не вижу ничего, что могло бы вызвать затруднения у человека, умеющего читать man iproute2.
Учёт трафика - немного отдельная тема.

Чесно скажу с iproute2 дело не имел, прочитал на википедии что это и для чего... Правда не совсем понял куда конкретно в моей ситуации этот набор утилит можно применить ? Или это насчёт привязки впн соединений к конкретным интерфейсам или я хз. Если не сложно расскажите пожалуйста по подробнее.

Прочитал несколько постов на форумах, если я правильно понял с помощью iproute2 можно например соединить 2 канала трафика в 1 и ещё кучу и кучу всего.

Но насчёт поднятия впн туннеля на определённой сетевухе я что то не нашёл.
Пользователь решил продолжить мысль 02 Апреля 2011, 19:57:40:

Конкретно что понимается под словом VPN?

Под впн в даннок контексте понимается туннель поднимаемый от моего сервера к провайдеру по средством логина и пароля.
Пользователь решил продолжить мысль 02 Апреля 2011, 20:06:07:

Конкретно что понимается под словом VPN?

Если вы имеете ввиду название темы то да - коряво написал, задумка была показато откуда куда инет идёт ) по другому:
ИНЕТ ИДЁТ = VPN>>>SERVER(DHCP+DNS)>>>3 ОФИСА

[Гарри Кашпировский]

Прекрасно капитан! По какой технологии поднимается туннель "от сервера к провайдеру по средством логина и пароля" ?

[q3shtorm]

Прекрасно капитан! По какой технологии поднимается туннель "от сервера к провайдеру по средством логина и пароля" ?

если про это то pptp, хотя есть возможность и l2tp, не критично)
если не про это то я не понимаю о чем речь. первый раз вижу термин технология впн...
А если не секрет какая разница ?

[censor]

На сервере 6 сетевых карт.

явно излишек

Провайдер раздаёт инет по vpn через локальную сеть 10.231.х.х. Есть 3 отдельных учётки (логин+пароль)
От свича провайдера идут 3 витухи и подходят к 3м сетевухам на сервере (предположим eth1-vpn1, eth2-vpn2, eth3-vpn3)

бред

От оставшихся 3х сетевых карт как предполагается кабели будут идти в 3 свича  (eth4-switch1, eth5-switch2, eth6-switch3), уставноленные каждый (свич) в разных офисах, далее на клиенские машины.

Надо что бы у  3х офисов были 3 разных локальных сети без доступа друг к другу (что бы с 1 свича нельзя было зайти на компы на 2 и 3 свиче и наоборот.) ну и инет у всех тоже должен быть.

каков сокраментальный смысл разделения сети одной организации на 3 сегмента? сколько компьютеров в каждом сегменте предполагается?

Инет предпочтительно делить по скорости между всеми пользователями поровну, но желательно с учётом пользователей находящихся в данный момент в сети.

это задача шейпера или прокси сервера.

Так же нужно уставновить контроль трафика между всеми офисами и за каждым пользователем в отдельности.

выпускать через проксю с авторизацией, если в сети есть контроллер домена, можно настроить прозрачную NTLM авторизацию.

Мои предположения такие : поставить dhcp сервер (dhcp3-server) для начала - что бы он раздавал на каждую из сетевух (eth 4-5-6) идущую на свичи свою адресацию, но сразу проблема я не знаю как его настроить на работу с 3 интерфейсами.

может не надо, а?

Далее поднять 3 впн соединения, но я не знаю как привязать впн соединение к определённому интерфейсу. При создании (создавал по скрипту предоставляемому провайдером) даёться выбрать только шлюз, но по стечению обстоятельств шлюз в eth 1-2-3 одинаковый, а по одному локальному соединению провайдер не даёт поднять больше 1 vpn туннеля.

https://help.ubuntu.ru/wiki/ip_balancing
выбирайте любой вариант балансировки.

Раздавать инет предполагается или натом с помощью iptable или кеширующий прокси squid, но опять же хз так ли разумнее сделать или есть другой вариант(ы)

если хотите контролировать пользователей, ИМХО со сквидом проще.

Вот насчёт dns даже и не знаю надо оно или нет, но если надо то настройка есть, начитался про bind9.

если в сети предполагается обращение в компьютерам по именам, то да, луче настроить bind и подружить его с isc-dhcp-server

Главное что бы у офисов были отдельные сети без доступа друг к другу и был инет по ровну на всех, остальное не важно)

зачем делить на изолированные сети?

[Гарри Кашпировский]

с pptp, мне кажется реализовать такое, в условиях ТЗ возможно только костылями, я имею ввиду
eth1 - vpn1; eth2 - vpn2; eth3 - vpn3, при условии, что доступна одна сессия с одного source-адреса. Можно и средствами iproute обойтись, к тому же желательно, что бы провайдер имел не один VPN-сервер, а пул, минимум из трёх серверов. И подключаться к ним все же придется по IP-адресу, а не по имени.
Вот мой эскиз:
ip r a vpn1_addr/netmask via default_gw dev eth1 src IP_eth1
ip r a vpn2_addr/netmask via default_gw dev eth2 src IP_eth2
ip r a vpn3_addr/netmask via default_gw dev eth3 src IP_eth3
И в конфигах vpn указать подключаться по IP-адресам vpn-серверов, каждый к своему.
По крайней мере я себе это плохо представляю как бы можно было бы сделать иначе.
Что касается всего остального, DHCP и прочих плюх, то это решается чтением документации.
А если бы я принимал участие в принятии сети в эксплутацию, то первым делом бы прибил инженера, который эту сеть разрабатывал, потому что 6 сетевых карточек на сервере - это перебор.
При таком ТЗ достаточно двух.

[q3shtorm]

1  - Про 6 сетевух согласен... но по другому не знаю как, при учёте что 1 туннель с локального подключения.
2 - бред ни бред - а как проще ?
3 - смысла я сам и не знаю, но сказано так, значит так надо) В том то и дело что получается не совсем внутри одной компании. Так скажем знание одно, офисы разные, считай конкуренты и каждый боиться что из соседнего офиса кто то что то важное стащить попытается.
4 - про деление скорости я уже кое что нарыл. опишу как я это понимаю - хочется что бы был скрипт которые например каждые 5 минут проверяет сколько машин во всех офисах в данный момент в сети, что бы скрипт знал какая скорость инета приходит на сервер, суммировал её с 3х соединений и делил на кол-во пользователей онлайн и вот такую скорость раздавал) Заморочено наверно... Хрен с ним на первых порах хоть бы как нибудь инет работал, хотя если делать лучьше всё и сразу.
5 - контроллера домена в сети нету, что бы было ещё проще скажу сразу, в сети только этот сервак с инетом с одной стороны и пользователями с другой, больше ничего.
6 - может и не надо.. хотя по моему если получиться самое удобное будет т.к. количество компов в каждом офисе будет меняться постоянно и dhcp ИМХО самое оно, но если есть другой вариант....
7 - с ходу не всё понял, но разберусь, значит балансировкой всё таки можно настроить привязку подключения к интерфейсу, слава богу)
8 - хотелось бы не только самому контролировать но и даль каждому офису (если не каждому пользователю) по одной учётке что бы каждый мог посмотреть что куда и когда. ... Только что подумал что на всех впн подключениях стоит анлим тогда хз зачем там контроль трафика, но скорее всего имели ввиду не трафик а посещение сайтов в инете.
9 - Да предполагается, если даже и не то для общего развития надо сделать !
10- Сам не знаю, но просили именно так.

Был ещё один вариант - купить 3 роутера и не ломать мозги, но купили сервачёк - и вот задачка нарисовалась.

Пользователь решил продолжить мысль 02 Апреля 2011, 21:08:35:

с pptp, мне кажется реализовать такое, в условиях ТЗ возможно только костылями, я имею ввиду
eth1 - vpn1; eth2 - vpn2; eth3 - vpn3, при условии, что доступна одна сессия с одного source-адреса. Можно и средствами iproute обойтись, к тому же желательно, что бы провайдер имел не один VPN-сервер, а пул, минимум из трёх серверов. И подключаться к ним все же придйтся по IP-адресу, а не по имени.
Вот мой эскиз:
ip r a vpn1_addr/netmask via default_gw dev eth1 src IP_eth1
ip r a vpn2_addr/netmask via default_gw dev eth2 src IP_eth2
ip r a vpn3_addr/netmask via default_gw dev eth3 src IP_eth3
И в конфигах vpn указать подключаться по IP-адресам vpn-серверов, каждый к своему.
По крайней мере я себе это плохо представляю как бы можно было бы сделать иначе.
Что касается всего остального, DHCP и прочие плюх, что это решается чтением документации.
А если бы я принимал участие в принятии сети в эксплутацию, то первым делом бы прибил инженера, который эту сеть разрабатывал, потому что 6 сетевых карточек на сервере - это перебор.
При таком ТЗ достаточно двух.

Не надо прибивать, я сегодня весь день голову ломаю да и собственно я не инженер никакой, просто поставил Ubuntu потому что бесплатно, откуда ж я знал что надо будет такое делать - но всё таки пробую.. К разным впн серверам тоже есть возможность приконнектиться. Только если я не ошибаюсь это брасами называется, а где же тогда у провайдеров стоит ограничение на соединения с сервером с одного локального ip.. (если перед ним -то всё ок, а если нет то..)

В любом случае я очень благодарен всем кто откликнулся. Сейчас голова уже не варит, завтра утро начну с прочтения форума, может ещё советы люди дадут.

[censor]

1  - Про 6 сетевух согласен... но по другому не знаю как, при учёте что 1 туннель с локального подключения.

это точно проверено? просто подобная настройка тупое дрочево админа руководством.

3 - смысла я сам и не знаю, но сказано так, значит так надо) В том то и дело что получается не совсем внутри одной компании. Так скажем знание одно, офисы разные, считай конкуренты и каждый боиться что из соседнего офиса кто то что то важное стащить попытается.

так и надо было написать что сеть одна на здание и доступ надо предоставить разным организациям.

4 - про деление скорости я уже кое что нарыл. опишу как я это понимаю - хочется что бы был скрипт которые например каждые 5 минут проверяет сколько машин во всех офисах в данный момент в сети, что бы скрипт знал какая скорость инета приходит на сервер, суммировал её с 3х соединений и делил на кол-во пользователей онлайн и вот такую скорость раздавал) Заморочено наверно... Хрен с ним на первых порах хоть бы как нибудь инет работал, хотя если делать лучьше всё и сразу.

судя по описанию нарыл далеко не то что надо, ищи по словам "tc настройка шейпера"

7 - с ходу не всё понял, но разберусь, значит балансировкой всё таки можно настроить привязку подключения к интерфейсу, слава богу)

там описано тупо объединение каналов.

8 - хотелось бы не только самому контролировать но и даль каждому офису (если не каждому пользователю) по одной учётке что бы каждый мог посмотреть что куда и когда. ... Только что подумал что на всех впн подключениях стоит анлим тогда хз зачем там контроль трафика, но скорее всего имели ввиду не трафик а посещение сайтов в инете.

ищите биллинговые системы в таком случае

9 - Да предполагается, если даже и не то для общего развития надо сделать !

у меня день ушел на подобную настройку в первый раз.

10- Сам не знаю, но просили именно так.

Был ещё один вариант - купить 3 роутера и не ломать мозги, но купили сервачёк - и вот задачка нарисовалась.

купить 3 роутера был самый правильный и дешевый вариант, в вашей ситуации придется за краткое время научиться быть мелким интернет провайдером, учитывая что знаний в linux мало, задача будет достаточно сложная.

[korjik]

Пиши в скайп. Интересно поразмыслить. Самый вопрос: зачем десктопный серер?)))