Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: Организация vpn-сети.  (Прочитано 1609 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн thunderamur

  • Автор темы
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 6847
    • Просмотр профиля
Организация vpn-сети.
« : 27 Января 2013, 10:19:34 »
Хочу сделать:

Интернет-шлюз, имеющий 2 выхода в инет (2 сетевые карты eth1,2), 1 выход в локалку (eth0).
Кроме того на этой же машине должен работать OpenVPN-сервер, доступный на обоих каналах (1-й лег, 2-й работает).
В филиалах инет приходит через роутер, от него в openvpn-клиент, находящийся в локалке филиала, с одной сетевой картой. Через этого клиента должны иметь доступ в ВПН другие сетевые устройства в локалке филиала.

Как делать:

На сервере поднять подключения к сети, скриптом проверять доступность основного канала и при его падении переключать на резерв. По восстановлению - вернуть обратно.

Для филиалов нужно для устройств, которым нужна только ВПН указать в качестве шлюза клиента openvpn, для устройств, которым нужна и ВПН и Инет сделать статическую маршрутизацию.



Правильно ли я обозначил "Хочу"?
И верно ли представляю "Как"?

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13758
    • Просмотр профиля
Re: Организация vpn-сети.
« Ответ #1 : 27 Января 2013, 12:42:36 »
"Хочу" Вы сами формируете, потому правильность только Вы можете проверить.

"Как" - вариантов, как обычно несколько и зависит от доступных средств, в том числе и технических.
Например в филиале, если есть возможность, то маршрут на сеть vpn я бы сделать на роутере.

Оффлайн thunderamur

  • Автор темы
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 6847
    • Просмотр профиля
Re: Организация vpn-сети.
« Ответ #2 : 27 Января 2013, 13:44:12 »
fisher74,
К сожалению, в некоторых филиалах роутеры не умеют маршрутизировать WAN.

Про "Хочу" я хотел узнать, не слишком много ли я хочу или вообще правильно ли хочу :-D

Оффлайн rayanAyar

  • Старожил
  • *
  • Сообщений: 1027
  • Да пребудет с вами совпавшая контрольная сумма
    • Просмотр профиля
Re: Организация vpn-сети.
« Ответ #3 : 27 Января 2013, 20:00:07 »
В филиалах инет приходит через роутер, от него в openvpn-клиент, находящийся в локалке филиала
Отдельный комп за роутером для VPN... Часто встречающееся извращение. :) На этом форуме полно тем на тему "VPN-(сервер|клиент) за роутером, нет связи с ...".
Всё таки VPN-ом (с обоих сторон) удобнее и надежнее рулить с тех же устройств, которые рулят маршрутизацией. Подумайте об этом хорошенько.
В наших филиалах OpenVPN-клиенты работают на роутерах (под OpenWRT). Доволен как слон. Нет зависимости от необходимости держать включенным какой-то комп для работы VPN. Всей сетью (внутрення, инет, VPN) заведует маленькая коробочка, включенная "24/7".

Оффлайн thunderamur

  • Автор темы
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 6847
    • Просмотр профиля
Re: Организация vpn-сети.
« Ответ #4 : 28 Января 2013, 05:08:13 »
rayanAyar,
Как быть с фильтрацией, статистикой потребления, разделением канала и 2 каналами в инет - мне в головном всё это нужно. В филиалах есть неттопы с астерисками. Т.е., ты уверен, что предложенная схема не будет работать, можешь написать подробнее?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28469
    • Просмотр профиля
Re: Организация vpn-сети.
« Ответ #5 : 28 Января 2013, 05:16:22 »
rayanAyar, есть такая штука, как L2TP.
А ещё есть OpenVPN.
В общем, выбирайте слова, когда постите свои идеи.

⚡ Thunde® ⚡, вам надо решить два вопроса. Один принципиальный и один важный, но не срочный.
1. Кто будет поднимать каналы - центр или филиалы?
2. Как будет управляться трафик.

Пользователь решил продолжить мысль 28 Января 2013, 05:17:40:
Т.е., ты уверен, что предложенная схема не будет работать, можешь написать подробнее?
Любую схему можно заставить работать - вопрос, сколько усилий это потребует.
И ещё, какой смысл в учёте потребления трафика в ЛОКАЛЬНОЙ по сути сети предприятия?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн rayanAyar

  • Старожил
  • *
  • Сообщений: 1027
  • Да пребудет с вами совпавшая контрольная сумма
    • Просмотр профиля
Re: Организация vpn-сети.
« Ответ #6 : 28 Января 2013, 05:19:36 »
rayanAyar, есть такая штука, как L2TP.
А ещё есть OpenVPN.
В общем, выбирайте слова, когда постите свои идеи.
Не понял о чем речь. У ⚡ Thunde® ⚡ конкретно указано, что будет использоваться OpenVPN. У меня тоже указано. В чем проблема?

Пользователь решил продолжить мысль 28 Января 2013, 05:24:40:
Т.е., ты уверен, что предложенная схема не будет работать, можешь написать подробнее?
Почему не будет - всё будет работать. Просто, имхо, не удобно (в поддержке и в работе) держать VPN на одном из клиентских компов за роутером.
« Последнее редактирование: 28 Января 2013, 05:24:40 от rayanAyar »

Оффлайн thunderamur

  • Автор темы
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 6847
    • Просмотр профиля
Re: Организация vpn-сети.
« Ответ #7 : 28 Января 2013, 07:03:17 »
AnrDaemon,
1. В центре 2 канала, в филиалах по одному. Немного не понимаю вопроса.
2. Трафиком нужно управлять только в центре, т.к. тут много пользователей.

Мне нужно учитывать не локальный трафик, а внешний трафик и трафик через VPN, т.к. это по сути тот же внешний. Нужно за тем, что видеть, кто злоупотребляет, кто неправильно использует впн-сеть (архив фоток на несколько гигов скидывает например, а филиалы его тащут и ругаются, что у них связь плохая).


rayanAyar,
клиентский комп за роутером - это астериск-сервер, это не рабочее место сотрудника.

Оффлайн rayanAyar

  • Старожил
  • *
  • Сообщений: 1027
  • Да пребудет с вами совпавшая контрольная сумма
    • Просмотр профиля
Re: Организация vpn-сети.
« Ответ #8 : 28 Января 2013, 07:35:58 »
клиентский комп за роутером - это астериск-сервер, это не рабочее место сотрудника.
Хорошо, проблемы с доступностью VPN-клиента не будет. Остается проблема с роутингом. Эта проблема конечно же решаемая. Просто потребует большей ручной работы, по сравнению с вариантом когда VPN-клиент находится на шлюзе.

Оффлайн dikiyZ

  • Активист
  • *
  • Сообщений: 343
  • Убунтоид, как правило, человек. Но такой занудный!
    • Просмотр профиля
Re: Организация vpn-сети.
« Ответ #9 : 28 Января 2013, 12:04:34 »
Это не проблема, а легко разрешимая задачка. Купите Zyxel Keenetic, установите opnvpn на флешке с линуксом и пропишите настройки клиентов за различными компами, физически расположенными в разных частях мира. Я в такой локалке даже в counter strike source играю. Успехов, герой! ... :).
 http://forum.zyxmon.org/topic110-openvpn-keenetic.html
если система просто работает без дополнительного шаманства, то теряется ощущение собственной элитности. Вот почему нам нужен линукс.
 Предупреждён администрацией форума за неоднократное чувство юмора

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28469
    • Просмотр профиля
Re: Организация vpn-сети.
« Ответ #10 : 28 Января 2013, 13:24:43 »
AnrDaemon,
1. В центре 2 канала, в филиалах по одному. Немного не понимаю вопроса.
Тоннели может поднимать и филиал, и центр. Принципиальной разницы нет, для пользователей. А для вас может оказаться принципиально удобнее управлять тоннелями из центра, где, как вы сами сказали, две внешних сети.

Цитировать
2. Трафиком нужно управлять только в центре, т.к. тут много пользователей.
Тогда вообще вопроса нет - считайте, управляйте...
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

 

Страница сгенерирована за 0.047 секунд. Запросов: 25.