OpenVPN и SSH. Удобство в простоте!

[truegeek]

Продолжение темы Настройка OpenVPN. Отсутствует пинг в сторону сервера.

Итак, мы имеем настроенный OpenVPN-сервант, и кучу (где-то около ста) клиентских машин. Клиенты разбросаны по трем городам, офисы по 10-20 машин. В офисах серверов нет, на роутеры OpenVPN не поставить(наверное, еще не курил).

Пока мне видится ситуация следующим образом. Вова возьмет и объедет все офисы, установив на клиентские машины ОпенВПН и ОпенССаШ.
На серванте директива ifconfig-pool-persist даст мне возможность получать ip-адреса клиентских машин из файла и подключаться к ним.

Вопрос заключается в следующем: как-то эту схему можно упростить? Ну или усложнить?) Всё-таки сто записей в файле, а их впоследствии может быть и больше.

В общем нужно рассмотреть альтернативы этому файлу. Задача-то в принципе стоит простая, нужно в случае чего просто рубануть машины, ну или скрипт-закладку выполнить) Не то клиенты всякие бывают)

А ну может интернеты пробросить, но это так, может понадобиться, а может и нет)

P.S. Всякие Тимвьюеры не предлагать

[bukass]

truegeek,
Посмотри в сторону роутеров Mikrotik как впн клиентов.

[Sly_tom_cat]

Мне кажется что если речь идет об организации VPN сети, то настраивать ее лучше всего не на машинах, а на роутерах/серверах доступа.

Сейчас на кучу роутеров можно поставить OpenWRT - и в нем все настроить можно - там же вполне полноценный linux. настраивать VPN на каждой машине индивидуально - это очень заморочно ИМХО.

А вот "рубануть машины" - требует расшифровки - потому как спектр решений - широк: от лимонки в системном блоке с удаленным подрывом , до простого отключения от сети передачи данных (клиенты же "всякие бывают"  )....

[truegeek]

bukass,
да я-то в принципе давно знаю о их существовании  Только, боюсь, я не смогу убедить клиентов купить себе новые роутеры.
Да и те роутеры, которые стоят сейчас - очень хорошие, со своими задачами справляются.
Mikrotik - очень круто, согласен, но не про мою честь((((

[Sly_tom_cat]

truegeek, ну так накати на те что есть openWRT и вперед...

[truegeek]

Sly_tom_cat,
это мысль, да... Пойду в гугл...

[truegeek]

Так, а если я на роутеры поставлю ОпенВРТ, то сделаю видимой сеть за роутером, так?! И опять я возвращаюсь к тем же самым ИПихам тачек. Только теперь они динамические и их нужно будет смотреть на роутере, а не в удобном тектовом файлике на сервере. Не, так не катит.

Я понимаю, что подход то правильный, упрощается задача развертывания ВПН, но усложняется задача "рубануть машины". А если тачку куда переставят? Я тогда потеряю с ней связь вовсе. Не так точно не нужно.

Нужно, чтобы даже если тачку унесут в другое место, иметь возможность к ней подключиться, при наличии интернета конечно)

[Sly_tom_cat]

truegeek, яж тебе уже ссылк дал - там одна страничка.
А по роутеру найти прошивку - там есть табличка: http://wiki.openwrt.org/toh/start

Ну не нравится тебе - пропиши статическую раздачу IP (по MAC) - тогда у тебя все IP будут по сути статическими - так легче вести учет.

Просто настраивать и поддерживать OpenVpn на 20 тачках в трех удаленных офисах - это ацкий труд ИМХО. Так у тебя будет 3 роутера и все под колпаком как у Мюллера.

[truegeek]

Sly_tom_cat,
дружище, понял тебя Буду думать!

[Sly_tom_cat]

Нужно, чтобы даже если тачку унесут в другое место, иметь возможность к ней подключиться, при наличии интернета конечно)

Радикально - тогда только подрыв системника при отключении от VPN

Ну а так - нужно писать закладку - и в ней проверять - если в VPN работает - то все ОК? уходим в релакс на какое-то время.
Если не в VPN, то шлем алерт на удаленный сервер, ждем ответа, и если ответ пришел: "мочи его" - подрываем гранату или просто трем HDD.

Но я бы задачу "рубануть машины" вынес в отдельный топик - ибо это реально с VPN очень слабо связано, и простор для творчества в этом направлении - широк .

[truegeek]

Sly_tom_cat,
гг, мне нравится, очень. Люблю делать такие штуки! Наверное займусь, лучше один скрипт написать, чем генерить сто сертификатов)

[Sly_tom_cat]

Во-во, про индивидуальные сертификаты для каждой машины - это отдельная песня того ацкого труда что я упоминал.

Тут еще надо продумать процесс разминировани вывода машин из под контроля и минирования введения машин под контроль - ведь не только в людях есть текучка кадров...

[truegeek]

Sly_tom_cat,
я на секунду представил как в офисе отключили интернет и все машины разом потухли. А-а-а, красотиЩщща!! Я только ради этого готов пожертвовать своим временем)

[Sly_tom_cat]

Ну логику закладки можно продумать и более хитрую... например проверять MAC гейтвея  Если гейтвей сменился - то уже алярм! А так - есть там внешний нет или нет - не важно.

PS тебе, я смотрю, азарт вредителя не чужд