Подскажите решение туннелирования

[EuPhobos]

Есть задача, соединить локальную сеть XP и Ubuntu через интернет. Т.е. должен получиться сегмент сети, и что бы бегали броадкасты.
Конечно есть OpenVPN или IPSec, но вопрос такой:
Есть ли в Ubuntu какое ни будь готовое решение? Что бы например со стороны Windows, не было лишнего геморроя по настройки, а просто обычно настроил VPN, прописал IP-сервера, логин, пароль и вперёд в локалку!
Т.к. посмотрел я, как настраивается OpenVPN, со всеми своими сертификатами(которые мне вообще не нужны) и прочей секретностью и шифрованием, и сразу понял, что для Windows пользователей это будет не очень просто..

[kostryukov]

pptpd =)

п.с. поставил у себя на сервере в домашней сети, конектятся друзья по интырнету, по локальной сети(адсл), по локальной сети(домашней)
раздаю интернет. локалку(адсл), виндошары
от клиентов требуется только создать впн соединение (адрес сервера, логин, пароль)
Пользователь решил продолжить мысль 22 Апреля 2009, 12:21:17:https://forum.ubuntu.ru/index.php?topic=30790.msg216419#msg216419

[Гарри Кашпировский]

> pptpd =)
+1
Самое простое решение.

[Saha]

Если не использовать сертификаты, а только ключ, то openvpn оч. легко настраивается (ну, по крайней мере, на два компа в сети я его настроил =)

[EuPhobos]

Спасибо за ответы. но не совсем то..
Только что установил на машину ХР и тестировал.
Мне нужен полноценный сегмент сети, что бы "компы знали о друг-друге", т.е. бегали броадкасты. А я получил просто клиент-сервер.
Т.е. если я пингую из диапазона сети некий IP, а на обоих компа tcpdump (ну на винде wireshark), то другой комп. не видит запросы макадреса по броадкасту.
Соответсвенно обзор шары сетей не работает, но если прописать адрес напрямую к расшаренному ПК, то это срабатывает, т.к. спрашивать MAC и NetBios нет нужды.

[Saha]

тогда я не понял, что нужно...
когда ты используешь openvpn, например, то создается реальная локальная сеть. При этом что в винде, что в линухе появляется дополнительный виртуальный сетевой интерфейс (его зовут tun/tap)

[EuPhobos]

Да вот это и нужно, просто минус OpenVPN в том, что со стороны Windowsа(для Windows пользователей) не так просто настроить его.
Значит придётся копать именно в этом направлении, OpenVPN. тк pptpd к сожалению не решил проблемы, но плюсы всегда есть, не зря я сегодня экспериментировал) зато хоть я опыта набрался с обычным pptpd )

[Tokh]

Да вот это и нужно, просто минус OpenVPN в том, что со стороны Windowsа(для Windows пользователей) не так просто настроить его.
Значит придётся копать именно в этом направлении, OpenVPN. тк pptpd к сожалению не решил проблемы, но плюсы всегда есть, не зря я сегодня экспериментировал) зато хоть я опыта набрался с обычным pptpd )

Да и OpenVPN не должен бы решить проблему. Если я правильно понял задачу.
Есть локалка 1, есть локалка 2, есть средство организации туннеля между обоими локалками.
Когда в локалке 1 возникает пакет адресованный в локалку 2, то что-то где-то должно определять
а) что пакет нужно отправить шлюзу локалки 1,
б) шлюз должен понять что этот пакет надо отправить в туннель.

Реализуется это средствами маршрутизации. Маршруты надо будет прописывать. При этом локалка 1 и локалка 2 должны иметь разный идентификатор сети. По этому признаку рабочая станция будет отправлять пакеты на шлюз и далее, и прочее. Каждая локалка может состоять из единственного компа - шлюз и раьбочая станция в одном компьютере, всё настраивается только на нём.

Т.е. правильно если локалка 1 это 192.168.0.0/24, локалка 2 это 192.168.1.0/24. При этом туннель будет принадлежать третьей сети, например, 192.168.168.0/24 или 192.168.168.0/30 для точка-точка. Например.

Логин и пароль pptp не решают той задачи, которую решают сертификаты SSL и TLS аутентификация. Высокую устойчивость к дешифровке трафика и перехвату пароля. Но может и не должны обеспечивать, т.к. шифровку и т.д. обеспечивает дополнительный механизм, SSL/TLS или IPsec, например.

Вышло три темы, первые две пересекаются:
1) аутентификация юзера; например, логин-пароль
2) шифрование трафика
3) маршрутизация внутри офиса

P.S. OpenVPN это часть "темы 2". Как, чем организовать туннель тоже часть "темы 2". OpenVPN менее удобно работает с логином-паролем (хе, хе ), она умеет работать с этим, но ей нужен внешний модуль, который будет проверять достоверность логина-пароля. Этот модуль может быть любым, возвращающим 0 или 1 в зависимости от сути переданной ему пары логин-пароль...

Не пробовал делать, но вроде ничто не мешает открыть OpenVPN туннель между двумя компьютерами и запустить внутри туннеля pptp, или вообще, без pptp положиться на нативную для Samba/MS-file-and-print-sharing аутентификацию.

OpenVPN можно настраивать у себя и отдавать для копирования на Вин комп на CD болванке только пакетник запускающий канал, в комплекте с сертификатами и ключами.

[Saha]

если действительно надо так, как описал u-375, то проблема маршрутизации - это как бы отдельная задача.
Насколько я понимаю, без неё в любом подходе не обойтись.

[EuPhobos]

Нет, не в маршрутизации дело, я и через pptp настроил маршруты так, что у меня получилось... эмм вообщем вот какую схему собрал для экспериментов:
Есть комп u8.04(сервер), ноут u9.04 и комп ХР("клиенты"), все стоят рядом на 1 столе..
на 8.04 настроил pptpd у него куча интерфейсов, но главное слушаем внеший, который смотри в инет с реальным IP (без PPPoE и без VPN).
на 9.04 и XP так же настроил интернет через PPPoE, и поверх просто настроил обычный VPN к компу 8.04 (через внешку)
Оба подключились к инету потом подключились к 8.04. Получилась так:
8.04 видит 9.04 и ХР, они оба видят его но друг друга не видят.
На сервере 8.04 включаю форвардинг, а на "клиентских" компах прописываю route add ... и т.д.
В итоге они все друг-друга начинают видеть. Но судь не в этом, судь в том, что broadcast не ходит, потому в туннели это нельзя реализовать.

Почитал чуть больше про OpenVPN, всё таки он так может сделать, т.к. он работает как "прозрачный" туннель, мостом, будет просто перекидывать ВСЁ с одного сегмента сети в другой, т.о. я получу целый сегмент сети, хоть он и будет подключен через внешку.
Главное теперь упростить задачу настройки OpenVPN на клиентской стороне.