[SOLVED] VPN-сервер. Вопросы новичка.
beba 9 ноября, 2009 - 22:01
Здравствуйте.
Появилась задача в создании впн между несколькими оффисами.
Хотелось спросить реальна ли такая задумка и какое ПО подойдет для моей задачи.
Схема приблизительно такая:
На данный момент 3 оффиса.. хочется именно так соединить их, чтобы пользоваться для работы внутренними ресурсами.
Но планируется еще парочку соединить.
Возможно ли такое? Какими пакетами мне воспользоваться?.. На gentoo wiki посмотрел несколько статей по настройке впн, но в статьях используются OpenVpn, OpenSSH, PPPTP. Насколько я понял OpenVpn не подходит.
»
- Для комментирования войдите или зарегистрируйтесь
Хм. А зачем при такой схеме
Хм. А зачем при такой схеме вообще VPN? Если роутеры в режиме бриджа - так пусть и ходит все как есть через бридж, не надо ломать голову...
Я так делал 7 лет назад, до тех пор, пока оптику не проложили, все работало через бриджи по 2 Мбит по практически точно такой же схеме. Причем, все это было в одном сегменте, и за бриджами было ~50 хостов с каждой стороны.
ага, и инфу ты посылаешь
ага, и инфу ты посылаешь через открытые каналы. Глобально и надежно.
Не грусти, товарищ! Всё хорошо, beautiful good!
Насколько я понял - все офисы
Насколько я понял - все офисы одной конторы, а DSL-роутеры применяются из-за удаленности офисов. Если так, то смысл что-либо шифровать?
Другой вопрос - если я подключен ко всем провайдерам по Ethernet, без VPN - у меня все ненадежно? Зачем изобретать велосипед, если все вокруг уже давно ездят на автомобилях и летают самолетами? На мой взгляд, VPN вообще должен применяться исключительно в случаях, когда нужно объединить сети, по-другому необъединяемые, ну или если провайдер не дает другого выбора при подключении.
И вообще - никто не мешает шифровать все, что угодно безо всякого VPN.
ЗЫ. - У меня сеть, в которой более 2000 разномастных хостов, а также десятки маленьких и средних сеток. И нигде не применяется VPN. Так что, вы поспешили давать оценку :). Один из наших клиентов поднимает VPN к своей головной конторе, это в 300 км. Другого варианта объединить сети у них нет. Есть у нас и объединение офисов как через общие каналы, так и через выделенные. Все работают, все довольны, ни у кого не возникает проблем с "открыми каналами".
Ага, и провайдера вы каждую
Ага, и провайдера вы каждую субботу спаиваете, чтобы он не предоставил доступ кому-нибудь. На пару часиков, кабель погонять.
Не грусти, товарищ! Всё хорошо, beautiful good!
К чему это вообще было
К чему это вообще было сказано? Каким боком это относится к VPN?
Непонятно... Зачем это мне просить моих провайдеров о чем-то, кроме стабильного канала да приема моих анонсов по BGP?
Я думаю, это ирония.
Я думаю, это ирония.
Текстовый редактор vi имеет два режима работы: в первом он пищит, а во втором — всё портит.
VPN - это Virtual Private
VPN - это Virtual Private Network, что подразумевает, что содержимое того, что гоняется между удаленными офисами, является информацией этих двух офисов и ничьей кроме. Ты же предлагаешь гнать эту информацию открытым текстом через ндцать провайдеров, о какой приватности тогда может идти речь? Одно дело фильмы и фотки туда-сюда гонять, а другое - подключаться к базе с коммерческими, или того строже, персональными данными.
Серьезно пересмотри свою позицию, ибо она свидетельствует о вопиющей беспечности в данном вопросе!
Не грусти, товарищ! Всё хорошо, beautiful good!
Я занимаюсь сетями уже почти
Я занимаюсь сетями уже почти 14 лет. И по своему опыту скажу тебе, что трафик, который реально требует конфиденциальности составляет около 0.1% от общей нагрузки на сеть, ну 0.5% в диком прыжке активности. И способов зашифровать такой трафик - тьма. Все остальное, что летает даже в сетях солидных контор - это как раз то, о чем ты писал - хлам всякий, который никому нафиг не нужен, особенно если сеть принадлежит одной конторе и чужих в сети не может быть в принципе. А VPN - это всего лишь способ обеспечить прямую маршрутизацию между любыми двумя сетями, используя третью сеть, в случаях, когда организация прямого физического канала невозможна. Шифрование данных для VPN всего лишь опция. Или ты для ФСБ сетки строишь, где любой отдельный бит данных по умолчанию под грифом?
Что касается схемы, опубликованной в первом посте темы - где там необходимость в VPN? Если все внутреннее? По схеме трафик не проходит через сеть стороннего поставщика. Так зачем весь огород? Сами придумываем себе трудности, а потом героически их преодолеваем... :)
Значит продолжаем спаивать
Значит продолжаем спаивать провайдера... или себя...
Не грусти, товарищ! Всё хорошо, beautiful good!
Не понимаю логики... Или
Не понимаю логики... Или иронии... :)
Выходит так, что все, кто не пользуется VPN - хронические алкоголики? :O
Надо будет себе записать в афоризмы...
Провайдер должен пропускать через себя абсолютно все, без ограничений. Что и делаю я сам, и что делают мои апстримы. Все остальное - дело пользователя. У меня изредка просят прокинуть какие-нибудь нестандартные маршруты [на практике за крайние 5 лет два раза - особо не упьешься ;)]. Во всех остальных случаях - клиент включается и сразу работает. Если ему нужно обеспечить шифрование - он обеспечивает его сам. А особо продвинутым мы выдаем отдельную прямую оптическую жилу и эти продвинутые гоняют по ней все, что им угодно. VPN-ом пользуется только один - как я писал ранее, им надо на головной офис выходить через инет.
Не хочу показаться навязчивым, но еще раз повторю - на схеме в титульном сообщении темы нет сети стороннего поставщика, так от кого тогда мы шифруем данные? Потому я и сказал - практической необходимости в VPN согласно данной схемы нет. Я высказал свою точку зрения, как мог ее аргументировал, а уж что делать в итоге - решать вопрошающему. У нас вроде как демократия. Если хочется VPN - да кто ж будет мешать? Ставьте, используйте на здоровье. :)
я когда в армии служил, был
я когда в армии служил, был один майор... у него была коронная фраза "Почему мы боремся с трудностями, бойцы?... Потому что мы их себе сами и создаем!" :)
.
Строго говоря, стаж не гарантирует ни квалификации, ни тем более понимания.
Доля подлежащего шифрованию трафика зависит также от величины выделяемых атакующим вычислительных ресурсов.
С практической точки зрения чем определять что/когда подлежит шифрованию --- дешевле шифровать всё.
+ к тому шифрование резко увеличивает ресурсоёмкость передачи данных (или уменьшает пропускную способность.
В результате практически применяемые методы шифрования --- в значительной степени являются всего лишь фиговым листочком (на их самодостаточность уповать не стоит).
:wq
--
Live free or die
Цитата: Доля подлежащего
Интересная концепция. Но она подходит как раз для ФСБ, или какой-то подобной суперсекретной конторы. Для обычного админа доля определяется вовсе не возможностями атакующего, а целесообразностью шифрования данных вообще. Например, зачем мне шифровать письмо своим друзьям с приглашением на пьянку в связи с покупкой автомобиля? Или служебный траффик какого-нибудь ntp, dns и пр.? Или траффик, который сотрудники гоняют на вконтакте, аське или одноклассниках?
О целесообразности шифрования можно дискутировать очень много времени. Но тема-то была совсем не о шифровании. (см. титульное сообщение темы), и то, что касается темы я высказал два с половиной раза:
Я это к тому, что нас модератор сейчас запросто может плюсануть за оффтоп. И будет прав.
Что касается квалификации - если есть сомнения в моей квалификации и понимании и желание подискутировать на эту тему - пиши в личку, подискутируем :)
Для объединения сетей можно
Для объединения сетей можно использовать OpenVPN или IPSec в режиме сеть-сеть.
Не грусти, товарищ! Всё хорошо, beautiful good!
Спасибо за ответ, буду
Спасибо за ответ, буду пробовать.
Все получилось сделать с
Все получилось сделать с помощью OpenVPN, спасибо за совет.
Возможно VPN тут нафиг и не нужен, но мне как то проще было так... (возможно потом пожалею)..
да и задача стояла сделать ВПН.. потом руководителю техн. отдела я не смогу доказать и обьянить, почему не сделал ВПН как он мне прямо и сказал..
Поэтому тему закрываю, всем спасибо..
у кого будут вопросы, пишите в личку.. постараюсь пояснить как делал, помочь..
Пользовался двумя ссылками:
http://ru.gentoo-wiki.com/wiki/HOWTO_Создание_шифрованных_туннелей_с_помощью_OpenVPN
http://209.85.129.132/search?q=cache:_-Td71UDXUYJ:en.gentoo-wiki.com/wiki/OpenVPN+Gentoo+OpenVPN&cd=1&hl=ru&ct=clnk&gl=by&client=opera
/
Подобные "постановки задачи" --- признак вопиющей некомпетентности рукой...водителя.
Если конечно он не входит в круг лиц, которым эту радость потом эксплуатировать.
Категорически рекомендую в ситуациях когда рукой.водитель говорит не только то что нужно сделать, но и как это следует делать обзаводиться бумагой, что это не ты сам придумал.
Архи-полезно, если ты не хочешь отвечать за чужие ошибки.
:wq
--
Live free or die
/
Спасибо!