VPN между FreeBSD

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.

Ответить


Этот вопрос предназначен для предотвращения автоматической отправки форм спам-ботами.
Смайлики
:smile: :( ;-) :roll: :pardon: 8) :x :oops: :shock: :cz2: :-D :ROFL: :Yahoo!: :cry: :Search: :Bravo: :good: :bad: :sorry: :no: :unknown: :evil: :crazy: :"": :fool: :-o :drinks: :st: :bn:
Ещё смайлики…

BBCode ВКЛЮЧЁН
[img] ВКЛЮЧЁН
[flash] ОТКЛЮЧЕН
[url] ВКЛЮЧЁН
Смайлики ВКЛЮЧЕНЫ

Обзор темы
   

Если вы не хотите добавлять вложения, оставьте поля пустыми.

Развернуть Обзор темы: VPN между FreeBSD

VPN между FreeBSD

Сообщение Dmitriy_3206 » 2017-08-01 12:40:49

Я реализовал на OpenVPN - использовал layer 3
PPtP иногда режут провайдеры, иногда доступ к интернет через него. Кроме того мне показалось относительно просто настроить.
http://forum.ixbt.com/topic.cgi?id=14:49976
Сайт сейчас "лежит" по этому не уверен что даю ссылку на первый форум - в котором на первых страничках все пошагово и доступно расписано.

В связи с тем что есть "главный" офис и несколько "филиалов", то использовал тип звезда.
Но есть вариант и соединения точка- точка.
В филиалах тоже маленькие сети, в связи с этим заранее все привел к нормальной адресации в Tcp-ip-v4

Для этого заранее "продумал" структуру сети:
http://www.opennet.ru/ipcalc.shtml?ip=192.168.240.0&netmask=21&submit=%D0%CF%D3%DE%C9%D4%C1%D4%D8+-%3E

Это мой пример расчета на пять подсетей (выбрал диапазон который занимает семь)
192.168.24х.0 где х - номер филиала
240 главный офис
241 первый филиал
242 второй и так далее

Такая организация позволила иметь на сервере таблицу маршрутизации:

Код: Выделить всё

/home/dkress#netstat -rnf inet
Routing tables

Internet:
Destination        Gateway            Flags     Netif Expire
0.0.0.0/1          172.20.1.254       UGS         ng0
10.20.24.0/24      10.20.24.2         UGS        tun1
10.20.24.1         link#9             UHS         lo0
10.20.24.2         link#9             UH         tun1
192.168.240.0/21  10.20.24.2         UGS        tun1
192.168.240.0/24    link#2             U          ste0


Где 10.20.24.0/24 это подсеть OpenVPN
Более точный маршрут 192.168.240.0/24 link#2 ste0 сообщает что локальная сеть в локальном интерфейсе
а 192.168.240.0/21 10.20.24.2 tun1 что надо заворачивать в OpenVPN

Ну и все доступно по ip адресам. В связи с тем что сети маленькие - и нужно обычно только RDP и принтера - не было сложности настроить всё в ручную.

Отправлено спустя 22 минуты 36 секунд:
Все таки первая ссылка это FAQ
Вот ссылка с темой пошаговой инструкции
http://forum.ixbt.com/topic.cgi?id=14:40906

VPN между FreeBSD

Сообщение Demis » 2017-07-17 16:54:39

snorlov писал(а):Источник цитаты творчески прочитайте http://www.lissyara.su/archive/ipsec_old/

Во-во. Это оно.
Только я тогда (еще в то время) почитал Интернет и обнаружил, что есть серьезные проблемы с безопасностью архитектуры IKE. Уже не помню в чем, м.б. отсутствие IKEv2. Тогда-то и нашел, что второй енот (racoon2) от fukumoto уже нормален.

cat /usr/ports/security/racoon2/pkg-descr

Код: Выделить всё

"racoon2" is a system to exchange and to install security parameters
for the IPsec.

Currently the system supports the following specification:

        Internet Key Exchange (IKEv2) Protocol
        draft-ietf-ipsec-ikev2-17.txt

        Kerberized Internet Negotiation of Keys (KINK)
        draft-ietf-kink-kink-06.txt

        PF_KEY Key Management API, Version 2
        RFC2367

        The Internet Key Exchange (IKE)
        RFC2409

WWW: http://www.racoon2.wide.ad.jp/


http://www.racoon2.wide.ad.jp/
http://www.racoon2.wide.ad.jp/w/?Racoon2
http://www.racoon2.wide.ad.jp/w/?Documentation
Что-то не все у меня открылось из перечисленного выше.

После установки доступно почитать:
ls /usr/local/share/doc/racoon2/

Код: Выделить всё

total 192
-rw-r--r--  1 root  wheel   8337 Jul 22  2016 COPYRIGHT
-rw-r--r--  1 root  wheel   1507 Jul 22  2016 COPYRIGHT.jp
-rw-r--r--  1 root  wheel   7893 Jul 22  2016 INSTALL
-rw-r--r--  1 root  wheel   8307 Jul 22  2016 README
-rw-r--r--  1 root  wheel  21088 Jul 22  2016 USAGE
-rw-r--r--  1 root  wheel  15523 Jul 22  2016 config-usage.ja.txt
-rw-r--r--  1 root  wheel  27161 Jul 22  2016 config-usage.txt
-rw-r--r--  1 root  wheel   6525 Jul 22  2016 iked-memo.ja.txt
-rw-r--r--  1 root  wheel  21020 Jul 22  2016 libracoon.ja.txt
-rw-r--r--  1 root  wheel  19588 Jul 22  2016 specification.ja.txt
-rw-r--r--  1 root  wheel   4572 Jul 22  2016 spmif.txt
-rw-r--r--  1 root  wheel  11555 Jul 22  2016 style.txt
-rw-r--r--  1 root  wheel  15249 Jul 22  2016 system-message.ja.txt

А дальше можно творить по самое нехочу.

VPN между FreeBSD

Сообщение snorlov » 2017-07-17 16:23:11

творчески прочитайте http://www.lissyara.su/archive/ipsec_old/

VPN между FreeBSD

Сообщение Demis » 2017-07-17 11:05:14

У меня, например, уже несколько лет (наверное лет шесть-семь) для такого трюка используется racoon2 с ESP (правда больше четырех точек не подключал). Есть в портах. Статья по нему где-то здесь была, правда поразбираться в нем нужно, что-бы понять как эта кухня работает. В общем от нее и отталкивался когда озадачен был как это сделать максимально простым. Единственное, это разрывы связи. Пришлось написать пару скриптов которые учитывают наличие сети Интернет на гейте, на провайдере и между самими подсетями, проверяя каждые 5 минут. Т.к. выяснилось, что если на одном из гейтов нет интернета "долго", то коннект не восстанавливается, т.к. ключи "протухли". И с тех пор я туда заглядываю только при апгрейде системы или портов. При этом все живет в парралель с мпд, для удаленного доступа. Но вариантов соединений много. Думаю народ еще мысли подскажет.

VPN между FreeBSD

Сообщение mikhailp1 » 2017-07-17 10:43:20

Всем добрый день.
Вопрос такой.
На работе появился филиал который нужно подключить к нашей сети. в обоих филиалах стоят шлюзы на Freebsd 10.3

В головной конторе стоит MPD5 и раньше люди из филиала подключались с каждой рабочей станции к серверу (кому надо было), сейчас есть задача поднять канал напрямую между фрюхами, что бы пользователи не делали больше подключение сами.

Вопрос, а точнее затык возник с тем как это реализовать, в интернете нашел статьи и обсуждение, но так и не понял как это правильно организовать.

в сети было два варианта поднять в филиале mdp5 и там уже настраивать pptp_client либо поднять из портов pptp_client

Пытался делать как в статье ( https://equowebs.com/28-freebsd-start/1 ... s-filialom ) но этот вариант не прокатил (

и самое главное не очень понятно, после настройки, какую запускать команду для подключение VPN на филиальном сервере.

Люди кто настраивал такую связку дайте совет как это правильно делать....

Заранее спасибо

Вернуться к началу