VPN между FreeBSD
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- проходил мимо
VPN между FreeBSD
Всем добрый день.
Вопрос такой.
На работе появился филиал который нужно подключить к нашей сети. в обоих филиалах стоят шлюзы на Freebsd 10.3
В головной конторе стоит MPD5 и раньше люди из филиала подключались с каждой рабочей станции к серверу (кому надо было), сейчас есть задача поднять канал напрямую между фрюхами, что бы пользователи не делали больше подключение сами.
Вопрос, а точнее затык возник с тем как это реализовать, в интернете нашел статьи и обсуждение, но так и не понял как это правильно организовать.
в сети было два варианта поднять в филиале mdp5 и там уже настраивать pptp_client либо поднять из портов pptp_client
Пытался делать как в статье ( https://equowebs.com/28-freebsd-start/1 ... s-filialom ) но этот вариант не прокатил (
и самое главное не очень понятно, после настройки, какую запускать команду для подключение VPN на филиальном сервере.
Люди кто настраивал такую связку дайте совет как это правильно делать....
Заранее спасибо
Вопрос такой.
На работе появился филиал который нужно подключить к нашей сети. в обоих филиалах стоят шлюзы на Freebsd 10.3
В головной конторе стоит MPD5 и раньше люди из филиала подключались с каждой рабочей станции к серверу (кому надо было), сейчас есть задача поднять канал напрямую между фрюхами, что бы пользователи не делали больше подключение сами.
Вопрос, а точнее затык возник с тем как это реализовать, в интернете нашел статьи и обсуждение, но так и не понял как это правильно организовать.
в сети было два варианта поднять в филиале mdp5 и там уже настраивать pptp_client либо поднять из портов pptp_client
Пытался делать как в статье ( https://equowebs.com/28-freebsd-start/1 ... s-filialom ) но этот вариант не прокатил (
и самое главное не очень понятно, после настройки, какую запускать команду для подключение VPN на филиальном сервере.
Люди кто настраивал такую связку дайте совет как это правильно делать....
Заранее спасибо
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- прапорщик
- Сообщения: 496
- Зарегистрирован: 2015-05-25 14:36:32
VPN между FreeBSD
У меня, например, уже несколько лет (наверное лет шесть-семь) для такого трюка используется racoon2 с ESP (правда больше четырех точек не подключал). Есть в портах. Статья по нему где-то здесь была, правда поразбираться в нем нужно, что-бы понять как эта кухня работает. В общем от нее и отталкивался когда озадачен был как это сделать максимально простым. Единственное, это разрывы связи. Пришлось написать пару скриптов которые учитывают наличие сети Интернет на гейте, на провайдере и между самими подсетями, проверяя каждые 5 минут. Т.к. выяснилось, что если на одном из гейтов нет интернета "долго", то коннект не восстанавливается, т.к. ключи "протухли". И с тех пор я туда заглядываю только при апгрейде системы или портов. При этом все живет в парралель с мпд, для удаленного доступа. Но вариантов соединений много. Думаю народ еще мысли подскажет.
-
- подполковник
- Сообщения: 3927
- Зарегистрирован: 2008-09-04 11:51:25
- Откуда: Санкт-Петербург
VPN между FreeBSD
творчески прочитайте http://www.lissyara.su/archive/ipsec_old/
-
- прапорщик
- Сообщения: 496
- Зарегистрирован: 2015-05-25 14:36:32
VPN между FreeBSD
Во-во. Это оно.snorlov писал(а): творчески прочитайте http://www.lissyara.su/archive/ipsec_old/
Только я тогда (еще в то время) почитал Интернет и обнаружил, что есть серьезные проблемы с безопасностью архитектуры IKE. Уже не помню в чем, м.б. отсутствие IKEv2. Тогда-то и нашел, что второй енот (racoon2) от fukumoto уже нормален.
cat /usr/ports/security/racoon2/pkg-descr
Код: Выделить всё
"racoon2" is a system to exchange and to install security parameters
for the IPsec.
Currently the system supports the following specification:
Internet Key Exchange (IKEv2) Protocol
draft-ietf-ipsec-ikev2-17.txt
Kerberized Internet Negotiation of Keys (KINK)
draft-ietf-kink-kink-06.txt
PF_KEY Key Management API, Version 2
RFC2367
The Internet Key Exchange (IKE)
RFC2409
WWW: http://www.racoon2.wide.ad.jp/
http://www.racoon2.wide.ad.jp/w/?Racoon2
http://www.racoon2.wide.ad.jp/w/?Documentation
Что-то не все у меня открылось из перечисленного выше.
После установки доступно почитать:
ls /usr/local/share/doc/racoon2/
Код: Выделить всё
total 192
-rw-r--r-- 1 root wheel 8337 Jul 22 2016 COPYRIGHT
-rw-r--r-- 1 root wheel 1507 Jul 22 2016 COPYRIGHT.jp
-rw-r--r-- 1 root wheel 7893 Jul 22 2016 INSTALL
-rw-r--r-- 1 root wheel 8307 Jul 22 2016 README
-rw-r--r-- 1 root wheel 21088 Jul 22 2016 USAGE
-rw-r--r-- 1 root wheel 15523 Jul 22 2016 config-usage.ja.txt
-rw-r--r-- 1 root wheel 27161 Jul 22 2016 config-usage.txt
-rw-r--r-- 1 root wheel 6525 Jul 22 2016 iked-memo.ja.txt
-rw-r--r-- 1 root wheel 21020 Jul 22 2016 libracoon.ja.txt
-rw-r--r-- 1 root wheel 19588 Jul 22 2016 specification.ja.txt
-rw-r--r-- 1 root wheel 4572 Jul 22 2016 spmif.txt
-rw-r--r-- 1 root wheel 11555 Jul 22 2016 style.txt
-rw-r--r-- 1 root wheel 15249 Jul 22 2016 system-message.ja.txt
-
- рядовой
- Сообщения: 44
- Зарегистрирован: 2014-10-13 15:51:34
VPN между FreeBSD
Я реализовал на OpenVPN - использовал layer 3
PPtP иногда режут провайдеры, иногда доступ к интернет через него. Кроме того мне показалось относительно просто настроить.
http://forum.ixbt.com/topic.cgi?id=14:49976
Сайт сейчас "лежит" по этому не уверен что даю ссылку на первый форум - в котором на первых страничках все пошагово и доступно расписано.
В связи с тем что есть "главный" офис и несколько "филиалов", то использовал тип звезда.
Но есть вариант и соединения точка- точка.
В филиалах тоже маленькие сети, в связи с этим заранее все привел к нормальной адресации в Tcp-ip-v4
Для этого заранее "продумал" структуру сети:
http://www.opennet.ru/ipcalc.shtml?ip=1 ... D4%D8+-%3E
Это мой пример расчета на пять подсетей (выбрал диапазон который занимает семь)
192.168.24х.0 где х - номер филиала
240 главный офис
241 первый филиал
242 второй и так далее
Такая организация позволила иметь на сервере таблицу маршрутизации:
Где 10.20.24.0/24 это подсеть OpenVPN
Более точный маршрут 192.168.240.0/24 link#2 ste0 сообщает что локальная сеть в локальном интерфейсе
а 192.168.240.0/21 10.20.24.2 tun1 что надо заворачивать в OpenVPN
Ну и все доступно по ip адресам. В связи с тем что сети маленькие - и нужно обычно только RDP и принтера - не было сложности настроить всё в ручную.
Отправлено спустя 22 минуты 36 секунд:
Все таки первая ссылка это FAQ
Вот ссылка с темой пошаговой инструкции
http://forum.ixbt.com/topic.cgi?id=14:40906
PPtP иногда режут провайдеры, иногда доступ к интернет через него. Кроме того мне показалось относительно просто настроить.
http://forum.ixbt.com/topic.cgi?id=14:49976
Сайт сейчас "лежит" по этому не уверен что даю ссылку на первый форум - в котором на первых страничках все пошагово и доступно расписано.
В связи с тем что есть "главный" офис и несколько "филиалов", то использовал тип звезда.
Но есть вариант и соединения точка- точка.
В филиалах тоже маленькие сети, в связи с этим заранее все привел к нормальной адресации в Tcp-ip-v4
Для этого заранее "продумал" структуру сети:
http://www.opennet.ru/ipcalc.shtml?ip=1 ... D4%D8+-%3E
Это мой пример расчета на пять подсетей (выбрал диапазон который занимает семь)
192.168.24х.0 где х - номер филиала
240 главный офис
241 первый филиал
242 второй и так далее
Такая организация позволила иметь на сервере таблицу маршрутизации:
Код: Выделить всё
/home/dkress#netstat -rnf inet
Routing tables
Internet:
Destination Gateway Flags Netif Expire
0.0.0.0/1 172.20.1.254 UGS ng0
10.20.24.0/24 10.20.24.2 UGS tun1
10.20.24.1 link#9 UHS lo0
10.20.24.2 link#9 UH tun1
192.168.240.0/21 10.20.24.2 UGS tun1
192.168.240.0/24 link#2 U ste0
Более точный маршрут 192.168.240.0/24 link#2 ste0 сообщает что локальная сеть в локальном интерфейсе
а 192.168.240.0/21 10.20.24.2 tun1 что надо заворачивать в OpenVPN
Ну и все доступно по ip адресам. В связи с тем что сети маленькие - и нужно обычно только RDP и принтера - не было сложности настроить всё в ручную.
Отправлено спустя 22 минуты 36 секунд:
Все таки первая ссылка это FAQ
Вот ссылка с темой пошаговой инструкции
http://forum.ixbt.com/topic.cgi?id=14:40906
-
- проходил мимо
VPN между FreeBSD
В кратце поднимается на одном впн сервер со второго подключаем клиент и настраивают маршрут и фаервол.
Тривиально же
Тривиально же
- Bormental
- сержант
- Сообщения: 267
- Зарегистрирован: 2008-09-26 21:26:35
- Откуда: подмордорье
- Контактная информация:
VPN между FreeBSD
+ 1 быстро просто и надежно. а если еще нужны будут удаленщики можно на этот же опенвпн сервер их и подсадить.кто-то писал(а):В кратце поднимается на одном впн сервер со второго подключаем клиент и настраивают маршрут и фаервол.
Тривиально же