VPN между FreeBSD

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
mikhailp1
проходил мимо

VPN между FreeBSD

Непрочитанное сообщение mikhailp1 » 2017-07-17 10:43:20

Всем добрый день.
Вопрос такой.
На работе появился филиал который нужно подключить к нашей сети. в обоих филиалах стоят шлюзы на Freebsd 10.3

В головной конторе стоит MPD5 и раньше люди из филиала подключались с каждой рабочей станции к серверу (кому надо было), сейчас есть задача поднять канал напрямую между фрюхами, что бы пользователи не делали больше подключение сами.

Вопрос, а точнее затык возник с тем как это реализовать, в интернете нашел статьи и обсуждение, но так и не понял как это правильно организовать.

в сети было два варианта поднять в филиале mdp5 и там уже настраивать pptp_client либо поднять из портов pptp_client

Пытался делать как в статье ( https://equowebs.com/28-freebsd-start/1 ... s-filialom ) но этот вариант не прокатил (

и самое главное не очень понятно, после настройки, какую запускать команду для подключение VPN на филиальном сервере.

Люди кто настраивал такую связку дайте совет как это правильно делать....

Заранее спасибо

Demis
мл. сержант
Сообщения: 99
Зарегистрирован: 2015-05-25 14:36:32

VPN между FreeBSD

Непрочитанное сообщение Demis » 2017-07-17 11:05:14

У меня, например, уже несколько лет (наверное лет шесть-семь) для такого трюка используется racoon2 с ESP (правда больше четырех точек не подключал). Есть в портах. Статья по нему где-то здесь была, правда поразбираться в нем нужно, что-бы понять как эта кухня работает. В общем от нее и отталкивался когда озадачен был как это сделать максимально простым. Единственное, это разрывы связи. Пришлось написать пару скриптов которые учитывают наличие сети Интернет на гейте, на провайдере и между самими подсетями, проверяя каждые 5 минут. Т.к. выяснилось, что если на одном из гейтов нет интернета "долго", то коннект не восстанавливается, т.к. ключи "протухли". И с тех пор я туда заглядываю только при апгрейде системы или портов. При этом все живет в парралель с мпд, для удаленного доступа. Но вариантов соединений много. Думаю народ еще мысли подскажет.

snorlov
подполковник
Сообщения: 3564
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

VPN между FreeBSD

Непрочитанное сообщение snorlov » 2017-07-17 16:23:11

творчески прочитайте http://www.lissyara.su/archive/ipsec_old/

Demis
мл. сержант
Сообщения: 99
Зарегистрирован: 2015-05-25 14:36:32

VPN между FreeBSD

Непрочитанное сообщение Demis » 2017-07-17 16:54:39

snorlov писал(а):Источник цитаты творчески прочитайте http://www.lissyara.su/archive/ipsec_old/

Во-во. Это оно.
Только я тогда (еще в то время) почитал Интернет и обнаружил, что есть серьезные проблемы с безопасностью архитектуры IKE. Уже не помню в чем, м.б. отсутствие IKEv2. Тогда-то и нашел, что второй енот (racoon2) от fukumoto уже нормален.

cat /usr/ports/security/racoon2/pkg-descr

Код: Выделить всё

"racoon2" is a system to exchange and to install security parameters
for the IPsec.

Currently the system supports the following specification:

        Internet Key Exchange (IKEv2) Protocol
        draft-ietf-ipsec-ikev2-17.txt

        Kerberized Internet Negotiation of Keys (KINK)
        draft-ietf-kink-kink-06.txt

        PF_KEY Key Management API, Version 2
        RFC2367

        The Internet Key Exchange (IKE)
        RFC2409

WWW: http://www.racoon2.wide.ad.jp/


http://www.racoon2.wide.ad.jp/
http://www.racoon2.wide.ad.jp/w/?Racoon2
http://www.racoon2.wide.ad.jp/w/?Documentation
Что-то не все у меня открылось из перечисленного выше.

После установки доступно почитать:
ls /usr/local/share/doc/racoon2/

Код: Выделить всё

total 192
-rw-r--r--  1 root  wheel   8337 Jul 22  2016 COPYRIGHT
-rw-r--r--  1 root  wheel   1507 Jul 22  2016 COPYRIGHT.jp
-rw-r--r--  1 root  wheel   7893 Jul 22  2016 INSTALL
-rw-r--r--  1 root  wheel   8307 Jul 22  2016 README
-rw-r--r--  1 root  wheel  21088 Jul 22  2016 USAGE
-rw-r--r--  1 root  wheel  15523 Jul 22  2016 config-usage.ja.txt
-rw-r--r--  1 root  wheel  27161 Jul 22  2016 config-usage.txt
-rw-r--r--  1 root  wheel   6525 Jul 22  2016 iked-memo.ja.txt
-rw-r--r--  1 root  wheel  21020 Jul 22  2016 libracoon.ja.txt
-rw-r--r--  1 root  wheel  19588 Jul 22  2016 specification.ja.txt
-rw-r--r--  1 root  wheel   4572 Jul 22  2016 spmif.txt
-rw-r--r--  1 root  wheel  11555 Jul 22  2016 style.txt
-rw-r--r--  1 root  wheel  15249 Jul 22  2016 system-message.ja.txt

А дальше можно творить по самое нехочу.

Dmitriy_3206
рядовой
Сообщения: 41
Зарегистрирован: 2014-10-13 15:51:34

VPN между FreeBSD

Непрочитанное сообщение Dmitriy_3206 » 2017-08-01 12:40:49

Я реализовал на OpenVPN - использовал layer 3
PPtP иногда режут провайдеры, иногда доступ к интернет через него. Кроме того мне показалось относительно просто настроить.
http://forum.ixbt.com/topic.cgi?id=14:49976
Сайт сейчас "лежит" по этому не уверен что даю ссылку на первый форум - в котором на первых страничках все пошагово и доступно расписано.

В связи с тем что есть "главный" офис и несколько "филиалов", то использовал тип звезда.
Но есть вариант и соединения точка- точка.
В филиалах тоже маленькие сети, в связи с этим заранее все привел к нормальной адресации в Tcp-ip-v4

Для этого заранее "продумал" структуру сети:
http://www.opennet.ru/ipcalc.shtml?ip=192.168.240.0&netmask=21&submit=%D0%CF%D3%DE%C9%D4%C1%D4%D8+-%3E

Это мой пример расчета на пять подсетей (выбрал диапазон который занимает семь)
192.168.24х.0 где х - номер филиала
240 главный офис
241 первый филиал
242 второй и так далее

Такая организация позволила иметь на сервере таблицу маршрутизации:

Код: Выделить всё

/home/dkress#netstat -rnf inet
Routing tables

Internet:
Destination        Gateway            Flags     Netif Expire
0.0.0.0/1          172.20.1.254       UGS         ng0
10.20.24.0/24      10.20.24.2         UGS        tun1
10.20.24.1         link#9             UHS         lo0
10.20.24.2         link#9             UH         tun1
192.168.240.0/21  10.20.24.2         UGS        tun1
192.168.240.0/24    link#2             U          ste0


Где 10.20.24.0/24 это подсеть OpenVPN
Более точный маршрут 192.168.240.0/24 link#2 ste0 сообщает что локальная сеть в локальном интерфейсе
а 192.168.240.0/21 10.20.24.2 tun1 что надо заворачивать в OpenVPN

Ну и все доступно по ip адресам. В связи с тем что сети маленькие - и нужно обычно только RDP и принтера - не было сложности настроить всё в ручную.

Отправлено спустя 22 минуты 36 секунд:
Все таки первая ссылка это FAQ
Вот ссылка с темой пошаговой инструкции
http://forum.ixbt.com/topic.cgi?id=14:40906

кто-то
проходил мимо

VPN между FreeBSD

Непрочитанное сообщение кто-то » 2017-10-24 18:37:03

В кратце поднимается на одном впн сервер со второго подключаем клиент и настраивают маршрут и фаервол.
Тривиально же


Вернуться в «FreeBSD»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 2 гостя