Помогите с выбором - NAT, IPDIVERT, IPSec, OpenVPN

[Призрак]

Здравствуйте, уважаемые!

Я давно уже работаю с операционной системой FreeBSD 8.3, она мне очень нравится - надежная, потребляет мало ресурсов, не требует как форточки постоянной перезагрузки при установке обновлений, правда пришлось попотеть при настройке серверов на ее базе, но зато теперь несколько серверов включая WEB сервер и FTP работают как надо. Я даже бэкапы делаю на FTP сервер с помощью Cobian backup 11, классика!

Возникла у меня мысль соединить три корпуса академии с помощью серверов с операционными системами FreeBSD 8.3. Каждый корпус имеет статичный белый адрес Интернета, в настоящее время используется NAT для Windows и OpenVPN, оставшиеся от предыдущих админов. Но шлюзы тупят и постоянно падают, так что хотелось бы более надежные операционные системы использовать. Windows мне уже честное слово надоел, приходится иногда бежать в выходной на работу перезагружать зависший шлюз!

Но есть одна проблема - я никогда не настраивал шлюз на FreeBSD. Вообще для соединения между удаленными машинами применяется, как я понял, две технологии - IPSec и OpenVPN.

1. Насчет IPSec - конечно можно настроить, но как я понял IPSec не любит NAT - как тогда клиенты из локальной сети корпуса будут выходить в Интернет? Кроме того, некоторым сотрудникам нужно будет подключаться через Интернет к серверу из дома, чтобы иметь доступ к сети академии (ко всей сети, не только в одном корпусе!) через OpenVPN.

2. Насчет NAT предлагается два варианта -

Код: Выделить всё

options IPFIREWALL_NAT
options IPDIVERT

какой из этих двух способов использовать?

В этом случае нормально будет использовать OpenVPN для связи между корпусами академии вместо IPSec?

3. Как я понял по статьям, схема соединения по OpenVPN подразумевает следующее:

3.1. Главный корпус академии - сервер OpenVPN

3.2. Корпус №1 - клиент OpenVPN, соединяется с сервером

3.3. Корпус №2 - клиент OpenVPN, соединяется с сервером

В этом случае, сотруднику из дома нужно будет подключиться к главному корпусу академии, чтобы видеть подсети в корпусе №1 и корпусе №2? Существует ли такая схема, чтобы во всех трех корпусах были настроены сервера OpenVPN и соединялись между собой через Интернет, чтобы сотрудник из дома подключался сразу к нужному корпусу, а не к одному главному, или так не получится (хотя наверное нет, TAP адаптер то всего один а в идеале если подключаться ко всем трем корпусам сразу нужно будет заводить сразу 3 подключения)?

Помогите пожалуйста сделать выбор.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Dmitriy_3206]

Можно на каждом корпусе поднять OpenVPN
На клиент положить три конфига. И подключать по очереди нужный.
Ну или как вы написали все цепляются к одному и разруливать маршрутизацией

[Призрак]

Dmitriy_3206 то есть от IPSec отказаться вообще и поднять OpenVPN. Тогда придется делать оба сервера в корпусах клиентами и цеплять к серверу OpenVPN в главном корпусе потому - что у нас есть СКУД и очень важно, чтобы начальник охраны со своего компьютера круглосуточно получал всю информацию. Хорошо, выбор за OpenVPN. Но тогда как быть с NAT? Ведь клиенты должны выходить в Интернет. Тем более я squid хотел настроить. Вообще у меня в планах есть следующее:

1. Настроить 3 сервера с FreeBSD 8.3 в качестве шлюзов, поднять на них NAT (если нужно, а нужно для выхода в Интернет, только NAT или IPDIVERT?)

2. Поднять на всех трех серверах OpenVPN, сделать сервер в главном корпусе сервером OpenVPN а остальные два клиентами OpenVPN.

3. Сделать на каждом сервере две подсети - одна общая, другая для начальника охраны, и изолировать их друг от друга (первая подсеть все сотрудники, вторая только вахты, видеонаблюдение, сервера видеонаблюдения).

Какой NAT нужно реализовать при этом? И еще нужно сделать так, чтобы разделение по подсетям шло по mac адресу. Например, пользователи одной подсети (основной) чтобы не могли попадать в другую подсеть (охраны).

И вообще у меня есть мысль, чтобы сотрудники могли подключаться к серверу и получать Интернет и доступ к другим серверам (контроллер домена. хранилище) только по шифрованному каналу (грубо говоря каждый сотрудник чтобы имел OpenVPN подключение). Целесообразно ли это?

[sadchok]

http://www.sergeysl.ru/freebsd-openvpn-x509/
http://www.lissyara.su/articles/freebsd ... /ipfw_nat/

[Призрак]

http://www.sergeysl.ru/freebsd-openvpn-x509/
http://www.lissyara.su/articles/freebsd ... /ipfw_nat/

Статья про OpenVPN хорошая но ненаглядная - в ней ничего не сказано про NAT. Ну хорошо, я согласен полностью что таким способом можно настроить доступ к локальной сети предприятия из дома, не вопрос. Но как же сами пользователи локальной сети будут получать доступ в Интернет? Непонятно совершенно. Я так вообще думаю, что без NAT раздавать Интернет никак не получится. Товарищ в статье указал только пример доступа к локалке извне, но не указал способ раздачи Интернета. Тем более что я на базовом уровне знаю брандмауэр IPFW, у меня два рабочих сервера с ним крутятся, и тут в статье про OpenVPN в правилах я вижу, что указана маршрутизация только по локальным сетям, но не в Интернет.

[sadchok]

Сначала настроить доступ в инет.
Выбрать схему подходящую вам из http://www.lissyara.su/articles/freebsd ... /ipfw_nat/
А потом настраивать OpenVPN.
Это два разных шага.

[Bacek_92]

Вопрос на засыпку.
У меня с Windows XP -> FreeBSD 7.2 OpenVPN устанавливает скорость 10 mbps.
Файлы гоняет максимум на 500 кб.
Вопрос: как поднять скорость до 100 mbps?
Спасибо!

[snorlov]

http://www.sergeysl.ru/freebsd-openvpn-x509/
http://www.lissyara.su/articles/freebsd ... /ipfw_nat/

Статья про OpenVPN хорошая но ненаглядная - в ней ничего не сказано про NAT. Ну хорошо, я согласен полностью что таким способом можно настроить доступ к локальной сети предприятия из дома, не вопрос. Но как же сами пользователи локальной сети будут получать доступ в Интернет? Непонятно совершенно. Я так вообще думаю, что без NAT раздавать Интернет никак не получится. Товарищ в статье указал только пример доступа к локалке извне, но не указал способ раздачи Интернета. Тем более что я на базовом уровне знаю брандмауэр IPFW, у меня два рабочих сервера с ним крутятся, и тут в статье про OpenVPN в правилах я вижу, что указана маршрутизация только по локальным сетям, но не в Интернет.

IPSec и OpenVPN или ее аналог MPD - это разные технологии, они могут существовать как вместе так и порознь. Для начала попробуйте разделить свою задачу на несколько подзадач, например:
1. Создание общей виртуальной сети академии
2. доступ из дома в виртуальную сеть
3. Доступ из сети академии в интернет

Для решения 1-ой задачи очень подойдет IPSec + ipsec-tools(racoon), в этом вы можете шифровать весь трафик,который будет идти через I-net между вашими и только ими серверами, настройка при этом достаточно тривиальная и решение будет очень надежное...
А NAT вам в любом случае потребуется...
P.S. У вас в голове каша... попробуйте систематизировать свои знания