Вопрос!В режиме тунеля шифруется пакет целиком, включая заголовки. Т.е. создается виртуальный тунель. Но тут возникает проблема, если клиент находится за натом. Т.к. нат меняет заголовки пакета, то все перестает работать. Решение - NAT-T. На семерку есть патч,
Где его можно найти, в офиц. доке порылся но пусто.На семерку есть патч
А можно)) плиз простым языком)) я в сленге не шарю.fox писал(а):Ну а проскипать нат?
Ну что бы правела на нат не поподали, я так понял когда тунель через нат проходит происходит бага ведь так?Spook1680 писал(а):А можно)) плиз простым языком)) я в сленге не шарю.fox писал(а):Ну а проскипать нат?
Умно )) не подумал..fox писал(а):Ну что бы правела на нат не поподали, я так понял когда тунель через нат проходит происходит бага ведь так?Spook1680 писал(а):А можно)) плиз простым языком)) я в сленге не шарю.fox писал(а):Ну а проскипать нат?
Пустите в обход ната есть правело в ipfw skipto пусть проходят мимо ната...
Товарищ, вот Вы пониаете Вы обстрактно задаёте вопрос...Spook1680 писал(а):Умно )) не подумал..fox писал(а):Ну что бы правела на нат не поподали, я так понял когда тунель через нат проходит происходит бага ведь так?Spook1680 писал(а):А можно)) плиз простым языком)) я в сленге не шарю.fox писал(а):Ну а проскипать нат?
Пустите в обход ната есть правело в ipfw skipto пусть проходят мимо ната...
Но вопрос тогда еще ...)) один... если так пустить... А как машины из разных сетей будут видеть друг друга.. ну типа 192.168.0.0/24 как увидит 192.168.11.0/24
Главный офис - филиал. И там и там freebsd 7.3 Нужен VPN тунель.fox писал(а):Товарищ, вот Вы пониаете Вы обстрактно задаёте вопрос...Spook1680 писал(а):Умно )) не подумал..fox писал(а):Ну что бы правела на нат не поподали, я так понял когда тунель через нат проходит происходит бага ведь так?Spook1680 писал(а):А можно)) плиз простым языком)) я в сленге не шарю.fox писал(а):Ну а проскипать нат?
Пустите в обход ната есть правело в ipfw skipto пусть проходят мимо ната...
Но вопрос тогда еще ...)) один... если так пустить... А как машины из разных сетей будут видеть друг друга.. ну типа 192.168.0.0/24 как увидит 192.168.11.0/24
Я не предстовляю какая у вас конфиграция сервера, сколько карточек какая куда, правила ipfw, вы можите детально описовать свою ситуацию что бы экстро сенсорно я не догадывался тогда и мне легче дать вам ответ...
Описуйте детально свою проблему что бы я так же понимал как и Вы ситуацию а то так я могу только гадать!
Ок. Я понял. Спасибо. Будем думат.)fox писал(а):Как вариант лучше обновить, последняя версия всегда лучше старой!)
Ну если Вы боитесь за маршрутизацию то вам нет причин переживать, маршрутизацию осуществляет маршрутизатор, это вы можите даже насильно указать,а нат нужен для ретрансляции IP адресов в сеть инета, так что проскипов тунель, я думаю это не повредит работе маршрутизации в любом случае можно насильно указать маршруты в ровторе...Spook1680 писал(а):Ок. Я понял. Спасибо. Будем думат.)fox писал(а):Как вариант лучше обновить, последняя версия всегда лучше старой!)
Ну так используйте, ipsec+racoon(ipsec-tools), можно юзать openvpn или же mpd5. Не совсем понимаю при чем здесь нат, вы же тоннелем вязать собираетесь сетки, а не прокидывать тоннель через маршрутизатор....Spook1680 писал(а): Главный офис - филиал. И там и там freebsd 7.3 Нужен VPN тунель.
Было принито решение делать на IPsec. Что бы сетки друг-друга видели.
Курю ман.... ну и натыкаюсь на тему что 7.3 нат еще не втыкает. Это можно сделать только на 8.1
Вот и задавал вопрос есть ли патч на 7.3 что бы ipsec понимал нат?!
Или надо обновлять серваки с 7.3 до 8.1?
А по подробней можно, точнее я делал разные комбинации с vpn, но не приходилось пачку контроллеров домена связывать с разных удалённых, у вас просто PDC+BDC (OpenLDAP) а на виндузятене какието установки выставляли что бы NetBIOS работал?snorlov писал(а):Ну так используйте, ipsec+racoon(ipsec-tools), можно юзать openvpn или же mpd5. Не совсем понимаю при чем здесь нат, вы же тоннелем вязать собираетесь сетки, а не прокидывать тоннель через маршрутизатор....Spook1680 писал(а): Главный офис - филиал. И там и там freebsd 7.3 Нужен VPN тунель.
Было принито решение делать на IPsec. Что бы сетки друг-друга видели.
Курю ман.... ну и натыкаюсь на тему что 7.3 нат еще не втыкает. Это можно сделать только на 8.1
Вот и задавал вопрос есть ли патч на 7.3 что бы ipsec понимал нат?!
Или надо обновлять серваки с 7.3 до 8.1?
На тему видимости вопрос сложный, так как не будут бегать широковещательные пакеты, но если у вас XP, которая делает разрешение по DNS'у, то настройкой параметров dhcp и bind проблема тоже решается...
у меня к примеру в каждом филиале стоял BDC, а в офисе PDC(смба+лдап), и все в сетевом окружении видилось без проблем
Да это всё и так ясно, будетли через танель винс и др. что касается нетбиоса работать?snorlov писал(а):Ну чего тут говорить, все зависит от ваших сетей и то что стоить, я имею ввиду авторизацию (самба, ад), на местах.
Как сейчас стоит, ipsec+racoon(ipsec-tools), и настроены тоннели, потом, в настройках dhcp указываете в каждой подсети в качестве первого dns'а, тот который ближайший, обновления зон делается в офисе, по крону проверяется доступность офиса, в случае доступности забираются зоны, в cлучае недоступности, заменяются конфиги bind'а и dhcp и делается их рестарт с высталением флага, в офисе PDC, в филиалах BDC + репликация баз LDAP, ну тут все просто, единственный нюанс, проводить репликацию не от учетной записью админа лдапа, а от другой, это все разжевано в инете достаточно хорошо, на каждом DС поднят wins, в настройках dhcp указаны все wins, в самбах, кроме этого еще используется параметр remote announce, ну вот вроде бы и все. Работает это уже года 4-е, может были еще какие-то нюансы, но я их уже забыл...
Ошибку по поводу нат, понял) спасибо.snorlov писал(а):Ну так используйте, ipsec+racoon(ipsec-tools), можно юзать openvpn или же mpd5. Не совсем понимаю при чем здесь нат, вы же тоннелем вязать собираетесь сетки, а не прокидывать тоннель через маршрутизатор....Spook1680 писал(а): Главный офис - филиал. И там и там freebsd 7.3 Нужен VPN тунель.
Было принито решение делать на IPsec. Что бы сетки друг-друга видели.
Курю ман.... ну и натыкаюсь на тему что 7.3 нат еще не втыкает. Это можно сделать только на 8.1
Вот и задавал вопрос есть ли патч на 7.3 что бы ipsec понимал нат?!
Или надо обновлять серваки с 7.3 до 8.1?
На тему видимости вопрос сложный, так как не будут бегать широковещательные пакеты, но если у вас XP, которая делает разрешение по DNS'у, то настройкой параметров dhcp и bind проблема тоже решается...
у меня к примеру в каждом филиале стоял BDC, а в офисе PDC(смба+лдап), и все в сетевом окружении видилось без проблем
Ну это как пойдет... Ты можешь смеяться, но у меня все 3-и варианта заняли по недели, при этом в случае с ipsec+racoon/mpd большая часть времени(80%) ушло на понятии почему не работает, на тестовой сетке все взлетало, и бодании с провайдером(этот козел не пропускал порты)...hizel писал(а):если вы не разобрались с openvpn, то с ipsec и подавно не справитесь
Обновление не помогает, я пробовал.fox писал(а):Почему OpenVPN не собираеться?
Обновите порты...
Версия OC!
И покажите на что ругаеться...
Если детально опишите проблему то может получется вам помочь.
Ну и порты это не конец, есть пакеты с пакетов пробовали ставить?
Код: Выделить всё
openvpn_enable="YES"
openvpn_if="tun"
openvpn_configfile="/usr/local/etc/openvpn/client.conf"
openvpn_dir="/usr/local/etc/openvpn"
Код: Выделить всё
dev tun
proto tcp
remote 78.....
port 1194
client4
client-to-client
ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/client4.crt
key /usr/local/etc/openvpn/keys/client4.key
tls-client
tls-auth /usr/local/etc/openvpn/keys/ta.key 1
cipher BF-CBC
ns-cert-type server
comp-lzo
persist-key
persist-tun
log /var/log/openvpn/openvpn.log
verb 4
Код: Выделить всё
${fwcmd} add 114 allow log tcp from any to ${oip} 1194 in via ${oif}
${fwcmd} add 115 allow ip from 10.20.40.0/24 to ${inet} out via ${iif}
${fwcmd} add 116 allow ip from ${inet} to 10.20.40.0/24 in via ${iif}
Код: Выделить всё
openvpn_enable="YES"
openvpn_if="tun"
openvpn_configfile="/usr/local/etc/openvpn/openvpn.conf"
openvpn_dir="/usr/local/etc/openvpn"
openvpn.conftun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
inet 10.20.40.1 --> 10.20.40.2 netmask 0xffffffff
Opened by PID 49706
Код: Выделить всё
port 1194
proto tcp
dev tun0
keepalive 20 240
server 10.20.40.0 255.255.255.0
push "route 10.20.40.0 255.255.255.0"
push "route 192.168.0.102 255.255.255.0"
push "route 192.168.0.0 255.255.255.0"
push "route 192.168.5.0 255.255.255.0"
#route 192.168.0.0 255.255.255.0
#route 192.168.2.0 255.255.255.0
client-config-dir ccd /usr/local/etc/openvpn/ccd/
#route 10.20.30.0 255.255.255.252
client-to-client
ca /usr/openvpn/keys/ca.crt
cert /usr/openvpn/keys/server.crt
key /usr/openvpn/keys/server.key
dh /usr/openvpn/keys/dh1024.pem
tls-server
keepalive 10 120
tls-auth /usr/openvpn/keys/ta.key 0
tls-timeout 120
cipher BF-CBC
persist-key
persist-tun
user nobody
group nobody
comp-lzo
max-clients 10
log /var/log/openvpn/openvpn.log
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log
verb 4
mute 10
Код: Выделить всё
${fwcmd} add 100 allow ip from any to any via tun0
${fwcmd} add 101 allow tcp from any to ${oip} 1194 in via ${oif}
${fwcmd} add 102 allow ip from 10.20.40.0/24 to ${inet} out via ${iif}
${fwcmd} add 103 allow ip from ${inet} to 10.20.40.0/24 in via ${iif}
fox писал(а):Что в логе openvpn?
И tun при ifconfig появляеться на client машине?
/var/log/messagesNO# /usr/local/etc/rc.d/openvpn start
Starting openvpn.
NO#
ifconfig: Options error: Unrecognized option or missing parameter(s) in /usr/local/etc/openvpn/client.conf:5: client4 (2.1.1)
: Use --help for more information.
Вот вся инфа которая есть.(stge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=209b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_MAGIC>
ether 00:18:f3:5a:a4:7d
inet 192.168.5.1 netmask 0xffffff00 broadcast 192.168.5.255
media: Ethernet autoselect (100baseTX <full-duplex,flag0,flag1>)
status: active
fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=2009<RXCSUM,VLAN_MTU,WOL_MAGIC>
ether 00:07:e9:e8:83:00
inet 91. netmask 0xfffffff8 broadcast 91.195.179.127
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> metric 0 mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
inet6 ::1 prefixlen 128
inet 127.0.0.1 netmask 0xff000000
NO#
Код: Выделить всё
Options error: --client-to-client requires --mode server
Use --help for more information.
Читать до просветления:Spook1680 писал(а):вот еще касяк, но не пойму где рыть?
/var/log/openvpn/openvpn.logКод: Выделить всё
Options error: --client-to-client requires --mode server Use --help for more information.
Код: Выделить всё
client
#client-to-client
Код: Выделить всё
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
inet 10.20.40.10 --> 10.20.40.9 netmask 0xffffffff
Opened by PID 95721
