VPN на несколько офисов

[Kogr]

Есть задача обединить 8 офисов с помощью VPN. Вкачестве шлюзов во всех офисах используються машини с FreeBSD 7.0
Прочел статью по поводу обьединения 2 точек с помощью OpenVPN..... хорошая статья.. все по ней понятно.
Но как быть если нужно обьединять большее число офисов нежели 2 с помощью того же OpenVPN ?
Я так понимаю что есть 2 вареанта:
1) Это когда все клиенты видят сеть за сервером VPN, а сервер видит все сети за каждым из клиентов
2) Это когда все и клиенты и сервер видят все сети

Вопросы:
1) На сервере просто нужно прописвыть в маршрутизации сети всех клиентов и для каждого генерировать свои сертификаты и ключи??
2) ?????

Доп условием есть то что на каждом из шлюзов по два канала для доступа в интернет. Как организовать переброс если основной канал валится , понятно (тут тоже есть хорошая статья на эту тему). Но вот как быть с настройками VPN??

Зарание всем спасибо за помощь.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[hizel]

для каждого офиса генерируются сертификаты
для каждого офиса конфигурация какие роуты туда слать

если у сервреа несколько адресов то на клиенте:

Код: Выделить всё

    remote server1.mydomain
    remote server2.mydomain
    remote server3.mydomain

    remote-random

    resolv-retry 60

[Kogr]

для каждого офиса генерируются сертификаты
для каждого офиса конфигурация какие роуты туда слать

если у сервреа несколько адресов то на клиенте:

Код: Выделить всё

    remote server1.mydomain
    remote server2.mydomain
    remote server3.mydomain

    remote-random

    resolv-retry 60

А можно немного поподробнее... плиз

[hizel]

можно, но попозже
у вас подсети в разных офисах, разные?

[Kogr]

у вас подсети в разных офисах, разные?[/quote]
Я так понимаю для организации всего этого они должны быть все разные, а если должныбыть значить будут разныею

[skeletor]

Можно. VPN - соединяет 2 точки. Главное что-то бы порты были разные у конфигов на одном серваке, на котором будут другие VPN'ы крутиться.
Просто соединяй каждую пару, независимо друг от друга. И они будут видеть только друг друга (если не настроена дополнительная маршрутизация).

[Kogr]

Можно. VPN - соединяет 2 точки. Главное что-то бы порты были разные у конфигов на одном серваке, на котором будут другие VPN'ы крутиться.
Просто соединяй каждую пару, независимо друг от друга. И они будут видеть только друг друга (если не настроена дополнительная маршрутизация).

Тоесть получиться что все сервера и все клиенты ?

[paradox_]

почему собственно опенВПН

можно и на родному

вообщем то

Код: Выделить всё

man gif
man ipsec

это что бы понимать о чем разговор

[tango]

А mpd чем хуже?
у меня на нем 5 офисов крутится....

[paradox_]

я не сказал что хуже
но в том что я посоветовал
отсутсвует понятие клинет сервер - оно там размытое

к томуже mpd не совсем секюрны
не то что бы ктото уже его поламал
просто оно никому не надо
но при желании запросто
даже chap-msv2+mppe128

[Kogr]

Друзья!!! И всё же как это всё должно выглядеть ??? Опен випн не опен впн ... не сильно принципиально!!!
Мне нужна структура построения такого ВПНа...

[naehi8sh]

Когая география офисов? если все в одном городе то подключаешь всех к одному провайдеру и договариваешься с ними о впн канале между офисами. даже траф дешевле будет 100 пудова.
еще как вариант: организация архитектуры звезда. в одном офисе с жирным инетом или в главном офисе ставишь сервак а все остальные к нему конектяться. как вариант этот сервак может стоять не у тебя а у провайдера, а лучше у межрегионального, может они впн сервер еще на себя возму... трантелеком, ростелеком. но с таким чтоб провайдеры города с ним дружили. как договаришься.
но тут надо уже считать: загруженность коналов между офисами, вопрос цены... т.е. промониторить и что будет надежней и выгодней.

а соединять все со всеми это "вилы", два удара 8 дырок... т.е. админить их мона пристрелиться, мона сразу нанимать комикадзе, особенно если у кого то что то отвалиться... не надежная система.
ИМХО

[zingel]

Когая география офисов? если все в одном городе то подключаешь всех к одному провайдеру и договариваешься с ними о впн канале между офисами. даже траф дешевле будет 100 пудова.
еще как вариант: организация архитектуры звезда. в одном офисе с жирным инетом или в главном офисе ставишь сервак а все остальные к нему конектяться. как вариант этот сервак может стоять не у тебя а у провайдера, а лучше у межрегионального, может они впн сервер еще на себя возму... трантелеком, ростелеком. но с таким чтоб провайдеры города с ним дружили. как договаришься.
но тут надо уже считать: загруженность коналов между офисами, вопрос цены... т.е. промониторить и что будет надежней и выгодней.

а соединять все со всеми это "вилы", два удара 8 дырок... т.е. админить их мона пристрелиться, мона сразу нанимать комикадзе, особенно если у кого то что то отвалиться... не надежная система.
ИМХО

Вы представляете примерно, сколько стоит burstable rate на аплинке между, к примеру Москвой и Питером? Про аренду места в стойке я промолчу...

большее число офисов нежели 2 с помощью того же OpenVPN ?

cisco vpn client + MPLS/BGP LEG - как пример



только вместо коммутаторов - серверы под фрёй

[naehi8sh]

хехе)) ну мне же не известна география.
я предложил несколько вариантов далее стоит вопрос цены.
впн по городу провайдером стоит не так уж и дорого. тем более если в одном городе несколько офисов то можно замутить гибридную архитектуру.
а поднимать 28 соединений я бы не решился)

[Alex Keda]

место в стойке - в питере 2200 на нормальном стомегабтном канале.
не анллим - 1 к 4

[Kogr]

Когая география офисов? если все в одном городе то подключаешь всех к одному провайдеру и договариваешься с ними о впн канале между офисами. даже траф дешевле будет 100 пудова.
еще как вариант: организация архитектуры звезда. в одном офисе с жирным инетом или в главном офисе ставишь сервак а все остальные к нему конектяться. как вариант этот сервак может стоять не у тебя а у провайдера, а лучше у межрегионального, может они впн сервер еще на себя возму... трантелеком, ростелеком. но с таким чтоб провайдеры города с ним дружили. как договаришься.
но тут надо уже считать: загруженность коналов между офисами, вопрос цены... т.е. промониторить и что будет надежней и выгодней.

а соединять все со всеми это "вилы", два удара 8 дырок... т.е. админить их мона пристрелиться, мона сразу нанимать комикадзе, особенно если у кого то что то отвалиться... не надежная система.
ИМХО

Размещения по городу + за городм!!! каналы будут все одного провайдера !!! но ВПН строить хотим у себя!!

[zingel]

сколько офисов всего?
ширина канала между ними?
сколько есть серверов?

[Kogr]

сколько офисов всего?
ширина канала между ними?
сколько есть серверов?

8 офисов 8 шлюзов, на каждом шлюзе по два канала нета !! основным будет 2 мб в обестороны

[zingel]

советую приобрести коммутатор и поставить его в центре предпологаемой звезды, и с него раздавать, и нарисуйте нам, пожалуйста, предполагаемую топологию...

[Kogr]

советую приобрести коммутатор и поставить его в центре предпологаемой звезды, и с него раздавать, и нарисуйте нам, пожалуйста, предполагаемую топологию...

Я собственно Вас и спрашиваю что и как должно быть по тем двум вареантам которые были описаны вначале...

[zingel]

для каждого офиса генерируются сертификаты
для каждого офиса конфигурация какие роуты туда слать

если у сервреа несколько адресов то на клиенте:

Код: Выделить всё

    remote server1.mydomain
    remote server2.mydomain
    remote server3.mydomain

    remote-random

    resolv-retry 60

[naehi8sh]

А можно вопрос который надо было еще задать с географией))) нагруженность каналов между офисами? может основной трафик будет между 1 точкой со всеми? тогда точно звезда))))

[zingel]

смотря какой провайдер будет и какой у него толстый аплинк

[pshenya]

Ребята добавлю:
1. ОпенВПН так как будут еще звери которые постоянно в розездах, и будут с форточки входить в приват-сеть.
2. Канал синхрон 2Мбит-а (основной) , резерв от 2 до 10Мбит
3. загрузка канала на начальном этапе маленькая, доки + RDP .
4. ipnat

Вопрос:
примерно какая конфа шлюза для таких задач!

[naehi8sh]

А сколько RDP серверов?
в скольки офисах они стоят?