объединение двух офисов под win2003, впн туннель

[kodi]

есть задача: объединить два офиса через интернет канал, настроить маршрутизацию между сетями . В каждой сети стоит роутер на базе win2003, менять систему нельзя.
Главный офис имеет сеть 192.168.0.0/24. На роутере подняты "Входящие подключения" в качестве vpn-сервера, а не RRAS.
В офисе филиала сеть 192.168.1.0/24. На роутере поднят RRAS. Он используется в качестве vpn-клиента.
VPN-клиент получает адрес из подсети главного офиса, т.е. в туннеле тажа сеть что и в главном офисе. Тут возникает первый вопрос: можно ли так делать или надо чтоб vpn канал был в другой подсети?
Щас на роутере в филиале включен NAT между локальной сетью и интерфейсом VPN-клиента, т.е. пользователи филиала имеют доступ к главному офису через nat, а в обратную доступа нет.

Первый вопрос: можно ли использовать "Входящие подключения" в win2003 для организации туннеля для маршрутизации или нужен RRAS?
Вопрос второй: когда роутер сети филиала подключается к главному офису, у него имеется интерфейс смотрящий в сторону филиала и интерфейс смотрящий с торону главного офиса. Можно ли настроить маршрутизацию через него, т.е. прописать на клиентах обоих сетей маршрут в другую подсеть через этот роутер? ИЛИ надо настраивать маршрутизацию между двумя роутерами по туннелю, а на клиентах указывать каждому свой роутер?

Извините, если где потерялась логика))
Спасибо.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[kodi]

никто не заморачивался??(

[skeletor]

Тут возникает первый вопрос: можно ли так делать или надо чтоб vpn канал был в другой подсети?

Да

Первый вопрос: можно ли использовать "Входящие подключения" в win2003 для организации туннеля для маршрутизации или нужен RRAS?

Да

Вопрос второй: когда роутер сети филиала подключается к главному офису, у него имеется интерфейс смотрящий в сторону филиала и интерфейс смотрящий с торону главного офиса. Можно ли настроить маршрутизацию через него, т.е. прописать на клиентах обоих сетей маршрут в другую подсеть через этот роутер? ИЛИ надо настраивать маршрутизацию между двумя роутерами по туннелю, а на клиентах указывать каждому свой роутер?

Ничего не понял.

Как вариант можно использовать openvpn как в режиме клиент-сервер, так и в режиме клиент-клиент. Но тогда есть небольшой ньюанс: скорость будет не больше 10Мб\с. Это ограничение драйвера tap под виндой.

[kodi]

Тут возникает первый вопрос: можно ли так делать или надо чтоб vpn канал был в другой подсети?

Да

"Да, можно" или "да, надо чтоб vpn канал был в другой подсети" ?))

Вопрос второй: когда роутер сети филиала подключается к главному офису, у него имеется интерфейс смотрящий в сторону филиала и интерфейс смотрящий с торону главного офиса. Можно ли настроить маршрутизацию через него, т.е. прописать на клиентах обоих сетей маршрут в другую подсеть через этот роутер? ИЛИ надо настраивать маршрутизацию между двумя роутерами по туннелю, а на клиентах указывать каждому свой роутер?

Ничего не понял.

структура сети:

Код: Выделить всё

............................Главный офис ========= Роутер (ВПН-сервер) ... |ИНТЕРНЕТ| ... Роутер (ВПН-клиент) === Офис филиала
[физический интерфейс]....(192.168.0.0/24).........(192.168.0.100/32).....................(192.168.1.100/32).....(192.168.1.0/24)
[ВПН интерфейс]....................................(192.168.0.200/32) =================== (192.168.0.201/32).....................

вариант (про который я писал и вы не поняли), когда один из роутеров получает адрес другой сети по впн и имеет доступ к двум сетям, получается что для него картина выглядит так:

Главный офис(192.168.0.0/24) --- (192.168.0.201/32)Роутер(ВПН-клиент)(192.168.1.100/32) --- Офис филиала(192.168.1.0/24)

единственно, что меня беспокоит. Роутер(впн-клиент) подключаяль к роутеру(впн-серверу) получает адрес из сети роутера(впн-сервера). Но для того чтобы пакеты до Роутера(впн-клиента) ходили, Роутер(впн-сервер) вешает на свой физический интерфейс айпи-адрес Роутера(впн-клиента), для того чтобы ловить пакеты из локальной сети и пересылать их ему через впн-канал. Так при такой схеме, он же не слушает все адреса для сети Роутера(впн-клиента).
Если опять не понятно, то может вы попробуете описать как это должно быть?

Как вариант можно использовать openvpn как в режиме клиент-сервер, так и в режиме клиент-клиент. Но тогда есть небольшой ньюанс: скорость будет не больше 10Мб\с. Это ограничение драйвера tap под виндой.

щас разницы же нет на чем делать RRAS или openvpn? или rras может косячить? я уже его копал, но у меня ничего не заработало.
спс.

[skeletor]

Лучше всего нарисовать картинку, что и куда, а то поплыло форматирование.

"Да, можно" или "да, надо чтоб vpn канал был в другой подсети" ?))

надо чтоб vpn канал был в другой подсети

[kodi]

смотрите, после того как Роутер(впн-клиент) подключается к Роутеру (впн-серверу), он становится "полноправным" участником сети Роутера (впн-сервера), так?
А раз для Роутера(впн-клиента) доступны две сети, то можно ли его настроить оп схеме: сеть1---роутер---сеть2 ?

[skeletor]

Можно.

[snorlov]

смотрите, после того как Роутер(впн-клиент) подключается к Роутеру (впн-серверу), он становится "полноправным" участником сети Роутера (впн-сервера), так?
А раз для Роутера(впн-клиента) доступны две сети, то можно ли его настроить оп схеме: сеть1---роутер---сеть2 ?

Я бы поднял ipsec между серверами в транспортном режиме и настроил маршрутизацию стандартными методами...

[kodi]

Я бы поднял ipsec между серверами в транспортном режиме и настроил маршрутизацию стандартными методами...

стандартными методами винды? rras? а почему именно ipsec?

[skeletor]

ipsec типа безопаснее

[kodi]

ipsec типа безопаснее

спс за информацию, но сначала надо разобраться почему у меня не получается завести в более простом варианте. а потом усиливать "оборону"))

[LimpTeaM]

Тут возникает первый вопрос: можно ли так делать или надо чтоб vpn канал был в другой подсети?

Да

Первый вопрос: можно ли использовать "Входящие подключения" в win2003 для организации туннеля для маршрутизации или нужен RRAS?

Да

Вопрос второй: когда роутер сети филиала подключается к главному офису, у него имеется интерфейс смотрящий в сторону филиала и интерфейс смотрящий с торону главного офиса. Можно ли настроить маршрутизацию через него, т.е. прописать на клиентах обоих сетей маршрут в другую подсеть через этот роутер? ИЛИ надо настраивать маршрутизацию между двумя роутерами по туннелю, а на клиентах указывать каждому свой роутер?

Ничего не понял.

Как вариант можно использовать openvpn как в режиме клиент-сервер, так и в режиме клиент-клиент. Но тогда есть небольшой ньюанс: скорость будет не больше 10Мб\с. Это ограничение драйвера tap под виндой.

Вы немного не правы насчет ограничения TAP интерфейса.
http://openvpn.net/archive/openvpn-user ... 00041.html

[LimpTeaM]

хотя сам копаю из-за чего у меня скорость не поднимается более чем на 12 мегабит при канале в 20-30 мегабит. Грешу на сервер с его характеристиками)

з.ы. не дало отредактировать предыдущие сообщение...

[kodi]

смотрите, после того как Роутер(впн-клиент) подключается к Роутеру (впн-серверу), он становится "полноправным" участником сети Роутера (впн-сервера), так?
А раз для Роутера(впн-клиента) доступны две сети, то можно ли его настроить оп схеме: сеть1---роутер---сеть2 ?

Можно.

вот на этом поподробней.
При такой схеме в маршрутах Роутер (впн-сервер) нигде не должен присутствовать? мы прописываем на машинах сети1, что ходить в сеть2 через Роутер (впн-клиент)и на машинах сети2 в сеть1 через Роутер (впн-клиент). Так?

[opt1k]

я использую tap.
Суть такая:
В каждом филиале у вас есть по роутеру.
Роутер должен знать как достичь сети в другом филиале.
На клиентах прописываете шлюзом только роутер филиала к которому принадлежит клиент.
Вот кусок конфига:

Код: Выделить всё

server-bridge 172.16.0.254 255.255.255.0 172.16.0.1 172.16.0.250
client-config-dir ccd
route 10.0.9.0 255.255.255.0 172.16.0.9 #nizhniy novgorod
ifconfig 172.16.0.251 255.255.255.0

тут 172.16.0.0 - сеть в которой будут находится оба роутера. Одному(серверу openvpn) мы жёстко даём адрес 172.16.0.251.
Мы так же задаём маршрут к сети 10.0.9.0 через 172.16.0.9.
Второму адрес будет выдан согласно его клиентскому файлу который находится в каталоге ccd.
вот его содержание:

Код: Выделить всё

ifconfig-push 172.16.0.9 255.255.255.0
push "route 10.0.1.0 255.255.255.0 172.16.0.251"

Тут мы жёстко даём клиенту адрес 172.16.0.9 и задаём маршрут до сети 10.0.1.0 через 172.16.0.251.

[kodi]

opt1k, проблема в том, что это надо организовать на вин2003, которая уже находится в работе и имеет другие сервисы. поэтому я щас и пытаюсь сделать на том, что есть. спс.

[opt1k]

так, а в чём тогда проблема?
я всё это настраивал и настраиваю на рабочих серверах. Ничего не прерывается, в худшем случае тунель упадёт и через минуту поднимется.

[kodi]

так, а в чём тогда проблема?
я всё это настраивал и настраиваю на рабочих серверах. Ничего не прерывается, в худшем случае тунель упадёт и через минуту поднимется.

это я к слову о tap.
под виндой то это надо реализовать на rras.
как это я реализовывал описано выше, в итоге пакеты не ходят.
а щас настроено так, что поднимается тунель и пользователи филиала ходят в головной офис через НАТ от имени роутера(впн-клиента). чтоб это все ковырять на живую, надо останавливать НАТ. соответственно все начинают ругаться.

вот я и хочу понять теоретически правильна ли схема которую я пытаюсь заставить работать или нет.
спс.

[mymymy]

настоятельно не рекомендовал бы поднимать это на винде

[kodi]

да, время показывает, что задумка не хорошая, но пока такие требования(

з.ы. mymymy, а по конфигурированию можете что-то посоветовать?