* [Comm] vpn
@ 2003-12-25 9:21 Kolya Grechukh
2003-12-25 9:24 ` Kolya Grechukh
0 siblings, 1 reply; 9+ messages in thread
From: Kolya Grechukh @ 2003-12-25 9:21 UTC (permalink / raw)
To: community
http://www.bruy.info/vpn.html
по идее, virtual network не будет прозрачной для клиентов? т.е. между
серверами пинги ходят, а вот с рабочей станции - вряд ли, хотя бы потому что
москва и юбилейный в одной подсети, и клиенты к маршрутизатору не обратятся,
а скажут time out.
имхо, лучше одну сетку сделать 192.168.1.0/24, вторую 192.168.2.0/24, vpn
сервер сделать default route для клиентов. и останется только решить проблему
smb-browsing путем (в случае w2k сервера) сделать два домена, поднять wins,
и усатновить доверие между доменами.
я прав?
--
--------
Nick S. Grechukh
kolyag@mail.ru
Refractory Trading House, network administrator.
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Comm] vpn
2003-12-25 9:21 [Comm] vpn Kolya Grechukh
@ 2003-12-25 9:24 ` Kolya Grechukh
2003-12-25 11:49 ` Maxim Tyurin
0 siblings, 1 reply; 9+ messages in thread
From: Kolya Grechukh @ 2003-12-25 9:24 UTC (permalink / raw)
To: community
at Четверг 25 Декабрь 2003 11:21 Kolya Grechukh wrote:
> http://www.bruy.info/vpn.html
> по идее, virtual network не будет прозрачной для клиентов? т.е. между
> серверами пинги ходят, а вот с рабочей станции - вряд ли, хотя бы потому
> что москва и юбилейный в одной подсети, и клиенты к маршрутизатору не
> обратятся, а скажут time out.
>
> имхо, лучше одну сетку сделать 192.168.1.0/24, вторую 192.168.2.0/24, vpn
> сервер сделать default route для клиентов. и останется только решить
> проблему smb-browsing путем (в случае w2k сервера) сделать два домена,
> поднять wins, и усатновить доверие между доменами.
>
> я прав?
или pgp на клиентах решит дело в пользу оригинального варианта?
--
--------
Nick S. Grechukh
kolyag@mail.ru
Refractory Trading House, network administrator.
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Comm] vpn
2003-12-25 9:24 ` Kolya Grechukh
@ 2003-12-25 11:49 ` Maxim Tyurin
2003-12-25 12:20 ` Kolya Grechukh
0 siblings, 1 reply; 9+ messages in thread
From: Maxim Tyurin @ 2003-12-25 11:49 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 985 bytes --]
On Thu, Dec 25, 2003 at 11:24:06AM +0200, Kolya Grechukh wrote:
> at Четверг 25 Декабрь 2003 11:21 Kolya Grechukh wrote:
> > http://www.bruy.info/vpn.html
> > по идее, virtual network не будет прозрачной для клиентов? т.е. между
> > серверами пинги ходят, а вот с рабочей станции - вряд ли, хотя бы потому
> > что москва и юбилейный в одной подсети, и клиенты к маршрутизатору не
> > обратятся, а скажут time out.
> >
> > имхо, лучше одну сетку сделать 192.168.1.0/24, вторую 192.168.2.0/24, vpn
> > сервер сделать default route для клиентов. и останется только решить
> > проблему smb-browsing путем (в случае w2k сервера) сделать два домена,
> > поднять wins, и усатновить доверие между доменами.
> >
Не путай туннель и транспорт.
Туннель это соединение подсетей
Транспорт - двух хостов
Можно одновременно оба поднимать
> > я прав?
>
> или pgp на клиентах решит дело в пользу оригинального варианта?
>
--
With Best Regards, Maxim Tyurin
JID: MrKooll@jabber.pibhe.com
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Comm] vpn
2003-12-25 11:49 ` Maxim Tyurin
@ 2003-12-25 12:20 ` Kolya Grechukh
2003-12-25 15:11 ` Maxim Tyurin
0 siblings, 1 reply; 9+ messages in thread
From: Kolya Grechukh @ 2003-12-25 12:20 UTC (permalink / raw)
To: community
at Четверг 25 Декабрь 2003 13:49 Maxim Tyurin wrote:
> On Thu, Dec 25, 2003 at 11:24:06AM +0200, Kolya Grechukh wrote:
> > at Четверг 25 Декабрь 2003 11:21 Kolya Grechukh wrote:
> > > http://www.bruy.info/vpn.html
> > > по идее, virtual network не будет прозрачной для клиентов? т.е. между
> > > серверами пинги ходят, а вот с рабочей станции - вряд ли, хотя бы
> > > потому что москва и юбилейный в одной подсети, и клиенты к
> > > маршрутизатору не обратятся, а скажут time out.
> > >
> > > имхо, лучше одну сетку сделать 192.168.1.0/24, вторую 192.168.2.0/24,
> > > vpn сервер сделать default route для клиентов. и останется только
> > > решить проблему smb-browsing путем (в случае w2k сервера) сделать два
> > > домена, поднять wins, и усатновить доверие между доменами.
>
> Не путай туннель и транспорт.
> Туннель это соединение подсетей
> Транспорт - двух хостов
вы хотите сказать, чо в данном случае это будет bridging?
> Можно одновременно оба поднимать
>
> > > я прав?
> >
> > или pgp на клиентах решит дело в пользу оригинального варианта?
--
--------
Nick S. Grechukh
kolyag@mail.ru
Refractory Trading House, network administrator.
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Comm] vpn
2003-12-25 12:20 ` Kolya Grechukh
@ 2003-12-25 15:11 ` Maxim Tyurin
2003-12-26 9:36 ` Kolya Grechukh
0 siblings, 1 reply; 9+ messages in thread
From: Maxim Tyurin @ 2003-12-25 15:11 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 1215 bytes --]
On Thu, Dec 25, 2003 at 02:20:32PM +0200, Kolya Grechukh wrote:
> at Четверг 25 Декабрь 2003 13:49 Maxim Tyurin wrote:
> > On Thu, Dec 25, 2003 at 11:24:06AM +0200, Kolya Grechukh wrote:
> > > at Четверг 25 Декабрь 2003 11:21 Kolya Grechukh wrote:
> > > > http://www.bruy.info/vpn.html
> > > > по идее, virtual network не будет прозрачной для клиентов? т.е. между
> > > > серверами пинги ходят, а вот с рабочей станции - вряд ли, хотя бы
> > > > потому что москва и юбилейный в одной подсети, и клиенты к
> > > > маршрутизатору не обратятся, а скажут time out.
> > > >
> > > > имхо, лучше одну сетку сделать 192.168.1.0/24, вторую 192.168.2.0/24,
> > > > vpn сервер сделать default route для клиентов. и останется только
> > > > решить проблему smb-browsing путем (в случае w2k сервера) сделать два
> > > > домена, поднять wins, и усатновить доверие между доменами.
> >
> > Не путай туннель и транспорт.
> > Туннель это соединение подсетей
> > Транспорт - двух хостов
>
> вы хотите сказать, чо в данном случае это будет bridging?
Подними оба :)
Ты не написал что поднимаешь (чему равен type)
Сетки конечно лучше сделать не пересекающимися.
--
With Best Regards, Maxim Tyurin
JID: MrKooll@jabber.pibhe.com
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Comm] vpn
2003-12-25 15:11 ` Maxim Tyurin
@ 2003-12-26 9:36 ` Kolya Grechukh
2003-12-26 10:20 ` Maxim Tyurin
0 siblings, 1 reply; 9+ messages in thread
From: Kolya Grechukh @ 2003-12-26 9:36 UTC (permalink / raw)
To: community
at Четверг 25 Декабрь 2003 17:11 Maxim Tyurin wrote:
> On Thu, Dec 25, 2003 at 02:20:32PM +0200, Kolya Grechukh wrote:
> > at Четверг 25 Декабрь 2003 13:49 Maxim Tyurin wrote:
> > > On Thu, Dec 25, 2003 at 11:24:06AM +0200, Kolya Grechukh wrote:
> > > > at Четверг 25 Декабрь 2003 11:21 Kolya Grechukh wrote:
> > > > > http://www.bruy.info/vpn.html
> > > > > по идее, virtual network не будет прозрачной для клиентов? т.е.
> > > > > между серверами пинги ходят, а вот с рабочей станции - вряд ли,
> > > > > хотя бы потому что москва и юбилейный в одной подсети, и клиенты к
> > > > > маршрутизатору не обратятся, а скажут time out.
> > > > >
> > > > > имхо, лучше одну сетку сделать 192.168.1.0/24, вторую
> > > > > 192.168.2.0/24, vpn сервер сделать default route для клиентов. и
> > > > > останется только решить проблему smb-browsing путем (в случае w2k
> > > > > сервера) сделать два домена, поднять wins, и усатновить доверие
> > > > > между доменами.
> > >
> > > Не путай туннель и транспорт.
> > > Туннель это соединение подсетей
> > > Транспорт - двух хостов
> >
> > вы хотите сказать, чо в данном случае это будет bridging?
>
> Подними оба :)
> Ты не написал что поднимаешь (чему равен type)
>
> Сетки конечно лучше сделать не пересекающимися.
так... по порядку:
берем сетки с разными адресами. две машины (будущие роутеры) связать между
собой любым путем, хоть простым ssh + pppd на pty (как писали в старом
vpn-howto), без дополнительных софтов. останется только сделать
маршрутизацию.
чем это чревато? в чем смысл freeswan'ов и прочие openvpn'ов?
--------
Nick S. Grechukh
kolyag@mail.ru
Refractory Trading House, network administrator.
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Comm] vpn
2003-12-26 9:36 ` Kolya Grechukh
@ 2003-12-26 10:20 ` Maxim Tyurin
2003-12-26 11:05 ` Kolya Grechukh
0 siblings, 1 reply; 9+ messages in thread
From: Maxim Tyurin @ 2003-12-26 10:20 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 803 bytes --]
On Fri, Dec 26, 2003 at 11:36:29AM +0200, Kolya Grechukh wrote:
> так... по порядку:
> берем сетки с разными адресами. две машины (будущие роутеры) связать между
> собой любым путем, хоть простым ssh + pppd на pty (как писали в старом
> vpn-howto), без дополнительных софтов. останется только сделать
> маршрутизацию.
>
> чем это чревато? в чем смысл freeswan'ов и прочие openvpn'ов?
Так ты не понимаешь смысла VPN или как?
VPN нужен для безопасной связи 2-х сетей (в основном)
или хоста с сетью
или хоста с хостом.
Кроме шифрования возможно еще и сжатие трафика.
Для начала связываемые хосты должны видеть друг друга (хотябы пинг
должен ходить без проблем).
P.S. Постучись в джаббер - быстрее выясним что именно нужно.
--
With Best Regards, Maxim Tyurin
JID: MrKooll@jabber.pibhe.com
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Comm] vpn
2003-12-26 10:20 ` Maxim Tyurin
@ 2003-12-26 11:05 ` Kolya Grechukh
2003-12-26 15:17 ` Maxim Tyurin
0 siblings, 1 reply; 9+ messages in thread
From: Kolya Grechukh @ 2003-12-26 11:05 UTC (permalink / raw)
To: community
network1 network2
192.168.1.0/24 192.168.2.0/24
ws1 -----\ eth1 eth1 /-----ws2
ws2 ------|----- host1 ----| inet |---- host2 ---|------ws1
ws3 -----/ \-----ws3
host1 и host2 в локалку смотрят eth0, наружу eth1. работают роутерами для
локалки в интернет.
хост с хостом изначально связаны открытым каналом (интерфейсы eth1).
eth1 имеет реальный адрес, пинги ходят.
две локалки друг друга не вилят ибо серые.
через открытый канал мы устанавливаем ssh-соединение и запускаем через ssh
pppd. в итоге на связываемых хостах появляется интерефейс ppp0 который они
связаны (якобы) напрямую.
ведь pppd все равно на чем работать, в данном случае - на виртуальном
терминале.
-----------------------------------------------------------------------------
network1 network2
192.168.1.0/24 192.168.2.0/24
ws1 -----\ /-----ws2
ws2 ------|---- host1 ----ppp---- host2 ----|------ws1
ws3 -----/ | | \-----ws3
eth1 eth1
\ /
\ /
----------------------
INTERNET
-----------------------------------------------------------------------------
криптованый? криптованый.
имеем два хоста связанных, теперь настраиваем роутинг eth0<->ppp0.
eth1 остаются не при делах, берем и закрываем все порты кроме ssh (или
оставляем :-).
да, конечно, это обе машины - линуксы, к ним я имею доступ и админские права
в системе. но в моем случае для быстрого связывания удаленного филиала с
центральным офисом - подойдет?
чем это плохо и чего еще я не учел?
p.s. а для freeswan предлагают ядро компилировать.
--------
Nick S. Grechukh
kolyag@mail.ru
Refractory Trading House, network administrator.
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Comm] vpn
2003-12-26 11:05 ` Kolya Grechukh
@ 2003-12-26 15:17 ` Maxim Tyurin
0 siblings, 0 replies; 9+ messages in thread
From: Maxim Tyurin @ 2003-12-26 15:17 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 1110 bytes --]
On Fri, Dec 26, 2003 at 01:05:20PM +0200, Kolya Grechukh wrote:
<scip>
> через открытый канал мы устанавливаем ssh-соединение и запускаем через ssh
> pppd. в итоге на связываемых хостах появляется интерефейс ppp0 который они
> связаны (якобы) напрямую.
> ведь pppd все равно на чем работать, в данном случае - на виртуальном
> терминале.
<scip>
> криптованый? криптованый.
> имеем два хоста связанных, теперь настраиваем роутинг eth0<->ppp0.
> eth1 остаются не при делах, берем и закрываем все порты кроме ssh (или
> оставляем :-).
>
> да, конечно, это обе машины - линуксы, к ним я имею доступ и админские права
> в системе. но в моем случае для быстрого связывания удаленного филиала с
> центральным офисом - подойдет?
Подойдет. Это вполне рабочее решение.
>
> чем это плохо и чего еще я не учел?
Плохо оно тем что сильно грузит машины.
Кроме того ИМХО pppd не надежно работает да и вообще это длинная цепочка.
>
> p.s. а для freeswan предлагают ядро компилировать.
Не нужно. В Master и Castle ядро собранно с freeswan
--
With Best Regards, Maxim Tyurin
JID: MrKooll@jabber.pibhe.com
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 9+ messages in thread
end of thread, other threads:[~2003-12-26 15:17 UTC | newest]
Thread overview: 9+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2003-12-25 9:21 [Comm] vpn Kolya Grechukh
2003-12-25 9:24 ` Kolya Grechukh
2003-12-25 11:49 ` Maxim Tyurin
2003-12-25 12:20 ` Kolya Grechukh
2003-12-25 15:11 ` Maxim Tyurin
2003-12-26 9:36 ` Kolya Grechukh
2003-12-26 10:20 ` Maxim Tyurin
2003-12-26 11:05 ` Kolya Grechukh
2003-12-26 15:17 ` Maxim Tyurin
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git