[Comm] vpn

[Comm] vpn

[Kolya Grechukh]

http://www.bruy.info/vpn.html
по идее, virtual network не будет прозрачной для клиентов? т.е. между 
серверами пинги ходят, а вот с рабочей станции - вряд ли, хотя бы потому что 
москва и юбилейный в одной подсети, и клиенты к маршрутизатору не обратятся, 
а скажут time out.

имхо, лучше одну сетку сделать 192.168.1.0/24, вторую 192.168.2.0/24, vpn 
сервер сделать default route для клиентов. и останется только решить проблему 
smb-browsing путем  (в случае w2k сервера) сделать два домена, поднять wins, 
и усатновить доверие между доменами.

я прав?

-- 
--------
Nick S. Grechukh
kolyag@mail.ru
Refractory Trading House, network administrator.

Re: [Comm] vpn

[Kolya Grechukh]

at Четверг 25 Декабрь 2003 11:21 Kolya Grechukh wrote:
> http://www.bruy.info/vpn.html
> по идее, virtual network не будет прозрачной для клиентов? т.е. между
> серверами пинги ходят, а вот с рабочей станции - вряд ли, хотя бы потому
> что москва и юбилейный в одной подсети, и клиенты к маршрутизатору не
> обратятся, а скажут time out.
>
> имхо, лучше одну сетку сделать 192.168.1.0/24, вторую 192.168.2.0/24, vpn
> сервер сделать default route для клиентов. и останется только решить
> проблему smb-browsing путем  (в случае w2k сервера) сделать два домена,
> поднять wins, и усатновить доверие между доменами.
>
> я прав?

или pgp на клиентах решит дело в пользу оригинального варианта?

-- 
--------
Nick S. Grechukh
kolyag@mail.ru
Refractory Trading House, network administrator.

Re: [Comm] vpn

[Maxim Tyurin]

[-- Attachment #1: Type: text/plain, Size: 985 bytes --]

On Thu, Dec 25, 2003 at 11:24:06AM +0200, Kolya Grechukh wrote:
> at Четверг 25 Декабрь 2003 11:21 Kolya Grechukh wrote:
> > http://www.bruy.info/vpn.html
> > по идее, virtual network не будет прозрачной для клиентов? т.е. между
> > серверами пинги ходят, а вот с рабочей станции - вряд ли, хотя бы потому
> > что москва и юбилейный в одной подсети, и клиенты к маршрутизатору не
> > обратятся, а скажут time out.
> >
> > имхо, лучше одну сетку сделать 192.168.1.0/24, вторую 192.168.2.0/24, vpn
> > сервер сделать default route для клиентов. и останется только решить
> > проблему smb-browsing путем  (в случае w2k сервера) сделать два домена,
> > поднять wins, и усатновить доверие между доменами.
> >

Не путай туннель и транспорт.
Туннель это соединение подсетей
Транспорт - двух хостов

Можно одновременно оба поднимать



> > я прав?
> 
> или pgp на клиентах решит дело в пользу оригинального варианта?
> 



-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
			

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] vpn

[Kolya Grechukh]

at Четверг 25 Декабрь 2003 13:49 Maxim Tyurin wrote:
> On Thu, Dec 25, 2003 at 11:24:06AM +0200, Kolya Grechukh wrote:
> > at Четверг 25 Декабрь 2003 11:21 Kolya Grechukh wrote:
> > > http://www.bruy.info/vpn.html
> > > по идее, virtual network не будет прозрачной для клиентов? т.е. между
> > > серверами пинги ходят, а вот с рабочей станции - вряд ли, хотя бы
> > > потому что москва и юбилейный в одной подсети, и клиенты к
> > > маршрутизатору не обратятся, а скажут time out.
> > >
> > > имхо, лучше одну сетку сделать 192.168.1.0/24, вторую 192.168.2.0/24,
> > > vpn сервер сделать default route для клиентов. и останется только
> > > решить проблему smb-browsing путем  (в случае w2k сервера) сделать два
> > > домена, поднять wins, и усатновить доверие между доменами.
>
> Не путай туннель и транспорт.
> Туннель это соединение подсетей
> Транспорт - двух хостов

вы хотите сказать, чо в данном случае это будет bridging?


> Можно одновременно оба поднимать
>
> > > я прав?
> >
> > или pgp на клиентах решит дело в пользу оригинального варианта?

-- 
--------
Nick S. Grechukh
kolyag@mail.ru
Refractory Trading House, network administrator.

Re: [Comm] vpn

[Maxim Tyurin]

[-- Attachment #1: Type: text/plain, Size: 1215 bytes --]

On Thu, Dec 25, 2003 at 02:20:32PM +0200, Kolya Grechukh wrote:
> at Четверг 25 Декабрь 2003 13:49 Maxim Tyurin wrote:
> > On Thu, Dec 25, 2003 at 11:24:06AM +0200, Kolya Grechukh wrote:
> > > at Четверг 25 Декабрь 2003 11:21 Kolya Grechukh wrote:
> > > > http://www.bruy.info/vpn.html
> > > > по идее, virtual network не будет прозрачной для клиентов? т.е. между
> > > > серверами пинги ходят, а вот с рабочей станции - вряд ли, хотя бы
> > > > потому что москва и юбилейный в одной подсети, и клиенты к
> > > > маршрутизатору не обратятся, а скажут time out.
> > > >
> > > > имхо, лучше одну сетку сделать 192.168.1.0/24, вторую 192.168.2.0/24,
> > > > vpn сервер сделать default route для клиентов. и останется только
> > > > решить проблему smb-browsing путем  (в случае w2k сервера) сделать два
> > > > домена, поднять wins, и усатновить доверие между доменами.
> >
> > Не путай туннель и транспорт.
> > Туннель это соединение подсетей
> > Транспорт - двух хостов
> 
> вы хотите сказать, чо в данном случае это будет bridging?

Подними оба :)
Ты не написал что поднимаешь (чему равен type)

Сетки конечно лучше сделать не пересекающимися.

-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
			

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] vpn

[Kolya Grechukh]

at Четверг 25 Декабрь 2003 17:11 Maxim Tyurin wrote:
> On Thu, Dec 25, 2003 at 02:20:32PM +0200, Kolya Grechukh wrote:
> > at Четверг 25 Декабрь 2003 13:49 Maxim Tyurin wrote:
> > > On Thu, Dec 25, 2003 at 11:24:06AM +0200, Kolya Grechukh wrote:
> > > > at Четверг 25 Декабрь 2003 11:21 Kolya Grechukh wrote:
> > > > > http://www.bruy.info/vpn.html
> > > > > по идее, virtual network не будет прозрачной для клиентов? т.е.
> > > > > между серверами пинги ходят, а вот с рабочей станции - вряд ли,
> > > > > хотя бы потому что москва и юбилейный в одной подсети, и клиенты к
> > > > > маршрутизатору не обратятся, а скажут time out.
> > > > >
> > > > > имхо, лучше одну сетку сделать 192.168.1.0/24, вторую
> > > > > 192.168.2.0/24, vpn сервер сделать default route для клиентов. и
> > > > > останется только решить проблему smb-browsing путем  (в случае w2k
> > > > > сервера) сделать два домена, поднять wins, и усатновить доверие
> > > > > между доменами.
> > >
> > > Не путай туннель и транспорт.
> > > Туннель это соединение подсетей
> > > Транспорт - двух хостов
> >
> > вы хотите сказать, чо в данном случае это будет bridging?
>
> Подними оба :)
> Ты не написал что поднимаешь (чему равен type)
>
> Сетки конечно лучше сделать не пересекающимися.

так... по порядку:
берем сетки с разными адресами. две машины (будущие роутеры) связать между 
собой любым путем, хоть простым ssh + pppd на pty (как писали в старом 
vpn-howto), без дополнительных софтов. останется только сделать 
маршрутизацию. 
 
чем это чревато? в чем смысл  freeswan'ов и прочие openvpn'ов?

--------
Nick S. Grechukh
kolyag@mail.ru
Refractory Trading House, network administrator.

Re: [Comm] vpn

[Maxim Tyurin]

[-- Attachment #1: Type: text/plain, Size: 803 bytes --]

On Fri, Dec 26, 2003 at 11:36:29AM +0200, Kolya Grechukh wrote:
> так... по порядку:
> берем сетки с разными адресами. две машины (будущие роутеры) связать между 
> собой любым путем, хоть простым ssh + pppd на pty (как писали в старом 
> vpn-howto), без дополнительных софтов. останется только сделать 
> маршрутизацию. 
>  
> чем это чревато? в чем смысл  freeswan'ов и прочие openvpn'ов?

Так ты не понимаешь смысла VPN или как?

VPN нужен для безопасной связи 2-х сетей (в основном)
или хоста с сетью 
или хоста с хостом.

Кроме шифрования возможно еще и сжатие трафика.

Для начала связываемые хосты должны видеть друг друга (хотябы пинг
должен ходить без проблем).

P.S. Постучись в джаббер - быстрее выясним что именно нужно.
-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
			

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] vpn

[Kolya Grechukh]

network1                                                             network2
192.168.1.0/24                                          192.168.2.0/24

ws1 -----\                eth1              eth1             /-----ws2
ws2 ------|----- host1 ----|  inet |---- host2 ---|------ws1
ws3 -----/                                                          \-----ws3

host1 и host2 в локалку смотрят eth0, наружу eth1. работают роутерами для 
локалки в интернет.
хост с хостом изначально связаны открытым каналом (интерфейсы eth1). 
eth1 имеет реальный адрес, пинги ходят.
две локалки друг друга не вилят ибо серые.

через открытый канал мы устанавливаем ssh-соединение и запускаем через ssh 
pppd. в итоге на связываемых хостах появляется интерефейс ppp0 который они 
связаны (якобы) напрямую. 
ведь pppd все равно на чем работать, в данном случае - на виртуальном 
терминале.

-----------------------------------------------------------------------------
network1                                                             network2
192.168.1.0/24                                          192.168.2.0/24

ws1 -----\                                                    /-----ws2
ws2 ------|---- host1 ----ppp---- host2 ----|------ws1
ws3 -----/            |                         |             \-----ws3
                         eth1                    eth1
                            \                        /
                              \                    /
                           ----------------------
                                INTERNET
-----------------------------------------------------------------------------

криптованый? криптованый. 
имеем два хоста связанных, теперь настраиваем роутинг  eth0<->ppp0.
eth1 остаются не при делах, берем и закрываем все порты кроме ssh (или 
оставляем :-).

да, конечно, это обе машины - линуксы, к ним я имею доступ  и админские права 
в системе. но в моем случае для быстрого связывания удаленного филиала с 
центральным офисом - подойдет?

чем это плохо и чего еще я не учел? 

p.s. а для freeswan предлагают ядро компилировать.

--------
Nick S. Grechukh
kolyag@mail.ru
Refractory Trading House, network administrator.

Re: [Comm] vpn

[Maxim Tyurin]

[-- Attachment #1: Type: text/plain, Size: 1110 bytes --]

On Fri, Dec 26, 2003 at 01:05:20PM +0200, Kolya Grechukh wrote:
<scip>
> через открытый канал мы устанавливаем ssh-соединение и запускаем через ssh 
> pppd. в итоге на связываемых хостах появляется интерефейс ppp0 который они 
> связаны (якобы) напрямую. 
> ведь pppd все равно на чем работать, в данном случае - на виртуальном 
> терминале.
<scip>
> криптованый? криптованый. 
> имеем два хоста связанных, теперь настраиваем роутинг  eth0<->ppp0.
> eth1 остаются не при делах, берем и закрываем все порты кроме ssh (или 
> оставляем :-).
> 
> да, конечно, это обе машины - линуксы, к ним я имею доступ  и админские права 
> в системе. но в моем случае для быстрого связывания удаленного филиала с 
> центральным офисом - подойдет?

Подойдет. Это вполне рабочее решение.
> 
> чем это плохо и чего еще я не учел? 

Плохо оно тем что сильно грузит машины.
Кроме того ИМХО pppd не надежно работает да и вообще это длинная цепочка.

> 
> p.s. а для freeswan предлагают ядро компилировать.

Не нужно. В Master и Castle ядро собранно с freeswan

-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
			

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]