* [Sysadmins] Построить VPN.
@ 2007-02-17 16:16 Dmitriy L. Kruglikov
2007-02-17 21:06 ` Alex Borisov
` (2 more replies)
0 siblings, 3 replies; 9+ messages in thread
From: Dmitriy L. Kruglikov @ 2007-02-17 16:16 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Доброго времени суток, коллеги.
Есть необходимость построить VPN...
С одной стороны (филиал) имеем:
D-Link DSL-524T, 3 рабочие станции (не Linux).
D-Link обеспечивает выход в Инет в режиме маршрутизатора,
получает динамический адрес.
Он же умеет Multi VPN Pass-through...
Во всяком случае, на коробке написано.
С другой стороны (офис) имеем сервер с достаточно новым Сизифом.
Так же имеем постоянный IP-адрес.
Задача: Через Инет обеспечить соединение между сервером и
D-Link-ом, и "пробросить" в филиал сетку вида 192.168.3.0
и обеспечить доступ к/из...
Вопрос: что нужно поставить на сервере офиса
для обеспечения соединения со стороны модема-маршрутизатора ?
P.S.
Обеспечивать VPN средствами клиентских станций не хотелось бы ...
За ранее спасибо.
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov_at_gmail_dot_com |@_@ |
DKR6-RIPE |!_/ |
XMPP:dkr6@jabber.ru // \ \
(| | )
/'\_ _/`\
Powered by Linux \___)=(___/
-- Мысль --
Прежде, чем поделиться мыслью, выясни выдержит ли ее голова
собеседника.
-- Б.Лесняк
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Построить VPN.
2007-02-17 16:16 [Sysadmins] Построить VPN Dmitriy L. Kruglikov
@ 2007-02-17 21:06 ` Alex Borisov
2007-02-17 21:39 ` Alex Borisov
2007-02-19 6:46 ` Dmitriy L. Kruglikov
2007-02-17 23:38 ` Nikolay A. Fetisov
2007-02-18 3:30 ` Вадим Илларионов
2 siblings, 2 replies; 9+ messages in thread
From: Alex Borisov @ 2007-02-17 21:06 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
> Есть необходимость построить VPN...
> С одной стороны (филиал) имеем:
> D-Link DSL-524T, 3 рабочие станции (не Linux).
> D-Link обеспечивает выход в Инет в режиме маршрутизатора,
> получает динамический адрес.
я бы поставил в филиале linux-маршрутизатор с openswan
инициатор соединения филиал (так как адрес динамический),
авторизация по RSA
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Построить VPN.
2007-02-17 21:06 ` Alex Borisov
@ 2007-02-17 21:39 ` Alex Borisov
2007-02-19 6:46 ` Dmitriy L. Kruglikov
1 sibling, 0 replies; 9+ messages in thread
From: Alex Borisov @ 2007-02-17 21:39 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
* Alex Borisov <abmagic@rambler.ru> [Sun, 18 Feb 2007 00:06:50 +0300]:
> > Есть необходимость построить VPN...
> > С одной стороны (филиал) имеем:
> > D-Link DSL-524T, 3 рабочие станции (не Linux).
> > D-Link обеспечивает выход в Инет в режиме маршрутизатора,
> > получает динамический адрес.
>
> я бы поставил в филиале linux-маршрутизатор с openswan
> инициатор соединения филиал (так как адрес динамический),
> авторизация по RSA
в общем можно попробовать что-то вроде этого:
в филиале:
nat_traversal=yes
conn head
type=tunnel
rekey=no
# Left security gateway, subnet behind it, next hop toward
right.
# головной офис
left=<IP_adress_HEAD_linux_box>
leftnexthop=<IP_adress_gateway_HEAD_office>
leftsubnet=192.168.1.0/24
leftid=@head.firma.ru
leftrsasigkey="0 ................."
# Right security gateway, subnet behind it, next hop toward
left.
# филиал
right=<IP_adress_linux_box>
rightnexthop=<IP_adress_LAN_DLINK>
rightsubnet=192.168.2.0/24
rightid=@filial.firma.ru
rightrsasigkey="0"
authby=rsasig
auto=start
# =======================
в головном офисе:
nat_traversal=yes
conn filial
type=tunnel
rekey=no
# Left security gateway, subnet behind it, next hop toward
right.
left=%any
leftsubnet=192.168.2.0/24
leftid=@filial.firma.ru
leftrsasigkey="0.........."
# Right security gateway, subnet behind it, next hop toward
left.
right=<IP_adress_HEAD_linux_box>
rightnexthop=<IP_adress_gateway_HEAD_office>
rightsubnet=192.168.1.0/24
rightid=@head.firma.ru
rightrsasigkey="0..................
authby=rsasig
auto=add
----------------------
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Построить VPN.
2007-02-17 16:16 [Sysadmins] Построить VPN Dmitriy L. Kruglikov
2007-02-17 21:06 ` Alex Borisov
@ 2007-02-17 23:38 ` Nikolay A. Fetisov
2007-02-18 3:30 ` Вадим Илларионов
2 siblings, 0 replies; 9+ messages in thread
From: Nikolay A. Fetisov @ 2007-02-17 23:38 UTC (permalink / raw)
To: sysadmins
On Sat, 17 Feb 2007 18:16:41 +0200
Dmitriy L. Kruglikov wrote:
> Есть необходимость построить VPN...
> С одной стороны (филиал) имеем:
> D-Link DSL-524T, 3 рабочие станции (не Linux).
Много разных путей есть...
- Поставить в филиале сервер, и связывать два сервера - со всем
богатством выбора решений VPN под Linux.
- Поставить клиентов VPN на рабочих станциях. OpenVPN/tinc/PPTP/...
OpenVPN точно можно прописать как службу и поднимать автоматом при
загрузке машины.
- Настроить VPN на DSL-524T. Сразу скажу, такого не пробовал, но, из
общих соображений:
- на DSL-524T, по идее, должны работать альтернативные прошивки типа
OpenWRT: http://wiki.openwrt.org
- а для OpenWRT есть сборки очень многих программ, включая
OpenVPN/tinc: http://downloads.openwrt.org/whiterussian/packages/
Этот путь, наверное, самый интересный, но и с наибольшим числом
возможных подводных камней...
--
С уважением,
Николай Фетисов
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Построить VPN.
2007-02-17 16:16 [Sysadmins] Построить VPN Dmitriy L. Kruglikov
2007-02-17 21:06 ` Alex Borisov
2007-02-17 23:38 ` Nikolay A. Fetisov
@ 2007-02-18 3:30 ` Вадим Илларионов
2007-02-19 2:45 ` Вадим Илларионов
2 siblings, 1 reply; 9+ messages in thread
From: Вадим Илларионов @ 2007-02-18 3:30 UTC (permalink / raw)
To: sysadmins
От Dmitriy L. Kruglikov поступило следующее:
> Доброго времени суток, коллеги.
>
> Есть необходимость построить VPN...
> С одной стороны (филиал) имеем:
> D-Link DSL-524T, 3 рабочие станции (не Linux).
> D-Link обеспечивает выход в Инет в режиме маршрутизатора,
> получает динамический адрес.
>
> Он же умеет Multi VPN Pass-through...
> Во всяком случае, на коробке написано.
>
> С другой стороны (офис) имеем сервер с достаточно новым Сизифом.
> Так же имеем постоянный IP-адрес.
>
> Задача: Через Инет обеспечить соединение между сервером и
> D-Link-ом, и "пробросить" в филиал сетку вида 192.168.3.0
> и обеспечить доступ к/из...
>
> Вопрос: что нужно поставить на сервере офиса
> для обеспечения соединения со стороны модема-маршрутизатора ?
>
> P.S.
> Обеспечивать VPN средствами клиентских станций не хотелось бы ...
У меня это реализовано - 11 туннелей с отделениями. Д-линки 524Т (Аннекс В) и
500Т (Аннекс А).
1. Сливаем прошивку для Д-Линка версии 3.0 с их сайта, перепрошиваем железяку.
2. В настройках WAN появляется PPtP-клиент. Настраиваем его по вкусу.
3. Подымаем на линухе PoPToP-сервер и - вуаля!
________________________
С уважением,
Вадим Илларионов
системный администратор
Усолье-Сибирский почтамт
JID: см. <mailto:>
UIN: 7899517
Телефоны:
Мобильный +7 904 658-4154
Рабочий +7 39543 444-00
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Построить VPN.
2007-02-18 3:30 ` Вадим Илларионов
@ 2007-02-19 2:45 ` Вадим Илларионов
0 siblings, 0 replies; 9+ messages in thread
From: Вадим Илларионов @ 2007-02-19 2:45 UTC (permalink / raw)
To: sysadmins
От Вадим Илларионов поступило следующее:
> От Dmitriy L. Kruglikov поступило следующее:
>
>> Доброго времени суток, коллеги.
>>
>> Есть необходимость построить VPN...
>> С одной стороны (филиал) имеем:
>> D-Link DSL-524T, 3 рабочие станции (не Linux).
>> D-Link обеспечивает выход в Инет в режиме маршрутизатора,
>> получает динамический адрес.
>>
>> Он же умеет Multi VPN Pass-through...
>> Во всяком случае, на коробке написано.
>>
>> С другой стороны (офис) имеем сервер с достаточно новым Сизифом.
>> Так же имеем постоянный IP-адрес.
>>
>> Задача: Через Инет обеспечить соединение между сервером и
>> D-Link-ом, и "пробросить" в филиал сетку вида 192.168.3.0
>> и обеспечить доступ к/из...
>>
>> Вопрос: что нужно поставить на сервере офиса
>> для обеспечения соединения со стороны модема-маршрутизатора ?
>>
>> P.S.
>> Обеспечивать VPN средствами клиентских станций не хотелось бы ...
>
> У меня это реализовано - 11 туннелей с отделениями. Д-линки 524Т (Аннекс В)
Ой, наврал... Не 524, а 562. Не пинайте сильно...
________________________
С уважением,
Вадим Илларионов
системный администратор
Усолье-Сибирский почтамт
JID: см. <mailto:>
UIN: 7899517
Телефоны:
Мобильный +7 904 658-4154
Рабочий +7 39543 444-00
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Построить VPN.
2007-02-17 21:06 ` Alex Borisov
2007-02-17 21:39 ` Alex Borisov
@ 2007-02-19 6:46 ` Dmitriy L. Kruglikov
2007-02-19 9:43 ` Глодин С.В.
1 sibling, 1 reply; 9+ messages in thread
From: Dmitriy L. Kruglikov @ 2007-02-19 6:46 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
На календаре было: Воскресенье, 18 Февраль 2007 года,
Alex Borisov писал(а) в сообщении:
AB == Alex Borisov
AB> я бы поставил в филиале linux-маршрутизатор с openswan
AB> инициатор соединения филиал (так как адрес динамический),
AB> авторизация по RSA
И я бы поставил, если бы мог .... ;)
Но кроме перечисленного ранее, там ничего больше нет и не будет ...
Будем пытаться осилить вариант, который предлагает
Николай Фетисов.
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov_at_gmail_dot_com |@_@ |
DKR6-RIPE |!_/ |
XMPP:dkr6@jabber.ru // \ \
(| | )
/'\_ _/`\
Powered by Linux \___)=(___/
-- Мысль --
Крановщик назвал своих дочерей-близнецов Майна и Вира.
-- Крайнов-Рытов
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Построить VPN.
2007-02-19 6:46 ` Dmitriy L. Kruglikov
@ 2007-02-19 9:43 ` Глодин С.В.
2007-02-19 9:54 ` Dmitriy L. Kruglikov
0 siblings, 1 reply; 9+ messages in thread
From: Глодин С.В. @ 2007-02-19 9:43 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
понеділок, 19-лют-2007, Dmitriy L. Kruglikov написав:
> Будем пытаться осилить вариант, который предлагает
> Николай Фетисов.
Могу подсказать по поводу tinc:
http://www.tinc-vpn.org/examples/windows-install
http://www.tinc-vpn.org/packages/windows/tinc-1.0.7-install.exe
http://www.tinc-vpn.org/documentation/tinc_toc
Это -- если нужен клиент под Windows. Становится в качестве сервиса.
--
С уважением,
С.В. Глодин
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Построить VPN.
2007-02-19 9:43 ` Глодин С.В.
@ 2007-02-19 9:54 ` Dmitriy L. Kruglikov
0 siblings, 0 replies; 9+ messages in thread
From: Dmitriy L. Kruglikov @ 2007-02-19 9:54 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
На календаре было: Понедельник, 19 Февраль 2007 года,
Глодин С.В. писал(а) в сообщении:
== Глодин С.В.
> Это -- если нужен клиент под Windows. Становится в качестве сервиса.
В том то и дело, что клиент под Вынь крайне нежелателен.
Пока смотрим в сторону PopToP,
возможность которого появилась после обновления паршивки.
Хотя, более интересным был бы вариант с альтернативной прошивкой
(OpenWRT), но моя железка пока не поддерживается - Work in Progress.
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov_at_gmail_dot_com |@_@ |
DKR6-RIPE |!_/ |
XMPP:dkr6@jabber.ru // \ \
(| | )
/'\_ _/`\
Powered by Linux \___)=(___/
-- Мысль --
Поэту все к лицу: и в юности - мудрость, и в старости - детство.
-- В.М.Борисов
^ permalink raw reply [flat|nested] 9+ messages in thread
end of thread, other threads:[~2007-02-19 9:54 UTC | newest]
Thread overview: 9+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2007-02-17 16:16 [Sysadmins] Построить VPN Dmitriy L. Kruglikov
2007-02-17 21:06 ` Alex Borisov
2007-02-17 21:39 ` Alex Borisov
2007-02-19 6:46 ` Dmitriy L. Kruglikov
2007-02-19 9:43 ` Глодин С.В.
2007-02-19 9:54 ` Dmitriy L. Kruglikov
2007-02-17 23:38 ` Nikolay A. Fetisov
2007-02-18 3:30 ` Вадим Илларионов
2007-02-19 2:45 ` Вадим Илларионов
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git