ALT Linux sysadmins discussion
 help / color / mirror / Atom feed
* [Sysadmins] VPN
@ 2009-01-10 14:32 MisHel64
  2009-01-11  5:25 ` Alexei Babich
                   ` (2 more replies)
  0 siblings, 3 replies; 14+ messages in thread
From: MisHel64 @ 2009-01-10 14:32 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Здравствуйте, ALT.

Если не сложно, помогите с объединением локальных сетей.

Структура организации.

1)  Главный  офис.  Белый  ИП. Локальная сеть подключается к интернету
через  Linux сервер. В локальной сети сидят "админы". На сервере стоит
самба.  Доступ  к  SMB  папкам  без паролей, разрешен доступ только из
локальной сети. В локалке адреса 172.16.1.0/24.

2)  Филиал.  Белый  ИП,  локальная сеть подключается к интернету через
Linux  сервер.  В  локальной  сети сидят "работники". На сервере стоит
самба.  Доступ  к  SMB  папкам  без паролей, разрешен доступ только из
локальной сети. В локалке адреса 172.16.2.0/24

3)   Дом.   Компьютер   под   управление   Windows   XP,  имеет  адрес
192.168.1.0/24.  Выходит в интернет через ADSL модем, который имеет ИП
из  10.0.0.0/8,  и  подключается  к интернету через NAT провайдера. За
компьютером сидит "пользователь".

"Админы",    "Работники",   "Пользователи"   сидят   за   компьютерами
работающими под управлением MS Windows XP.

Что  нужно:

1)  "Админы"  должны  иметь  доступ  к  SMB  ресурсам обоих серверов и
компьютеров в обоих сетях.

2)  "Работники"  должны  должны  иметь  доступ к SMB ресурсам на обоих
серверах и внутри сети филиала.

3)  "Пользователь"  должны должны иметь доступ к SMB ресурсам на обоих
серверах.

OpenVPN не устраивает, из-за необходимости установки дополнительного
софта по Windows платформы.

PPPtP поднять не удалось. Провайдер режет GPE.
Остается "L2TP IpSec" в терминах Микрософта.

Но  вот  в  тонкостях  реализации,  я  пока  не разобрался. Буду очень
признателен за любые советы и ссылки.


-- 
С уважением,
 MisHel64                          mailto:MisHel64@Bk.Ru



^ permalink raw reply	[flat|nested] 14+ messages in thread

* Re: [Sysadmins] VPN
  2009-01-10 14:32 [Sysadmins] VPN MisHel64
@ 2009-01-11  5:25 ` Alexei Babich
  2009-01-11 10:16   ` MisHel64
  2009-01-11 14:09 ` Maxim Tyurin
  2009-01-13 11:06 ` Mike Almateia
  2 siblings, 1 reply; 14+ messages in thread
From: Alexei Babich @ 2009-01-11  5:25 UTC (permalink / raw)
  To: sysadmins

> Остается "L2TP IpSec" в терминах Микрософта.
Ещё IPSec в туннельном режиме.

-- 
С уважением,
Алексей Бабич, инженер-схемотехник ООО НПП "Резонанс", Челябинск, Россия
http://www.rez.ru
JID: impatt@jabber.ru


^ permalink raw reply	[flat|nested] 14+ messages in thread

* Re: [Sysadmins] VPN
  2009-01-11  5:25 ` Alexei Babich
@ 2009-01-11 10:16   ` MisHel64
  2009-01-11 10:32     ` Dmitriy M. Maslennikov
  2009-01-11 10:39     ` Alexei Babich
  0 siblings, 2 replies; 14+ messages in thread
From: MisHel64 @ 2009-01-11 10:16 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Здравствуйте, Alexei.

Вы писали 11 января 2009 г., 8:25:58:

>> Остается "L2TP IpSec" в терминах Микрософта.
> Ещё IPSec в туннельном режиме.

Если  я  правильно  понял документацию, то "IPSec в туннельном режиме"
нельзя использовать если между концами туннеля есть NAT. Между
серверами этот вариант может и будет работать, но "пользователи" имеют
один NAT минимум (в ADSL модеме), и чаще всего еще и у провайдера. Наш
провайдер большая редиска, и частникам старается впарить серый ИП.


-- 
С уважением,
 MisHel64                          mailto:MisHel64@Bk.Ru



^ permalink raw reply	[flat|nested] 14+ messages in thread

* Re: [Sysadmins] VPN
  2009-01-11 10:16   ` MisHel64
@ 2009-01-11 10:32     ` Dmitriy M. Maslennikov
  2009-01-11 10:39     ` Alexei Babich
  1 sibling, 0 replies; 14+ messages in thread
From: Dmitriy M. Maslennikov @ 2009-01-11 10:32 UTC (permalink / raw)
  To: MisHel64, ALT Linux sysadmin discuss

11 января 2009 г. 13:16 пользователь MisHel64 <MisHel64@bk.ru> написал:
> Если  я  правильно  понял документацию, то "IPSec в туннельном режиме"
> нельзя использовать если между концами туннеля есть NAT. Между
> серверами этот вариант может и будет работать, но "пользователи" имеют
> один NAT минимум (в ADSL модеме)
По-моему вы забываете, что модем может работать как мост (bridge).

-- 
Dmitriy M. Maslennikov
rlz@etersoft.ru
rlz@altlinux.org
maslennikovdm@gmail.com
master@armory.ru

^ permalink raw reply	[flat|nested] 14+ messages in thread

* Re: [Sysadmins] VPN
  2009-01-11 10:16   ` MisHel64
  2009-01-11 10:32     ` Dmitriy M. Maslennikov
@ 2009-01-11 10:39     ` Alexei Babich
  1 sibling, 0 replies; 14+ messages in thread
From: Alexei Babich @ 2009-01-11 10:39 UTC (permalink / raw)
  To: MisHel64, ALT Linux sysadmin discuss

> Если  я  правильно  понял документацию, то "IPSec в туннельном режиме"
> нельзя использовать если между концами туннеля есть NAT.
Есть там NAT Traversal.
Так что будет.
Вернее так:
1. Сам практики не имел (пардон, что взялся советовать, начитавшись всякого, но не попробовав)
2. Про виндовс ничего хорошего сказать не могу; не исключено, что этого она не может.


-- 
С уважением,
Алексей Бабич, инженер-схемотехник ООО НПП "Резонанс", Челябинск, Россия
http://www.rez.ru
JID: impatt@jabber.ru


^ permalink raw reply	[flat|nested] 14+ messages in thread

* Re: [Sysadmins] VPN
  2009-01-10 14:32 [Sysadmins] VPN MisHel64
  2009-01-11  5:25 ` Alexei Babich
@ 2009-01-11 14:09 ` Maxim Tyurin
  2009-01-13 11:06 ` Mike Almateia
  2 siblings, 0 replies; 14+ messages in thread
From: Maxim Tyurin @ 2009-01-11 14:09 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

MisHel64 пишет:
> OpenVPN не устраивает, из-за необходимости установки дополнительного
> софта по Windows платформы.
> 
> PPPtP поднять не удалось. Провайдер режет GPE.
> Остается "L2TP IpSec" в терминах Микрософта.

ИМХО вы сами себе ищете геморрой на ровном месте.
Если у вас провайдер режет трафик то окромя OpenVPN альтернатив нет.
OpenVPN работает хоть через прокси, а с его установкой и настройкой
вполне справляется 25-ти летняя блондинка с гуманитарным образованием.

IPsec с NAT да еще с разных концов разные ОС....
Проще сразу об стену убиться.
-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
			


^ permalink raw reply	[flat|nested] 14+ messages in thread

* Re: [Sysadmins] VPN
  2009-01-10 14:32 [Sysadmins] VPN MisHel64
  2009-01-11  5:25 ` Alexei Babich
  2009-01-11 14:09 ` Maxim Tyurin
@ 2009-01-13 11:06 ` Mike Almateia
  2009-01-13 19:25   ` Andrey Alexandrov
  2 siblings, 1 reply; 14+ messages in thread
From: Mike Almateia @ 2009-01-13 11:06 UTC (permalink / raw)
  To: MisHel64, ALT Linux sysadmin discuss

On Saturday 10 January 2009 17:32:06 MisHel64 wrote:
> Здравствуйте, ALT.
>
> Если не сложно, помогите с объединением локальных сетей.
>
> Структура организации.
>
> 1)  Главный  офис.  Белый  ИП. Локальная сеть подключается к интернету
> через  Linux сервер. В локальной сети сидят "админы". На сервере стоит
> самба.  Доступ  к  SMB  папкам  без паролей, разрешен доступ только из
> локальной сети. В локалке адреса 172.16.1.0/24.
>
> 2)  Филиал.  Белый  ИП,  локальная сеть подключается к интернету через
> Linux  сервер.  В  локальной  сети сидят "работники". На сервере стоит
> самба.  Доступ  к  SMB  папкам  без паролей, разрешен доступ только из
> локальной сети. В локалке адреса 172.16.2.0/24
>
> 3)   Дом.   Компьютер   под   управление   Windows   XP,  имеет  адрес
> 192.168.1.0/24.  Выходит в интернет через ADSL модем, который имеет ИП
> из  10.0.0.0/8,  и  подключается  к интернету через NAT провайдера. За
> компьютером сидит "пользователь".
>
> "Админы",    "Работники",   "Пользователи"   сидят   за   компьютерами
> работающими под управлением MS Windows XP.
>
> Что  нужно:
>
> 1)  "Админы"  должны  иметь  доступ  к  SMB  ресурсам обоих серверов и
> компьютеров в обоих сетях.
>
> 2)  "Работники"  должны  должны  иметь  доступ к SMB ресурсам на обоих
> серверах и внутри сети филиала.
>
> 3)  "Пользователь"  должны должны иметь доступ к SMB ресурсам на обоих
> серверах.
>
> OpenVPN не устраивает, из-за необходимости установки дополнительного
> софта по Windows платформы.
>
> PPPtP поднять не удалось. Провайдер режет GPE.
> Остается "L2TP IpSec" в терминах Микрософта.
>
> Но  вот  в  тонкостях  реализации,  я  пока  не разобрался. Буду очень
> признателен за любые советы и ссылки.
А что мешает использовать OpenVPN как "сеть-сеть" ??
Не обязательно клиенты openvpn ставить на все машины: на сервер в головном 
офисе ставится openvpn-сервер, на остальные сервера в филиалах ставится 
openvpn-клиенты. Дальше маршрутизация и всё. Что мешает так сделать?



^ permalink raw reply	[flat|nested] 14+ messages in thread

* Re: [Sysadmins] VPN
  2009-01-13 11:06 ` Mike Almateia
@ 2009-01-13 19:25   ` Andrey Alexandrov
  2009-01-14 15:14     ` Mike Almateia
  0 siblings, 1 reply; 14+ messages in thread
From: Andrey Alexandrov @ 2009-01-13 19:25 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Насколько я понял нежелание связываться с openvpn вызвано
исключительно нежеланием поднимать клиент на "3)   Дом.   Компьютер
под   управление   Windows   XP". Иначе, оптимальным вариантом будет
описанный письмом выше способ. Если по  поводу домашнего компьютера я
прав, Вам никто не мешает поднять на головном сервере помимо openvpn
еще и ppp и подсоединяться из дома штатными средствами оффтопика, хотя
это и не будет самым лучшим вариантом.

-- 
С ув. Андрей Александров

^ permalink raw reply	[flat|nested] 14+ messages in thread

* Re: [Sysadmins] VPN
  2009-01-13 19:25   ` Andrey Alexandrov
@ 2009-01-14 15:14     ` Mike Almateia
  2009-01-16 15:22       ` [Sysadmins] VPN [JT] Vyatcheslav Perevalov
  2009-01-17 17:40       ` [Sysadmins] VPN MisHel64
  0 siblings, 2 replies; 14+ messages in thread
From: Mike Almateia @ 2009-01-14 15:14 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

On Tuesday 13 January 2009 22:25:13 Andrey Alexandrov wrote:
> Насколько я понял нежелание связываться с openvpn вызвано
> исключительно нежеланием поднимать клиент на "3)   Дом.   Компьютер
> под   управление   Windows   XP". Иначе, оптимальным вариантом будет
> описанный письмом выше способ. Если по  поводу домашнего компьютера я
> прав, Вам никто не мешает поднять на головном сервере помимо openvpn
> еще и ppp и подсоединяться из дома штатными средствами оффтопика, хотя
> это и не будет самым лучшим вариантом.
В чём проблема поднятия дома на одной единственной машине openvpn? Трудно один 
раз подсунуть клиенту сертификат и пропивать IP сервер? 
Учитывая, что у openvpn есть графическая утилита для настройки и работает 
opnvpn поверх pptp/pppoe стабильнее, чем ppp* друг на дружке.



^ permalink raw reply	[flat|nested] 14+ messages in thread

* Re: [Sysadmins] VPN [JT]
  2009-01-14 15:14     ` Mike Almateia
@ 2009-01-16 15:22       ` Vyatcheslav Perevalov
  2009-01-16 15:53         ` Andrii Dobrovol`s`kii
  2009-01-17 17:40       ` [Sysadmins] VPN MisHel64
  1 sibling, 1 reply; 14+ messages in thread
From: Vyatcheslav Perevalov @ 2009-01-16 15:22 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

В сообщении от 14 января 2009 Mike Almateia написал(a):
> Трудно один
> раз подсунуть клиенту сертификат и пропивать IP сервер?

Неоднозначная такая очепятка...

-- 
Всего хорошего
		/vip

^ permalink raw reply	[flat|nested] 14+ messages in thread

* Re: [Sysadmins] VPN [JT]
  2009-01-16 15:22       ` [Sysadmins] VPN [JT] Vyatcheslav Perevalov
@ 2009-01-16 15:53         ` Andrii Dobrovol`s`kii
  0 siblings, 0 replies; 14+ messages in thread
From: Andrii Dobrovol`s`kii @ 2009-01-16 15:53 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

[-- Attachment #1: Type: text/plain, Size: 593 bytes --]

Vyatcheslav Perevalov пишет:
> В сообщении от 14 января 2009 Mike Almateia написал(a):
>> Трудно один
>> раз подсунуть клиенту сертификат и пропивать IP сервер?
> 
> Неоднозначная такая очепятка...
> 
Её бы в фортунки...
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 14+ messages in thread

* Re: [Sysadmins] VPN
  2009-01-14 15:14     ` Mike Almateia
  2009-01-16 15:22       ` [Sysadmins] VPN [JT] Vyatcheslav Perevalov
@ 2009-01-17 17:40       ` MisHel64
  2009-01-19  9:58         ` Andrey Alexandrov
  2009-01-19 17:57         ` Mike Almateia
  1 sibling, 2 replies; 14+ messages in thread
From: MisHel64 @ 2009-01-17 17:40 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Здравствуйте, Mike.

Вы писали 14 января 2009 г., 18:14:00:

> В чём проблема поднятия дома на одной единственной машине openvpn?

В том, что это "дома" более сотни машин.

И уточню, в ТЗ четко указанно, что решение должно быть без
использование дополнительного П/О на "домашних" клиентах.

>Учитывая,  что  у  openvpn  есть  графическая утилита для настройки и
>работает opnvpn поверх pptp/pppoe стабильнее, чем ppp* друг на дружке

pptp/pppoe это между кем и кем?


> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins



-- 
С уважением,
 MisHel64                          mailto:MisHel64@Bk.Ru



^ permalink raw reply	[flat|nested] 14+ messages in thread

* Re: [Sysadmins] VPN
  2009-01-17 17:40       ` [Sysadmins] VPN MisHel64
@ 2009-01-19  9:58         ` Andrey Alexandrov
  2009-01-19 17:57         ` Mike Almateia
  1 sibling, 0 replies; 14+ messages in thread
From: Andrey Alexandrov @ 2009-01-19  9:58 UTC (permalink / raw)
  To: MisHel64, ALT Linux sysadmin discuss

>
> В том, что это "дома" более сотни машин.
>
> И уточню, в ТЗ четко указанно, что решение должно быть без
> использование дополнительного П/О на "домашних" клиентах.

Гмммм... если есть такой парк "дома", не разумнее ли было выделить
отдельный роутер для "домашней" сети. Поднимете на нем openvpn, и
используйте как шлюз в сторону сети компании. В итоге получится
система с двумя впн клиентами и одним впн сервером.


-- 
С ув. Андрей Александров

^ permalink raw reply	[flat|nested] 14+ messages in thread

* Re: [Sysadmins] VPN
  2009-01-17 17:40       ` [Sysadmins] VPN MisHel64
  2009-01-19  9:58         ` Andrey Alexandrov
@ 2009-01-19 17:57         ` Mike Almateia
  1 sibling, 0 replies; 14+ messages in thread
From: Mike Almateia @ 2009-01-19 17:57 UTC (permalink / raw)
  To: MisHel64, ALT Linux sysadmin discuss

On Saturday 17 January 2009 20:40:42 MisHel64 wrote:
> Здравствуйте, Mike.
>
> Вы писали 14 января 2009 г., 18:14:00:
> > В чём проблема поднятия дома на одной единственной машине openvpn?
>
> В том, что это "дома" более сотни машин.
Так и пишите в ТЗ - "дома" сотня компов.

> И уточню, в ТЗ четко указанно, что решение должно быть без
> использование дополнительного П/О на "домашних" клиентах.
Исходя из ваших данных имеем: GRE, как вы говорите, режет пров, значит pptp 
отпадает. 
Попробуйте поставить сервер l2tp.
> >Учитывая,  что  у  openvpn  есть  графическая утилита для настройки и
> >работает opnvpn поверх pptp/pppoe стабильнее, чем ppp* друг на дружке
>
> pptp/pppoe это между кем и кем?
неважно. pptp поверх pptp ходит не очень хорошо.




^ permalink raw reply	[flat|nested] 14+ messages in thread

end of thread, other threads:[~2009-01-19 17:57 UTC | newest]

Thread overview: 14+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2009-01-10 14:32 [Sysadmins] VPN MisHel64
2009-01-11  5:25 ` Alexei Babich
2009-01-11 10:16   ` MisHel64
2009-01-11 10:32     ` Dmitriy M. Maslennikov
2009-01-11 10:39     ` Alexei Babich
2009-01-11 14:09 ` Maxim Tyurin
2009-01-13 11:06 ` Mike Almateia
2009-01-13 19:25   ` Andrey Alexandrov
2009-01-14 15:14     ` Mike Almateia
2009-01-16 15:22       ` [Sysadmins] VPN [JT] Vyatcheslav Perevalov
2009-01-16 15:53         ` Andrii Dobrovol`s`kii
2009-01-17 17:40       ` [Sysadmins] VPN MisHel64
2009-01-19  9:58         ` Andrey Alexandrov
2009-01-19 17:57         ` Mike Almateia

ALT Linux sysadmins discussion

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
		sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
	public-inbox-index sysadmins

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.sysadmins


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git