* [Sysadmins] VPN
@ 2009-01-10 14:32 MisHel64
2009-01-11 5:25 ` Alexei Babich
` (2 more replies)
0 siblings, 3 replies; 14+ messages in thread
From: MisHel64 @ 2009-01-10 14:32 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Здравствуйте, ALT.
Если не сложно, помогите с объединением локальных сетей.
Структура организации.
1) Главный офис. Белый ИП. Локальная сеть подключается к интернету
через Linux сервер. В локальной сети сидят "админы". На сервере стоит
самба. Доступ к SMB папкам без паролей, разрешен доступ только из
локальной сети. В локалке адреса 172.16.1.0/24.
2) Филиал. Белый ИП, локальная сеть подключается к интернету через
Linux сервер. В локальной сети сидят "работники". На сервере стоит
самба. Доступ к SMB папкам без паролей, разрешен доступ только из
локальной сети. В локалке адреса 172.16.2.0/24
3) Дом. Компьютер под управление Windows XP, имеет адрес
192.168.1.0/24. Выходит в интернет через ADSL модем, который имеет ИП
из 10.0.0.0/8, и подключается к интернету через NAT провайдера. За
компьютером сидит "пользователь".
"Админы", "Работники", "Пользователи" сидят за компьютерами
работающими под управлением MS Windows XP.
Что нужно:
1) "Админы" должны иметь доступ к SMB ресурсам обоих серверов и
компьютеров в обоих сетях.
2) "Работники" должны должны иметь доступ к SMB ресурсам на обоих
серверах и внутри сети филиала.
3) "Пользователь" должны должны иметь доступ к SMB ресурсам на обоих
серверах.
OpenVPN не устраивает, из-за необходимости установки дополнительного
софта по Windows платформы.
PPPtP поднять не удалось. Провайдер режет GPE.
Остается "L2TP IpSec" в терминах Микрософта.
Но вот в тонкостях реализации, я пока не разобрался. Буду очень
признателен за любые советы и ссылки.
--
С уважением,
MisHel64 mailto:MisHel64@Bk.Ru
^ permalink raw reply [flat|nested] 14+ messages in thread* Re: [Sysadmins] VPN
2009-01-10 14:32 [Sysadmins] VPN MisHel64
@ 2009-01-11 5:25 ` Alexei Babich
2009-01-11 10:16 ` MisHel64
2009-01-11 14:09 ` Maxim Tyurin
2009-01-13 11:06 ` Mike Almateia
2 siblings, 1 reply; 14+ messages in thread
From: Alexei Babich @ 2009-01-11 5:25 UTC (permalink / raw)
To: sysadmins
> Остается "L2TP IpSec" в терминах Микрософта.
Ещё IPSec в туннельном режиме.
--
С уважением,
Алексей Бабич, инженер-схемотехник ООО НПП "Резонанс", Челябинск, Россия
http://www.rez.ru
JID: impatt@jabber.ru
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] VPN
2009-01-11 5:25 ` Alexei Babich
@ 2009-01-11 10:16 ` MisHel64
2009-01-11 10:32 ` Dmitriy M. Maslennikov
2009-01-11 10:39 ` Alexei Babich
0 siblings, 2 replies; 14+ messages in thread
From: MisHel64 @ 2009-01-11 10:16 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Здравствуйте, Alexei.
Вы писали 11 января 2009 г., 8:25:58:
>> Остается "L2TP IpSec" в терминах Микрософта.
> Ещё IPSec в туннельном режиме.
Если я правильно понял документацию, то "IPSec в туннельном режиме"
нельзя использовать если между концами туннеля есть NAT. Между
серверами этот вариант может и будет работать, но "пользователи" имеют
один NAT минимум (в ADSL модеме), и чаще всего еще и у провайдера. Наш
провайдер большая редиска, и частникам старается впарить серый ИП.
--
С уважением,
MisHel64 mailto:MisHel64@Bk.Ru
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] VPN
2009-01-11 10:16 ` MisHel64
@ 2009-01-11 10:32 ` Dmitriy M. Maslennikov
2009-01-11 10:39 ` Alexei Babich
1 sibling, 0 replies; 14+ messages in thread
From: Dmitriy M. Maslennikov @ 2009-01-11 10:32 UTC (permalink / raw)
To: MisHel64, ALT Linux sysadmin discuss
11 января 2009 г. 13:16 пользователь MisHel64 <MisHel64@bk.ru> написал:
> Если я правильно понял документацию, то "IPSec в туннельном режиме"
> нельзя использовать если между концами туннеля есть NAT. Между
> серверами этот вариант может и будет работать, но "пользователи" имеют
> один NAT минимум (в ADSL модеме)
По-моему вы забываете, что модем может работать как мост (bridge).
--
Dmitriy M. Maslennikov
rlz@etersoft.ru
rlz@altlinux.org
maslennikovdm@gmail.com
master@armory.ru
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] VPN
2009-01-11 10:16 ` MisHel64
2009-01-11 10:32 ` Dmitriy M. Maslennikov
@ 2009-01-11 10:39 ` Alexei Babich
1 sibling, 0 replies; 14+ messages in thread
From: Alexei Babich @ 2009-01-11 10:39 UTC (permalink / raw)
To: MisHel64, ALT Linux sysadmin discuss
> Если я правильно понял документацию, то "IPSec в туннельном режиме"
> нельзя использовать если между концами туннеля есть NAT.
Есть там NAT Traversal.
Так что будет.
Вернее так:
1. Сам практики не имел (пардон, что взялся советовать, начитавшись всякого, но не попробовав)
2. Про виндовс ничего хорошего сказать не могу; не исключено, что этого она не может.
--
С уважением,
Алексей Бабич, инженер-схемотехник ООО НПП "Резонанс", Челябинск, Россия
http://www.rez.ru
JID: impatt@jabber.ru
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] VPN
2009-01-10 14:32 [Sysadmins] VPN MisHel64
2009-01-11 5:25 ` Alexei Babich
@ 2009-01-11 14:09 ` Maxim Tyurin
2009-01-13 11:06 ` Mike Almateia
2 siblings, 0 replies; 14+ messages in thread
From: Maxim Tyurin @ 2009-01-11 14:09 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
MisHel64 пишет:
> OpenVPN не устраивает, из-за необходимости установки дополнительного
> софта по Windows платформы.
>
> PPPtP поднять не удалось. Провайдер режет GPE.
> Остается "L2TP IpSec" в терминах Микрософта.
ИМХО вы сами себе ищете геморрой на ровном месте.
Если у вас провайдер режет трафик то окромя OpenVPN альтернатив нет.
OpenVPN работает хоть через прокси, а с его установкой и настройкой
вполне справляется 25-ти летняя блондинка с гуманитарным образованием.
IPsec с NAT да еще с разных концов разные ОС....
Проще сразу об стену убиться.
--
With Best Regards, Maxim Tyurin
JID: MrKooll@jabber.pibhe.com
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] VPN
2009-01-10 14:32 [Sysadmins] VPN MisHel64
2009-01-11 5:25 ` Alexei Babich
2009-01-11 14:09 ` Maxim Tyurin
@ 2009-01-13 11:06 ` Mike Almateia
2009-01-13 19:25 ` Andrey Alexandrov
2 siblings, 1 reply; 14+ messages in thread
From: Mike Almateia @ 2009-01-13 11:06 UTC (permalink / raw)
To: MisHel64, ALT Linux sysadmin discuss
On Saturday 10 January 2009 17:32:06 MisHel64 wrote:
> Здравствуйте, ALT.
>
> Если не сложно, помогите с объединением локальных сетей.
>
> Структура организации.
>
> 1) Главный офис. Белый ИП. Локальная сеть подключается к интернету
> через Linux сервер. В локальной сети сидят "админы". На сервере стоит
> самба. Доступ к SMB папкам без паролей, разрешен доступ только из
> локальной сети. В локалке адреса 172.16.1.0/24.
>
> 2) Филиал. Белый ИП, локальная сеть подключается к интернету через
> Linux сервер. В локальной сети сидят "работники". На сервере стоит
> самба. Доступ к SMB папкам без паролей, разрешен доступ только из
> локальной сети. В локалке адреса 172.16.2.0/24
>
> 3) Дом. Компьютер под управление Windows XP, имеет адрес
> 192.168.1.0/24. Выходит в интернет через ADSL модем, который имеет ИП
> из 10.0.0.0/8, и подключается к интернету через NAT провайдера. За
> компьютером сидит "пользователь".
>
> "Админы", "Работники", "Пользователи" сидят за компьютерами
> работающими под управлением MS Windows XP.
>
> Что нужно:
>
> 1) "Админы" должны иметь доступ к SMB ресурсам обоих серверов и
> компьютеров в обоих сетях.
>
> 2) "Работники" должны должны иметь доступ к SMB ресурсам на обоих
> серверах и внутри сети филиала.
>
> 3) "Пользователь" должны должны иметь доступ к SMB ресурсам на обоих
> серверах.
>
> OpenVPN не устраивает, из-за необходимости установки дополнительного
> софта по Windows платформы.
>
> PPPtP поднять не удалось. Провайдер режет GPE.
> Остается "L2TP IpSec" в терминах Микрософта.
>
> Но вот в тонкостях реализации, я пока не разобрался. Буду очень
> признателен за любые советы и ссылки.
А что мешает использовать OpenVPN как "сеть-сеть" ??
Не обязательно клиенты openvpn ставить на все машины: на сервер в головном
офисе ставится openvpn-сервер, на остальные сервера в филиалах ставится
openvpn-клиенты. Дальше маршрутизация и всё. Что мешает так сделать?
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] VPN
2009-01-13 11:06 ` Mike Almateia
@ 2009-01-13 19:25 ` Andrey Alexandrov
2009-01-14 15:14 ` Mike Almateia
0 siblings, 1 reply; 14+ messages in thread
From: Andrey Alexandrov @ 2009-01-13 19:25 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Насколько я понял нежелание связываться с openvpn вызвано
исключительно нежеланием поднимать клиент на "3) Дом. Компьютер
под управление Windows XP". Иначе, оптимальным вариантом будет
описанный письмом выше способ. Если по поводу домашнего компьютера я
прав, Вам никто не мешает поднять на головном сервере помимо openvpn
еще и ppp и подсоединяться из дома штатными средствами оффтопика, хотя
это и не будет самым лучшим вариантом.
--
С ув. Андрей Александров
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] VPN
2009-01-13 19:25 ` Andrey Alexandrov
@ 2009-01-14 15:14 ` Mike Almateia
2009-01-16 15:22 ` [Sysadmins] VPN [JT] Vyatcheslav Perevalov
2009-01-17 17:40 ` [Sysadmins] VPN MisHel64
0 siblings, 2 replies; 14+ messages in thread
From: Mike Almateia @ 2009-01-14 15:14 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On Tuesday 13 January 2009 22:25:13 Andrey Alexandrov wrote:
> Насколько я понял нежелание связываться с openvpn вызвано
> исключительно нежеланием поднимать клиент на "3) Дом. Компьютер
> под управление Windows XP". Иначе, оптимальным вариантом будет
> описанный письмом выше способ. Если по поводу домашнего компьютера я
> прав, Вам никто не мешает поднять на головном сервере помимо openvpn
> еще и ppp и подсоединяться из дома штатными средствами оффтопика, хотя
> это и не будет самым лучшим вариантом.
В чём проблема поднятия дома на одной единственной машине openvpn? Трудно один
раз подсунуть клиенту сертификат и пропивать IP сервер?
Учитывая, что у openvpn есть графическая утилита для настройки и работает
opnvpn поверх pptp/pppoe стабильнее, чем ppp* друг на дружке.
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] VPN [JT]
2009-01-14 15:14 ` Mike Almateia
@ 2009-01-16 15:22 ` Vyatcheslav Perevalov
2009-01-16 15:53 ` Andrii Dobrovol`s`kii
2009-01-17 17:40 ` [Sysadmins] VPN MisHel64
1 sibling, 1 reply; 14+ messages in thread
From: Vyatcheslav Perevalov @ 2009-01-16 15:22 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
В сообщении от 14 января 2009 Mike Almateia написал(a):
> Трудно один
> раз подсунуть клиенту сертификат и пропивать IP сервер?
Неоднозначная такая очепятка...
--
Всего хорошего
/vip
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] VPN
2009-01-14 15:14 ` Mike Almateia
2009-01-16 15:22 ` [Sysadmins] VPN [JT] Vyatcheslav Perevalov
@ 2009-01-17 17:40 ` MisHel64
2009-01-19 9:58 ` Andrey Alexandrov
2009-01-19 17:57 ` Mike Almateia
1 sibling, 2 replies; 14+ messages in thread
From: MisHel64 @ 2009-01-17 17:40 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Здравствуйте, Mike.
Вы писали 14 января 2009 г., 18:14:00:
> В чём проблема поднятия дома на одной единственной машине openvpn?
В том, что это "дома" более сотни машин.
И уточню, в ТЗ четко указанно, что решение должно быть без
использование дополнительного П/О на "домашних" клиентах.
>Учитывая, что у openvpn есть графическая утилита для настройки и
>работает opnvpn поверх pptp/pppoe стабильнее, чем ppp* друг на дружке
pptp/pppoe это между кем и кем?
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
--
С уважением,
MisHel64 mailto:MisHel64@Bk.Ru
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] VPN
2009-01-17 17:40 ` [Sysadmins] VPN MisHel64
@ 2009-01-19 9:58 ` Andrey Alexandrov
2009-01-19 17:57 ` Mike Almateia
1 sibling, 0 replies; 14+ messages in thread
From: Andrey Alexandrov @ 2009-01-19 9:58 UTC (permalink / raw)
To: MisHel64, ALT Linux sysadmin discuss
>
> В том, что это "дома" более сотни машин.
>
> И уточню, в ТЗ четко указанно, что решение должно быть без
> использование дополнительного П/О на "домашних" клиентах.
Гмммм... если есть такой парк "дома", не разумнее ли было выделить
отдельный роутер для "домашней" сети. Поднимете на нем openvpn, и
используйте как шлюз в сторону сети компании. В итоге получится
система с двумя впн клиентами и одним впн сервером.
--
С ув. Андрей Александров
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] VPN
2009-01-17 17:40 ` [Sysadmins] VPN MisHel64
2009-01-19 9:58 ` Andrey Alexandrov
@ 2009-01-19 17:57 ` Mike Almateia
1 sibling, 0 replies; 14+ messages in thread
From: Mike Almateia @ 2009-01-19 17:57 UTC (permalink / raw)
To: MisHel64, ALT Linux sysadmin discuss
On Saturday 17 January 2009 20:40:42 MisHel64 wrote:
> Здравствуйте, Mike.
>
> Вы писали 14 января 2009 г., 18:14:00:
> > В чём проблема поднятия дома на одной единственной машине openvpn?
>
> В том, что это "дома" более сотни машин.
Так и пишите в ТЗ - "дома" сотня компов.
> И уточню, в ТЗ четко указанно, что решение должно быть без
> использование дополнительного П/О на "домашних" клиентах.
Исходя из ваших данных имеем: GRE, как вы говорите, режет пров, значит pptp
отпадает.
Попробуйте поставить сервер l2tp.
> >Учитывая, что у openvpn есть графическая утилита для настройки и
> >работает opnvpn поверх pptp/pppoe стабильнее, чем ppp* друг на дружке
>
> pptp/pppoe это между кем и кем?
неважно. pptp поверх pptp ходит не очень хорошо.
^ permalink raw reply [flat|nested] 14+ messages in thread
end of thread, other threads:[~2009-01-19 17:57 UTC | newest]
Thread overview: 14+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2009-01-10 14:32 [Sysadmins] VPN MisHel64
2009-01-11 5:25 ` Alexei Babich
2009-01-11 10:16 ` MisHel64
2009-01-11 10:32 ` Dmitriy M. Maslennikov
2009-01-11 10:39 ` Alexei Babich
2009-01-11 14:09 ` Maxim Tyurin
2009-01-13 11:06 ` Mike Almateia
2009-01-13 19:25 ` Andrey Alexandrov
2009-01-14 15:14 ` Mike Almateia
2009-01-16 15:22 ` [Sysadmins] VPN [JT] Vyatcheslav Perevalov
2009-01-16 15:53 ` Andrii Dobrovol`s`kii
2009-01-17 17:40 ` [Sysadmins] VPN MisHel64
2009-01-19 9:58 ` Andrey Alexandrov
2009-01-19 17:57 ` Mike Almateia
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git