VPN между одинаковыми подсетями

[Wildracer]

можно ли соединить две сети с адресацией 192.168.0.(с 10 по 20) и 192.168.0.(с 21 по 50)? находящихся в разных местах??? (на разных концах города, на разных континеттак - не важно)

со стороны пользователя всё должно выглядеть так как будто все эти компы находятся в одном месте. т.е обращение к ресурсам ПК через "сетевое окружение"

 

подскажите плиз оборудование для решение такой задачи

 

Заренее благодарю за ответы и коментарии.

[FriedricH]

Хм, собственно - мост... Два ДСЛ-модема, работающих как мост... Или банальные свитчи... Или небанальные свитчи, если оптикой и на большое расстояние.

[Nailer]

Если на разных концах города - то см. выше.

Если на разных континетах - EoMPLS (AToM)..

[sol]

сложно. ключевое слово EoIP (Ethernet over IP) умеет микротик кпримеру. или 2 линукса с VPN и бриджом. Теоретически, можно засунуть в тим eth и ppp интерфейсы.

[FriedricH]

Смысл, собственно, в чем...

 

Среда передачи данных принадлежит вам или сторонней организации? Или это вообще публичная сеть (городская или Интернет)? Ставится ли задача шифрования данных? Как организован выход в сеть с одной и с другой стороны? Пробросить туннель можно даже при помощи винды, лучше, конечно, Линукс или Фришка - классический ВПН или IPSec, неплохое софтовое решение, достаточно дешевое и гибкое.

 

Если же канал ваш, а расстояние не очень большое, то достаточно физической связи :)

[Wildracer]

пробросить физически не представляется возможным

выход в инет имеется в обоих местах - провайдер даёт реальные адреса

шифрование требуется обязательно

[Deac]

Если подсети одинаковые и это принципиально то так:

 

FreeBSD+MPD с обоих концов

Каждый компьютер регистрируется на своём узле и получает Framed-IP адрес из разряда 172.16.0.0/16 с одной стороны и 172.17.0.0/16 с другой (например)

При этом ОДНА из сторон должна быть клиентом другой с Framed-IP 172.18.0.0/30 (например)

 

Получится такая схема:

 

Клиент1 192.168.0.1<-->192.168.0.254 Узел1 - Поднимается туннель с адресами из разряда 172.16.0.0/16

|

Узел1 Real-IP1 <-->Real-IP2 Узел2 - Поднимается туннель с адресами из разряда 172.18.0.0/30 (172.18.0.2 <--> 172.18.0.1)

|

Клиент1 192.168.0.1<-->192.168.0.254 Узел2 - Поднимается туннель с адресами из разряда 172.17.0.0/16

 

Роутинг на FreeBSD такой:

net 172.17.0.0/16 gateway 172.18.0.1 с одной стороны

net 172.16.0.0/16 gateway 172.18.0.2 с другой

 

Возни много и видется будут только те клиенты которые подключились к своему VPN, зато можно контролировать доступ для каждого человека в обоих организациях

 

Если подсети сделать разными 192.168.0.0/24 и 192.168.1.0/24 (например) то построение значительно упрощается:

 

FreeBSD+MPD с обоих концов

При этом ОДНА из сторон должна быть клиентом другой с Framed-IP 172.18.0.0/30 (например)

 

Клиент1 192.168.0.1<-->192.168.0.254 Узел1

|

Узел1 Real-IP1 <-->Real-IP2 Узел2 - Поднимается туннель с адресами из разряда 172.18.0.0/30 (172.18.0.2 <--> 172.18.0.1)

|

Клиент1 192.168.1.1<-->192.168.1.254 Узел2

 

У клиентов нужно будет прописать Default Gateway 192.168.0.254 и 192.168.1.254 соответственно

 

Роутинг на FreeBSD такой:

net 192.168.1.0/24 gateway 172.18.0.1 с одной стороны

net 192.168.0.0/24 gateway 172.18.0.2 с другой

 

 

Шифрация вплоть до MPPE-128, если этого не достаточно то между узлами можно использовать IPSEC+Racoon, но такая связка приводит к значительному падению пропускной способности канала и рекомендуется если её имеется с запасом

Реально MPPE-128 в варианте Stateless вполне достаточно

 

Если пускать через интернет windows то нужно быть готовым к большому немотивированному трафику - сеть у неё построена на броадкастах.

 

Рекомендуется почитать доку к MPD и к IPSEC (FreeBSD) там всё довольно доходчиво расписано.

[Kuzmich]

Если Юникс не интересует, то можно с каждой стороны WinXP+OpenVPN, и бридж между ними. Шифрация - посильнее, чем MPPE + аутентификация по сертификатам.

 

Кстати, под UNIX тоже лучше юзать OpenVPN - стабильнее... и компрессия включается (lzo), в отличие от MPD, где микрософтовская компрессия не пашет по лицензионным ограничениям... И настраивать проще - на статическом ключе шифрования вообще двух минут достаточно...

 

Хотя ЛУЧШЕ конечно обойтись без гоняния Ethernet-фреймов через интернет. Видимость компов в сетевом окружении можно обеспечить и более другими средствами, если это основное требование - WINS, например...

[Dart]

Если Юникс не интересует, то можно с каждой стороны WinXP+OpenVPN, и бридж между ними. Шифрация - посильнее, чем MPPE + аутентификация по сертификатам.

 

...

 

Хотя ЛУЧШЕ конечно обойтись без гоняния Ethernet-фреймов через интернет. Видимость компов в сетевом окружении можно обеспечить и более другими средствами, если это основное требование - WINS, например...

Стоит аналогичный интерес. Говоря простым языком имею дома и в офисе роутер с поддержкой VPN. Хочу поставить клиент под офисное наблюдение дома и смотреть несколько камер. Второй интерес иметь к рабочим папкам на компьютерах дома и в офисе равнозначный доступ. Поэтому интересует закрытый VPN канал. Если не трудно растолкуйте КАК. В форуме нашел несколько тем, но ответов на вопросы там не увидел. Или может ссылкой кинете, на пошаговые инструкции...

[Shiva]

Dart, читайте мануал к устройствам.

[Dart]

Dart, читайте мануал к устройствам.

Мануал это пол беды, он совсем не подробный, но хотелось бы понять сам принцип закрытости VPN и нужно ли для этого напрягать провайдеров, или все делается в точках подключения своими устройствами.

[Shiva]

Dart,

хотелось бы понять сам принцип закрытости VPN

Принцип прост, создаётся ещё одна виртуальная сеть, трафик которой вместе с IP заголовками (L3) и/или вместе с Ethernet заголовками (L2) упаковывается в IP пакеты существующей сети и передаются в другую точку, где он распаковывается. Во время передачи он может шифроваться и/или сжиматься.

Возможен также вариант без создания виртульной сети, но с шифрованием данных.

нужно ли для этого напрягать провайдеров

IP в клнторе белый?

IP у тебя белый?

Если хотя бы одно да, тогда прова напрягать не надо.

[vgray]

Если Юникс не интересует, то можно с каждой стороны WinXP+OpenVPN, и бридж между ними. Шифрация - посильнее, чем MPPE + аутентификация по сертификатам.

 

Кстати, под UNIX тоже лучше юзать OpenVPN - стабильнее... и компрессия включается (lzo), в отличие от MPD, где микрософтовская компрессия не пашет по лицензионным ограничениям... И настраивать проще - на статическом ключе шифрования вообще двух минут достаточно...

 

Хотя ЛУЧШЕ конечно обойтись без гоняния Ethernet-фреймов через интернет. Видимость компов в сетевом окружении можно обеспечить и более другими средствами, если это основное требование - WINS, например...

 

те openvpn позволяет огранизовать EoIP ? можно подробнее, какие ключивые слова в доке от openvpn?

[sol]

http://www.mikrotik.com/software.php level 1 позволяет решить проблему. качаем, ставим на что-то типа первого пня, наслаждаемся.

[vgray]

:) сейчас на стенде стоят у меня две циски 2811, тоже могут прозрачно прокидывать

ethernet over ip, и не только эзернет а все что угодно, hdlc к примеру , только стоимость

решения почти космическая получается, но если клиента устроит цена, то поставим ему две циски для соединения офисов

[Kuzmich]

те openvpn позволяет огранизовать  EoIP  ?   можно подробнее, какие ключивые слова в доке от openvpn?

 

# Configure server mode for ethernet bridging.

# You must first use your OS's bridging capability

# to bridge the TAP interface with the ethernet

# NIC interface.  Then you must manually set the

# IP/netmask on the bridge interface, here we

# assume 10.8.0.4/255.255.255.0.  Finally we

# must set aside an IP range in this subnet

# (start=10.8.0.50 end=10.8.0.100) to allocate

# to connecting clients.  Leave this line commented

# out unless you are ethernet bridging.
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100

 

Из samples/server.ovpn виндовой поставки OpenVPN 2.0.

Сам не проверял, т.к. мне за глаза хватает маршрутизации.

 

P.S. tap - для операционки мало отличается от тупого Ethernet NIC.

 

Мануал это пол беды, он совсем не подробный, но хотелось бы понять сам принцип закрытости VPN и нужно ли для этого напрягать провайдеров, или все делается в точках подключения своими устройствами.

 

Принцип VPN прост, как два байта.

 

Если хочется присоединиться к удаленной сети, то первое, что приходит на ум - протянуть к ней кабель, воткнуть его в сетевую карту, и наслаждаться жизнью. Если кабель протянуть не получается, можно его эмулировать - например, в виде TCP-соединения поверх интернета. При этом этот виртуальный кабель должен буть куда-то воткнут... нужна виртуальная сетевая карта. Вот софт под названием *VPN этим и занимается - вносит в компьютер виртуальную сетевую карту (или виртуальный модем), и прокладывает виртуальный провод через интернет между двумя такими виртуальными сетевыми картами.

 

Виртуальный провод может быть и зашифрован - например, к каждому передаваемому и принимаемому по нему байу применяется XOR с каким-либо заранее выбранным значением... а может применяться и алгоритм DES, и AES, и RSA, и ГОСТ-ХХХХ....

 

Такая виртуальная сетевая карта может быть организована в маршрутизаторе, и даже в умном коммутаторе (читай - в маршрутизаторе, вырожденном в коммутатор).

[Pavlinux]

Имеется VPN Соединение, на основе того что есть в WinXPHomeEdition.

Иногда вылетет весь доступ из локалки в инет, может это как нибудь

связано с VPN.

P.S.

 

[Локалка 192.168.9.{2-254}] -> [Провайдер] -> [Инет] -> [VPN Server]

На VPN Сревере IP 212.x.y.z и какая-то CISCO из 25хх серии.

 

Физически:

4 машины [192.168.9.{31-35}] ->

[Свич TrendNet TE100S5P+] ->

[VDSL Zyxel Prestige 841] ->

[Провайдер]-[Инет] ->

[Cisco 25xx] ->

[Hub 3com] ->

[Linux Samba Shared Documents]

[Shiva]

Pavlinux, отключи замену основного шшлюза в свойствах TCP/IP у VPN соединения