Towerman Posted November 23, 2005 Posted November 23, 2005 Итак, есть следующая задача: мы хотим дать доступ к серверу компании её сотрудникам с домашних компьютеров. Пользователи подключены к различным провайдерам, шлюз локольной сети компании действует под управлением FreeBSD и скрывает всю сеть за NAT'ом. Необходимо "поднять" VPN сервер под FreeBSD, для того, чтобы пользователи с домашних компьютеров могли, воспользовавшись криптозащищенным туннелем, работать с рабочим сервером. Может кто-нибудь даст ссылку на доку, в которой будет поэтапно расписан данный вопрос, может кто поделиться личным опытом? С какими "подводными камнями" возможно прийдется столкнуться? Спасибо. Вставить ник Quote
Kuzmich Posted November 23, 2005 Posted November 23, 2005 http://openvpn.net/howto.html Вставить ник Quote
catalist Posted November 23, 2005 Posted November 23, 2005 mpd на опеннете.ру есть много статей на эту тему Вставить ник Quote
Giga-Byte Posted November 23, 2005 Posted November 23, 2005 какой сервер??? полагаю файлы гонять (word-excel докумнеты и всё такое). вот тут подумай на счет утстановки терминального сервера, траффик очень экономит эта штука. т.е. подключившись по терминалу на сервер компании там делай что хочешь. Вставить ник Quote
Kuzmich Posted November 23, 2005 Posted November 23, 2005 mpdна опеннете.ру есть много статей на эту тему т.к. предполагается, что клиенты ходят через разных провайдеров, не исключено, что где-то pptp не пролезет. OpenVPN же работает всегда и везде... хотя pptp, конечно, удобнее с точки зрения пользователей. Вставить ник Quote
Towerman Posted November 24, 2005 Author Posted November 24, 2005 Т.е. я устанавливаю OpenVPN на рабочем сервере (не на шлюзе), устанавливаю OpenVPN на домашнем компьютере, настраиваю и работаю? А технология VPN позволяет создавать туннели с разаранее неизвестным адресом? например, когда адрес выделяется динамически? Вставить ник Quote
balamutang Posted November 24, 2005 Posted November 24, 2005 Т.е. я устанавливаю OpenVPN на рабочем сервере (не на шлюзе), на шлюзе. или пробрасывать через NAT на шлюз порт с сервера. устанавливаю OpenVPN на домашнем компьютере, настраиваю и работаю? А технология VPN позволяет создавать туннели с разаранее неизвестным адресом? например, когда адрес выделяется динамически?адрес очень желателен статический. в крайнем случае DynDNS придеццо юзать, но это баловство и пионерия. Вставить ник Quote
Towerman Posted November 25, 2005 Author Posted November 25, 2005 Если я устанавлю OpenVPN на шлюзе, то не смогу увидеть локальную сеть скрытую за ним? А каким образом можно пробросить порт с сервера через NAT? Вставить ник Quote
Giga-Byte Posted November 25, 2005 Posted November 25, 2005 Если я устанавлю OpenVPN на шлюзе, то не смогу увидеть локальную сеть скрытую за ним? непрально. тебе поможет НАТ А каким образом можно пробросить порт с сервера через NAT? либо ipnat (ipfilter), либо divert (ipfw) первый вариант мне более нравится - попроще как-то. почитай на опеннете. Вставить ник Quote
Towerman Posted November 29, 2005 Author Posted November 29, 2005 А если используется "серый" адрес юзера, то как в этом случае настраивать файервол для команды divert? В данном случае ipfw увидит адрес шлюза, через который идет клиент из своей сети. Вставить ник Quote
Kuzmich Posted November 29, 2005 Posted November 29, 2005 Настройка сервера: proto tcp-server dev tap0 lport 1194 tls-server ca /etc/ssl/cacert.pem cert /etc/ssl/certs/vpnserver.cert key /etc/ssl/private/vpnserver.key dh /etc/ssl/dh2048.pem tls-auth /etc/ssl/certs/ta.key 0 # man openssl до просветления или серч по интернету server 192.168.99.0 255.255.255.0 comp-lzo user nobody group nogroup log /var/log/openvpn.log persist-key persist-tun push "route 192.168.0.0 255.255.0.0" Пробить дырку в ipfw ipfw add 1 allow tcp from any to me 1194 ipfw add 1 allow tcp from me 1194 to any Назабыть разрешить в фарволе хождение пакетов через tap0 ! Конфиг клиента client proto tcp-client remote your.vpn.server.ru rport 1194 dev tap persist-key persist-tun tls-client dh certdh1024.pem ca certcacert.pem cert certclient_123.cert key certclient_123.key tls-auth certta.key 1 comp-lzo pull Вставить ник Quote
Towerman Posted November 29, 2005 Author Posted November 29, 2005 Т.е. он будет всех пускать при условии прохождения авторизации на VPN-сервере? А данные о пользователях, которые могут работать с сервером где храняться и в каком виде? Вставить ник Quote
Kuzmich Posted November 30, 2005 Posted November 30, 2005 Данные о пользователях хранятся у пользователя :) Авторизация происходит по сертификату пользователя, подписанному сертификатом, указанным в строчке ca сервера. Клиент тоже может проверить сертификат сервера ( vpnserver.cert ) на правильность. Вставить ник Quote
Mech Posted December 1, 2005 Posted December 1, 2005 не надо никаких VPN. просто терминал сервер поднимайте, давайте ему внешний адрес (открыть только 3389). Вставить ник Quote
Towerman Posted December 1, 2005 Author Posted December 1, 2005 Подскажите, пожалуйста, я не совсем понимаю, что объявляется в этих строках: server 192.168.99.0 255.255.255.0 - это виртуальный адрес сервера? push "route 192.168.0.0 255.255.0.0" - а это виртуальная подсеть? или же это указывается адрес лок. сети предприятия? Тогда с каким адресом будет работать на сервере клиент? И как быть если на шлюзе - vpn-сервере поднят DHCP? не надо никаких VPN. просто терминал сервер поднимайте Но VPN интересней :) и актуальней, на мой взгляд. Пробовал только что настроить VPN точка-точка между Win. Делал все по инструкции OpenVPN on Windows notes для соединения типа "точка-точка". Ничего не получилось, прошу помощи. Во первых, после генрации ключа файл создается в папке config, а каким образом его переслать на другой комп? Обычным копированием? Как установить IP/маску для виртуального устройства Tap? Кто-нибудь мможет описать алгоритм действий при установки VPN туннеля между компами, желательно от 1-ого до последнего шага. Вставить ник Quote
Mech Posted December 1, 2005 Posted December 1, 2005 > Но VPN интересней :) и актуальней, на мой взгляд. у меня 40-45 клиентов работают в терминале со всей страны + своих пользователей в городе 25чел. Если бы я до каждого VPN поднимал... Вставить ник Quote
Kuzmich Posted December 2, 2005 Posted December 2, 2005 server 192.168.99.0 255.255.255.0 - это подсеть адресов, из которой будут раздаваться адреса vpn-клиентам. push "route 192.168.0.0 255.255.0.0" говорит vpn-клиенту, что нужно включить в свою таблицу маршрутизации строку для отправки пакетов на все адреса данной сети через vpn. Хотя на мой взгляд для корпоративных сеток лучше использовать дтиапазоны адресов 172.16.X.X, ибо со 192.168 и 10. часто случаются накладки - уж очень широко эти диапазоны используются. Насчет "выставить Terminal Services" прямо в интернет.... дело, конечно, ваше... но вероятность как минимум DDoS'а значительно выше. Мои все ходють в терминал через VPN, и я от этого значительно крепче сплю по ночам... Вставить ник Quote
Mech Posted December 2, 2005 Posted December 2, 2005 >Насчет "выставить Terminal Services" прямо в интернет.... дело, конечно, ваше... но вероятность как минимум DDoS'а значительно выше. Мои все ходють в терминал через VPN, и я от этого значительно крепче сплю по ночам... кто вам мешает открыть 3389 только с тех адресов, где сидят ваши клиенты? Вставить ник Quote
Giga-Byte Posted December 2, 2005 Posted December 2, 2005 Хотя на мой взгляд для корпоративных сеток лучше использовать дтиапазоны адресов 172.16.X.X, ибо со 192.168 и 10. часто случаются накладки - уж очень широко эти диапазоны используются. хоть 194.0.0.1/24, хоть 1.0.1.0/24 Насчет "выставить Terminal Services" прямо в интернет.... дело, конечно, ваше... но вероятность как минимум DDoS'а значительно выше. Мои все ходють в терминал через VPN, и я от этого значительно крепче сплю по ночам... гы а VPN не ДДОС-ится???? фаерволл рулит! Вставить ник Quote
Kuzmich Posted December 6, 2005 Posted December 6, 2005 кто вам мешает открыть 3389 только с тех адресов, где сидят ваши клиенты? Диалап мешает. Предлагаешь открыть доступ всему Стриму? гы а VPN не ДДОС-ится????фаерволл рулит! не гы. В случае VPN DDoS-ится шлюз или выделенный VPN-сервер. В случае прямого проброса порта до сервера DDoS-ится, и то и ломается рабочий сервер. Вставить ник Quote
Mech Posted December 6, 2005 Posted December 6, 2005 > Предлагаешь открыть доступ всему Стриму? Предлагаю клиенту-стриммеру сходить в офис провайдера и перейти на тариф с постоянным IP. Не дрочат же они в интернете, а работой занимаются. Вставить ник Quote
Shiva Posted December 6, 2005 Posted December 6, 2005 Kuzmich, Диалап мешает. Предлагаешь открыть доступ всему Стриму? У меня на весь мир открыт, и ничего. З.Ы. С чего ты решил что ты кому-то нужен, а если боишься ботов, тогда в нет лезай. Вставить ник Quote
Towerman Posted December 7, 2005 Author Posted December 7, 2005 Господа у меня есть конктретный вопрос. Ключ-файл создается с именем key.txt. После генерации секретного ключа на одной из машин он должен быть передан на другую. Где его нужно разместить ? Оставлять его в этом же формате и с тем же именем, чтобы программа смогла его прочитать? Вставить ник Quote
Kuzmich Posted December 7, 2005 Posted December 7, 2005 Ты выбрал технлогию с секретным ключем, а не на сертификатах? Как буден называть файл - всё равно. Где он будет лежать - тоже всё равно. Лишь бы в конфиг-фале openvpn'а бул указан правильный путь к нему, и у процесса openvpn хавтвло прав его прочитать. Вставить ник Quote
Towerman Posted December 7, 2005 Author Posted December 7, 2005 Ну я сумел разобраться с ключами. VPN-туннель был проброшен в локальной сети. А как работать с сертификатами и в чем преимущество технологии с сертификатами? Сейчас буду пробовать устанавливать на шлюзе OpenVPN и его настраивать. Для удаленного доступа к серверу. Каким образом настроить DHCP-сервер, чтобы он пускал в лок. сеть предприятия? Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.