Jump to content

Нужно построить хитрую схему (хотим сэкономить)

odiszapc
 Share

Recommended Posts

odiszapc

odiszapc

Posted
Posted

Только русским такое придет в голову. Суть дела: решили сэкономить на интернете.

 

Итак, есть офис 20 чел, имеющий интернет через ADSL-канал провайдера N с реальным IP. Работаем на Kerio. В месяц за трафик вылетает сумма, которую хотим уменьшить. Хотели перейти на безлимит, но увы в городе для юр. лиц такого нет и не будет еще очень долго. Только для физических... Но фантазия русских людей безгранична!

 

Теперь внимание: Существует возможность установки безлимитного DSL-канала от этого же провайдера N у одного из сотрудников (меня) дома. После чего нужно заворачивать трафик не по стандартной схеме [ОФИС]<-->[iNET] а по такой: [ОФИС]<-->[ДОМАШНИЙ БЕЗЛИМИТ]<-->[iNET]. Трафик будет лететь по той же физической линии, но по другому тарифу - во внутренней сети провайдера трафик в 10 раз дешевле обычного (ведь провайдер один и тот же). Нехитрые расчеты показали что это приведет к существенной экономии средств.

 

Теперь сложности:

1. Безлимит зарезан по 256 Кбит (хотя скорость не важна - лазают по сайтам да качают почту)

2. Естесвенно надежность такой схему будем ниже чем исходной. Поэтому в случае неожиданного падения безлимита нужно переключаться на обычный

 

Пока соединил офис и мою хату по VPN-тунелю от того же Kerio - вижу офисную сеть, которая также видит меня.

Теперь самое сложное - как перенаправить трафик сотрудников с офисного шлюза не в интернет а в сторону моего домашнего шлюза, который в свою очередь будет пересылать это все в инет по безлимитному каналу.

 

Надеюсь изложил понятно. В какую сторону капать. Никто подобные задачи не решал? Согласен что криво, но блин экономия...

balamutang

balamutang

Posted
Posted

Только русским такое придет в голову. Суть дела: решили сэкономить на интернете.

да уж: такое только русским придет в голову - на форуме провайдеров спрашивать как обмануть провайдера.

911

911

Posted
Posted

Только русским такое придет в голову. Суть дела: решили сэкономить на интернете.

да уж: такое только русским придет в голову - на форуме провайдеров спрашивать как обмануть провайдера.

гг ;)

Ну что есть, то есть.

А если по существу, то делается это так:

дома (где анлим) ставим небольшой сервак с впн-сервером, а в офисе на роутере статическими роутами пишем маршрут до дома и поднимаем впн-соединение до того дома :) И все ;)

odiszapc

odiszapc

Posted
  • Author
Posted (edited)

Спасибо но это не все. Как быть если анлим падает? Как переключиться на обычный инет. Писануть скрипт который автоматически пингует некий хост и по определенным условиям переписывает маршруты? Надежно ли

Edited by odiszapc
Lin_

Lin_

Posted
Posted

да, писать скрипт

да, надёжно (можно пинговать несолько хостов, в т.ч. DNS провайдера)

и почему, собственно, должен падать канал до анлима?

Reanimator++

Reanimator++

Posted
Posted

я делал так, OpenVPN наружу смотрит, несколько знакомых так юзают наш спутник...

 

есть поинтереснее вопрос )

 

типичный АДСЛ провайдер, инет отдается по PPPoE.

ставим модем в бридж, слушаем - приходит куча PADI от клиентов, ищущих PPPoE концентратор. Концентратор (Cisco) один на весь город. Еще слышно NBNS, иногда DHCP запросы...

 

можно ведь настроить у себя PPPoE концентратор, но только не так чтобы он всем подряд отвечал (это же жуть что будет), а только скажем одному конкретному мак-адресу, который нам интересен?

с другой стороны ставим raspppoe и коннектимся не к циске, а к нашему концентратору...

как быстро это обнаружат и оторвут/отрежут все что полагается? :)

есть ли еще вариант соединиться по L2 кроме PPPoE? (хотя название говорит само за себя...)

balamutang

balamutang

Posted
Posted
типичный АДСЛ провайдер, инет отдается по PPPoE.

ставим модем в бридж, слушаем - приходит куча PADI от клиентов, ищущих PPPoE концентратор. Концентратор (Cisco) один на весь город. Еще слышно NBNS, иногда DHCP запросы...

так это получается про волгоград статья была, где сетки через АДСЛ коннектятся втихаря, а студенты инетом банчат через АДСЛ? http://www.nag.ru/2006/1001/1001.shtml
odiszapc

odiszapc

Posted
  • Author
Posted
да, писать скрипт

да, надёжно (можно пинговать несолько хостов, в т.ч. DNS провайдера)

и почему, собственно, должен падать канал до анлима?

Да не стабильная линия малость, рвется иногда, куда ж без этого, особенно в моей тайге.

 

В общем даже скрипт не понадобился. Устанавливается Kerio VPN-тунель с дома до офиса. Через него устанавливается VPN соединение уже с офиса до дома, весь инет трафик с офиса автоматически начинает заворачиваться по нему. Если выделенка дома по каким то причинам падает, оба VPN соединения соответсвенно тут же рвутся, маршруты удаляются, и начинают работать предыдущие маршруты от обычного DSL. Все оказалось просто.

 

Могут об этом как то догадаться? Траф идет по двойному шифрованному VPN-тунелю (тунель в тунеле - иначе никак).

А если догадаются мне кажется что предъявить то нечего... Прав я?

balamutang

balamutang

Posted
Posted
Могут об этом как то догадаться? Траф идет по двойному шифрованному VPN-тунелю (тунель в тунеле - иначе никак).

А если догадаются мне кажется что предъявить то нечего... Прав я?

конечно догадаются со временем и отключат тебе дома инет (за нарушение договора). шифруй-не шифруй - если у тебя контора потребляла на 5-10 тр интернета и вдруг стала потреблять только внутреннй трафик, да еще и к конкретному "домашнему" адресу.... тут только тупой не догадается. вопрос только в том когда это заметят.
Reanimator++

Reanimator++

Posted
Posted

если безлимит ассиметричный типа 256/128 то получится что работать все будет по наименьшей скорости...

 

так это получается про волгоград статья была, где сетки через АДСЛ коннектятся втихаря, а студенты инетом банчат через АДСЛ? http://www.nag.ru/2006/1001/1001.shtml
Нет, у нас еще все впереди... ) тарифные условия сейчас стали те же самые что и в той статье...

а по моему вопросу есть мнения?

balamutang

balamutang

Posted
Posted
Нет, у нас еще все впереди... ) тарифные условия сейчас стали те же самые что и в той статье...

а по моему вопросу есть мнения?

мне казалось что это элементарно: ставим концентратор с именем сервиса отличным от АДСЛ (например reanimator :)) и фильтруем от него и к нему трафик по мак-адресам (в фряхе ipfw точно фильтрует). можно по L2 пустить L3 и уже гонять по нему VPN... можно вообще VPN не поднимать и раздавать по IP, только фаер настроить чтоб левый народ не коннектился.
odiszapc

odiszapc

Posted
  • Author
Posted (edited)
конечно догадаются со временем и отключат тебе дома инет (за нарушение договора). шифруй-не шифруй - если у тебя контора потребляла на 5-10 тр интернета и вдруг стала потреблять только внутреннй трафик, да еще и к конкретному "домашнему" адресу.... тут только тупой не догадается. вопрос только в том когда это заметят.

Не пойман не вор. Перелистал весь договор - есть там что то подобное, но отключить могут только при наличии четких доказательств, которые можно получить лишь расшифровав VPN соединение.

А мы видите ли зарезали квоты и ввели жесткую политику для сотрудников - и качать они стали в 10 раз меньше.

А суть конторы и сводится к взаимодействию с одним внутренним адресом. У нас еще один дсл-канал есть... Так что не все так просто. В итоге будет выходить в 2 раза дешевле - разве это заметно? И вообще в договоре ни слова нет о том что нельзя качать с внутренней сети десятки гигов - мы платим за это деньги в соответствии с тарифом. Они фильмы качают с моего компа и все тут. А то что там кто то будет "догадываться" то пусть - нет доказательств нет проблемы. Вот такая вот компиляция (в простонародье "залепа") и ничего ты тут не поделаешь.

И так будет всегда пока я живу в России (цитата :))

Подраскачаемся тогда и вся это махинация будет не актуальна уже.

Edited by odiszapc
Barsick

Barsick

Posted
Posted
я делал так, OpenVPN наружу смотрит, несколько знакомых так юзают наш спутник...

 

есть поинтереснее вопрос )

 

типичный АДСЛ провайдер, инет отдается по PPPoE.

ставим модем в бридж, слушаем - приходит куча PADI от клиентов, ищущих PPPoE концентратор. Концентратор (Cisco) один на весь город. Еще слышно NBNS, иногда DHCP запросы...

 

можно ведь настроить у себя PPPoE концентратор, но только не так чтобы он всем подряд отвечал (это же жуть что будет), а только скажем одному конкретному мак-адресу, который нам интересен?

с другой стороны ставим raspppoe и коннектимся не к циске, а к нашему концентратору...

как быстро это обнаружат и оторвут/отрежут все что полагается? :)

А если всем подряд - соберешь логины/пароли со всех юзеров :)

За это точно оторвут

есть ли еще вариант соединиться по L2 кроме PPPoE? (хотя название говорит само за себя...)
IPX, например.

Интересно, есть ли реализации IP over IPX?

Reanimator++

Reanimator++

Posted
Posted
А если всем подряд - соберешь логины/пароли со всех юзеров :)

За это точно оторвут

ну это понятно :) концентратор, отвечающий всем подряд будет обнаружет в ту же секунду...

вопрос в том, сможет ли оборудование обнаружить PPPoE пакетики между двумя абонентами. Из броадкастов будет только PADI запрос (которых много и ничего подозрительного в них нет), все остальное уже ходит между двумя конкретными мак адресами.

я не знаю какие возможности есть у DSLAM...

 

IPX, например.

Интересно, есть ли реализации IP over IPX?

хмм...

опять тот же вопрос, понимает ли оборудование, что такое IPX и может ли его зафильтровать/обнаружить...

 

или так еще можно попробовать - поставить протокол TCP/IP, взять какие-нибудь фейковые адреса и в ARP таблице статически вписать интересующий MAC. будет работать?

odiszapc

odiszapc

Posted
  • Author
Posted (edited)

В общем настроил, тестирую. При установлении VPN туннеля добавляется одна строчка в таблицу маршрутов после чего инет начинает течь через домашний канал.

Интересный момент:

Если запустить пинг из Windows и Linux-машин офиса и начинать переключаться с офисного канала на домашний путем разрыва VPN-соединения, то можно наблюдать как меняется значение TTL. После двойного переключания туда-сюда пинг на данный хост с Windows-машин пропадает на время порядка нескольких минут, инет в это время нормально работает. Я как человек не просявященный причину этого не понял...

C Linux-машины такого не наблюдается

Edited by odiszapc

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.