Forum Debian Users Gang

hello_world · 2012-04-05 12:52:20

Cześć
Mam pytanie odnośnie pewnego rozwiązania.
Są dwie lokalizacje.

IP_ISP-[centrala]--IP_LAN(192.168.0.0/24)
|
vpn
|
IP_ISP-[oddział]--IP_LAN(192.168.1.0/24)

Jak najlepiej zestawić VPN-a
1. Jeśli na obu lokalizacjach jest NAT to jak stworzę tunel pomiędzy tymi lokalizacjami to widoczność użytkowników z LAN zachowam.
2. Czy nie NAT-ować tylko zrobić przekazywanie pakietów pomiędzy interfejsami WAN i LAN.
Do zabezpieczenia będę używał współdzielony klucz (openvpn --genkey --secret key)
3. A może do dwóch lokalizacji (więcej być nie powinno )zastosować tunel ssh, który opisany jest w dziale Artykuły.
Wspomnę, żew obu lokalizacjach koncówki w LAN-ie to windowsy.

qluk · 2012-04-06 00:04:38

Schemat jest nieczytylne względem opisu. W którym miejscu wystepuje brama z NAT?
Tunel typu network-to-network zestaw na OpenVPN z użyciem tun. W tym wypadku spokojnie może byc to transparentny przekaz (dwie różne podsieci). I ważne, uzywaj do transmisji UDP.

Ostatnio edytowany przez qluk (2012-04-06 00:05:31)

hello_world · 2012-04-06 10:12:28

Załóżmy że mam na teraz taki schemat

NAT
IP_WAN---[centrala]---IP_LAN

NAT
IP_WAN---[oddział]---IP_LAN

Teraz chciałbym użyć OpenVPN aby połączyć te dwie lokalizacje (zależy mi aby koncówki w LAN mogły się bez problemu komunikować, czyli zwykły ping do innej podsieci w Oddziale będzie osiągalny.)

Tunel typu network-to-network zestaw na OpenVPN z użyciem tun. W tym wypadku spokojnie może byc to transparentny przekaz (dwie różne podsieci). I ważne, uzywaj do transmisji UDP

Z tego co wiem jak użyję interfejsu tun to automatycznie decyduję się na połączenie po UDP (tap wymusza TCP).

Czyli jeśli przy tym układzie zestawie openvpn-a i w routerach brzegowych(linux) ustawie w configu Centrali (local IP_WAN, ifconfig 10.0.0.1 10.0.0.2) i configu Oddziału(local IP_WAN, ifconfig 10.0.0.2 10.0.0.1) to koncowki w LAN i centali i odziału będą mogły się komunikować? Jaki one dostaną adres?
Nie mam jak sprawdzić a sądzę że kiedyś taki schemat mi się trafi.

Ostatnio edytowany przez hello_world (2012-04-06 10:14:41)

ba10 · 2012-04-07 09:27:17

Na końcówkach czyli Twoich routerach brzegowych, w plikach konfiguracyjnych openvpna, podajesz z jakiej puli będą klienci otrzymywali adresy ip. Teraz jest wiele opcji, jakie możesz wykorzystać, które daje openvpn, czyli albo korzystasz z opcji "push" w plikach konfiguracyjnych końcówek, którą tą opcją pchniesz ustawienia dla klientów, albo bawisz się routingiem poprzez ip route i iptables, albo bawisz się w mostkowanie tunelu vpn, tworząc jedną domenę rozgłoszeniową. Musisz także wziąć pod uwagę, czy klienci mają się łączyć z siecią globalną przez vpna.
Masz jeszcze możliwość połączenia tych dwóch oddziałów za pomocą tunelu IPSec i oprogramowania OpenSWAN.
Proponuje Tobie, jak masz komputer, który udźwignie cztery wirtualki ( a większość nowych komputerów to zrobi ) zrobienie sobie takiej sieci np. w virtualboxie czyli dwa routery brzegowe do których masz połączone po jednym kliencie i stworzenie tunelu pomiędzy sieciami. Przećwiczysz ( a uwierz mi warto, bo byle pierdoła może utrudnić Twoje życie ) i będziesz mógł się zdecydować co zastosować. Ach jeszcze jedno, pomyśl o rozwoju sieci, czy nie będzie np. potrzeby by łączyły się w przyszłości jacyś mobilini klienci czy pracownicy z domów z siecią firmową ;)

Ostatnio edytowany przez ba10 (2012-04-07 09:47:21)

qluk · 2012-04-07 12:15:59

IPSec o kant dupy w tym wypadku, on sie lepiej sprawdza jako roadwarrior i łączenie zza NAT.
TUN i TAP nie wymuszają protokołu (przynajmniej jak pisałem prace o tym to tak nie było). UDP powinno się zawsze stosować podczas pracy tunelu, do zestawienie jęsli to możliwe TCP. Wynika to z tego iż zazwyczaj wewnątrz tunelu leci TCP. Jak wiadomo TCP ma "kontorole" nad tym czy i jak pakiet dotarł. Zakładając, że tunel jest po TCP i wenątrz leci TCP to zagubienie jednego pakietu powoduje sztorm. Po pierwsze konćówka robi retransmisje, a po drugiem to co sżło tunelem tez robi retransmisje. W najlepszym wypadku tunel będzie fluktuował z przepustowością, w najgorszym zapcha się retransmisjami. Ale odwrotnie jest jeśli tunelem ma lecieć UDP, to tunel zestawiamy po TCP.
Tunele łączące jako most dwie sieci mają IP dla końcówek zazwyczaj z puli 10.x.x.x. Służą jako IP do trasowania czyli np. sieć 192.168.1.0 osiągalna jest poprzez 10.0.0.1 i odwrotnie 192.168.0.0 poprzez 10.0.0.2. Komputery z podsieci nie wchodza w interakcję bezpośrednią z siecią 10.0.0.0.

TUN - interfjest dla tuneli z trasowaniem
TAP - interfejs dla tuneli z mostkowaniem

Zestawiając połączenie trasownaie tworzy sie automatycznie, interfejs również podnoszony jest poprzez OpenVPN. Różnicy pomiędzy TUN i TAP chyba już wyjasniac nie muszę (włąsnie pooglądałem dokumentacje i sam ustawiasz taki protokół jaki chcesz). Najpierw zestaw połączenia poprzez hasło sztywne, potem możesz potestować klucz współdzielony PSK, a na końcu certyfikaty. Istotne, ponieważ z certyfikatami często bywają problemy podczas wdrażania.
Dla klientów mobilnych jak już pisałem w przyszłości użyj IPSec gdyż on może pracowac za NAT'em i właśnie jako brama dla klientów mobilnych jest idealnym rozwiązaniem.

ba10 · 2012-04-07 13:09:21

@qluk ja nie zamierzałem tutaj dyskutować co jest lepsze, a co nie, przedstawiam tylko możliwości, które można wykorzystać. Tak naprawdę nie wiesz jak jest dokładnie sieć zbudowana i co jest wymagane, a ja nie lubię domysłów , bo wole jak jest wszystko wiadome ( konkretne aż do bólu) bo wtedy można najlepsze rozwiązanie dobrać do danej sytuacji.
IPSec tak bym na dzień dobry nie odrzucał do połączenia dwóch lokalizacji. Bo nie pisze tutaj o użyciu roadwarrior ( bo to się tyczy mobilnych klientów ) tylko połączenia tzw. linux-to-linux, bez udziału protokołów l2tp, ppp, a oprzeć się o klucze RSA. No i masz tu NAT jakby nie patrzeć ;) Ale to tylko propozycje, jedna z wielu. :)

Ostatnio edytowany przez ba10 (2012-04-07 13:16:10)

qluk · 2012-04-07 19:37:55

To nie są domysły, tak jest w praktyce, OpenVPN lepiej sie sprawuje w takiej konfiguracji i jest łatwiejszy w zestawianiu. IPSec to genialne rozwiąznie własnie do roadwarrior lub jeśli wymaga tego druga strona (np. systemy wbudowane). Tutaj NAT wystepuje na bramach. Zestawiane mają być ze sobą sieci wiec to czy poszczególne końcówki siedzą za translacją czy nie jest nieistotne. Jedyne na co trzeba uważać to trasowanie i tutaj również taką konfiguracje łatwiej sie trasuje przy OpenVPN.

PPP jest ideą działania IPSec więc nie da się bez jego udziału zestawić połączenia. W sumie w wypadku OpenVPN jak się wyswietli informacje o interfejsie to on tez jest PPP. W sumie w pełni prawidłowo w końcu jest klient serwer, choć OpenSWAN ma swoje strony - lewa i prawa :)

hello_world · 2012-04-07 20:57:33

Panowie,
Dzięki za techniczną polemikę ale mi to niewiele pomogło. Dużo piszecie a ja dalej w ciemnej ...
(OpenVPN)Doczytałem że:
- Jak koncówki chcą się połączyć do serwera OpenVPN i widzieć sie z kompami w tej sieci to na Centrali wystarczy dodać

Kod:

push "route 192.168.1.10 255.255.255.255" (adres oczywiscie wymyslony)

Co do połączenia w trybie routera w OpenVPN broadcast nie jest przepuszczany. Na pewno w sieciach windowsowych dużo tego idzie. Pytanie czy taka samba będzie odbierana z sieci A do sieci B
Tryb mostkowy przepuszcza wszystko ale czy to zbytnio nie obciąża?

W sumie ten tryb routera powinien ogarnąć sprawę. I widzę, że nic tu nie trzeba kombinować a tylko ustawić forwarding na 1.
Jeszcze jedno pytanko. Jak są dwa punkty(sieci) do połączenia (OpenVPN) przy pomocy PSK to czy jak ktoś poprosi o dostęp mobilny przy tym ustawieniu to czy wystarczy mu klucz podesłać i Serwer VPN ogarnię sprawę czy trzeba bawić się w CA?

Ostatnio edytowany przez hello_world (2012-04-07 21:14:08)

ba10 · 2012-04-07 22:40:22

@qluk
O domysłach pisałem w kontekście sieci jaką hallo_word ma do dyspozycji. Tak naprawdę nic o niej nie wiesz.
Przy nacie nie wiem czy zauważyłeś emotikone, jak nie to jeszcze raz ;)
Ja nie upieram się przy IPsecu, bo mam jakieś odczucie, że tak uważasz. Napisałem, że to propozycje, jedna z wielu :)
Dobra EOT bo hello_world się wkurzył :)

@hello_world
Tak, połączenie w trybie routera Openvpn będzie ok. Oprócz tego w zależności czy odziały Twoje będą korzystały z internetu przez tunel to jeszcze zostaje ustawienie bram na routerach-końcówkach.
To już zależy od Ciebie jak sobie to rozwiążesz, czy oprzesz to na certyfikatach, czy nie, ale tak wystarczy przy PSK podesłać klucz współdzielony.

Forum Debian Users Gang

Ogłoszenie

#1 2012-04-05 12:52:20

hello_world - Członek DUG

openvpn i nat

#2 2012-04-06 00:04:38

qluk - Pan inż. Cyc

Re: openvpn i nat

#3 2012-04-06 10:12:28

hello_world - Członek DUG

Re: openvpn i nat

#4 2012-04-07 09:27:17

ba10 - Członek DUG

Re: openvpn i nat

#5 2012-04-07 12:15:59

qluk - Pan inż. Cyc

Re: openvpn i nat

#6 2012-04-07 13:09:21

ba10 - Członek DUG

Re: openvpn i nat

#7 2012-04-07 19:37:55

qluk - Pan inż. Cyc

Re: openvpn i nat

#8 2012-04-07 20:57:33

hello_world - Członek DUG

Re: openvpn i nat

Kod:

#9 2012-04-07 22:40:22

ba10 - Członek DUG

Re: openvpn i nat

Stopka forum