подскажите, пожалуйста, чем/как реализовать vpn по ipsec, но именно
топологией звезда, а не точка-точка (site-to-site) site-to-site уже работает, на обоих концах openbsd 4.5/4.6, все достаточно примитивно и просто: isakmpd, сертификаты и тп.. туннель поднимается, НО только между двумя шлюзами разных подсетей а хочется, чтобы был один vpn-шлюз (на серьезном "взрослом" ipsec, а не на хоть и простом но дохлом pptp) и к нему цеплялись клиенты поодиночке. вопрос авторизации - дело десятое (можно и сертификаты, и паролями) копал в инете - везде обсуждается только модель site-to-site, то есть два шлюза, да и в мане по isakmpd и ipsec.conf как-то подозрительно присутствует только описание двух узлов/подсетей.... про возможность звезды там ничего нет |
On Tue, Jan 26, 2010 at 05:41:15PM +0300, name wrote:
> подскажите, пожалуйста, чем/как реализовать vpn по ipsec, но именно > топологией звезда, а не точка-точка (site-to-site) Очень просто - нужно сделать туннели(gif/gre) между центром и филиалами, прописать статический роутинг через эти туннели или сделать динамическую маршрутизацию. Поверх туннелей наложить IPsec transport mode. Предположим мы используем ipv4 gif(4), то есть IPIP tunnel. В ipsec.conf пишем следующее: ike esp transport proto ipencap from ME to PEER \ main auth XXX enc YYY group modp1024 \ quick auth XXX enc YYY group modp1024 \ psk chtobyvragnedogadalsya Можно использовать tunnel mode, но в этом случае будет лишняя инкапсуляция. Для полноценной безопасности, рекомендую запретить незащищенный трафик {ipencap,encap,ipip} на firewall. У меня работает в production режиме система из 15 офисов связанных примерно 40-50 каналами. В каждом канале живет OSPF. В некоторых офисах стоит cisco или какое-нибудь экзотическое железо, в других open/free/linux. Работает надежно. /gluk > site-to-site уже работает, на обоих концах openbsd 4.5/4.6, все > достаточно примитивно и просто: isakmpd, сертификаты и тп.. туннель > поднимается, НО только между двумя шлюзами разных подсетей > > а хочется, чтобы был один vpn-шлюз (на серьезном "взрослом" ipsec, а не > на хоть и простом но дохлом pptp) и к нему цеплялись клиенты поодиночке. > > вопрос авторизации - дело десятое (можно и сертификаты, и паролями) > > копал в инете - везде обсуждается только модель site-to-site, то есть > два шлюза, да и в мане по isakmpd и ipsec.conf как-то подозрительно > присутствует только описание двух узлов/подсетей.... про возможность > звезды там ничего нет > > |
29 января 2010 г. 11:23 пользователь Grigoriy Orlov <[hidden email]> написал:
> On Tue, Jan 26, 2010 at 05:41:15PM +0300, name wrote: > У меня работает в production режиме система из 15 офисов связанных > примерно 40-50 каналами. В каждом канале живет OSPF. > В некоторых офисах стоит cisco или какое-нибудь экзотическое железо, > в других open/free/linux. Работает надежно. А возможность централизованного мониторинга и администрирования этого хозяйства есть? |
In reply to this post by Grigoriy Orlov
On 29.01.2010 11:23, Grigoriy Orlov wrote:
> On Tue, Jan 26, 2010 at 05:41:15PM +0300, name wrote: > >> подскажите, пожалуйста, чем/как реализовать vpn по ipsec, но именно >> топологией звезда, а не точка-точка (site-to-site) >> > Очень просто - нужно сделать туннели(gif/gre) между центром и филиалами, > прописать статический роутинг через эти туннели или сделать динамическую > маршрутизацию. Поверх туннелей наложить IPsec transport mode. > > Предположим мы используем ipv4 gif(4), то есть IPIP tunnel. В ipsec.conf > пишем следующее: > ike esp transport proto ipencap from ME to PEER \ > main auth XXX enc YYY group modp1024 \ > quick auth XXX enc YYY group modp1024 \ > psk chtobyvragnedogadalsya > > Можно использовать tunnel mode, но в этом случае будет лишняя инкапсуляция. > > Для полноценной безопасности, рекомендую запретить незащищенный > трафик {ipencap,encap,ipip} на firewall. > > У меня работает в production режиме система из 15 офисов связанных > примерно 40-50 каналами. В каждом канале живет OSPF. > В некоторых офисах стоит cisco или какое-нибудь экзотическое железо, > в других open/free/linux. Работает надежно. > > /gluk > > >> site-to-site уже работает, на обоих концах openbsd 4.5/4.6, все >> достаточно примитивно и просто: isakmpd, сертификаты и тп.. туннель >> поднимается, НО только между двумя шлюзами разных подсетей >> >> а хочется, чтобы был один vpn-шлюз (на серьезном "взрослом" ipsec, а не >> на хоть и простом но дохлом pptp) и к нему цеплялись клиенты поодиночке. >> >> вопрос авторизации - дело десятое (можно и сертификаты, и паролями) >> >> копал в инете - везде обсуждается только модель site-to-site, то есть >> два шлюза, да и в мане по isakmpd и ipsec.conf как-то подозрительно >> присутствует только описание двух узлов/подсетей.... про возможность >> звезды там ничего нет >> |
In reply to this post by Igor Zinovik-3
On Fri, Jan 29, 2010 at 12:55:40PM +0300, Igor Zinovik wrote:
> 29 января 2010 г. 11:23 пользователь Grigoriy Orlov <[hidden email]> написал: > > On Tue, Jan 26, 2010 at 05:41:15PM +0300, name wrote: > > У меня работает в production режиме система из 15 офисов связанных > > примерно 40-50 каналами. В каждом канале живет OSPF. > > В некоторых офисах стоит cisco или какое-нибудь экзотическое железо, > > в других open/free/linux. Работает надежно. > > А возможность централизованного мониторинга и администрирования этого > хозяйства есть? ГУЯ для этого дела нет. Cистема децентрализована. Часть каналов мониторим nagios'ом, но некоторые удаленные каналы мониторить сложно. Может быть для cisco есть все необходимые приблуды, но для гетерогенной сети по любому нужно точить самостоятельно. Еще у cisco есть решение DMVPN для реализации full-mesh, но это уже offtopic. /gluk |
Free forum by Nabble | Edit this page |