On Tue, Jan 26, 2010 at 05:41:15PM +0300, name wrote:
> подскажите, пожалуйста, чем/как реализовать vpn по ipsec, но именно
> топологией звезда, а не точка-точка (site-to-site)
Очень просто - нужно сделать туннели(gif/gre) между центром и филиалами,
прописать статический роутинг через эти туннели или сделать динамическую
маршрутизацию. Поверх туннелей наложить IPsec transport mode.
Предположим мы используем ipv4 gif(4), то есть IPIP tunnel. В ipsec.conf
пишем следующее:
ike esp transport proto ipencap from ME to PEER \
main auth XXX enc YYY group modp1024 \
quick auth XXX enc YYY group modp1024 \
psk chtobyvragnedogadalsya
Можно использовать tunnel mode, но в этом случае будет лишняя инкапсуляция.
Для полноценной безопасности, рекомендую запретить незащищенный
трафик {ipencap,encap,ipip} на firewall.
У меня работает в production режиме система из 15 офисов связанных
примерно 40-50 каналами. В каждом канале живет OSPF.
В некоторых офисах стоит cisco или какое-нибудь экзотическое железо,
в других open/free/linux. Работает надежно.
/gluk
> site-to-site уже работает, на обоих концах openbsd 4.5/4.6, все
> достаточно примитивно и просто: isakmpd, сертификаты и тп.. туннель
> поднимается, НО только между двумя шлюзами разных подсетей
>
> а хочется, чтобы был один vpn-шлюз (на серьезном "взрослом" ipsec, а не
> на хоть и простом но дохлом pptp) и к нему цеплялись клиенты поодиночке.
>
> вопрос авторизации - дело десятое (можно и сертификаты, и паролями)
>
> копал в инете - везде обсуждается только модель site-to-site, то есть
> два шлюза, да и в мане по isakmpd и ipsec.conf как-то подозрительно
> присутствует только описание двух узлов/подсетей.... про возможность
> звезды там ничего нет
>
>
Locked
