На чем и как организовать VPN?

OpenVPN смотрели? Он умеет ходить даже через http-proxy, если требуется.

OpenVPN штука хорошая, но роутеры придётся шить на open wrt.

Что пока мущает:
1. Перепрошивка сотни роутеров на WRT... или это я просто ленивым стал таким? )
2. В случае глючности придётся либо копаться в коде, либо вообще курить бамбук....С фирменной прошивкой тоже могут быть проблемы, но по крайней мере при использовании более стандартных технологий есть выбор и вэндоров и самих моделей роутеров. Я прекрасно понимаю, что ~50% из представленных разными фирмами моделей - не смогут работать 24/7 т.к. это дешовое SOHO. Но тем не менее, я думаю, выбрать что-то можно.

>Блин, похоже IPSEC VPN и на той стороне предполагает реальный IP :(

похоже ты не прав

>похоже ты не прав
Отличная новость! ))

>PPTP штука удобная и точно работает через NAT

оба утверждения не являеются истиной

Честно говоря, сходу сложно оценить все варианты.

Если не сложно, кто уже имеет опыт VPN строительства, можно такой как-бы краткий обзор. PPTP плюсы/минусы/подводные камни. IPSEC тоже...

>точно работает через NAT

ЕМНИП, только до тех пор, пока двум пользователям за одним натом не захочется подключиться к одному впн-серверу.

>только до тех пор, пока двум пользователям за одним натом не захочется подключиться к одному впн-серверу.

Ооотстой. А такая ситуация может случиться.
А IPSEC в этом случае как себя ведет?

IPSec с шифрованием (ESP) корректно работает через NAT только при использовании NAT-T (инкапсуляция в UDP). Интересно, дешевые роутеры это умеют?

В случае же PPTP с несколькими клиентами за одним натом, многое зависит от реализации ната. Емнип, нат на базе iptables обрабатывает все корректно, а вот про нат на базе pf такого не скажешь, поэтому энтузиасты порою используют фильтры на pf совместно с натом на ipfw. В общем, задница.

Мораль: либо IPSec через UDP, либо OpenVPN.

И OpenVPN выглядит самым лучшим образом, за исключением того, что дешевые(и не только)роутеры придётся сильно колбасить чтобы приучить работать с ним.

нат на базе iptables обрабатывает все корректно, а вот про нат на базе pf такого не скажешь

А хрен его знает какой там НАТ будет на месте у клиента... тут надо готовиться к худшему :)

IPSEC через UDP...понял, спасибо.

>что дешевые(и не только)роутеры придётся сильно колбасить чтобы приучить работать с ним.
порт пробросить через роутер к Openvpn серверу - это сильно?
По сабжу лучше настроить Openvpn в режиме моста (dev tap)

Под фразой «дешевый роутер» имеется ввиду черненькая коробочка
dlink или asus (максимум linksys) ?
Если так , то сомневаюсь что оно потянет 100 клиентов.
Лучше добавить еще 3 тыши и купить системный блок.
Поставить туда freebsd/linux. И будет роутер с Openvpn сервером.

ээээ. Чёрненькая коробочка LinkSys это для клиентов.
Одна коробочка - один VPN линк и скорость ~1мегабита. Главный вопрос - это чтобы эта коробочка могла работать VPN клиентом по нужному протоколу, который я сейчас и пытаюсь выбрать исходя из исходных требований.
Но на стороне клиента обязательно должна быть именно «чёрненькая коробочка» - это обязательное условие заказчика.
Если бы на той стороне нужно было юзверя на ноуте подключить - проще было бы.

Ну а сервер, который все 100 коннектов будет обслуживать - конечно системный блок с пингвином, это даже пингвину понятно.

И да, никаких Dlinkов и Asusов - это уж точно!

А эта черненькая коробочка которая собирается быть VPN клиентом ,
она еще и по совместительству шлюзом в интернет для сети заказчика (~100 компьютеров) мечтает стать?

>Если бы на той стороне нужно было юзверя на ноуте подключить - проще было бы.

если то ноут с виндой и всё через ад, то первый логин был бы не таким простым.

проблема-то всём, что не всякий интернет ко всякой коробочке подключится.

проблема в том что не всякая черненькая коробочка потянет 100 клиентов
хотя бы даже в качестве шлюза

antroX, ты вообще читаешь мои посты? Тут никто не предлагает через чёрненькую коробочку 100 клиентов пропускать!
Откуда ты это взял вообще?

не будет в сети заказчика 100 компов. Не будет даже 10. Туда будут цепляться некоторые девайсы, которые не могут работать через интернет напрямую. Их кол-во едва ли перевалит за 10шт. Думаю приличная чёрная коробочка 10 соединений должна переварить, не так ли?

Кстати, в роли коробочки может выступить что-то типа guruplug, или что у них там сейчас с двумя езернетами?
В остальном - имхо, тут самое простое и удобное решение - openvpn.

оооо. Прикольная штука!!! А раз там линукс - то и OpenVPN встанет без проблем.

>Необходимо организовать VPN доступ к сети для ~100 клиентов.
для ~100 клиентов

В таком случае объясняйте ситуацию подробнее. телепаты как всегда в отпуске.
А если подключаться будет мало кто, то почему бы не установить на машины
подключающихся Openvpn клиенты ? В чем тогда роль коробочки?

а как на счет микротика?

100 клиентов у сервера, который системный блок с линуксом.
Каждая коробочка для него = клиент.
Сама коробочка содержит настройки для поднятия VPN туннеля к серверу и делает NAT и раздаёт DHCP на LAN портах. Таким образом любое подключенное к LAN порту оборудование будет работать через VPN туннель прозрачно. Подключаться к коробочке будут именно девайсы, которые не знают и знать ничего не хотят про VPN и имеют свою прошивку, в которую OpenVPN клиента(и любого другого) ну никак не встроить.
К каждой такой коробочке подключается не более 10 девайсов, поэтому требования к этой коробочке весьма стандартны, за исключением того, что на WAN она должна поддерживать VPN по выбранной технологии(протоколу).

Пардон, если сразу не сформулировал вопрос правильно.

Пока пришел к выводу, что в качестве клиентской коробочки ИДЕАЛЬНО подошел бы GuruPlug Server Plus с двумя портами. Зафигачить туда openVPN и жить спокойно. Такая железяка потянет и 100 клиентов в качестве роутера. Это тебе не D-Link какой-нибудь c 32МБ оперативки :)

Где достать GuruPlug Server Plus??? Заказать на буржуйский сайтах вроде можно... может кто уже брал себе? Поделитесь опытом где и как?

Где достать GuruPlug Server Plus??? Заказать на буржуйский сайтах вроде можно... может кто уже брал себе? Поделитесь опытом где и как?

Вот кстати да, тоже интересно.

ipsec
остальное от лукавого

Кстати, тут я смотрю заказчики призадумались об использовании PC на той стороне вместо всех этих роутеров и прочих изысков.

Вот так всегда блин. Сначала типа задача лететь в космос, а кончается всё разработкой велосипеда :)
Но оно и лучше. Если на той стороне разрешат PC использовать - я OpenVPN подниму и никаких проблем знать не буду со всеми этими коробочками.

А что open не такой уж и open?
Чё-то вроде они по 5баксов просят за каждого клиента если их больше двух. Это как-то обходится или придётся платить? Вроде не так уж много. 100 клиентов = 500баксов. Но лучше б мне 500 доплатили, чем им отдавать(да, знаю, злой я, но что делать).

>Вот кстати да, тоже интересно.
Я так понял, что самый реальный вариант заказать GuruPlug Server Plus - это через Англию http://www.newit.co.uk/shop/categories.php
Но там за доставку приплатить придётся баксов 30, я думаю не меньше.....

>А что open не такой уж и open?
Это вообще про что?

>Это вообще про что?
ну про openVPN

Где вы такое взяли?

>А что open не такой уж и open? Чё-то вроде они по 5баксов просят за каждого клиента если их больше двух.

Надо все-таки понимать разницу между открытым и бесплатным openvpn и коммерческими продуктами на его основе. В твоем случае коммерческая openvpn-based дребедень не нужна.

Ну я там краем глаза на сайте чё-то увидал. Тоже удивился кстати.
Но точно на офф сайте опэнВПН видел... щас найти не могу.
Вот что значит ночью работать блин )

для одновременного доступа по VPN ~100 клиентов надо ставить нормальную железяку. Решения на базе непатченных Linux/BSD на офисном железе - просто непотянут. Сразу ориентируйтесь на 6-7К$ на центральную железку при использовании PPTP,l2Tp,IPSEC. Переферийные пойдут тогда вообще любые.

OpenVPN вещь хорошая, но 100 сессий без аппаратной поддержки для него черезчур. А в железе его вообще никто не умеет :) Кроме наколенного андеграунда конечно.

>для одновременного доступа по VPN ~100 клиентов надо ставить нормальную железяку. Решения на базе непатченных Linux/BSD на офисном железе - просто непотянут.

Бред. Даже реликтовый целерон 1.7 с линуксом спокойно тянет сессий эдак 150-170 классического юзерлевел поптопа. Ессно - без сжатия/шифрования. О accel-pptp, который работает в kernel-mode, помолчу, как и о фре с ее MPD.

я более чем уверен что i7 потянет 100 одновременных сессий openvpn. В конце концов можно взять двупроцессорную мать. Получится 16 потоков одновременно. Для 100 соединений предостаточно. А по цене будет гораздо меньше 6к$

Решено, у клиентов будут недорогие PC приспособленные чисто для держания openVPN туннеля. И это удобно,универсально и круто.

Попутно ещё вопросики возникли, пока чисто теоретические, т.к. НИЧЕГО на макете делать ещё не пробовал.

Все эти 100 VPN сессии на сервере будут NATиться на один реальный IP.
Одним из важных моментов является хорошая поддержка Skype(i.e. за каждым туннелем будут Skype клиенты, которые через туннель будут пытаться работать).
Я чуть почитал о том, как эта зараза(Skype) работает через NAT и в принципе понял, что работать то оно будет, но самым лучшим вариантом был бы port forwarding UDP порта с внешнего IP на конкретного клиента. Каждый Skype клиент при установке генерит себе случайный порт и пытается открыть его себе через UPnP. Ну или это нужно сделать вручную, но это не реально в моей ситуации.
Т.е. вопрос состоит в том, смогу ли я сделать так, чтобы UPnP добрался до моего роутера через VPN?
Что-то мне подсказывает, что без доп. извращений тут не обойтись(дай Бог чтобы я ошибался), но в принципе эти доп. извращения можно организовать, т.к. на клиентской стороне тоже linux PC.

Что скажете, господа?

> Т.е. вопрос состоит в том, смогу ли я сделать так, чтобы UPnP добрался до моего роутера через VPN?

Ну фактически каждая PC получит свой адрес в вашей локальной подсетке. Считайте, что она рядом стоит. Если промежуточных хопов с того адреса до интенет-гейта не будет, то с UPnP проблем не возникнет.

Не так выразился. Не промежуточных хопов, а машин с натами. UPnP работает, если нат один, а дальше внешний IP.

Те наты, которые в промежутке между VPN-овскими точками - не считаются.

>Ну фактически каждая PC получит свой адрес в вашей локальной подсетке. Считайте, что она рядом стоит.
Отличненько!!!
Ну да, это я что-то протупил. VPN туннель то уже есть - всё остальное не считается. Точно.

а деньги считать вас не учили ? используя стандартные протоколы вы можете ставить на клиентах хрень баксов в пределах 50-100, используя openvpn - дай бог, чтобы в 300. На ста клиентах разница ощутима. То есть нет особого напряга в выборе центральной железки: основные траты идут на переферию, её просто много.

кстати, про i7 и Skype. Если задача - тянуть 100 одновременных сессий VPN по которым ходит real-time трафик совсем нехудой - берите на VPN концентратор нормальную шелезяку. Тут уже начинаются проблемы скоростей даже и не процессоров.

Без конкретных цифр, сколько стоит то или иное оборудование - спекуляция на числовых псевдоданных. Оно не сильно отличаться будет, ибо клентские системник под openvpn может быть собран даже на атоме.


А вот что касается хождения по этому skype - тут уже надо тестировать.

> Ну да, это я что-то протупил. VPN туннель то уже есть - всё остальное не считается. Точно.

Вы только смотрите внимательно, как туннель поднимается. Если прямо с PC, то все пучком. А если коробкой, которую несколько PC воткнуто, то во внутренней сетке будет именно коробка, а PC-шкам достанется второй нат и лысый хрен вместо UPnP.

Вообще, надо вашу полную задачу смотреть. То что я говорил - касается только openvpn. Ну и могу сказать, что он точно все пробьет, в отличие от PPTP. А как на самом деле надо сетку строить - без общей картины не сказать. С концентратором «могут быть нюансы» :)

>а деньги считать вас не учили?
Пришли к выводу, что openVPN лучше всего выполнит ВСЕ поставленные условия.
К тому-же цена переферии на той стороне идет как-бы из другого кармана(на сколько я понял....)
Но мне как-бы в 1000 раз удобнее, если там будут стандартные компы с линухом. Считает пусть заказчик, чё там и как.
Я отчёт предоставил, ситуацию расписал....
Было принято решение - PC. И меня лично это только радует )

кстати, про i7 и Skype. Если задача - тянуть 100 одновременных сессий VPN по которым ходит real-time трафик совсем нехудой - берите на VPN концентратор нормальную шелезяку

Ну целерон 1.7 там стоять точно не будет :)
А i7 будет чем заняться, т.к. кроме VPN'a и шифрования, для обеспечения real-time придётся ещё нехило траффик шейпить, а это, как известно, перебор очередей, перестановки и т.д... т.е. опять работа для проца.
Поставлю гигов 8 оперативки, неужели не хватит на 100сессий? Да не верю! Хорошо, поставлю 16 :) Но в RAM там упираться ничего не должно по идее и 4 - за глаза хватит.

Тут уже начинаются проблемы скоростей даже и не процессоров

Что имеется ввиду? Скоростей чего? Интернетов?

>Надо все-таки понимать разницу между открытым и бесплатным openvpn и коммерческими продуктами на его основе. В твоем случае коммерческая openvpn-based дребедень не нужна.
Видать анонимус не прав. Прямо с сайта www.openvpn.net:
«FREE License Key

We provide free license keys to anyone who registers on OpenVPN.net. The free license keys is designed to get you up and running and will activate (2) Clients. The Free license key is fully functional and does not expire. If you don't need more than 2 concurrent connections there is no cost. Login here for your free license key or here to Register

We support features for the Enterprise, Small Businesses, Service Providers and Home Users with 10 to 10,000 VPN client connections. Cost is five dollars for each VPN client connection and one year support. All our paying customers get to use our premium support services.»

Это же вроде не о коммерческой openvpn-based дребедени говорится...
т.е. 5баксов за клиента придётся платить. Это не много, но тем не менее.