LINUX.ORG.RU
ФорумAdmin

Рализация сетевой «вундервафли». Нужен трезвый взгляд/критика/советы

 , ,


1

1

Фабула

Есть фирма «Рога и Копыта». У нее есть серверок на котором крутится нужная им фигня. Также у них есть несколько компов с клиентским гуем для «фигни» :) Компы и сервер находятся в разных физических сетях

Здесь вроде все просто. Нужен VPN. Но.. задача усложняется :)

Фирма «Рога и Копыта» растет и развивается. Теперь она уже корпорация и имеет в своем составе несметное количество отделений. Каждое отделение имеет такую же структуру как в первом сценарие. Главный админ решил сделать на базе одного запущеного openvpn-сервера всю эту «кухню». Тоесть для каждого отделения своя отдельная сеть (с непересекающимися IP)

Задача

  • один openvpn-сервер
  • несметное количество отделенийдествительно много отделений. Вполне возможно что будет нужен такой трюк
  • каждое отделение - отдельный VPN
  • динамическое добавление/«отключение» отделения(-й) (и юзеров)?

Вопросы

  • Возможно ли это в принципе?
  • openVPN подойдет или нужно смотреть на чтото другое (PPTP, L2TP/IPsec, SSTP или $ВАША_ПОДСКАЗКА)?
  • нужно ли для каждого PC в отделении свой ключ/cert для коннекта или достаточно одного на все отделение?
  • я так понимаю что при большых количествах отделений(и юзеров) нужно какое-то хранилище. LDAP подойдет здесь или чтото другое?

PS: в сетевой терминологии не силен. переспрашивайте если что

★★★★★
Create bootable backup copy of winxp
Загружать новое ядро

Судя по ссылке на трюк вам нужно нанять профессионального сетевого администратора.

по сабжу:
- да
- подойдет
- нужно ставить роутер
- что вам угодно

ventilator ★★★
()
Ответ на: комментарий от ventilator

Судя по ссылке на трюк вам нужно нанять профессионального сетевого администратора.

учится никогда не поздно

- нужно ставить роутер

разшифруйте если не трудно пожалуйста

ZuBB ★★★★★
() автор топика
Ответ на: комментарий от ZuBB

- нужно ставить роутер

роутер не всегда спасет. что если отделение это 1 ноут с клиентским гуем в кафе c вайвайем?

ZuBB ★★★★★
() автор топика
Ответ на: комментарий от ZuBB

в каждом отделении роутер и он соединяется с центровым openvpn сервером. в итоге все сети всех отделений доступны друг для друга.

uspen ★★★★★
()
Ответ на: комментарий от ZuBB

если нужен отдельный клиент и их много, точно так же как и с роутером в каждом отделении - принципиально все то же самое.

uspen ★★★★★
()
Ответ на: комментарий от uspen

принципиально все то же самое.

это я понимаю. но роутер здесь не нужен. просто на ноут ставится openvpn клиент и дальше

точно так же как и с роутером

я прав?

ZuBB ★★★★★
() автор топика

Если как в первом сценарии, то тогда получается, что в каждом отделении есть openvpn сервер. Тогда всё просто - надо эти сервера соединить ещё и транспортными подсетями. И поднять на каждом quagga с ospf. Причём не обязательно делать фулл меш, достаточно кольцо забахать. Ну или частичный меш.

turtle_bazon ★★★★★
()

Ах, да, ещё же вопросы. :)

Возможно ли это в принципе?

Да.

openVPN подойдет или нужно смотреть на чтото другое (PPTP, L2TP/IPsec, SSTP или $ВАША_ПОДСКАЗКА)?

Пойдёт.

нужно ли для каждого PC в отделении свой ключ/cert для коннекта или достаточно одного на все отделение?

Не понял что такое РС. Ну смотря как делать. И как хотеть. Я, например, всегда разные делаю. Гемор при продлении ключа, конечно, но безопаснее. Потому как можно определённые сертификаты отозвать.

я так понимаю что при большых количествах отделений(и юзеров) нужно какое-то хранилище. LDAP подойдет здесь или чтото другое?

Если просто сеть протянуть, то ничего не нужно.

turtle_bazon ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Create bootable backup copy of winxp
Admin
Загружать новое ядро