помогите с настройкой ipsec vpn dial-in

0

1

Описание ситуации такое. Есть заказчик, у него есть сервер, он хочет, чтобы мы отправляли ему некоторые данные по http, но хочет, чтобы это было сделано через vpn

Прислал такие данные конфигурации

IKE Encryption	:	AES 256
IKE Auth		:	SHA2 512
IKE SA lifetime	:	7800
IKE DH			:	Group 15 (MODP 3072)

IPSec Encrytption	:	AES 256
IPSec Auth		:	SHA2 512
IPSec SA lifetime	:	3600
IPSec PFS group	:	Group 16 (MODP 4096)

И PSK-ключ. После чего он попросил прислать ему ip локальный нашего серевера(для них клиента). Я на это ответил, что у него нет локального адреса, только глобальный. Сервак мы этот арендуем у хостера. И локалки нашей у него нет (точнее он туда не входит). На что их админ немного поворчал и сказал, что сделал dial-in соединение с теми же настройками. Как это сделать? Подкиньте манов. Для меня так же очень важно, чтобы vpn соединение не отражалось на обычном взаимодействии с интернетом и другими серверами.

На машине стоит ububtu 14.04 серверная.

Ссылка

←	Записать название коммита в файл этого же коммита

Не работает yum

→

я прошаю тебя, сын мой, можешь ступать с миром.

~~darkenshvein~~ ★★★★★
(16.01.15 20:24:38 MSK)

Нифига не понял. Ну нет у вас локального ip-адреса на сервере, ну назначьте любой, допустим 10.10.10.10.

Что сделал их админ (dial-in соединение) я не понял, он хочет, чтобы вы были «road warrior»?

Ipsec в ubuntu это openswan, берите два компа и тренеруйтесь их соединить, гугл даёт много докуменации. Разве что посмотрите вывод команды ″ipsec auto --status″, что у вас есть требуемые шифры (IKE dh group: id=15.

mky ★★★★★
(17.01.15 03:16:34 MSK)

Ответ на: комментарий от darkenshvein 16.01.15 20:24:38 MSK

Ты вообще что несешь.

Dudraug ★★★★★
(17.01.15 19:35:36 MSK) автор топика

Ответ на: комментарий от mky 17.01.15 03:16:34 MSK

Что сделал их админ (dial-in соединение) я не понял, он хочет, чтобы вы были «road warrior»?

Он походу хочет, чтобы мы подключились в их локалку. Ну я подключаюсь к ним по vpn, а они нам ip из их локалки. Спрашивать что-то у них и уточнять стремно, они совсем неадекватные там (судя по предыдущему опыту).

Ipsec в ubuntu это openswan, берите два компа и тренеруйтесь их соединить, гугл даёт много докуменации.

Ну просто я боюсь как бы это dial-in не стало локальный и прочий глобальный трафик гонять через их серваки, но буду пытаться да. Просто тут заказчик молчал 2 месяца (не отвечал как к ним подключиться и не объяснял других проблем на их стороне), а тут вспомнил - прислал эти данные и топает ножкой, требует ответа и результата ASAP. Словно у меня других заказчиков нет.

Dudraug ★★★★★
(17.01.15 19:39:26 MSK) автор топика

Ответ на: комментарий от Dudraug 17.01.15 19:35:36 MSK

веру ближнему своему в правильные теги!!!

~~darkenshvein~~ ★★★★★
(17.01.15 19:54:19 MSK)

Ссылка

Ответ на: комментарий от Dudraug 17.01.15 19:39:26 MSK

Ну с адекватностью заказчика и поиском времени для изучения ipsec явно не сюда. Но по хорошему ipsec нужно именно изучить, а не тупо скопировать конфиги из инета.

Насколько я помню openswan, там нужно с обоих сторон прописать leftsubnet (rightsubnet), чтобы в тунель пошёл трафик на ip-адреса, отличные от адреса, с которого устанавливалось соединение. То есть сервер не может навязать клиенту, чтобы тот стал отправлять через него (через тунель) весь свой траффик. Точнее может, если на клиенте прописано что-то типа ″virtual_private=0.0.0.0/0; rightsubnet=vnet:%priv″, но так клиента обычно не настраивают.

mky ★★★★★
(18.01.15 01:22:36 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Записать название коммита в файл этого же коммита

General

Не работает yum

→

Похожие темы