LINUX.ORG.RU

VPN (Схемка прилагается)


0

0

Здравствуйте умные и очень умные люди. :-) Хочу реализовать следующую схемку:

(1)comp1 ---> (2)cisco(NAT)<==>{ inet }<==>(3)adsl(NAT)<---(4)comp2

1) comp1: ddclient,[comp1.dyndns.org], Debian, 192.168.1.5

2) На cisco используется только NAT(причем не статический (PAT))

3) adsl модем(Linksys, с поддержкой VPN(пока не хочу трогать)) также используется dyndns, [comp2.dyndns.org]

4) Debian, 192.168.1.2

Мое представление схемы следующее: comp1(именно одна машина) может заходить на comp2 и наоборот.

Начал читать про VPN, IPSec, скажу откровенно, у меня все перемешалось :-( возможно от избытка документации. Из документации я понял что:

1)существует 2 режима или вида(способа) VPN: транспорт и туннель

транспорт это когда используется VPN между двумя машинами с внешними IP.

туннель это когда на машинах с внешними IP настраивается возможность взамодействия удаленных сетей.

Еще, если машины находятся за NAT, то используется NAT-Traversal, это когда пакеты передаются по UDP протоколу. В таком случае используется только esp.

2)Debian мне показал солидный список, я аж растерялся, и незнаю что выбрать :

carpaltunnel - Configuration helper for OpenVPN

cipe-source - lightweight encrypted IP tunnels over UDP (source)

ike-scan - discover and fingerprint IKE hosts (IPsec VPN Servers)

kvpnc - vpn clients frontend for KDE

openswan - IPSEC utilities for Openswan

openvpn - Virtual Private Network daemon

pkcipe - public key based configuration tool for the CIPE VPN software

pptp-linux - Point-to-Point Tunneling Protocol (PPTP) Client

pptpd - PoPToP Point to Point Tunneling Server

secvpn - Secure Virtual Private Network

shorewall - Shoreline Firewall (Shorewall), a high-level tool for configuring Netfilter

shorewall-lite - Shorewall (lite version), a high-level tool for configuring Netfilter

strongswan - IPSec utilities for strongSwan

tinc - Virtual Private Network daemon

vpnc - Cisco-compatible VPN client

3) Как я предполагаю необходимо сделать comp1(server) а comp2(client)

Вопросы:

1) Возможна ли реализация такой схемы?

2) Какую утилиту все-таки выбрать?

В чем различие openswan,openvpn,secvpn,strongswan?(насколько я понял все они исползьуют IPSec в сочетании с racoon)

Не понял что ты хочешь реализовать... Для объединения сетей советую openvpn, у самого работает уже год для объединения 8-ми сетей и нескольких удаленных клиентов. Нареканий нет.

Morphine
()
Ответ на: комментарий от Morphine

Спасибо за совет. :-)

Хочу реализовать схемку с использованием DynDNS. :-)

vanek82
() автор топика

Схема вполне реализуема, если на (3) есть возможность проброса порта на comp2. OpenVPN проще в настройке, чем IPSec-ковские стеки (*Swan).

anonymous
()

DynDNS здесь, ИМХО, бесполезен, если компьютерам дают "серые" ip-адреса (192.168.x.x), то им бесполезно сообщать об этом в Инет.

Если на (3) сделать проброс порта, то сервером будет comp2, а клиентом (инициализатором тунеля) будет comp1. При этом comp2 должен иметь статический (хоть и "серый") адрес, иначе на ADSL-модеме не настроить проброс порта. И по тунелю необходимо постоянно (примерно раз в 5 минут) отправлять хотя бы один пакет, чтобы (2) не забывал об этом соединении.

Лично мне нравится cipe, он работает по UDP, этот протокол обычно не режут, а GRE (ip протокол #47) и IPSEC (ip протокол #50) бывают перекрыты где то по дороге.

mky ★★★★★
()

Да нормально будет все работать, если оба рутета имеют хоть и динамические, но реальные адреса. Т.е. если домашний (? comp2) рутер не сидит за вторым натом, то все зашибись. ДинДНС нужен то собственно для того, что б было проще найти компутер с динамическим IP.
Соответственно настраиваешь openVPN на обоих компах, оба рутера светишь через динднс. На рутерах пробрасываешь порты на свои компутеры.
опенВПН использует один порт, причем его номер можешь легко менять.
Для IPSec'a требуется пара портов, и одни из них чаще всего провайдер блокирует (500).

anonymous
()
Ответ на: комментарий от anonymous

Вот как раз вопрос о портах, какой ACL на Cisco роутере нужно прописать чтобы эти порты пробросились? Я предпологаю чтото типа такого варианта: для того чтобы работал DynDNS

access-list 120 dynamic VPN permit udp any eq 53 (тут IP внутренний или внешний,ведь используется NAT) 0.0.0.0 eq 53

А для самого VPNа :

access-list 120 dynamic VPN permit udp any eq 1194 (тут IP внутренний или внешний,ведь используется NAT) 0.0.0.0 eq 1194

vanek82
() автор топика
Ответ на: комментарий от vanek82

Хз ... Я в кошках как то не очень :(.
ДинДНС надо привязать к циске и твоему дсл модему (если он работает как рутер).
При настройке опенВПН сам выбираешь порт по которому будешь работать. Поскольку компы сидят за натами, я порекомендовал бы использовать TCP протокол.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.