GRE+IPSEC+OSPF между двумя pfsense
-
3. Добавляем в интерфейсы gre0, разрешаем анонсировать локальные подсети в OpenOSPFd. Маршруты появляются, всё пингуется.
Может использовать OpenVPN вместо GRE и IPSEC ?
-
А как с шифрацией обстоят дела у OpenVPN?
Я вычитал, что IPSEC не поддерживает OSPF.
Поэтому пришёл к другой идее:
1. Поднимаем IPSec в transport mode попарно. С eth1 на eth1 и с eth2 на eth2
2. Поверх IPSec поднимаем GRE тунели с адресацией 10.0.1.8/30 и 10.0.1.12/30
3. В OSPF разрешаем через gre0 и gre1 соответственно анонс маршрутов 10.1.9.0/24 и 10.1.8.0/24Всё поднялось, пинги ходят. НО! Кроме пингов больше ничего не идёт (Ни по фтп немогу подключиться, ни к удалённому рабочему столу) Может ещё где какие маршруты прописать надо?
-
А как с шифрацией обстоят дела у OpenVPN?
Ну приехали :o Такую суръезную тему намутили с туннелем-в-туннеле, с OSPF даже знакомы, а про OpenVPN - ни сном ни духом.
Уж кто-кто , а ОпенВПН так зашифрует, что сам Путин не расшифрует (если не применит метод терморектального криптоанализа, конечно). Там еще и ключи-сертификаты используются. И уж точно не имея их, никакого man-in-the-middlle не выйдет между вашими конечными точками. Так что смело используйте сей чудесный способ объединения сетей!P.s. Да, и чем не устраивает поднятие только GRE-туннеля между офисами? Там вроде 128-битное шифрование идет. Мало что ли?
-
что сам Путин не расшифрует
а с каких пор царь у нас ходит в гениях дешифровки? :D
-
что сам Путин не расшифрует
а с каких пор царь у нас ходит в гениях дешифровки? :D
Царь-то врядли, а вот опричник с паяльником - это уже не весело :-\ Притчу про админа Юкоса не забыли еще ?
-
GRE тунель вроде ваще без шифрования идёт.
Про OpenVPN слышал и юзал, но не в таких целях)
Получается такая схема:
В головном офисе поднимаем 2 сервера OpenVPN на разных интерфейсах, с удалённых офисов просто делаем подключения на соответствующий интерфейс с одного и со второго. Получаем 2 OpenVPN соединения eth1-eth1 и eth2-eth2. Получится ли ещё поднять eth1-eth2 и eth2-eth1. Завтра проверять будем)А какая пропускная способность в таком случае будет? С IPSec выше 10 мегабит прыгнуть не получилось :(
-
GRE тунель вроде ваще без шифрования идёт.
Хмм.. (смотрим картинку).
Вот что-то похожее на вашу ситуацию - http://forum.pfsense.org/index.php?topic=36021.0
Человек сперва IPSEC поднимает, а поверх уже GRE (GRE over IPSEC)
 -
Немного не моя картинка. Там 1 аплинк. В этом случае это легко делается.
С каждого сервака поднимаем на каждый IpSec, поверх GRE для того, чтобы OSPF работало и всё в шоколаде.У меня загвоздка именно в установке с одного сервака через разные интерфейсы на второй сервак на один IP IPSecа..
-
Решил проблему, правда не так как хотел)
Что в итоге получилось:
openvpn подключения между двумя маршрутизаторами с двумя "интернетами" каждый с каждым.
И поверх BGP маршрутизация. OSPF почему-то не заработала - не меняла маршрутизацию.
BGP всё держит номрально. Осталось уменьшить время перестройки маршрутов и раскидать метрику) -
Решил проблему, правда не так как хотел)
Что в итоге получилось:
openvpn подключения между двумя маршрутизаторами с двумя "интернетами" каждый с каждым.
И поверх BGP маршрутизация. OSPF почему-то не заработала - не меняла маршрутизацию.
BGP всё держит номрально. Осталось уменьшить время перестройки маршрутов и раскидать метрику)Если не затруднит, напишите по окончании работ мануал со скринами. Думаю , может пригодится (особенно часть с настройкой BGP ). Спасибо :)
-
Напишу но чуть позже. Стенд разобрал временно сейчас. Появились другие дела. Как буду вводить в действие - буду скринить
