Нужен совет



  • Есть такая топология сети (все "точки" ходят в интренет  а что то ходит по VPN (сервер терминалов, программа по бухгалтерии и прочие))
    Нужно объединить этим все точки по ВПН (для пары программа для бухучёта) , но чтоб в интернет они ходили не по ВПН
    (Щас вся это сеть работает на kerio  , керио мне оч не нравится по разным причинам)
    спс



  • Я правильно понял?

    Есть 4 территориально разделенных сети (192.168.[2..5].0/24).

    Задача:
     Объеденить их все через VPN. Сети должны видеть друг друга.
    Решение:
     Выделяем сеть где будет находится основной сервер OpenVPN, настраиваем его.
     Остальные сети настраиваем как клиентов.

    То что работает во внутренней сети будет работать по OpenVPN остальное согласно правилам на своем шлюзе.



  • спасибо ! осталось только найти как настраивать ! :)



  • если можно подросьте мне ссылки :) буду презнателен.





  • Полусилось настроить  как написано здесь http://forum.pfsense.org/index.php/topic,32662.msg168997.html#msg168997

    и p2p shared key

    подскажите какой тип(server mode:  remote access  или p2p) сервера openvpn мне использовать для соединения офисов ?

    Скажем с помощью  p2p mode я смогу с каждого офиса попасть в любой из них и как примерно должен выглядеть конфиг.

    И есть ли документация про то как правльно настраивать клиента на  pfsense. (openvpn  клиент я настроил быстро через  export )

    Спасибо.



  • В openVPN есть сервер к которому клиенты инициализируют туннель, т.е. центральный офис это server node
    Филиал remote access, топология звезда (туннели поднимаются в одностороннем порядке от филиала)
    Для того чтобы компы в сетевом окружении все друг друга видели нужен WINS сервер (самый оптимальный вариант, чтобы броадкастов было минимум) к которому клиенты будут обращаться для разрешения имен. Тип ноды: h-node, галка Enable NetBIOS over TCP/IP установлена.
    Маршруты передаешь с сервера иначе весь трафик пойдет либо в ВПН либо мимо:
    На сервере Advanced: route 2.2.2.2 255.255.255.0 22.22.22.22
    Где 2.2.2.2 255.255.255.0 подсеть филиала, 22.22.22.22 ИП серевера филиала в ВПН

    Когда создавались сертификаты филиалов должно быть указано правильное FQDN имя сервера (например filial.domain.com). По этому имени можно задать Client Specific Override, создаем filial.domain.com в секции Advanced: указываем ifconfig-push 22.22.22.22 255.255.255.0 так мы зафиксируем ИР сервера филиала чтобы маршруты были правильными. Ну и ессно подсети ЦО и филиалов должны быть разными.

    З.Ы. Некоторое время назад я отказался от OpenVPN и перевел все на IPSEC, так как он лишен недостатка односторонней инициализации и маршруты там поднимаются при поднятии туннеля любой стороной.



  • А я отказываюсь от IPSEC по причине того, что как-то хреново оно работает. Сессия постоянно виснит - показывает что активна, а трафик не ходит. У одной стороны ADSL. ДА и поднимается/разрывается он долговато уж. С OpenVPN пока на тестах перестройка маршрутов занимает секунд 30 (и то упирается в таймаут ECHO запроса BGP)


Log in to reply