Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Tunnel или VPN 08.05.03 11:29 [ZloyShaman, Ktirf]
Автор: AlexAdmin Статус: Незарегистрированный пользователь
|
Привет Alll !!!
Нужно предоставить доступ в инет сторонней организации (со статическим IP) , проблема в том что трафик нужно гнать через локальную сетку моей конторы. Что необходимо:
1) Чтобы клиент не видел моей локальной сети
2) Для него канал до циски должен быть прозрачным
3) У него должен быть статический IP и моей внешней подсетки.
Сделать это с помощью свичей с VLAN сейчас не предоставляется возможным:(
Есть две машинки по две сетевухи в каждой(Linux).
Может кто подскажет, как это проще реализовать. Или может такое уже кто нибудь делал? За ранее благодарен
|
|
Заработало :-) 04.07.03 18:03
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
Отредактировано 04.07.03 18:04 Количество правок: 1
|
Поднимаю старую тему.
Дело в том что столкнулся с похожей задачей.
Корпус1:
Сетка на свитчах и хабах.
Корпус2:
Сетка на свитчах и хабах.
Между корпусами - оптика.
В обоих корпусах люди арендуют у нас по комнате. В комнатах они используют нашу разводку, один из хабов в каждом корпусе выделен им. У них свои private IP адреса. Понадобилось "прозрачно" соединить эти две сетки на уровне ethernet. При этом не выпуская их в нашу сеть :-)
Варианты с vlan были нежелательны. Во-первых хотелось возможность шифрования траффика, во-вторых неизвестно как наши старые свитчи отреагируют на влановские пакеты в сети.
Решение: Ethernet over IP.
Платформа: OpenBSD (хотел сначала на FreeBSD сделать - не получилось, не смотря на 2 дня танцев с бубнами).
Механизм:
ClientNetwork1 <-> fxp1|Box1|fxp0+gif0 <- - - - MyNetwork - - ->gif0+fxp0|Box2|fxp1 <-> ClientNetwork2
fxp0 на обоих машинах имеют наши IP адреса, fxp1,gif0 IP адресов не имеют а работают в бридже. Все пашет.
Инструкции по настройке:
http://www.csh.rit.edu/~jon/text/papers/tunneling/
Мои добавления:
Не забудьте включить sysctl разрешающий etherip. Точно не помню его фамилии, вобщем `sysctl -a|grep etherip` - он там один такой. По дефолту он нолик, надо единичку.
Вот.
Может кому пригодится.
|
|
Простейшее (ИМХО) решение 08.05.03 20:25
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
Я бы сделал так:
берется машинка с FreeBSD 4.8 и 3-мя сетевухами
fxp0 - смотрит в циску
fxp1 - смотрит в твой шлюз
fxp2 - смотрит к клиентам
включаем в ядре BRIDGE, IPFIREWALL
включаем бриджинг на всех интерфейсах (подробности на сайте www.freebsd.org).
добавляем следующие рулы в ipfw
ipfw add pass ip from any to any in recv fxp2 MAC any $klient_MAC
ipfw add pass ip from any to any out xmit fxp2 MAC $klient_MAC any
ipfw add pass ip from any to any in recv fxp1 MAC any $my-gw_MAC
ipfw add pass ip from any to any out xmit fxp1 MAC $my-gw_MAC any
ipfw add pass ip from any to any in recv fxp0 MAC any $cisco_MAC
ipfw add pass ip from any to any out xmit fxp0 MAC $cisco_MAC any
ipfw add drop all from any to any
Таким образом фрюха ведет себя как умный свитч, раскидывающий траффик по интерфейсам в соответствии с мак адресами. По моему опыту 133-й пенек вполне справляется с бриджингом 100-мегабитной сетки.
|
|
Tunnel или VPN 08.05.03 11:58
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
|
как они подключены к вам?
нужен ли реальный ИП адрес той организации?
> Нужно предоставить доступ в инет сторонней организации (со
> статическим IP) , проблема в том что трафик нужно гнать
> через локальную сетку моей конторы. Что необходимо:
> 1) Чтобы клиент не видел моей локальной сети
> 2) Для него канал до циски должен быть прозрачным
> 3) У него должен быть статический IP и моей внешней
> подсетки.
|
| |
Tunnel или VPN 08.05.03 12:06
Автор: AlexAdmin Статус: Незарегистрированный пользователь
|
> как они подключены к вам?
Они находятся в другом здании куда у нас проложена наша локальная сетка.
> нужен ли реальный ИП адрес той организации?
Да нужен
>
> > Нужно предоставить доступ в инет сторонней организации
> (со
> > статическим IP) , проблема в том что трафик нужно
> гнать
> > через локальную сетку моей конторы. Что необходимо:
> > 1) Чтобы клиент не видел моей локальной сети
> > 2) Для него канал до циски должен быть прозрачным
> > 3) У него должен быть статический IP и моей внешней
> > подсетки.
|
| | |
Tunnel или VPN 08.05.03 12:16
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
|
> > как они подключены к вам?
> Они находятся в другом здании куда у нас проложена наша
> локальная сетка.
другим словами они подключены к вам по локалке
> > нужен ли реальный ИП адрес той организации?
> Да нужен
ну тогда между твоим сервером (выполняющим роль шлюза в инет) и их сервером (надесь он у них есть) нужно построить туннель IP-IP (IP over IP tunnel)
затем на твоем серваке нужно будет добавить маршрут к их ИП адресу - завернуть его в созданный туннель.
|
| | | |
Tunnel или VPN 08.05.03 12:23
Автор: AlexAdmin Статус: Незарегистрированный пользователь
|
> > > как они подключены к вам?
> > Они находятся в другом здании куда у нас проложена
> наша
> > локальная сетка.
> другим словами они подключены к вам по локалке
Ну да
>
> > > нужен ли реальный ИП адрес той организации?
> > Да нужен
> ну тогда между твоим сервером (выполняющим роль шлюза в
> инет) и их сервером (надесь он у них есть) нужно построить
> туннель IP-IP (IP over IP tunnel)
А если я поставлю еще один шлюз между моей локалкой и их сервером?
Я не хочу чтоб моя сетка светилась у них:( А интерфейс данного шлюза в их сторону имел адрес внешней циски.... И сделать так чтобы они обращались как бы напрямую к циске... И весь трафик пробрасовался через мою сетку и мой firewall прямо на циску. Надеюсь что понятно объяснил:)
> затем на твоем серваке нужно будет добавить маршрут к их ИП
> адресу - завернуть его в созданный туннель.
|
| | | | |
Tunnel или VPN 08.05.03 12:37
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
|
> А если я поставлю еще один шлюз между моей локалкой и их
> сервером?
> Я не хочу чтоб моя сетка светилась у них:( А интерфейс
> данного шлюза в их сторону имел адрес внешней циски.... И
> сделать так чтобы они обращались как бы напрямую к циске...
> И весь трафик пробрасовался через мою сетку и мой firewall
> прямо на циску. Надеюсь что понятно объяснил:)
схема:
(циска) ===[твоя локалка]===eth0(доп шлюз)eth1--(их сервер)
между циской и шлюзом строится туннель
на циске настраивается маршрутизация их IP адреса в туннель (второй конец которого eth0). На доп шлюзе (который разделяет вашу локалку от их) данные перебрасываются на их сервер.
|
| | | | | |
Tunnel или VPN 08.05.03 15:20
Автор: AlexAdmin Статус: Незарегистрированный пользователь
|
> > А если я поставлю еще один шлюз между моей локалкой и
> их
> > сервером?
> > Я не хочу чтоб моя сетка светилась у них:( А интерфейс
> > данного шлюза в их сторону имел адрес внешней
> циски.... И
> > сделать так чтобы они обращались как бы напрямую к
> циске...
> > И весь трафик пробрасовался через мою сетку и мой
> firewall
> > прямо на циску. Надеюсь что понятно объяснил:)
> схема:
>
> (циска) ===[твоя локалка]===eth0(доп шлюз)eth1--(их сервер)
>
> между циской и шлюзом строится туннель
> на циске настраивается маршрутизация их IP адреса в туннель
> (второй конец которого eth0). На доп шлюзе (который
> разделяет вашу локалку от их) данные перебрасываются на их
> сервер.
Все правильно.... Вот именно так я и хочу сделать.. ТОлько вот как и какими средствами это сделать? iptables здесь не подойдёт?... Или я ошибаюсь? Если просто прописать в таблицу маршрутизации... То по трейсу будут видны шлюзы.
|
| | | | | | |
Tunnel или VPN 08.05.03 15:47
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
|
> Все правильно.... Вот именно так я и хочу сделать.. ТОлько
> вот как и какими средствами это сделать? iptables здесь не
> подойдёт?... Или я ошибаюсь?
с помощью iptables ты будешь фильтровать на доп шлюзе нужный/ненужный траффик из их локалки
> Если просто прописать в
> таблицу маршрутизации... То по трейсу будут видны шлюзы.
без создания туннеля между циской и доп шлюзом не получится
(циска) ===[твоя локалка]===eth0(доп шлюз)eth1--ipr,ipl(их сервер)
имеем
ipcl - cisco ethernet local IP
eth0,eth1 - локальные адреса доп шлюза
ipr,ipl - реальный,локальный адреса их сервера
к сожалению КАК создать nos туннели на линуксе я не знаю (у меня он построен на фрюхе) - при желании найдешь
рассказываю как сделать
_на циске_ (кусок конфига)
interface Tunnel666
description mytunnel
ip address 192.168.0.2 255.255.255.252
no ip directed-broadcast
tunnel source <ipcl>
tunnel destination <eth0>
tunnel mode nos
....
ip route <ipr> 255.255.255.255 Tunnel666
_на доп шлюзе_ нужно создать туннель nos и присвоить ему адрес 192.160.0.1/30 (это обратный конец туннеля начало которого на циске)
default route должен смотреть в этот туннель
route add -host <ipr> netmask 255.255.255.255 gw <ipl>
_на их сервере_
default route смотрит на eth1
вроде все... уфф... кажется ничего не напутал :-))
|
| | | | | | | |
Tunnel или VPN 08.05.03 16:12
Автор: AlexAdmin Статус: Незарегистрированный пользователь
|
> _на доп шлюзе_ нужно создать туннель nos и присвоить ему
> адрес 192.160.0.1/30 (это обратный конец туннеля начало
> которого на циске)
> default route должен смотреть в этот туннель
> route add -host <ipr> netmask 255.255.255.255 gw
> <ipl>
>
> _на их сервере_
> default route смотрит на eth1
>
> вроде все... уфф... кажется ничего не напутал :-))
спасибо, классное решение:-)))
Но я все таки наверно не того хочу
Структура моей сетки
[инет]<==>[cisco]<====>[шлюз]<==>[локалка]<==>[клиент к-му нужен инет]
|
|
==>[клиенты которым предоставляется инет]
Просто нового клиента никак иначе не подключить, кроме как через мою локальную сетку. Я могу поставить два шлюза, можно даже на фрюхе... только чтобы предоставить им внешний статический адрес(это их условие подключения к инету:(( )
|
| | | | | | | | |
Tunnel или VPN 08.05.03 16:21
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
|
> Я могу поставить два шлюза,
> можно даже на фрюхе... только чтобы предоставить им внешний
> статический адрес(это их условие подключения к инету:(( )
дык так ведь и получиться - т.е. будет у них свой реальный IP адрес
хотя тебе правильно советуют что проще кинуть длинный кабель от своего основного шлюза прямо к их серверу (это дейстивительно проще - не нужен доп сервер и не нужно будет конфигурить саму циску)
|
| | | | | | | | | |
Tunnel или VPN 08.05.03 16:39
Автор: AlexAdmin Статус: Незарегистрированный пользователь
|
> > Я могу поставить два шлюза,
> > можно даже на фрюхе... только чтобы предоставить им
> внешний
> > статический адрес(это их условие подключения к
> инету:(( )
> дык так ведь и получиться - т.е. будет у них свой реальный
> IP адрес
> хотя тебе правильно советуют что проще кинуть длинный
> кабель от своего основного шлюза прямо к их серверу (это
> дейстивительно проще - не нужен доп сервер и не нужно будет
> конфигурить саму циску)
Класть вторую оптику накладно:((
|
| | | | | | | | | | |
Tunnel или VPN 08.05.03 16:49
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
Отредактировано 08.05.03 17:59 Количество правок: 1
|
> Класть вторую оптику накладно:((
понятно
если хочеь чтобы они выбрасывалить после твоего шлюза прямо в цику смотри выше мои мессаги. Если устраивает выход их не прмо в циску, а через два шлюза без туннелей - делай как предложил Urix
|
|
|
подробно о проекте
Анализ криптографических сетевых...
