информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Где водятся OGRыВсе любят медСетевые кракеры и правда о деле Левина
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Tunnel или VPN 08.05.03 12:37  Число просмотров: 1259
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
<"чистая" ссылка>
> А если я поставлю еще один шлюз между моей локалкой и их
> сервером?
> Я не хочу чтоб моя сетка светилась у них:( А интерфейс
> данного шлюза в их сторону имел адрес внешней циски.... И
> сделать так чтобы они обращались как бы напрямую к циске...
> И весь трафик пробрасовался через мою сетку и мой firewall
> прямо на циску. Надеюсь что понятно объяснил:)
схема:

(циска) ===[твоя локалка]===eth0(доп шлюз)eth1--(их сервер)

между циской и шлюзом строится туннель
на циске настраивается маршрутизация их IP адреса в туннель (второй конец которого eth0). На доп шлюзе (который разделяет вашу локалку от их) данные перебрасываются на их сервер.
<sysadmin>
Tunnel или VPN 08.05.03 11:29   [ZloyShaman, Ktirf]
Автор: AlexAdmin Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Привет Alll !!!

Нужно предоставить доступ в инет сторонней организации (со статическим IP) , проблема в том что трафик нужно гнать через локальную сетку моей конторы. Что необходимо:
1) Чтобы клиент не видел моей локальной сети
2) Для него канал до циски должен быть прозрачным
3) У него должен быть статический IP и моей внешней подсетки.

Сделать это с помощью свичей с VLAN сейчас не предоставляется возможным:(
Есть две машинки по две сетевухи в каждой(Linux).
Может кто подскажет, как это проще реализовать. Или может такое уже кто нибудь делал? За ранее благодарен
Заработало :-) 04.07.03 18:03  
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
Отредактировано 04.07.03 18:04  Количество правок: 1
<"чистая" ссылка>
Поднимаю старую тему.
Дело в том что столкнулся с похожей задачей.

Корпус1:
Сетка на свитчах и хабах.
Корпус2:
Сетка на свитчах и хабах.
Между корпусами - оптика.
В обоих корпусах люди арендуют у нас по комнате. В комнатах они используют нашу разводку, один из хабов в каждом корпусе выделен им. У них свои private IP адреса. Понадобилось "прозрачно" соединить эти две сетки на уровне ethernet. При этом не выпуская их в нашу сеть :-)
Варианты с vlan были нежелательны. Во-первых хотелось возможность шифрования траффика, во-вторых неизвестно как наши старые свитчи отреагируют на влановские пакеты в сети.
Решение: Ethernet over IP.
Платформа: OpenBSD (хотел сначала на FreeBSD сделать - не получилось, не смотря на 2 дня танцев с бубнами).
Механизм:

ClientNetwork1 <-> fxp1|Box1|fxp0+gif0 <- - - - MyNetwork - - ->gif0+fxp0|Box2|fxp1 <-> ClientNetwork2

fxp0 на обоих машинах имеют наши IP адреса, fxp1,gif0 IP адресов не имеют а работают в бридже. Все пашет.
Инструкции по настройке:
http://www.csh.rit.edu/~jon/text/papers/tunneling/
Мои добавления:
Не забудьте включить sysctl разрешающий etherip. Точно не помню его фамилии, вобщем `sysctl -a|grep etherip` - он там один такой. По дефолту он нолик, надо единичку.
Вот.
Может кому пригодится.
Простейшее (ИМХО) решение 08.05.03 20:25  
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
<"чистая" ссылка>
Я бы сделал так:
берется машинка с FreeBSD 4.8 и 3-мя сетевухами
fxp0 - смотрит в циску
fxp1 - смотрит в твой шлюз
fxp2 - смотрит к клиентам

включаем в ядре BRIDGE, IPFIREWALL
включаем бриджинг на всех интерфейсах (подробности на сайте www.freebsd.org).
добавляем следующие рулы в ipfw
ipfw add pass ip from any to any in recv fxp2 MAC any $klient_MAC
ipfw add pass ip from any to any out xmit fxp2 MAC $klient_MAC any
ipfw add pass ip from any to any in recv fxp1 MAC any $my-gw_MAC
ipfw add pass ip from any to any out xmit fxp1 MAC $my-gw_MAC any
ipfw add pass ip from any to any in recv fxp0 MAC any $cisco_MAC
ipfw add pass ip from any to any out xmit fxp0 MAC $cisco_MAC any
ipfw add drop all from any to any

Таким образом фрюха ведет себя как умный свитч, раскидывающий траффик по интерфейсам в соответствии с мак адресами. По моему опыту 133-й пенек вполне справляется с бриджингом 100-мегабитной сетки.
Tunnel или VPN 08.05.03 11:58  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
<"чистая" ссылка>
как они подключены к вам?
нужен ли реальный ИП адрес той организации?

> Нужно предоставить доступ в инет сторонней организации (со
> статическим IP) , проблема в том что трафик нужно гнать
> через локальную сетку моей конторы. Что необходимо:
> 1) Чтобы клиент не видел моей локальной сети
> 2) Для него канал до циски должен быть прозрачным
> 3) У него должен быть статический IP и моей внешней
> подсетки.
Tunnel или VPN 08.05.03 12:06  
Автор: AlexAdmin Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> как они подключены к вам?
Они находятся в другом здании куда у нас проложена наша локальная сетка.

> нужен ли реальный ИП адрес той организации?
Да нужен

>
> > Нужно предоставить доступ в инет сторонней организации
> (со
> > статическим IP) , проблема в том что трафик нужно
> гнать
> > через локальную сетку моей конторы. Что необходимо:
> > 1) Чтобы клиент не видел моей локальной сети
> > 2) Для него канал до циски должен быть прозрачным
> > 3) У него должен быть статический IP и моей внешней
> > подсетки.
Tunnel или VPN 08.05.03 12:16  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
<"чистая" ссылка>
> > как они подключены к вам?
> Они находятся в другом здании куда у нас проложена наша
> локальная сетка.
другим словами они подключены к вам по локалке

> > нужен ли реальный ИП адрес той организации?
> Да нужен
ну тогда между твоим сервером (выполняющим роль шлюза в инет) и их сервером (надесь он у них есть) нужно построить туннель IP-IP (IP over IP tunnel)
затем на твоем серваке нужно будет добавить маршрут к их ИП адресу - завернуть его в созданный туннель.
Tunnel или VPN 08.05.03 12:23  
Автор: AlexAdmin Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> > > как они подключены к вам?
> > Они находятся в другом здании куда у нас проложена
> наша
> > локальная сетка.
> другим словами они подключены к вам по локалке
Ну да
>
> > > нужен ли реальный ИП адрес той организации?
> > Да нужен
> ну тогда между твоим сервером (выполняющим роль шлюза в
> инет) и их сервером (надесь он у них есть) нужно построить
> туннель IP-IP (IP over IP tunnel)

А если я поставлю еще один шлюз между моей локалкой и их сервером?
Я не хочу чтоб моя сетка светилась у них:( А интерфейс данного шлюза в их сторону имел адрес внешней циски.... И сделать так чтобы они обращались как бы напрямую к циске... И весь трафик пробрасовался через мою сетку и мой firewall прямо на циску. Надеюсь что понятно объяснил:)

> затем на твоем серваке нужно будет добавить маршрут к их ИП
> адресу - завернуть его в созданный туннель.
Tunnel или VPN 08.05.03 12:37  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
<"чистая" ссылка>
> А если я поставлю еще один шлюз между моей локалкой и их
> сервером?
> Я не хочу чтоб моя сетка светилась у них:( А интерфейс
> данного шлюза в их сторону имел адрес внешней циски.... И
> сделать так чтобы они обращались как бы напрямую к циске...
> И весь трафик пробрасовался через мою сетку и мой firewall
> прямо на циску. Надеюсь что понятно объяснил:)
схема:

(циска) ===[твоя локалка]===eth0(доп шлюз)eth1--(их сервер)

между циской и шлюзом строится туннель
на циске настраивается маршрутизация их IP адреса в туннель (второй конец которого eth0). На доп шлюзе (который разделяет вашу локалку от их) данные перебрасываются на их сервер.
Tunnel или VPN 08.05.03 15:20  
Автор: AlexAdmin Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> > А если я поставлю еще один шлюз между моей локалкой и
> их
> > сервером?
> > Я не хочу чтоб моя сетка светилась у них:( А интерфейс
> > данного шлюза в их сторону имел адрес внешней
> циски.... И
> > сделать так чтобы они обращались как бы напрямую к
> циске...
> > И весь трафик пробрасовался через мою сетку и мой
> firewall
> > прямо на циску. Надеюсь что понятно объяснил:)
> схема:
>
> (циска) ===[твоя локалка]===eth0(доп шлюз)eth1--(их сервер)
>
> между циской и шлюзом строится туннель
> на циске настраивается маршрутизация их IP адреса в туннель
> (второй конец которого eth0). На доп шлюзе (который
> разделяет вашу локалку от их) данные перебрасываются на их
> сервер.
Все правильно.... Вот именно так я и хочу сделать.. ТОлько вот как и какими средствами это сделать? iptables здесь не подойдёт?... Или я ошибаюсь? Если просто прописать в таблицу маршрутизации... То по трейсу будут видны шлюзы.
Tunnel или VPN 08.05.03 15:47  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
<"чистая" ссылка>
> Все правильно.... Вот именно так я и хочу сделать.. ТОлько
> вот как и какими средствами это сделать? iptables здесь не
> подойдёт?... Или я ошибаюсь?
с помощью iptables ты будешь фильтровать на доп шлюзе нужный/ненужный траффик из их локалки

> Если просто прописать в
> таблицу маршрутизации... То по трейсу будут видны шлюзы.
без создания туннеля между циской и доп шлюзом не получится

(циска) ===[твоя локалка]===eth0(доп шлюз)eth1--ipr,ipl(их сервер)
имеем
ipcl - cisco ethernet local IP
eth0,eth1 - локальные адреса доп шлюза
ipr,ipl - реальный,локальный адреса их сервера

к сожалению КАК создать nos туннели на линуксе я не знаю (у меня он построен на фрюхе) - при желании найдешь
рассказываю как сделать
_на циске_ (кусок конфига)

interface Tunnel666
description mytunnel
ip address 192.168.0.2 255.255.255.252
no ip directed-broadcast
tunnel source <ipcl>
tunnel destination <eth0>
tunnel mode nos
....
ip route <ipr> 255.255.255.255 Tunnel666

_на доп шлюзе_ нужно создать туннель nos и присвоить ему адрес 192.160.0.1/30 (это обратный конец туннеля начало которого на циске)
default route должен смотреть в этот туннель
route add -host <ipr> netmask 255.255.255.255 gw <ipl>

_на их сервере_
default route смотрит на eth1

вроде все... уфф... кажется ничего не напутал :-))
Tunnel или VPN 08.05.03 16:12  
Автор: AlexAdmin Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> _на доп шлюзе_ нужно создать туннель nos и присвоить ему
> адрес 192.160.0.1/30 (это обратный конец туннеля начало
> которого на циске)
> default route должен смотреть в этот туннель
> route add -host <ipr> netmask 255.255.255.255 gw
> <ipl>
>
> _на их сервере_
> default route смотрит на eth1
>
> вроде все... уфф... кажется ничего не напутал :-))
спасибо, классное решение:-)))
Но я все таки наверно не того хочу
Структура моей сетки
[инет]<==>[cisco]<====>[шлюз]<==>[локалка]<==>[клиент к-му нужен инет]
|
|
==>[клиенты которым предоставляется инет]
Просто нового клиента никак иначе не подключить, кроме как через мою локальную сетку. Я могу поставить два шлюза, можно даже на фрюхе... только чтобы предоставить им внешний статический адрес(это их условие подключения к инету:(( )
Tunnel или VPN 08.05.03 16:21  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
<"чистая" ссылка>
> Я могу поставить два шлюза,
> можно даже на фрюхе... только чтобы предоставить им внешний
> статический адрес(это их условие подключения к инету:(( )
дык так ведь и получиться - т.е. будет у них свой реальный IP адрес
хотя тебе правильно советуют что проще кинуть длинный кабель от своего основного шлюза прямо к их серверу (это дейстивительно проще - не нужен доп сервер и не нужно будет конфигурить саму циску)
Tunnel или VPN 08.05.03 16:39  
Автор: AlexAdmin Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> > Я могу поставить два шлюза,
> > можно даже на фрюхе... только чтобы предоставить им
> внешний
> > статический адрес(это их условие подключения к
> инету:(( )
> дык так ведь и получиться - т.е. будет у них свой реальный
> IP адрес
> хотя тебе правильно советуют что проще кинуть длинный
> кабель от своего основного шлюза прямо к их серверу (это
> дейстивительно проще - не нужен доп сервер и не нужно будет
> конфигурить саму циску)
Класть вторую оптику накладно:((
Tunnel или VPN 08.05.03 16:49  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
Отредактировано 08.05.03 17:59  Количество правок: 1
<"чистая" ссылка>
> Класть вторую оптику накладно:((
понятно
если хочеь чтобы они выбрасывалить после твоего шлюза прямо в цику смотри выше мои мессаги. Если устраивает выход их не прмо в циску, а через два шлюза без туннелей - делай как предложил Urix
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach