tunneling vagy vlan vagy vpn, kerlek segitsetek

Hálózati eszközök

Munkahelyemen van egy feladat, amit meg kell oldani, es en tunok a legkompetensebnek a dolgokban a kollegak kozul, de ez nem azt jelenti, hogy ertem mit csinalok:) Ezert szeretnem a segitsegeteket kerni:

* Van ket telephelyunk, mindket helyen publikus ip van.
* Mindketton kene ugyanazt a belso halot elerni.
* Mivel egy egyetem vagyunk, a ket nyilvanos ip egy halozati szegmensen van, fizikailag nem messze egymastol, routerek es vlanok segitsegevel osszekapcsolva, melyekhez nem tudok hozzanyulni, keresemre se nagyon inteznek el semmit.
* az egyik telephelyen van egy szerver (sajat adminisztracioban), ami egyben az atjaro is az ott levo belso halozat szamara a kulvilag fele. Ezen a telephelyen sajat fenhatosag alatt egy nem managelheto switch van.
* a masik telephelyre elvileg hamarosan egy ilyen switch erkezik: DLINK DGS-1100 16 port, ez leiras szerint tud vlan-t, tunneling kulon nem szerepel a leirasban
* vpn agyuval verebre esete lenne velemenyem szerint, raadasul nem akarok plusz szolgaltatast uzemeltetni a sajat szerveren, meg a titkositas is felesleges lassito korulmenynek tunik, de vegso megoldasnak persze jo (sose csinaltam meg vpn-t.)
* olvastam tunnelingrol, amivel elvileg egyszeruen megoldhato lenne a dolog, en ezt szeretnem, de ismeretem nulla
* olvastam vlan-rol, nem tudom, h ez mennyire azonos a vlan-nal, megoldast jelent-e szamunkra.

Kerlek titeket, segitsetek hogy adott halozati topologia mellett, mi az ami a legjobb valasztas lenne. Beruhazni a kozbeszerzesi stop miatt sajnos nem tudunk (a dlink switch helyett meg par oraig kerhetek mast, ami elerheto es hasonlo aron van).
Ha mar kapok egy tippet, hogy tunel/vlan/vpn szinten (esetleg mas) gondolkodjak, az is nagy idonyereseg szamomra, es nagy koszonettel veszem.

Talan igy kicsit szemleletesebb a halozat:

|belso halo|---|sajat buta switch|---|sajat szerver|---|sajat buta switch|---|egyetemi router|---|sajat dlink switch|---|belso halo|

  • 7125 megtekintés

( halacs v | 2013. 01. 24., cs – 13:48 )

Szerintem a vpn pont jó lehet. Az ugyanis pont arra való, hogy két privát hálózatot egy publikuson keresztül összekössön.

( athila v | 2013. 01. 24., cs – 14:59 )

A topológia alapján csak egy lehetőséged van: VPN.
A |sajat szerver|---|egyetemi router| IP címei közé.
A két belső hálózat nyilvánvalóan külön IP subnetben van, ez is feltétel, ugye.

( rts | 2013. 01. 24., cs – 15:36 )

A vlan már csak azért is felejtős, mert van ott valami hálózati eszköz kettőtök között, amin a vlan tagek vélhetőleg nem fognak átmenni. Titkosítani illene, hiszen publikus hálózaton át megy az adat. Tunnellel nyűgös lenne az extra routolgatás miatt. Szóval VPN.
\o\ |o| /o/

( etele | 2013. 01. 24., cs – 17:04 )

Ne is gondolkodj, VPN. Azt, hogy hogy oldod meg ízlés kérdése: OpenVPN, FreeSwan stb stb stb.

( hackac | 2013. 01. 24., cs – 17:44 )

Ha egyetem vagytok, akkor jó eséllyel az NIIF szolgáltat nektek. Van mind a 2 telephelyen akkor routere. Felhívod őket, és összerántják egy VLANon, L2-n a 2 telephelyed. Ha meg több VLANt használtok egy telephelyen, akkor kérsz QinQ-t is :)

( benyovszky v | 2013. 01. 24., cs – 18:36 )

Koszonom a sok-sok valaszt, eleg elsopro, es meggyozo, elfogadom, annka ellenere, h par apro reszlet ezek szerint fontos, amit nm fejtettem ki.

* az abran levo egyetemi routerhez nincs hozzaferesem, ha megkerem az egyetemi adminisztraciot, akkor talan csinalnak valmait, valamikor, valmennyiert. VPN-t biztos nem csinalnak ra nekem, ezert athila valtozata csak ugy mukdik, h a szerver es a masik telephelyen levo gepek egyesevel nyitnak vpn kapcsolatot. Ekkor valahogy meg kene oldanom, h a gepek a vilagra ne tudjanak kimenni, legalabb a standard portok tiltasaval.
* a telephelyek igazabol egy epuleten belul vannak, az adatokhoz a vilaggal csak az egyetemi routeren (ismereteim szerint ez fizikailag tenyleg ugyanaz a ketyere mindket hely eseteben) talalkoznak, ezert nem tartottam lenyegesnek a titkositast, de az erveket elfogadom
* a nem szerveres telephely az uj lesz, en alakitom ki (jobb hijan), h milyen ip cimek leszenk, egyaltalan statikus, v dhcp, barmi lehet. publikus ip is jut mindegyiknek.
* a mar meglevo halozat is igazabol 2 telephelybol all (ezek is ugyanabban az epuletben, ugyanazon a router), vlan segitsegevel vannak osszekotve

Hackac-nak kulon valaszolva, mert o adott kis remenyt:
* igen, niif vagyunk, de azon belul azt hiszem sajat halozati csoporttal, de az biztos, h vlan-ok alkotjak a halozatot
* egy nagyon buta kerdesem volna: a szerveres telephelyre csak egy fizikai kabel megy az egyetemi router es a telephelyunk kozott, ennek bovitese nem valoszinu forgatokonyv. A szerveres telephelyen kell kulso halozat is. Megoldhato-e ket vlan atkergetese egy fizikai halozaton? Ha igan, milyen eszkoz/program kell a vlanok szetvalogatasara? (igy leirva egyre bizonytalanabnak erzem,h ez lehetseges lenne, cska otletelek)
* QinQ-nak utananezek, h micsoda, mert ez igy nem jarja, h hulye kerdeseket teszek fel :)

A QinQ-hoz is olyan switchek kellenének _végig_ az átviteli úton, amik tudnak dot1q-t.
Nem beszélve az MTU-ról, l2protocol tunnelingről és egyéb nyalánkságokról - soho switchekkel ilyet a büdös életben nem lehet megcsinálni.
Szóval nagyon ne ásd bele magad, felesleges :)

igen, ide jutottam en is, pedig igeretesnek tunt nagyon.

Egyre jobban belenyugszom a vpn-be, de nem is baj.

Neztem melyik vpn-ek vannak debianba, van egy nagy kalap, tudtok nekem egyet ajanlani (egyikkel sincs tapasztalatom, se a kornyezetemben)?
Peremfeltételek:
* több win gep tudjon egyszerre csatlakozni, automatikusan
* milyen authentikalast tudnak ezek
* mivel hallgatok fogjak hasznalni, konnyen lehet, h tanari utasitasra egyszerre fogjak 15-en lekerni ugyanazt a nagy fajlt, ezert a sebesseg, latency fontos lenne
* mire erdemes figyelni, h ne csak az legyen, h ne de jo mukodik, de attol meg valami oltari hulyeseg, biztonsagi res van a rendszerben?

Kosz!

( szollosiimre | 2013. 01. 25., p – 08:45 )

Kis költségvetésű projekt sok kicsi olcsó megoldás.

full adminolt helyen legyen a vpn szerver ( jelen esetben ha jól sejtem csak openvpn-ről lehet szó ) a nem adminolható helyen legyen a kliens, ami majd ezt megszólítja. Ha forgalmat szűrtök, akkor legyen a port TCP 443. A kliens gépen az innen jövő forgalmat megnatolod és már senki észre sem veszi hogy a hálózatban vagy.

Ha jól látom, részedről a router egy szervergép, valamint a másik intézmény is rendelkezik egy routerrel. A két belső hálózat címtartománya?

OneMoreThing
Az ilyen megvalósítás _NAGYON_ nem etikus. Igen is, ha össze kell állni a két intézménynek ( intézményi résznek ) akkor a két admin tudjon róla és eszerint lőjék össze rendesen a tűzfalon keresztül, ahogy az illik.

Más : Ha jól látom térinformatikus vagy igazából, továbbá programozó. Mikor tanulja meg már ez a szakma, hogy a géplakatos nem ért a szabásvarráshoz? Ezzel nem téged szeretnélek degradálni, hanem aki a projekt assign-ot végezte.

Koszi a segitseget!
Miert csak az openvpn johet szoba?

A szerveren elvileg nincs keresztbe forgalom a kulso es belso halorol egyik iranyba se. A korabbi labor cimtartomanya: 192.168.0.0/24, es lesz az uj telephely, ahol az lesz, ami a leg esszerubb.

A hozzaszolasod masodik felere a valaszaim:
mivel egy tanszeknek van az epulet 2 pontjan 2 labor terme, es ezeket kene osszekotnom, h ugyanazt a belso halos munkakornyezetet kapja az osszes hallgato, barhol is van eppen oraja. Nyilvan mas halozataba nem garazdalkodnek. Magyaran mindket adminban a skizofren enemre tudok csak ismerni.

Nem tartom magamat informatikusnak, se a fonokeim, se a munakori leirasom. Pont azert fordultam ide, hogy megtudjam, h a kepessegeim hataran mozgok-e, ha igen, melyik oldalrol.

Senki se beszelt ket epuletrol!
Egy bazinagy epulet,az epuleten beluli halozatot igazi informatikusoknak assiganltak ki.
Ok szamomra az epulet harom kulonbozo helyen asszignaltak ki 3 vegpontot.
Az egyetemi rendszergazdak informatikusok, okosak, ugyesek,az eszkozeik is azok,vlant hasznalnak a rajtunk kivul levo 5000 vegpont megfelelo szervezesehez
Valojaban mindharom vegpontunk fizikalisan ugyanabban az ugyes okos routerbe van bedugva.
A szamunkra kiadott publikus ip tartomanyban van boven szabad ip.
A harom vegpont kozul haromban kell publikus net,egy tartomanyban
A harom kozul 2ben kell belso halozat melyek elerik belso cimen ugyanazt a szervert.

Sajat eszkozeink nem vlan kepesek,kabel meg fizikailag 1-1 jon be helysegenkent,ezert vpn tunik a legjarhatobb utnak,az lesz.
Abban kerek segitseget,h win kliensek eseten es debian szerver eseten melyik vpn megoldas a celravezeto.Az jo lenne ha a klienseken,akar tuzfal,akar rout tabla segitsegevel ,vagy barhogy le tudnam tiltani a nem vpn forgalmat.

A szép megoldás az az, hogy megkéred szépen a sysadmin-okat ( főleg, hogy ha lesz .1q switched ), hogy meg tudnak-e oldalni neked egy belső hálózatot.

Ha jól értem amit mondasz, mindkét oldalon publikus tartományod van :
Akkor meg kialakítod úgy a hálózatodat, hogy leteszel egy switch-et, kivezeted rá a public tartományt mindkét oldalon. A switch-re ráraksz két öreg pc-t, vagy router-t vagy akármit, ( lényeg, hogy ezen natolnod, illetve a tunnel-t meg kell csinálnod ) Így mindkét oldalon lesz egy-egy privát hálód. A két hálót a két routerrel olyan vpn-el kötöd össze, amilyennel akarod, lényeg, hogy vpn-je válogatja, hogy szereti/nemszereti az azonos subnetet ( továbbra is openvpn-el oldanám meg ).

lab1 belsőháló -> ( routerdev1 ) - > ( buta sw ) -> egyetemi háló <- ( buta sw) <- ( routerdev2 ) <- lab2 belsőháló

A két buta switch-ről még mindig tovább húzható a publikus tartomány egyéb részre.

Igazából ezt már le is írták elöttem. :)

Hat meglatasom szerint a legszebb megoldas,ha sikerul elerni,h a ket belso halot igenylo oldalon kapnank meg ket vegpontot,es azt a ket vegpontot az egyetemi halon,teljesen kulon vlanon osszekotnek nekunk. Megprobalok ezugyben lepeseket tenni,ha nem,akkor lesz a mar megvitatott megoldas.