VPN szerver kérdések

Hálózatok egyéb

A következő problémába futhatok, akár rövid időn belül is:
Adott több telephely, nem egyforma "fontosságuak", valamilyen netkapcsolattal (2Mbit-8Mbit változó helyenként).
Össze kellene kötnöm a telephelyeket hogy belső rendszer biztonsággal működhessen.
Most mikrotik routerek vannak a telephelyeken.
VPN-el gondoltam az összekötést.
A VPN-re tegyük fel hogy egy akármilyen neten lévő gép nem csatlakozna, csak router csatlakozna.
Gondolom ilyen esetben célszerü egy BIX 100Mbit-en évő "VPN-szerver"-t beállítani.
Esetleg egy másik VPN-szerverre is megoldahtó legyen a csatlakozás, ha az első valamiért nem megy.
Természetesen minnél költséghatékonyabban kellene megoldani.
Olyat már olvastam mikotik wikin hogy OpenVPN-t támogat valamiylen szinten (csak TCP), ettől egy kicsit félek, mert lehet hogy UDP is kellene pár szolgáltatásnak, és akkor azok nem fognak menni.

Milyen megoldások jöhetnek szóba?
Kinek mi az ötlete?
Akinek van tapasztalata ilyesmivel kapcsolatban (VPN, mikrotik, nagy hálozat, stb...), annak szívesen várom az email címét, vagy egyéb kapcsolat teremtési lehetőségét.

  • 3354 megtekintés

( Kayapo | 2008. 09. 21., v – 17:01 )

Egyértelmű OpenVPN!

Én az alábbi hálózatot építettem fel és üzemeltettem:

Központ: dualprocis FW 2GB DDR2 RAM RADI1 (tudom kicsit túlzás a gép, de a kiápítéskor várható volt, hogy később ezen keresztül drastikusan megnövekszik a forgalom) a netre béreltvonalon csatlakozott.

Telephely1-2-3: Mini ITX alaplapos celeron 600MHz 1GB RAM (Három tök egyforma gép, lehetett volna mindenhol egyforma)

Mindegyik telephelyen futott OpenVPN server (igény volt arra, hogy az egyes hálózatok elérjék egymást, nem csak a központot), így az egyes hálózatok, a központtól függetlenül elérik egymást, tehát a rendszer redundanciája javult.

A "roadrunnerek" atól függően csatlakoztak a serverekhez, hogy melyík volt a munkahelyük. A serverek kulcsai 1évre voltak érvényesek, a roadrunnereké 30 napig, valamint ezek jelszóval (8 karakter kis-, nagybetű szám: pwgen -cnB 8) is védettek voltak, az esetleges kulcs lopás okozta problémák kivédésére.

Előnyei a rendszernek (ha valakit győzködni kell):
- A telephelyek nyomtatóit mindenki tudja használni (faxolás kiváltva)
- IRC, vagy más chat serveren keresztül a komunikáció felgyorsítható, annélkül, hogy telefonnal kelljen vacakolni (megintcsak költség hatékonyság)
- Csoportmunka, etc...

Tehát ne egy központi serverben gondolkozz, hanem telephelyenként egyet tervezz. Minden telephelyen használj DNS-t ami a telephely IP címeit feloldja és cache-elni is tud.

Hát kb ennyi, ha konkrét kérdésed lesz keress nyugottan.

----
Nyicc-egy-csört?
Esetleg nézd meg itt: http://kayapo.extra.hu/

( STP | 2008. 09. 21., v – 19:49 )

Draytek, Zyxel, SonicWall "VPN routerek" ezt erőből tudják. Nem kell velük sokat pötsölnöd.
(Linksys-ből is van pár modell, de nekem nem jöttek be.)

IPsec-kel kötöd össze transzparensen a hálózatokat.
Ha csillagpontos a topológia, elég a középpontba fix IP. (Ha nem csillagpontos, matekozhatsz, kinek kit kell látni, mert egy linkhez legalább egy fix IP ajánlott.)

én közvetlen openvpn-nel kötöttem össze a telephelyeket
most 2 van összekötve, de legalább 5-öt kell összekapcsolni, és lehet, hogy mindenkinek mindenkivel kell majd lenniük :)
szerencsére a fix ip-kkel nincs gond :)
még azon filózok, hogy egy központi dhcp, vagy mindenhol legyen egyedi dhcp

Mikrotik is tudja, és ez már van. Csak egy kicsit érdekes lenne hostingolni a BIX-en egy mikrotik routert :D
Csómópontnak gépet szeretnék, de kisebb helyekre (ebből van sok) pedig max. routert.
EoIP, PPPoE, PPTP, L2TP, OVPN ezekből válogathatok. Elvileg az OpenVPN alatt nem megy UDP, ebbe nem ugranék bele attól hogy most elég TCP vinni a dologkat.

Mivel mar masodszor mondod: Mit ertesz azon tcp-t tamogat udp-t nem? Szerintem felreerted. Az openvpn tunnel tcp-n jon letre, mivel az udp-t nem tamogatja a mikrotik oldal. A tunnelen belul mint altalaban a tunneleken egy alacsonyabb szintu kapcsolat tortenik (virtual wire, ip) ami folott azt csinalsz amit akarsz.
Ez szamodra keves megkotest ad.

Úgy értelmeztem a "RouterOS platform: currently only tcp is supported. udp will not work." hogy az udp kapcsolatokat nem tudom majd átvinni rajta, ha átmegy rajta majd minden, akkor nem érdekel hogy tcp-n vagy udp-n csatlakozik.
Elvileg még nem tudja az OpenVPN tömörítését a mikrotik.

Az OpenVPN nem egy L2 tunnel? Csak mert akkor nemhogy azt nem nézi meg, hogy TCP/UDP, de még azt sem, hogy IP csomag-e amit továbbít.
Szerintem az UDP not supported arra vonatkozhat, hogy maga a tunnel egy TCP kapcsolat, és UDP-vel nem lehet kiváltani.

--
The Net is indeed vast and infinite...
http://gablog.eu

Mi a retekért akarsz betenni a BIX-re egy routert?
Minden telephelyen van egy, és azok beszélgetnek egymással.

"A VPN-re tegyük fel hogy egy akármilyen neten lévő gép nem csatlakozna, csak router csatlakozna." - s ez mire jó?
Site-to-site VPN-nél minden háló láthatja egymást, s ha ezt szigorítani akarod, csinálsz rá szabályt a (VPN) routerban.

Roadrunner mint olyan nem lenne, esetleg az én gépem. A csatlakozást a routerben szeretném elintézni hogy senki ne érezzen belőle semmit.
BIX-re egy VPN szervert azért tennék, hogy ne a 8/1 vagy 4/0,5-re kelljen csatlakozni pl. 5 kliensnek, esetleg 40 kliensnek.
A 40-es esetben nem is szeretném mind az összes routerbe mind a 39 kapcsolatot felvenni.
Valószinüleg 2 csomópontot alakítanék ki, csak.

Nem mindegy a topológiája?
40 pontnál nem alkalmaznék mesh-t, nagyon megbonyolítaná a dolgokat.
Lényegében csillagpontos lenne a dolog, csak annyi hogy két "közepe" lenne redundacia szempontjából.
Mindent elakarok érni VPN-en keresztül. Nem akarok a 40 helyen portforwardolással szarozni minden egyes szolgáltatás miatt. Biztonsági szempontbol sem.