Comments 43
Ответьте, вы сумели заставить OpenNHRP работать!?
Я не работал с VPN на базе Linux/BSD. У меня везде были маршрутизаторы Cisco.
Возможно проходящий хабрагражданин расскажет о своем опыте.
Возможно проходящий хабрагражданин расскажет о своем опыте.
Я, я проходящий гражданин.
Я так и не сумел заставить OpenNHRP работать. Статическую сеть mGRE, совместимую с Cisco — поднял (там без IPsec, но его туда добавить — это раз плюнуть), т.е. адреса в NBMA-сети прописывал руками. А вот чтоб динамически — регистрироваться на хабе и строить каналы между собой — тоже только на Cisco получилось сделать.
Я так и не сумел заставить OpenNHRP работать. Статическую сеть mGRE, совместимую с Cisco — поднял (там без IPsec, но его туда добавить — это раз плюнуть), т.е. адреса в NBMA-сети прописывал руками. А вот чтоб динамически — регистрироваться на хабе и строить каналы между собой — тоже только на Cisco получилось сделать.
В общем раззадорили интерес: ) Я сейчас тоже попробую.
Чёрт, он видимо не 64-bit дружественный:
nhrp_peer.c:1286: error: cast from pointer to integer of different size
Странно. А я собирал его на amd64 (на которой сейчас сижу, собственно). Он даже есть собранный. И он даже запускается, только не работает :(
Блин, вот ну не знаю я C, но ведь как то правлю каждый раз, и таки собираю. Вот как?? Это такой необходимый талант OSS админа?
Я вообще собираю emerge opennhrp, стянул ebuild в каком-то alpine linux. Там ещё есть утилита администрирования — с ней не разбирался (возможно, зря).
distrib-coffee.ipsl.jussieu.fr/pub/linux/alpine/alpine-portage/ вот собственно portagetree, утилиты — app-admin/acf-opennhrp и net-misc/opennhrp
> У каждого маршрутизатора есть IP адрес специальной NBMA сети (например 10.0.1.0/24)
Вообще-то, неправильно вы написали.
NBMA-сеть — это как раз Internet (NBMA = без широковещания, но с множественным доступом), через который всё гоняется. (Объяснение на сайте Cisco) А как раз виртуальная сеть, которую вы строите на базе mGRE, вполне может быть сделана с поддержкой широковещания — для этого нужно к конфигурации виртуальных интерфейсов добавить «ip nhrp map multicast nbma-address» — сообщить системе, на каком NBMA-адресе слушать широковещания для виртуальной сети.
Более того, у вас это широковещание используется для работы ospf.
Ну и, конечно же, адреса вида 10.0.1.0/24 не могут быть адресами концентраторов, т.к. это адреса сетей, а не конечных устройств. Вы имели ввиду 10.0.1.1/24 или что-то в этом роде?
Вообще-то, неправильно вы написали.
NBMA-сеть — это как раз Internet (NBMA = без широковещания, но с множественным доступом), через который всё гоняется. (Объяснение на сайте Cisco) А как раз виртуальная сеть, которую вы строите на базе mGRE, вполне может быть сделана с поддержкой широковещания — для этого нужно к конфигурации виртуальных интерфейсов добавить «ip nhrp map multicast nbma-address» — сообщить системе, на каком NBMA-адресе слушать широковещания для виртуальной сети.
Более того, у вас это широковещание используется для работы ospf.
Ну и, конечно же, адреса вида 10.0.1.0/24 не могут быть адресами концентраторов, т.к. это адреса сетей, а не конечных устройств. Вы имели ввиду 10.0.1.1/24 или что-то в этом роде?
Как то в таком варианте больше склоняюсь к OpenVPN, но все равно спасибо интересно.
А в OpenVPN есть подобный механизм?
Здесь просто используются стандартные протоколы, которые есть практически везде.
Здесь просто используются стандартные протоколы, которые есть практически везде.
Использование OpenVPN стандартных протоколов TCP и UDP позволяет ему стать альтернативой IPsec в ситуациях, когда Интернет-провайдер блокирует некоторые VPN протоколы. © Wikipedia
К сожалению придется ставить свой клиент, но возможностей хватает.
сам я в силу обстоятельств использую или железное решение (офис — офис) или программное L2TP (без ipsec) клиент — офис
К сожалению придется ставить свой клиент, но возможностей хватает.
сам я в силу обстоятельств использую или железное решение (офис — офис) или программное L2TP (без ipsec) клиент — офис
Ну все так, вот только если вам придется дружить с cisco, то придется заводить opennhrp, я думаю.
ну думаю да =)
но про openvpn надо помнить.
вот тут кстати одно из решений, одного хорошего человека, почитайте может будет интересно.
bigkaa.blogspot.com/2008/11/open-vpn.html
но про openvpn надо помнить.
вот тут кстати одно из решений, одного хорошего человека, почитайте может будет интересно.
bigkaa.blogspot.com/2008/11/open-vpn.html
«Использование OpenVPN стандартных протоколов TCP и UDP позволяет ему стать альтернативой IPsec в ситуациях, когда Интернет-провайдер блокирует некоторые VPN протоколы»
Думаю, имеется в виду NAT-T, который есть у всех на самом деле.
Думаю, имеется в виду NAT-T, который есть у всех на самом деле.
Вы различайте функционал.
Если вы построите сеть OpenVPN — связь между двумя пирами-«споками» будет осуществляться непременно через хаб. Скажем, OpenVPN-сервер в Москве, а клиенты — в Красноярске и Перми — и весь трафик между последними двумя будет ходить через Москву.
А DMVPN позволяет динамически организовывать виртуальные каналы между споками, т.е. трафик между Пермью и Красноярском не будет ходить через Москву, а напрямую.
Тут скорее с gpve нужно сравнивать по функционалу, а не с OpenVPN, но gvpe не умеет строит динамические каналы.
Если вы построите сеть OpenVPN — связь между двумя пирами-«споками» будет осуществляться непременно через хаб. Скажем, OpenVPN-сервер в Москве, а клиенты — в Красноярске и Перми — и весь трафик между последними двумя будет ходить через Москву.
А DMVPN позволяет динамически организовывать виртуальные каналы между споками, т.е. трафик между Пермью и Красноярском не будет ходить через Москву, а напрямую.
Тут скорее с gpve нужно сравнивать по функционалу, а не с OpenVPN, но gvpe не умеет строит динамические каналы.
… gvpe не умеет строить динамические каналы. А статически такую сеть можно построить либо на gvpe, либо — на mGRE+IPsec (без OpenNHRP). Такую сеть гарантированно можно связать с Cisco.
А еще можно вместо циски поставить старый пенек (pentium/celeron) линукс (для любителей всего и сразу — mikrotik) и завести все это там, не покупая дорогущих цисок
старый пенек, может
а) неожиданно умереть
б) не выдержать нагрузки
ну и последнее оно не надо =)
Любая самая захудалая точка доступа для SOHO умеет делать VPN.
а) неожиданно умереть
б) не выдержать нагрузки
ну и последнее оно не надо =)
Любая самая захудалая точка доступа для SOHO умеет делать VPN.
У меня еще рядом стоят 2 пенька на готове — хотсвоп
Нагрузку держут лучше чем эти ваши длинки
Нагрузку держут лучше чем эти ваши длинки
Имею интранет-сеть центральный офис + 6 филиалов. Реализовано все на IP-COP + Zerina OpenVPN.
Изначально стояли «старые пеньки», двое за полгода сдохли, поменял; еще двоих поменял сам на Celeron (III). Сеть неплоха в настройке и обслуживании, легко и быстро настраивается.
Изначально стояли «старые пеньки», двое за полгода сдохли, поменял; еще двоих поменял сам на Celeron (III). Сеть неплоха в настройке и обслуживании, легко и быстро настраивается.
А еще можно использовать cisco easyvpn чтобы он делал всю конфигурацию тогда получаеться DVTI тунели. Плюс непонятно зачем вы целую подсеть вешаете на тунель, это serial соединение. используйте просто ip unnambered c другого вашего интерфейса.
хорошая статья, на надо иметь в виду, что такое работает при условии, что в каждом из филиалов подключен «public internet», далеко не все компании позволяют себе такую «роскошь», особенно всякие там банки и прочие серьезные организации. У таких есть выделенный канал и связь только с центром, и по этому там по старинке будут в ручную городить n-ое кол-во туннелей и только и мечтать DMVPN & NHRP ;-)
Статья класс!
До этого на хабре были статьи про Cisco для newbies, так вот их забросили, у вас нет желания продолжить?
Буду очень благодарен!
До этого на хабре были статьи про Cisco для newbies, так вот их забросили, у вас нет желания продолжить?
Буду очень благодарен!
Это который 256 — маска, а потом выбираешь из диапозона?
Ну например 172.22.1.97 маска 255.255.255.224 надо найти ip сети и broadcast ip.
256(лучше 255) — 224 = 32(тогда 31)
а потом типа считаешь в уме
0-31 далее 32-63 далее 64-95 далее 96-127 далее 128-149 и т.д
берешь 172.22.1.96 — сеть, 172.22.1.127 — broadcast
Это Вендел Одом так учит, Я ща самостоятельно курс CCNA учу
256(лучше 255) — 224 = 32(тогда 31)
а потом типа считаешь в уме
0-31 далее 32-63 далее 64-95 далее 96-127 далее 128-149 и т.д
берешь 172.22.1.96 — сеть, 172.22.1.127 — broadcast
Это Вендел Одом так учит, Я ща самостоятельно курс CCNA учу
Ребят я могу быт похож из-дали на лузера, но писать все эти команды ручками, потом ещё некоторые сертификацию проходят. Кучу бабла и время тратят на все эти дела.
Не проще ли программы использовать?
Хоть и стоят примерно столько-же, но иногда в целях тестирования к примеру можно пренебрегать ломалками, наглядный графический интерфейс, как например у KERIO и подобных. Куча вкусняшек типа контент фильтров прикрученых и антивирусов/антиспамеров.
Я конечно понимаю, что от слова CISCO у большинства стоит! Ну где же здравый смысл?
Не проще ли программы использовать?
Хоть и стоят примерно столько-же, но иногда в целях тестирования к примеру можно пренебрегать ломалками, наглядный графический интерфейс, как например у KERIO и подобных. Куча вкусняшек типа контент фильтров прикрученых и антивирусов/антиспамеров.
Я конечно понимаю, что от слова CISCO у большинства стоит! Ну где же здравый смысл?
Программа то заточена на фильтрацию, кеширование и тп. А мне нужна динамическая маршрутизация! Вот и проще отдать денег за Cisco, чем за Kerio и получить все что нужно. В любом случае — если я использую Linux/BSD, то настройки там отнюдь не красочные (ну слышал что то про mikrotik, но не смотрел — не нравится мне их отношение к GPL наплевательское).
Конечно для Cisco может понадобится к примеру Radius сервер, syslog, netflow коллектор, взрослые технологии без свистелок. В общем надо разуметь куда и что ставить. Где то Kerio вполне хватит, а где то оборудование Cisco, или его unix аналоги, необходимо.
Конечно для Cisco может понадобится к примеру Radius сервер, syslog, netflow коллектор, взрослые технологии без свистелок. В общем надо разуметь куда и что ставить. Где то Kerio вполне хватит, а где то оборудование Cisco, или его unix аналоги, необходимо.
Кстати в Kerio WinRoute Firewall, VPN нету!
да и потом в Cisce тоже граф интерфейс есть
Sign up to leave a comment.
VPN, полное покрытие