open vpn - связать 2 офиса

alexandr.jurka · 26 марта 2015, 10:53:35

Дано:
Офис 1. 192.168.0.0/24 192.168.0.1 на Debian
Офис 2. 192.168.1.0/24 192.168.1.100 на Windows 7 стоит за роутером (роутер в роли шлюза)
Вопрос: получится ли связать эти сети? или необходимо ставить шлюзом сервак, и чтоб он раздавал сетку (на том же дебиане скажем)

ogost · 26 марта 2015, 12:11:17

навскидку
Вариант 1:
поднять на дебиане опенвпн,
а)если роутер на втором офисе поддерживает поддерживает впн, то по подключиться к дебиану в качестве клиента.
б)если роутер не поддерживает, то каждый клиент при необходимости подключается к дебиану в качестве клиента.
Вариант 2:
поднять на винде VPN (кстати такой финт ушами на 7ой винде возможен?), на роутере проброс портов, деб в качестве клиента подключается к виндовому впн.

возможны ещё варианты.

ihammers · 26 марта 2015, 13:02:36

Открыть содержимое (спойлер)

Цитата: ogost от 26 марта 2015, 12:11:17(кстати такой финт ушами на 7ой винде возможен?)

А что в принципе мешает? Установить OpenVPN и указать что это сервер или клиент.

[свернуть]

ogost · 26 марта 2015, 13:04:32

Открыть содержимое (спойлер)

ну так-то оно так, но имхо винда таким макаром долго не продержится

[свернуть]

alexandr.jurka · 26 марта 2015, 13:22:21

ogost, в том-то и прикол) что в качестве клиентов я настроил успешно. Корпоративный джаббер и база работают.
Меня интересует подключение по принципу "сервак"---VPN---"сервак". Без настройки каждого клиента по отдельности.
Тогда получается, что так не выйдет)))
а роутер поддерживает только pptp

Сообщение объединено: 26 марта 2015, 14:13:27

Открыть содержимое (спойлер)

Цитата: ogost от 26 марта 2015, 13:04:32ну так-то оно так, но имхо винда таким макаром долго не продержится

а что с ней может произойти, почему не продержится?

[свернуть]

ogost · 27 марта 2015, 04:48:39

debian умеет pptp сервер. кстати pptp и есть одна из реализаций vpn.
значит, поднимаете pptp сервер на дебиане и подключаете к нему свой роутер.

Открыть содержимое (спойлер)

винда по сути решето. мы на работе стараемся не использовать её в серверных решениях, особенно с "реальным" айпи и без стороннего железного брандмауэра.

[свернуть]

sandaksatru · 27 марта 2015, 16:06:43

Какой роутер? Если какой-нибудь дир-300, то забудьте про vpn на нём. Домашние роутеры будут натить весь трафик с локалки в сеть удалённого офиса. Можете поднять поднять на debian и на win7 OpenVPN, настроить их в связке сервер-сервер. Только конфиг файлы для винды и линуха будут слегка различаться.

alexandr.jurka · 28 марта 2015, 09:26:06

ogost, pptp в безопасности же уступает? из этих соображений я его и не рассматривал

Цитата: sandaksatru от 27 марта 2015, 16:06:43Какой роутер? Если какой-нибудь дир-300, то забудьте про vpn на нём. Домашние роутеры будут натить весь трафик с локалки в сеть удалённого офиса.

зюхель кинектик ультра

Сообщение объединено: 28 марта 2015, 09:53:24

ЦитироватьТолько конфиг файлы для винды и линуха будут слегка различаться.

у меня вот такой конфиг на 0.1:

Код Выделить

port 1194
proto tcp
dev tun
ca /etc/openvpn/ca.crt
cert server.crt
key server.key  # Этот файл необходимо хранить в секрете
dh dh1024.pem
server 10.0.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
tls-server
tls-auth ta.key 0 # Файл секретный
cipher BF-CBC
comp-lzo
max-clients 10
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log openvpn.log
verb 3
mute 20

и конфиг 1.100:

Код Выделить

 client
dev tun
remote 213.*.*.*
port 1194
proto tcp
resolv-retry infinite
ping 10
comp-lzo
tls-client
remote-cert-tls server
ca ca.crt
cert client.crt
key client.key
tls-auth ta.key 1
cipher BF-CBC
verb 3
pull

если я правильно понял - в конфиге сервера нужно добавить пару строк с параметрами маршрутов, которые нужны,чтоб сети видели друг друга, а в конфиге 1.100 изменить первую строчку "client" на "server" ?

ihammers · 30 марта 2015, 05:31:06

Посмотрите в сторону server-bridge: 1, 2, 3.

alexandr.jurka · 30 марта 2015, 11:34:03

ihammers, спасибо, пойду докуривать маны)