- Openvpn или не в ту степь полез?,
 Непонятор, 20:28 , 20-Май-18 (1) +3 > Надеюсь на понимание.А вот нет понимания. 600-700 машин - это серезная такая организация. Почему сеть/машины серезной организации полез админить человек, который "лет 10 точно не притрагивался к консоли". Даже если Вам удастся нашаманить/нагуглить решение - вы оставите 100500 дырок и возможных проблем, которые периодически будут возникать. Наймите профессионала.
- Openvpn или не в ту степь полез?, Аноним, 22:13 , 20-Май-18 (2) +1
> Надеюсь на понимание.Чувак, ты не спрашиваешь "ребята, смотрите, я сделал вот так и вот эдак, но у меня не получается, помогите разобраться, где я накосячил?" Ты просишь бесплатно сделать за тебя работу, за которую ты потом получишь деньги, положение и уважение. Так что на понимание тут не надейся.
- Openvpn или не в ту степь полез?, hwnsk, 23:05 , 20-Май-18 (3) +1
>> Надеюсь на понимание.
> Чувак, ты не спрашиваешь "ребята, смотрите, я сделал вот так и вот
> эдак, но у меня не получается, помогите разобраться, где я накосячил?"
> Ты просишь бесплатно сделать за тебя работу, за которую ты потом получишь
> деньги, положение и уважение.
> Так что на понимание тут не надейся.Я не прошу делать за меня работу, я прошу совета. У меня к слову вообще сомнения что из этого что-то выйдет.
Я не работаю в этой организации админом даже близко, да и нет у нас такой штатной единицы..., и вводить пока не планирую, не влезаю в деньги. Но это уже отступление от темы. Два вопроса:
1. Это вообще возможно?
2. Теста ради я поднял на виртуалке все это добро. Настроил в рамках своей компетенции. ВПН работает, пинги ходят в рамках одной сети. Чисто теоретически я с легостью могу поднять второй ВПН сервер, настроить маршруты...
Вижу вот какое решение:
Каждому клиенту, писать маршрут к сети второго ВПН сервера (где будет сидеть саппорт). На втором впн сервере в свою очередь написать маршрут до первого впн сервера. Ну вообщем как-то так... Рабочий вариант, как считаете?
- Openvpn или не в ту степь полез?, shadow_alone, 23:12 , 20-Май-18 (4)
Ты бы бюджет озвучил, тебе бы за него и решили задачу, побыстрому.На твой вопрос ответ - да, можно.
- Openvpn или не в ту степь полез?, hwnsk, 23:15 , 20-Май-18 (5)
> Ты бы бюджет озвучил, тебе бы за него и решили задачу, побыстрому.
> На твой вопрос ответ - да, можно.Вовсе не спортивно. Если Опеннет за 10 лет превратился в площадку фрилансеров, то я пожалуй удалюсь. Решение у меня в целом выше в посте, если это действительно можно, то вопросы возникнут по делу, если вообще возникнут...
- Openvpn или не в ту степь полез?, shadow_alone, 23:16 , 20-Май-18 (6)
>> Ты бы бюджет озвучил, тебе бы за него и решили задачу, побыстрому.
>> На твой вопрос ответ - да, можно.
> Вовсе не спортивно. Если Опеннет за 10 лет превратился в площадку фрилансеров,
> то я пожалуй удалюсь.
> Решение у меня в целом выше в посте, если это действительно можно,
> то вопросы возникнут по делу, если вообще возникнут...Ну так, тогда, задавай вопросы по делу.
- Openvpn или не в ту степь полез?, hwnsk, 23:29 , 20-Май-18 (7)
>>> Ты бы бюджет озвучил, тебе бы за него и решили задачу, побыстрому.
>>> На твой вопрос ответ - да, можно.
>> Вовсе не спортивно. Если Опеннет за 10 лет превратился в площадку фрилансеров,
>> то я пожалуй удалюсь.
>> Решение у меня в целом выше в посте, если это действительно можно,
>> то вопросы возникнут по делу, если вообще возникнут...
> Ну так, тогда, задавай вопросы по делу.Я уже выше спросил Клиенты висят на первом впн сервере в сетке 10.10.0.0/22, они не видят друг друга. У первого сервера есть маршрут, скажем до 10.10.200.0/26 (сеть второго ВПН сервера), откуда вообщем-то все и будет рулиться. Рабочий вариант?
Или еще подумать.... В любом случае пора на боковую, утро вечера мудреней.
- Openvpn или не в ту степь полез?, shadow_alone, 23:31 , 20-Май-18 (8)
>[оверквотинг удален]
>>> то я пожалуй удалюсь.
>>> Решение у меня в целом выше в посте, если это действительно можно,
>>> то вопросы возникнут по делу, если вообще возникнут...
>> Ну так, тогда, задавай вопросы по делу.
> Я уже выше спросил
> Клиенты висят на первом впн сервере в сетке 10.10.0.0/22, они не видят
> друг друга. У первого сервера есть маршрут, скажем до 10.10.200.0/26 (сеть
> второго ВПН сервера), откуда вообщем-то все и будет рулиться. Рабочий вариант?
> Или еще подумать....
> В любом случае пора на боковую, утро вечера мудреней.Рабочий
- Openvpn или не в ту степь полез?, hwnsk, 23:33 , 20-Май-18 (9)
>[оверквотинг удален]
>>>> Решение у меня в целом выше в посте, если это действительно можно,
>>>> то вопросы возникнут по делу, если вообще возникнут...
>>> Ну так, тогда, задавай вопросы по делу.
>> Я уже выше спросил
>> Клиенты висят на первом впн сервере в сетке 10.10.0.0/22, они не видят
>> друг друга. У первого сервера есть маршрут, скажем до 10.10.200.0/26 (сеть
>> второго ВПН сервера), откуда вообщем-то все и будет рулиться. Рабочий вариант?
>> Или еще подумать....
>> В любом случае пора на боковую, утро вечера мудреней.
> Рабочий Ну вот, есть еще порох оказывается. Осталось попробовать.
На днях дойдут руки и отпишусь по результатам.
Спасибо.
- Openvpn или не в ту степь полез?, fantom, 10:24 , 21-Май-18 (10)
>[оверквотинг удален]
> 10.10.200.0/24)
> 10.10.200.0/24 - пускай это будут некие админы (должны видеть друг друга и
> 10.10.0.0/22)
> Вообщем прошу определиться и написать маршруты, так-как мой мозг уже деградировал, и
> переучился в другое русло...
> Система FreeBSD (ранее только на ней и работал, во времена 6.0:) ).
> ps Смотрел в сторону softether, но там нельзя статикой выдавать ip (поднять
> свой dhcp можно, но думаю openvpn справится с моей задачей), дикость
> по мне... Хотя идея отличная!
> Надеюсь на понимание.2 openvpn стартуешь.
1 для тех, кому можно все, 2-й для тех кому нельзя.
как маршруты добавить - в конфиге пример закомментированый есть.
Дополнительная изоляция может быть достигнута файрволом.
- Openvpn или не в ту степь полез?, hwnsk, 20:05 , 23-Май-18 (12)
>[оверквотинг удален]
>> переучился в другое русло...
>> Система FreeBSD (ранее только на ней и работал, во времена 6.0:) ).
>> ps Смотрел в сторону softether, но там нельзя статикой выдавать ip (поднять
>> свой dhcp можно, но думаю openvpn справится с моей задачей), дикость
>> по мне... Хотя идея отличная!
>> Надеюсь на понимание.
> 2 openvpn стартуешь.
> 1 для тех, кому можно все, 2-й для тех кому нельзя.
> как маршруты добавить - в конфиге пример закомментированый есть.
> Дополнительная изоляция может быть достигнута файрволом.2 ВПНа запустил
Конфиги настроил
Маршруты прокинул, но есть затык, сижу вспоминаю, пока так. Если подскажите буду признателен.
10.10.0.0 255.255.192.0 10.10.200.1 10.10.200.4 35
10.10.200.0 255.255.255.0 On-link 10.10.200.4 291
10.10.200.0 255.255.255.0 10.10.200.1 10.10.200.4 35
10.10.200.4 255.255.255.255 On-link 10.10.200.4 291
10.10.200.255 255.255.255.255 On-link 10.10.200.4 291
- Openvpn или не в ту степь полез?, hwnsk, 20:22 , 23-Май-18 (13)
>[оверквотинг удален]
> 10.10.200.4 291
> 10.10.200.0 255.255.255.0
> 10.10.200.1 10.10.200.4
> 35
> 10.10.200.4 255.255.255.255
> On-link
> 10.10.200.4 291
> 10.10.200.255 255.255.255.255
> On-link 10.10.200.4
> 291 Я молодец.... у меня был выключен ip forwarding :) АЖ ржу с себя...
- Openvpn или не в ту степь полез?, hwnsk, 20:33 , 23-Май-18 (14)
>[оверквотинг удален]
>> 10.10.200.1 10.10.200.4
>> 35
>> 10.10.200.4 255.255.255.255
>> On-link
>> 10.10.200.4 291
>> 10.10.200.255 255.255.255.255
>> On-link 10.10.200.4
>> 291
> Я молодец.... у меня был выключен ip forwarding :) АЖ ржу с
> себя... 10.10.0.0 255.255.192.0 10.10.200.1 10.10.200.4 35
10.10.200.0 255.255.255.0 On-link 10.10.200.4 291
10.10.200.4 255.255.255.255 On-link 10.10.200.4 291
10.10.200.255 255.255.255.255 On-link 10.10.200.4 291 Вот такие маршруты получились...
Могу продолжить развивать тему, подобных я еще не видел.
- Openvpn или не в ту степь полез?, hwnsk, 21:05 , 23-Май-18 (15)
>[оверквотинг удален]
> On-link
> 10.10.200.4 291
> 10.10.200.4 255.255.255.255
> On-link
> 10.10.200.4 291
> 10.10.200.255 255.255.255.255
> On-link 10.10.200.4
> 291
> Вот такие маршруты получились...
> Могу продолжить развивать тему, подобных я еще не видел.Маршруты с машины, где client to clint отсутствует 10.10.0.0 255.255.192.0 On-link 10.10.0.8 956
10.10.0.8 255.255.255.255 On-link 10.10.0.8 956
10.10.63.255 255.255.255.255 On-link 10.10.0.8 956
10.10.200.0 255.255.255.0 10.10.0.1 10.10.0.8 700 icmp не идут никуда кроме 10.10.200.1 получается отсутствие client to client по дефолту зарезало icmp ? С машинки где client to clint включен, icmp ходит в сеть 10.10.0.0/22
- Openvpn или не в ту степь полез?, hwnsk, 21:50 , 23-Май-18 (16)
>[оверквотинг удален]
> 10.10.0.8 956
> 10.10.63.255 255.255.255.255
> On-link
> 10.10.0.8 956
> 10.10.200.0 255.255.255.0
> 10.10.0.1
> 10.10.0.8 700
> icmp не идут никуда кроме 10.10.200.1 получается отсутствие client to client по
> дефолту зарезало icmp ?
> С машинки где client to clint включен, icmp ходит в сеть 10.10.0.0/22 И в этом вопросе разобрался...
В целом задачу я решил.
- Openvpn или не в ту степь полез?, fantom, 09:58 , 24-Май-18 (17)
>[оверквотинг удален]
>> On-link
>> 10.10.0.8 956
>> 10.10.200.0 255.255.255.0
>> 10.10.0.1
>> 10.10.0.8 700
>> icmp не идут никуда кроме 10.10.200.1 получается отсутствие client to client по
>> дефолту зарезало icmp ?
>> С машинки где client to clint включен, icmp ходит в сеть 10.10.0.0/22
> И в этом вопросе разобрался...
> В целом задачу я решил.Резюме:
"Мастерство не пропьёшь!" ТМ
:)
- Openvpn или не в ту степь полез?, hwnsk, 21:20 , 29-Май-18 (18)
>[оверквотинг удален]
>>> 10.10.0.1
>>> 10.10.0.8 700
>>> icmp не идут никуда кроме 10.10.200.1 получается отсутствие client to client по
>>> дефолту зарезало icmp ?
>>> С машинки где client to clint включен, icmp ходит в сеть 10.10.0.0/22
>> И в этом вопросе разобрался...
>> В целом задачу я решил.
> Резюме:
> "Мастерство не пропьёшь!" ТМ
> :) И тем не менее кой с чем сдаюсь... :) syslogd: unknown priority name "ipv4.ip_forward=1" Валится в консоль.. В конфиге syslog.conf ничего необычного нет, в sysctl.conf только net.inet.ip.forwarding=1
Откуда лезет ума не приложу..., времени искать к сожалению нет. Может подскажите где может быть зарыта эта строчка?
- Openvpn или не в ту степь полез?, fantom, 10:32 , 30-Май-18 (19)
>[оверквотинг удален]
>>> И в этом вопросе разобрался...
>>> В целом задачу я решил.
>> Резюме:
>> "Мастерство не пропьёшь!" ТМ
>> :)
> И тем не менее кой с чем сдаюсь... :)
> syslogd: unknown priority name "ipv4.ip_forward=1" Валится в консоль.. В конфиге syslog.conf
> ничего необычного нет, в sysctl.conf только net.inet.ip.forwarding=1
> Откуда лезет ума не приложу..., времени искать к сожалению нет. Может подскажите
> где может быть зарыта эта строчка?Ну попробуйте по /etc грепнуть
grep -R ip_forward /etc
- Openvpn или не в ту степь полез?, hwnsk, 13:52 , 30-Май-18 (20) –1
>[оверквотинг удален]
>>> Резюме:
>>> "Мастерство не пропьёшь!" ТМ
>>> :)
>> И тем не менее кой с чем сдаюсь... :)
>> syslogd: unknown priority name "ipv4.ip_forward=1" Валится в консоль.. В конфиге syslog.conf
>> ничего необычного нет, в sysctl.conf только net.inet.ip.forwarding=1
>> Откуда лезет ума не приложу..., времени искать к сожалению нет. Может подскажите
>> где может быть зарыта эта строчка?
> Ну попробуйте по /etc грепнуть
> grep -R ip_forward /etc Таки нашел, там куда только с божьей помощью оно могло попасть.
Спасибо.
- Openvpn или не в ту степь полез?, fantom, 22:38 , 30-Май-18 (21)
>[оверквотинг удален]
>>>> :)
>>> И тем не менее кой с чем сдаюсь... :)
>>> syslogd: unknown priority name "ipv4.ip_forward=1" Валится в консоль.. В конфиге syslog.conf
>>> ничего необычного нет, в sysctl.conf только net.inet.ip.forwarding=1
>>> Откуда лезет ума не приложу..., времени искать к сожалению нет. Может подскажите
>>> где может быть зарыта эта строчка?
>> Ну попробуйте по /etc грепнуть
>> grep -R ip_forward /etc
> Таки нашел, там куда только с божьей помощью оно могло попасть.
> Спасибо.Таки обращайтесь :)
- Openvpn или не в ту степь полез?, universite, 23:09 , 21-Май-18 (11) –1
> Добрый вечер.
> Лет 10 точно не притрагивался к консоли и т.п.
> Вообщем возникла задача, которую нужно организовать... В голове каша, не думаю что
> без посторонней помощи разберусь.
> Итак, есть порядка 500-600 машин имеющих полный зоопарк в плане выхода в
> мир (именно поэтому выбрал openvpn), к машинам нужен доступ для администрирования, Подсказки:
1) Вместо openvpm можно использовать mpd5 + radius
2) Ipfw умеет делать правила по таблицам - ipfw tablearg
3) не забывайте про mss-fix
|
Версия для распечатки
Openvpn или не в ту степь полез?, 
