LINUX.ORG.RU
ФорумAdmin

Научите, пожалуйста, настраивать VPN-сеть.

 ,


0

3

Проблемы вызывает решительно всё.

Например на странице https://ru.wikipedia.org/wiki/VPN я не понимаю фразу «VPN может обеспечивать соединения трёх видов: узел-узел, узел-сеть и сеть-сеть». Какие выводы я должен из неё сделать? Допустим у меня есть четыре компьютера, я хочу сделать из них четыре узла и соединить их в сеть. Каким видом соединений я должен воспользоваться и почему?

Может ли в одной виртуальной сети быть одновременно два «сервера доступа» (что такое вообще сервер доступа - это в смысле часть модели «клиент-сервер» и должен стоять на каждом узле?))?

Теперь дальше - какие конкретно программы мне надо устанавливать? Видов-то много, но как выбирать - не написано. Мне не нужна защищённость, мне не нужна анонимность. Мне нужно, чтобы компьютеры моей VPN были в одной сети несмотря на то, что они в разных местах интернета и интранетов, и настроить маршрутизацию с внешними сетями.

Допустим у меня есть четыре компьютера, я хочу сделать из них четыре узла и соединить их в сеть

L2-связность нужна?

Разжевываю: нужно ли чтобы компьютеры видели друг друга как будто они воткнуты в один коммутатор? Если да - это будет L2-связность(или связность на канальном уровне, который как раз второй), будут ходить широковещательный запросы, будет работать «Сетевое окружение» в Samba/оффтопике, а также игры(и другие подобные приложения) ищущие свои сервера в локальной сети - увидят его, если он будет запущен на компьютере, подключенным таким образом. Не каждый VPN такое умеет. OpenVPN, например, умеет. PPTP - в общем случае нет(рассматривать костыли с proxy arp и bcast relay в данном контексте мы не будем - это реальный геморрой для незнающего)

Или достаточно просто чтобы они могли обращаться друг к другу по IP-адресам, выданным VPN-сервером? Это будет L3-связность(или связность на сетевом уровне). Такое умеет, как правило, любой VPN, там главное чтоб файрвол на сервере пускал одного клиента к другому.

Может ли в одной виртуальной сети быть одновременно два «сервера доступа» (что такое вообще сервер доступа - это в смысле часть модели «клиент-сервер» и должен стоять на каждом узле?))?

Если VPN вида точка-многоточка - да, может. Пример - tinc. Если точка-точка(таких большинство) - нет, сервер в данном случае всегда один и к нему подключаются клиенты. Под капотом в топологии «точка-точка» серверов МОЖЕТ быть несколько(для отказоустойчивости и балансировки нагрузки), но при выходе их всех из строя клиенты остаются ни с чем. Протоколов реализации VPN «точка-точка» больше и они проще в реализации, так как маршрутизация в данном случае традиционна.

Мне нужно, чтобы компьютеры моей VPN были в одной сети несмотря на то, что они в разных местах интернета и интранетов, и настроить маршрутизацию с внешними сетями.

в разных местах интернета и интранетов

Тут требуется уточнить, нужна ли возможность так называемого релея. То есть, нужно ли чтобы изолированный клиент, не имеющий доступ в Интернет, но имеющий доступ к другому компьютеру с настроенным VPN-ом(и связностью с другими клиентами через Интернет, например), имел подключение к этому VPN-у.

Видов-то много, но как выбирать - не написано

Потому что чтобы понимать как их выбирать, нужно понимать чего ты хочешь и какие бывают ограничения в построении VPN-сетей. Ответь на вопросы, какие я тебе накидал и думаю коллективный разум тебе что-нибудь присоветует.

Pinkbyte ★★★★★ ()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от Pinkbyte

L2-связность нужна?

да

нужно ли чтобы изолированный клиент, не имеющий доступ в Интернет

да

VPN вида точка-многоточка

не понял, зачем он, но по-моему нужен.

У меня есть два «гейта», и две «мясорубки». Гейты на разных VDS у разных хостеров. Мясорубки за NAT в одной локалке. NAT - это две отдельные коробки, у каждой свой выход в интернет.

Мне надо, чтобы из интернета любые люди могли подключаться к «гейтам», а гейты могли подключаться к «мясорубкам». Но так как мясорубки за NAT и адресов статических у них нет, мне надо, чтобы подключением мясорубок к гейтам занимался VPN.

Всё это должно продолжать работать при выходе одного или другого канала из локалки в интернет из строя.

Einstok_Fair ★★☆ ()
Ответ на: комментарий от rumgot

А почему не какой-нибудь L2TP ?

И вообще, почему советуете начинать сверху, а не снизу?

Например прочитать файл про TUN/TAP - /usr/src/linux/Documentation/networking/tuntap.txt для начала?

У меня общее непонимание того, как работает сеть в Linux. Например «сетевой интерфейс» - это что такое? Правильно ли я понимаю, что: 1) интерфейс создаёт драйвер сетевой карты, и у сетевой карты где-то в кишках прошит/хранится MAC-адрес 2) если сетевая карта это про MAC, то получается что интерфейс это аналог TAP, правильно? Как тогда ему присваиваются IP-адреса в таком случае?

Если же интерфейсы - это абстракции 3-го уровня ОСИ, то каким образом они включаются в bridge, если bridge это объединение нескольких сетевых карт (с MAC но без IP, т.к. IP у самого бриджа).

Einstok_Fair ★★☆ ()
Ответ на: комментарий от Einstok_Fair

Не понимая как работает обычная сеть не поймете и vpn

VPN это лишь туннель, по функционалу те же конечные точки и провода

ism ★★★ ()
Ответ на: комментарий от Einstok_Fair

Мне нужен не один туннуль, а несколько. Как мне теперь с этим жить?

Туннелей для каждой точки кроме сервера доступа редко когда нужно больше одного.

что такое вообще сервер доступа - это в смысле часть модели «клиент-сервер» и должен стоять на каждом узле?

Сервер доступа от слова «сервер» — обслуживающий доступ. Можно сделать без центрального узла по принципу равноправных парных подключений соседей как цепочкой так и узелками. Но в таких случаях уж точно сделать L2-туннели будет весьма проблематично. Да и для L3 с несколькими серверами доступа надо будет поколдовать с маршрутизацией. Но, сдаётся, с такой постановкой вопроса вас бесполезно спрашивать, почему вам надо именно L2. Вполне может оказаться, что и не надо на самом деле.

vodz ★★★★★ ()
Ответ на: комментарий от vodz

сдаётся мне, такие ответы нихрена не помогают, только интернет замусоривают. Берите пример с Pinkbyte выше.

Туннелей для каждой точки кроме сервера доступа редко когда нужно больше одного.

А у меня НЕ ТВОЙ сценарий использования. Это у тебя - редко. Если бы мне нужна была бы типовая схема - я бы нашел в интернете. А моей там нет, поэтому проблемы.

Einstok_Fair ★★☆ ()
Последнее исправление: Einstok_Fair (всего исправлений: 2)
Ответ на: комментарий от Einstok_Fair

Берите пример с Pinkbyte выше.

В смысле? Он уже всё вам разжевал, но вы так и продолжаете тупить. Естественно после такого дальше жевать уже нет никакого смысла и вряд ли вы вообще больше получите полезные ответы. Особенно если будете хамить.

А моей там нет, поэтому проблемы.

Бгг. Если б вы её смогли сформулировать, то вы бы и нашли ответ. Хотите пример? Ну введите в поиск vxvlan — технология предназначена для миллионов точек по L2, с кучей примеров.

vodz ★★★★★ ()
Ответ на: комментарий от Bobby_

А мне не нужен один сервер. Что мне нужно я написал выше

Если вы считаете, что вы умный - поясните, как ваш один сервер решит мою задачу.

А то бывают такие админы локалхоста - один раз попробуют два компа на одном столе связать, а потом советовать лезут.

Einstok_Fair ★★☆ ()
Ответ на: комментарий от Einstok_Fair

нет такого слова:

У вас ещё и какой-то специфический поисковик к тому же, который не исправляет то, что примерно помнят из памяти на многочисленные ссылки на похожее слово...

vodz ★★★★★ ()
Ответ на: комментарий от Einstok_Fair

Почему не поможет? А как еще? Если у тебя нет базовых знаний об устройстве сети. Тут парой предложений не отделаешься. Нужно погрузиться в литературу и выныривать не раньше чем через пару месяцев.

rumgot ★★★★★ ()
Последнее исправление: rumgot (всего исправлений: 1)
Ответ на: комментарий от Einstok_Fair

Не знаю, для меня WG оказался проще и быстрее, чем OVPN.

Sorcus ()
Ответ на: комментарий от rumgot

А как еще? Если у тебя нет базовых знаний об устройстве сети. Тут парой предложений не отделаешься.

если бы ты был повнимательнее, то я задаю конкретные вопросы, которые мне не ясны. Ссылки на ответы именно по этим вопросам радикально повысили бы моё понимание.

Einstok_Fair ★★☆ ()
Ответ на: комментарий от Einstok_Fair

А что ещё должно быть в Whitepaper? Если не интересует как оно работает - не читай. Установка и настройка описана по другим ссылкам, проще некуда.

anonymous ()
Ответ на: комментарий от ism

туннель, по функционалу те же конечные точки и провода

провод - это ребро без направления
а у туннеля есть направление.

Большая разница

Einstok_Fair ★★☆ ()
Ответ на: комментарий от vodz

В смысле? Он уже всё вам разжевал, но вы так и продолжаете тупить. Естественно после такого дальше жевать уже нет никакого смысла и вряд ли вы вообще больше получите полезные ответы.

Плюсую

Хотите пример? Ну введите в поиск vxlan — технология предназначена для миллионов точек по L2, с кучей примеров.

Чтож ты человека пугаешь так сразу-то :-)
Ты бы еще VPLS предложил ему(для домашнего VPN-а, ага) - тогда он точно скажет «ну вас всех в баню» :-D

Pinkbyte ★★★★★ ()
Ответ на: комментарий от Einstok_Fair

Вы же посмотрите на ответы - эпический зоопарк.

- Мне нужно самому сделать розетку в доме, но я не могу - там же эпический зоопарк в этих ваших проводах...
- Какая мощность требуется? Просто берешь и покупаешь всё с расчетом на неё + запас...
- Вот! Вот об этом я и говорю - там же чёрт ногу сломит!
- ...

Чувак, чтобы сделать себе VPN RFC читать не нужно. Но понимать как работают сети - придётся.

Вот например выше уже намекнули что VPN вида точка-многоточка с L2-связностью имеет кучу геморроя(как минимум предотвращать широковещательный шторм там сложнее и его последствия куда грандиознее). Но ты об этом не знаешь, потому что судя по всему не понимаешь как работает сеть вообще.

В очередной(сбился со счету) раз рекомендую цикл «Сети для самых маленьких»(видосики в наличии, но я рекомендую текстовую версию). И да, про VPN там тоже рассказывают.

Pinkbyte ★★★★★ ()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от Einstok_Fair

Не там ищешь :-)

P.S. Он тебе не нужен - он как правило присутствует на недешевом железе провайдерского уровня, здесь он чисто для примера что им МОЖНО решить твою задачу, но никто в здравом уме делать этого не будет - слишком мал воробей и слишком велика пушка, из которой по нему стреляют

Pinkbyte ★★★★★ ()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от Einstok_Fair

По твоей ссылке не написано какая чудо-программа этот VPLS реализует

Потому что реализуется он как правило в железе(Cisco, Juniper, Mikrotik и т.д.). В Linux готовой реализации пока нет, есть только базовый MPLS, который реализован в ядре. Ну и quagga-ldpd для служебного протокола распространения меток - LDP. Однако повторюсь еще раз - он тебе НЕ НУЖЕН.

Pinkbyte ★★★★★ ()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от Pinkbyte

VPN вида точка-многоточка с L2-связностью имеет кучу геморроя(как минимум предотвращать широковещательный шторм там сложнее и его последствия куда грандиознее).

Я не очень понимаю, какие суперпроблемы могут быть в сети с четырьмя узлами. Я же не собираюсь делать сеть с филиатами в Ухте и Новозабайкалье

Einstok_Fair ★★☆ ()
Ответ на: комментарий от Radjah

Зачем тебе версия 2.0?

Я тонко намекаю, что это дохлый проект. Начали они делать в 2009-м году и не смогли. Зачем пользоваться проектом, который умер?

Даже в генте про него статья - и то умерла вместе с сайтом:
http://web.archive.org/web/20130428091704/en.gentoo-wiki.com/wiki/Tinc

Вместо этого нужно найти фактор (другой проект), который повлиял на смерть этого.

Даже если доделают этот - зачем разбираться с первой версией, если вторая будет совсем не такая? Делать надо надёжно, чтобы на века (хотя бы лет на 10).

Einstok_Fair ★★☆ ()
Последнее исправление: Einstok_Fair (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.