Доступ к интернету через туннель

0

0

Привет всем. Есть вопрос по организации сети: Как лучше всего выпускать в инет филиалы, если провайдер выделит белый ip только в офисе, а в филиалах серые ip. Интернет<-->Офис-белый ip(ipsec,gre-tunnel)<-->(ipsec,gre-tunnel) Филиал. Сквид, например, хоть и пускает в интернет, не пускает в почту, и другие порты наружу недоступны будут. Чтобы получить белый ip-адрес для филиала нужны большие финансовые затраты, точнее провайдер предлагает ip-адрес только для тарифов с абонентской платой от 5 т.р. ОС Debian. openswan(или gre-tunnel), iptables

Выпускать филиал из под второго NAT вроде не лучшая мысль. Почитал про socks, но надеюсь найти лучшие варианты. Есть более лучшие технологии, желательно прозрачные для пользователей(настройка только на сервере)?

Ссылка

←	Посмотреть параметры OpenVPN линка

почта

→

А зачем нужен белый ip при выпуске офиса в интернет?

Самый простой вариант - net2net vpn для внутренних сетей офисов, а наружу пускать напрямик (через какую-нибудь считалку трафика без привязки к сквиду)

shutty ★
(26.10.09 11:52:56 MSK)

а второй нат то зачем не понял

af5 ★★★★★
(26.10.09 11:54:28 MSK)

Ссылка

Ответ на: комментарий от shutty 26.10.09 11:52:56 MSK

>а наружу пускать напрямик (через какую-нибудь считалку трафика без привязки к сквиду) Вот это не доходит, как пустить трафик наружу напрямик из филиала. Если даже пропишу для этой сетки gw шлюза офиса, то не доходит как трафик пойдет в шлюза филиала не попав в NAT. Получается филиал -> nat шлюза филиала -> nat офиса -> интернет

strike1984
(26.10.09 12:12:45 MSK) автор топика

Ответ на: комментарий от strike1984 26.10.09 12:12:45 MSK

так а зачем в филиале нат? там надо site-to-site vpn и общую маршрутизацию

af5 ★★★★★
(26.10.09 12:15:15 MSK)

Ответ на: комментарий от af5 26.10.09 12:15:15 MSK

Все таки не могу открыть свое сознание. Но следуя логике, что второй нат не нужен, отключил postrouting в iptables.

route del default

route add ip_office gw шлюз по умолчанию.

т.к. шлюз не было видно route add 192.168.3.1 dev ppp0(=ipsec0 и без этой строки, нельзя указать маршрутизацию по умолчанию, строкой ниже)

route add default gw 192.168.3.1

strike1984
(26.10.09 13:52:52 MSK) автор топика

Ответ на: комментарий от strike1984 26.10.09 13:52:52 MSK

полностью разрешил форвардинг в iptables между подсетью и внешним миром, dns указал 192.168.3.1 на шлюзе и клиенте. Это тестово, не внутри впн, а с внешним ip-адресом с pppoe соединением. Какие мысли, или я не туда копаю?

strike1984
(26.10.09 13:55:34 MSK) автор топика

Ответ на: комментарий от strike1984 26.10.09 13:55:34 MSK

Вы впн подняли или нет?

af5 ★★★★★
(26.10.09 14:43:21 MSK)

Ответ на: комментарий от strike1984 26.10.09 13:55:34 MSK

тока не забудьте настроить qos с шейпером, а то найдется умник в филиале с большим энтузиазмом жаждующий порнушный свежачек нахаляву.

Deleted
(27.10.09 00:38:41 MSK)

Ссылка

Ответ на: комментарий от af5 26.10.09 14:43:21 MSK

vpn - нет, хотел через ipsec-туннель, но что-то не получилось. Поднял gre-tunnel, и сразу интернет стал доступен через туннель. Оказалось даже очень легко, почему-то стереотип глубоко засел, что должно идти в интернет должно натиться. Сейчас освободился от этого тормоза :-)

Единственное dns-запросы не ходят по связке: локалка-->шлюз филиала-->шлюз офиса-->интернет, думаю сегодня разберусь. ipsec-туннель использую openswan, через netkey здесь нет отдельного виртуального интерфейса типа ipsec0, он приравнен к интерфейсу интернета(ipsec0=eth0). Придеться думать, или файрвол из-за этого зацикливается, или просто в тот момент неудачно сложились звезды.

strike1984
(27.10.09 07:29:51 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Посмотреть параметры OpenVPN линка

Admin

почта

→

Похожие темы