LINUX.ORG.RU
ФорумAdmin

как реализовать объединение сетей и l2tp/ipsec

 , , ,


0

1

Очень нужен совет по тому как объединить локальные сети по ipsec, и при этом чтобы была возможность использовать vpn-сервер для принятия l2tp-подключений. Как вариант, думаю использовать схему LAN1=>GRE=>ESP(реальные IP) <=> (реальные IP)ESP<=GRE<=LAN2, естественно с NAT. Использую CentOS 6.3+OpenSWAN. Без NAT работает объединение (это сейчас сделано тестово), с NAT естественно l2tp . Вроде бы как OpenSWAN использует либо tunel, либо transport. Возможно ли их все-таки использовать для каждого подключения?

Если схема LAN1=>GRE=>ESP(реальные IP) <==type=transport==> (реальные IP)ESP<=GRE<=LAN2 работает - можно ли примеры, ссылки. Кто-то реализовывал подобное?



Последнее исправление: cetjs2 (всего исправлений: 1)

можно задачу поподробнее?

в схеме

LAN1=>GRE=>ESP(реальные IP) <==type=transport==> (реальные IP)ESP<=GRE<=LAN2

зачем GRE в середине?

это две отдельные задачи 1) cоединиnь lan1 и lan2 и 2) подключить ещё людей извне к этим сетям??

victorb ★★
()
Ответ на: комментарий от anonymous

gre для общения локалок, чтобы была возможность использовать nat, и, соответственно transport, а не tunnel

kulakov
() автор топика
Ответ на: комментарий от victorb

да мне нужно реализовать эти 2 задачи: 1) cоединиnь lan1 и lan2 и 2) подключить ещё людей извне к этим сетям

Вот и хочу обсудить как лучше

kulakov
() автор топика
Ответ на: комментарий от kulakov

ну так в целом схема правильная, на каждом конечном хосте делаешь доп адрес на lo, поднимаешь между этими адресами gre тунель, а в ipsec прописываешь туннель соответственно тоже между двумя этими lo адресами

извне подключения - в гугле по ключевым словам xl2tpd ipsec

victorb ★★
()
Ответ на: комментарий от victorb

вот тут то и хочется по-подробнее: с xl2tpd все понятно и инфы много, и так как уже ланы объединил, опыт вроде уже имею небольшой. А вот с поднятием gre и его направлением в туннель, который должен пройти через nat (gre же с ним не дружит) загвоздка пока что.

Что за доп.адреса должны быть?

kulakov
() автор топика
Ответ на: комментарий от victorb

пока нигде, но необходимо как-то разместить. Юзвери по l2tp фактически все за nat'ом, и потому необходимо включить поддержку nat_travelsal. Вот и вопрос то в этом у меня (может сразу не совсем внятно изложил) - xl2tpd я настрою, как быть с объединением локалок? 2 сервера не вариант

kulakov
() автор топика
Ответ на: комментарий от kulakov

адрес добавить так 

ip addr add dev lo 1.2.3.4/32
на одном и 
ip addr add dev lo 1.2.3.5/32
на другом, потом туннель вот так 
modprobe gre
ip tunnel add gre1 mode gre remote 1.2.3.5 local 1.2.3.4 ttl 255
ip link set gre1 up
ip addr add 192.168.94.45 peer 192.168.94.46 dev gre1

victorb ★★
()
Последнее исправление: victorb (всего исправлений: 1)
Ответ на: комментарий от victorb

по идее нат может быть только на выходе в инет, но к туннелю он не относится

пока без l2tp это конечно же подойдет

kulakov
() автор топика
Ответ на: комментарий от victorb

Спасибо за приведенный пример для gre.

не понял, как это 2 сервера на вариант? в каждом офисе по одному, или я не чего-то догоняю?

уже голова просто кругом..... имею в виду, в центральном офисе чтобы не было 2-х vpn-серверов: один под объединение локалок (здесь NAT вреден/не нужен) и один под удаленный доступ (здесь nat нужен). Ищу способ как это бы совместить.

kulakov
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin