LINUX.ORG.RU

Использование IPSEC в Linux при настройке соединений VPN типа «сеть-сеть» и «точка-точка»

 ,


0

2

В статье подробно рассмотрены принципы построения и основы применения VPN, понятие протокола IPSEC, даны общие характеристики и описание IPSEC, а также механизмов его реализации.

Рассмотрена организация методов построения защищенных соединений с помощью протокола IPSEC. Подробно и на реальных примерах описаны такие реализации применительно к двум схемам соединений — «точка-точка» и «сеть-сеть».

>>> Подробности

а расписано ли там, что обязательное условие для работы ipsec необходима «сферическая сеть в вакуме»?

На рынке тонна модемов, через которые ipsec тупо не работает. openvpn наше все.

mrdeath ★★★★★ ()
Ответ на: комментарий от mrdeath

А зачем Вам айписек, если вы используете говно-модем ? :)
Каждому решению свое бабло :)

Jetty ★★★★★ ()
Ответ на: комментарий от mrdeath

>На рынке тонна модемов, через которые ipsec тупо не работает

Если не использовать встроенные в модемы говнороутеры, то всё нормально работает.

openvpn наше все

Хорошая штука, но в железе её редко реализуют и версия под оффтопик страдает пренеприятными багами.

anonymous ()
Ответ на: комментарий от Jetty

ну, многим компаниям нравится идея vpn как предоставление доступа к офису из вне.

Приехал сейлз в какую-нибудь жопу, хочет свой любимый rdesktop, а фигушки.

mrdeath ★★★★★ ()
Ответ на: комментарий от anonymous

смотри выше. :)

а насчет багов в openvpn под офтопик да, но, к счастью, они обходятся.

mrdeath ★★★★★ ()

как и говорилось - openvpn наше все.

tazhate ★★★★★ ()

Много воды, но за racoon зачёт. А вообще, - не нужно, есть LARTC и ipsec howto.

Для соединения сеть-сеть мне оказалось удобнее использовать GRE-туннель внутре ipsec точка-точка. Для подключения внешних юзверей, ИМХО больше подойдёт OpenVPN или PPTP.

Бюджетные роутеры (например D-Link 804HV) даже при заявленной поддержке ipsec имеют склонность взаимодействовать только между собой и невнятно косячить при попытке настроить связь с сервером.

Lonli-Lokli ★★ ()

А как заставить racoon подключаться к удаленной стороне on-demand? Чтобы было: пришел пакетик, подключился ipsec и отправилось. Надоело каждый раз racoonctl vc делать

anonymous ()
Ответ на: комментарий от Lonli-Lokli

Не проходит, во первых все идет через интерфейс ppp0, адрес у него всегда разный. Поэтому SPD прописать сразу не получается. Написал скрипт на phase1_up, который прописывает security policy database. И теперь приходится вручную делать racoonctl vc. Нет ли способа это дело автоматизировать?

anonymous ()
Ответ на: комментарий от anonymous

А чего бы его не пускать из того же скрипта? На http://lartc.org/ и http://www.ipsec-howto.org/ приведены примеры road runner конфигураций (как раз когда 1 адрес динамический), возможно оно вам подойдёт. Сам такое не настраивал.

Lonli-Lokli ★★ ()

в ад «енота». есть же Openswan / strongSwan

nimda7 ()
Ответ на: комментарий от mrdeath

AH с аутентификацией ключами вместе с nat-t осчастливят сейлза в любой жопе. Только это тянет за собой всякую инфраструктуру типа pki с компанией, которую не всякий оператор любой кнопки сможет поддерживать.

as33 ★☆☆ ()
Ответ на: комментарий от nimda7

А в чём недостатки енота? Конфигурируется, ИМХО, удобнее swana. Конфиг у меня правда очень примитивный.

Lonli-Lokli ★★ ()
Ответ на: комментарий от as33

поддерживать можно что угодно, вопрос в разумности. Последние мои тесты ipsec vs. openvpn udp, очень большой разницей в производительности не отличались. Хз, может быть на очень толстых каналах будет разница, но для ендюзерских юзкейсов всетаки удобнее openvpn.

В ipsec бесит не сложность инфраструктуры. Бесит несовместимость протоколов. ipsec у openbsd свой, у линукс свой у cisco свой. И если хочется все это завести вместе, то вся инфраструктура превращается в набор костылей.

mrdeath ★★★★★ ()
Ответ на: комментарий от PolarFox

когда мы будем старыми и дряхлыми наступит эпоха ipv6 и там наверное можно будет пользоваться ipsec без костылей :)

mrdeath ★★★★★ ()
Ответ на: комментарий от mrdeath

>Бесит несовместимость протоколов. ipsec у openbsd свой, у линукс свой у cisco свой.

Не подскажете, чего бы на эту тему почитать. А то мне казалось, что ipsec в отличии от vpn в целом достаточно стандартизован.

Lonli-Lokli ★★ ()
Ответ на: комментарий от mrdeath

>Приехал сейлз в какую-нибудь жопу, хочет свой любимый rdesktop, а фигушки.
Это неправильная методология работы в сети. Сейлз должен не rdesktop'ом ходить, а получать свои ресурсы там, где он их запросил. А для того, чтобы он их не перекачивал тупо к себе, ресурсы должны быть расположены на серверах. При централизованной системе, когда на рабочих станциях находится самый минимум, rdesktop'ы - это ДИКОСТЬ

DRVTiny ★★★★★ ()
Ответ на: комментарий от DRVTiny

> А для того, чтобы он их не перекачивал тупо к себе, ресурсы должны быть расположены на серверах.

Сейлз должен не rdesktop'ом ходить, а получать свои ресурсы там, где он их запросил.


Зачем качать их себе? Рессурсы на сервере. Эрдесктопом тоже ходят на сервер.

Lumi ★★★★★ ()
Ответ на: комментарий от DRVTiny

:) это еще один «сферический солюшин в вакуме».

В реальной жизни ты приходишь к клиенту, он тебе говорит «хочу доступ к докам компании из интернета». Ты ему рассказываешь про электронный документооборот, crm и прочее. Высылаешь ему счет на 10 штук денег. Приходит второй сейлз и впаривает ему rdesktop + vpn за 3 штуки. Ты в жопе.

Правильность солюшина в конкурентном рынке зависит только от стоимости/откатов, а не от религиозных взглядов.

mrdeath ★★★★★ ()
Ответ на: комментарий от Lumi

А зачем ходить на сервер за ресурсами, если сервер это может предоставить удалённо. И даже не надо будет передавать картинку рабочего стола и мышки с приемлемой частотой. По ВПН можно спокойно зайти в домен и смотреть все доступные расшаренные ресурсы в сети. Если используется перемещаемый профиль - получить все свои настройки, а если в этом перемещаемом профиле HKCU-ветка реестра подключает Мои документы как сетевой диск, то вряд ли юзеру будет вообще дело какое-то до того, откуда именно и как именно он работает.

DRVTiny ★★★★★ ()
Ответ на: комментарий от mrdeath

>Ты ему рассказываешь про электронный документооборот, crm и прочее.
Нет, я ему рассказываю о том, что есть такая чудесная штука, едва ли не лучшее, что было придумано в Microsoft - понятие ДОМЕНА. И это очень полезное понятие позволяет делать всё перечисленное. А если есть Microsoft Exchange для коллаборэйшн, а не чисто для почты (последнее больше похоже на забивание гвоздей микроскопом), то даже больше, чем всё перечимленное. И при этом таки да - не нужно совершенно использовать сервер в качестве личного десктопа.

DRVTiny ★★★★★ ()
Ответ на: комментарий от DRVTiny

и причем тут это? Ты пост перечитай на что отвечал. И потом расскажи как домен и эксчейндж заменит какой-нибудь консольный oracl'овский crm и безопасный доступ к нему.

mrdeath ★★★★★ ()
Ответ на: комментарий от Lonli-Lokli

про «несовместимость протоколов» - это ложь. ipsec совместим на разных ОС. возьмите доки любого ipsec софта и почитайте раздел interoperability. циско сделало пару несовместимых реализаций, нарушающих стандарты. если я правильно знаю, они постепенно отмирают.

anonymous ()
Ответ на: комментарий от anonymous

Эти цисковские протоколы как то завязаны на ipsec, или просто ещё один самодостаточный vpn?

Lonli-Lokli ★★ ()
Ответ на: комментарий от DRVTiny

> А зачем ходить на сервер за ресурсами, если сервер это может предоставить удалённо. И даже не надо будет передавать картинку рабочего стола и мышки с приемлемой частотой. По ВПН можно спокойно зайти в домен и смотреть все доступные расшаренные ресурсы в сети. Если используется перемещаемый профиль - получить все свои настройки, а если в этом перемещаемом профиле HKCU-ветка реестра подключает Мои документы как сетевой диск, то вряд ли юзеру будет вообще дело какое-то до того, откуда именно и как именно он работает.

Идите проспитесь, теоретик. Сосать перемещаемый профиль в каком-нибудь Верхнекукуевсе по рвущемуся gprs придётся дольше чем всё время командировки. В то же самое время по RDP можно получить на терминальном сервере и профиль и стол и диски и реестр. При этом (внезапно) можете это делать через vpn.

Lumi ★★★★★ ()
Ответ на: комментарий от Lumi

И остается одно НО. А конкретно то что документы должны лежать на сетевых дисках, а в остальном профиль почти ничего не весит и даже по жопорезу в деревне синхронизируется весьма резво. Ну максимум несколько минут подождать придется. А вот RDP тупить будет на протяжении всего сеанса работы...

Storm_ ()
Ответ на: комментарий от Storm_

Ещё один теоретик.
Зачем тебе пустой профиль без пользовательских файлов?
Плюс к тому могут понадобиться тяжёлые приложения охочие до жирного трафика с серверами на работе.

Lumi ★★★★★ ()
Ответ на: комментарий от Lonli-Lokli

циско использует в своих продуктах как стандартный ipsec, так и собственные реализации vpn, основанные на ipsec.

anonymous ()
Ответ на: комментарий от Storm_

PS: мне как-то пофиг кто чем пользуется и кто чего считает, грамотная работа в том и заключается, чтобы были созданы любые варианты для комфортной работы без бутылочных горлышек. А вот стремление показать свою элитность измышлениями о дикости, говорит скорее об обратном.

Lumi ★★★★★ ()
Ответ на: комментарий от anonymous

Посмотрю ка я еще раз на ipsec. :) Может в самом деле что поменялось в лучшую сторону.

mrdeath ★★★★★ ()
Ответ на: комментарий от mrdeath

вот уж не знаю, поменялось ли что-либо на самом деле. на моих задачах все распрекрасно работало три года назад, и сейчас точно так же прекрасно работает.

документация на ipsec, конечно, своеобразная.

anonymous ()
Ответ на: комментарий от Lumi

>Сосать перемещаемый профиль в каком-нибудь Верхнекукуевсе по рвущемуся gprs придётся дольше чем всё время командировки

Это вы мне для начала расскажите, что вы там сосать в перемещаемом профиле собрались. А то прямо животрепещущуий вопрос получается о том, как через gprs гнать картинку с удалённого монитора. И давайте всё-таки не забывать о том, что если уж мы говорим об rdesktop и каком-то другом клиент-серверном приложении, то вот и нужно конкретно сравнивать потребление трафика тем и другим в единицу времени. Даже с очень эффективным сжатием и соотв.-но очень дерьмовой картинкой rdesktop - пример одного из весьма жадных до трафика клиент-серверов.

DRVTiny ★★★★★ ()
Ответ на: комментарий от DRVTiny

упал гепереес, в процессе при сохранении локально измененного файла на удаленный каталог, и что? в случае rdp просто отвалиться сессия. можно заново соединиться и продолжить работу на том месте, где она была прервана.

картинку гнать довольно неплохо, по асинхронному каналу. можно удаленно обрабатывать данные сколь угодно больших размеров.

anonymous ()
Ответ на: комментарий от anonymous

>упал гепереес, в процессе при сохранении локально измененного файла на удаленный каталог, и что

И ничего, получите сообщение «невозможно сохранить файл». Сохраните его как только восстановится соединение. То же самое можно сказать о редактировании файла по rdp: так хоть человек делает это с локальной копией, и никакие gprs ему не помеха, а так gprs отвалился - ждём.. gprs медленный - работа превращается в мучительное слайд-шоу. И нахрена это надо?

DRVTiny ★★★★★ ()
Ответ на: комментарий от DRVTiny

> Это вы мне для начала расскажите, что вы там сосать в перемещаемом профиле собрались.
Иди матчасть изучай, теоретик.

И давайте всё-таки не забывать о том, что если уж мы говорим об rdesktop и каком-то другом клиент-серверном приложении, то вот и нужно конкретно сравнивать потребление трафика тем и другим в единицу времени.

Друк! Я это и пытаюсь донести до тебя. Чтобы ты не писал здесь глупости умными словами.

Даже с очень эффективным сжатием и соотв.-но очень дерьмовой картинкой rdesktop - пример одного из весьма жадных до трафика клиент-серверов.

Теоретики такие забавные зверушки, оказывается.

Lumi ★★★★★ ()
Ответ на: комментарий от DRVTiny

> То же самое можно сказать о редактировании файла по rdp: так хоть человек делает это с локальной копией, и никакие gprs ему не помеха, а так gprs отвалился - ждём.. gprs медленный - работа превращается в мучительное слайд-шоу. И нахрена это надо?

Ума не хватает понять, когда нужно пересасывать файлы, а когда гонять картинки и клики? Сочувствую.

Lumi ★★★★★ ()

OpenVPN + Quagga - ещё и динамическая маршрутизация по резервным каналам. И всё те же соединения точка-точка и сеть-сеть. Сеть-сеть получается маршрутизация + соединение типа точка-точка между маршрутизаторами.

turtle_bazon ★★★ ()
Ответ на: комментарий от DRVTiny

> gprs медленный - работа превращается в мучительное слайд-шоу.

Моя парктика rdp говорит о другом. :) В гпырсе поставь 8 бит на канал. И будет тебе счастье. :)

turtle_bazon ★★★ ()
Ответ на: комментарий от DRVTiny

> Даже с очень эффективным сжатием и соотв.-но очень дерьмовой картинкой rdesktop - пример одного из весьма жадных до трафика клиент-серверов.

Ты, наверное, VNC не пробовал. Нет, в итоге у меня и VNC на медленных каналах работал, но картинка была хуже. Значительно.

turtle_bazon ★★★ ()
Ответ на: комментарий от Lumi

Вы - кусок демагога. На аргументацию троллингом по-моему ещё до заверщения полового созревания перестают отвечать. Даже если вы администрируете nix'ы, о Windows-доменах можно было бы хоть что-то знать.

DRVTiny ★★★★★ ()
Ответ на: комментарий от turtle_bazon

Зачем так извращаться вы мне объясните? Людям чаще всего нужна почта и самые обыкновенные доки, созданные в мсофисе. Если им нужно что-то очень тяжёлое и реально тянущее сотни мегабайт туда-сюда, можно и rdp юзать. Только я знаю реальных людей и чем они пользуются - для этого не нужно rdp вообще ни разу!

DRVTiny ★★★★★ ()
Ответ на: комментарий от DRVTiny

о, почту вспомнили! реальные люди по почте пересылают десятки мегабайт вложений! что, через гепереес в Верхнекукуевске прикажете такую почту получать?

anonymous ()
Ответ на: комментарий от anonymous

>реальные люди по почте пересылают десятки мегабайт вложений!
За такие вещи реальные люди могут лишиться почты :) У нас же например стоит Zimbra и у неё есть развитый веб-интерфейс. Вообще веб-морды в данном случае рулят.

DRVTiny ★★★★★ ()
Ответ на: комментарий от DRVTiny

лишать людей почты - это интересный и, вероятно, перспективный для бизнеса подход. могу только заметить, что применяется он далеко не всеми и далеко не везде.

зимбра - это хорошо. но все-таки непонятно, какие же именно преимущества предоставляет веб-интерфейс зимбры для работы с упомянутыми вложениями большого размера при подключении через медленный неустойчивый канал связи из Верхнекукуевска?

anonymous ()
Ответ на: комментарий от anonymous

Хорошая штука, но в железе её редко реализуют и версия под оффтопик страдает пренеприятными багами.

Да в общем-то пофиг как редко ее реализуют в железе, но в моем железе оно есть, и версии под винду у меня багами не страдают :-)

no-dashi ★★★★★ ()
Ответ на: комментарий от Storm_

А вот RDP тупить будет на протяжении всего сеанса работы

Ыыыы... Весь твой бред про замечательную работу без RDP я утоплю одним только примером - маленькое приложение на MSAccess, с базой в 20 мегабайт, лежащей на сервере :-) Кроме того, микрософт нынче (в 2008 винде) наконец таки дошла до публикации приложений, и можно с удаленного сервера запускать одно отдельно взятое приложение, а в остальном работать локально, даже не будучи в домене - идеальный расклад для разъездных сотрудников.

no-dashi ★★★★★ ()
Ответ на: комментарий от DRVTiny

>едва ли не лучшее, что было придумано в Microsoft - понятие ДОМЕНА

Точно-точно! А еще в Microsoft изобрели мышку и оконный интерфейс. И вообще, Редмонд - родина слонов.

anonymous ()
Ответ на: комментарий от anonymous

>А еще в Microsoft изобрели мышку и оконный интерфейс.
А теперь мы резко начинаем косить под дурачка. Вообще-то домены разные бывают, из контекста только совсем тупому непонятно, что речь идёт о Windows-домене.
Ну и таки даже если не они изобрели мышку, они её определённо лучше многих реализовали, недаром их мыши и веб-камеры с клавиатурами так популярны.

DRVTiny ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.