https://opennet.me/openforum/vsluhforumID3/4980.html Евгений Ломакин прислал статью с описанием объединения удаленных локальных сетей используя шифрованный туннель, созданный при помощи пакета OpenVPN (http://openvpn.net/). Настройки приводятся как для Linux, так и для FreeBSD.<br><br>URL: http://www.opennet.ru/base/net/openvpn_setup.txt.html<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=4945<br> https://opennet.me/openforum/vsluhforumID3/4980.html#26 Wed, 22 Jun 2005 12:04:16 GMT &gt; openssl reg -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650 <br><br>получил вот такое:<br><br>openssl:Error: 'reg' is an invalid command.<br><br>root#boar[p0]/home/nemo&gt;uname -a<br>FreeBSD boar.xxx.com 4.7-STABLE FreeBSD 4.7-STABLE #0: Fri Oct 25 16:41:59 EEST 2002 root@boar.xxx.com:/usr/src/sys/compile/BOAR i386<br>root#boar[p0]/home/nemo&gt;<br><br>root#boar[p0]/home/nemo&gt;pkg_info &#124; grep open<br>openldap-client-2.2.26 Open source LDAP client implementation<br>openssl-0.9.7g SSL and crypto library<br>openvpn-2.0_3 Secure IP/Ethernet tunnel daemon<br>root#boar[p0]/home/nemo&gt;<br><br> https://opennet.me/openforum/vsluhforumID3/4980.html#25 Thu, 03 Feb 2005 13:19:19 GMT &gt;Значит надо организовать VPN сервак, тока где он должен работать в DMZ, <br>&gt;или в самой локалке... <br>&gt;PPTP работать здесь наверно не будет, т.к. NAT. А OpenVPN будет работать? <br><br>OpenVPN-сервер в данном случае лучше ставить на пограничный роутер.<br>Можно поставить и DMZ, но тогда на всех хостах, которые должны взаимодействовать с филиальными хостами, придется прописывать отдельный маршрут(ы) для филиалов.<br><br>Могу добавить, что OpenVPN -очень хороший выбор!<br>По моему опыту OpenVPN совершенно нормально работает в массе сетевых конфигураций:<br>1) Филиал имеет свою выделенку с фикисированным реальным ip-адресом;<br>2) Филиал имеет свою выделенку с "серым" ip-адресом и сидит за НАТ-ом;<br>3) Филиал имеет свою выделенку с динамическим ip-адресом (в том числе dial-up и GPRS);<br>4) Филиал использует dial-up соединение с центральным офисом, минуя интернет вообще.<br>Причем, при наличии соответсвующих разрешений в файерволле, может невидимо для приложений переходить с одного маршрута на другой.<br>В частности, оракловая реплик https://opennet.me/openforum/vsluhforumID3/4980.html#24 Tue, 01 Feb 2005 17:19:12 GMT &gt;Нафиг такие решения. Сегодня этот OpenVPN есть а завтра уже нет. Необходимо <br>&gt;опираться на стандарты (вернее на реализации стандартов) а не на наколенные <br>&gt;приложения с неясным будущим. <br><br>Видите ли, если бы эти стандарты ещё давали работать как следует... Например, PPTP. Стандарт, отлично. Только вот в чём проблема: если пакеты фрагментируются на входе в туннель (что типично для случая низкого MTU), а по дороге к другой стороне есть раутеры с хитрой политикой переупорядочения или load-balancing'ом, то вторые половинки фрагментов придут раньше первых. А в PPTP жёстко сказано, что при приходе пакетов<br>не по порядку имеющие seq (в GRE заголовке) меньше предыдущих - дропаются нафиг.<br>Сделано это для того чтобы управляющие пакеты PPP не путались. OK, не путаются. А пакеты данных при чём тут??<br>Дробить пакеты на выходе тоже сложно - заметная часть клиентов такого не понимает.<br>Результат - у нас есть категория клиентов у которых PPTP не работает в принципе, потому что повлиять на провайдеров по дороге нельзя.<br> https://opennet.me/openforum/vsluhforumID3/4980.html#23 Sat, 29 Jan 2005 20:00:07 GMT Не много оффтоп.<br>Нужно на предпритятии организовать VPN, чтоб пользователи из филиалов могли заходить читать и забирать почту с нашего почтового сервера, расположенного в локальной сети. она же соединяеться с инетом таким образом:<br><br>[inet, роутер, NAT и переброс пакетов на внутренний ip и порт]<br> &#124;<br>[DMZ сервера, почтовый шлюз на postfix]<br> &#124;<br>[локальная сеть и в ней же стоит сам exchange]<br><br>Значит надо организовать VPN сервак, тока где он должен работать в DMZ, или в самой локалке... <br>PPTP работать здесь наверно не будет, т.к. NAT. А OpenVPN будет работать?<br><br> https://opennet.me/openforum/vsluhforumID3/4980.html#22 Sat, 22 Jan 2005 09:38:23 GMT Простите, что хорошего в том, что процесс один? я вот считаю это большим минусом, сравнивая с linux-овым poptop+pppd... Упавший (или специально опущенный) poptop совершенно не мешает уже подключенным людям работать. И нагрузка на проц, несмотря на суперперспективность нетграфа и прочие его псевдопрелести больше у mpd, чем у pppd+poptop... :-\<br><br>А соединять две сетки через pptp - как-то неправильно, учитывая, что pptp - какашка... https://opennet.me/openforum/vsluhforumID3/4980.html#21 Fri, 21 Jan 2005 08:49:25 GMT Is OpenVPN standards-compliant?<br><br>As a user-space VPN daemon, OpenVPN is compatible with with SSL/TLS, RSA Certificates and X509 PKI, NAT, DHCP, and TUN/TAP virtual devices.<br><br><br>Чем Вам не реализация стандартов? https://opennet.me/openforum/vsluhforumID3/4980.html#20 Fri, 21 Jan 2005 07:09:22 GMT Стабильно, и просто.<br>Проект жить будет.<br><br> https://opennet.me/openforum/vsluhforumID3/4980.html#19 Fri, 21 Jan 2005 05:53:27 GMT MPD штука хорошая, только вот netgraph никуда не портирован!..<br><br>А так, мне MPD очень нравилась... https://opennet.me/openforum/vsluhforumID3/4980.html#18 Fri, 21 Jan 2005 05:26:36 GMT А MPD не катит? Все очень даже "шоколадно" как говорит ZOD. Процесс 1 клиентов несколько (сейчас около 10-15 единовременно) у всех примерно одинаковые настройки за исключением некоторых нюансов по желанию клиента. Все данные и аккаунтинг на radius завернуто. Работет через netgraph (появляются интефейсы ng0, ng1, ...). Клиенты виндовые, линуксовые, бсдэшные.