Всем доброе время суток.
Помогите разобраться, как сделать. У организации два здания, основное, где есть серверная и офисные работники, а так же дополнительное здание, где только офисные работники, два здания соединены оптоволокном через провайдера. В организации две физически разделенные сети Intranet и Internet, но IP адресация одинаковая раздается по DHCP, необходимо организовать связь между зданиями так, что бы две сети были разграничены между собой на транспортном уровне (думал настроить VLAN, но оборудование провайдера снимает тег VLAN-а в пакете). Сейчас есть идея, поднять VLAN на коммутаторах, затем поставить FreeBSD и организовать мост между зданиями с шифрацией, что бы тег VLAN-а не снимался. Что скажете, может что-то посоветуете?
>[оверквотинг удален]
> Помогите разобраться, как сделать. У организации два здания, основное, где есть серверная
> и офисные работники, а так же дополнительное здание, где только
> офисные работники, два здания соединены оптоволокном через провайдера. В организации две
> физически разделенные сети Intranet и Internet, но IP адресация одинаковая раздается
> по DHCP, необходимо организовать связь между зданиями так, что бы две
> сети были разграничены между собой на транспортном уровне (думал настроить VLAN,
> но оборудование провайдера снимает тег VLAN-а в пакете). Сейчас есть идея,
> поднять VLAN на коммутаторах, затем поставить FreeBSD и организовать мост между
> зданиями с шифрацией, что бы тег VLAN-а не снимался. Что скажете,
> может что-то посоветуете?Я ничего не понял. Схемой можете изобразить?
Сейчас схему подключения я вижу так, мост шифрует данные|cisco VLAN1| |cisco VLAN1|
==========|--|FreeBSD|--Мост --|FreeBSD|--|==========
|cisco VLAN2| |cisco VLAN2|
>[оверквотинг удален]
>
>
> |cisco VLAN1|
> ===========|--|FreeBSD|--Мост --|FreeBSD|--|===========
> |cisco VLAN2|
>
>
>
>
> |cisco VLAN2|Вот так стало ясней. А провайдер не может вам транки отдавать?
В этом и проблема, если бы отдал, не возникло бы вопросов.
> В этом и проблема, если бы отдал, не возникло бы вопросов.поверх openvpv с tap можно было бы попробовать
>> В этом и проблема, если бы отдал, не возникло бы вопросов.
> поверх openvpn с tap можно было бы попробоватьпоставил openvpn c tap, но что то мне подсказывает, что трафик идет параллельно туннелю.
TUN/TAP read bytes,0
TUN/TAP write bytes,0
TCP/UDP read bytes,996
TCP/UDP write bytes,248
Auth read bytes,313
ENDКак его в тунель завернуть, сеть одна?
>[оверквотинг удален]
>> поверх openvpn с tap можно было бы попробовать
> поставил openvpn c tap, но что то мне подсказывает, что трафик идет
> параллельно туннелю.
> TUN/TAP read bytes,0
> TUN/TAP write bytes,0
> TCP/UDP read bytes,996
> TCP/UDP write bytes,248
> Auth read bytes,313
> END
> Как его в тунель завернуть, сеть одна?таблицу маршрутизации покажите
>[оверквотинг удален]
>> параллельно туннелю.
>> TUN/TAP read bytes,0
>> TUN/TAP write bytes,0
>> TCP/UDP read bytes,996
>> TCP/UDP write bytes,248
>> Auth read bytes,313
>> END
>> Как его в тунель завернуть, сеть одна?
> таблицу маршрутизации покажите
> http://xgu.ru/wiki/OpenVPN_Bridgeесли предполагается много подсетей пускать через vpn, то сделайте его шлюзом по умолчания, прописав маршруты к серверу(клиенту) через провайдера
получилось без шлюзов, с помощью моста, как я и хотел
осталось одно, надо как-то к интерфейсу моста прикрутить интерфейс туннеля. В rc.local прописал, но не помогло, так как на момент загрузки тоннеля нет, пока приходится в ручную добавлять.
> получилось без шлюзов, с помощью моста, как я и хотел
> осталось одно, надо как-то к интерфейсу моста прикрутить интерфейс туннеля. В rc.local
> прописал, но не помогло, так как на момент загрузки тоннеля нет,
> пока приходится в ручную добавлять.повесте скрипты в vpn на --up, --down
> повесте скрипты в vpn на --up, --downМожно поподробнее, что за --up и --down, где и как они прописываются или ссылку на описание.
>> повесте скрипты в vpn на --up, --down
> Можно поподробнее, что за --up и --down, где и как они прописываются
> или ссылку на описание.http://openvpn.net/index.php/open-source/documentation/manua...
http://tuxnotes.ru/articles.php?a_id=26
> повесте скрипты в vpn на --up, --downвыдает следющее сообщение, как можно разрешить выполнение скрипта?
penvpn_execve: external program may not be called unless '--script-security 2' or higher is enabled. Use '--script-security 3 system' for backward compatibility with 2.1_rc8 and earlier. See --help text or man page for detailed info.
>> повесте скрипты в vpn на --up, --down
> выдает следющее сообщение, как можно разрешить выполнение скрипта?
> penvpn_execve: external program may not be called unless '--script-security 2' or higher
> is enabled. Use '--script-security 3 system' for backward compatibility with
> 2.1_rc8 and earlier. See --help text or man page for
> detailed info.он же сам сказал
script-security 3
Спасибо, все получилось.
> В этом и проблема, если бы отдал, не возникло бы вопросов.И где в схеме провайдер? Какую услугу подает провайдер?
> Вот так стало ясней. А провайдер не может вам транки отдавать?А вы согласны внутренний траффик в открытом виде ч\з провайдера гонять?
Готовьте вазелин к визиту стражей безопасности :)
>> Вот так стало ясней. А провайдер не может вам транки отдавать?
> А вы согласны внутренний траффик в открытом виде ч\з провайдера гонять?
> Готовьте вазелин к визиту стражей безопасности :)MPLS + шифрование
> MPLS + шифрованиеУгу начали с прокида транка, а кончили MPLS+ ... чтобы соединить два здания ...
Если мы Газпром окучиваем - дык предупреждать надо! :-)
>> MPLS + шифрование
> Угу начали с прокида транка, а кончили MPLS+ ... чтобы соединить два
> здания ...
> Если мы Газпром окучиваем - дык предупреждать надо! :-)А что провайдер не может соединить 2-м уровнем? Не поверю.