VPN propojeni tri pobocek s Centos 5.2

Martin Kraus lists_mk na wujiman.net
Pátek Listopad 7 11:04:04 CET 2008 

On Fri, Nov 07, 2008 at 09:22:09AM +0100, Pavel Janoušek wrote:
> 	Dobře zeptám se jinak, Vám (klidně i za podmínky vypnutého UAC, ale 
> s odebráním práva local admin) funguje následující (teoretická) konfigurace:
> 
> - OpenVPN server 2.X.X (server)
> - OpenVPN server/klient 2.X.X (stanice)
> - veškeré nastavení je na straně serveru (CA, routování, scope viditelné 
> 	sítě za serverem, parametry spojení...)
> - na straně klienta
> 	- OpenVPN jako služba
> 	- definice spojení jen v rozsahu, kde najdu klientský certifikát 
> 		pro autentizaci (ev. pre-shared key), IP adresa OpenVPN serveru,
> 		který virt. iface použít (TUN)
> 	- nahození RW spojení (využitím aktuálního Internetového připojení 
> 		- předpokládá se jakákoli obdoba dial-up-u (WiFi, ADSL, 
> 		kavárna...)) via OpenVPN GUI nebo ekvivaletně komfortním 
> 		způsobem (zde bych připustil i 2 ikony na ploše "tunel-up" a 
> 		"tunel-down"
> 
> 	Pokud ano, můžete se prosím blíže rozepsat jaké verze OpenVPN 
> a OS použít na stanici a jakým způsobem nakonfigurovat OpenVPN klienta
> a GUI (či ekvivalent) tak, aby vše fungovalo, jak zřejmě oba požadujeme
> (a jsme ve shodě i co se týče maintenance takové sítě).

nechapu v cem je problem. openvpn na tap interfacu, tap interface se
jednoduchym skriptem automaticky prida do bridge ve ktere je i interface pro
danou sit.
konfigurace pres dhcp stejne pro vsechny klienty nezavisle na tom, kde sedi. 
dhcp umi nastavit cidr routy plus spoustu dalsich veci, pripadne naprosto cokoliv 
chcete (to samozrejme ne pro windows, mluvim tu o pouzitelnem dhcp serveru/clientu, 
ovsem to neni problem openvpn).

parametry spojeni neni potreba resit, bezi to po udp, zadne silene ike, zadne
silene automaticke detekce ipsec tunelu na ciscu skrz nat atd. pokud potrebuju
natovat openvpn, pouhy dnat staci.

klient obsahuje dns serveru a pak ip adresu pro pripad, ze by se dns
neresolvovalo (dns je tam proto, ze kdyz menite adresu tak zmenite dns a
pojede to bez rekonfigurace klientu, pripadnou zmenu ip provedete az casem. na
unixech neni potreba nutne delat vypadky).
    
dale klient obsahuje CA a jmeno tap interfacu ( neni nutne, umi si to alokovat
automaticky, ale ja mam rad sve interfacy staticky pojmenovane )

pro nahozeni pouzivam sudo, protoze jsem terminalovy clovek, ale je k tomu
klikator pro network-manager ktery autentifikaci ziskava pres gksu (tedy gui
rozhrani pro sudo) . 
kolegove to nastavuji klientum na windows, ale to jsem delal jenom jednou, kdyz 
jsem vymyslel jak obejit windowsi neschopnost s cimkoliv normalne pracovat. uz
si to diky bohu nepamatuji, ale pry jim to v pohode funguje a rikaji mi, 
ze klienti si to pochvaluji.

tohle vsechno me funguje ve stejnem nastaveni at je server fullfledged debian
nebo krabicka s openwrt za 1500kc. mam ozkousenou konfiguraci pro tun i tap
mezi debianem (server i client), openwrt (server i client), a diky tomu, ze to 
od nas maji i klienti na windows, tak windows.

udelam osi lvl3 ci lvl2 bez problemu stejnym nastrojem, mam spoustu moznosti 
na konfigurace cehokoliv pomoci jednoduchych skriptu.  jak to jednou
nakonfiguruji, tak uz o tom neslysim. 

ted mi reknete duvod, proc bych mel kamkoliv davat cisco ci jinou podobnou
krabicku? rad bych, abyste mi ukazal cisco za 1500kc, ktere dokaze tohle
vsechno. 

s pozdravem
mk

Další informace o konferenci Linux