Jump to content
BulForum.com

VPN server

Rangy

By Rangy
in Unix / Linux OS и Software

Recommended Posts

Rangy Напреднал Член

Rangy

Posted
Posted

Търся решение за VPN сървър, който ще събира връзките от 4-5 различни офиса. Естествено, че може да се направи нещо от OpenVPN или OpenSWAN, но търся мнеие за нещо, което е bundle. Просто трябва да стане доста бързо. Освен това трябва да е свободно (абе, може и да е платено :/ ако има читава демо версия или evaluation key поне за 30 дни).

 

Примерно възможни решения са:

http://www.clarkconnect.org/

http://www.astaro.com/

http://www.devil-linux.org/

http://www.ipcop.org/

http://redwall.sourceforge.net/

http://www.sentryfirewall.com/

http://www.trustix.org/

http://www.smoothwall.org/

 

Последното, като че ли най-ме изкефи, но няма добро демо. IPcop също май е нещо читаво, но нямам излишен диск да го "утрепя" с инсталацията.

Някой да е пробвал нещо от по-гореизброеното?

Link to comment
Share on other sites
ov3rm4n Шеф на Водопад

ov3rm4n

Posted
Posted

IPCop по същество е SmoothWall - форк на проекта просто се е получил още в началото... Това на smoothwall.org не е демо - говря за SmoothWall Express 2.0 - а напълно функционална система без никакви ограничения - просто я свали и я изпробвай и ще се убедиш... От другите нямам впечатления големи... Но не ми се е налагало да ги пробвам, защото SmoothWall просто си има всичко което до момента ми се е налагало да ползвам.

Link to comment
Share on other sites
Rangy Напреднал Член

Rangy

Posted
  • Author
Posted
ето още инфо: linux-bg.org

 

10х за акълите.

На linux-bg изчетох всичко, има добри идеи, но там се засягат връзки предимно 1:1, а мен ми трябва нещо "по-така". Т.е. връзка 12(и повече) към 1. Затова и търся решение, което е хем управляемо, хем да се настройва/разширява лесно.

vtun също е ОК, ама е "малко" встрани от стандартите. В момента работещото решение е CIPC, което обаче има проблеми с репликациите на политиките на бозата (нема начин, трябва да се сменя).

Насочил съм се твърдо към IPSEC, ама не мога да намеря продукт (х/SWAN базиран), който да ми свърши работа.

Търсенето продължава :)

Link to comment
Share on other sites
netrootbg Jedi Master

netrootbg

Posted
Posted
Насочил съм се твърдо към IPSEC, ама не мога да намеря продукт (х/SWAN базиран), който да ми свърши работа.

Търсенето продължава :)

FreeS/WAN

Предполагам че това си го видял.

Link to comment
Share on other sites
Godfather Jedi Master

Godfather

Posted
Posted
10х за акълите.

На linux-bg изчетох всичко, има добри идеи, но  там се засягат връзки предимно 1:1, а мен ми трябва нещо "по-така". Т.е. връзка 12(и повече) към 1. Затова и търся решение, което е хем управляемо, хем да се настройва/разширява лесно.

vtun също е ОК, ама е "малко" встрани от стандартите. В момента работещото решение е CIPC, което обаче има проблеми с репликациите на политиките на бозата (нема начин, трябва да се сменя).

Насочил съм се твърдо към IPSEC, ама не мога да намеря продукт (х/SWAN базиран), който да ми свърши работа.

Търсенето продължава :)

 

Дай малко по-подробно разяснение на схемата. Доколкото разбирам, имаш ситуацията от 12 или повече Roadwarriors (отдалечени виндовски машини), които трябва да се вържат към корпоративната мрежа през VPN/IPSec gateway. В този случай x/SWAN върши идеална работа, при положение, че се използват предварително разпределени секретни ключове за автентикация.

Link to comment
Share on other sites
Rangy Напреднал Член

Rangy

Posted
  • Author
Posted
Дай малко по-подробно разяснение на схемата. Доколкото разбирам, имаш ситуацията от 12 или повече Roadwarriors (отдалечени виндовски машини), които трябва да се вържат към корпоративната мрежа през VPN/IPSec gateway. В този случай x/SWAN върши идеална работа, при положение, че се използват предварително разпределени секретни ключове за автентикация.

 

Не са Roadwarrior-и, ами пак Linux GW (всеки gw засега е пак Линукс. Може да стане и PIX, ама не дай боже!!!) и са с фиксирани адреси. Дали са с RSA, PKS или X509 сертификати, не е от значение за мен.

Примерно:

 

+--- 10.100.1.1 --- gwA --- 10.1.1.0/24

|

+--- 10.100.1.2 --- gwB --- 10.1.2.0/24

|

+--- 10.100.1.3 --- gwC --- 10.1.3.0/24

...

|

+--- 10.100.1.aaa --- gw --- 10.1.bbb.0/24

 

Дано ASCII схемата да е ясна :) Прави се ipsec м/у 10.100.1.0 /24 интерфейсите. Всеки от 10.1.Х.0/24 трябва да може да вижда всеки.

Откъде ми идват големите проблеми (най-големият е, че колкото повече затъвам в нещата, толкова повече въпроси изникват. Познато, а?):

- избор на ядро. Който е чоплил в този ад му е ясно за какво иде реч. В 2.4.х нещата са по-ясни. Там има ipsecX за всеки тунел. В 2.6.х там пък нещата са по-съвременни и по-добре направени, но няма тунелни интерфейси. Вероятно ще се спра на 2.4.x защото това 26sec, KLIPS, native mode напрао ме закла. Има да чета още много, а вече трябва да имам готово решение.

- "оправяне" на iptables. И тук е направо ад. Няма нищо общо м/у внедряването за два интерфейса и повече от два интерфейса. Рутинга е направо нещо невероятно (в отрицателният смисъл), защото в 2.6.х там няма интерфейси (както написах и по-горе) и всичко се премята не ми стана ясяно презкъде и към къде (едното решение е mangle на пакетите криптираните пакети). Няма и нищо общо м/у таблиците за 2.4.х и 2.6.х. Просто се прави по различен начин и на различен принцип.

- трябва да е възможно най-стандартно, т.е. да е ipsec. Това е положението.

 

Само да подчертая: предварително благодаря много за помощта, но ми трябва многопортово свързване. В нашето Линукс пространство (пък и не само там) не съм намерил добре описано решение - писаното в linux-bg.org е изчерпателно, но не ми върши работа. Т.е. дотам, докъдето са стигнали авторите съм я докарал, търся какво да се прави по-нататък.

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.

Go to topic listing
×
×
  • Create New...