Связать 2 офиса через инет
Vasilij Olhovik
Поставлена мне задачка изучить возможность связи удалённого офиса с
основным. Собсно 128 КБит/с хватит (для ts с избытком).
А вот технологиии, которые при этом надо использовать мне совсем незнакомы,
как они назывеются, где бы почитать?
Задал вопросы нескольким провайдерам - в ответ тягостное молчание, взяли
тайм аут на подумать. Уже неделю думают.
Ближе всего к желаемому Корбина, если 2 офиса через них подключены - гиг
внутреннего трафика 1$.
Тут всё понятно, с той и другой стороны они оставляют rj-45, а дальше уже
что хочешь - то и делай. Да и все остальные предложения так же выглядят.
А я, в первом приближении, вижу, что надо организовать vpn канал или что то
подобное между офисами, при управлении трафиком надо различать трафик идущий
из инета/из офиса и рулить им на этом уровне, а уж потом шарами. В общем за
свои деньги хочется получить решение под ключ, но да же не знаю, как
спросить.
Help, хотя бы терминологический.
--
С уважением Василий Ольховик
o...@mail.ru
2147483647
Safronov A.
"Vasilij Olhovik" <w.ol...@mtu-net.ru> сообщил...
...
> А вот технологиии, которые при этом надо использовать мне совсем незнакомы, как они назывеются, где бы
> почитать?
> Задал вопросы нескольким провайдерам - в ответ тягостное молчание, взяли тайм аут на подумать. Уже неделю
> думают.
> Ближе всего к желаемому Корбина, если 2 офиса через них подключены - гиг внутреннего трафика 1$.
> Тут всё понятно, с той и другой стороны они оставляют rj-45, а дальше уже что хочешь - то и делай. Да и все
> остальные предложения так же выглядят.
> А я, в первом приближении, вижу, что надо организовать vpn канал или что то подобное между офисами, при
> управлении трафиком надо различать трафик идущий из инета/из офиса и рулить им на этом уровне, а уж потом
> шарами. В общем за свои деньги хочется получить решение под ключ, но да же не знаю, как спросить.
> Help, хотя бы терминологический.
Совершенно классическая задачка для VPN :). При наличии связи между точками
подключения офисов по IP (поверх интернет, или поверх внутренней сети провайдера -
по сути, по барабану) делается максимум за пару часов на чём угодно не приходя в
сознание :))).
"Различать трафик" - базовая маршрутизация: статические маршруты для подсетей
"удаленного офиса" через VPN, DG оставляется на IP интернет-шлюза.
При установленном VPN-соединении имеешь для офисов "общую LAN" - какое там
ещё "управление шарами" кроме обычной работы в обычной локалке? ;)
А провайдеры неделю думают... Видимо, не въедут, об чём ты спрашиваешь :) -
с одной стороны, можно сделать всё, что надо, не задавая им ни малейших вопросов,
с другой стороны, раз спрашиваешь - что-то тут не так ;), и надо расписать супер -
пупер технологии да, необходимость доп. оборудования (Cisco, например ;)), шоб
слупить с тебя по полной программе ;)))
--
S. A.
Best regards!
Отправлено через сервер Форумы@mail.ru - http://talk.mail.ru
Vasilij Olhovik
"Safronov A." <aasa...@chat.ru> сообщил/сообщила в новостях следующее:
> Совершенно классическая задачка для VPN :). При наличии связи между
> точками
> подключения офисов по IP (поверх интернет, или поверх внутренней сети
> провайдера -
> по сути, по барабану) делается максимум за пару часов на чём угодно не
> приходя в
> сознание :))).
Спасибо, пошёл искать в инете. Ссылки ведут на Dlink 804 и ISA. А
одного реального IP хватит, там где VPN сервер стоит, или со стороны клиента
то же надо?
> При установленном VPN-соединении имеешь для офисов "общую LAN" - какое
> там
> ещё "управление шарами" кроме обычной работы в обычной локалке? ;)
Меня беспокоило и я не мог понять, каков механизм разделения трафика на
"свой из офиса" и "инетовский внешний". Если провайдер бросает только кабель
и ничего не рекомендует при этом... Этож одна большая дырка. Наверное vpn
подразумевается как само собой разумеещееся.
Safronov A.
"Vasilij Olhovik" <w.ol...@mtu-net.ru> сообщил...
...
> Спасибо, пошёл искать в инете. Ссылки ведут на Dlink 804 и ISA. А
Сейчас трудно найти что-то, что _не_ поддерживает VPN (PPTP/L2TP).
> одного реального IP хватит, там где VPN сервер стоит, или со стороны клиента
> то же надо?
В этом случае нужно что-бы NAT, который выпускает клиента "наружу",
поддерживал трансляцию IP-протокола 47 (GRE) - это для случая PPTP,
с комбинацией IPSec/L2TP я пока не разбирался. На сегодня, как правило,
поддерживается по умолчанию, если отключено - разбираться с
провайдером - уже конкретно :).
...
> Меня беспокоило и я не мог понять, каков механизм разделения трафика на
> "свой из офиса" и "инетовский внешний". Если провайдер бросает только кабель
> и ничего не рекомендует при этом... Этож одна большая дырка. Наверное vpn
> подразумевается как само собой разумеещееся.
VPN - это туннель между двумя IP. Для начала, у тебя есть просто соединение
с сетью. И уж в какой степени оно "дырка" или нет - тебе виднее :).
Дальше - в терминах ISA (или просто RRAS) у тебя появляется дополнительное
Dial-Out соединение, для которого нужно прописать маршруты на IP-подсети, которые
на "той" стороне VPN-туннеля. Собственно, можно влупить туда и Default Gateway,
в этом случае просто клиенты из этого офиса будут сначала поверх VPN попадать
в "тот", а уже оттуда в интернет :). Это на стороне "клиента".
А на стороне, выбранной "сервером" - в терминах того же RRAS создаётся Dial-In
соединение - обладающее всеми теми же качествами, что и обычное модемное.
И опять же, в какой степени является "дыркой" соединение с сетью, поверх которого
будут соединяться с VPN-"адаптером", тебе виднее :). Да, и тут маршруты для офиса -
"клиента" надо прописывать.
Хотя, замечание по поводу маршрутов - что-то прописывать ручками придется
только в том случае, если в офисах больше одной подсети. Если же в обоих
офисах используется по единственной подсети, всё должно настраиваться при
установке соединения автоматически.
А если у тебя в обеих офисах подключение к Корбине - может, лучше пробросить
туннель между их внутренними адресами, без выхода в Inet?
Vasilij Olhovik
> только в том случае, если в офисах больше одной подсети. Если же в обоих
> офисах используется по единственной подсети, всё должно настраиваться при
> установке соединения автоматически.
>
> А если у тебя в обеих офисах подключение к Корбине - может, лучше
> пробросить
> туннель между их внутренними адресами, без выхода в Inet?
Спасибо, это очень неплохая идея.
Safronov A.
"Vasilij Olhovik" <w.ol...@mtu-net.ru> сообщил...
...
>> Хотя, замечание по поводу маршрутов - что-то прописывать ручками придется
>> только в том случае, если в офисах больше одной подсети. Если же в обоих
>> офисах используется по единственной подсети, всё должно настраиваться при
>> установке соединения автоматически.
>>
>> А если у тебя в обеих офисах подключение к Корбине - может, лучше пробросить
>> туннель между их внутренними адресами, без выхода в Inet?
>
> Спасибо, это очень неплохая идея.
Ещё замечание, на всякий случай ;) - при связи через VPN, точно также,
как и вообще при любой связи через маршрутизатор, подсети на разных
"сторонах" соединения обязаны быть _разными_ ;).
--
S.A.
DimSan
>> А если у тебя в обеих офисах подключение к Корбине - может, лучше
>>пробросить
>>туннель между их внутренними адресами, без выхода в Inet?
>
> Спасибо, это очень неплохая идея.
Кое-кто сразу VPN предлагает..
http://rmt.ru/vpn
--
Дим.
Vasilij Olhovik
Dmitriy Ivanov
Вы писали 18 июля 2005 г., 11:14:37:
D> Кое-кто сразу VPN предлагает..
D> http://rmt.ru/vpn
Я единственное могу сказать: имею офис в МСК под этим провом - ноль
нареканий. У них VPN не беру (вяжусь по тырнету по всей РФ), они еще
VoIP предлагают (тоже мне не надо). Но "тырнет" абсолютно без
замечаний.
--
С уважением,
Dmitriy mailto:sa...@mail.ru
Dmitriy Ivanov
Вы писали 17 июля 2005 г., 19:10:10:
SA> Сейчас трудно найти что-то, что _не_ поддерживает VPN (PPTP/L2TP).
Я бы советовал поднимать "чистый" IPSec. Сейчас много
чудо-провайдеров, которые не хотят пропускать через себя GRE. Уроды.
Личный опыт.
--
С уважением,
Dmitriy mailto:sa...@mail.ru
Dmitriy Ivanov
Вы писали 18 июля 2005 г., 11:05:49:
SA> "сторонах" соединения обязаны быть _разными_ ;).
м-да? э.. может я не в ту степь, но настраивая VPN просто указывал
фейковые интерфейсы. вобщем получалось где-то так:
192.168.1.x - реальный ip в инет - 10.0.0.1 - 10.0.0.2 - реальный ip в
инет ╧ 2 - 192.168.4.x
все "десятки" тут виртуальные. или я не о том?
--
С уважением,
Dmitriy mailto:sa...@mail.ru
Safronov A.
"Dmitriy Ivanov" <sa...@mail.ru> сообщил...
...
> SA> "сторонах" соединения обязаны быть _разными_ ;).
>
> м-да? э.. может я не в ту степь, но настраивая VPN просто указывал
> фейковые интерфейсы. вобщем получалось где-то так:
>
> 192.168.1.x - реальный ip в инет - 10.0.0.1 - 10.0.0.2 - реальный ip в
> инет ╧ 2 - 192.168.4.x
>
> все "десятки" тут виртуальные. или я не о том?
Дык 192.168.1.x и 192.168.4.x - таки разные? ;)
Я о том, что нельзя в обеих связываемых сетях иметь, скажем, 192.168.1.x
--
S.A.
Best regards!
Safronov A.
"Dmitriy Ivanov" <sa...@mail.ru> сообщил...
> SA> Сейчас трудно найти что-то, что _не_ поддерживает VPN (PPTP/L2TP).
>
> Я бы советовал поднимать "чистый" IPSec. Сейчас много
> чудо-провайдеров, которые не хотят пропускать через себя GRE. Уроды.
> Личный опыт.
Ну, если есть возможность туннеля внутри одного провайдера, без
выхода наружу вообще, imho, проблемы быть не должно. И потом,
доводилось сталкиваться (в районных сетях) с тем, что не то, чтобы
"не хотят", а просто не понимают, об чём речь ;).
И когда я клиентом, с разных провайдеров, захожу через PPTP к себе
на работу - ни разу не встречал, что б его (GRE) резал кто-нибудь "по
пути". Потенциальный вопрос - только с непосредственным "выходом"...
--
S.A.
Best regards!
Pavel Marenyuk
>
> SA> Сейчас трудно найти что-то, что _не_ поддерживает VPN (PPTP/L2TP).
>
> Я бы советовал поднимать "чистый" IPSec. Сейчас много
> чудо-провайдеров, которые не хотят пропускать через себя GRE. Уроды.
> Личный опыт.
>
--
Всем - всего
Павел pav...@hotmail.com
Dmitriy Ivanov
Вы писали 20 июля 2005 г., 16:05:44:
PM> Если зарезан GRE, что мешает зарезать AH/ESP ?
Павел, убей не знаю, что есть AH/ESP :) Просвети.
--
С уважением,
Dmitriy mailto:sa...@mail.ru
Dmitriy Ivanov
Вы писали 20 июля 2005 г., 14:57:11:
SA> Ну, если есть возможность туннеля внутри одного провайдера, без
SA> выхода наружу вообще, imho, проблемы быть не должно.
Дык, как левая нога прова захочет - так и будет...
SA> И когда я клиентом, с разных провайдеров, захожу через PPTP к себе
SA> на работу - ни разу не встречал, что б его (GRE) резал кто-нибудь
SA> "по пути".
Да, запросто. Был такой Russian Backbone Network [RBNet] у меня между
СПБ и МСК. Между, кажется, nw.ru и comcor.ru (СПБ и МСК
соответственно). Я ум сломал, не понимая, почему я из СПБ, из локалки
нормально на VPN попадаю (стоит mpd, грешил на свою "чайниковость" во
Фре), а из МСК - сосать. В отчаяньи, позвонил питерскому прову и
попросил убить меня. А в ответ: "Не парься, эти орлы режут GRE." Я аж
окукел. Пришлось и звонить, рисовать официальные письма, чтоб они
трафик между двумя хостами пропустили.
А IPSec - он же на уровне IP. Его они зарубить не могут.
--
С уважением,
Dmitriy mailto:sa...@mail.ru
Dmitriy Ivanov
Вы писали 20 июля 2005 г., 14:36:52:
SA> Я о том, что нельзя в обеих связываемых сетях иметь, скажем,
SA> 192.168.1.x
А. Ну, да :) Торможу, ты прав.
--
С уважением,
Dmitriy mailto:sa...@mail.ru
Pavel Marenyuk
> Здравствуйте, Pavel.
>
> Вы писали 20 июля 2005 г., 16:05:44:
>
> PM> Если зарезан GRE, что мешает зарезать AH/ESP ?
>
> Павел, убей не знаю, что есть AH/ESP :) Просвети.
>
Это братики GRE в OSI модели.
выдержка из /etc/protoclos ближайшего люникса:
gre 47 GRE # General Routing Encapsulation
#ipv6-crypt 50 IPv6-Crypt # Encryption Header for IPv6
#ipv6-auth 51 IPv6-Auth # Authentication Header for IPv6
esp 50 ESP # Encapsulating Security Payload
ah 51 AH # Authentication Header
С того что нагуглилось сразу
http://www.javvin.com/protocolESP.html
http://www.javvin.com/protocolAH.html
http://www.javvin.com/protocolIPsec.html
--
Всем - всего
Павел pav...@hotmail.com
Отправлено через сервер Форумы@mail.ru - http://talk.mail.ru
Sergey Pratch
"Dmitriy Ivanov" <sa...@mail.ru> сообщил/сообщила в новостях следующее:
news:110112494312....@mail.ru...
> Я бы советовал поднимать "чистый" IPSec. Сейчас много
> чудо-провайдеров, которые не хотят пропускать через себя GRE. Уроды.
> Личный опыт.
Проблема в том, что за НАТить GRE не так просто, точнее первый клиент
обрабатывается на "ура!", остальные курят бамбук. Иеется ввиду, что
несколько клиентов ломятся установить VPN к одному и тому же серверу.
--
=========================
С уважением, Сергей Прач