VPN и настройка OpenVPN

[Michael]

Всем доброго времени суток. Есть ли на форуме люди, которые смогут подсказать каким образом сделать VPN между сеткой головного офиса и филиалами. Интересует правильная настройка проги OpenVPN. Если можно в личку или аську.

 

[Черный Лотос]

а тебе на гугле забанили?)
и почему именно опенВПН? в плане защиты от него толку совсем не много

 

[Michael]

Будем считать что забанили.
ОпенВПН потому что бесплатен. А почему по защите он фиговый? там вроде много фишек типа сертификатов и ключей используется.

 

[Черный Лотос]

Ты бы хоть написал, что у тебя будет использоваться в качестве сервера...
И мир не ограничен одним опенвпн есть еще mpd

 

[evn]

на форуме есть. некоторые даже будут давать советы.

 

[!Chip]

а тебе на гугле забанили?)
и почему именно опенВПН? в плане защиты от него толку совсем не много

А можно подробней, что не устраивает в плане защиты, даже интересно)))

 

[!Chip]

Всем доброго времени суток. Есть ли на форуме люди, которые смогут подсказать каким образом сделать VPN между сеткой головного офиса и филиалами. Интересует правильная настройка проги OpenVPN. Если можно в личку или аську.

Опиши всё подробно. адреса сетей в ЦО и филиалах, тип авторизации, и тд и тп, чем больше инфы тем лучше.
В принципе всё очень просто

 

[Черный Лотос]

А можно подробней, что не устраивает в плане защиты, даже интересно)))

Я имел в виду, что все эти сертификаты не панацея. При грамотно настроенном фаерволе хватит авторизации по паре логин-пароль

 

[!Chip]

Я имел в виду, что все эти сертификаты не панацея. При грамотно настроенном фаерволе хватит авторизации по паре логин-пароль

А при авторизации по паролю openvpn способна работать в режиме клиент-сервер?

 

[Черный Лотос]

А при авторизации по паролю openvpn способна работать в режиме клиент-сервер?

я предложил mpd
да и с ним проблем меньще будет...впн на строне клиента поднимается стандартными средствами виндовс

 

[evn]

можно применить такую неведомую штуковину:

14.10. VPN через IPsec

Написал Nik Clayton. Создание VPN между двумя сетями, соединенными через интернет, с использованием шлюзов FreeBSD.

 

[Michael]

В общем-то да, лучше описать полностью, тогда и думаю советы появятся.
Головной офис сеть вида 10.64.99.ХХХ
Инет идет через адсл, айпишник статика 88.147.хх.хх
Прокси-сервер SQUID/SAMS
Модем подключен через маршрутизатор, он к циске, от циски идет к проксе, от прокси уже идет на свитч и дальше по локалке.
В общем-то впн хочется поставить на 2003ый сервак который в сетке, т.к. к проксе нет доступа (менять на ней ничего нельзя).
Филиалы будут подключаться тоже через адсл, но там по одному компу. и вот теперь вопрос, как сделать доступ филиалам, чтобы они могли пользоваться файлопомойкой в сетке (она на Sambe)
Да, локалка просто рабочая група, никакого домена.

 

[Yujen]

Так если есть циски и статические ip, зачем изобретать велосипед?

 

[!Chip]

Модем подключен через маршрутизатор, он к циске, от циски идет к проксе, от прокси уже идет на свитч и дальше по локалке.
В общем-то впн хочется поставить на 2003ый сервак который в сетке, т.к. к проксе нет доступа (менять на ней ничего нельзя).

Такую странную конфигурацию я ещё не встречал, если я всё правильно понял получается:

Интернет <-> модем <-> какойто маршрутизатор (хер пойми чего маршрутизирует при одном модеме) <-> циска (хрен пойми зачем циска) <-> прокси ( неужели весь трафик из инета идёт ещё и через какойто прокси) <-> локалка

чёт какойто бред или я не так понял?

 

[SciFi]

Всем доброго времени суток. Есть ли на форуме люди, которые смогут подсказать каким образом сделать VPN между сеткой головного офиса и филиалами. Интересует правильная настройка проги OpenVPN. Если можно в личку или аську.

делайте апгрейд ОС и юзайте DirectAccess — это новая функция операционных систем Windows® 7 и Windows Server® 2008 R2, которая обеспечивает доступ пользователей к корпоративной сети при наличии выхода в Интернет. После включения функции DirectAccess запросы к корпоративным ресурсам (например, серверам электронной почты, общим папкам или веб-сайтам в интрасети) безопасным образом перенаправляются в корпоративную сеть. При этом пользователям не нужно подключаться к виртуальной частной сети (VPN). Функция DirectAccess обеспечивает повышенную производительность труда мобильных сотрудников за счет предоставления одинаковых возмож¬ностей доступа к корпоративной сети в офисе и за его пределами.

 

[Michael]

Такую странную конфигурацию я ещё не встречал, если я всё правильно понял получается:

Интернет <-> модем <-> какойто маршрутизатор (хер пойми чего маршрутизирует при одном модеме) <-> циска (хрен пойми зачем циска) <-> прокси ( неужели весь трафик из инета идёт ещё и через какойто прокси) <-> локалка

чёт какойто бред или я не так понял?

Да, именно вот такой бред. Вся эта конфигурация шла из москвы для того, чтобы они могли удаленно конфигурировать два сервака, плюс должен был быть сервак с БД(но это уже давно похерилось и ничего не работает, но менять это всё тоже не разрешают, т.к. возможно, что когда-нибудь заработает). Сама конфигурация сетки очень запущена и как я уже сказал ничего нельзя снести.

 

[Michael]

делайте апгрейд ОС и юзайте DirectAccess — это новая функция операционных систем Windows® 7 и Windows Server® 2008 R2, которая обеспечивает доступ пользователей к корпоративной сети при наличии выхода в Интернет. После включения функции DirectAccess запросы к корпоративным ресурсам (например, серверам электронной почты, общим папкам или веб-сайтам в интрасети) безопасным образом перенаправляются в корпоративную сеть. При этом пользователям не нужно подключаться к виртуальной частной сети (VPN). Функция DirectAccess обеспечивает повышенную производительность труда мобильных сотрудников за счет предоставления одинаковых возмож¬ностей доступа к корпоративной сети в офисе и за его пределами.

Были бы на это деньги, на этот апгрейд....... Думаю, что есть решения и без покупки новой ОСи, да и компы с 7кой помрут)))))

 

[!Chip]

Да, именно вот такой бред. Вся эта конфигурация шла из москвы для того, чтобы они могли удаленно конфигурировать два сервака, плюс должен был быть сервак с БД(но это уже давно похерилось и ничего не работает, но менять это всё тоже не разрешают, т.к. возможно, что когда-нибудь заработает). Сама конфигурация сетки очень запущена и как я уже сказал ничего нельзя снести.

VPN сервер необходимо поднимать на компе который является дефолтным шлюзом для компов локалки, либо необходимы будут некоторые танцы с бубном в варианте когда сервер VPN будет в локалке.

 

[Michael]

В том-то и дело, что шлюзом стоит прокся. Если бы к ней был доступ, я бы не спрашивал, инфы много. А в данном случае, даже не знаю как и с чего начать.

 

[!Chip]

В том-то и дело, что шлюзом стоит прокся. Если бы к ней был доступ, я бы не спрашивал, инфы много. А в данном случае, даже не знаю как и с чего начать.

Если доступа к проксе нет то ничего не выйдет, любом варианте доступ к ней необходим