VPN DSL Linux FreeBSD,что лучше выбрать для маломощ. машины?

Rick · Сообщение **Rick** » 12 мар 2005, 15:23

Что порекомендуете для VPN тунеля на Linux, как то - какой дистриб. взять(до этого пользовался RedHat 9)
Чтобы можно было запустить на Pentium 200 c 32 Мб оперативки для удалённого клиента, через DSL канал.
Т.е. какие программы использовать для шифрования на IPSec. В инете пока нашёл описание только между FreeBSD, а между линухами - нет.
Поэтому пока склоняюсь к фряхе, но её пока не так хорошо знаю как линух.
Что порекомендуете в смысле дистибутива и программ???

Llama · Сообщение **Llama** » 12 мар 2005, 15:28

Rick, FreeBSD 4x или Debian linux. Если особых требовний нет (типа подключение вендовых клиентов без установки доп софта) То стоит посмотреть в сторону OpenVPN 2 - конфигуряется намного проще чем ipsec ИМХО. Клиент для венды есть и работает нормально.

Rick · Сообщение **Rick** » 12 мар 2005, 16:22

А PPPoE надо настраивать или нет? Почитал, вроде для DSL надо его поднимать? Сервер будет для входящих соединений мощный на FreeBSD, скорее всего, а вот удалённые филиалы на маломощных машинах, кот. будут выполнять роль маршрутизаторов (Free или Debain), а где винду ставить?

Llama · Сообщение **Llama** » 12 мар 2005, 16:56

Rick, нет, ну вот с этого надо было и начинать...
Да, openvpn можно настроить поверх любого ip-соединения, нет PPPoE не надо, это полный юзерспейс, из ядра используется только /dev/net/tun. Про венду имелось ввиду подключение конечных пользвателей.

Rick · Сообщение **Rick** » 13 мар 2005, 01:43

Хорошо что PPPoE не надо. По поводу винды. Все виндовые клиенты будут в удалённой сети за машрутизатором, котрый будет шифровать весь исходящий трафик. На этих клиентах по умолчанию будет стоять данный шлюз, кот. будет автоматом шифровать весь входящий на него трафик. Головной(мощный) сервер будет всё это дело расшифровывать. Таких удалённых подсетей будет более 10. Удалённый пользователь за виндовой машиной даже не будет знать о том, что весь его трафик шифруется. Вопрос: "Зачем на виндовых машинах ставить клиента для OpenVPN, если всё шифрование происходит на др. машинах, или я что то не так понимаю?"
Про IPSec - поставлена задача сделать всё это дело через него. Какие пакеты для линуха есть c IPSec?
А FedoruCore 3 без графики можно взгромоздить на пентиум 200 или будет намного в производительности проигровать фряхе или дебайну? Просто после RedHat она мне ближе.

Llama · Сообщение **Llama** » 13 мар 2005, 02:00

Rick, не надо ничего при такой схеме ставить на венды. Имелся ввиду случай с dial-in vpn server. FC2 да еще без графики, дае на P200/32Mb? Не смешите мои тапочки...

Rick · Сообщение **Rick** » 13 мар 2005, 12:04

ОК. Спасибо за ответ. Завтра начну пробовать. Единственное что не понял - для чего РРРоЕ нужна в принципе и какие программы под линух делают IPSec

Rick · Сообщение **Rick** » 13 мар 2005, 12:58

Намного ли Slackware сложнее Debain? Дисков поменьше там будет, а значит и подешевле, если через линуксцентр брать.
Я думаю Slackware тоже будет хорошо работать на пентиум 200/32Мб как и дибайн??!!!

Rick · Сообщение **Rick** » 17 мар 2005, 11:56

ПРОБЛЕМА: настроил gif0 интерфейсы на обоих машинах адреса:
____
| | ___
192.168.7.1___| 1 |172.20.20.1__172.20.20.20_| 2 |_192.168.8.41
|____| |__|
На 1 gif0 tunel 172.20.20.1-->172.20.20.20
inet 192.168.7.1-->192.168.8.41

На 2 gif0 tunel 172.20.20.20-->172.20.20.1
inet 192.168.8.41-->192.168.7.1

По идее с 1 на 192.168.8.41 должен проходить без дополнительных настроек маршрутизации, НО ОН не проходит, только на 172.20.20.20!!! Почему?ПОМОГИТЕ!!! Настраиваю я это на фри, с помощью какой команды можно просмотреть, на ней, наблицу маршрутизации? netstat -rn не показывает адресов в "нормальном" виде

Rick · Сообщение **Rick** » 17 мар 2005, 15:39

Народ - отзовитесь срочно надо хоть какое нибудь мнение

Llama · Сообщение **Llama** » 17 мар 2005, 15:47

Передача пакетов между интерфейсами разрешена?

Rick · Сообщение **Rick** » 17 мар 2005, 15:54

ipfw add allow all from any to any - стоит на обеих машинах, а между интерфейсами надо отдельно прописывать? (в iptables знаю что да, а как здесь?)

Причем фря понимает что ей надо делать:
# route get 192.168.7.1
route to: 192.168.7.1
destination: 192.168.7.1
interface: gif0
flags: <UP,HOST,DONE>
recvpipe sendpipe ssthresh rtt,msec rttvar hopcount mtu expire
0 0 0 0 0 0 1280 0
А пакеты всё равно не идут:roll:

Rick · Сообщение **Rick** » 19 мар 2005, 09:15

Ну не молчите же, очень срочно нужна помощь!!!!
Выявил ещё одно свойство: при
#ping 192.168.8.41 c "1" пинг проходит, причём через gif0(слушал tcрdumр'oм)
А с "2" #ping 192.168.7.1 не проходит(тоже идёт через gif0) )))))))
Шлюзы по умолчанию отсутствуют на обеих машинах.

А в принципе можно сделать просто IPSec тунель без gif тунеля???

Rick · Сообщение **Rick** » 19 мар 2005, 20:04

Ну не молчити же - хоть какие нибудь мысли.
Или ответе по машрутизации, почему я из сети 7.0 могу пропинговать машину 8.41, а др. машины из сети 8.0 - нет, хотя статически настраивал маршрутизацию к всей сети?