Legare 2 retele

[xmmd]

Salutare ,

Ma vad in fata urmatoarei probleme :

Am reteaua 1
- server linux (router/gateway cu ip eth0 72.14.221.104 si cu eth1 192.168.1.250)
- ip-uri 192.168.1.0/24

Am reteaua 2
- server linux (router/gateway cu ip eth0 72.14.220.50 si cu eth1 192.168.1.200)
- cu ip-uri 192.168.1.0/24

La ambele retele am :
- conexiune internet fibra optica
- acelasi ISP
- aceeasi distributie de linux

Solutia la care ma gandesc este un VPN facut pe cele 2 servere linux .
Ce soft sa folosesc ? Stiti niste howto utile ?

Multumesc frumos

[cr_alin]

Desi e posibil ca altii sa-ti spuna ca iti trebuie routere dedicate care sa se ocupe de problema, nu ai neaparat nevoie de ele. 

E suficient sa instalezi OpenVPN si sa-l configurezi in mod corespunzator.
HowTo gasesti la www.openvpn.net si software-ul il poti instala direct din repository-urile Fedora (yum install openvpn)

Ce fel de VPN vrei sa faci ? routed sau bridged ?

In cazul in care nu vrei sa ai trafic cu protocoale non-IP va trebui sa schimbi adresele internet in una din locatii. In loc de 192.168.1.x/24 sa pui altceva (ex. 192.168.2.x/24)

Am implementat in productie tunele cu OpenVPN si chei/certificate RSA. Merg fara probleme de vreo citiva ani buni chiar si cu clienti care au Windows si se conecteaza din locatii diferite.

Pot sa te ajut daca nu te descurci.

[Adrian Joian]

VPN - in general daca vrei criptare, confidentialitate alt balarii - (stiu ca ipsec merge si in modul tunel) dar cel mai elegant este sa faci tunel GRE.

[xmmd]

Stiti un howto , help , documentatie pentru a face un TunelGRE ?

Momentan am gasit :AICI
(scuze daca dau linkuri nepotrivite )

Momentan am instalat openvpn pe cele 2 servere .. si incepeam sa le configurez , dar daca zice-ti ca un tGRE ar fii mai "normal" in situatia mea..

[xmmd]

Pana ma hotarasc ce solutie sa folosesc ...
Am pus pe ambele servere openvpn iar config am facut ceva de genul
Serverul 1

Cod:

remote 72.14.220.50 //ip server 2
dev tun0
ifconfig 10.100.1.1 10.100.1.2
fragment 1300
mssfix
up /etc/openvpn/office.up
secret /etc/openvpn/secret.key
port 1194
user nobody
group nobody
comp-lzo
ping 5
persist-tun

Si pe serverul 2

Cod:

remote 72.14.221.104 // ip server 1
dev tun0
ifconfig 10.100.1.2 10.100.1.1
fragment 1300
mssfix
up /etc/openvpn/office.up
secret /etc/openvpn/secret.key
port 1194
user nobody
group nobody
comp-lzo
ping 5
persist-tun

iar office.up contine ruta
route add -net 10.100.1.0 netmask 255.255.255.0 gw 10.100.1.1  // server 1
route add -net 10.100.1.0 netmask 255.255.255.0 gw 10.100.1.2 // server 2

Teoretic este OK ?

ps: momentan nu pot sa incerc practic pe servere pentru ca este "productie" pe ele la aceasta ora si nu imi permit sa le opresc nici macar pentru 10 min

[cr_alin]

1- trebuie sa schimbi adresele IP din una din locatii altfel nu poti sa faci routing-ul ca lumea.
schimba din 192.168.1.0/24 in 192.168.2.0/24 in una din locatii


2- ai facut aceeasi configuratie pe ambele masini (ambele capete ale tunelului) unde ai configurat OpenVPN in modul client. Un client nu poate sa se conecteze tot la un client.

Cu OpenVPN nu trebuie sa le zici la ambele capete sa se conecteze unul la celalalt ci e suficient sa-i spui la un capat sa asculte cereri de conectare (OpenVPN in modul server) iar la celalalt capat sa-i spui sa se conecteze la un server (OpenVPN in modul client)

Uite, un exemplu foarte simplu cu chei statice aici: http://openvpn.net/index.php/documentation/miscellaneous/static-key-mini-howto.html
Poti sa-l folosesti po post de "proof of concept".

3 - rutele nu trebuie puse inspre reteaua din care face parte interfata virtuala tunX (10.100.1.0/24) ci inspre retelele pe care vrei sa le vezi prin tunel (192.168.1.0/24 si 192.168.2.0/24)

ex:   route add -net 192.168.1.0 mask 255.255.255.0 gw 10.100.1.1
       route add -net 192.168.2.0 mask 255.255.255.0 gw 10.100.1.2

Personal as renunta la scriptul office-up si as crea un fisier de configurare a clientului care se autentifica corect. In respectivul fisier as pune rutele pe care trebuie sa le aiba clientul si care sa fie "impinse" (push) de server la client. Astfel ai configuratia routelor tuturor clientilor pe o singura masina (OpenVPN in modul server) si e mult mai usor sa reconfigurezi clientii.

4 - nu cred ca trebuie dat restart la nici o masina (server1 sau server2). E suficient sa pornesti/repornesti doar serviciul OpenVPN. Insa atentie mare cu routing-ul.

[cr_alin]

revin cu o specificare legata de routing, rutele trebuie puse incrucisat pe fiecare masina


ex.
Pe masina cu adresa ip in reteaua 192.168.2.0/24:
route add -net 192.168.1.0 mask 255.255.255.0 gw 10.100.1.1

Pe masina cu adresa ip in reteaua 192.168.1.0/24:
route add -net 192.168.2.0 mask 255.255.255.0 gw 10.100.1.2


In nici un caz ambele rute pe o singura masina sau ambele rute pe ambele masini. Oricum treaba asta e de domeniul basic networking.

[xmmd]

Multumesc frumos , testez in urmatoarele ore si revin cu un review la cald ..

[Adrian Joian]

Eu nu stiu ce sa zic, daca nu este mandatory sa ai criptare intre cele doua locatii nu se merita VPN.

Uitate aici legat de gre http://lartc.org/howto/lartc.tunnel.gre.html

[xmmd]

Pai tunel GRE am facut .. cel putin pana dupa sarbatori . Merge perfect . criptarea era un moft sa-i zic .. dar nu cred ca strica nici ea .

Merci frumos , sarbatori fericite !

[cr_alin]

 
Faci transfer de date (potential sensibile) intre doua retele printr-un mediu nesigur si pe care nu il poti controla (internet)  fara sa le criptezi/decriptezi la granita retelei tale cu internetul ?

Orice snifer pus intr-o retea prin care se ruteaza pachetele tale (trimise necriptat de la server1 la server2) poate sa faca o copie a lor.