» VPN: вся информация в этой теме

dr_eugeni
а прокси 192.168.1.1 написан у 192.168.1.10 как шлюз? если да, то можно... никаких препятствий в этом плане быть не должно

Цитата:

а прокси 192.168.1.1 написан у 192.168.1.10 как шлюз?

как основной шлюз да, прописан.

dr_eugeni
Цитата:

можно ли подключится к терминалу с компьютера 192.168.1.10 ?

Можно. Необходимо создать правило (или пробросить порт, в зависимости от формулировки в используемом ПО). Например, для конктретного IP-адреса или всей подсети 192.168.1.* и порта (стандартный — 3389).

Доброго времени суток!
Может есть идеи по моей проблеме с раздачей интернета в филиалах через центральный офис? Вообщем есть основной офис (192.168.0.0/24) и филиалы (192.168.1.0/24...192.168.2.0/24 и т.д.). Филиалы соединены с основным офисом при помощи провайдера с услугой "Объединение корпоративных сетей через VPN" (в каждом офисе стоят маршрутизаторы (CE)). Пользователи с филиалов без всяких проблем подключаются к серверам основного офиса и работают с приложениями. Появилась необходимость раздавать в филиалах еще и интернет через сервер основного офиса.
Т.е если раньше с филиалов необходимо было передавать только трафик с диапазона 192.168.0.0/24, то сейчас необходимо передавать весь трафик (0/0). В ответ на соответствующий запрос провайдер ответил что данная услуга не предусматривает пропуск трафика с диапазонов IP-адресов между узлами не входящими в VPN-cеть. Т.е. идея прописать у пользователя с филиалов шлюз в виде основного маршрутизатора (CE) а на другом конце ловить все запросы провалилась. Можно конечно сделать поверх еще один VPN-туннель до основного сервера (да и в основном офисе стоит сервер OpenVPN), но не хотелось бы все усложнять. Вообщем проблема в том, что я не могу пропустить несколько звеньев в сети и прописать у пользователя с филиала шлюз в качестве основного сервера.
Т.е. у пользователь с подсетью (192.168.2.0/24) я не могу прописать в качестве шлюза сервер основного офиса раздающий интернет (192.168.0.1), пропустив несколько звеньев сети. Для просмотра web-страниц можно в браузере прописать proxy-сервер основного офиса и все будет работать. Но как быть с почтовыми программами и другими приложениями работающих без proxy-сервер? Поделитесь опытом.

nickilya
дайте им прокси... в основном офисе (192.168.0.0/24)... и всё... это решит ваш вопрос

life_so_good
Proxy-сервер (Squid) стоит на общем шлюзе 192.168.0.1. И браузеры клиентов в филиалах я могу отправить через proxy, но как быть с почтовыми программами (Outlook) и другими приложениями.

nickilya
да какбэ Outlook работает с проксей, наскок мне известно.... единственный вопрос smtp через прокси... но и он решаем... а другие приложения это какие?

nickilya А почтовый сервер можно завести общий для всех филиалов.

vlary
Идея с почтовым сервером это первое, что мне пришло в голову, но компания плотно приросла к "google apps"(сам приучил). Я не смогу обеспечить на своих почтовых серверах такой сервис. Почта+календарь+документы+Gtalk...у нас любое собрание в переговорке бронируется через Google календарь....люди забыли что такое мобильники, используя Gtalk.

nickilya google apps нормально работает через прокси.

life_so_good
Да я понимаю что запросы с программы "Outlook" можно пустить на proxy-сервер, но насколько я знаю SQUID не проксирует почтовые запросы ( протоколы pop3, imap, smtp). К другим приложения относятся всякие специализированные программульки для отдела продаж.

Добавлено:
vlary
Все оно так....пользователю нужен только 443 порт для этого сервиса и тут нет проблем....но есть пользователи которые приросли к outlook, thebat и не могут смотреть почту через браузер....хоть убей их...хоть ты для них отдельно почтовый ретранслятор подымай. Кстати ретранслятор....в основном офисе есть DNS-сервер, который вбит у клиента с филиала...этот сервер работает на основе "BIND9" может как-нибудь через MX-записи можно заставить кружить почту через основной шлюз.

nickilya
хорошо, если по вашему мнению невозможно использовать прокси, поговорим о маршрутизации... разве вы не управляете пакетами между этими сетями? или всё возложено на оборудование прова?

vlary
Относительно почты наверное правильным решением будет поднять почтовый сервер, который будет не сам отправлять, а через сервис "google"...я думаю это решаемо...и все будут довольны. Но есть еще другие специализированные программки с которыми могут быть проблемы. Есть еще идеи?

Добавлено:
life_so_good
Нет не управляю пакетами в этом и проблема. Цепочка выглядит следующим образом
машина в филиале -> СЕ->PE->P->PE->CE->основной шлюз

P (provider) – магистральный маршрутизатор.
РЕ (provider edge)- маршрутизатор, расположенный на границе сети . К нему подключаются клиентские узлы.
СЕ (customer edge) – маршрутизатор доступа, расположенный на территории клиента. Осуществляет обмен маршрутной информацией с PE

У меня есть доступ только к CE и моему основному шлюзу. В CE прописаны по умолчанию PE. CE и PE объединяются при помощи сетей вида 10.0.0.0/30. Даже если там можно было что-то прописать все равно оборудование провайдера не передаст в основной офис пакеты отличные от 192.168.0.0/24.

nickilya Насчет почтового ретранслятора. Мы имеем сервер CommuniGate Pro, в котором каждому пользователю можно настроить массу внешних ящиков. Сервер сам забирает оттуда почту и кладет ее в инбоокс.
С отправкой сложнее, ибо многие почтовые системы (мэйл.ру, например), требуют при отправке не только чтобы пользователь себя аутентифицировал, но и чтобы и письмо было с его адреса, то бишь аутентифицироваться как vasya@mail.ru, а письмо отправлять как petya@mail.ru, не пройдет.
Как вариант, можно в главном офисе поднять OpenVPN сервер на 192.168.х.х, юзерам подключаться к нему, получать айпи из пула главного офиса и шлюз, а дальше все пойдет через НАТ главного офиса. Либо поставить в филиалах по компу, который будет сам поднимать соединение и служить шлюзом.

vlary
Сервер OpenVpn уже поднят я его использую для блуждающих мобильных сотрудников. Да.... это решит решит все мои проблемы и кое-где я уже это использую. Пугает только дополнительное время на настройку клиентской части OpenVPN для каждого пользователя в филиале (имеем 10 филиалов)...так как не рентабельно ставить отдельные шлюзы в филиалах (2-6 пользователей в каждом филиале). Это уже какое-то VPN на VPN получится, но все проблемы будут перекрыты.

How to install POP3 and SMTP proxy server on FreeBsd or Linux

http://web.archive.org/web/20070211224913/http://www.unixcities.com/pop3-and-smtp-proxy/

Цитата:

Можно. Необходимо создать правило (или пробросить порт, в зависимости от формулировки в используемом ПО). Например, для конктретного IP-адреса или всей подсети 192.168.1.* и порта (стандартный — 3389).

ничего не получается, может не правильно делаю ?
прокси Зараза (3Proxy)
tcppm -i192.168.1.252 3389 192.168.0.3 3389
udppm -i192.168.1.252 3389 192.168.0.3 3389
192.168.0.3 это адрес VPN и терминального сервера

Все заработало, не туда ломился. Нада было подключаться к своему прокси.

life_so_good
Речь идет о защищенных pop3 и smtp 995 и 465 портах соответственно....я думаю не все так просто будет как в инструкции. А если еще взять в расчет специализированные програмульки работающие на разных портах...то тогда стоит смотреть в сторону socks-сервера. Есть еще всякие програмульки позволяющие на клиентской машине разворачивать необходимые приложения, например http://www.proxifier.com/. Вижу два варианта или повсеместное использование OpenVPN или socks-сервер. Есть еще идеи?

nickilya
аж не проще ли поднять что-то более сговорчивое в плане прокси?

Добавлено:
и вообще провайдер кой-то странный, у меня с филиалами тупо верёвки прямые проброшены через магистрали прова и всё... а дальше чё хочешь то и делай... вот тебе концы физические, маршрутизируй как хочешь...

life_so_good
Цитата:

и вообще провайдер кой-то странный, у меня с филиалами тупо верёвки прямые проброшены через магистрали прова и всё

Не везде можно задействовать "тупо веревки".

life_so_good
Есть тут у нас в синеокой "Белтелеком". Выбора нет..некоторые офисы находятся в такой глуши, что кроме этого республиканского монополиста нету других.
По поводу proxy подумаю....но так привык к "Squid"....жалко будет менять
Спасибо за помощь!

nickilya
Цитата:

По поводу proxy подумаю....но так привык к "Squid"....жалко будет менять

Ну, во-первых, Squid - тоже прокси. Во вторых, никто не мешает оставить его для HTTP, а для других целей использовать socks5 либо что другое...

vlary
То же верно....можно дополнить схему socks-сервером....вообщем как я уже говорил у меня походу два выходя либо socks-сервер или openvpn. Спасибо за помощь!

vlary
Но не все программы умеют работать с socks-серверами, придется еще ставить приложение на клиентские компьютеры что бы развернуть капризные программульки.

vlary
Может проще openVpn? Все проблемы останутся позади...

nickilya
посмотрите сloudvpn

nickilya
Цитата:

Может проще openVpn?

Может, и проще. Клиент подключается к вашему серверу, получает адрес из вашей сети, работает себе на здоровье, и вообще чувствует себя как дома. Остается только самая малость - поставить openVpn сервер.

vlary
OpenVpn стоит уже давно...я его использую для блуждающих мобильных сотрудников. Пугает другое ну настрою я всем клиентскую часть, с генерирую сертификаты пофамильно...так как шлюзы ставить в каждом филиалы не рентабельно (2-6 человек в каждом)...а потом начнется увольнения, прием новых...а все требует переделки сертификатов если относится с ответственностью.

nickilya А кому сейчас легко? Работа у нас такая, заводить учетки, менять пароли, выдавать сертификаты. Кое-что можно скриптами автоматизировать.
Можно вместо OpenVpn поставить циску с WebVpn, настроить на авторизацию через АД.
Но учетками тоже придется рулить...