HowTo : Πως ενώνουμε δύο κτίρια με δυο ADSL συνδρομές και VPN

[cmos]

με αφορμή το http://www.adslgr.com/forum/showthread.php?t=14529

και επειδή είναι αρκετά χρήσιμο, σε αυτό το thread θα δείξω σύντομα και απλά πώς ενώνουμε μεταξύ τους 2 κτίρια που έχουν ADSL πρόσβαση (όπου κι αν είναι αυτά). Οταν θα το έχετε καταφέρει τα PCs και οι servers στα δύο κτίρια θα μπορούν να συμπεριφέρονται σαν να ήταν όλα σε ένα κτίριο.

Τι χρειαζόμαστε ?

1) Και στα δύο κτίρια ADSL πρόσβαση (καλό είναι να είναι από τον ίδιο provider)
2) H μία από τις δύο συνδρομές καλό είναι να είναι static IP
3) οι ADSL routers πρέπει να υποστηρίζουν δημιουργία και τερματισμό IPSEC tunnels (Για
κατασκευή VPN) και όχι απλά VPN passthrough

Κατόπιν αποφασίζουμε ποιο κτίριο θα είναι το source του tunnel (Α) και ποιο θα είναι ο τερματισμός του (Β). ΑΠλά στον τερματισμό πρέπει να έχουμε τη static IP (για να ξέρει ο Α που θα χτυπήσει !!!).
Στις 2 ενεργές ΑDSL συνδέσεις συμβουλευόμενοι το manual του router κατασκευάζουμε το IPSEC tunnel από το Α στο Β.

Χοντρικά για να καταλάβετε το IPSEC δεν είναι και τίποτα το τρομερό. Είναι ένας τρόπος να περνάμε με ασφάλεια μέσα από το ανασφαλές Internet (το οποίο δρομολογεί μόνο πραγματικές ΙP) πακέτα που έχουν source και destination ψεύτικες IP διευθύνσεις. To κόλπο είναι απλό - τα πακέτα με τις ψεύτικες IP παίρνουν κάλυμμα από πακέτα με πραγματικές διευθύνσεις και μάλιστα αυτές που σας έχει δώσει ο ISP στα δύο ADSL routers. Επιπλέον για να είναι ασφαλή αυτά τα πακέτα κρυπτογραφείται το περιεχόμενό τους. Φυσικά όλα αυτά γίνονται αυτόματα και τα κάνει από μόνο του το πρωτόκολλο.

Στο σχήμα σας δείχνω τη ροή των πακέτων για την περίπτωση που έχω τα δύο σημεία να ανήκουν στον ίδιο OTE BBRAS και στον ιδιο ISP.

Αυτή είναι η μαγεία των VPNs και ένας έξυπνος τρόπος να έχεις σε δύο (ή και περισσότερα) σημεία , και Internet και ένα κοινό LAN.

To σημείο Β αν έχει router που υποστηρίζει DynDNS μπορεί να αποφύγει την static IP συνδρομή.

Αυτά !!!

[cmos]

Να και μερικά routerάκια που υποστηρίζουν IPSEC tunnels, για να τα δουλέψετε στο παραπάνω σενάριο :

1) Cisco SOHO 96 , Cisco 836, Cisco 837 (έχουν IPSEC και από το IOS 12.3(8)YA υποστηρίζουν και DynDNS)
2) Zyxel Prestige 652R & 652H (έχει και IPSEC και DynDNS)
3) Draytek Vigor 2600plus (IPSEC)
4) DLink DFL-300 (IPSEC)

[cmos]

Παραθέτω μια παρουσίαση του ΟΤΕ για το θέμα VPN και ADSL που έγινε στο πλαίισιο της Ciscoexpo 2005 http://www.ciscoexpo.gr/2005/downloa...is_Patikis.pdf
Aξίζει να τη δείτε όσοι ενδιαφέρεστε για το θέμα.

Οι υπόλοιπες παρουσιάσεις είναι στα :

http://www.ciscoexpo.gr/2005/program/wednesday.html
http://www.ciscoexpo.gr/2005/program/thursday.html

[Jander@DarthVader]

Χοντρικά για να καταλάβετε το IPSEC δεν είναι και τίποτα το τρομερό. Είναι ένας τρόπος να περνάμε με ασφάλεια μέσα από το ανασφαλές Internet (το οποίο δρομολογεί μόνο πραγματικές ΙP) πακέτα που έχουν source και destination ψεύτικες IP διευθύνσεις. To κόλπο είναι απλό - τα πακέτα με τις ψεύτικες IP παίρνουν κάλυμμα από πακέτα με πραγματικές διευθύνσεις και μάλιστα αυτές που σας έχει δώσει ο ISP στα δύο ADSL routers.

Mε το συμπαθειο αφεντικο αλλα εντελως μα παντελως ανακριβες το IPSEC δεν εχει καμια απολυτως σχεση να κανει με IANA assigned internal network IP's. Το IPSEC δουλευει καταρχας αποκλειστικα point-to-point με real class IP's (dynamic h static) και το μονο που κανει ειναι tunnelling απο πακετα απο το ενα point στο αλλο. Τωρα αν πισω απο το ενα point ειναι ολοκληρο γραφειο κρυμενο με ΝΑΤ η ενα μονο μηχανημα με "πραγματικη" IP ειναι θεμα χρησης και routing..

[cmos]

Mε το συμπαθειο αφεντικο αλλα εντελως μα παντελως ανακριβες το IPSEC δεν εχει καμια απολυτως σχεση να κανει με IANA assigned internal network IP's. Το IPSEC δουλευει καταρχας αποκλειστικα point-to-point με real class IP's (dynamic h static) και το μονο που κανει ειναι tunnelling απο πακετα απο το ενα point στο αλλο. Τωρα αν πισω απο το ενα point ειναι ολοκληρο γραφειο κρυμενο με ΝΑΤ η ενα μονο μηχανημα με "πραγματικη" IP ειναι θεμα χρησης και routing..

δε νομίζω οτι περιέγραψα κατι διαφορετικό από αυτό που λές

[Jander@DarthVader]

δε νομίζω οτι περιέγραψα κατι διαφορετικό από αυτό που λές

Η διαφορα ειναι στον ορισμο Μην αγχωνεσε ειμαι anal retentive απο φυση μου :P

[chatasos]

Με το συμπάθειο αφεντικά, αλλά το ipsec είναι μια "συλλογή" από πρωτόκολλα/μηχανισμούς/αλγόριθμους με σκοπό την ακεραιότητα/εμπιστευτικότα/πιστοποίηση στην ανταλλαγή δεδομένων.

Αυτά με τα tunnels & public/private ips είναι "χαρακτηριστικά" που συνδυάζονται με το ipsec.

[wintech2003]

... Και γίνεται και χωρίς Site-to-Site VPN capable routers ...

π.χ. με Windows Server 2003...

http://www.microsoft.com/resources/d...j_ips_fgvp.asp


Αλλα ΟΚ, ποιο ωραίο το hardware based

[Antonis Papadopoulos]

πολυ μπουρου μποουρου και τελικα... ΠΩΣ???? :-)

[sdikr]

πολυ μπουρου μποουρου και τελικα... ΠΩΣ???? :-)

Εδώ αναφέρει την γενική ιδέα για το πώς δουλέυει ενα vpn,
για τα υπόλοιπα read the manual of your router

[cosmos]

Βρήκα κάτι εδώ: ΙPSEC tunneling για Windows 2000 <-> Zywall

Όντας άσχετος με ipsec, ίσως είναι χρήσιμο, ίσως και όχι

[aviator]

Αν όμως στο κτίριο με την δυναμική IP δεν έχουμε ρουτεράκι σαν τα παραπάνω αλλά ένα που υποτίθεται πως υποστηρίζει IPSec passthrough όπως το Speedtouch 510, τότε για να συνδέσουμε ένα PC στο VPN πρέπει το PC να "τρέχει" ένα VPV client όπως το SSH Sentinel και τότε αρχίζουν τα προβλήματα μέχρι να βρεθεί ρουτεράκι που να περνάει πακέτα σε ESP tunnel mode. Βλέπε και:
http://www.adslgr.com/forum/showthread.php?t=28340
Νομίζω πως τελικά θα πληρώσω τα 166 ευρώπουλα για το παραπάνω Zyxel και θα πάω στη λύση του cmos.

[GiorgosH]

Σε τι ακριβώς κερδίζουμε με το να γίνεται το VPN μέσω routers, σε σχεσή με το να γίνει μέσω του SBS2003 ο οποίος έχει static ip?

[alexsch]

Εχω δύο cisco 876 και δύο συνδρομές DSL στην οτε με παροχέα οτενετ μπορώ να φτι'αξω ένα vpn ? μήπως γνωρίζει κανείς πώς πρέπει να σετάρω τους ρούτερς για να δουλέψει? Εκανα μία πρώτη απόπειρα και άναψε το λαμπάκι vpn και στους δύο , όμως δέν μπορώ να κάνω ping κανένα pc . μήπως φταίει ότι το ένα subnet έχει ips που είναι της μορφής 192.168.1.χχχ ενώ το άλλο 192.168.0.χχχ ? ευχαριστώ