Вопрос по организации OpenVPN между серверами и клиентами
Собственно задача - организовать защищенный канал между физически разнесенными (находящимися в разных дата центрах) серверами предприятий и обеспечить безопасный доступ клиентам извне.
Почитал статейку https://habrahabr.ru/post/233971/ но там несмотря на то что на картинках рисуется (на сколько я понял) прописывается схема где один основной сервер, а все остальные устройства подключаются как клиенты Мне же нужно, что был равнозначный канал между серваками, что бы по нему происходила репликация доменов, обмен данными и т.п. Ну а пользователи извне что бы подключались как клиенты к этой "облачной инфраструктуре" |
metrim
В любом случае при установлении соединения один из компьютеров будет выступать в роли сервера, второй в роли клиента. It's by design. :gigi: Причём любой из компьютеров может выступать одновременно и как сервер, и как клиент (это определяется наличием и содержимым конфигов в папке программы). Для межсерверного линка, в общем-то, без разницы кто сервер а кто клиент. Для подключения пользователей тоже без разницы, но, как правило, всё-таки клиент на стороне пользователя, сервер на стороне сервера. |
BTW, openvpn не слишком любит пересылать широковещательные пакеты, которыми так любит разбрасываться винда, провайдер не умеет строить канал между ЦД?
|
Цитата:
Можно ли как то обеспечить что бы существовали резервные узлы? |
Цитата:
если сервер отвалится - работать не будет. Разве есть ещё какие-то варианты в аналогичном случае, например, с ftp, mail или smb? :confused: Так уж заведено. Есть устройство, которое подключается; и есть устройство к которому подключаются. другой схемы как-то не придумывается. "облачная инфраструктура" о которой упоминается в первом сообщении, так же имеет свой сервер(ы), и если оный вдруг сдохнет, клиенты через некоторое время понятия иметь не будут о существовании друг друга. ps. теоретически, само приложение OpenVPN может одновременно коннектиться к нескольким серверам, и так же само являться сервером. Можно нагородить перехлест друг на друга, но как оно будет вести себя в плане распределения сетевых адресов - самому интересно :biggrin: добавлено: вообще, в конфиге есть вот такая ремарка: Код:
# The hostname/IP and port of the server. |
Цитата:
При этом ничто не мешает пользователям коннектиться одновременно к двум (и более) серверам, и отпад одного из серверов никоим образом не скажется на коннекте со вторым. Цитата:
|
Цитата:
|
Проще и надёжнее провайдерская L3 vpn для серверов и шлюзы в неё для клиентов. А в идеале - и сервера и клиенты в закрытой L3 vpn. Все доступны всем, и недоступны снаружи.
Полный mesh средствами openvpn дело довольно тёмное... |
Цитата:
Меня просто не греет идея, что остановился "сервер" и все, больше коннекта в сети нема. Еще такой вопрос: а как с точки зрения безопасности установка опенВПН сервера на контроллере домена? |
Цитата:
Избыточные же соединения клиентов между собой надёжности нисколько не прибавляют (хотя схема и может быть реализована): как я уже говорил, "померла так померла". К "мёртвому" серверу никакие ухищрения с обходным роутингом добраться не позволят.
Цитата:
Цитата:
|
SinClaus, провайдерская отдельных денег стоит ;)
к тому же весьма не символических. Например я за провайдерский VLAN 10 мбит плачУ практически столько же, сколько ему же за просто интернет-канал 12 мбит. Другое дело, что интернет в том конце, куда идёт VLAN, как таковой отдельно вообще не нужен (в "потребительских масштабах", по крайней мере), так что выбор между "кидаем в разные точки интернет, и потом городим всё сами" / "просто покупаем VLAN у провайдера" был очевиден. Если же во всех удалённых концах интернет заведен в силу других потребностей, то покупать ещё и поверх всего этого VLAN - умножать расходы почти вдвое. Хотя, с другой стороны, при этом толщина канала становится уже независима друг от друга.... ХЗ, тут надо смотреть на реальные задачи. У меня например, тот же VLAN работает на 40% канала всего час в сутки (в этот час оно критично), все остальное время юзается время от времени, и скорость 10 мбит там задарма не нужна. Ну, в смысле, мне как-то по-барабану: будет файл в 1 мегабайт туда пролетать за секунду или за 5, а больше в остальное время там не ходит. Цитата:
Цитата:
Цитата:
|
Цитата:
Просто есть компьютер с контроллером домена стоящий "в интернете" , вне организации, которая за NAT. Кроме того "снаружи" - еще несколько серверов. |
metrim, это был ответ на цитату там же выше мной приведённую, а именно, если брать полней:
Цитата:
Цитата:
Кстати говоря, ему ВСЁ РАВНО не обязательно быть сервером VPN. Он может быть и клиентом - и стучаться к любой другой машине, которая выступает в качестве vpn-сервера. По-моему, не доходит главного: с точки зренья топологии VPN - пофиг где сервер, где клиент, в своей сети они имеют IP из одного сетевого сегмента (задается в конфиге сервера) и видят друг друга так, как будто они стоят в одном помещении на одном свиче (у нас с Борландом такое благополучно фунциклирует уж лет 5, а то и больше). А с точки зренья безопасности - я бы делал сервером менее нагруженную важными данными и трафиком машину, ибо сервер держит открытым порт для входящих соединений, клиент - нет. Но, разумеется, если сервер будет за NAT, то на него порт придется на роутере прописывать. И конечно, желательно сервером делать более энерго-защищённую машину. Такой вот баланс "за/против" |
Чуть не упустил еще один момент про "провайдерский VLAN": это всё работает в случае если все наши точки сидят на одном провайдере и в одном населенном пункте. ХЗ, сможет ли например, какой-то гигант типа Билайна сгородить VLAN между разными своими филиалами/городами, но думается мне, что это будет стоять ещё более дополнительных денег ;)
|
Цитата:
У меня ситуация: есть сеть предприятия, в которой стоит сервер, контроллер домена ПК, оборудование и пр. Все это дело находится за несколькими NAT , с весьма недружелюбными сисадминами, которые препятствовать мне не будут ,но и помогать - отказываются. Прикидыываются валенками. Что тут, отчего и почему - особенности гиганской и слабо контролируемой организации. Резюме: никакой возможности прописать маршруты извне к "сети предприятия" - у меня нема, соответственно и сервер ОпенВПН внутри сети существовать просто не может, никто "извне" - к нему не достучится. До кучи еще и весь канал "сети предприятия" в интернет - крайне неустойчив. Када угодно его могут просто по хотелке обрубить на неустановленное время Так же, в рамках развития инфраструктуры я обзавелся: Таким образом мне нужно обеспечить синхронизацию с "сетью предприятия" , а так же автономную работы и СП и "внешних" серверов в случае разрыва связи. Разумеется, в случае контрактного провайдера и адекватного админа - не приходилось бы колхозить это вот непонятное, но имеем то чт оимеем и в течении уже многих лет ситуация никак не меняется. |
а, ну тогда да, если за NAT не пробиться, выход только один: внешний сервер, в который все остальные будут стучаться.
на всякий случай: для того чтоб поднять несколько серверов/клиентов на одной машине - не нужно ставить несколько экземпляров приложения. Сколько оно файлов *.ovpn (для виндового варианта) в своей директории config найдет - столько соответственно конфигов и будет обслуживать. Хоть десяток серверов и десяток клиентов. ещё рекомендуется поднять ему приоритет на максимум: Код:
[HKEY_LOCAL_MACHINE\SOFTWARE\OpenVPN] Код:
openvpn_flags="--nice -20" |
Цитата:
Однака: Цитата:
добавлено через 10 минут Кстати, а какими параметрами можно управлять присвоением айпи подключающихся к серверу клиентов, что бы хотя бы изобразить более-менее статическую адресацию? добавлено через 11 минут Ну и вообще: где почитать краткои нубо-доступно по настройкам ОпенВПН DHCP параметров, прописыванию DNS, маршрутов, изоляции клиентов и т.д.? Что то совсем простое, доступное далекому от айти человеку, т.е. мне |
Цитата:
Рекомендую переименовать TAP-адаптеры из стандартного "Подглючение по локальной сети N" во что-нибудь типа "TAP_N". Для удобства. Используется в конфигах Цитата:
Цитата:
Цитата:
Сервер будет использовать первый IP из сети, задаваемой параметром Цитата:
Цитата:
|
Ок, спасибо всем откликнувшимя !
Разбираюсь, вроде работает, но подглючивает зверски. Рытье в интернете натнуло еще на идею попытаться пролезть через ipv6, много многообещающих описаний по этому поводу с применением gogoCLIENT , только сам сервис уже вроде недостпен. Какие есть варианты по данному поводу ? |
Цитата:
|
Часовой пояс GMT +4, время: 23:28. |
Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.