Шифрование канала
Доброго времени суток!
Возникла задача, на первый взгляд простая, но в процессе подготовки
к ее выполнению понял, что никогда ни с чем подобным не сталкивался,
прошу наставить меня на путь истинный :)
Есть сеть предприятия 192.168.0.0/23 которую по определенным причинам резать на подсети
нет возможности, живет она в 2-х разных зданиях за N km друг от друга. Связаны здания между
собой провайдерским vlan-ом, т.е. абсолютно прозрачно. (концы vlan-на подключены в свитчи
в которые подключены машинки) Все работает замечательно, машины
с лева видят правых и наоборот, arp запросы, dhcp и dns бегают, долбонутый вендософт даже работает по такой сетке. :)
Возникла острая необходимость шифровать ВЕСЬ трафик по этому vlan-ну, не ломая текущей структуры (это важно).
Первое что пришло в голову - с двух концов vlan-а ставим по машинке, на них поднимает bridge на 2 интерфейса,
и между этими двумя бриджами будем все загонять в ipsec к примеру.
Типа вот так:
Бридж настроен, все работает. Дошло дело до шифрования его. Вот тут облом.
Openswan и все что форкнуто от freeswan как я понял не годится, в доках так и сказано - только разные подсети
на концах туннеля должны быть. Возможно ошибаюсь и есть какие-то спецнастройки?
Чем можно этот туннель закрыть? Какие будут идеи, кто с подобным сталкивался?
Vlan нагружен хорошо, поэтому интересуют стабильные решения, которые вытянут нагрузку.
Да... при чем здесь gentoo? При том что бриджи на нем, и другие сервера на предприятии тоже на Gentoo. :)
Спасибо за ваше время!
- Для комментирования войдите или зарегистрируйтесь
net-misc/tinc net-misc/vtun n
net-misc/tinc
net-misc/vtun
net-misc/openvpn
Все они поддерживают tap, который легко добавляется в мост. Что бы не ломать текущую структуру, спрятать за nat дублированные сети одного из офисов.
:)
А как это все будет дружить с arp-запросами и dhcp?
Да и NAT сам по себе не приветствуется, его то нет в изначальной конфигурации. Бридж устроил бы, но как его прикрыть?
level 2 vpn ;) будет в самый
level 2 vpn ;) будет в самый раз
обновляем ведро до 38-39 и подымаем L2TPv3 в режиме wired. Потом смотрим на свитчи и вероятно находим mpls :-D.
P.S шифруются и пересылаются фреймы, а не пакеты, так что даже nmap с трудом понимает такой канал
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
:)
Андрей, а можно поподробней немного, какой софт для этого применим?
http://www.openl2tp.org/piper
http://www.openl2tp.org/pipermail/openl2tp-users/2010-April/000836.html
http://lwn.net/Articles/380857/
P.S и да ; ip tunnel add local remote mode gre key KEY
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
ipsec с помощью ракуна(
ipsec с помощью ракуна( net-firewall/ipsec-tools ) или оборудованием, которое это умеет.
С уважением.
stunnel
stunnel
IPSEC+L2TP затея не плохая,
IPSEC+L2TP затея не плохая, но сильно не советую за нее браться, слишком непроста настройка, если бы дело шло о cisco, то тут другой разговор. OpenVPN прекрасно умеет layer 2 тоннели. Ставишь с 2-х сторон 2 машины с 2-мя интерфейсами. Между интерфейсами которые вотнуты в vlan поднимаешь L2 тоннель, 2 интерфейса, которые торчат в сегменты сети сажаешь в бридж с устройствами tap0, которые поднимет openvpn после подключения. Документации очень много, в том числе и на русском.
PS. С arp запросами и dhcp все это будет без проблем дружить, т.к. в результате оба сегмента логически будут в одном коммутаторе.
Кстати, а есть взаимосвязь
Кстати, а есть взаимосвязь между крипто-модулями ядра и openvpn? Её можно как-то отследить?
По ldd как-то не понятно
Нету, openvpn ипользует
Нет, openvpn ипользует OpenSSL и работает на уровне пользовательского процесса, а не на уровне ядра