היי ,
אני מנסה לגבש דרך פעולה בנוגע למספר אתרים ( קשורים למועצות אזוריות שונות בארץ ) שאני צריך להתחבר לשרתים מסוימים אצלהם מדי פעם.
הבעיה שכולם מחוברים לאינטרנט בצורות שונות ומשונות , חלק מחוברים עם קוי תמסורת ( שזה טוב מבחינתי , שאז הספקיות יכולות לתת לי VPN ) , אבל חלק מחוברים עם ADSL .. או כל מיני דברים כאלה.

בקיצור חשבתי פשוט לשים בכל אתר איזה openvpn ( שיצריך מינימום השקעה כספית ולמען האמת גם מינימום השקעות תחזוקה אני מקווה. שגר ושכח .. ) שיאפשר לי חיבור מתמיד לשם.

אני רק לא סגור על זה טכנית , איך זה יעבוד בדיוק.
כלומר , שוב , העניין הוא שאני רוצה מינימום התערבות ברשת שלהם ( ומינימום אינטראקציה עם אנשי הרשת שלהם ... ) , ולכן אני מניח שאצטרך לשים את המכונות בתוך הרשתות של כל אתר.
כלומר אני אצטרך רק לבקש מהם לפתוח תקשורת בפיירוול שלהם או מה שיש שם , אך ורק למכונת ה VPN שלי , נכון ?

ואז בכל מכונה כזו אגדיר חיבור למכונה המרכזית שתשב אצלי. נכון ?

קצת חסרה לי בהירות לגבי הנושא , אז אם מישהו רואה את התמונה יותר טוב , אשמח להסברים.

IF there is no LOVE there is Nothing

אתה צריך שליטה מרחוק על המחשבים המרוחקים או שיתוף קבצים/נתונים ?

אם זה רק לצורך שליטה מרחוק
LogMeIn יכולה להיות פתרון מעולה ללא התערבות הצד השני וללא צורך ב-VPN ובלי חיפשוי IP והפניית פורטים וחומות אש


החשבון החינמי יכול להספיק לך בהחלט ואם תצטרך העברת קבצים ומדפסות ועוד, בדוק באתר מה העלות

הנה לדוגמה החשבון שלי
אתה יכול לראות איזה מחשבים דולקים כעת ולהכנס אליהם בצורה חופשית
ולפעמים אפילו להדליק מחשב כבוי דרך הדף הזה (כנראה מתבצע ע"י מחשב אחר באותה רשת)

[img]file:///C:/Users/AD/Desktop/Capture.JPG[/img]

ברור שזה פתרון מוכר
אבל זה לא מתאים לי
אני לא יכול לעבור דרך חברה צד ג
ובכלל זה לא נוח
ויחסית איטי אם משווים את זה לויפיאן שאני יכול לתעדף וכו'

IF there is no LOVE there is Nothing

זה די תלוי בטופולוגיות הפנימיות שלהם...

אבל כן, openvpn, ובייחוד אחד כזה שרץ על לינוקס, הוא ה swissknife האידאלי לכל קונפיגורציה שרק ניתן לחשוב עליה.

הצרה שלך היא שזה לא יהיה פתרון אחיד, ולכל אתר יהיה פתרון משל עצמו.

הדרך היחידה (והמכוערת, לדעתי), היא לעשות Bridging ע"ג ה VPN, ואז אתה, כלקוח, תקבל IP בתוך הסגמנט שבו יושב שרת ה VPN - מה שיש לו יתרון בפשטות אמנם, אבל גם יכולים להיות חסרונות רבים... (ע"ע DHCP, אולי בעיות עם MAC Filtering אם מי שמנהל את הרשתות האלה רציני, וכמובן... אם יש באיזשהוא מקום בלופ הזה מע"ה "חלונות" מעורבת [אתה, או השרת...], צפה לכאב ראש פוטנציאלי...)

נמאס לכם לזכור סיסמאות? לחצו כאן!

הרעיון הכללי היה שאני אשים מכונה כזו בכל אתר ואז תהיה לי גישה קבועה ומרכזית
לכל האתרים
בלי שאני אצטרך להתחבר כל פעם לאחד אחר
האם זה אפשרי ?
אני בעצם אצור רשת אחת גדולה ,
איך ? עם bridging כמו שאמרת ?

IF there is no LOVE there is Nothing

אתה בעצם מדבר על טופולוגיית כוכב עכשיו.

אפשרי, אבל.................................

האם בכל אחת מהרשתות האלה טווחי IP פנימיים שונים? אם לא, כיצד אתה מקווה לפתור בעייה זו?

(סתם, ת'אכלס, אפשר לפתור את זה; בשביל זה בראו את ההמצאה שנקראת NAT. אבל תצטרך מערכת הפעלה שאפשר לעשות איתה מה שאתה רוצה באמת, מה שפוסל אוטומטית מחשב עם חלונות בתור בעל תפקיד זה...)

נמאס לכם לזכור סיסמאות? לחצו כאן!

אם לא הבהרתי את עצמי , אז ברור שאני
מתכוון לשים מכונות עם לינוקס עליהן ועל זה את ה openvpn
האמת חשבתי לנסות גם את ה access server שלהם
מכיר ?

IF there is no LOVE there is Nothing

יודע שיש, לא מעבר לכך

בכל אופן, אם אתה עובד עם שרת לינוקס, מדובר בפתרון פשוט למדי...

אתה יכול ליצור שרת VPN אחד אצלך, שכולם יתחברו אליו. כל אחד מהלקוחות יקבל IP - בדיוק כמו בשרת VPN רגיל. אתה תתחבר אל ה IP הזה כדי להגיע אל שרת ה VPN. באמצעות סט חוקי NAT על מכונות הלקוחות, תוכל להגדיר פורטים שונים על ה IP ה VPN-י, שיועברו באמצעות DNAT למכונות שונות בתוך הארגון, לפי בחירתך. לא לשכוח כמובן לעשות גם MASQUERADE על כל מה שיוצא דרך eth0, כך שהתעבורה תראה כאילו הגיעה ממכונת ה VPN, ולכן תוכל לחזור אליה מקומית, בלי שתצטרך להגדיר route-ים ברשת המקומית של הלקוח לכיוון ה subnet שרת ה VPN שלך, שממנו אתה בעצם עושה הכל.

כמובן שלא תהיה חייב לעבוד מתוך שרת ה VPN. תוכל להגדיר route ל subnet של כל ה VPN Clients (זה ששרת ה OpenVPN שלך מחלק) ממכונה אחרת שלך, וכנ"ל route חזור במקרה הצורך לכיוון ה subnet של מחשב השליטה שלך, והדברים אמורים לנגן

נמאס לכם לזכור סיסמאות? לחצו כאן!

עוד נושא שאני חוזר אליו אחרי כמה זמן של הזנחה..

וגם פה אני מתנצל על החפירה בדברים שאולי ברורים באופן כללי, אבל לי אישית חסרה בהירות בנושא ואני מניח שלכל יושבי הפורום שיונקים מהידע שלך (בעיקר) בנושאים האלה זה יכול רק להועיל.

אז אני אתאר סנריו מדויק ואם תוכל בבקשה תסביר כמה שיותר בפירוט איך לתכנן את הפתרון:

נניח שאני יושב בתוך רשת ארגונית, שבתוכה אני אתקין את ה OpenVPN.
ונניח שאני רוצה להתקין קליינטים שיתחברו לשרת המרכזי בעוד מספר אתרים.
האתרים הנוספים מחוברים כל אחד בצורה שונה לאינטרנט (זה לא אמור לשנות אני מניח) וישנה אפשרות שבחלק מהם יש טווחי IP פנימי חופפים.
אני רוצה שתהיה לי גישה קבועה לרשתות, או למכונות מסוימות ברשתות של האתרים הללו מהרשת שבה אני נמצא.
חשוב להדגיש שאני רוצה לשים את הקליינטים או המכונות שיריצו את הopenvpn באתרים הנוספים, בתוך הרשת. כלומר הן לא יהיו הנתב או DG כלשהו ברשתות הנ"ל (לפחות זה מה שאני רוצה, להתערב ברשת כמה שפחות).

תוכל לעשות לי סדר בדברים בבקשה ?
איך אני ניגש לזה ?

המון המון תודה
באמת

IF there is no LOVE there is Nothing

כלומר: אתה רוצה ליצור חיבור כוכב, ואתה רוצה שדווקא מרכז הכוכב, יתחבר למחשבים ברשתות המרוחקות, שלהן יכולות להיות כתובות IP חופפות ?

אם כן: האם בכל רשת יעד כזו, יש מספר מחשבים שאליהם אתה אמור להיות מסוגל להתחבר, או שמדובר במחשב בודד? כמו כן, האם אתה מתכון לשים מחשב מיוחד לצורך העניין בכל אתר, או, שאתה בונה על התחברות VPN-ית ישירות למחשב שאליו אמורים לגשת (בסנריו של מחשב בודד, כאמור).

בהתאם לכל הנ"ל, אציע הצעה פשוטה בינתיים, ותגיד לי איך נשמע לך:
הקונפיגורציה הכי פשוטה היא לשחק אותה טמבל, לא לעבוד עם VPN בין אתרי (בגלל החפיפות בטווחים) - למרות ה overhead - ופשוט כל מחשב שאמורים להתחבר אליו מהמרכז, ליצור חיבור של לקוח VPN אל שרת מרכז הכוכב.

אם בוחרים בתצורה הזו - מדובר בעסק פשוט למדי. כל לקוח מקבל תעודה משלו (לפי שם המחשב - למשל), והוא כאמור מתחבר כלקוח לשרת. ל OpenVPN ישנה אפשרות של הצמדת כתובת IP קבועה לפי התעודה של המתחבר (ifconfig-pool-persist - ושים לב - עלייך גם לא להפעיל את האפשרות duplicate-cn). ברגע שתעשה את זה, וברגע שתקצה בשרת ה OpenVPN רשת עבור הלקוחות (נניח רשת בגודל של Class B - אני משער שאין לך יותר מ 65K עמדות שעליהן אתה רוצה לשלוט, נכון?) - ותדאג לניתוב לרשת הזו דרך שרת ה IP הפנימי של שרת ה VPN שיושב בכוכב - אתה בעצם תוכל להגיע לכל מחשב קצה בצורה ישירה, על ידי שימוש בכתובת ששרת ה VPN הקצה לו (כמובן שרצוי להגדיר פיירוול שימנע תעבורה בין האתרים דרך ה VPN אם אינך מעוניין בכך...)

מה דעתך?

נמאס לכם לזכור סיסמאות? לחצו כאן!

אני יכול לחיות עם זה.
נניח להגדיר בכל רשת יעד שאחד השרתים (חלונות לצורך העניין) יהיה עם קליינט מותקן עליו ויתחבר למרכז.
ואז כמו שאתה אומר אני אוכל להתחבר ישירות ללקוח הזה.
אוקיי.
האם הקליינטים יהיו תמיד מחוברים (בתלות בתנאים קיימים ברשת וכו'...) ?
כלומר אין בעיה להגדיר בקליינט של openvpn לחלונות שיהיה מחובר כל הזמן ?
הסיבה שאני אומר חלונות , זה בגלל שאני רוצה להיות מסוגל לעשות RDP ממנו לעוד שרתים ברשת. וSSH ללינוקסים כמובן שלא תהיה לי בעיה, בעוד במקרה ההפוך זה יותר מסובך.

וכמובן אני אצטרך לדאוג שבכל אתר יפתחו לי פורטים מתאימים בפיירוולים , נכון ? 1194 אאל"ט ?

IF there is no LOVE there is Nothing

כן, יכול להיות מחובר כל הזמן (יכול לעבוד כסרביס של מערכת ההפעלה). פורט 1194 UDP החוצה הוא ברירת המחדל, אבל ממש לא חובה, אתה יכול לשנות פורטים. זה פורט בודד, וזה רק בכיוון אחד (כלומר המרכז לא צריך "לפתוח" חיבורים לצד השני - אבל הפיירוול כן צריך להיות stateful בשביל זה...)

אם תשים לב, כפי שאמרתי, ניתן לחבר כל שרת ושרת באופן ישיר ל VPN, ואז תוכל לעשות RDP/SSH לכולם ישירות מהתחנה שלך, בלי להיות תלוי בתחנה מסויימת. יותר עבודה, מן הסתם, אבל... יותר נוח בסוף. וכיוון שעושים את זה רק פעם אחת וזה ממשיך לעבוד (לפחות מנסיוני...) - לא יודע אם זה כזה נורא. מה גם שככה יש לך backup, שיש לך יותר ממכונה אחת מחוברת מאתר אלייך.

אם מדובר בהמון תחנות, מעניין איך תשמור את המיפוי בין שם מחשב היעד לאיי פי שלו - בעדיפות לסכמה שבה לא תצטרך להעזר בקובץ שבו תחפש את שם המחשב

נמאס לכם לזכור סיסמאות? לחצו כאן!

אז אתה אומר שכדאי להתקין קליינטים על כל שרת שאני רוצה להתחבר אליו ?

ולגבי המיפוי, קודם כל לדעתי לא יהיה מנוס מאיזה אקסל בשביל תיעוד, אבל לעבודה שוטפת יש תוכנה נהדרת שנקראת mRemote.. פעם אחת שם את הפרטים ושוכח מהכל.

IF there is no LOVE there is Nothing

כן, זה לא שזה שמוקפויינט או משהו דומה. ההתקנה הרי אפילו לא צריכה ריסטרט.

נמאס לכם לזכור סיסמאות? לחצו כאן!

הגעתי סוף סוף לטפל בזה ..
משהו לא מסתדר לי.
אני מצליח להתחבר עם קליינטים ולהגיע לשרת המרכזי, אבל לא מצליח להגיע הפוך.
כנראה אני לא מגדיר את ה routes נכון.

במצב שבו יש לי את השרת המרכזי שיושב בתוך רשת ארגונית (כלומר הוא לא ה gw), מה אני צריך להגדיר ?
ניתוב בשרת ה VPN של הגישה לרשת שמוגדרת ללקוחות ה VPN דרך איזה כרטיס ?
דרך tun או הכרטיס רשת עצמו ?

או שבנוסף אני צריך שמי שאחראי על ה gw הארגוני יגדיר גם שם route כלשהו ?

אני בטוח לא מבין פה משהו ומפספס ...

אנא, עזרה ..

IF there is no LOVE there is Nothing

לא פרטת יותר מדי על הטופולוגיה - מה מחובר למה ואיפה.

מהו השרת המרכזי
מה היחס של שרת ה VPN אליו

מה מחובר למה

האם יש ראוטרים בדרך

וכו'... הכל בשני הצדדים...

תרשים יהיה נחמד...

נמאס לכם לזכור סיסמאות? לחצו כאן!

צודק.
אוקיי, הנה שרבטתי משהו :



אז סה"כ שרת ה VPN (הוא זה שקראתי לו "מרכזי") יושב בתוך הרשת של המשרד.
ולקוח VPN יושב ברשת כלשהי אחרת.
טווחי כתובות שונים.

מה עוד ?

IF there is no LOVE there is Nothing

והלקוח (חלונות) מצליח להתחבר (כלומר לפתוח חיבור TCP תקין), לדוגמא ב RDP/SSH, לשרת ה OpenVPN? אם כן, יש "ערוץ חזור" תקין...

עכשיו נשאלת השאלה מה "הפוך" אתה לא מצליח:

* משרת ה VPN עצמו אל הלקוח? אם כן, כבה את הפיירוול שעל הלקוח (שים לב - על ה NIC של Tap32...), כי הוא זה שחוסם לך את התעבורה.

* ממכונה אחרת במשרד אל הלקוח? במקרה זה, צריך להגדיר במכונה האחרת route לכיוון ה subnet שממנו אתה מקצה ללקוחות ה VPN כתובות, לכיוון ה IP הפנימי ברשת של שרת ה VPN (כלומר לנתב את 10.8.0.0/16 דרך 10.10.10.16)...

נמאס לכם לזכור סיסמאות? לחצו כאן!

כן. הלקוח מצליח לעשות SSH לשרת ה OpenVPN.
ואכן אחרי שכיביתי את הפיירוול הטיפשי של חלונות על המחשב לקוח אז אני גם מצליח להגיע אליו מהשרת VPN...

אבל עדיין יש לי בעיה עם להגיע ממכונה אחרת ללקוח VPN.
ה route של המכונה הנוספת נראה ככה (אחרי התוספת לפי ההמלצה שלך) :

קוד:

Destination	 Gateway		 Genmask		 Flags Metric Ref	Use Iface
10.8.0.0		10.10.10.16	 255.255.255.0   UG	0	  0		0 eth0
10.10.10.0	  *			   255.255.255.0   U	 0	  0		0 eth0
default		 10.10.10.254	0.0.0.0		 UG	100	0		0 eth0

האם אני צריך להגדיר route כלשהו גם בשרת VPN ?

IF there is no LOVE there is Nothing

לא, מבחינת השרת, הלקוח הוא "directly connected", ולכן "ניתוב" פאקט אליו הוא פשוט זריקת הפאקט לממשק הרלוונטי (ה TUN במקרה שלנו)

הבעייה שלך, סביר להניח, הפוכה.

הימור שלי שבקובץ הקונפיגורציה של שרת ה VPN, שעשית push ל route ללקוח, דחפת ניתוב רק ל IP הפנימי של שרת ה VPN, ולא ל subnet שמכיל גם את המכונות האחרות. (במידה ואני צודק, גם לקוח ה VPN, לא יצליח להגיע אליהן, ולא רק הן אליו...). במקרה זה, כשהלקוח מנסה להחזיר פאקט למכונה שניסתה להתחבר אליו, כיוון שאין ניתוב ספציפי יותר מ 0.0.0.0 עבור ה IP המסויים הזה, הפאקט החוזר נזרק פשוט ל DGW של הלקוח, ומשם, סביר להניח, לאינטרנט...

(אם לא הצלחת להבין מה שאמרתי, תעתיק לכאן את קובץ הקונפיגורציה שבצד השרת ונראה לבד...)

נמאס לכם לזכור סיסמאות? לחצו כאן!

יש לי את ההגדרה הזאת :

קוד:

push "route 10.10.10.0 255.255.255.0"

?

IF there is no LOVE there is Nothing

וה IP של המכונות האחרות ב LAN מתחיל ב 10.10.10 ?

אם לא, זו הבעייה

אם כן, אנא צרף traceroute משני הכיוונים לשני הכיוונים

הו וכמובן, לפני הכל, ואם לא שמת לב לזה בכל הפעמים שדיברתי על כך מקודם (סורי שלקחתי את זה כמובן מאליו...) : אתה מבקש ממכונת ה VPN לבצע Routing, פעולה שבברירת מחדל חסומה ברוב מערכות ההפעלה.

לא יודע מה מריץ שרת ה VPN, ולכן...

בלינוקס:
echo 1 > /proc/sys/net/ipv4/ip_forward
(פועל מיידית. לא שורד אתחול. אם אתה רוצה שישרוד, שנה ב etc/sysctl.conf/ את net.ipv4.ip_forward ל 1 ותוריד את הסולמית שבתחילת השורה...)

בחלונות:
http://support.microsoft.com/kb/323339
(ולאתחל...)

נמאס לכם לזכור סיסמאות? לחצו כאן!

זהו. עובד.
אכן הבעיה האחרונה הייתה עניין הניתוב.
כבר הגדרתי את זה קודם עם echo, אבל שכחתי שזה לא תופס אתחול....
תודה!

IF there is no LOVE there is Nothing

ווקשה

נמאס לכם לזכור סיסמאות? לחצו כאן!