Пропихнуть внешний трафик через VPN-тоннель

[CodeMaster]

Есть две удаленные локалки соединённые через KerioVPN. Надо запихнуть весь внешний трафик из одной подсети через VPN-тоннель в другую (где есно нэт безлимитный ;-) Возможно ли такое в принципе, если да, то возможно ли сделать это средствами только KWF или нужны сторонние тулзы? Я так понимаю, что для хоста на котором установлен KWF и подключен инэт это невозможно, т.к. ему нужны DNS-серверы провайдера что бы увидеть удаленный хост с KWF, а вот для остальных компов в локалке наверное можно.

[CodeMaster]

Насколько понимаю нужна прога для создания VPN-тоннеля на основе IPSec под Windows, т.к. насколько мне известно KWF на IPSec тоннели пога не могёт. Не встречал никто такой, а то всё только Линух попадаются?

З.Ы. Апгрейд на Windows Server 2008 не предлагать.

[xirurg]

CodeMaster, IPSec это не то. это шифрованные каналы связи поверх существующей сети. наиболее популярное примененеие - когда каходясь в общей сети хочешь защитить/выделить несколько компов из нее, не прибегая к подсетям

[CodeMaster]

Цитата:

Сообщение от xirurg

CodeMaster, IPSec это не то. это шифрованные каналы связи поверх существующей сети. наиболее популярное примененеие - когда каходясь в общей сети хочешь защитить/выделить несколько компов из нее, не прибегая к подсетям

Я в принципе знаю что это такое, просто при гуглении по строке "интернет трафик через VPN-тоннель" вываливались ссылки на аппаратные маршрутизаторы (в основном D-Link 804) которые могут такое между собой с VPN-тоннелем какраз на IPSec, а также на проги под Линухом которые также устанавливают VPN-тоннель с использованием IPSec. Также там говорится, что VPN-тоннель на IPSec устанавливается на сетевом уровне, что и позволяет такому тоннелю быть абсолютно прозрачным для приложений, что и позволяет пускать через него внешний трафик.

[xirurg]

не совсем понимаю зачем такие сложности - впн сам по себе поддерживает шифрование, зачем шифровать его поверх еще IPSec мне не понятно..
по теме - не совсем въезжаю что вы хотите сделать.. сэкономить денег? - а между собой локалки соединены безлимитным каналом?

[CodeMaster]

Цитата:

Сообщение от xirurg

зачем шифровать его поверх еще IPSec мне не понятно..

Не нужно мне дополнительное шифрование - совсем.

Цитата:

Сообщение от xirurg

по теме - не совсем въезжаю что вы хотите сделать.. сэкономить денег? -

Да, безлимитный канал на работе ночью простаивает ;-) Ну и так по мелочам есть ещё плюсы в удобстве от VPN-тоннеля на сетевом уровне.

Цитата:

Сообщение от xirurg

а между собой локалки соединены безлимитным каналом?

Да, иначе чегоб я волну гнал.

[pwei]

Цитата:

Сообщение от CodeMaster

Да, безлимитный канал на работе ночью простаивает ;-)

Не понятно. Каким образом можно сэкономить? Локалки связаны между собой через интернет или через безлимитную высокоскоростную линию?

[CodeMaster]

Цитата:

Сообщение от pwei

Не понятно. Каким образом можно сэкономить? Локалки связаны между собой через интернет или через безлимитную высокоскоростную линию?

Ну что непонятного? Через Интернет, в офисе безлимитка, дома лимитный, внутренний трафик бесплатный.

Апы конечно хорошо, но не в этом подфоруме, тут не так часто первая страница обновляется, так что ответы желательно по теме.

[pwei]

Цитата:

Сообщение от CodeMaster

Ну что непонятного? Через Интернет, в офисе безлимитка, дома лимитный, внутренний трафик бесплатный.
Апы конечно хорошо, но не в этом подфоруме, тут не так часто первая страница обновляется, так что ответы желательно по теме.

По теме openvpn поможет.
Но только попробую внести ясность. Смотрим рисунок. Дома лимитный интернет, дома стоит vpn сервер. На работе безлимитный интернет, на работе стоит vpn сервер. VPN серверы связываются друг с другом через интернет. Если дома подсчитывается трафик при посещении одноклассники.ру , то трафик будет подсчитываться и при передачи данных от впн сервера, который находится на работе. Не смотря на то, что тянуть трафик вы будете, например с 192.168.1.1. Провайдеру все равно какой трафик вы гоняете, зашифрованный IPsec'ом или тянете что-то с торрентс.ру. Тоже самое в случае наличия дома безлимитного канала с низкой скоростью. Провайдер будет резать по тарифу трафик и с одноклассников, и трафик vpn'а.
Но только если от работы до дома проложена отдельная линия связи, скорость передачи по которой выше скорости интернета на работе... тогда и только тогда стоит что-то мутить.. и мутить тут нужно не впн..

[][irurg]

pwei, товарищ видимо находится в с работой на обслуживании у одного провайдера, и внутрисетевой трафик бесплатный, а наружу ходит за деньги, а хочет за счет офиса )
CodeMaster, подключаясь по впн вы по идее станивтесь частью офисной сетки, должны получать ее параметры в частности шлюз. Осталось прописать маршруты и настройки что бы ваш браузер лез куда нужно и как нужно. Т.е. ваш офис должен стать вашим ISP
Может проще, если адрес офиса известен, вы в одной сети, может быть стоит просто поднять там прокси и выходить через него?

[pwei]

Цитата:

Сообщение от ][irurg

pwei, товарищ видимо находится в с работой на обслуживании у одного провайдера, и внутрисетевой трафик бесплатный, а наружу ходит за деньги, а хочет за счет офиса )

ох ептить.. стопудняк)) поражаюсь вашим навыкам телепатии)) респект.
CodeMaster, если на работе есть windows 2003, можно поднять на ней vpn pptp сервер (оснастка маршрутизация и удаленный доступ). Настройка предельно проста.

[gene]

вот накрутили на ровном месте... КВФ - полноценный маршрутизатор, к чему все навороты, когда это все заложено дефолтно и рулится не чета винде?
Два КВФ, между ними ВПН-туннель. Считаем, что туннель установлен корректно, а это значит, что шлюз в домашнем квф для туннеля определен . Оптимистично предполагаем, что в офисе днс настроен корректно и виден из подсети впн-туннеля. Два нюанса: оба квф должны видеть друг друга в инете не по имени, а по адресу (что в квф предполагается изначально), и крайне желательно (но не обязательно), чтобы днс-сервер офиса обслуживал в том числе локалку домашнего впн впрямую и вобратную.
В настройках домашнего керио на данном туннеле (их может быть много разных) указываем днс-сервером локальные адреса офисного днс.
Этого можно и не делать, если офисный квф разрешает трансляцицю в инет всех сервисов (ДНС по крайней мере). В этом случае будут использованы автоматом адреса внешних днс из инетного интерфейса.
Правила керио не забываем настроить для работы туннеля и локалки из-под него, используя нат для нужных сервисов или эни-сервисов на наш туннель.
Первым - правило для кериоВПН, потом для локалки типа локаль-эни-эни-пермит-нат на туннель или на адрес офисного шлюза, если версия квф свежая. Это дома, в офисе устанавливаем правила доступа в инет как обычно для источника наш туннель.
Все. Если нужен прокси - указываем адрес офисного локального прокси в браузере.

[gene]

а можно еще проще, если вопросы безопасности не угнетают. На рисунке совсем все понятно - это сторона домашнего квф.

[CodeMaster]

Цитата:

Сообщение от gene

вот накрутили на ровном месте... КВФ - полноценный маршрутизатор, к чему все навороты, когда это все заложено дефолтно и рулится не чета винде?

Надеюсь, что это так, хотя с кандычка и не удалось ;-) попробуем разложить по полочкам

Цитата:

Сообщение от gene

что шлюз в домашнем квф для туннеля определен.

Что есть шлюз, пользовательские маршруты? И что дам должно быть задано, офисная сеть?

Цитата:

Сообщение от gene

Оптимистично предполагаем, что в офисе днс настроен корректно и виден из подсети впн-туннеля.

Машина с КВФ в офисе из дома пингуется.

Цитата:

Сообщение от gene

и крайне желательно (но не обязательно), чтобы днс-сервер офиса обслуживал в том числе локалку домашнего впн впрямую и вобратную.

А как это настроить?

Цитата:

Сообщение от gene

В настройках домашнего керио на данном туннеле (их может быть много разных) указываем днс-сервером локальные адреса офисного днс.

В свойствах туннеля нет настроек ДНС, они есть только в свойствах ВПН-сервера

Цитата:

Сообщение от gene

Этого можно и не делать, если офисный квф разрешает трансляцицю в инет всех сервисов (ДНС по крайней мере).

Т.е. Туннель-Интернет-ДНС-Пермит или Файрвол-Интернет-ДНС-Пермит?

Цитата:

Сообщение от gene

Правила керио не забываем настроить для работы туннеля и локалки из-под него, используя нат для нужных сервисов или эни-сервисов на наш туннель.

Это в офисе, разрешить из туннеля выход в нэт для нужных сервисов?

Цитата:

Сообщение от gene

Первым - правило для кериоВПН,

Какое? Для связи серверов по 4090?

Цитата:

Сообщение от gene

потом для локалки типа локаль-эни-эни-пермит-нат на туннель

Локаль-Туннель-Эни-Пермит-НАТ так что-ли или что значит "на туннель"?

Цитата:

Сообщение от gene

или на адрес офисного шлюза, если версия квф свежая.

Локаль-IP офиса-Эни-Пермит-НАТ?

Цитата:

Сообщение от gene

в офисе устанавливаем правила доступа в инет как обычно для источника наш туннель.

В правило Локаль-Интернет-Сервисы-Пермит-НАТ к Локали добавить Туннель?

[CodeMaster]

Цитата:

Сообщение от gene

а можно еще проще, если вопросы безопасности не угнетают.

Безопастность внутри сети или внешняя?

[gene]

Ты попытайся сделать то, что было сказано мной в двух постах,,,,,,,,,

[gene]

Перечитал все - и удалил последние свои посты
Там я ругал автора топика.

[gene]

CodeMaster Ты ведь ни хера не делал.....

[CodeMaster]

Отвечу так же попорядку (раз ты убрал своё требование с необходимостью разъяснить тебе смысл жизни)

Цитата:

Сообщение от gene

Ты попытайся сделать то, что было сказано мной в двух постах,,,,,,,,,

Будем считать большинство вопросов просто комментариями, но вот на который я ответа не нашёл, поясни.

Цитата:

Сообщение от gene

В настройках домашнего керио на данном туннеле (их может быть много разных) указываем днс-сервером локальные адреса офисного днс.

В свойствах туннеля нет настроек ДНС, они есть только в свойствах ВПН-сервера

[CodeMaster]

Цитата:

Сообщение от gene

Перечитал все - и удалил последние свои посты
Там я ругал автора топика.

Но у меня-то они остались ;-) Считаю есть что обсудить, мяч-то типа на моей стороне.

Цитата:

Сообщение от gene

автор, я прочитал все твои комменты.
Я прекрасно представляю тему, суть проблемы и ответ на каждый твой вопрос.

Если ты заметил, я никогда не подвергал сомнению твою квалификацию (просто потому что не было повода) Все найденные на этом форуме твои посты (и в моих темах тоже (за исключением поста №12) это фекальные отложения. Ты как человек здравомыслящий я надеюсь этого отрицать не будешь (ибо тогда диагноз совсем другой :-) Другой вопрос почему ты это делаешь, но не в рамках этого форума.

Цитата:

Сообщение от gene

Я очень давно тебя знаю по-типо лично..

Типо я за тебя рад, хотя не помню среди своих знакомых столь неуравновешеных (хотя если это просто твоя интернет-личина, то не удивительно)

Цитата:

Сообщение от gene

Ну, а ответь мне на один совсем простой вопрос: а на хера мне надо учить кого-то ликбезу ?

Ответ в виде вопроса правда крайне прост: а нахрена ты заходишь на этот форум? Задумайся, я надеюсь ты найдёшь ответ, ведь это твоё решение.

Цитата:

Сообщение от gene

Ответишь вразумительно - помогу. Нет - нет.

Хочу заметить что помощи я просил не у тебя лично, если есть вероятность что на этом форуме нет знающих ответы на эти вопросы, это совсем не повод для мании величия. Если это для тебя так трудно, ещё раз подумай: зачем ты заходишь на этот форум?

Цитата:

Сообщение от gene

П.С. Вопрос про безопасность поверг в ужас - а что оно есть, ты фильтруешь?!

Ответ тоже, можно на русском.

[CodeMaster]

Цитата:

Сообщение от gene

CodeMaster Ты ведь ни хера не делал.....

Знакомых телепатов тоже не припомню.

[CodeMaster]

Цитата:

Сообщение от gene

Ты попытайся сделать то, что было сказано мной в двух постах,,,,,,,,,

Закончив со всем личным :-) Хочу сказать, что твои ответы всё-таки помогли, и то что пока это всё не заработало - это частности, направление я понял, остались ньюансы, и даже если ты не затруднишь себя дальнейшими ответами, всё равно пасиб, я думаю дальше я полюбому добью вопрос сам ;-)