vpn proxy/D/SNAT - tema de gandire


  1. #1
    De-al casei aduntoredas's Avatar aduntoredas reprezinta o cantitate neglijabila
    Data de inscriere
    03-10-2005
    Sex
    M
    Mesaje
    252
    Mesaje bazar
    350
    Putere Reputatie
    40
    Reputatie
    19
    Puncte CF
    0.0

    vpn proxy/D/SNAT - tema de gandire

    Pentru domnii care se intreaba ce mai viseaza lumea in materie de retelistica si linux, iata o problema de rezolvat. Apreciez orice sfaturi legate de subiect.

    Se da un server cu ceva IP-uri routabile in internet. Se doreste conectarea la acest server printr-un tunel vpn (se va folosi in acest scop openvpn sau ceva compatibil). Clientul care se conecteaza la server prin VPN doreste mascarea sa in internet prin una din ip-urile routabile ale serverului. De exemplu:

    Client IP (fixed public IP address): a.b.c.d
    Server IP addresses (public): x.y.z.t, x.y.z.u, x.y.z.v, x.y.z.w
    Clientul se conecteaza la adresa x.y.z.t, si iese in internet prin aceeasi adresa x.y.z.t (serverul VPN mascheaza conexiunea clientului / masq). Daca acelasi client doreste sa se conecteze la server prin x.y.z.u, accesul nu i se va permite (i se permite doar accesul la ip-ul alocat lui). Se poate pune si un squid cu access list-uri pentru acest scop. Ideea de baza e ca pentru stabilirea unui tunel clientul probabil va avea un ip din clasa 10.8.0.0/16 iar serverul 10.8.0.1. So, aveti vreo idee geniala?

    Multumesc in avans.
    Edited by MOD - Semnatura. Forumul permite si crearea unei semnaturi care sa apara la sfarsitul mesajelor tale; aceasta ar trebui sa fie o fraza scurta, un citat celebru, eventual o gluma, dar care sa nu aiba dimensiuni prea mari. De asemenea nu sunt permise link-uri directe sau tag-uri catre: site-uri, anunturi de mica publicitate, publicitate de orice fel. Ne rezervam dreptul de a edita semnaturile ce incalca regulamentul forumului fara a avertiza utilizatorul;

  2. #2
    VIP User uranianul are ceva special... uranianul are ceva special...
    Data de inscriere
    09-10-2005
    Varsta
    41
    Sex
    M
    Mesaje
    360
    Mesaje bazar
    70
    Putere Reputatie
    40
    Reputatie
    121
    Puncte CF
    20.0
    poti sa dai mai multe detalii ca sincer eu nu am inteles exact ce doresti sa faci?
    Vrei ca un client sa aiba mereu acelasi ip rutabil cand iese in internet prin acel vpn?
    Sau el e in spatele unui ruter care ii da adrese cu 10.0.x.x care sunt exact aceleasi care ii sunt date de vpn si asta il impiedica sa aiba acel acces la internet?
    look beyond your beliefs
    Vrei mai putine reclame? Inregistreaza-te sau logheaza-te

  3. #3
    De-al casei aduntoredas's Avatar aduntoredas reprezinta o cantitate neglijabila
    Data de inscriere
    03-10-2005
    Sex
    M
    Mesaje
    252
    Mesaje bazar
    350
    Putere Reputatie
    40
    Reputatie
    19
    Puncte CF
    0.0
    Vreau ca un client sa aiba mereu acelasi ip routabil cand iese in internet prin acel VPN Si mai vreau ca doi clienti sa nu poata interfera unul cu celalalt modificand setari prin fisierele client .ovpn
    Edited by MOD - Semnatura. Forumul permite si crearea unei semnaturi care sa apara la sfarsitul mesajelor tale; aceasta ar trebui sa fie o fraza scurta, un citat celebru, eventual o gluma, dar care sa nu aiba dimensiuni prea mari. De asemenea nu sunt permise link-uri directe sau tag-uri catre: site-uri, anunturi de mica publicitate, publicitate de orice fel. Ne rezervam dreptul de a edita semnaturile ce incalca regulamentul forumului fara a avertiza utilizatorul;

  4. #4
    Member sunfire reprezinta o cantitate neglijabila
    Data de inscriere
    05-10-2005
    Sex
    M
    Mesaje
    104
    Mesaje bazar
    128
    Putere Reputatie
    39
    Reputatie
    10
    Puncte CF
    38.0
    Salutare.

    A trecut mult timp de cind nu am mai postat la sectiunea asta a forumului .
    Inainte de a prezenta solutia pe care o vad eu vreau sa repet mai intii problema (sa vad daca am inteles bine): deci clientul (cu ip public) vrei sa-l conectezi la server (care are mai multe ipuri publice) prin VPN avind ca scop iesirea clientului in internet cu acelasi IP tot timpul. De asemenea mai vrei ca mai multi clienti sa nu poata sa iese in internet folosind celelalte ipuri publice ale internetului. Scenariul asta mi se pare plauzibil decit daca clientul are ip dinamic (ex. erdeesh fiberlink) si totusi tu vrei sa-l scoti in internet cu acelasi ip tot timpul (motivul nu conteaza).
    Daca asta e problema atunci solutia mi se pare (destul de) simpla si (totodata) eleganta: pe serverul cu ipuri publice instalezi si un socks proxy (avind in vedere ca tu ai mai multe ipuri publice pe server care vrei sa fie folosite de clienti pentru e iesi pe net pui cite un socks pe fiecare ip public). Pe fiecare socks pui un singur utilizator cu parola lui (si in felul asta rezolvi si problema izolarii clientilor - clientii nu stiu decit parola individuala, deci nu pot folosi celelalte socksuri - si implicit celelalte ipuri publice de pe server - pentru autentificare si implicit pentru iesire pe net). Pe windowsul clientului instalezi Aventail connect (sau orice alt soft care socksifeaza traficul de retea - eu Aventail connect folosesc si pot sa spun ca e brici). Aventailul clientului il configurezi sa socksifeze traficul de net (si aici devine evident de ce solutia asta este eleganta: daca vrei, poti sa configurezi Aventailul sa socksifeze traficul numai catre _anumite_ clase de ipuri, nu tot traficul - deci clientul iese pe net folosind ipul public de pe server _numai_ catre clasele alea de ipuri, restul traficului nu trece prin server).
    Dupa cum vezi solutia mea nu are nevoie de o conexiune VPN, deci si mai putina bataie de cap.
    Sper ca am expus solutia suficient de clar si nu te-am inebunit de cap
    Probabil deja ai rezolvat problema intre timp si-atunci nu mai trebuie sa-ti bati capul cu solutia propusa de mine

    All za best
    Last edited by sunfire; 21-08-2010 at 14:16.

  5. #5
    De-al casei aduntoredas's Avatar aduntoredas reprezinta o cantitate neglijabila
    Data de inscriere
    03-10-2005
    Sex
    M
    Mesaje
    252
    Mesaje bazar
    350
    Putere Reputatie
    40
    Reputatie
    19
    Puncte CF
    0.0
    Nu e vorba de bataie de cap. N-are treaba rds-ul cu asta, solutia s-a implementat deja pe undeva prin australia, clientii avand ip-uri fixe routabile de la provideri (ca doar nu peste tot s-o face ca la erdeiesh, da neamule ip-uri d-an pixulea ca nu dai de la ma-ta) Ce zici tu, socks proxy + squid cu si fara autentificare, cu permisiuni pe ip-uri le rezolvasem mai demult in toate variantele posibile. Treaba mai era de rezolvat pentru openvpn. Merci frumos oricum pentru feed-back.
    Stima,
    Edited by MOD - Semnatura. Forumul permite si crearea unei semnaturi care sa apara la sfarsitul mesajelor tale; aceasta ar trebui sa fie o fraza scurta, un citat celebru, eventual o gluma, dar care sa nu aiba dimensiuni prea mari. De asemenea nu sunt permise link-uri directe sau tag-uri catre: site-uri, anunturi de mica publicitate, publicitate de orice fel. Ne rezervam dreptul de a edita semnaturile ce incalca regulamentul forumului fara a avertiza utilizatorul;
    Vrei mai putine reclame? Inregistreaza-te sau logheaza-te

Google+

Cautati logo-ul CraiovaForum?

Iata cateva variante: