No, a történet röviden: volt egy tűzfal, rajta OpenVPN (TCP és 443-as porton). Ezt használva a munkatársak sok helyről (pl. csak http-t, https-t kiengedő ügyfelektől) tudták használni a VPN-t, és a saját belső levelezésüket és egyéb dolgaikat elérték.
Új tűzfal lett, ezt már nem én tartom karban, viszont a németek nem is értik, hogy mi a bajunk az ő cisco vpn-jükkel (amivel egyébként semmi baj nincs, azon kívül, hogy lassú, az ügyfelek felétől nem építhető fel a kapcsolat, mert az ügyfél tűzfala kiszűri, és nekem külön bajom, hogy én nem tölthetem le a Linuxos klienst, mert nem ismerem a jelszót, a németek meg nem töltik le nekem (egyébként se nagyon szoktak reagálni)). No, tehát valami kerülő megoldást akarok csinálni. A kívülről indított kapcsolat felejtős, tehát a belső hálóból (b) akarok felépíteni egy, az internet felől elérhető másik gép felé valamit. Két lehetőségem van: Van egy gép (s), ami egy ADSL végén űl, állandóra. Van rajta openvpn (UDP, default port), openssh, előtte nincs tűzfal. Van egy másik gép (m), ami egy nagy sávszélességű szimmetrikus dróton lóg. Van rajta openssh, és előtte van egy tűzfal, ami nem akármit ereszt be hozzá. A következő ötleteim vannak: - (b)-ről openvpn-t nyitni az (s) felé, kliensek openvpn-t nyitnak az (s) felé, aztán (s) routol mindent. Előnyök: UDP tunnelben megy a TCP, kliens megkapja a routing táblát meg a DNS bejegyzéseket, vacakolás nélkül megy. Hátrányok: nem minden ügyfél ereszti ki az 1194/UDP port felé a kapcsolatokat, nagyon félek, hogy az adsl felfelé iránya (kb. 400-500kbit) erős korlát lesz. (Más forgalom is van azon a gépen, de nem túl sok). - (b)-ről ssh tunnelt nyitni (m) felé, kliensek is ssh tunnelt nyitnak (m) felé, és aztán nem is tudom. Talán egy openvpn-t a kliensek és (b) gép közé a két ssh tunnelen keresztül. Vagy ppp-t. Vagy valamit. Előnyök: sávszélesség az nem gond Hátrányok: TCP tunnelben megy a TCP, többszörös becsomagolás, ez se megy minden ügyféltől ((m) gépen https port foglalt, az ssh-t meg sok helyről szűrik) Mi az, amit akarok csinálni? ssh-val belépni (b) gépre, Oracle SQL*Net-et akarok használni (pl. tora, SQL*Plus, stb kliensekkel), (b) gépen Oracle programokat futtatni (java és X), (b) gépen futó webes programokat elérni változatos portokon. Annak örülnék ha lenne valami egyszerű megoldás, ami nem becsomagolom aztán becsomagolom, aztán becsomagolom, és az (m) gépen keresztül a kliens gépek számára transzparensen lehetne kapcsolódni (b)-hez. (Illetve (b)-n keresztül más, a belső hálóban található gépekhez). Előny, ha windows alól is tudnak kapcsolódni az emberek, openvpn klienst használtak eddig. Szóval ki, mit javasol? Használjam a 400kilobites csatornát, és örüljek, hogy egyszerű volt felépíteni? Most ez tűnik szimpatikus megoldásnak. CIPE nevűvel van valakinek tapasztalata? Ahogy kicsit ránéztem, kb. ugyanazt várhatom tőle, mint az openvpn-től. Jól gondolom? G _________________________________________________ linux lista - [email protected] http://mlf2.linux.rulez.org/mailman/listinfo/linux
