Re: [rlug] routing :: comunicare retele prin tunel openvpn

Tue, 13 Dec 2016 00:58:33 -0800 

În 2016-12-12 18:54, Adrian Sevcenco a scris:
> On 12/12/2016 06:32 PM, Iulian Murgulet wrote:
>> În 2016-12-12 17:09, manuel "lonely wolf" wolfshant a scris:
>>> On 12/12/2016 03:57 PM, Mihai Badici wrote:
>>>> Poti sa pui ruta inversa cu "push route":
>>>> 
>>>> push "route 10.10.0.0 255.255.0.0"  in configul de server. Cred ca
>>>> merge si
>>>> in acel fisier in care ai pus iroute.
>>>> ( exemplele mele nu sunt consistente, sunt din configuri diferite)
>>>> 
>>> config functional de ani de zile in curtea mea:
>>> 
>>> push "route 192.168.10.201 255.255.255.255"
>>> push "route 192.168.5.1 255.255.255.255"
>>> push "route 192.168.5.24 255.255.255.255"
>>> push "route 192.168.5.29 255.255.255.255"
>>> push "dhcp-option DNS 192.168.10.11"
>>> 
>> 
>>    Da, confirm si eu partea cu push ... Merge de ani si la mine. 
>> Trebuie
> o am si eu ..
> push "route 10.10.8.0  255.255.252.0"
> push "route 172.20.0.0 255.255.255.0"
> 
> astea fiind retelele private la care vreau sa ajung de acasa
> 
>> totusi sa ia in vedere si ce vei putea avea peste ceva timp. Daca or 
>> sa
>> apara in loc de un singur tunel 10-15 tunele,
>> nu mai este chiar asa de placut. Stii ... sterge push "route 
>> draci-laci"
>> si aduga 2-3 route, si asta pe mai multe tunele. Asadar, daca crezi ca
> e doar un tunel p2p fix pentru a avea de acasa access la retelele
> private unde am ipmi-uri care imi ofera un kvm prin applet java,
> applet ce nu stie sa recunoasca proxyul setat al browserului si prin
> urmare nu functioneaza
> 
>> NU ai sa ajungi la aceasta situatie, push route e cel mai bine. Daca
>> insa e posibil sa ajungi la ce povestesc eu, atunci nu asta este 
>> solutia
>> optima. In cazul a mai multor tunele, e mai productiv sa folosesti 
>> ospf.
>> In cazul asta ospf fa face ceea ce face push-route. Si de aici apar si
>> alte avantaje, dar nu intru in detalii.
>> 
>>    Deasemenea, daca ai ceva in LAN-ul remote de acesat poate fi utila 
>> si
>> varianta cu un haproxy pe capatul tunelului(la care ajungi cu 
>> openvpn),
>> si de acolo haproxy face rutarea in spate pe host-le care te
> nu prea inteleg cum face rutarea un proxy ... poti te rog sa detaliezi
> un pic si/sau imi dai un link de lamurire? din ce am vazut la un
> google scurt haproxy e ceva cu load balancing si nu prea vad ce
> legatura are cu accessul meu la o retea de dincolo de serverul openvpn


- se poate seta sa zicem un loadbalancing cu un singur back-end in spate

(ex. 
192.168.100.0/24)lan-home---ovpn-home(10.20.30.1)--------ovpn-munca(10.20.30.2)---lan-munca(ex.
 
192.168.0.0/24)

- ideea este ca din 192.168.100.0/24 ajung cu ping de ex. la 
ovpn-munca(10.20.30.2)

- pun un haproxy pe masina de la munca care tine ovpn-ul, si care 
asculta cererile care vin prin ovpn
- deci clientul din lan-home comunica doar cu ip-ul oferit de 
ovpn-munca, si ca orice proxy, rescrie header-ul(similar cu NAT-ul ca 
idee) si ce mai stie el,
astfel incat destinatia finala din lan-munca vede ca si sursa ip-ul 
masinii care tine ovpn-ul:


listen frontend_proxy_tcp 10.20.30.2:xxx
       maxconn 500
       mode tcp
       option tcplog
       server backend 192.168.0.y1:z1 check


- deci ce vine pe portul tcp xxx/10.20.30.2 este "routat" via ha-proxy 
catre hostul 192.168.0.y1, portul tcp z1.
- poti face N instante de genul asta, care sa asculte pe acelasi ip 
10.20.30.2, dar pe porturi diferite
- singura conditie este ca hostul de la munca pe care ruleaza ovpn sa 
poata contacta host-le pe care te intereseaza pe tine
- deci poti sa ai si asa:


listen frontend1_proxy_tcp 10.20.30.2:x1
       maxconn 50
       mode tcp
       option tcplog
       server backend 192.168.0.y1:z1 check

listen frontend2_proxy_tcp 10.20.30.2:x2
       maxconn 50
       mode tcp
       option tcplog
       server backend 192.168.0.y2:z1 check

.... samd


   Si am convingerea ca e mai buna varianta cu haproxy, pt ca:
- nu vrei ca virusii sau nebuniile de la tine de acasa sa ajunga la 
munca
- nu vrei nici invers, ca problemele de la munca sa-ti "inunde" reteaua 
de acasa
- cu ceva setari de timeout .... o conexiune de ovpn intrerupta, si apoi 
restabilita nu conduce si la intrerupere sesiunii cu backend-ul pe care 
tocmai faceai ceva f. important
- e usor de setat niste reguli simple si decente de firewall pt haproxy

Practic in cazul tau haproxy va face "rutarea" catre back-end-ri, iar 
back-end-le vor raspunde la cererile venite de la haproxy. Banui ca 
acele aplet-ri ruleaza intr-un browser,
prin urmare, se poate seta haproxy sa asculte cereri pe un https, adica 
in final nici nu mai ai nevoie de ovpn, daca limitezi din firewall 
sursa/ip de acasa(port-knok?). Si de acasa deschizi
doar un broswer ... asa e si mai simplu. Tot ce ai de facut e sa setezi 
cum trebuie haproxy.

Bafta.


> ...
> 
> Multumesc frumos!
> Adrian
> 
> 
>> intereseaza. Eu cred ca varianta asta e si mai secure ...;) Aici nu 
>> mai
>> ai nevoie de nici o rutare gen push route!
>> 
>>    Evident fiecare variana are avantaje si dezavantaje. Alege ce-ti
>> convine mai mult!
>> 
>>> _______________________________________________
>>> RLUG mailing list
>>> [email protected]
>>> http://lists.lug.ro/mailman/listinfo/rlug
>> ================================ ATENTIONARI 
>> =============================
>> 
>> - nu trimiteti date personale (CNP, copii dupa acte de identitate 
>> etc).
>> 
>>  O lista completa cu reguli de utilizare exista la:
>> 
>> http://gw.casbv.ro/forum_smf/index.php?topic=2000.msg3106#msg3106
>> 
>> C.A.S.J. Brasov - B-dul Mihail Kogalniceanu, nr. 11,Brasov
>> [web-site]: http://www.casbv.ro
>> [forum]: http://gw.casbv.ro/forum_smf/index.php
>> 
>> ==========================================================================
>> 
>> _______________________________________________
>> RLUG mailing list
>> [email protected]
>> http://lists.lug.ro/mailman/listinfo/rlug
>> 
> 
> 
> _______________________________________________
> RLUG mailing list
> [email protected]
> http://lists.lug.ro/mailman/listinfo/rlug
================================ ATENTIONARI =============================

- nu trimiteti date personale (CNP, copii dupa acte de identitate etc).

 O lista completa cu reguli de utilizare exista la:

http://gw.casbv.ro/forum_smf/index.php?topic=2000.msg3106#msg3106

C.A.S.J. Brasov - B-dul Mihail Kogalniceanu, nr. 11,Brasov
[web-site]: http://www.casbv.ro
[forum]: http://gw.casbv.ro/forum_smf/index.php

==========================================================================

_______________________________________________
RLUG mailing list
[email protected]
http://lists.lug.ro/mailman/listinfo/rlug

Raspunde prin e-mail lui