Vyatta site-to-site vpn, openvpn

On 2009/10/18, In Internet, Vyatta, By bradkoun

Způsobů, jak vytvořit sito-to-site vpn je spousta. Podobnou konfiguraci jsem použil pro přístup do EC2 cloudu. Lze sice doinstalovat openvpn na téměř jakýkoliv stroj který vám v cloudu běží, ale ostatní stroje jsou pak na něm závislí a vzniká určité omezení. Pokud jsou veškeré routovací funkce v jednom samostatném img, správa se stává jednodušší a přehlednější.

Proč openvpn? Je předvídatelné, jasně si definuji na jakém jednom portu poběží, zda tcp, udp, prochází bez problémů přes NAT a je jednoduché pro něj nastavit fw pravidla, projde i přes EC2 AWS fw, narozdíl od l2tp ipsecu.

Takže k zadání – propojit vzdálenou site a lokální site prostÅ™ednictvím internetu a spojit tak obÄ› sítÄ›.

Nejdříve si vyrobíme statický klíč, ten rozdistribuujeme na obě strany

openvpn –genkey –secret /root/secret

configure
set interfaces openvpn vtun0
set interfaces openvpn vtun0 remote-address 10.0.0.1
set interfaces openvpn vtun0 local-address 10.0.0.2
set interfaces openvpn vtun0 remote-host 1.2.3.4
#remote hostů muze byt definovano vice
set interfaces openvpn vtun0 mode site-to-site
set interfaces openvpn vtun0 shared-secret-key-file /root/secret
commit

Druhá strana samozřejmě s obrácením local-address- remote-address a správným remote-host.

Dalšími parametry jde samozřejmě měnit porty, šifrování, nicméně v této podobě bude spojení funkční, routing záleží na specifickém nastavení vaší infrastruktury, zda použijete statický nebo dynamický, atd.

 
0 Comments
Leave A Response

Vyatta – jednoduchý cluster

On 2009/10/18, In Internet, Vyatta, info, By bradkoun

Popíšu jednoduchý způsob, jak vyrobit jednoduchý cluster s vyatta routery.

Použijeme dva kusy routeru. Nastavíme je dle potřeby, dostanou odlišné venkovní i vnitřní adresy. IP adresy které si budou přehozavat podle potřeby mezi sebou nenastavujeme natvrdo, o to se postará právě cluster.

Nastavení prvního routeru bude tÅ™eba – vnitÅ™ní adresa 192.168.1.10, venkovni 12.13.14.10
Nastavení druhého routeru bude tÅ™eba – vnitÅ™ní adresa 192.168.1.20, venkovni 12.13.14.20

A IP adresy které budou clusterovat budou – vnitÅ™ní adresa 192.168.1.300, venkovni 12.13.14.30

Oba routery mají konfiguraci vyřešenou samostatně, to je věc konkrétní situace, popisuju jen cluster.
Takže vnitřní dns a gw si nastavíme na .30, konfigurace clusteru na routeru1 bude vypadat:

configure
set cluster interface eth0
set cluster interface eth1
set cluster pre-shared-secret secretsecret
set cluster group testcluster
set cluster group testcluster primary router1
set cluster group testcluster secondary router2
set cluster group testcluster monitor ?IP adresa?
set cluster group testcluster monitor ?IP adresa dalsi?
set cluster group testcluster service 192.168.1.30/24
set cluster group testcluster service 12.13.14.30/24
commit

service může být IPadresa kterou clusterujeme nebo ipsec. K cemu to je? Levný a jednoduchý způsob jak zálohovat připojení na internet, VPN mezi pobočkami nebo VPN přístup do sítě.

monitor – seznam IP adres které se kontrolují na dostupnost, může jich být nÄ›kolik, vnitÅ™ní, vnÄ›jší, záleží co je potÅ™eba.

Někdy se ještě může hodit mít jeden standardní router a druhý na slabším hw jen jako backup, potom pomocí

set cluster group testcluster auto-failback true

zajistíme, že pokud primární opět běží, převede se provoz na něj.

 
0 Comments
Leave A Response

Vyatta – konfigurace vpn přístupu z internetu

On 2009/08/18, In Internet, Vyatta, By bradkoun

Způsobů pro řešení připojení zaměstnanců, například obchodníků nebo homeworkerů, do interní firemní sítě je mnoho, popíšu jeden, u kterého na klientské straně stačí Windows XP nebo Vista, funguje i pro MAC OS X, takže jeho aplikace pro Vás může být otázkou pěti minut.

Siuace:
eth0 – pÅ™ipojení do Internetu, IP 1.2.3.4, gw 1.2.3.1
eth1 – interní síť 10.0.0.0
vpn síť – 10.0.1.0
– schválnÄ› používám odliÅ¡ný rozsah, kvůli pozdÄ›jšímu rozliÅ¡ní pravidly na FW, pokud bychom nechtÄ›li povolit putovním uživatelům úplnÄ› plný přístuip vÅ¡ude.

(more…)

 
0 Comments
Leave A Response

Vyatta router – základní konfigurace

On 2009/08/16, In Internet, Vyatta, By bradkoun

pár týdnů se zabývám Vyattou, dám tu postupně na ukázku pár jednoduchých návodů.

Vyatta je open source alternativa k Cisco routerům. Je k dispozici jako sw nebo jako hw appliance. Samozřejmě zajímavější je samostatné řeěení pouze jako software, poběží na standardním x86 stroji od embeded zařízení typu soekris přes kancelářské PC až po rackový IBM server, dle požadovaného výkonu. Jako elegantní řešení může být i instalace sw do virtuálního stroje, buď jako router, firewall nebo vpn koncentrátor či jako součást sitetosite vpn spojení. Pokud se chceme vyhnout nějakým bastlům které nikdo jiný než tvůrce nedokáže oprašovat, je to ideální řešení. Router obsahuje jednotný CLI a webové GUI pro správu a konfiguraci. Celá konfigurace pak je v jednom jediném souboru a není třeba editovat a udžzovat jich šedesát.

Community edice je dostupná zdarma: http://www.vyatta.org/, takže hurá na to.

Pro začátek tedy instalace a základní konfigurace:
(more…)

 
0 Comments
Leave A Response
Go To Top »