Рытьё туннелей через интернет.

Jan 28, 2009 02:14

Сегодня практически добил туннель вот для этого: http://clubs.ya.ru/4611686018427388112/replies.xml?item_no=176
Задача: чтобы 1С работала с удалённой базой в другом офисе. Пройдены следующие этапы:
1) Организовать подключения склада к интернету.
2) Приобрести и настроить оборудование (Для пущей уверенности сделал роутер из системника с альтлинуксом)
3) Организовать шифрованный туннель между складом и офисом, в частности между одним компьютером на складе и одним в офисе.


1) Подключили через карбину. Вроде дёшево и сердито, кинули оптику с крыши довольно за дёшево, сейчас уже такой халявы нет. Но у них есть один ньюанс, подключатся надо поверх локалки по ppptp или l2tp. С ходу не разобрался, у альт линукса свои не очевидные нюансы. Поэтому пока поставил на складе длинк роутер.
2) Ну, это самое простое.
3) До этого я уже делал туннель, но не шифрованный gre по районной локалке. Сделал на openswan. День мучался, не мог настроить. Оказалось, что роутер в режиме DMZ 500 порт пробрасывает, а 4500 нет. Эти порты нужны для IPSec. Настроил iptables попинговал туда-сюда, вроде работает.
Но на месте оказалось, что не очень. Слал большие пинги от моего альтлинукса в сторону склада и в сторону ройтера длинк, максимальные почему-то разные. И большие файлы между сетками не копируются. Прорыл туннуль из дома к компьютеру с базой. Из дома вроде нормально, со склада нет.
Во первых поменял карточку, думал, что глючит rtl-8169, но это не помогло. Дейнсталировал оутпост, хоть он и был в режиме бездействия, но всё равно гадил. Со стороны роутера вместо дополнительного такого же 8169 включил через инегрированную сетевуху, не помогло :)
Это я всё уже вчера делал (перед этой ночью). Попросил оставить на складе включенный компьютер (предварительно разрешил на него удалённый доступ).

Дома уже погуглил, прописал заниженные mtu в /usr/local/lib/ipsec/_updown , как тут:
http://www.byteme.org.uk/howtos/ipsec-vpn-server-howto.html
прописал и на правом, и на левом хосте. Перезагрузил ipsec. Вроде работает. Прорыл туннель из дома, чтобы можно было через rdesktop на склад попасть. Попал, проверил, ура, ура, ура. Скопировал базу чтобы потестить как 1С будет работать. Вроде приемлимо работает. Лучше, конечно, сделать отдельный сервер под 1С-ы и подключаться к тому серверу удалённо, а 1С запускать на нём. Но пришёл кризис и сейчас денег не будет. Думал, что если 1С будет сильно тормозить, то поставить в офис с базой системник с ХР и на него удалённо запускать 1С, но подумаю теперь ещё.

openswan, ipsec, , работа, ip-туннель

Previous post Next post
Up