PRECONDITION: eсть 2 рабочии станции, условно HOME и WORK. HOME управляется ОС Ubuntu, WORK - доменная машина под управлением Windows XP, находящаяся за драконовским фаерволом.
GOAL: обеспечить пользователю машины HOME доступ к ресурсам локальной сети, в которой находится машина WORK.
TODO:
Настроить VPN соединение между 2-мя рабочими станциями, например, с помощью TeamViewer VPN, Hamachi, OpenVPN, или, возможно, какого-то другого средства (кстати, что будет лучшим решением?).
ИИИ? //Настроить маршруты между VPN и локальными сетями обоих машин. Желательно таким образом, чтобы работа с ресурсами сети WORK для пользователя HOME была прозрачной.
PROFIT
Верен ли список TODO? Если да, то, подскажите, пожалуйста, какие подпункты можно выделить в п. 2? Что конкретно нужно сделать? Добавить маршруты с помощью route add на обоих концах? Как-то настроить DNS-resolving на конце HOME, чтобы можно было обращаться к ресурсам WORK по их именам?
AlexRein
22.03.2011, 10:38
Желательно таким образом, чтобы работа с ресурсами сети WORK для пользователя HOME была прозрачной.
Рекомендую обратиться к статьям установки и настройки Microtik. И не мучаться.
А так, поднимаешь на Work маршрутизацию и т.п. подключаешься к нему машиной Home прописываешь(желательно со стороны Work) маршруты внутренней подсети, ну и работать в ней. Хотя замечу работа будет не прозрачна, но работать будет.
milkywayfarer
22.03.2011, 11:59
Рекомендую обратиться к статьям установки и настройки Microtik.
AlexRein, спасибо за наводку про "MikroTik (http://www.mikrotik.com/index.html)" (тот MikroTik-то?) вообще не слышал, обязательно посмотрю.
И не мучаться.
Хочется-таки помучаться. :)
А так, поднимаешь на Work маршрутизацию и т.п. подключаешься к нему машиной Home прописываешь(желательно со стороны Work) маршруты внутренней подсети, ну и работать в ней.
Одним прописыванием маршрутов, насколько я понимаю, здесь задачу не решить. Т.к. планируется обращаться к ресурсам не только самой рабочей станции WORK , но и ее локальной сети. Соответственно маршруты надо прописывать либо на всех интересующих машинах, либо на дежурном маршрутизаторе сети WORK. А вся конфигурация должна ограничиваться только машинами HOME и WORK.
Ну и вроде как остается один вариант -- настроить NAT на WORK, что я и пытался сделать, средствами утилиты netsh, но пока ничего не получилось.
Хотя замечу работа будет не прозрачна, но работать будет.
Да хотя бы непрозрачно уже сделать.
Есть еще варианты, идеи?
AlexRein
22.03.2011, 12:21
AlexRein, спасибо за наводку про "MikroTik" (тот MikroTik-то?) вообще не слышал, обязательно посмотрю.
Да он, но ты слишком уж далеко начал. По русски тоже есть. Сразу на веду RB/750 тебе надо, ну или с литерой G(Гигабитный).
Хочется-таки помучаться.
Ах вон оно что, чтож ты сразу не сказал. А мы тут уж как по проще придумываем.
Так... Покупаешь какие нибудь 2 CISCO где то под 2-3к долорей, тока обязательно разных моделей, одкладыешь себя их документацией(по 3 книжки на 700 листов), прибавляешь к каждой по серваку под UNIXом завязываешь чтоб следил за доступом, а то не дай бог кто нить подумает о том что тебя можно взломать. И в общем все будет и доступ куда надо и сколько надо. Реализуешь, выкладывай результаты сюда нам будет интересно... Ну в прочем если мозг взорвется можешь не выкладывать.:)
Одним прописыванием маршрутов, насколько я понимаю, здесь задачу не решить. Т.к. планируется обращаться к ресурсам не только самой рабочей станции WORK , но и ее локальной сети. Соответственно маршруты надо прописывать либо на всех интересующих машинах, либо на дежурном маршрутизаторе сети WORK. А вся конфигурация должна ограничиваться только машинами HOME и WORK.
Не правильно понимаешь, все как раз и можно решить маршрутами. Если WORK работает как маршрутизатор, то:
Для машины HOME прописываешь рабочую подсеть WORK-а как сеть за шлюзом WORK, тем кто предоставляет ресурсы говоришь о таком компе HOME который для них так же находиться за шлюзом WORK, но в обратном направлении.
Машина HOME сможет спокойно добраться до всех ресурсов рабочей сети которые там явно прописаны, но как и положено широковещательные пакеты ходить не будут. Т.е. не прозрачный доступ.
Есть еще варианты, идеи?
Почитай мой пост, у тебя про него варианты есть?
milkywayfarer
22.03.2011, 15:05
Ну в прочем если мозг взорвется можешь не выкладывать.
Предпочту не минировать :).
... тем кто предоставляет ресурсы говоришь о таком компе HOME который для них так же находиться за шлюзом WORK, но в обратном направлении.
Видимо я не понятно выразился, надо было так: "Одним прописыванием маршрутов на машинах HOME и WORK, насколько я понимаю, здесь задачу не решить.". Конфигурирование сети за WORK невозможно по причине недостатка прав / отсутствия доступа.
Поэтому остается интересный вариант с организацией NAT между VPN и LAN на WORK.
AlexRein
22.03.2011, 15:20
Поэтому остается интересный вариант с организацией NAT между VPN и LAN на WORK.
Т.е. Ты знаешь проблему, знаешь решение. В чем смесл вопроса?
milkywayfarer
22.03.2011, 15:29
AlexRein, я не располагаю большим опытом, не уверен в правильности/осуществимости своего, пока не реализованного, решения. Но уверен, что здесь есть гораздо более опытные товарищи, на совет/комментарий которых рассчитываю.
AlexRein
23.03.2011, 09:01
Ну я свой совет дал, думаю он самый простой и безболезненный.