Поднять свой VPN или FTP - что лучше и проще #388459

Задача - есть два офиса. надо из одного подключаться к другому по VPN на офисе № 2 есть "белый" ip. Какими прогами лучше поднять на нём VPB-server? нужна простота и стабильность работы попутно ещё вопрос. на втором очисе инет заходит в виде кабеля (без роутера) заходит прямо в сетевуху "сервера". есть локалка - юзеры хотят иметь инет. вопрос - при установке VPN-соединения как указать что доступ нужен только к одной папке на "сервере" а остальную локаль видеть нельзя

в жогонку - на "сервере" стоит хрюшка (поэтому слово в кавычках - это никакой не сервер - просто комп подключенный к инету напрямую и мне надо именно на нём "слушать" папку на наличие определённых файлов через VPN) можно поставит 2003 - вопрос некритичен до понедельника. в понедельник приезжают мегаспецы и будут ставить "Оптимум" (кто работал с "Марсом" и "Нестле" в курсах

Ежели шифрование ненужно, можно поставить 2003 и поднять на нем впн сервер, встроенными средствами, альтернатива Openvpn, настраивается тоже несложно, правда я только на *nix поднимал, хотя виндовому клиенту если подсунуть ключи и серверный конфиг, он заработает в режиме сервера, так что проблем быть недолжно. Правда я пытался как то запустить формирование ключей под виндой, не получилось, правда не сильно и пытался. А по поводу доступа куда не нужно, тоннель будет между сервером и клиентом, маршурутизацию дальше не прописывай, и все.

openvpn однозначно

я тоже слышал много про эту прогу и остановлюсь наверное на неё. вопрос - кто нибудь встречал описуху на русском

сам делал ничего сложного

вроде писал статью на инфостарте, под линукс разумеется. Счас найду у меня ссылочка где-то была хорошая, под винду клиента поставить просто, главное конфиг написать. А вот ключи как под виндой формировать под openvpn незнаю, не получилось у меня виндовыми скриптами, хотя можно сделать их на линкуске и закинуть на свой сервак.

а что за штатный механизм есть в 2003?

Вот тут неплохо все описано, касательно опенвпн, я вообще все что нужно для настройки нашел на лиссяре. А вот например касательно виндового впна ссылочка ИМХО ежели очень быстро нужно, и на шифрование пофиг, то этот вариант предпочтительнее, хотя сам везде openvpn юзаю.

Ежели по OpenVPN вопросы будут, можешь в аську стукнутся, а виндовый я настраивал сто лет назад и непомню уже.

Вот если бы такая схемка в картинках была бы и для OpenVPN

RRAS - проще не придумаешь :) можно и openvpn, не могу сказать, что хуже, просто имхо большая необходимость была бы с несерверной виндой на сервере, а так - не вижу смысла особо я щас поищу, подожди

Недолюбливаю и недопонимаю линух. Однако, берешь старый ненужный комп, ставишь на него IPCOP, потом OpenVPN, отключаешь от этого компа моник, клаву и мышку и работает, работает, работает ... годами! Проверено!

кстати народ - у меня вопрос - если я ставлю опенвпн сервер то на другой стороне должен быть опенвпн-клиент? я правильно пнял что виндовым впн-клиентом не подключишься?

Ооо вот ты точно в курсах ;) теперь фик соскочешь ;)

нет смысла из-за задачи - "слушать" каждые 10 минут определённую папку удалённо на предмет наличия в неё 10 файлов...

уже взять нормальный роутер с встроенным vpn-сервером и не искать способы нестандартного секса с железом и софтом: будет работать, бесшумно, без проблем и места занимать не будет и даже электричества особо не сожрет. цена вопроса - пара сотен уев :)

см 16.

Правильно, штатным неполучится. И для опенвпн, схема с картинками невозможно, там же конфиг писать надо :) А клиент любой дятел поставит, нажав кнопочку install :)

ну я больше с товарищем спорил, это не к тебе :) просто не вижу смысла в отдельном системнике исключительно для vpn-сервера. это не нужно имхо. P.S. заходи, смотри :) к виндовому серверу - подключишься, к невиндовому - нужен клиент

Несмотря на то что я сторонник openVPN  я бы всетаки в твоем случае настойчиво рекомендовал RRAS, ибо быстро и без лишних заморочек. И кстати, ради мониторинга одной папки VPN тоже, как-то мощно, может фтп  пойдет?

+1 по всем пунктам :)

как это организовать? подскажите... описание в сабже. между офисами около 10 км

расстояние неважно. поищи в инете аббревиатуру RRAS (ну нету у меня доков, там тривиально все)

Ссылку на настройку RRAS , смотри в , или ты про фтп?

->

ага про фтп

если по-простому, может ему сделать доп. адрес на интерфейсе и раздачу удаленным клиентам из этого же диапазона, дабы не роутилось в основную сеть, взлетит? а то чето башка болит, соображаю плохо :)

по-моему тоже есть в винде, я просто не юзал :) есть и сторонние серваки - выбор за тобой, мне нравится Serv-U

ты щас на каком языке разговаривал?

я нарочно спросил у того, кто знает, на понятном языке :)) тебе потом чуть проще наишем, хотя там ничего военного и не было написано :)

чуствую себя дауном ;(

та ладно, нашел от чего комплексовать :) ты б знал, сколько я пробовал и читал, чтоб понять хоть немного все это. да все так. почитаешь - и ты поймешь. ничего сложного на самом деле

По идее должно, хотя я RRAS сто лет назад настраивал. +100 сильно приспичит, полазишь денек по интернету, доки почитаешь, и не меньше знать будешь, тоже пока не приспичило незнал.

вообще я чувствую, что автор не дописал задачу. как все в теории будет происходить, ну на пальцах? т.е. пошагово: этот сюда, делает то-то, этот туда и т.д. может и vpn никакой не надо...

"автор не дописал".... может и не допи сал. у вас головы есть? ;)) задача - есть два офиса. две локалки задача из одной локалки с определённого компа сканировать каждые 10 минут определённую папку на компе во второй локалке. на обоих офисах есть инет. на том где стоит комп с папкой - есть белый ай-пи

ну понятно, мы ж все телепаты, какой разговор :)) сканироват папку на наличие какого-то определенного файлика? сканировать из 1С или руками или как?

Какой нибудь легонький фтп серверок запустить, там где папка, а на втором скрипт в автозапуск который будет проверять наличие папки.

из 1С ессно.... да неважно это. главное чтобы был доступ к этой папке из офиса № 1

+37 ну я бы все-таки ftp заводил для этого, если обмен не очень интенсивный будет

потому как туда и писать и читать прийдётся

тогда ftp-сервак (допустим Serv-U 6.х.х.х, последние версии дурные), ВК dialmail.dll для доступа к ftp вишь как получается, если сразу все спросить? :)

обмен - до метра максимум при условии наличия в папке ключевого файла

так наша песня неплоха.... поговорим про фтп? ;)

а автообмен е-мылом не лучше? автопроверка ящика по таймеру и соотв. действия. ну это я так, мысли :) поговорим :)

плохо. тут завязки с олесервером комплекса большого обмена инфой с КПК... никто не будет формировать письма. я еле добился чтобы написали приблуду которая инфы выкидывает в файлы внешние. вообще требовали чтобы всё как в общей локалке было...

автосформировать проблема? а... все, понял, не ты все разрабатываешь :( ладно, значит ftp P.S. так ты таки заходи, чего ждешь? :)

Kerio + KerioVPN

ну в общей локалке тоже конечно можно посредством vpn, тока оно тебе не сильно надо на самом деле имхо нет смысла в данном случае

я уже слил по опенвпн всё что было у тебя. кроме музыки там пусто. того чего ты обещал из новинок выложить - нет (правда они у меня уже есть) ;)

перезайди :)

тянуууууууууу

я заметил, у меня отображается :) дальше читай и пробуй, должно все быть ОК

то, что у тебя есть я убрал, после того, как ты сказал, что оно у тебя есть - все просто, впрочем как обычно :)

дебильный параноидальный нод32... таблетку грохнул

матофильтр просто предесть д у р а ц к и й не дал написать а дебильный - запросто

исключения ставь :) потому как последние пять  букв непрошедшего слова - удафком :) а фильтр написан не сильно умно

а где там поставить "исключеня"?

я нод не юзаю, но должны быть исключения на папки. просто ставишь на некоторые папки (ну понятно какие) - исключения, не сканить типа их

Ха, я на те же грабли наступил полчаса назад :) Из карантина восстанови, ежели карантин не отключил.

Интерфейс - поставить галку "расширенный режим) Зайти в настройки - дополнительные настройки - в дереве увидишь исключения.

в бизнес-едишн такого не нашёл ;)

нашёл

Версия 3.0.6 ? Блин, неправильно, если расширенный режим не включен, закладки интерфейс не видно. На главном окне, настройки, самая нижняя ссылка - расширенный режим.

до сих пор не подняли?

что не подняли?

если тупо слушать папку без маршрутизации и всякой хни - конфиги вообще править не надо от опенвпна, а ключи генерятся одинаково и в никсах и в винде, если еще опенвпн интересует... но я бы фтп поднял на месте автора... файлзилу какую-нибудь - еще проще - и для задач хватает...

или встроенный в IIS, но это уже к абрахамсу

быстрый ты :))

Нет никакого геморроя, что с OVPN под линем, что под виндой. Конф файлы - одинаковые, ставятся бинарники одинаково.

# Edit this file, and save to a .ovpn extension # so that OpenVPN will activate it when run # as a service. # Change 'myremote' to be your remote host, # or comment out to enter a listening # server mode. remote *.*.*.* # Uncomment this line to use a different # port number than the default of 1194. ; port 1194 # Choose one of three protocols supported by # OpenVPN.  If left commented out, defaults # to udp. proto tcp-client ;http-proxy *.*.*.* 1194 # You must specify one of two possible network # protocols, 'dev tap' or 'dev tun' to be used # on both sides of the connection.  'tap' creates # a VPN using the ethernet protocol while 'tun' # uses the IP protocol.  You must use 'tap' # if you are ethernet bridging or want to route # broadcasts.  'tun' is somewhat more efficient # but requires configuration of client software # to not depend on broadcasts.  Some platforms # such as Solaris, OpenBSD, and Mac OS X only # support 'tun' interfaces, so if you are # connecting to such a platform, you must also # use a 'tun' interface on the Windows side. # Enable 'dev tap' or 'dev tun' but not both! dev tun # This is a 'dev tap' ifconfig that creates # a virtual ethernet subnet. # 10.3.0.1 is the local VPN IP address # and 255.255.255.0 is the VPN subnet. # Only define this option for 'dev tap'. ;ifconfig 10.3.0.1 255.255.255.0 # This is a 'dev tun' ifconfig that creates # a point-to-point IP link. # 10.3.0.1 is the local VPN IP address and # 10.3.0.2 is the remote VPN IP address. # Only define this option for 'dev tun'. # Make sure to include the "tun-mtu" option # on the remote machine, but swap the order # of the ifconfig addresses. tun-mtu 500 ifconfig 10.3.0.6 10.3.0.5 # If you have fragmentation issues or misconfigured # routers in the path which block Path MTU discovery, # lower the TCP MSS and internally fragment non-TCP # protocols. ;fragment 1300 ;mssfix # If you have set up more than one TAP-Win32 adapter # on your system, you must refer to it by name. ;dev-node my-tap # You can generate a static OpenVPN key # by selecting the Generate Key option # in the start menu. # # You can also generate key.txt manually # with the following command: #   openvpn --genkey --secret key.txt # # key must match on both ends of the connection, # so you should generate it on one machine and # copy it to the other over a secure medium. # Place key.txt in the same directory as this # config file. secret static.key # Uncomment this section for a more reliable # detection when a system loses its connection. # For example, dial-ups or laptops that travel # to other locations. # # If this section is enabled and "myremote" # above is a dynamic DNS name (i.e. dyndns.org), # OpenVPN will dynamically "follow" the IP # address of "myremote" if it changes. ; ping-restart 60 ; ping-timer-rem ; persist-tun ; persist-key ; resolv-retry 86400 # keep-alive ping ping 10 # enable LZO compression comp-lzo # moderate verbosity verb 4 mute 10

через TCP? фи!

А ты пробовал ключи под виндой делать? Что то у меня не получилось.

Можно на Freebsd + mpd собрать гейт из другой сети подключаться к нему используя встроенный клиент

Вот что за привычка, советовать не прочитав ветку и не въехав в проблему? Ради такой фигни ставить отдельный комп и устанавливать и настраивать фряху?

Статья по настройке OpenVPN, описано максимально доступно и понятно

А это общие принципы, описание команд и обсуждение

есть такое "счастье" для того кому лень разбираться с фряхой

Еще раз повторю, почитай внимательней ветку прежде чем советовать, ради расшаривания папки, покупать маршрутизатор, это нечто. За ссылочку большое спасибо, беглое прочтение решило проблему - не получалось герерировать сертификаты в винде, вроде и пути прописывал в vars.bat и что только не делал - проблема была в том что я батники с файлового менеджера запускал, а не с коммандной строки, соответственно переменные окружения слетали тут же.

openvpn --genkey secret.key - для авторизации с закрытым ключем (без сертификатов и прочей куйни - для этого случая - оно самое)

подниму тему вчера приехал представитель ставить программу "Optimum" и я  оказался в шоке. не сделали!!!!! т.е. отказались таки от файлового обмена. посмотрел их обработки по обмену (делала какая то киевская контора). принцип прост - строка подключения к скульсерверу на котором и крутится тот "оптимум". скуль 2005. я в шоке. чего делать то? два офиса. на одном скуль 2005 и оптимум на другом 1С. как теперь связывать? максимум чего можно в строке подключения написать - имя компа на котором "оптимум" стоит и строка подключения к 2005 скулю. Мальчик из Киева разюирается в этом ещё хуже меня... нужен совет на крайний вариант - ставлю на втором офисе (где "оптимум" стоит) 1С дбф с базой прокладкой. в неё локально грузим данные из "оптимума" а уже из неё эти данные обменником через почту перекидывае в реальную базу. но это действительно крайний вариант.

тебе нужно данные из оптимума получать, и все?

Может быть я "не в теме"... не понимаю... а зачем тогда существуют VPN-маршрутизаторы...

Ну значит придется все-таки впн делать, и через него подключатся к скулю.

вопрос решён. куплен D-Link 808 и поднят полноценный VPN канал всем спасибо за участие и отправлять ;)

не взлетело ;( пришлось сервер оптимума тащить к серверу 1С и ставить в одну локалку ЗАРАЗА!!!!

а что не взлетело-то?

да ну их нахер. только приехал домой злой как собака.. даже локально не работает по сетке.... чуствовал я что с этим оптимумом намучаюсь...

Эм... Тут вариант такой. Если проще, то можно использовать виндовый впн. Он конечно не такой секурный как остальные, но на хр за минуту настраивается. Ну ещё минус доступ будет не к сети, а только к хосту. Я так понял под доступом понимается терминал? хотя это не важно.. на шлюзовой машине можно перенаправление настроить. А папка общая... так что сетевая что фтп. Фтп наверно уверенне будет работать. Оптимум как работает?

оптимум оказывается работает по дебильненькому (Добкину привет) скуль 2005, на нём база. Есть программа прокладка которая должна слушать порт 1126 машины с белым ip для связи КПК с базой. эта же прокладка по OLE DB Provider SQL (виндовый) соединяется с 2005 скулем и подключется к базе 1С так же связывается с базой через этот оле-драйвер в результате всё работает только при соблюдении такого условия : 1С, скуль 2005, прокладка, белый ip в инет - всё должно быть на одной тачке. если бы на фирме больше ничего небыло - фик с ним - перенастроил. но фирма - дистриб ещё двух торговых марок и там тоже есть обмен с КПК через другую очень простую программку. она крутится на 2000 скуле. и тоже должна стоять на тачке с белым ip. правда наличие 1С нее обязательно - обмен идёт через файлы (т.е. база 1С может лежать где угодно) приехал мальчик с Киева - знает только схему установки их программы. как разруливать ситуации - не знает. он меня продоллбил пол дня на предмет "почему 1126 закрыт". оказалось что он (порт) открывается той самой программой прокладкой, которую мальчик забыл запустить... короче.. полный ПЭ