Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

ZeroShell in 3 sedi e VPN con i clienti

 
Nuovo argomento   Rispondi    Indice del forum -> Reti
Precedente :: Successivo  
Autore Messaggio
AlwaysHC



Registrato: 14/11/08 09:47
Messaggi: 8

MessaggioInviato: Ven Nov 14, 2008 10:12 am    Oggetto: ZeroShell in 3 sedi e VPN con i clienti Rispondi citando

Salve a tutti!

Ho scoperto ZeroShell da poco, ma, grazie alla sua completezza, ho potuto realizzare una bella configurazione di rete in maniera molto semplice.

3 Sedi... Milano, Roma1 (provider1) e Roma2 (provider2)

I server su cui ho installato ZeroShell sono tutti virtuali, 2 su VMware
e uno su Xen.
Tra l'altro mi ero spaventato un po' all'inizio perchè avevo letto nel forum che ZS con Xen aveva qualche problema. Invece ha funzionato subito e
se qualcuno ne ha bisogno posso mandare anche il file di configurazione di Xen. (Ho provato inizialmente ad installare VMware sulla macchina dove gira Xen, ma quando facevo partire la macchina virtuale ottenevo sempre un bel kernel panic!)

Ho collegato tutte le sedi con un anello formato da tre VPN.
Per il momento ho impostato tutto il routing con route
statiche, ma ho intenzione di studiarmi la sezione "RIPv2"
quanto prima.

L'unica cosa un po' negativa è che ho avuto la necessità di installare
anche IPCop su un'altra macchina virtuale perchè alcuni clienti
devono collegarsi attraverso l'IPSec con dei router LinkSys...
e ZS questo non lo supporta.

Per far vedere i server (che sono in una delle sedi collegate in VPN)
ai clienti collegati all'IPCop ho poi inserito queste regole di NAT
nell'IPCop stesso (IPCop gira sullo stesso server reale su cui gira ZS).
iptables -t nat -A PREROUTING -d 10.5.X.Y -j DNAT --to-destination 10.1.X.X

Appena ho un attimo di tempo provo a fare anche uno schema
più dettagliato,

per il momento...
Grazie Fulvio!!!

Ciao
Mirko
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Ven Nov 14, 2008 6:25 pm    Oggetto: Rispondi citando

Ti prego di mandare ulteriori dettagli perché il tuo progetto è interessante. Invece delle route statiche ti consiglio RIP che ti garantisce la gestione automatica dei fault sulle VPN cambiando dinamicamente l'instradamento dei pacchetti. Comunque il failover perde di significato se le VPN passano dalla stessa connessione fisica a Internet.
La configurazione per XEN è anch'essa interessante. Se la posti farai una cosa gradita a molti, me per primo.

Ciao e grazie
Fulvio
Top
Profilo Invia messaggio privato
AlwaysHC



Registrato: 14/11/08 09:47
Messaggi: 8

MessaggioInviato: Ven Nov 14, 2008 6:53 pm    Oggetto: Xen Rispondi citando

Allora... per Xen...
ho creato un file per il DB con dd da 2G:

dd if=/dev/zero of=zeroshell.hda bs=1M seek=2000 count=1

poi ho utilizzato questo file di configurazione:

---------------------------------------------------

# -*- mode: python; -*-

#-----------------------------------------------------------------------
# load the correct lib
import os, re
arch = os.uname()[4]
if re.search('64', arch):
arch_libdir = 'lib64'
else:
arch_libdir = 'lib'

# set device model
device_model = '/usr/' + arch_libdir + '/xen/bin/qemu-dm'

#-----------------------------------------------------------------------
# loader setup
kernel = "/usr/lib/xen/boot/hvmloader"
builder='hvm'

# memory
memory = 512
sshadow_memory = 8

# domain info
name = "zeroshell"

# network interfaces
vif = [ 'type=ioemu, bridge=xenbr0' ]

# disks
disk = [
'file:/xen/domains/zeroshell/zeroshell.hda,hda,w',
'file:/xen/domains/zeroshell/ZeroShell-1.0.beta11.iso,hdc:cdrom,r'
]

# boot order
boot="d"

# domain exit statuses
on_poweroff = 'destroy'
on_reboot = 'restart'
on_crash = 'restart'

# vnc configuration
vnc=1
vncdisplay=10
vncunused=0
vncpasswd=''
stdvga=0
serial='pty'

# usb configuration
usb=1
usbdevice='tablet'

# keyboard layout
keymap='it'

---------------------------------------------------

E' molto standard... la scheda di rete è in bridge
con quella reale del server... e l'unica cosa "particolare"
e' "boot=d", in modo tale che la macchina virtuale
parta sempre dal CD
Top
Profilo Invia messaggio privato
AlwaysHC



Registrato: 14/11/08 09:47
Messaggi: 8

MessaggioInviato: Ven Nov 14, 2008 6:59 pm    Oggetto: VPN Rispondi citando

La topologia ad anello l'ho utilizzata perchè le 3 sedi sono servite da 3 operatori diversi: FastWeb, Eutelia e Inet... ognuno con le proprie strategie di routing.
I collegamenti non saltano quasi mai, ma ogni tanto ci sono problemi di visibilità delle 3 reti.
Top
Profilo Invia messaggio privato
AlwaysHC



Registrato: 14/11/08 09:47
Messaggi: 8

MessaggioInviato: Ven Nov 14, 2008 7:07 pm    Oggetto: Progetto Rispondi citando

La struttura della rete che ho dovuto realizzare è stata condizionata da scelte fatte in momenti successivi.

Nella Sede 1 ci sono alcuni server.
Nella Sede 2 ci sono altri server e l'accesso dei clienti che usano PPTP
Nella Sede 3 ci sono altri server ancora e l'accesso dei clienti che usano IPSec.

Per il PPTP ho utilizzato la distribuzione Linux Vyatta, mentre per l'IPSec ho dovuto utilizzare IPCop a causa di incompatibilità tra i router vpn utilizzati dai clienti e Vyatta stesso.

Le 3 sedi sono poi collegate in VPN con 3 ZeroShell con una struttura ad anello.
Ho qualche dubbio sul RIP perché ci sono parecchie sottoreti da gestire,
non vorrei che facesse confusione.
Devo testarlo con calma.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Reti Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it