Задать вопрос
@redya69

Как организовать шифрованную сеть без сервера?

Есть несколько(3+) машин на Centos7. Каждая содержит 2 сетевых интерфейса. Один из них смотрит в интернет, второй организовывает серую внутреннюю сеть. Есть какие-то подходы позволяющие объединить внутренние сети каждой машины через шифрованный интернет-канал не выделяя при этом одну из машин в сервер? Т.е. при падении любого кол-ва узлов, связь между остальными должна оставаться.

---
UPD
С ключевым словом mesh-сеть догуглил до решения tinc vpn. По описанию вроде то что нужно.
Никто не сталкивался?
  • Вопрос задан
  • 904 просмотра
Подписаться 1 Средний 3 комментария
Решения вопроса 1
skobkin
@skobkin
Гентушник, разработчик на PHP и Symfony.
Tinc - то, что нужно.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 7
@Tabletko
никого не трогаю, починяю примус
Можно построить Mesh-сеть (т.е. каждый с каждым), но такой вариант плохо масштабируется и много ручной работы по созданию туннелей до каждого узла и прописыванию пачки статических маршрутов на каждом. Или как предложил Sergey Ryzhkin, купить дорогие циски и сделать DMVPN
Ответ написан
Комментировать
Francyz
@Francyz
Photographer & SysAdmin
Как вариант купить дорогой маршрутизатор.
Ответ написан
athacker
@athacker
В зависимости от степени упоротости. Если степень велика -- стройте VPN-каналы через интернет "каждый-с-каждым".

Если степень умеренная :-) -- соедините 3 машины между собой VPN-каналами, обозначив их как основные VPN-сервера, а остальные пусть подключаются к двум из трёх этих машин по VPN.

В любом случае, придётся настраивать динамическую маршрутизацию в этих VPN-сетях, через OSPF или iBGP, как будет удобнее. В итоге после отвала любого канала у вас маршрутизация перестроится, и связность останется. Я бы пошёл по второму пути, он проще масштабируется. В первом случае при добавлении нового узла вам придётся руками обходить все остальные узлы и вносить изменения в конфиги.
Ответ написан
Комментировать
vesper-bot
@vesper-bot
Любитель файрволлов
"Любого" не получится. Если у машин белые (т.е. публичные) IP-адреса, можно построить полносвязную сеть IPsec-туннелей между ними, если у части машин белые адреса, то ту часть полностью связать, а остальные ходят до всех с белыми адресами и их соединения типа транспорт, чтобы каждому соединению типа туннель не добавлять все остальные подсети в качестве локальных или удаленных. Если ни у одной машины нет белого адреса, будут проблемы, понадобится минимум проброс ESP или udp/500, udp/4500 внутрь ната хотя бы для одной машины. Поверх собранной топологии имеет смысл поднять какой-нибудь протокол динамической маршрутизации.
Ответ написан
Комментировать
Jump
@Jump
Системный администратор со стажем.
Есть какие-то подходы позволяющие объединить внутренние сети каждой машины через шифрованный интернет-канал не выделяя при этом одну из машин в сервер?
Есть.
Выделите все машины в сервер!
Ответ написан
Комментировать
@user2k
на ум приходят pptp туннели и ospf
Ответ написан
Комментировать
jamakasi666
@jamakasi666 Куратор тега Linux
Просто IT'шник.
Могу посоветовать:
-gre тунели, даже статейка на хабре есть
-можно еще попробовать экзотику в виде eoip
-vxlan
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы