[Sysadmins] VPN over VPN

Anton A. Vinogradov vinogradov.mail на gmail.com
Вт Июл 6 10:12:55 UTC 2010


06.07.2010 14:06, Mykola S. Grechukh пишет:
> 2010/7/4 Anton A. Vinogradov<>:
>> 04.07.2010 20:14, Afanasov Dmitry пишет:
>>>
>>> 4 июля 2010 г. 16:34 пользователь Anton A. Vinogradov
>>> <vinogradov.mail на gmail.com>    написал:
>>>>
>>>> Возможно ли пролучить VPN до офиса, если само подключение к интернету
>>>> идет
>>>> через VPN?
>>>>
>>>> В условиях задачи только один ноутбук.
>>>
>>> а какая разница? что ethernet подключение, что pppoe подключение, что
>>
>> Сорри, изначально неправильно поставил вопрос. Сам-то понимаю, что никакой.
>> А вот как объяснить где это завести "галочками"?
>>>
>>> vpn подключение являются интерфейсом. а vpn прокидывается через
>>> какой-либо интерфейс.
>>>
>>> единственная заморочка - mtu. и требование, чтобы VPN1 был запущен и
>>> работал до VPN2.
>>
>> Разница наступает тогда, когда для VPN over VPN приходится ряд нетривиальных
>> шагов :)
>>
>> NM двойного VPN не позволяет. Видимо для альта надо смотреть в на acc + NM.
>
> openvpn в NM - это редкое говно^W^W миллионы погибших нервных клеток.
> Я сделал так:
>
> [altlinux на eeelive ext]$ cat /etc/NetworkManager/dispatcher.d/90-update-route.sh
>
> #!/bin/bash
> defgw="$(/sbin/ip ro sh | grep default | head | sed 's,default ,,')"
> /sbin/ip ro replace my.vpn.server/32 $defgw
> killall -USR1 openvpn
>
> [altlinux на eeelive ext]$ cat /etc/net/ifaces/ext/options
> ONBOOT=yes
> TYPE=ovpn
>
> /etc/net/ifaces/ext/ovpnoptions - собственно конфиг опенвпна. там же
> рядом ovpnca, ovpncrt, ovpnkey. Ключ должен быть без пароля для
> поднятия onboot.
>
> Ну и, собственно, опенвпн поднимается и тихо висит себе. Как только
> появилась какая-нибудь сетка, хоть gprs, нетворкманагер дёрнет
> скриптик, а скриптик дёрнет openvpn. И, сам тонель лучше держать на
> udp.
>
Большое спасибо. Выглядит весьма вкусно.
Но есть нюансы:
Тоннель должен, по возможности, проходить любые прокси без доп настроек 
на прокси сервере.
То есть TCP на 443(на нем CONNECT не режут)-- пока без вариантов.
И прокси бывают, еще и с паролями.
на windows клиенте я такое провернул.
теперь, с вашей подсказки, сделаем и на linux





Подробная информация о списке рассылки Sysadmins