Tinc VPN и серые IP
 

Всем привет.Я с этим VPN мучаюсь уже не раз и каждый раз неполучается))) Просветите меня пожалуйста.
Скачал я Tinc http://www.tinc-vpn.org/ настроил по инструкциям что есть в нэте - не получилось.
Реально ли создать VPN на серых IP?без сервера
В этом решении поможет DNS от Dlink?
Зачем мне VPN?Есть сервер есть клиенты. Сервер запускается под указанным IP ,а клиенты подключаются по IP сервера.
Буду рад любой информации,хочу разобраться в VPN'e наконец.Мне говорили что можно это реализовать на ротуерах с помощью ДНС которые предоставляют Асус и Длинк по крайней мере.Я пробовал - не вышло.

Только внутри этой "серой" сети.

Что вы под этим подразумеваете?

Это у вас нужно спросить. Вы не озвучили конечной цели, поэтому, нам, видимо, нужно угадать...

Если участники соединения находятся в разных "серых" сетях, тогда единственная возможность подключения - открыть на маршрутизаторе сети "сервера" порт, который будет пробразываться на внутренний IP "сервера".
При этом на клиенте нужно указать подключение - внешнему IP маршрутизатора и указанному порту (в виде IP:port).

Вы имели в виду DynDNS?
В принципе вы можете настроить ваш маршрутизатор на использование одного из серверов DynDNS. Тогда белый IP-адрес маршрутизатора (который может меняться при каждом включении или обрыве канала связи) будет автоматически получать текстовое имя вида MyServer.dyndns.com .
Ну а вы можете использовать это имя в настройке VPN-клиента

Сеть типа "звезда" где каждый участник под серым IP и разным провайдером.
dlinkddns.com
dlinkddns.com
Тоесть будет так СЕРЫЙ IP:ПОРТ > IP ЛОКАЛЬНЫЙ .
Скиньте ссылку на инструкцию или опишите в кратце. Ну а я пока попытаюсь еще раз с dlinkddns.com ...(адрес зареган,клиент есть,надо роутер попытаться настроить)

Как я настраивал tinc
++++++++++++++++++++++++++++++++++++++++
СЕРВЕР
++++++++++++++++++++++++++++++++++++++++
Содержание файла tinc.conf
Name = Server01
Interface = VPN
ConnectTo = Client01

В разделе Протокол интернета TCP\IP v4
IP 10.20.40.1
Маска 255.255.255.0

рядом лежат rsa_key.priv и rsa_key.pub

Содержание файла hosts\Server01
Subnet = 10.20.40.1/32
Port = 665
Address = ИМЯ.dlinkddns.com
-----BEGIN RSA PUBLIC KEY-----
ключ
-----END RSA PUBLIC KEY-----

Содержание файла hosts\Client01
Subnet = 10.20.40.2/32
Port=665
-----BEGIN RSA PUBLIC KEY-----
ключ
-----END RSA PUBLIC KEY-----

++++++++++++++++++++++++++++++++++++++++
КЛИЕНТ
++++++++++++++++++++++++++++++++++++++++
Содержание файла tinc.conf
Name = Client01
Interface = VPN
ConnectTo = Server01

В разделе Протокол интернета TCP\IP v4
IP 10.20.40.2
Маска 255.255.255.0

остальное как на сервере

что тут не так?

nfs911, не нужно постить несколько раз подряд, нарушая ОПК 3.14 (http://forum.oszone.net/rules.html#3.14). Это не чат, а форум. Хотите что-то добавить - пользуйтесь функцией "Редактировать".

Пока не уговорите "разных провайдеров" пробросить на своём оборудовании порты, по которым у вас будет работать каналы, - ничего не получите.

Упс. Не обратил внимание, что у вас все WAN-интерфейсы маршрутизаторов находятся в "серых" зонах провайдеров?
Тогда, конечно же, установить соединение не получится.

Точнее, нужно будет запросить провайдера "главной" сети настроить проброс порта на его шлюзе. Если согласится, тогда получится схема БЕЛЫЙ_IP:ПОРТ1 -> СЕРЫЙ_IP:ПОРТ2 -> ЛОКАЛЬНЫЙ_IP:ПОРТ3
На локальном сервере VPN-сервер будет слушать ПОРТ3, а VPN-клиенты будут подключаться на белый IP провайдера ПОРТ1
Однако если провайдер согласится, то за дополнительную плату.
Опять же можно договориться с провайдером о настройке маршрутизации конкретных пакетов между внутренними сетями провайдеров. Опять же за дополнительную плату.
Хотя самый простой способ - запросить для себя белый IP. Это обойдётся дешевле всего.


Если всё же не согласится, тогда придётся либо менять провайдера на "главной" сети, либо арендовать в крупном датацентре сервер (виртуальный сервер) и настраивать на нём VPN.
Понятно, что главным требованием для такого сервера будет большой лимит трафика по обоим направлениям и достаточный процент ЦП, позволяющих пропускать этот трафик.
Зато на этом сервере можно будет дополнительно настроить вёб-сайт, отдельную почту и прочие службы, которые сейчас чаще всего выносят в датацентры.

El Scorpio, PS:Мне нравятся ваши развернутые ответы))
Я запутался немного в "серый и белый" IP
в интернете пишут что
Диапазоны "серых" ip адресов:
10.0.0.0 — 10.255.255.255
172.16.0.0 — 172.31.255.255
192.168.0.0 — 192.168.255.255
Это закон?
В моем случае адрес вида 93.183.XXX.XXX 195.114.XXX.XXX

При трассировке любого сайта картина следующая
192.168.1.1
адрес провайдера 1
адрес провайдера 2
адрес провайдера 3 в зависимости от сайта,а бывает вовсе нету
адреса после провайдера...

Если я зайду на IP который отображается на сайтах то попаду на страницу своего модема...но за пределами провайдера не попасть - только пинг,трассировка...
Я полагаю что это серый IP т.к. проходит через несколько провайдеровских IP и за пределами провайдера не отображается страница модема...это мои признаки серого IP.

Подправьте что не так.

"Белый" адрес принадлежит адресному пространству сети Интернет. К такому устройству по его IP-адресу можно обратиться из любой точки земного шара.

Серые IP - это специальные диапазоны, зарезервированные для внутренних локальных сетей.
10.0.0.0 — 10.255.255.255
172.16.0.0 — 172.31.255.255
192.168.0.0 — 192.168.255.255
а также 169.254.0.0 — 169.254.255.255 (диапазон APIPA)

Подразумевается, что устройство с таким адресом находится в отдельной внутренней сети, не являющейся частью сети Интернет. Как следствие, отправить информацию на данный адрес нельзя.

Взаимодействие внутренней и внешней сетей обеспечивается NAT-маршрутизатором, который преобразует пакеты от внутренних (LAN) устройств таким образом, что получатели видят IP-адрес внешнего (WAN) интерфейса маршрутизатора
Благодаря NAT вся сеть с "серыми" адресами может выходить в интернет через один "белый" адрес WAN-интерфейса. Ну а для обращения к серверу из внутренней сети нужно настраивать на маршрутизаторе перенаправление соединения.
При этом одна "серая" сеть может входить в состав другой "серой" сети, как фигурки в матрёшке.


Одни провайдеры раздают своим абонентам "белые" адреса, и каждый абонент может настроить свой маршрутизатор таким образом, чтобы внешние клиенты могли обращаться к маршрутизатору и получать доступ к данной службе внутреннего сервера (от локального вёб-сайта до сетевой компьютерной игры).
Другие провайдеры раздают "серые" адреса из своей внутренней сети. В этом случае к оборудованию абонента нельзя подключиться, так как оно не имеет IP-адреса, доступного из сети Интернет. В этом случае можно запросить "белый" адрес отдельно.

Два белых адреса.
Просто настройте на маршрутизаторе VPN-сервера перенаправление входящего соединения (оно же "проброс порта") согласно инструкции к маршрутизатору.

Как верно заметил коллега El Scorpio, это прямые (белые) IP-адреса.

Т.к. у вас (по вашим словам) модемы, значит, эти адреса динамические (меняющиеся). В таком случае вам необходимо использовать что-то аналогичное службе Dyn.

El Scorpio,Angry Demon, Благодарю!Все получилось. И VPN натянул,все ок.
Но вот такой вопрос:
Вот есть хост и клиент.На клиенте есть локальный адрес...как к нему получить доступ из хоста через VPN.

Вот такая схема:
Хост VPN IP: 10.20.40.1
Клиент VPN IP: 10.20.40.2
Локальный IP на машине клиента: 192.168.0.72

Вообще, либо по адресу виртуального адаптера, либо по локальному. Маршрутизироваться должно.

Angry Demon, могли бы вы привести пример?Дело в том что если я введу 192.168.0.72 то и буду искать в адресном пространстве сервера...а мне нужно попасть в пространство клиента. Данное устройство подключено по Wi-Fi.

nfs911, давайте определимся. Вы хотите с сервера получить доступ к клиенту? Пинг с сервера проходит по одному из адресов клиента?

Angry Demon, Есть VPN есть. У сервера адрес 10.20.40.1 у клиента 10.20.40.2 . Соединение есть.Но мне еще нужно получить доступ к локальному адресу клиента с сервера. Может есть чтото на подобии "проброса портов" т.е. я зайду на 10.20.40.72 а попаду на 192.168.0.72
Я тут погуглил:
route -p add 192.168.0.72 mask 255.255.255.0 10.20.40.72
правильно?

nfs911, вы на вопросы не собираетесь отвечать?

Angry Demon,
Он уже есть,но доступа к клиентскому локальному адресу нет.
Одному из?Адрес 1. Это Адрес в VPN сети. Есть пинг.
Если я на этот адрес повешаю страницу то она успешно отобразится в браузере на сервере.

Чтобы обеспечить связь между клиентами из разных подсетей, соединённых виртуальным каналом, нужно следующее
1. На обоих шлюзах канала VPN (и на клиенте, и на сервере) настроить двустороннюю маршрутизацию (прохождение пакетов) между виртуальным каналом и физической сетью без использования NAT.
2. На обоих шлюзах канала VPN в таблицах маршрутизации прописать, что пакеты для другой физической сети должны уходить в канал (интерфейс - VPN, шлюз - IP-адрес на другой стороне)
3. На всех компьютерах обоих сетей в таблицах маршрутизации прописать, что пакеты для другой физической сети должны пересылаться на шлюз VPN этой сети. Централизовано сие можно сделать через параметры DHCP-сервера сети.
Альтернативный 3 - поправить таблицу маршрутизации на основном шлюзе (маршрутизаторе выхода в интернет), чтобы пакеты для другой физической сети уходили не в интернет, а пересылались на шлюз VPN

Ну и конечно же разрешить прохождение пакетов на файрволлах обоих сетей.

В результате получается следующая цепочка передачи информации (адреса взяты "от балды"):
1. Клиент 192.168.1.101 отправляет пакет на Сервер 192.168.2.20
2. Согласно таблице маршрутизации Клиента пакет идёт на "свой" шлюз VPN по его внутреннему адресу 192.168.1.10
3. Согласно таблице маршрутизации VPN-шлюза, пакет уходит в VPN-канал к другому VPN-шлюзу по виртуальному адресу 10.20.40.2
4. Согласно таблице маршрутизации другого VPN-шлюза, пакет передаётся конечному получателю на адрес 192.168.2.20

Поскольку в данной схеме NAT не используется, данный пакет содержит исходный адрес отправителя 192.168.1.101.
Таким образом когда сервер 192.168.2.20 формирует ответ для клиента 192.168.1.101, при наличии в сети 192.168.2.x правильных таблиц маршрутизации, этот пакет будет передан аналогичным образом.