Добрый день ...

Посоветуйте пожалуйста
Задача: Есть сервер БД на Linux СentOS на него в данный момент на нем поднимают базу удаленно по SSH - у
Для безопасностьи итп сказали создать VPN tunnel до сервера БД, и чтобы он был закрытым извне.

Так как я поняла надо еще один компьютер установить с двумя нетвор катами Один для Интернет другой локал с БД сервером
если да то какой ОС установить на компе и какую программу установить для организации этого . Если где то есть пошаговая то вообще классно !
Спасибо ! ! !

bga83Zarra,
VPN можно понять на этом же сервере и закрыть парямой доступ к БД снаружи. На какой именно технологии построения туннеля остановиться - дело личных предпочтений

Я согласна с Вами просто тут задача :
Создать VPN tunnel до сервера БД , чтобы он был закрытым извне . то есть поднимать на другом компьютере

bga83Zarraпропущено...


Я согласна с Вами просто тут задача :
Создать VPN tunnel до сервера БД , чтобы он был закрытым извне . то есть поднимать на другом компьютеретак закрыть фаерволом и он будет закрыт извне. Но если есть желание поднимать туннель на отдельном сервере, то нимкто не мешает

Отлично ! Но как ?
Какой Ос установить для стабильности работы и как сделать VPn - Tunnel ?
Не когда не делала еще ((

bga83ZarraКакой Ос установить для стабильности работы и как сделать VPn - Tunnel ?опять же исключительно предпочтения, можно даже MS Window для этих целей использовать, есть есть лицензия. Если останавливаться на Linux, то дистрибутив лучше брать такой же как и на остальных серверах, просто ради единообразия.

Дальее выбрать технологию/протокол:
- PPTP
- L2TP
- OpenVPN
- IPSEC (GRE)
- и тд
конкретный протокол стоит выбирать исходя в том числе и из того кто и как будет подключаться. Если это будут обычные рабочие станции с Windows, то меньше всего заморочек с PPTP. Если это будет объединение офисов, то я бы смотрел в сторону IPSEC.

После того как будет выбран протокол уже устанавливать необходимый софт и конфигурировать его.

В принципе можно VPN терминировать не на сервере, а на железке типа какой-нибудь Cisco
Спасибо !

Доброе утро ...
Излагаю задачу полностью

"А" - Клиент (Программист Который будет удаленно заходить по SSH через "B" в "C" и "D" и поднимать базу)
"B" - Компьютер (Новый комп , ОС - пока не известно )
"C" - Компьютер БД (Линукс СентОС)
"D" - Web Server (Лтнукс Дебиан)

A
|
"D"<-- "B" -->"C"


Туннель надо создать c "B" до сервера "С" и до "D"
Интернет будет только в компьютере "В"


Задача :
Создать VPN tunnel до сервера БД и Web servera , чтобы они были закрытыми из вне(Интернет)
"В","C","D" - будут соединени между собой локальной сетью
"В" - компьютер должен быть ДМЗ ,между "B" и локалькой уже файрволл, который будет пропускать только своих.
"A" - Клиент соединяется с впн, который в "B"-дмз получает айпи по которому и соединяется к определенным серверам("C"и"D").

1.Какой ОС выбрать для "В" что бы стабильно работала и легко настраивалась ?
2.Какой выбрать технологию/протокол: Что бы лучше подходило ?
3.И как это все установить и настроить если есть где нибудь пошаговая настройка (( ?


Спасибо большое!!!

bga83Zarra"В" - компьютер должен быть ДМЗ ,между "B" и локалькой уже файрволл, который будет пропускать только своих.несколько раз перечитал, но так и не понял что именно за этим стоит. Если DMZ уже есть, так значит есть уже какое-то сетевое оборудование, на котором можно и поднять VPN.

ДМЗ - пока нету комп B - даже еще без ОС !

Sergey OrlovНу инет-то у вас уже есть или как?

Да уважаемый с Public IP !

bga83Zarraпропущено...


Да уважаемый с Public IP !статический?


Да

YesSqlZarraпропущено...

Да она готова ! Вот сижу и не знаю какой ОС установить ((

Да

Cтавте на В какой нибудь pfSense. он вам разрулит и DMZ и VPN и все остальное. Навтыкайте только побольше сетевых карточек. Компьютер-то для В выбрали?

bga83YesSqlНавтыкайте только побольше сетевых карточек.при желании это VLAN-ами разрулить можно на одном адаптере

А как потом соединить сервер B с серверами С D
Так как на одном адаптере будет Интренет с Паблик адресом .

Dimitry SibiryakovZarraА как потом соединить сервер B с серверами С D
Витой парой пятой категории.

Вопрос на засыпку: если у вас сервера B, C и D в локальной сети, то зачем между ними VPN?


Client A находится удаленно он через интернет будет заходить

bga83ZarraДля безопасностьи итп сказалиМожет имеет смсл начать с этого. Кто сказал, как это было аргументировано? к чему я все это. Судя по уровню вопросов понимания в теме не особо много, так может лучше озадачить решением этого вопроса того, кто лучше понимает о чем речь идет?

Вроде все описала очен внятно но столько версии что уже голова кругом ...
Может кто не будь все таки поможет мне начать
Видно что вы в этой сфере профи
Спасибо

Dimitry SibiryakovZarraМожет кто не будь все таки поможет мне начать
Если всё, что вам нужно это чтобы сторонний программист мог безопасно подключаться к вашей
сети, то начать надо с чтения документации на ваш роутер, который интернет раздаёт. На
предмет способа включения в нём VPN сервера. Всё. После этого останется только сообщить
прогрммисту его модель и адрес.


На роутер который мне интернет дает у меня нету там доступа ((

Dimitry SibiryakovZarraНа роутер который мне интернет дает у меня нету там доступа ((

Тогда иди к начальству и докладывай, что "Mission Impossible". Пусть поручают эту работу
тому, у кого доступ туда есть.


Вы правы , но аналогичная система уже работает на другом этаже нашего офиса с этим же нетом , просто мне не говорят как они сделали безопасно (((

bga83Zarraпропущено...


Вы правы , но аналогичная система уже работает на другом этаже нашего офиса с этим же нетом , просто мне не говорят как они сделали безопасно (((этот другой этаж ваша же фирма? если да, то воспользуйтесь уже готовым VPN

Нет это большой здание где все помешение орендуют контент провайдеры итп. Но интернет провайдер тут у всех один ! А те кто сделали они контент Провайдер маленкий я у них поинтересовалась оне не стали мне объяснать ((( А то бы я стала бы тут вас беспокаивать ...

YesSqlZarraпропущено...


Нет это большой здание где все помешение орендуют контент провайдеры итп. Но интернет провайдер тут у всех один ! А те кто сделали они контент Провайдер маленкий я у них поинтересовалась оне не стали мне объяснать ((( А то бы я стала бы тут вас беспокаивать ...
И что все кому не лень в здании могут гулять по локальной сети вышей "компании"? Если так то ставьте pfSense между вашей локалкой и остальным "помещением".

Спасибо ! Хотелось бы что то стабильное максимально безопасно что бы потом уже не вернутся к безопасности

мимопроходилтреднечиталZarra,

впн в этой задае нафиг не сдался, достаточно использовать ssl-подключение к базе созданное либо средствами самой субд, либо встроенным с операционку stunnel. В случае stunnel из пакетов криптопро можно установить гостовый шифрованный туннель почти бесплатно, тем самым доведя до радостного исступления безопасников-буквоедов. Кроме того, можно туннелировать подключение к бд по ssh.

Это на сервере B ? И если да то по подробнее плиз под каким ОС ...

Спасибо всем за дельные советы ! Помогли
С этим вопросом разобралась почти ,

Тут еще по ходу один вопрос еще появился не подскажите как в CentoOs 7 настроить так что бы по SSH и тп. только могли заходить с двух ip - адресов ?
IP фильтр или к примеру белый список ...
Спасибо !

Добрый День !

OpenVPN server установила на Centos 7 Успешно !
Client на Windows XP

Вот что то не коннектится
Вот ошибка :
Mon Jul 27 12:27:06 2015 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Mon Jul 27 12:27:10 2015 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Mon Jul 27 12:27:10 2015 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Mon Jul 27 12:27:10 2015 LZO compression initialized
Mon Jul 27 12:27:10 2015 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Jul 27 12:27:10 2015 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Jul 27 12:27:10 2015 Local Options hash (VER=V4): '41690919'
Mon Jul 27 12:27:10 2015 Expected Remote Options hash (VER=V4): '530fdded'
Mon Jul 27 12:27:10 2015 UDPv4 link local: [undef]
Mon Jul 27 12:27:10 2015 UDPv4 link remote: 192.168.111.11:1194

а дальше что? в этом логе ничего особо интересного нет[/quot]

Client.config

client
dev tun
proto udp
remote 192.168.111.11 1194
resolv-retry infinite
nobind
persist-key
persist-tun
comp-lzo
verb 3
ca ca.crt
cert myclient3.crt
key myclient3.key
auth-user-pass


Server.config

port 1194
# TCP or UDP server?
;proto tcp
proto udp
;dev tap
dev tun
;dev-node MyTap
ca ca.crt
cert danscentos-s3.crt
key danscentos-s3.key # This file should be kept secret
dh dh2048.pem
;topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
;server-bridge
push "route 192.168.10.0 255.255.255.0"
;client-config-dir ccd
;route 192.168.40.128 255.255.255.248
;client-config-dir ccd
;route 10.9.0.0 255.255.255.252
;learn-address ./script
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
client-to-client
;duplicate-cn
keepalive 10 120
;tls-auth ta.key 0 # This file is secret
;cipher BF-CBC # Blowfish (default)
;cipher AES-128-CBC # AES
;cipher DES-EDE3-CBC # Triple-DES
comp-lzo
;max-clients 100
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
;log openvpn.log
;log-append openvpn.log
verb 3
;mute 20
plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so openvpn\

Может кто нибудь помочь с установкой Openvpn на Linux Cenos 7 и клиент на Windows
Договоримся