Group :: Sistema/Servidores
RPM: gvpe
Main Changelog Spec Patches Sources Download Gear Bugs e FR Repocop
GVPE, или GNU-VPE (GNU Virtual Private Ethernet) - набор
утилит для создания виртуальной частной сети.
GVPE позволяет создавать виртуальную (с поддержкой протоколов
udp, tcp, icmp и др.) частную (защищённую, с аутентификацией
узлов через сертификаты SSL) сеть Ethernet (с использованием
MAC-адресов и широковещательных пакетов), объединяющаю входящие
в неё узлы наподобие виртуального Ethernet-коммутатора.
GVPE:
- по сравнению с PPtP: позволяет объединять в вирутальную сеть
множество узлов (теоретический предел - 4095, реально
существующие решения - 30 и более узлов);
- по сравнению с OpenVPN: не имеет выделенного сервера, каждый
узел самостоятелен и соединяется с каждым другим узлом
виртуальной сети.
Базовая настройка виртуальной сети GVPE:
1. Установка GVPE на каждом из узлов сети:
# apt-get install gvpe
2. На любом из узлов: скопировать пример конфигурации
(/etc/gvpe/gvpe.conf.sample) в /etc/gvpe/gvpe.conf
и внести в него информацию по каждому из узлов сети.
Как минимум, необходимо для каждого из узлов указать
его название (node = <name>) и имя DNS / адрес IP
(hostname = <node.domain.tld>).
3. Создать наборы сертификатов и ключей узлов, запустив команду
# gvpectrl -c /etc/gvpe -g
В результате в каталоге /etc/gvpe/hostkeys/ будут созданы
частные ключи узлов, в /etc/gvpe/pubkey/ - публичные ключи
узлов.
4. Отредактировать скрипт /etc/gvpe/if-up, назначающий адреса IP
создаваемым tap-интерфейсам узлов. По желанию можно вместо
настройки интерфейсов через if-up конфигурировать их средствами
etcnet.
5. Скопировать на каждый из узлов сети:
- файл конфигурации /etc/gvpe/gvpe.conf (одинаковый для всех узлов);
- файл настройки интерфейсов /etc/gvpe/if-up
(одинаковый для всех узлов);
- каталог /etc/gvpe/pubkey/ (целиком, на каждом узле должны
быть публичные ключи всех узлов сети);
- файл /etc/gvpe/hostkeys/<node> (частный ключ данного узла).
6. На каждом из узлов - задать имя этого узла в /etc/sysconfig/gvpe;
7. На каждом из узлов разрешить в настройках межсетевого экрана
использование порта, используемого сервером GVPE (по-умолчанию -
50000/udp), при необходимости настроить интерфейс vpn0 средствами
etcnet;
8. запустить демон gvpe:
# service gvpe start
Если в конфигурации не было допущено ошибок - на каждом из узлов
должны появиться виртуальные сетевые интерфейсы vpn0 (имя задаётся
в gvpe.conf), которые объединены друг с другом в Ethernet-сеть.
При возникновении проблем - смотреть логи в /var/log/daemons/info,
увеличивать уровень отладки в gvpe.conf; запускать gvpe с выводом
сообщений консоль (# gvpe -D -lnotice <node>).