Каморка

скажем так.... есть две домашних сетки. закрытых снаружи хардварными роутерами. на одной стороне есть виндовозный сервак, на другой стороне есть фрибсд на которой запросто может быть поднята самба. реально объеденить эти две сетки в секурный домен через интерент? задача пока чисто академическая хочется послушать мнения. на вопрос а нахрена отвечу просто.... на обеих сторонох есть разный набор аппликейшенов, которые хотелось бы пользовать всем.

Папа,
Ты задаёшь вопрос так, как "архитектор", или MBA, а не практик. Ты только не сердись. Ниже мои аргументы. Будет работать, или нет? Так это зависит от конткретных обстоятельств, о которых ты ничего не пропостил.

Так, что давай уточнимся

закрытых снаружи хардварными роутерами

Совершенно по-барабану. Важно другое - можешь ли ты разрулить там ACL правильно. В зависимости от ответов на вопросы ниже - там надо не только уметь правильно писать permit/deny, но и знать какой трафик и как разрешать (разрешение только CIFS в общем случае будет недостаточно )

на одной стороне есть виндовозный сервак

Сервер "отдельно" стоящий, или в составе домена безопасности W2k? Ну, т.е. там есть контроллер домена, держащий AD, ......?

на другой стороне есть фрибсд на которой запросто может быть поднята самба.

У нас тут один неплохой провайдер под боком. Так и делают. Винюковые компы узают файло на FreeBSD. Но там нет "...доменов...".
С доменами ещё б разобраться надоб. Домен безопасности W2k - это не инет-домен в принятой у юниксоидов терминологии.

реально объеденить эти две сетки в секурный домен через интерент?

"... секурный домен... ". Что ты здесь имеешь ввиду? Домен безопасности W2k? О какой секурити ты говоришь?

на обеих сторонох есть разный набор аппликейшенов, которые хотелось бы пользовать всем.

Это понятно

Вопросы для начала:
1) про домены - см. выше
2) на какой платформе хосты юзверей в каждой из сеток.
3) как эти хосты рабочих станций соотносятся с доменом W2k (если таковой вообще существует, в чём я чё-то сомневаюсь ). Если винюковые по большей части рабочки - то какие? W98 и W2k по разному понимают CIFS. В одном случае достаточно (кроме того, что ещё надо ) только TCP 445 , вдругом случае начинается гимор с TCP 139. (если речь дальше пойдёт о гиморе с фалом).
4) Как хосты разрешают имена (и в одной и в другой сетке)
5) Из той же оперы . Если речь зайдёт дальше о AD, то как хосты в обоих сетках разрешают имена сервисов и служб (ресурсные записи global catalog, dc, .....). Только не путай ресурсные записи DNS bind и DNS на контроллерах домена W2k.
6) Кроме этой домашне-корпоративной сети должныли компы видеть инет?

ПС. Видишь как много вопросов и проблем может быть в общем случае, когда задача поставлена не точно. На домашних сетях можно зарабатывать бабки. Не спорю. Но только надо уходить от непонятных "секретных интернет доменов" в формулировках. По сути тоже - оставь байду с доменами безопасности W2k, AD ..... Это не так просто, как тебе может показаться. Поверь. А хочешь - не верь.

Да, и ещё, Папа. Будут, будет работать. Даже по 139 порту (без всяких cifs). Только в ньюансах всё дело, и зависит, что на самбе ещё поднято, кроме самбы и ёного клиента.

папа Карло писал(а):скажем так.... есть две домашних сетки. закрытых снаружи хардварными роутерами. на одной стороне есть виндовозный сервак, на другой стороне есть фрибсд на которой запросто может быть поднята самба. реально объеденить эти две сетки в секурный домен через интерент? задача пока чисто академическая хочется послушать мнения. на вопрос а нахрена отвечу просто.... на обеих сторонох есть разный набор аппликейшенов, которые хотелось бы пользовать всем.

vpn, папа, ты хочешь vpn. можно непосредственно между "раутерами". если "раутеры" не поддерживают ike/ipsec, то на фрибсд - racoon + родной ipsec, на виндах - родной ipsec, и на соответствующем раутере - ipsec passthrough (он же ipsec forwarding). если в прайват сетках есть address collision, то одном из концов (проще на bsd) надо делать s-nat на выходящий из тунелля трафик ... ну и все такое .. короче какой вопрос - такой ответ

drain bamage,

vpn, папа, ты хочешь vpn. можно непосредственно между "раутерами". если "раутеры" не поддерживают ike/ipsec, то на фрибсд - racoon + родной ipsec, на виндах - родной ipsec, и на соответствующем раутере - ipsec passthrough (он же ipsec forwarding). если в прайват сетках есть address collision, то одном из концов (проще на bsd) надо делать s-nat на выходящий из тунелля трафик ... ну и все такое .. короче какой вопрос - такой ответ

1) А Вы уверены, уважаемый, что Папа хочет VPN? Сомневаюсь. Папа-то слово из трёх букв (ВПН) знает. Так и написал бы - хочу виртуал приват нетворк.

2) "...если "раутеры" не поддерживают ike/ipsec...". Наверное, это специальные канадцкие роутеры "...поддерживают ike/ipsec...". Во всем мире раутеры - это всего лишь уровень IP. Да-да. Всего лишь IP, если быть точным в терминологии. Ибо их задача - м а р ш р у т и з и р о в а т ь.

3) Как всё запущено с ipsec на виндах, особенно для W98 Где уж здесь чего форвардить. Хотя, ...ах-да.... у нас специальные канадские раутеры, которые не маршрутизируют, а шифруют и уж потом всё остальное. Ну, так Папа не пишет - крипто-маршрутизатор. Надеюсь, Папа до этого не дошёл.

ПС.
Всё гораздо проще. Ну а так, да весело.

drain bamage писал(а):

папа Карло писал(а):скажем так.... есть две домашних сетки. закрытых снаружи хардварными роутерами. на одной стороне есть виндовозный сервак, на другой стороне есть фрибсд на которой запросто может быть поднята самба. реально объеденить эти две сетки в секурный домен через интерент? задача пока чисто академическая хочется послушать мнения. на вопрос а нахрена отвечу просто.... на обеих сторонох есть разный набор аппликейшенов, которые хотелось бы пользовать всем.

vpn, папа, ты хочешь vpn. можно непосредственно между "раутерами". если "раутеры" не поддерживают ike/ipsec, то на фрибсд - racoon + родной ipsec, на виндах - родной ipsec, и на соответствующем раутере - ipsec passthrough (он же ipsec forwarding). если в прайват сетках есть address collision, то одном из концов (проще на bsd) надо делать s-nat на выходящий из тунелля трафик ... ну и все такое .. короче какой вопрос - такой ответ

тунель сделанный vpnэом это первое что пришло мне в голову.... рутеры умеют только впн пропускать.

папа Карло писал(а):

drain bamage писал(а):

папа Карло писал(а):скажем так.... есть две домашних сетки. закрытых снаружи хардварными роутерами. на одной стороне есть виндовозный сервак, на другой стороне есть фрибсд на которой запросто может быть поднята самба. реально объеденить эти две сетки в секурный домен через интерент? задача пока чисто академическая хочется послушать мнения. на вопрос а нахрена отвечу просто.... на обеих сторонох есть разный набор аппликейшенов, которые хотелось бы пользовать всем.

vpn, папа, ты хочешь vpn. можно непосредственно между "раутерами". если "раутеры" не поддерживают ike/ipsec, то на фрибсд - racoon + родной ipsec, на виндах - родной ipsec, и на соответствующем раутере - ipsec passthrough (он же ipsec forwarding). если в прайват сетках есть address collision, то одном из концов (проще на bsd) надо делать s-nat на выходящий из тунелля трафик ... ну и все такое .. короче какой вопрос - такой ответ

тунель сделанный vpnэом это первое что пришло мне в голову.... рутеры умеют только впн пропускать.

я не в курсе, что твои "хардварные роутеры, закрывающие домашнюю сетку" умеют. часть nat box'ov типа linksys'a могут таки терминировать ipsec. я ж тебе сказал - какой вопрос - такой ответ

обычный смс..... умеет пускать впн протоколы насквозь.... тунеля с роутингом на них через инет не построить.