ClearOS: ¿cómo crear una VPN de sitio a sitio entre dos cuadros de ClearOS?

Planeo configurar algunas cajas ClearOS en varios sitios, y me gustaría configurar una VPN de sitio a sitio entre los sitios remotos y un sitio principal (todos ejecutan ClearOS Enterprise 5.2sp1 / última versión).

He encontrado referencias sobre cómo configurar ClearOS a VPN en dispositivos como Cisco para IPSEC y otros con PPTP. Pero para estos métodos no mencionó cómo podría configurar 2 cuadros ClearOS para comunicarse entre sí ipsec o pptp.

También vi documentación sobre la instalación de OpenVPN y el uso del software de cliente OpenVPN para VPN en el cuadro ClearOS. Probablemente usaré esto para usuarios individuales a VPN, pero tengo algunos sitios pequeños (de 1 a 10 usuarios) que tendrán su propio cuadro ClearOS y necesitarán crear un enlace VPN de sitio a sitio al cuadro OpenVPN del sitio principal.

¿Es esto posible? ¿Me puede indicar documentos u otra información o, básicamente, cómo?

Un par de actualizaciones:

Encontré un hilo que hace la misma pregunta básica, donde el usuario tiene una vpn configurada entre las dos máquinas clearos (después de instalar los módulos ipsec vpn), simplemente no transporta el tráfico entre las LANS, y la última publicación dice que tiene que edite algunos archivos (/etc/ipsec.conf) y establezca los valores leftnexthop rightnexthop en% direct. Después de eso, se supone que funciona. ¿Podría ser tan simple?

También publiqué en clear foundation , y me señalaron alguna documentación para configurar ipsec vpn no administrado. Esto se ve bastante bien, pero lo más probable es que necesite descubrir cómo manejar una configuración de tipo dns dinámico al menos en un extremo. Además, ¿qué significa multi-wan? Finalmente, ¿qué sucede cuando una conexión vpn se cae exactamente? ¿Alguien tiene que reiniciar la caja o?

Hay dos instrucciones de instalación / instalación diferentes en el sitio de OpenVPN, instrucciones estándar y instrucciones sobre claves estáticas. La tecla estática solo se puede utilizar para una configuración de 2 máquinas.

Deberá seguir el procedimiento estándar: http://openvpn.net/index.php/open-source/documentation/howto.html

Básicamente necesitará 2 archivos de configuración, 1 para el servidor, 1 para los clientes. Deberá crear certificados y pares de claves para el servidor, y para todos los clientes, cada cliente necesitará su propio certificado y una copia del certificado del servidor. También tenga cuidado con la trampa de tener la misma "Subred" para las LAN del cliente y la LAN de sus servidores. El cliente no podrá acceder fácilmente a la LAN del servidor si es la misma subred como 192.168.1.x.

Siéntase libre de dejar comentarios en los lugares donde se atasca, ya que ha pasado por esta configuración muchas veces.

Es posible conectar los ClearOS-Boxes con openvpn. Debe configurar una casilla como servidor, iniciar sesión como usuario autorizado para usar openvpn y descargar los cuatro archivos Autoridad de certificación, Certificado, Clave y archivo de configuración para Linux. Guarde estos archivos en un directorio en su buzón de cliente. Ahora puede iniciar el cliente openvpn en este cuadro con "openvpn configurationfilename.ovpn". Debe solicitar su nombre de usuario y contraseña e iniciar sesión.

El problema para automáticamente este proceso es que clearos autentica a los usuarios en el ldap. Puede eliminar esto, pero cada usuario openvpn con clave puede iniciar sesión. Aquí tienes que eliminar la autenticación ldap: Comenta la línea "auth-user-pass" en tu configuración de cliente y la línea "plugin /usr/share/openvpn/plugin/lib/openvpn-auth-ldap.so / etc / openvpn / auth-ldap "en su servidor en el archivo /etc/openvpn/clients.conf

Quizás haya una mejor manera de deshabilitar la autenticación de contraseña para un usuario.