а взял бы GRE - все работало бы уже сто лет как.
у меня на поднять опенвпн уйдёт минут 10, в чём сложность то?
Max
Sergei
а на гре у меня уйдет 20 секунд
Max
ну ты большой админ, а я пока маленький )
Sergei
+ GRE работает в ядре.
Dmitrii
Я решил отказаться от VyOS. Потому что это требует дополнительной машины в AWS
Dmitrii
Поэтому решил попробовать все же VPN на бастионе.
Max
погоди, я правильно помню - тебе надо два VPC в разных регионах подружить?
Dmitrii
Да
Sergei
tinc
Dmitrii
@uncle_gaara есть возражения против tinc? )
Max
не знаю не юзал
Max
знаю что амазоновский фаервол могёт в айписек как нехуй
Max
и ещё знаю что опенвпн для этого не нужен
Sergei
tinc ты просто ставишь сразу на все ноды
Sergei
и трафик всегда идет кратчайшим путем
Sergei
но тоже юзерспейс. поиграть можно, гигабиты таскать - дорого.
Max
все ноды получаются неким подобием гейтов?
Sergei
ну, нужно подцепиться к любой другой ноде
Sergei
а дальше трафик разложится
Max
а
Dmitrii
У меня это все надо чтобы гео кластер rabbit сделать.
Dmitrii
Трафика там не много будет
Max
А чо ты не хочешь взять тот же StrongSWAN ?
Sergei
то есть серьезно - GRE
Max
или GRE да
Dmitrii
Вот вы кто про профессии?
Sergei
замучили человека.
Sergei
смотри, Дмитрий.
у тебя задача связать два региона, так?
Sergei
почему просто через интернет трафик напрямую нельзя отправить?
Dmitrii
Я как бы больше программист, мне все эти GRE, стронгсван ­пиздец )
Dmitrii
Потому что политика партии - есть одна входная точка входа в регион
Dmitrii
Остальное все закрытая сеть
Max
ну верная политика
Sergei
окей.
вот тогда на этой точке входа и пляши.
Max
2 точки входа, 2 закрытые сети
Max
единственное требование - что бы закрытые сети с разными подсетями были и всё
Dmitrii
Т.е. щас вот дикие менеджеры родили проект который гео распределен по странам
Sergei
у тебя в каждом регионе есть точка входа.
между ними ты поднимаешь VPN. вероятно, тебе нужно шифрование этого трафика в интернете. поэтому VPN должен быть с шифрованием.
Max
ща...
Dmitrii
А tinс c шифрованием*
Dmitrii
? Оно естественно надо
Sergei
если нет шифрования - все элементарно просто. GRE поднимается в одну команду.
Sergei
с шифрованием - с GRE/IPsec сложнее, поэтому этот вариант лучше отбросить нафиг.
Dmitrii
Это одна из причин почему я хочу через vpn. Ибо мудиться с сертификатами для rabbitmq нет никакого желания + его надо вытаскивать наружу
Sergei
окей.
ты берешь tinc, потому что у него нет понятия "кто сервер, кто клиент".
apt-get install -y tinc
Sergei
mkdir -p /etc/tinc/my-company-network/hosts
Sergei
да ну емое
Sergei
export NETNAME="myCompanyNet"
Sergei
mkdir -p /etc/tinc/$NETNAME
Sergei
mkdir -p /etc/tinc/$NETNAME/hosts
Max
окей.
ты берешь tinc, потому что у него нет понятия "кто сервер, кто клиент".
apt-get install -y tinc
да зачем это всё. тут айписека достаточно
Sergei
ты щас запаришься теорию ipsec'а объяснять, пока вы родите работающий конфиг на стронгсване
Dmitrii
Вы главное не подеритесь ) Скажите, в чем реальные отличия этих подходов?
Sergei
ipsec лучше всем в твоей задаче :)
Sergei
кроме тяжести поднятия
Max
да я ему уже скинул конфиг в личку
Sergei
а, збс
Dmitrii
Макс, а у тебя такая е задача была?
Max
у меня разные были
Max
у меня были циски, джуниперы и микротики с пачками офисов по россии
Max
сейчас айписек связывает наши инстансы с циской одного небезызвестного обсоса
Max
что бы мы им данные могли на их блядь сраный сфтп складывать
Max
StrongSwan ок норм
Max
инфа 100%
Sergei
+
Dmitrii
Короче я люблю прямые решения. Давайте попробую тогда этот. Коль и конфиг уже есть
Max
давай
Max
пиши в личку, подскажу
Dmitrii
Попробую сам сначала, спасибо за конфиг
Max
да не за что
Dmitrii
@spuzirev а где у tinc должны лежать ключи нод к которым конектиться? (не свои)
Max
Решил таки tinc?
Dmitrii
Да, чот ipsec ту мач для меня
Max
Да блин
Max
Давай за косарь сделаю XD
Dmitrii
Ахаха
Dmitrii
Знаешь как говорится make it work then make it right )
Dmitrii
Мне бы щас хоть как нибудь :)
Max
Всего лишь касарь XD
Dmitrii
Но ведь мне с этим потом еще работать )