LINUX.ORG.RU
ФорумAdmin

openVPN бридж раздает одни и те же адреса клиентам


0

1

Добрый день.

Настроил сервер.

bridge.conf

port 1194
proto udp
dev tap0
comp-lzo
tun-mtu 1500
server-bridge 10.10.10.194 255.255.255.240 10.10.10.204 10.10.10.206
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
persist-key
persist-tun

openvpn-startup
#!/bin/bash#################################
br=«br0»
tap=«tap0»
eth=«eth2»
eth_ip=«10.10.10.194»
eth_netmask=«255.255.255.240»
eth_broadcast=«10.10.10.207»
for t in $tap; do
openvpn --mktun --dev $t
done
brctl addbr $br
brctl addif $br $eth
for t in $tap; do
brctl addif $br $t
done
for t in $tap; do
ifconfig $t 0.0.0.0 promisc up
done
ifconfig $eth 0.0.0.0 promisc up
ifconfig $br $eth_ip netmask $eth_netmask broadcast $eth_broadcast

bridge.ovpn (у клиента):
client
proto udp
port 1194
remote serverIP
dev tap
nobind
tun-mtu 1500
ping 10
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
comp-lzo

Всем клиентам он раздает 10.10.10.204
. В принципе нужна статика на эту сеть. т.е. дать серверу с адресом a.b.c.d адрес 10.10.10.204 а e.f.g.h 10.10.10.205 Куда копать?




Не вижу, где вызывается openvpn-startup

uspen ★★★★★ ()
Ответ на: комментарий от adriano32

Лоханулся.

Действительно в процессе создания тестовых точек не уделил должного внимания сертификатам. Почитав ifconfig-pool-persist увидел что новые адреса подставляются на основании имени в сертификате. А у клиентов был один и тот-же сертификат.

Вопрос с одним и тем-же адресом решен.

Но вот по статике я так и не дотумкал.

Задача вообще следующая. Есть сервера в инете. Нужно их пробросить в интранет города. Т.е. раньше они стояли одним концом в инет, другим в интранет. Сейчас у провайдера изменились соображения безопасности и на площадку он чужие концы запускать перестал. Остался только интернет на серваках. А инфраструктура уже налажена и все настроено у клиентов на эти адреса.

Получается нужно на сервере ифконфигом 252 маской задать пару (несколько пар) и на клиентах в конфиге определенную пару заносить. Но вот вопрос если локальная сеть маленькая (240 маска) и там этих пар вообще две только наберется, а адресами нужно 5 серверов снабдить. Или нужно какую-то буферную подсеть им придумать и через нее уже маршрутить на нужные адреса? Или я совсем не туда пошел?

ivannoff ()
Ответ на: Лоханулся. от ivannoff

Я не сильно понял, что ты описал. Видимо ты хочешь чтоб эти серваки прозрачно были видны в интранете? При этом у тебя с адресами в интрасети проблема, что их мало? И решить проблемы с тем что мало адресов ты не можешь - каждый новый адрес - денюжка.
У меня напрашивается решение - шлюз в интранете, который OpenVPN'ами к твоим сервакам (по количеству серваков) и на шлюзе nat.
Если решишь/объяснишь что с адресами - я например не понял, то шлюз+tap+bridge. Коллеги поправят если я не прав.

adriano32 ★★★ ()
Ответ на: комментарий от adriano32

В интернете стоит 5 серверов. У всех само собой статика.

У каждого есть вторая сетевуха под интранет(подсетьсеть по 240 маске). Но нет прямого канала с недавних пор. На серверах ресурсы, которые пользователям доступны с интранета (должны быть). Есть еще необходимость пользовать ресурсы интранета с серверов (банки данных, медиа банки).

Я решил поставить VPN шлюз, чтобы поднять виртуальные интранет интерфейсы на серверах.

Поднял openVPN (конфиги в первом посте). Все замечательно работает по динамике, но вот статика?

Пользователи - госслужащие которым 10.10.10.200 давался на запоминание/запись в блокнот/избранное и т.п. очень тяжко. И теперь его менять бы не хотелось. + половина локальных и серверных клиентов/приложений настроены на соответствующие адреса БД и т.п.. Хотелось-бы максимально сохранить адресацию.

ivannoff ()
Ответ на: комментарий от ivannoff

Каждый сервер надо в свою локалку пробросить при помощи одного шлюза? Или все пять серверов в одну локалку при помощи одного шлюза?
Почему маска именно /28? Потому что так уже везде настроено или другие причины?
Если тебе просто надо, чтоб у серверов всегда были одни и теже адреса, когда они коннектятся к твоему шлюзу, то выше совет true_admin'a (client-config-dir)

adriano32 ★★★ ()
Ответ на: комментарий от adriano32

Сложно представить что может быть непонятно...

маска 28 по той причине что нам ее дал провайдер интранета. длиньше - дороже + интранет-клиентов перенастраивать (необученные госслужащие).

Нам надо на один интернет шлюз повесить впн сервер и прокинуть туда пять серверов из инета с сохранением пяти интранет адресов этих серверов с соответствующей маской.

еще проще:

было 5 езернет концов воткнуты в пять серверов с адресами 10.10.10.199, 10.10.10.200, 10.10.10.201, 10.10.10.202, 10.10.10.203, 10.10.10.204 На эти адреса настроены 250 клиентов по городу и около 50 по области.

эти пять концов похерили.

На тех же серверах стоят 5 интернет концов и 5 статических Интернет адресов.

Есть сервер в интранете с нормальным каналом в интернет. Вот через него и хотим прокинуть. Мог бы спасти простой мапинг на этом сервере, если бы не необходимость сереверам тянуть ресурсы из интранета и их обрабатывать + acl и т.п. на интранет ресурсах.

читаю про конфиг клиентов, но там опять тот же пуш с ограниченным числом пар.

ivannoff ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.