LINUX.ORG.RU
ФорумAdmin

Объеденение двух локалок через OpenVPN


0

1

Есть две локальные подсети в разных регионах 192.168.1.0/24 и 192.168.2.0/24 они соеденены по выделенному каналу провайдера. Теперь встала задача пустить по каналу шифрованный трафик. Вот конфиги:

dev tun
tls-server
proto udp
port 1194
comp-lzo
persist-tun
persist-key

ifconfig 10.8.0.1 10.8.0.2
route 192.168.2.0 255.255.255.0 

dh /etc/openvpn/keys/dh1024.pem
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/desktop.crt
key /etc/openvpn/keys/desktop.key

status openvpn-status.log
log  openvpn.log
verb 6
mute 20
dev tun
tls-client
remote xxx.xxx.xxx.xxx
proto udp
port 1194
comp-lzo
persist-tun
persist-key

ifconfig 10.8.0.2 10.8.0.1
route 192.168.1.0 255.255.255.0

dh /etc/openvpn/dh1024.pem
ca /etc/openvpn/ca.crt
cert /etc/openvpn/desktop-n.crt
key /etc/openvpn/desktop-n.key

status openvpn-status.log
log  openvpn.log
verb 6
mute 20

На стороне сервера 192.168.1.0 подсеть, а на стороне клиента соответсвенно 192.168.2.0. с 192.168.2.2 (Win) идет пинг на 192.168.1.5 (Win)

192.168.2.1 (Linux) не пингует 192.168.1.5 (Win)

192.168.1.5 (Win) пингует только 192.168.2.1 (linux)

Какие нужно прописать маршруты чтобы две виндовс машины 192.168.2.2 и 192.168.1.5 увидели себя, пинганули и поделились друг с другом своими шарами?

Не совсем понял что к чему, но если есть центральный vpn-сервер то тебе поможет опция client-to-client

true_admin ★★★★★ ()
Ответ на: комментарий от true_admin

Не совсем понял что к чему, но если есть центральный vpn-сервер то тебе поможет опция client-to-client

есть два офиса, в одном офисе поднят впн сервер, во втором впн клиент. в каждом офисе есть своя локалка: где сервер: 192.168.1.0/24, где клиент 192.168.2.0/24. сервер и клиент openvpn на ос ubuntu 12.04, локальные подсети на winxp. необходимо чтобы 192.168.1.0 видел 192.168.2.0 в том числе и шары, без всяких авторизаций.

iroute

шлюз недоступен попозже скину

archez ()
Ответ на: комментарий от true_admin

Таблица клиента

desktop-N:~$ route
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
default         xxx.xxx.xxx.xxx  0.0.0.0         UG    0      0        0 eth1
10.8.0.1            *               255.255.255.255 UH    0      0        0 tun0
link-local             *               255.255.0.0     U     1000   0        0 eth1
xxx.xxx.xxx.xxx  *               255.255.255.252 U     1      0        0 eth1
192.168.1.0     10.8.0.1        255.255.255.0   UG    0      0        0 tun0
192.168.2.0           *               255.255.255.0   U     1      0        0 eth0
archez ()
Ответ на: комментарий от true_admin

Таблица сервера

Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
default         xxx.xxx.xxx.xxx  0.0.0.0         UG    100    0        0 eth0
10.8.0.2             *               255.255.255.255 UH    0      0        0 tun0
link-local             *               255.255.0.0     U     1000   0        0 eth0
xxx.xxx.xxx.xxx    *               255.255.255.252 U     0      0        0 eth0
192.168.1.0            *               255.255.255.0   U     0      0        0 eth1
192.168.2.0     10.8.0.2        255.255.255.0   UG    0      0        0 tun0
archez ()
Ответ на: комментарий от archez

лучше спроси DALDON :). Я не спец в этих делах и каждый раз вопросы маршрутизации меня повергают в многочасовой дебаг через tcpdump, traceroute, iptables (в том числе через пустые правила которые служат счётчиком) и пинги.

Так что посмотри через tcpdump что куда с каких интерфейсов улетает и проверь нет ли блокировок на фаерволе.

true_admin ★★★★★ ()
Ответ на: комментарий от archez

Прочитать man openvpn.conf, там прочти про iroute, и зачем оно нужно, там смутно написано как сейчас помню. Но тебе в общем достаточно просто клиенту iroute прописать, и заработает всё, прям на сервере в конфиге.

DALDON ★★★★★ ()
Ответ на: комментарий от archez

Ты просто погугли примеры openvpn iroute, там не сложно реально. Я сейчас ленюсь если честно лезть в сервер и вспоминать чего я там писал и делал.

DALDON ★★★★★ ()

Еще уточни, клиент и сервер ВПН являются шлюзами по умолчанию, или же для доступа к интернету отдельный маршутизатор?

massive ()

192.168.2.1 (Linux) не пингует 192.168.1.5 (Win)

Если 192.168.2.2 пингует а Linux нет, то смотри в фильтр , чтоб 10.8.0.1 и 10.8.0.2 не резались. Когда пингуешь с Линукса, пинги идут не с 192.168.2.1, а кротчайшего 10.8.0.1 (или 2, кто там кто), ну и сам Win может не пускать. Проверить можно tcpdump'ом на локальном интерфесе 192.168.1.1, уходит что подобное на 1.5, возвращается ли, там поймешь кто виноват.

Сервер
ifconfig 10.8.0.1 10.8.0.2
route 192.168.2.0 255.255.255.0  10.8.0.2

Клиент
ifconfig 10.8.0.2 10.8.0.1
route 192.168.1.0 255.255.255.0  10.8.0.1

Ну и в сети 192.168.2.0, 192.168.2.1 является гейтом, на машинках win прописан как щлюз?

lvi ★★★★ ()
Ответ на: комментарий от zgen

iroute

Не, у него не мультиклиент, ifconfig точка-точка.

lvi ★★★★ ()

и зачем тут ovpn ? тут любой туннель подойдёт. ovpn нужен для подключения _клиентов_ к сети. То есть когда неизвестно с какого ip приходит клиент и кто он вообще такой. У вас другая ситуация и функционал ovpn - лишнее звено об которое вы спотыкаетесь.

всё что вы хотите делается стандартными из-коробочными средствами сетевой части linux.

MKuznetsov ★★★★★ ()
Ответ на: комментарий от MKuznetsov

ovpn - лишнее звено об которое вы спотыкаетесь.

Почему бы и не OpenVpn, тем более почти все работает, соединение поднимается. Вернете Вы ТС в нулевую точку, те же проблемы останутся 100%, файрволы нужно настраивать в любом случае.

lvi ★★★★ ()
Ответ на: комментарий от massive

Еще уточни, клиент и сервер ВПН являются шлюзами по умолчанию, или же для доступа к интернету отдельный маршутизатор?

шлюзы по умолчанию, без маршрутизаторов

Ну и в сети 192.168.2.0, 192.168.2.1 является гейтом, на машинках win прописан как щлюз?

да, конечно

archez ()
Ответ на: комментарий от archez

Смотреть tcpdump' на интерфейсах tun и в локальную сеть на обоих Линуксах.

А, так проблемы могут быть где угодно. Цепь форвард дожна пропускать с интерфейса tun во все эти сети, да и просто весь фильтр проверить. Маршруты, тут не понял, как-то раньше через провайдера работало, не мешают ли стаые маршруты в соседние сети, есть ли они?, кроме тех что поднимает VPN. Если уже есть маршрут в соседнюю сеть через какой-то гейт, то VPN при старте не сможет его изменить, заточить пот себя. Ну и виндовс, - это бранндмауэр, Касперский с антихакером или в новом как-то по другому называется, если что нибудь активно, то винда отвечает только на запросы из своей локальной сети, либо отключить, либо прописывать доверенные сети. Был случай, когда в винде входе эксперементов добавили вторым IP из соседней сети и забыли, не сразу поняли почему она из соседней сети не отвечает.

lvi ★★★★ ()
Ответ на: комментарий от lvi

спасибо все вроде бы как получилось, но сейчас возник другой вопрос, необходимо переделать все на мост, т.е. две одинаковые подсети объеденить в разных регионах.

archez ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.