OpenVPN и маршруты

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
fosterx
рядовой
Сообщения: 17
Зарегистрирован: 2015-05-16 0:57:46
Откуда: СПБ

OpenVPN и маршруты

Непрочитанное сообщение fosterx » 2021-10-26 23:43:12

Всем привет! Прошу помощи в решении вопроса (проблемы)

Есть шлюз на FreeBSD 12
Один к провайдеру 178.X.X.X (соответственно дефаулт ветвей прова) rl0
Второй интерфейс смотрит в локалку 192.168.1.1 re0
есть интерфейс 192.168.20.1 tun0 (OpenVPN юзеры)

Еще есть дополнительный хост с адресом 192.168.100.1 который смотрит в локалку re0 (192.168.1.1) за адресом 192.168.100.1 есть хост 192.168.230.1 на шлюзе у меня прописан маршрут route add 192.168.230.1 192.168.100.1 Вся локалка re0 видит этот хост.

Проблема с подключенными пользователями OpenVPN с адресами 192.168.20.2 ,3,4 И так далее
Как сделать что бы юзеры OpenVPN могли обращаться к этому хосту 192.168.230.1?
Прописать маршрут на хосте 192.168.100.1 не представляется возможным :(

:cry:

Поставить третью карту с адресом 192.168.100.2 и поднять второй нат? Но как завернуть VPN юзеров именно на 192.168.100.1?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

user100
проходил мимо

OpenVPN и маршруты

Непрочитанное сообщение user100 » 2021-10-27 9:25:59

Привет, начни с того, что скажи, какой дефолт у 192.168.100.1 ?
И нарисуй схему, так проще будет воспринимать. Для этого они были и придуманы)

Аватара пользователя
fosterx
рядовой
Сообщения: 17
Зарегистрирован: 2015-05-16 0:57:46
Откуда: СПБ

OpenVPN и маршруты

Непрочитанное сообщение fosterx » 2021-10-27 9:42:29

Дефолт у 100.1 не известен. Это другая (закрытая) сеть. В мою сторону просто смотрит интерфейс 192.168.100.1
Админ этого сервака рекомендует поднять нат и все заработает.

Аватара пользователя
fosterx
рядовой
Сообщения: 17
Зарегистрирован: 2015-05-16 0:57:46
Откуда: СПБ

OpenVPN и маршруты

Непрочитанное сообщение fosterx » 2021-10-27 9:44:34

совсем забыл, у этого сервака на интерфейсе 192.168.100.1 висит алиас 192.168.1.225
Админ отказывается прописывать маршруты и говорит про нат(

user100
проходил мимо

OpenVPN и маршруты

Непрочитанное сообщение user100 » 2021-10-27 10:24:17

Ну НАТ так НАТ .

Аватара пользователя
fosterx
рядовой
Сообщения: 17
Зарегистрирован: 2015-05-16 0:57:46
Откуда: СПБ

OpenVPN и маршруты

Непрочитанное сообщение fosterx » 2021-10-27 10:29:05

Так как мне второй нат поднять специально для 20-ой подсети и только при обращении на 192.168.15.230?

user100
проходил мимо

OpenVPN и маршруты

Непрочитанное сообщение user100 » 2021-10-28 17:53:18

В твоей ситуации, наиболее простое, что приходит на ум - это где-то в локальной сети поднять ВМ(с адресом 192.168.100.2) с gw(192.168.100.1)+НАТ и с другой стороны твоя сеть 192.168.ххх.ххх. ВМ можно поднять на одном физическом интерфейсе с 2-я VLAN.
А дальше пропишешь маршрут на впн-сервере через 192.168.100.2 на нужную сеть, а на ВМ(с адресом 192.168.100.2) обратный маршрут, на сеть впн-юзеров через внутренний ip-адрес впн-сервака.

Аватара пользователя
fosterx
рядовой
Сообщения: 17
Зарегистрирован: 2015-05-16 0:57:46
Откуда: СПБ

OpenVPN и маршруты

Непрочитанное сообщение fosterx » 2021-10-28 19:10:16

Второй сервак поднять к сожалению не представляется возможным( Я бы даже обычный роутер поставил (какой нибудь дэлинк)

Другой вопрос:

Могу ли я использовать для OpenVPN адресацию такую же как у интерфейса re0? Ведь когда я поднял mpd5 с такой же адресацией как на ифейсе rl0 с указанием сервера mpd 192.168.1.1 и выделением несколько айпи из этой сети для клиентов - все заработало! и все хосты стали доступны. Но использовать mpd не подходит (много клиентов с различными девайсам у которых вырезан протокол ppptp) да и хотелось бы полностью перейти на OpenVPN

Код: Выделить всё

dev               tun
local             178.X.X.X
port              1194
proto             udp

server            192.168.20.0 255.255.255.0

push              "route 10.0.0.0 255.0.0.0"
push		  "route 192.168.15.0 255.255.255.0"

#push "redirect-gateway def1 bypass-dhcp"
client-config-dir ccd
client-to-client
tls-server

status           /var/log/openvpn-status.log
dh                /usr/local/etc/openvpn/dh2048.pem
ca                /usr/local/etc/openvpn/CA_cert.pem
cert              /usr/local/etc/openvpn/certs/server.pem
key               /usr/local/etc/openvpn/keys/server.pem
crl-verify        /usr/local/etc/openvpn/crl/crl.pem
tls-auth          /usr/local/etc/openvpn/ta.key 0

comp-lzo
keepalive         10 120
tun-mtu           1500
mssfix            1450
persist-key
persist-tun
user              root
group             wheel
verb              3
duplicate-cn

user100
проходил мимо

OpenVPN и маршруты

Непрочитанное сообщение user100 » 2021-10-29 8:56:50

Добрый день!
(Или так поставить длинк)

Можно и с ovpn. Эта схема с использованием arp протокола называется proxy-arp.
- http://xgu.ru/wiki/Proxy_ARP
- https://subscription.packtpub.com/book/ ... /proxy-arp
- https://ocserv.gitlab.io/www/recipes-oc ... ridge.html
- https://forums.openvpn.net/viewtopic.php?t=8381
- https://zhjwpku.com/assets/pdf/openvpn-2-cookbook.pdf
- https://interface31.ru/tech_it/2020/03/ ... rotik.html

Самое главное правильно продумать адресацию сетей.