OpenVPN и маршруты
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
- fosterx
- рядовой
- Сообщения: 17
- Зарегистрирован: 2015-05-16 0:57:46
- Откуда: СПБ
OpenVPN и маршруты
Всем привет! Прошу помощи в решении вопроса (проблемы)
Есть шлюз на FreeBSD 12
Один к провайдеру 178.X.X.X (соответственно дефаулт ветвей прова) rl0
Второй интерфейс смотрит в локалку 192.168.1.1 re0
есть интерфейс 192.168.20.1 tun0 (OpenVPN юзеры)
Еще есть дополнительный хост с адресом 192.168.100.1 который смотрит в локалку re0 (192.168.1.1) за адресом 192.168.100.1 есть хост 192.168.230.1 на шлюзе у меня прописан маршрут route add 192.168.230.1 192.168.100.1 Вся локалка re0 видит этот хост.
Проблема с подключенными пользователями OpenVPN с адресами 192.168.20.2 ,3,4 И так далее
Как сделать что бы юзеры OpenVPN могли обращаться к этому хосту 192.168.230.1?
Прописать маршрут на хосте 192.168.100.1 не представляется возможным
Поставить третью карту с адресом 192.168.100.2 и поднять второй нат? Но как завернуть VPN юзеров именно на 192.168.100.1?
Есть шлюз на FreeBSD 12
Один к провайдеру 178.X.X.X (соответственно дефаулт ветвей прова) rl0
Второй интерфейс смотрит в локалку 192.168.1.1 re0
есть интерфейс 192.168.20.1 tun0 (OpenVPN юзеры)
Еще есть дополнительный хост с адресом 192.168.100.1 который смотрит в локалку re0 (192.168.1.1) за адресом 192.168.100.1 есть хост 192.168.230.1 на шлюзе у меня прописан маршрут route add 192.168.230.1 192.168.100.1 Вся локалка re0 видит этот хост.
Проблема с подключенными пользователями OpenVPN с адресами 192.168.20.2 ,3,4 И так далее
Как сделать что бы юзеры OpenVPN могли обращаться к этому хосту 192.168.230.1?
Прописать маршрут на хосте 192.168.100.1 не представляется возможным
Поставить третью карту с адресом 192.168.100.2 и поднять второй нат? Но как завернуть VPN юзеров именно на 192.168.100.1?
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- проходил мимо
OpenVPN и маршруты
Привет, начни с того, что скажи, какой дефолт у 192.168.100.1 ?
И нарисуй схему, так проще будет воспринимать. Для этого они были и придуманы)
И нарисуй схему, так проще будет воспринимать. Для этого они были и придуманы)
- fosterx
- рядовой
- Сообщения: 17
- Зарегистрирован: 2015-05-16 0:57:46
- Откуда: СПБ
OpenVPN и маршруты
Дефолт у 100.1 не известен. Это другая (закрытая) сеть. В мою сторону просто смотрит интерфейс 192.168.100.1
Админ этого сервака рекомендует поднять нат и все заработает.
Админ этого сервака рекомендует поднять нат и все заработает.
- fosterx
- рядовой
- Сообщения: 17
- Зарегистрирован: 2015-05-16 0:57:46
- Откуда: СПБ
OpenVPN и маршруты
совсем забыл, у этого сервака на интерфейсе 192.168.100.1 висит алиас 192.168.1.225
Админ отказывается прописывать маршруты и говорит про нат(
Админ отказывается прописывать маршруты и говорит про нат(
- fosterx
- рядовой
- Сообщения: 17
- Зарегистрирован: 2015-05-16 0:57:46
- Откуда: СПБ
OpenVPN и маршруты
Так как мне второй нат поднять специально для 20-ой подсети и только при обращении на 192.168.15.230?
-
- проходил мимо
OpenVPN и маршруты
В твоей ситуации, наиболее простое, что приходит на ум - это где-то в локальной сети поднять ВМ(с адресом 192.168.100.2) с gw(192.168.100.1)+НАТ и с другой стороны твоя сеть 192.168.ххх.ххх. ВМ можно поднять на одном физическом интерфейсе с 2-я VLAN.
А дальше пропишешь маршрут на впн-сервере через 192.168.100.2 на нужную сеть, а на ВМ(с адресом 192.168.100.2) обратный маршрут, на сеть впн-юзеров через внутренний ip-адрес впн-сервака.
А дальше пропишешь маршрут на впн-сервере через 192.168.100.2 на нужную сеть, а на ВМ(с адресом 192.168.100.2) обратный маршрут, на сеть впн-юзеров через внутренний ip-адрес впн-сервака.
- fosterx
- рядовой
- Сообщения: 17
- Зарегистрирован: 2015-05-16 0:57:46
- Откуда: СПБ
OpenVPN и маршруты
Второй сервак поднять к сожалению не представляется возможным( Я бы даже обычный роутер поставил (какой нибудь дэлинк)
Другой вопрос:
Могу ли я использовать для OpenVPN адресацию такую же как у интерфейса re0? Ведь когда я поднял mpd5 с такой же адресацией как на ифейсе rl0 с указанием сервера mpd 192.168.1.1 и выделением несколько айпи из этой сети для клиентов - все заработало! и все хосты стали доступны. Но использовать mpd не подходит (много клиентов с различными девайсам у которых вырезан протокол ppptp) да и хотелось бы полностью перейти на OpenVPN
Другой вопрос:
Могу ли я использовать для OpenVPN адресацию такую же как у интерфейса re0? Ведь когда я поднял mpd5 с такой же адресацией как на ифейсе rl0 с указанием сервера mpd 192.168.1.1 и выделением несколько айпи из этой сети для клиентов - все заработало! и все хосты стали доступны. Но использовать mpd не подходит (много клиентов с различными девайсам у которых вырезан протокол ppptp) да и хотелось бы полностью перейти на OpenVPN
Код: Выделить всё
dev tun
local 178.X.X.X
port 1194
proto udp
server 192.168.20.0 255.255.255.0
push "route 10.0.0.0 255.0.0.0"
push "route 192.168.15.0 255.255.255.0"
#push "redirect-gateway def1 bypass-dhcp"
client-config-dir ccd
client-to-client
tls-server
status /var/log/openvpn-status.log
dh /usr/local/etc/openvpn/dh2048.pem
ca /usr/local/etc/openvpn/CA_cert.pem
cert /usr/local/etc/openvpn/certs/server.pem
key /usr/local/etc/openvpn/keys/server.pem
crl-verify /usr/local/etc/openvpn/crl/crl.pem
tls-auth /usr/local/etc/openvpn/ta.key 0
comp-lzo
keepalive 10 120
tun-mtu 1500
mssfix 1450
persist-key
persist-tun
user root
group wheel
verb 3
duplicate-cn
-
- проходил мимо
OpenVPN и маршруты
Добрый день!
(Или так поставить длинк)
Можно и с ovpn. Эта схема с использованием arp протокола называется proxy-arp.
- http://xgu.ru/wiki/Proxy_ARP
- https://subscription.packtpub.com/book/ ... /proxy-arp
- https://ocserv.gitlab.io/www/recipes-oc ... ridge.html
- https://forums.openvpn.net/viewtopic.php?t=8381
- https://zhjwpku.com/assets/pdf/openvpn-2-cookbook.pdf
- https://interface31.ru/tech_it/2020/03/ ... rotik.html
Самое главное правильно продумать адресацию сетей.
(Или так поставить длинк)
Можно и с ovpn. Эта схема с использованием arp протокола называется proxy-arp.
- http://xgu.ru/wiki/Proxy_ARP
- https://subscription.packtpub.com/book/ ... /proxy-arp
- https://ocserv.gitlab.io/www/recipes-oc ... ridge.html
- https://forums.openvpn.net/viewtopic.php?t=8381
- https://zhjwpku.com/assets/pdf/openvpn-2-cookbook.pdf
- https://interface31.ru/tech_it/2020/03/ ... rotik.html
Самое главное правильно продумать адресацию сетей.