VPN - konfiguracja po

[jagrok]

Witajcie.
Od kilku tygodni próbuję znaleźć rozwiązanie aby stworzyć sieć opartą na VPN, działającą jak ta na załączonym obrazku.

Będę wdzięczny jeśli znajdzie się osoba, która pomoże mi znaleźć rozwiązanie aby taką sieć uruchomić.

Zaobserwowałem podobny tryb pracy sieci u siebie w pracy (pracujące na HUB, SPOKE Cisco), wpadłem na pomysł aby wszystkie swoje domowe lokalizacje połączyć w bardzo podobny sposób.

Poniżej sieć w jaki sposób to funkcjonuje.

Poniżej sieć w jaki sposób chciałbym aby to funkcjonowało.

Chodzi o to aby klient z dowolnego miejsca na świecie połączony z głównym serwerem VPN miał dostęp do klientów VPN jak i do sieci bazującej.

[jagrok]

Witam? Czy ktoś jest w stanie pomóc ?

[piroaa]

Są obrazki jest plus, ale tak na nie patrze i nie bardzo wiem o co chodzi?
I co to jest sieć bazująca?

[jagrok]

Generalnie chce zrobić to tak:
każdy Router na którym będzie pracować VPN w trybie klienta ma swój adres IP lokalny 192.168.0.1 (1 lokalizacja ma IP 10.10.0.1; 3 lokalizacja ma IP 10.14.0.1)
urządzenia wpięte do tego rutera będą miały ustawione na sztywno lub przez DHCP adresy IP z puli 192.168.0.2-254.

Teraz chcę zrobić tak, że łącząc się z VPN serwerem z dowolnego miejsca na świecie będę mógł dostać się do każdego urządzenia nie po adresach lokalnych lecz po adresach VPN.
Czyli 192.168.0.2-254 ma swój odpowiednik (1 lokalizacja 10.10.0.2-254; 3 lokalizacja 10.14.0.2-254).

Wiadomo, że można rutować sobie żeby widział sieci 192.168.x.x ale wtedy każdą lokalizację musiałbym zrobić na innej podsieci (tak jednak nie chc[bę[/b], chcę mieć zawsze taki sam schemat).

Na takim produkcie działam ale na urządzeniach Cisco Series 800 gdzie niestety nie mam dostępu żeby spojrzeć jak to mniej więcej działa. Jaki protokół został zastosowany, jednak skoro jest to możliwe na Cisco to pewnie na ruterach bazujących na Linuksie i jakimś VPS-ie można będzie coś takiego osiągnąć.

Można by było zrobić też tak, że rutery są jednocześnie serwerami i klientami.

W momencie gdy klient (ruter) by nawiązał połączenie z HUB-em, dostałby jakiś tam adres IP.
Wtedy można by było próbować się łączyć na serwer tego rutera i mieć wtedy dostęp dalej do sieci.

Jednak robić tunel w tunelu to chyba przesada i do końca nie wiem czy możliwe to w praktyce do zrealizowania.

Mam nadzieję, że to coś pomoże nakreślić zamysł, który chcę zrealizować.

[piroaa]

Cześć.
Czyli jak dobrze kombinuje w sieci jeden masz klienta 192.168.0.10 jednak łącząc się przez serwer VPN ze świata chcesz się do niego dostać wpisując IP 10.10.0.10. Natomiast wpisując IP 10.14.0.10 chcesz się dobrać do klienta IP 192.168.0.10 ale znajdującego się w lokalizacji 3.
No bo jeśli dobrze zrozumiałem to powiem szczerze że nie bardzo wiem jak coś takiego sensownie osiągnąć jedyne co mi do głowy przychodzi to dodawanie dwóch adresów IP dla każdego klienta 192.168.0.10 oraz 10.14.0.10 no i wtedy mogło by to zadziałać.

[jagrok]

Bardzo dobrze zrozumiałeś - dokładnie o takie rozwiązanie mi chodzi.

Przypisanie dwóch adresów IP jak ty sobie to wyobrażasz?
Wiem, że w przełącznikach zarządzalnych podobno można tak robić, nigdy tego nie robiłem bo aż tak głęboko w tym nie siedziałem.

Konfiguracja, na której opieram tą konfigurację, to konfiguracja gdzie komputery mają statyczny adres IP - ale z puli lokalnej, w puli VPN robi to SPOKE Cisco Series 800.

[piroaa]

Ano tak :

Kod: Zaznacz cały

 root@laptop:~# ip addr add 10.14.0.10/24 dev ath0
 root@laptop:~# ip addr show ath0
2: ath0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000
    link/ether 00:15:af:85:1f:8a brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.11/24 brd 192.168.0.255 scope global ath0
    inet 10.14.0.10/24 scope global ath0
    inet6 fe80::215:afff:fe85:1f8a/64 scope link 
       valid_lft forever preferred_lft forever

Na windowskie też można.
Minus tego rozwiązania taki że nie da się tego osiągnąć z DHCP przynajmniej tak czytałem, tak że na każdym hoscie czeka cie zabawa ręczna.
Jak by nie patrzeć routing i tak będziesz musiał do tego wpakować coś jak :

Kod: Zaznacz cały

 root@laptop:~# ip route add 10.0.0.0/8 via 10.14.0.1
 root@laptop:~# ip r
default via 192.168.0.1 dev ath0 
10.0.0.0/8 via 10.14.0.1 dev ath0 
10.14.0.0/24 dev ath0  proto kernel  scope link  src 10.14.0.10 
192.168.0.0/24 dev ath0  proto kernel  scope link  src 192.168.0.11 
 root@laptop:~# 

I teoretycznie powinno to to działać tak jak sobie wymarzyłeś, czy na pewno to nie wiem sprawdź . Lokalnie będziesz się mógł komunikować po adresach z puli 192.168.0.0/24 zawsze te same niezależnie od lokalizacji oraz w bonusie po 10.10.0.0/24 tutaj zależnie od lokalizacji 10.10 do 10.14 a w przypadku połączenia się przez VPN tylko po 10.0.0.0/24
Jak nic nie pokręciłem to powinno to tak działać choć powiem ci szczerze że ja bym tego tak nie zrobił za dużo kombinacji, dał bym po prostu w każdej lokalizacji inną pulę adresową i rutował bym między lokalizacjami czyli tak jak bozia przykazała.
Pozdrawiam.

[jagrok]

Fajna podpowiedź jednak np. na takich urządzeniach jak TV, odtwarzacze - już tego nie zrobisz.
Musiałbyś z poziomu rutera jakoś dopisać dowiązanie IP.

Inaczej sobie tego nie wyobrażam.

Wiem, że routing między lokalizacjami to jakieś rozwiązanie, jednak przydałoby się dowiedzieć jak to się robi bo możliwe, że to nie kwestia openVPN, a może IPSec. Bo z tego co wiem konfiguracja, na której miałem/mam okazję pracować działa na IpSec.

[piroaa]

No to Ja innego pomysłu nie mam jak to zrobić. Wydaje mi się że jaki byś tunel nie zestawił, to zawsze musisz mieć rozwiązaną komunikację w warstwie trzeciej. Wszystkie tunele idą w warstwach wyższych.
Mogę oczywiście nie mieć racji Jakbyś wykombinował jak to zrobić inaczej daj znać, chętnie się dowiem czegoś nowego.
Pozdrawiam.

[Cyphermen]

routing musi być między sieciami ale jeśli chcesz tylko po adresach wirtualnych sie poruszać to zawsze na iptables możesz odpowiednie reguły napisać.