Raspberry VPN eth0 i eth1

Krajan · Post autor: **Krajan** » 23 sierpnia 2015, 08:55

Witam, na dniach chciałbym postawić serwer VPN na Raspberry Pi u teścia na stacji paliw. ma internet DSL na kamery (eth0 10.0.0.1) oraz internet LTE (eth1 192.168.1.1) chciałbym obydwa interfejsy podpiąć pod Maline i sterować nimi za pomocą VPN. Ustawię zatem dla każdej z kart sieciowych odpowiednie stałe ip wew. i później jak skonfigurować open VPN ? macie może jakies doświadczenie juz z takim tematem ?

Post autor: **pawkrol** » 23 sierpnia 2015, 18:22

Po pierwsze. Czy ma publiczne ip ?
Jaka jest adresacja sieci wewnętrznej ( 10.0.0.0) ?
192.168.1.1 - To jest twój wan ?
Internet DSL , internet LTE - Napisz jak ma to wszystko spięte.

Po prostu opisz dokładnie topologię sieci.

Krajan · Post autor: **Krajan** » 23 sierpnia 2015, 21:09

są dwa routery dwa switche w szafie rack.

eth0 - 192.168.1.1 - router HUAWEI z ORANGE LTE z zew stalym ip. jest podpiety pod switch i rozdzielony na klientow
eth1 - 10.0.0.1 - router COMTREND - z ORANGE DSL z zew stalym ip. jest podpiety rowniez pod switch i rozdzielony na kllientow

chodzi o to zeby raspbery wpiac do jednego i drugiego switcha na raz aby uzyskac dostep przez VPN do jednej i drugiej sieci

Post autor: **pawkrol** » 23 sierpnia 2015, 23:35

1. eth0 i eth1 to adresacje od strony lan?
2. Obie te sieci są od siebie odseparowane? Znaczy się te dwa switche nie są ze sobą spięte.
3. Jeśli te sieci są odseparowane to czy mogą być spięte razem.
4. Masz dwa rpi czy chcesz to załatwić jednym.

Krajan · Post autor: **Krajan** » 23 sierpnia 2015, 23:49

pawkrol pisze:1. eth0 i eth1 to adresacje od strony lan?
2. Obie te sieci są od siebie odseparowane? Znaczy się te dwa switche nie są ze sobą spięte.
3. Jeśli te sieci są odseparowane to czy mogą być spięte razem.
4. Masz dwa rpi czy chcesz to załatwić jednym.

1. Proszę jaśniej

eth0 eth1 ja nadal em operacyjnie teraz na forum
23.. Totalnie odseparowane ale istnieje możliwość połączenia ich patchcordow.
4 właśnie założenie jest takie żeby ogarnąć to jednym

Post autor: **pawkrol** » 24 sierpnia 2015, 07:47

Proszę jaśniej eth0 eth1 ja nadal em operacyjnie teraz na forum

Czy są to adresacje od strony lanu klientów (192.168.0.0/24 10.0.0.0/24)

Ja to widzę tak:

1. Łączysz obie sieci. (spinasz switche)
2. RPI będzie wtedy wpięte do dowolnego switcha, Nadajesz mu adresację z obu sieci np poprzez alias na interfejsie (przypisujesz mu dwa adresy).
3. Na rpi ustawisz bramę domyślną na jeden z routerów, oraz włączasz forward pakietów.
4. Na owym routerze robisz przekierowanie portu na rpi. Port zleży od Twojej konfiguracji openvpn z reguły jest to udp 1194.
5. Konfiguracja openvpn raczej standardowa (client-to site). Uwierzytelnianie wedle uznania (klucz statyczny lub certyfikat)
6. Najlepiej na rpi zrobić jeszcze SNAT na każdy adres który przypisałeś do rpi coś ala :

Kod: Zaznacz cały

iptables -t nat -A POSTROUTING -s 172.16.0.0/24 -d 192.168.0.0/24 -o eth0 -j SNAT --to-source 192.168.0.10

Gdzie:
172.16.0.0 - sieć tunelowa (tworzona przez openvpn) - adresacja zalezy od Twojej konfiguracji
192.168.0.0 - docelowa sieć pakietów vpn
192.168.0.10 - przykładowy pierwszy adres, który przypisałeś rpi.
Tak samo musiałbyś zrobić dla sieci 10.0.0.0

Z SNATEM chodzi o to, żebyś nie musiał bawić się w routing pakietów między routerami. Bo każdy obsługuje tylko "swoją" sieć.

Post autor: **LordRuthwen** » 24 sierpnia 2015, 08:28

Jeżeli ma switche zarządzane to ja bym to jednak zrobił na vlanach, ze względów bezpieczeństwa (brak dostępu do sieci monitoringu z sieci firmowej i odwrotnie).

Post autor: **pawkrol** » 24 sierpnia 2015, 08:54

Masz rację. Też bym oparł to o vlan. Zważywszy, że nie ma problemu, aby rpi obsługiwał tagowane ramki.
Założyłem natomiast że nie ma.