Zestawienie tunelu mi

Masz problemy z siecią bądź internetem? Zapytaj tu
PioDer
Posty: 47
Rejestracja: 20 czerwca 2009, 12:37

Zestawienie mostu OpenVPN między dwoma sieciami LAN

Post autor: PioDer »

Dobry wieczór.
Od pewnego czasu przeszukuję Internet z pomocą Google i nie udało się uzyskać satysfakcjonującej dla mnie odpowiedzi.
Chcę uruchomić tunel między dwiema sieciami LAN. Problem jest taki, że komputery z obu sieci mają się widzieć. Drugi to taki, że jedna sieć jest już raz za NAT-em. Do utworzenia połączenia dysponuję następującym sprzętem:
  1. Serwer za podwójnym NAT-em, zmienne IP zewnętrzne.
  2. Serwer, dostępny od sieci Internet, zmienne IP zewnętrzne.
Obydwie maszyny pracują pod kontrolą Debiana Squeeze. Czy dałoby się to jakoś połączyć? Jest to realne?
Z góry dziękuję za odpowiedzi.
Awatar użytkownika
xmaster
Junior Member
Posty: 558
Rejestracja: 13 stycznia 2009, 08:19
Lokalizacja: /dev/piotrków tryb.

Post autor: xmaster »

Zainteresuj się pakietem OpenVPN
PioDer
Posty: 47
Rejestracja: 20 czerwca 2009, 12:37

Post autor: PioDer »

Dziękuję za zainteresowanie oraz propozycję. Czy serwer OpenVPN powinien być uruchomiony na maszynie ze statycznym zewnętrznym IP? Jak miałbym udostępnić ruch pomiędzy obydwoma sieciami lokalnymi? Jest dobra dokumentacja po polsku?
Pozdrawiam
Ister
Junior Member
Posty: 566
Rejestracja: 05 marca 2009, 12:42

Post autor: Ister »

Jak dla mnie robisz tak:
Serwer VPN stawiasz na serwerze ze statycznym IP
Udostępniasz tunele dla dwóch pozostałych komputerów, umieszczając je w tej samej sieci lokalnej (definiujesz to na etapie tworzenia konfiguracji tunelu)
Powinno działać (komputery powinny się widzieć).
Jeśli każdy z tych serwerów ma dodatkowo udostępniać to połączenie gdzieś dalej, to musisz na tych serwerach skonfigurować odpowiedni routing.
PioDer
Posty: 47
Rejestracja: 20 czerwca 2009, 12:37

Post autor: PioDer »

Właśnie zauważyłem, że do serwera OpenVPN można podłączyć się po nazwie hosta. Eliminuje to użycie trzeciego serwera, dlatego chciałbym zestawić najprostszy most między dwoma sieciami lokalnymi. Może macie jakieś ciekawe pomysły jak to zrobić? Od 3 godzin pracuję nad tym.
Cyphermen
Beginner
Posty: 426
Rejestracja: 24 maja 2009, 10:56
Lokalizacja: cze-wa

Post autor: Cyphermen »

Poszukaj na stronie OpenVPN czegoś o vpn site-to-site.


tutaj przykład z jakiejś strony.

Kod: Zaznacz cały

Server.Conf
------------
port 1193
proto udp
dev tun

ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key  # This file should be kept secret

dh /etc/openvpn/keys/dh1024.pem

server 10.88.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.1.0 255.255.255.0"

client-config-dir ccd
route 10.0.3.0 255.255.255.0

client-to-client
push "route 10.0.3.0 255.255.255.0"

keepalive 10 120

comp-lzo
user nobody
group nobody
persist-key
persist-tun

status openvpn-status.log
log         openvpn.log
verb 4
mute 10


Client conf
-----------
client
dev tun
proto udp
remote myvpnserver.dyndns.org 1193
resolv-retry infinite
nobind

persist-key
persist-tun

ca /etc/openvpn/ca.crt
cert /etc/openvpn/afm3tserver.crt
key /etc/openvpn/afm3tserver.key

comp-lzo
verb 4
mute 10
------------
PioDer
Posty: 47
Rejestracja: 20 czerwca 2009, 12:37

Post autor: PioDer »

Dziękuję za zainteresowanie tematem.
Czy konfiguracja ze strony http://www.itsatechworld.com/2006/01/29 ... e-openvpn/ oraz http://openvpn.net/index.php/open-sourc ... dging.html da mi zamierzony efekt? (tzn. komputery z jednej podsieci będą widzieć komputery z drugiej podsieci). Do konfiguracji serwera OpenVPN dopisałem jeszcze linijkę client-to-client. Jak skończę konfigurować drugiego klienta (druga podsieć) to dam znać. Obydwie podsieci są na jednym zakresie, z tym, że używają innych końcówek (pierwsza: 1-99, druga: 100-199)
Cyphermen
Beginner
Posty: 426
Rejestracja: 24 maja 2009, 10:56
Lokalizacja: cze-wa

Post autor: Cyphermen »

Tzn. podzieliłeś je maską podsieci?

Ja osobiście bym na twoim miejscu użył różnych podsieci i tak nawet zaleca twórca OpenVPN. Co prawda, podsieć 192.168.0.0 podzielona maską 25 bitową daje nam 2 różne sieci ale dla pewności użyłbym np. 192.168.0.0 i 192.168.1.0
Ister
Junior Member
Posty: 566
Rejestracja: 05 marca 2009, 12:42

Post autor: Ister »

Wspólna numeracja niesie za sobą same problemy i żadnych korzyści. Żeby połączyć się ze sobą, komputery z podsieci i tak muszą przejść przez węzły, jakimi są serwery połączone ze sobą tunelem. Posługując się różnymi podsieciami wymuszamy przejście przez pierwszy (bliższy) serwer, na którym oczywiście ustalamy routing tak, aby ruch na drugą z podsieci był w całości przekierowywany na drugi (dalszy) serwer. Forwardując cały ruch powodujemy, że przejście przez serwery jest przezroczyste i komputery zachowują się, jakby były w tej samej podsieci.
PioDer
Posty: 47
Rejestracja: 20 czerwca 2009, 12:37

Post autor: PioDer »

Rozumiem. Mnie chodziło o takie rozwiązanie, że rzekomy most działałby jak przełącznik między sieciami lokalnymi. A do tego (z tego, co przeczytałem) jest potrzebna ta sama podsieć (m. in wikibooks http://pl.wikibooks.org/wiki/Sieci:Linu ... nfiguracja).
ODPOWIEDZ