 Вопросик по OpenVPN,  rezl, 04-Июн-19, 10:34 [смотреть все]Добрый день.
Есть некий сервер на centos'е, на котором настроен openvpn в качестве сервера.
Есть удаленный хост с pfsense, который работает в качестве клиента по openvpn. За удаленной стороной сеть 192.168.50.0/24. В принципе, оно все работает, у меня вопрос по теории, т.к. настраивалось не мной и я бы хотел это понять для себя.
На сервере для туннеля указана сеть 10.0.0.0 255.255.255.0
Когда я смотрю инфу о настройках интерфейсов на сервере, то вижу интерфейс tun0 с такой инфой:
tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
link/none
inet 10.0.0.1 peer 10.0.0.2/32 scope global tun0а когда смотрю таблицу маршрутизации, то вижу следующее:
192.168.50.0/24 via 10.0.0.2 dev tun0
10.0.0.0/24 via 10.0.0.2 dev tun0
10.0.0.2 dev tun0 proto kernel scope link src 10.0.0.1 В связи с этим, у меня возникает вопрос.
А что за адреса такие 10.0.0.1 и 10.0.0.2, которые фигурируют на сервере и чем они отличаются друг от друга? Судя по таблице маршрутизации, 10.0.0.2 - это по идеи туннельный адрес, раз фигурирует в качестве шлюза для доступа к удаленной сети 192.168.50.0/24, но что тогда за адрес 10.0.0.1 ? p.s. Если смотреть на удаленном pfsense, с которым я еще не разбирался, то там вроде фигурируют адреса 10.0.0.5 и 10.0.0.6
|
- Вопросик по OpenVPN, rezl, 11:39 , 04-Июн-19 (1)
даже попробую предположить (тут начинаются мои фантазии)
10.0.0.1 - допустим, это адрес, который берет себе некий "виртуальный" сервер, который отвечает за раздачу адрес в туннеле из пула 10.0.0.0/24
10.0.0.2 - этот адрес этот "виртуальный" сервер выдает туннельному интерфейсу на ближней стороне.
Но тогда возникает вопрос, а что тогда за адреса 10.0.0.5 и 10.0.0.6, которые фигурируют на удаленной стороне? Формально, если зайти на pfsense на удаленной стороне, то в статусе openvpn адрес 10.0.0.6 будет обозначен, как виртуальный, т.е. по идеи по этому адресу через туннель можно попасть на клиента openvpn. Тогда возникает вопрос, а что же такое адрес 10.0.0.5 ? Он по таблице маршрутов висит на некоем интерфейсе ovpnc2.
- Вопросик по OpenVPN, StreSS.t, 18:11 , 04-Июн-19 (2)
- Вопросик по OpenVPN, rezl, 22:27 , 04-Июн-19 (3)
Вот вроде и спросил нормально... и частично что-то понимаю, а один хрен в ответ, как обычно, посылают на 3 буквы. Печалька, что сказать.
- Вопросик по OpenVPN, StreSS.t, 22:54 , 04-Июн-19 (4)
Вроде нормально ответил и ссылку привел. И осталось всего лишь сложить то что есть и то что должно быть.
- Вопросик по OpenVPN, Аноним, 09:51 , 05-Июн-19 (5)
> Вот вроде и спросил нормально... и частично что-то понимаю, а один хрен При подключении выдается подсеть /30 на 4 адреса для КАЖДОГО клиента из оговоренного пула.
Соответственно, каждому клиенту - своя такая подсеть.
Это один из трех возможных вариантов, который работоспособен в 99 процентах случаев. Другие варианты описаны тут - https://community.openvpn.net/openvpn/wiki/Topology > в ответ, как обычно, посылают на 3 буквы. Печалька, что сказать. Не на три буквы, а к официальной документации.
Надо голову включить и почитать. Понимаю, думать мы не привыкли, но иногда надо себя заставлять.
- Вопросик по OpenVPN, Andrey, 11:08 , 05-Июн-19 (6)
> Вот вроде и спросил нормально... и частично что-то понимаю, а один хрен
> в ответ, как обычно, посылают на 3 буквы. Печалька, что сказать. В исходном вопросе написано что tun0 имеет IP 10.0.0.1. Ответный адрес 10.0.0.2.
По таблице маршрутизации вся сетка 10.0.0.0/24 находится за устройством с 10.0.0.2, который доступен через tun0 с src 10.0.0.1. Естественно будут посылать читать документацию к продукту.
Хотя начинать надо было с фундаментальных основ - IP адреса, маски, подсети, маршруты. А "на 3 буквы" - это рефлексия. Отдыхать надо и относиться к жизни проще.
|
Версия для распечатки
