форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[ Отслеживать ]

"VPN непростой конфигурации"

Сообщение от HAN (??) on 28-Авг-08, 00:52

Здравствуйте! Подскажите пожалуйста как можно реализовать с помощью OpenVPN такую конфигурацию Client1----Server1--->Server2------>Internet тоесть выход в Интернет будет идти через второй сервер по частям все получается: 1. Client1 коннектится к Server1 по OpenVPN 2. Server1 коннектится к Server2 по OpenVPN Но вот как "связать" эти отдельные коннекты? пробуем ставить NAT на Server1 - но пакеты не уходят с него на Server2 :( Подскажите пожалуйста что делать? Хотябы схему действий - скрипты и софт уже настроим сами Спасибо!

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "VPN непростой конфигурации"

Сообщение от suslic (??) on 28-Авг-08, 09:36

>[оверквотинг удален] >1. Client1 коннектится к Server1 по OpenVPN >2. Server1 коннектится к Server2 по OpenVPN > >Но вот как "связать" эти отдельные коннекты? пробуем ставить NAT на Server1 >- но пакеты не уходят с него на Server2 :( > >Подскажите пожалуйста что делать? Хотябы схему действий - скрипты и софт уже >настроим сами > >Спасибо! А реализовать так штоб в созданом уже вами тунеле к Серверу 1 вы просто создаету второе vpn подключение к Серверу 2, на Сервере 2 описываете NAT для выхода в интернет. ... но вы должны связыватся из Сервером 2 после создания первого подключения из Сервером 1, а по Вашым словам --- пробуем ставить NAT на Server1 но пакеты не уходят с него на Server2 --- надобы запустить на всех серверах П.С. и не забудте понизить значения MRU MTU на Сервере 2 для подключений vpn ! ато не пройдет трафик со стандартным 1500

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "VPN непростой конфигурации"
	Сообщение от HAN (??) on 28-Авг-08, 13:34
	вот еще подробнее: с Сервера1 соединяемся с Сервером2 и получаем такой интерфейс на Сервере2: tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500         inet 10.8.7.1 --> 10.8.7.2 netmask 0xffffffff         Opened by PID 2177 на Сервере1 получаем такой интерфейс: tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500         inet 10.8.7.10 --> 10.8.7.9 netmask 0xffffffff         Opened by PID 74283 теперь Клиент1 соединяется с Сервером1 и на Сервере1 поднимается еще один интерфейс: tun1: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500         inet 10.8.8.1 --> 10.8.8.2 netmask 0xffffffff         Opened by PID 78220 на Сервере1 запускам NAT natd -p 8672 -n tun0 -log -log_denied тоесть мы его ставим на интерфейс который смотрит на Сервер2 и еще на Сервере1 в файрволе конечно добавляем правило ipfw add 359 divert 8672 all from 10.8.8.1/24 to any via tun1 ipfw add 360 divert 8672 all from any to 10.8.8.1/24 via tun1 это заворачивает пакеты с Клиента1 на NAT на интерфейсе tun0, также в файрволе разрешаем пакеты от подсети 10.8.8.* наружу через интерфейсы tun0/1 пробуем с Клиент1 коннект к почтовому сервису на Сервер2 и NAT нам показывает такое: In  {default}[TCP]  [TCP] 10.8.8.6:4288 -> Сервер2:25 aliased to            [TCP] 10.8.8.6:4288 -> Сервер2:25 In  {default}[TCP]  [TCP] 10.8.8.6:4288 -> Сервер2:25 aliased to            [TCP] 10.8.8.6:4288 -> Сервер2:25 In  {default}[TCP]  [TCP] 10.8.8.6:4288 -> Сервер2:25 aliased to            [TCP] 10.8.8.6:4288 -> Сервер2:25 получается что пакеты не поворачиваются на линию которая идет на Сервер2, а так и вращаются на том интерфейсе куда пришли вот такая "картина маслом" - подскажите что нужно еще править?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "VPN непростой конфигурации"
	Сообщение от Alexander Pytlev on 28-Авг-08, 23:12
	IMHO можно сделать по другому. NAT нужен только на Сервере2, а на Сервере1 и Сервере2 правильно прописать роутинг для клиента. При поднятии VPN на клиенте шлюз по умолчанию - в впн, на Сервере1 всё (или не всё, если нужно) от клиента роутить на Сервер2, на Сервере2 прописать маршрут к клиенту через Сервер1.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "VPN непростой конфигурации"
	Сообщение от HAN (??) on 15-Сен-08, 00:28
	>IMHO можно сделать по другому. NAT нужен только на Сервере2, а на >Сервере1 и Сервере2 правильно прописать роутинг для клиента. При поднятии VPN >на клиенте шлюз по умолчанию - в впн, на Сервере1 всё >(или не всё, если нужно) от клиента роутить на Сервер2, на >Сервере2 прописать маршрут к клиенту через Сервер1. после поднятия всех коннектов такие роуты: на Сервере2: Destination        Gateway            Flags    Refs      Use  Netif Expire default            88.хх.хх.хх        UGS         0 3343724965   bge0 10.8.8/24          10.8.8.2           UGS         0        0   tun1 10.8.8.2           10.8.8.1           UH          1        0   tun1 88.хх.хх.хх/27     link#1             UC          0        0   bge0 ............ на Сервере1: Destination        Gateway            Flags    Refs      Use  Netif Expire default            2хх.ххх.х.ххх      UGS         0  1120190    em0 10.8.7.0/24        10.8.7.2           UGS         0        0   tun0 10.8.7.2           10.8.7.1           UH          1        0   tun0 10.8.8.0/24        10.8.8.1           UGS         0        0   tun1 10.8.8.1           10.8.8.2           UH          1        0   tun1 .............................. на Клиенте1 (winXP): Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика           0.0.0.0          0.0.0.0        10.0.18.1     10.0.18.116       31           0.0.0.0          0.0.0.0         10.8.7.5        10.8.7.6       1         10.0.18.0    255.255.255.0      10.0.18.116     10.0.18.116       30       10.0.18.116  255.255.255.255        127.0.0.1       127.0.0.1       30          10.8.7.0    255.255.255.0         10.8.7.5        10.8.7.6       1          10.8.7.4  255.255.255.252         10.8.7.6        10.8.7.6       30          10.8.7.6  255.255.255.255        127.0.0.1       127.0.0.1       30 .................. пока не могу никак соединить переброску на Сервере1 между 10.8.7.1 и 10.8.8.2 - ведь там эти два сегмента должны связываться - причем дело в том, что не нужно это делать _default_ шлюзом - там на Сервере1 есть свой основной интернет - нужно именно завернуть пакеты которые идут _из_ 10.8.7.0/24, а команда "route add" указывает шлюз для пакетов "куда" тоесть нужно пакеты с 10.8.7.0/24 идущие в интернет завернуть на 10.8.8.2 - натом пробовал - что-то не доходят, толком ведь не могу просмотреть что и куда идет или как еще можно?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "VPN непростой конфигурации"

Сообщение от hattifattener (ok) on 15-Сен-08, 18:05

> >2. Server1 коннектится к Server2 по OpenVPN > Сессии S1->S2 должны подниматься на каждую клиентскую сессию, или может быть одна стабильная? В первом случае придется прикручивать к OpenVPN на S1 через --client-connect скрипт, который поднимает вторую сессию, отдает клиенту default с S2 и бриджит соответствующие интерфейсы; Во втором случае можно поднять между S1 и S2 вечнозеленый туннель с ipsec например, на S1 раздавать OpenVPN некую выделенную сеть, прописать ее статиком на S2 в туннель, а на S1 заворачивать исход с нее в туннель редиректом.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "VPN непростой конфигурации"
	Сообщение от HAN (??) on 15-Сен-08, 23:32
	>> >>2. Server1 коннектится к Server2 по OpenVPN >> > >Сессии S1->S2 должны подниматься на каждую клиентскую сессию, или может быть одна стабильная? пока хотя бы один вариант рабочий, хотя конечно скорее всего между S1 и S2 будет постоянное соединение >В первом случае придется прикручивать к OpenVPN на S1 через --client-connect скрипт, >который поднимает вторую сессию, как это вторую сессию? кого с кем? > отдает клиенту default с S2 так этот новый "дефаулт" не завернет весь траффик с S1 на S2? такое не нужно - там на каждом свои сервисы и цель стоит только вот в соединении VPN-сегментов >и бриджит соответствующие интерфейсы; как это сделать, например, на FreeBSD? >Во втором случае можно поднять между S1 и S2 вечнозеленый туннель с так соединение по VPN между ними осуществляется - это не то? >ipsec например, на S1 раздавать OpenVPN некую выделенную сеть, прописать ее >статиком на S2 в туннель, так вот я и пытаюсь связать концы двух соединений - вот как связать? а на S1 заворачивать исход с >нее в туннель редиректом. ipfw fwd? > >
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "VPN непростой конфигурации"
	Сообщение от hattifattener (ok) on 16-Сен-08, 01:06
	>>и бриджит соответствующие интерфейсы; > >как это сделать, например, на FreeBSD? > sysctl net.link.ether.bridge.config=....... >>Во втором случае можно поднять между S1 и S2 вечнозеленый туннель с > >так соединение по VPN между ними осуществляется - это не то? > то, если оно статично либо самовосстанавливается и адреса не меняются >[оверквотинг удален] >так вот я и пытаюсь связать концы двух соединений - вот как >связать? > >а на S1 заворачивать исход с >>нее в туннель редиректом. > >ipfw fwd? > >> >> на S1: ipfw fwd ip from {vpn_net} to any {tunnel_far_end} или rdr in from <vpn_net> -> $tunnel_far_end на S2: route add -net {vpn_net} {tunnel_near_end}
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]