Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://www.debian.pl/

Zestawienie tunelu mi

https://www.debian.pl/viewtopic.php?t=21486

Strona 1 z 9

Zestawienie mostu OpenVPN między dwoma sieciami LAN

: 04 stycznia 2011, 20:11
autor: PioDer
Dobry wieczór.
Od pewnego czasu przeszukuję Internet z pomocą Google i nie udało się uzyskać satysfakcjonującej dla mnie odpowiedzi.
Chcę uruchomić tunel między dwiema sieciami LAN. Problem jest taki, że komputery z obu sieci mają się widzieć. Drugi to taki, że jedna sieć jest już raz za NAT-em. Do utworzenia połączenia dysponuję następującym sprzętem:
  1. Serwer za podwójnym NAT-em, zmienne IP zewnętrzne.
  2. Serwer, dostępny od sieci Internet, zmienne IP zewnętrzne.
Obydwie maszyny pracują pod kontrolą Debiana Squeeze. Czy dałoby się to jakoś połączyć? Jest to realne?
Z góry dziękuję za odpowiedzi.

: 04 stycznia 2011, 22:34
autor: xmaster
Zainteresuj się pakietem OpenVPN

: 04 stycznia 2011, 23:13
autor: PioDer
Dziękuję za zainteresowanie oraz propozycję. Czy serwer OpenVPN powinien być uruchomiony na maszynie ze statycznym zewnętrznym IP? Jak miałbym udostępnić ruch pomiędzy obydwoma sieciami lokalnymi? Jest dobra dokumentacja po polsku?
Pozdrawiam

: 05 stycznia 2011, 23:00
autor: Ister
Jak dla mnie robisz tak:
Serwer VPN stawiasz na serwerze ze statycznym IP
Udostępniasz tunele dla dwóch pozostałych komputerów, umieszczając je w tej samej sieci lokalnej (definiujesz to na etapie tworzenia konfiguracji tunelu)
Powinno działać (komputery powinny się widzieć).
Jeśli każdy z tych serwerów ma dodatkowo udostępniać to połączenie gdzieś dalej, to musisz na tych serwerach skonfigurować odpowiedni routing.

: 05 stycznia 2011, 23:38
autor: PioDer
Właśnie zauważyłem, że do serwera OpenVPN można podłączyć się po nazwie hosta. Eliminuje to użycie trzeciego serwera, dlatego chciałbym zestawić najprostszy most między dwoma sieciami lokalnymi. Może macie jakieś ciekawe pomysły jak to zrobić? Od 3 godzin pracuję nad tym.

: 06 stycznia 2011, 15:02
autor: Cyphermen
Poszukaj na stronie OpenVPN czegoś o vpn site-to-site.


tutaj przykład z jakiejś strony.

Kod: Zaznacz cały

Server.Conf
------------
port 1193
proto udp
dev tun

ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key  # This file should be kept secret

dh /etc/openvpn/keys/dh1024.pem

server 10.88.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.1.0 255.255.255.0"

client-config-dir ccd
route 10.0.3.0 255.255.255.0

client-to-client
push "route 10.0.3.0 255.255.255.0"

keepalive 10 120

comp-lzo
user nobody
group nobody
persist-key
persist-tun

status openvpn-status.log
log         openvpn.log
verb 4
mute 10


Client conf
-----------
client
dev tun
proto udp
remote myvpnserver.dyndns.org 1193
resolv-retry infinite
nobind

persist-key
persist-tun

ca /etc/openvpn/ca.crt
cert /etc/openvpn/afm3tserver.crt
key /etc/openvpn/afm3tserver.key

comp-lzo
verb 4
mute 10
------------

: 06 stycznia 2011, 16:53
autor: PioDer
Dziękuję za zainteresowanie tematem.
Czy konfiguracja ze strony http://www.itsatechworld.com/2006/01/29 ... e-openvpn/ oraz http://openvpn.net/index.php/open-sourc ... dging.html da mi zamierzony efekt? (tzn. komputery z jednej podsieci będą widzieć komputery z drugiej podsieci). Do konfiguracji serwera OpenVPN dopisałem jeszcze linijkę client-to-client. Jak skończę konfigurować drugiego klienta (druga podsieć) to dam znać. Obydwie podsieci są na jednym zakresie, z tym, że używają innych końcówek (pierwsza: 1-99, druga: 100-199)

: 06 stycznia 2011, 18:32
autor: Cyphermen
Tzn. podzieliłeś je maską podsieci?

Ja osobiście bym na twoim miejscu użył różnych podsieci i tak nawet zaleca twórca OpenVPN. Co prawda, podsieć 192.168.0.0 podzielona maską 25 bitową daje nam 2 różne sieci ale dla pewności użyłbym np. 192.168.0.0 i 192.168.1.0

: 06 stycznia 2011, 19:16
autor: Ister
Wspólna numeracja niesie za sobą same problemy i żadnych korzyści. Żeby połączyć się ze sobą, komputery z podsieci i tak muszą przejść przez węzły, jakimi są serwery połączone ze sobą tunelem. Posługując się różnymi podsieciami wymuszamy przejście przez pierwszy (bliższy) serwer, na którym oczywiście ustalamy routing tak, aby ruch na drugą z podsieci był w całości przekierowywany na drugi (dalszy) serwer. Forwardując cały ruch powodujemy, że przejście przez serwery jest przezroczyste i komputery zachowują się, jakby były w tej samej podsieci.

: 06 stycznia 2011, 19:27
autor: PioDer
Rozumiem. Mnie chodziło o takie rozwiązanie, że rzekomy most działałby jak przełącznik między sieciami lokalnymi. A do tego (z tego, co przeczytałem) jest potrzebna ta sama podsieć (m. in wikibooks http://pl.wikibooks.org/wiki/Sieci:Linu ... nfiguracja).
Strefa czasowa UTC+02:00
Strona 1 z 9

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl