forum.opennet.ru - "OpenVPN, будет ли работать такая схема?" (14)

"OpenVPN, будет ли работать такая схема?"

Форум Открытые системы на сервере (VPN / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"OpenVPN, будет ли работать такая схема?"	+/–
Сообщение от danswano (?), 04-Июн-24, 14:19
Всем привет. Есть шлюз с прокси и NAT, с одной стороны локалка 192.168.0.0/24 через интерфейс lan0. С другой стороны сеть с интернетом 10.54.0.0/24 через интерфейс ext0. Клиенты из локалки пользуются прокси, отдельные машины работают через NAT для обновления КонсультантаПлюс, например. В локалке есть клиент, которого нужно подключить к сети 10.54.0.0/24, но физически это сделать невозможно. Можно ли такую схему реализовать с OpenVPN на уровне L2? На шлюзе Debian 10, на клиенте - Win10 64-битная.
Ответить \| Правка \| Cообщить модератору

Оглавление

вам нужно раскрыть, что вы понимаете под физической невозможностью ну и как вы , arachnid (ok), 19:25 , 04-Июн-24, (1)

Клиент сейчас сидит на свитче с другими клиентами в сети 192 168 0 0 24, чтобы е, danswano (?), 13:42 , 05-Июн-24, (3)

Свитчи без поддержки VLAN , Andrey (??), 13:51 , 05-Июн-24, (4)

Обычные неуправляемые, danswano (?), 13:53 , 05-Июн-24, (5)

Я правильно понимаю, что вы не знаете что у вас происходит на физическом уровне , Andrey (??), 09:18 , 07-Июн-24, (13)

так, давайте уточним - сеть 192 168 работает через прокси те, кто используют na, arachnid (ok), 14:55 , 05-Июн-24, (6)

До, сеть 192 168 использует прокси В сети 10 54 есть криптошлюз в интернет,наве, danswano (?), 15:07 , 05-Июн-24, (7)

gt оверквотинг удален 11 - это чисто туннельная адресация vipnet-a, она нам не, arachnid (ok), 12:48 , 06-Июн-24, (9)

На linux-шлюзе есть pptpd, к которому могут подключаться клиенты из 192 168, при, danswano (?), 15:35 , 06-Июн-24, (11)

а попробуйте попинговать сам адрес этого ЭОС который должен иметь адрес из прив, arachnid (ok), 16:28 , 07-Июн-24, (14)

если нужен только ip -- то проще простого, на шлюзе ставим pppoe как самый прос, pavel_simple. (?), 07:44 , 05-Июн-24, (2)

Хотелось бы грязных подробностей А то вот без него работает, наверное я что то , _ (??), 17:05 , 05-Июн-24, (8)

Да, вы можете реализовать такую схему с помощью OpenVPN на уровне L2 Для этого , Viktor_1509 (ok), 15:06 , 06-Июн-24, (10)

Может быть, между tap0 и ext0 Между lan0 и ext0 настроен форвардинг средствами , danswano (?), 15:39 , 06-Июн-24, (12)

Сообщения [Сортировка по времени | RSS]

1. "OpenVPN, будет ли работать такая схема?" +/–

Сообщение от arachnid (ok), 04-Июн-24, 19:25

вам нужно раскрыть, что вы понимаете под "физической невозможностью"
ну и как вы представляете себе работу openvpn на канальном уровне? с учетом того, что на этом уровне ip нет

Ответить | Правка | Наверх | Cообщить модератору

3. "OpenVPN, будет ли работать такая схема?" +/–

Сообщение от danswano (?), 05-Июн-24, 13:42

> вам нужно раскрыть, что вы понимаете под "физической невозможностью"
> ну и как вы представляете себе работу openvpn на канальном уровне? с
> учетом того, что на этом уровне ip нет
Клиент сейчас сидит на свитче с другими клиентами в сети 192.168.0.0/24, чтобы его физически переключить, надо ему тянуть отдельный кабель через три этажа. Интернет у клиента есть, но у него еще есть VipNet Client, а внутри VipNet-сети должна работать система электронного документооборота "Дело". Она работает через пень-колоду, нестабильно, а в сети 10.54.0.0 она работает лучше. Что служит причиной - пытаюсь разобраться, поэтому и задумался.

Ответить | Правка | Наверх | Cообщить модератору

4. "OpenVPN, будет ли работать такая схема?" +/–

Сообщение от Andrey (??), 05-Июн-24, 13:51

>> вам нужно раскрыть, что вы понимаете под "физической невозможностью"
>> ну и как вы представляете себе работу openvpn на канальном уровне? с
>> учетом того, что на этом уровне ip нет
> Клиент сейчас сидит на свитче с другими клиентами в сети 192.168.0.0/24, чтобы
> его физически переключить, надо ему тянуть отдельный кабель через три этажа.
> Интернет у клиента есть, но у него еще есть VipNet Client,
> а внутри VipNet-сети должна работать система электронного документооборота "Дело". Она
> работает через пень-колоду, нестабильно, а в сети 10.54.0.0 она работает лучше.
> Что служит причиной - пытаюсь разобраться, поэтому и задумался.
Свитчи без поддержки VLAN?

Ответить | Правка | Наверх | Cообщить модератору

5. "OpenVPN, будет ли работать такая схема?" +/–

Сообщение от danswano (?), 05-Июн-24, 13:53

> Свитчи без поддержки VLAN?
Обычные неуправляемые

Ответить | Правка | Наверх | Cообщить модератору

13. "OpenVPN, будет ли работать такая схема?" +/–

Сообщение от Andrey (??), 07-Июн-24, 09:18

>> Свитчи без поддержки VLAN?
> Обычные неуправляемые
Я правильно понимаю, что вы не знаете что у вас происходит на физическом уровне (ошибки, коллизии и т.д.), но при этом пытаетесь решить проблему программным образом, пробрасывая сегмент сети через среду с неизвестными параметрами, и ожидая что пробрасываемый сегмент будет работать стабильно?
Если нет возможности проверить состояние портов на свитчах и выделить отдельный VLAN, кто мешает проверить работу сети собрав статистику длительным пингом пакетами размером 1500 байт и прогнать iperf между проблемным клиентом и сервером(или до хоста, который наиболее близок к серверу)?
Хотя-бы логи на проблемном хосте посмотрите.

Ответить | Правка | Наверх | Cообщить модератору

6. "OpenVPN, будет ли работать такая схема?" +/–

Сообщение от arachnid (ok), 05-Июн-24, 14:55

>> вам нужно раскрыть, что вы понимаете под "физической невозможностью"
>> ну и как вы представляете себе работу openvpn на канальном уровне? с
>> учетом того, что на этом уровне ip нет
> Клиент сейчас сидит на свитче с другими клиентами в сети 192.168.0.0/24, чтобы
> его физически переключить, надо ему тянуть отдельный кабель через три этажа.
> Интернет у клиента есть, но у него еще есть VipNet Client,
> а внутри VipNet-сети должна работать система электронного документооборота "Дело". Она
> работает через пень-колоду, нестабильно, а в сети 10.54.0.0 она работает лучше.
> Что служит причиной - пытаюсь разобраться, поэтому и задумался.
так, давайте уточним - сеть 192.168 работает через прокси. те, кто используют nat - находятся в другой подсети, для подключения к которой надо тащить кабель, поскольку свичи vlan не поддерживают. так?
еще момент - координатор vipnet находится в интернете? и нет ли пересечений по адресам, которые обслуживает vipnet (и где находится ЭДО) и ваших подсетей?
в общем то ваша идея с openvpn вполне должна работать - а вот поможет ли она вам...

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

7. "OpenVPN, будет ли работать такая схема?" +/–

Сообщение от danswano (?), 05-Июн-24, 15:07

> так, давайте уточним - сеть 192.168 работает через прокси. те, кто используют
> nat - находятся в другой подсети, для подключения к которой надо
> тащить кабель, поскольку свичи vlan не поддерживают. так?
> еще момент - координатор vipnet находится в интернете? и нет ли пересечений
> по адресам, которые обслуживает vipnet (и где находится ЭДО) и ваших
> подсетей?
> в общем то ваша идея с openvpn вполне должна работать - а
> вот поможет ли она вам...
До, сеть 192.168 использует прокси. В сети 10.54 есть криптошлюз в интернет,наверное, с NAT, что там внутри него - неведомо. Координатор доступен в интернете и по каким-то иным адресам, вида 172.21.255.0/24, которые находятся где-то за криптошлюзом. Внутри vipnet используется сеть 11.0.0.0/8, т.е., диапазоны все разные.

Ответить | Правка | Наверх | Cообщить модератору

9. "OpenVPN, будет ли работать такая схема?" +/–

Сообщение от arachnid (ok), 06-Июн-24, 12:48

>[оверквотинг удален]
>> тащить кабель, поскольку свичи vlan не поддерживают. так?
>> еще момент - координатор vipnet находится в интернете? и нет ли пересечений
>> по адресам, которые обслуживает vipnet (и где находится ЭДО) и ваших
>> подсетей?
>> в общем то ваша идея с openvpn вполне должна работать - а
>> вот поможет ли она вам...
> До, сеть 192.168 использует прокси. В сети 10.54 есть криптошлюз в интернет,наверное,
> с NAT, что там внутри него - неведомо. Координатор доступен в
> интернете и по каким-то иным адресам, вида 172.21.255.0/24, которые находятся где-то
> за криптошлюзом. Внутри vipnet используется сеть 11.0.0.0/8, т.е., диапазоны все разные.
11 - это чисто туннельная адресация vipnet-a, она нам не интересна. 172 - это адрес сети внутри самого координатора.
скажите, а если на шлюзе 192 сделать nat для этого единственного адреса в 10.54? собственно, ваша идея о vpn будет работать тем же самым nat-ом. почему вы вообще заговорили о канальном уровне? есть какие-то предпосылки?

Ответить | Правка | Наверх | Cообщить модератору

11. "OpenVPN, будет ли работать такая схема?" +/–

Сообщение от danswano (?), 06-Июн-24, 15:35

> скажите, а если на шлюзе 192 сделать nat для этого единственного адреса
> в 10.54? собственно, ваша идея о vpn будет работать тем же
> самым nat-ом. почему вы вообще заговорили о канальном уровне? есть какие-то
> предпосылки?
На linux-шлюзе есть pptpd, к которому могут подключаться клиенты из 192.168, при этом выдаются адреса вида 172.16.0.х, между этой сетью 172.16.0.0/24 и адресом внешнего интерфейса шлюза 10.54.0.2 устроен NAT и через этот NAT работают все браузеры, почтовые программы и другое. Но это не убирает глюки в "ЭОС Дело", хотя в VipNet-мониторе координатор доступен через свой интернет-IP. А что ему ещё надо, никак не пойму (

Ответить | Правка | Наверх | Cообщить модератору

14. "OpenVPN, будет ли работать такая схема?" +/–

Сообщение от arachnid (ok), 07-Июн-24, 16:28

>> скажите, а если на шлюзе 192 сделать nat для этого единственного адреса
>> в 10.54? собственно, ваша идея о vpn будет работать тем же
>> самым nat-ом. почему вы вообще заговорили о канальном уровне? есть какие-то
>> предпосылки?
> На linux-шлюзе есть pptpd, к которому могут подключаться клиенты из 192.168, при
> этом выдаются адреса вида 172.16.0.х, между этой сетью 172.16.0.0/24 и адресом
> внешнего интерфейса шлюза 10.54.0.2 устроен NAT и через этот NAT работают
> все браузеры, почтовые программы и другое. Но это не убирает глюки
> в "ЭОС Дело", хотя в VipNet-мониторе координатор доступен через свой интернет-IP.
> А что ему ещё надо, никак не пойму (
а попробуйте попинговать сам адрес этого ЭОС (который должен иметь адрес из приватных диапазонов). особенно большими пакетами. кстати, а не требует ли подобная работе внесение изменений в файл hosts? ну и возможно, что стоит написать в ТП ЭОС с объяснением ситуации - что бы они посмотрели со своей стороны, что происходит, потому как vipnet - это таки достаточно темный ящик - и что там внутри происходит - вы просто не увидите.

Ответить | Правка | Наверх | Cообщить модератору

2. "OpenVPN, будет ли работать такая схема?" +/–

Сообщение от pavel_simple. (?), 05-Июн-24, 07:44

> Всем привет.
> Есть шлюз с прокси и NAT, с одной стороны локалка 192.168.0.0/24 через
> интерфейс lan0. С другой стороны сеть с интернетом 10.54.0.0/24 через интерфейс
> ext0. Клиенты из локалки пользуются прокси, отдельные машины работают через NAT
> для обновления КонсультантаПлюс, например. В локалке есть клиент, которого нужно подключить
> к сети 10.54.0.0/24, но физически это сделать невозможно. Можно ли такую
> схему реализовать с OpenVPN на уровне L2? На шлюзе Debian 10,
> на клиенте - Win10 64-битная.
если нужен только ip -- то проще простого, на шлюзе ставим pppoe (как самый простой для клиента, pptp тоже можно но херня, можно наверное даже ipsec в тунельном режиме, типа без vpn'а как такового но с vpn'ом), на клиенте подкючаемся и получаем ip из сети 10.54.0.0/24, этот ip исключаем из nat'а и разрешаем форвардинг.
если нужна нормальная работа винды в домене -- нужен l2 уровень. там надо смотреть в что винда научилась, GENEVE/vxlan, если сеть тупая, наверное даже vlan можно сделать

Ответить | Правка | Наверх | Cообщить модератору

8. "OpenVPN, будет ли работать такая схема?" +/–

Сообщение от _ (??), 05-Июн-24, 17:05

> если нужна нормальная работа винды в домене -- нужен l2 уровень.
Хотелось бы грязных подробностей.
А то вот без него работает, наверное я что то неправильно сделал? И вообще - все вокруг кого знаю :-)

Ответить | Правка | Наверх | Cообщить модератору

10. "OpenVPN, будет ли работать такая схема?" +/–

Сообщение от Viktor_1509 (ok), 06-Июн-24, 15:06

> Всем привет.
> Есть шлюз с прокси и NAT, с одной стороны локалка 192.168.0.0/24 через
> интерфейс lan0. С другой стороны сеть с интернетом 10.54.0.0/24 через интерфейс
> ext0. Клиенты из локалки пользуются прокси, отдельные машины работают через NAT
> для обновления КонсультантаПлюс, например. В локалке есть клиент, которого нужно подключить
> к сети 10.54.0.0/24, но физически это сделать невозможно. Можно ли такую
> схему реализовать с OpenVPN на уровне L2? На шлюзе Debian 10,
> на клиенте - Win10 64-битная.
Да, вы можете реализовать такую схему с помощью OpenVPN на уровне L2. Для этого вам понадобится настроить мост между интерфейсами lan0 и ext0 на вашем шлюзе Debian 10, а затем использовать OpenVPN для создания L2 VPN-туннеля между клиентом на Windows 10 и вашим шлюзом.
Вот общий план действий:
Настройка моста между интерфейсами lan0 и ext0: Это позволит объединить две сети в одну и передавать пакеты между ними.
Установка и настройка OpenVPN на шлюзе Debian 10: Настройте OpenVPN для работы на уровне L2 (Ethernet bridging mode) и настройте его для подключения клиента.
Установка и настройка OpenVPN на клиенте Windows 10: Установите OpenVPN на клиентской машине и настройте его для подключения к серверу OpenVPN на вашем Debian 10 шлюзе.
Настройка маршрутизации: Убедитесь, что маршруты настроены правильно на обоих концах туннеля, чтобы пакеты могли правильно передаваться между сетями.
Тестирование и отладка: После завершения настройки протестируйте подключение и убедитесь, что все работает корректно. При необходимости выполните отладку для выявления и устранения возможных проблем.
Помните, что безопасность должна быть вашим приоритетом при настройке OpenVPN, убедитесь, что используете надежные методы аутентификации и шифрования.

Ответить | Правка | Наверх | Cообщить модератору

12. "OpenVPN, будет ли работать такая схема?" +/–

Сообщение от danswano (?), 06-Июн-24, 15:39

> Вот общий план действий:
> Настройка моста между интерфейсами lan0 и ext0: Это позволит объединить две сети
> в одну и передавать пакеты между ними.
Может быть, между tap0 и ext0? Между lan0 и ext0 настроен форвардинг средствами iptables.
> Установка и настройка OpenVPN на шлюзе Debian 10: Настройте OpenVPN для работы
> на уровне L2 (Ethernet bridging mode) и настройте его для подключения
> клиента.
> Установка и настройка OpenVPN на клиенте Windows 10: Установите OpenVPN на клиентской
> машине и настройте его для подключения к серверу OpenVPN на вашем
> Debian 10 шлюзе.
> Настройка маршрутизации: Убедитесь, что маршруты настроены правильно на обоих концах туннеля,
> чтобы пакеты могли правильно передаваться между сетями.
Шлюз имеет адрес на ext0 10.54.0.2, роутер, через который идёт интернет - 10.54.0.1. При подключении по openvpn сервер отдаёт клиенту в качестве шлюза свой IP. Можно ли как-то сделать, чтобы он отдавал IP роутера (10.54.0.1)?
> Тестирование и отладка: После завершения настройки протестируйте подключение и убедитесь,
> что все работает корректно. При необходимости выполните отладку для выявления и
> устранения возможных проблем.
> Помните, что безопасность должна быть вашим приоритетом при настройке OpenVPN, убедитесь,
> что используете надежные методы аутентификации и шифрования.
В общих чертах, я сейчас так и пытаюсь сделать.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "OpenVPN, будет ли работать такая схема?"	+/–
Сообщение от arachnid (ok), 04-Июн-24, 19:25
вам нужно раскрыть, что вы понимаете под "физической невозможностью" ну и как вы представляете себе работу openvpn на канальном уровне? с учетом того, что на этом уровне ip нет
Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "OpenVPN, будет ли работать такая схема?"	+/–
	Сообщение от danswano (?), 05-Июн-24, 13:42
	> вам нужно раскрыть, что вы понимаете под "физической невозможностью" > ну и как вы представляете себе работу openvpn на канальном уровне? с > учетом того, что на этом уровне ip нет Клиент сейчас сидит на свитче с другими клиентами в сети 192.168.0.0/24, чтобы его физически переключить, надо ему тянуть отдельный кабель через три этажа. Интернет у клиента есть, но у него еще есть VipNet Client, а внутри VipNet-сети должна работать система электронного документооборота "Дело". Она работает через пень-колоду, нестабильно, а в сети 10.54.0.0 она работает лучше. Что служит причиной - пытаюсь разобраться, поэтому и задумался.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "OpenVPN, будет ли работать такая схема?"	+/–
	Сообщение от Andrey (??), 05-Июн-24, 13:51
	>> вам нужно раскрыть, что вы понимаете под "физической невозможностью" >> ну и как вы представляете себе работу openvpn на канальном уровне? с >> учетом того, что на этом уровне ip нет > Клиент сейчас сидит на свитче с другими клиентами в сети 192.168.0.0/24, чтобы > его физически переключить, надо ему тянуть отдельный кабель через три этажа. > Интернет у клиента есть, но у него еще есть VipNet Client, > а внутри VipNet-сети должна работать система электронного документооборота "Дело". Она > работает через пень-колоду, нестабильно, а в сети 10.54.0.0 она работает лучше. > Что служит причиной - пытаюсь разобраться, поэтому и задумался. Свитчи без поддержки VLAN?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "OpenVPN, будет ли работать такая схема?"	+/–
	Сообщение от danswano (?), 05-Июн-24, 13:53
	> Свитчи без поддержки VLAN? Обычные неуправляемые
	Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "OpenVPN, будет ли работать такая схема?"	+/–
	Сообщение от Andrey (??), 07-Июн-24, 09:18
	>> Свитчи без поддержки VLAN? > Обычные неуправляемые Я правильно понимаю, что вы не знаете что у вас происходит на физическом уровне (ошибки, коллизии и т.д.), но при этом пытаетесь решить проблему программным образом, пробрасывая сегмент сети через среду с неизвестными параметрами, и ожидая что пробрасываемый сегмент будет работать стабильно? Если нет возможности проверить состояние портов на свитчах и выделить отдельный VLAN, кто мешает проверить работу сети собрав статистику длительным пингом пакетами размером 1500 байт и прогнать iperf между проблемным клиентом и сервером(или до хоста, который наиболее близок к серверу)? Хотя-бы логи на проблемном хосте посмотрите.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "OpenVPN, будет ли работать такая схема?"	+/–
	Сообщение от arachnid (ok), 05-Июн-24, 14:55
	>> вам нужно раскрыть, что вы понимаете под "физической невозможностью" >> ну и как вы представляете себе работу openvpn на канальном уровне? с >> учетом того, что на этом уровне ip нет > Клиент сейчас сидит на свитче с другими клиентами в сети 192.168.0.0/24, чтобы > его физически переключить, надо ему тянуть отдельный кабель через три этажа. > Интернет у клиента есть, но у него еще есть VipNet Client, > а внутри VipNet-сети должна работать система электронного документооборота "Дело". Она > работает через пень-колоду, нестабильно, а в сети 10.54.0.0 она работает лучше. > Что служит причиной - пытаюсь разобраться, поэтому и задумался. так, давайте уточним - сеть 192.168 работает через прокси. те, кто используют nat - находятся в другой подсети, для подключения к которой надо тащить кабель, поскольку свичи vlan не поддерживают. так? еще момент - координатор vipnet находится в интернете? и нет ли пересечений по адресам, которые обслуживает vipnet (и где находится ЭДО) и ваших подсетей? в общем то ваша идея с openvpn вполне должна работать - а вот поможет ли она вам...
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	7. "OpenVPN, будет ли работать такая схема?"	+/–
	Сообщение от danswano (?), 05-Июн-24, 15:07
	> так, давайте уточним - сеть 192.168 работает через прокси. те, кто используют > nat - находятся в другой подсети, для подключения к которой надо > тащить кабель, поскольку свичи vlan не поддерживают. так? > еще момент - координатор vipnet находится в интернете? и нет ли пересечений > по адресам, которые обслуживает vipnet (и где находится ЭДО) и ваших > подсетей? > в общем то ваша идея с openvpn вполне должна работать - а > вот поможет ли она вам... До, сеть 192.168 использует прокси. В сети 10.54 есть криптошлюз в интернет,наверное, с NAT, что там внутри него - неведомо. Координатор доступен в интернете и по каким-то иным адресам, вида 172.21.255.0/24, которые находятся где-то за криптошлюзом. Внутри vipnet используется сеть 11.0.0.0/8, т.е., диапазоны все разные.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "OpenVPN, будет ли работать такая схема?"	+/–
	Сообщение от arachnid (ok), 06-Июн-24, 12:48
	>[оверквотинг удален] >> тащить кабель, поскольку свичи vlan не поддерживают. так? >> еще момент - координатор vipnet находится в интернете? и нет ли пересечений >> по адресам, которые обслуживает vipnet (и где находится ЭДО) и ваших >> подсетей? >> в общем то ваша идея с openvpn вполне должна работать - а >> вот поможет ли она вам... > До, сеть 192.168 использует прокси. В сети 10.54 есть криптошлюз в интернет,наверное, > с NAT, что там внутри него - неведомо. Координатор доступен в > интернете и по каким-то иным адресам, вида 172.21.255.0/24, которые находятся где-то > за криптошлюзом. Внутри vipnet используется сеть 11.0.0.0/8, т.е., диапазоны все разные. 11 - это чисто туннельная адресация vipnet-a, она нам не интересна. 172 - это адрес сети внутри самого координатора. скажите, а если на шлюзе 192 сделать nat для этого единственного адреса в 10.54? собственно, ваша идея о vpn будет работать тем же самым nat-ом. почему вы вообще заговорили о канальном уровне? есть какие-то предпосылки?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "OpenVPN, будет ли работать такая схема?"	+/–
	Сообщение от danswano (?), 06-Июн-24, 15:35
	> скажите, а если на шлюзе 192 сделать nat для этого единственного адреса > в 10.54? собственно, ваша идея о vpn будет работать тем же > самым nat-ом. почему вы вообще заговорили о канальном уровне? есть какие-то > предпосылки? На linux-шлюзе есть pptpd, к которому могут подключаться клиенты из 192.168, при этом выдаются адреса вида 172.16.0.х, между этой сетью 172.16.0.0/24 и адресом внешнего интерфейса шлюза 10.54.0.2 устроен NAT и через этот NAT работают все браузеры, почтовые программы и другое. Но это не убирает глюки в "ЭОС Дело", хотя в VipNet-мониторе координатор доступен через свой интернет-IP. А что ему ещё надо, никак не пойму (
	Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "OpenVPN, будет ли работать такая схема?"	+/–
	Сообщение от arachnid (ok), 07-Июн-24, 16:28
	>> скажите, а если на шлюзе 192 сделать nat для этого единственного адреса >> в 10.54? собственно, ваша идея о vpn будет работать тем же >> самым nat-ом. почему вы вообще заговорили о канальном уровне? есть какие-то >> предпосылки? > На linux-шлюзе есть pptpd, к которому могут подключаться клиенты из 192.168, при > этом выдаются адреса вида 172.16.0.х, между этой сетью 172.16.0.0/24 и адресом > внешнего интерфейса шлюза 10.54.0.2 устроен NAT и через этот NAT работают > все браузеры, почтовые программы и другое. Но это не убирает глюки > в "ЭОС Дело", хотя в VipNet-мониторе координатор доступен через свой интернет-IP. > А что ему ещё надо, никак не пойму ( а попробуйте попинговать сам адрес этого ЭОС (который должен иметь адрес из приватных диапазонов). особенно большими пакетами. кстати, а не требует ли подобная работе внесение изменений в файл hosts? ну и возможно, что стоит написать в ТП ЭОС с объяснением ситуации - что бы они посмотрели со своей стороны, что происходит, потому как vipnet - это таки достаточно темный ящик - и что там внутри происходит - вы просто не увидите.
	Ответить \| Правка \| Наверх \| Cообщить модератору

2. "OpenVPN, будет ли работать такая схема?"	+/–
Сообщение от pavel_simple. (?), 05-Июн-24, 07:44
> Всем привет. > Есть шлюз с прокси и NAT, с одной стороны локалка 192.168.0.0/24 через > интерфейс lan0. С другой стороны сеть с интернетом 10.54.0.0/24 через интерфейс > ext0. Клиенты из локалки пользуются прокси, отдельные машины работают через NAT > для обновления КонсультантаПлюс, например. В локалке есть клиент, которого нужно подключить > к сети 10.54.0.0/24, но физически это сделать невозможно. Можно ли такую > схему реализовать с OpenVPN на уровне L2? На шлюзе Debian 10, > на клиенте - Win10 64-битная. если нужен только ip -- то проще простого, на шлюзе ставим pppoe (как самый простой для клиента, pptp тоже можно но херня, можно наверное даже ipsec в тунельном режиме, типа без vpn'а как такового но с vpn'ом), на клиенте подкючаемся и получаем ip из сети 10.54.0.0/24, этот ip исключаем из nat'а и разрешаем форвардинг. если нужна нормальная работа винды в домене -- нужен l2 уровень. там надо смотреть в что винда научилась, GENEVE/vxlan, если сеть тупая, наверное даже vlan можно сделать
Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "OpenVPN, будет ли работать такая схема?"	+/–
	Сообщение от _ (??), 05-Июн-24, 17:05
	> если нужна нормальная работа винды в домене -- нужен l2 уровень. Хотелось бы грязных подробностей. А то вот без него работает, наверное я что то неправильно сделал? И вообще - все вокруг кого знаю :-)
	Ответить \| Правка \| Наверх \| Cообщить модератору

10. "OpenVPN, будет ли работать такая схема?"	+/–
Сообщение от Viktor_1509 (ok), 06-Июн-24, 15:06
> Всем привет. > Есть шлюз с прокси и NAT, с одной стороны локалка 192.168.0.0/24 через > интерфейс lan0. С другой стороны сеть с интернетом 10.54.0.0/24 через интерфейс > ext0. Клиенты из локалки пользуются прокси, отдельные машины работают через NAT > для обновления КонсультантаПлюс, например. В локалке есть клиент, которого нужно подключить > к сети 10.54.0.0/24, но физически это сделать невозможно. Можно ли такую > схему реализовать с OpenVPN на уровне L2? На шлюзе Debian 10, > на клиенте - Win10 64-битная. Да, вы можете реализовать такую схему с помощью OpenVPN на уровне L2. Для этого вам понадобится настроить мост между интерфейсами lan0 и ext0 на вашем шлюзе Debian 10, а затем использовать OpenVPN для создания L2 VPN-туннеля между клиентом на Windows 10 и вашим шлюзом. Вот общий план действий: Настройка моста между интерфейсами lan0 и ext0: Это позволит объединить две сети в одну и передавать пакеты между ними. Установка и настройка OpenVPN на шлюзе Debian 10: Настройте OpenVPN для работы на уровне L2 (Ethernet bridging mode) и настройте его для подключения клиента. Установка и настройка OpenVPN на клиенте Windows 10: Установите OpenVPN на клиентской машине и настройте его для подключения к серверу OpenVPN на вашем Debian 10 шлюзе. Настройка маршрутизации: Убедитесь, что маршруты настроены правильно на обоих концах туннеля, чтобы пакеты могли правильно передаваться между сетями. Тестирование и отладка: После завершения настройки протестируйте подключение и убедитесь, что все работает корректно. При необходимости выполните отладку для выявления и устранения возможных проблем. Помните, что безопасность должна быть вашим приоритетом при настройке OpenVPN, убедитесь, что используете надежные методы аутентификации и шифрования.
Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "OpenVPN, будет ли работать такая схема?"	+/–
	Сообщение от danswano (?), 06-Июн-24, 15:39
	> Вот общий план действий: > Настройка моста между интерфейсами lan0 и ext0: Это позволит объединить две сети > в одну и передавать пакеты между ними. Может быть, между tap0 и ext0? Между lan0 и ext0 настроен форвардинг средствами iptables. > Установка и настройка OpenVPN на шлюзе Debian 10: Настройте OpenVPN для работы > на уровне L2 (Ethernet bridging mode) и настройте его для подключения > клиента. > Установка и настройка OpenVPN на клиенте Windows 10: Установите OpenVPN на клиентской > машине и настройте его для подключения к серверу OpenVPN на вашем > Debian 10 шлюзе. > Настройка маршрутизации: Убедитесь, что маршруты настроены правильно на обоих концах туннеля, > чтобы пакеты могли правильно передаваться между сетями. Шлюз имеет адрес на ext0 10.54.0.2, роутер, через который идёт интернет - 10.54.0.1. При подключении по openvpn сервер отдаёт клиенту в качестве шлюза свой IP. Можно ли как-то сделать, чтобы он отдавал IP роутера (10.54.0.1)? > Тестирование и отладка: После завершения настройки протестируйте подключение и убедитесь, > что все работает корректно. При необходимости выполните отладку для выявления и > устранения возможных проблем. > Помните, что безопасность должна быть вашим приоритетом при настройке OpenVPN, убедитесь, > что используете надежные методы аутентификации и шифрования. В общих чертах, я сейчас так и пытаюсь сделать.
	Ответить \| Правка \| Наверх \| Cообщить модератору