The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"OpenVPN, будет ли работать такая схема?"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (VPN / Linux)
Изначальное сообщение [ Отслеживать ]

"OpenVPN, будет ли работать такая схема?"  +/
Сообщение от danswano (?), 04-Июн-24, 14:19 
Всем привет.
Есть шлюз с прокси и NAT, с одной стороны локалка 192.168.0.0/24 через интерфейс lan0. С другой стороны сеть с интернетом 10.54.0.0/24 через интерфейс ext0. Клиенты из локалки пользуются прокси, отдельные машины работают через NAT для обновления КонсультантаПлюс, например. В локалке есть клиент, которого нужно подключить к сети 10.54.0.0/24, но физически это сделать невозможно. Можно ли такую схему реализовать с OpenVPN на уровне L2? На шлюзе Debian 10, на клиенте - Win10 64-битная.
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "OpenVPN, будет ли работать такая схема?"  +/
Сообщение от arachnid (ok), 04-Июн-24, 19:25 
вам нужно раскрыть, что вы понимаете под "физической невозможностью"
ну и как вы представляете себе работу openvpn на канальном уровне? с учетом того, что на этом уровне ip нет
Ответить | Правка | Наверх | Cообщить модератору

3. "OpenVPN, будет ли работать такая схема?"  +/
Сообщение от danswano (?), 05-Июн-24, 13:42 
> вам нужно раскрыть, что вы понимаете под "физической невозможностью"
> ну и как вы представляете себе работу openvpn на канальном уровне? с
> учетом того, что на этом уровне ip нет

Клиент сейчас сидит на свитче с другими клиентами в сети 192.168.0.0/24, чтобы его физически переключить, надо ему тянуть отдельный кабель через три этажа. Интернет у клиента есть, но у него еще есть VipNet Client, а внутри VipNet-сети должна работать система электронного документооборота "Дело". Она работает через пень-колоду, нестабильно, а в сети 10.54.0.0 она работает лучше. Что служит причиной - пытаюсь разобраться, поэтому и задумался.

Ответить | Правка | Наверх | Cообщить модератору

4. "OpenVPN, будет ли работать такая схема?"  +/
Сообщение от Andrey (??), 05-Июн-24, 13:51 
>> вам нужно раскрыть, что вы понимаете под "физической невозможностью"
>> ну и как вы представляете себе работу openvpn на канальном уровне? с
>> учетом того, что на этом уровне ip нет
> Клиент сейчас сидит на свитче с другими клиентами в сети 192.168.0.0/24, чтобы
> его физически переключить, надо ему тянуть отдельный кабель через три этажа.
> Интернет у клиента есть, но у него еще есть VipNet Client,
> а внутри VipNet-сети должна работать система электронного документооборота "Дело". Она
> работает через пень-колоду, нестабильно, а в сети 10.54.0.0 она работает лучше.
> Что служит причиной - пытаюсь разобраться, поэтому и задумался.

Свитчи без поддержки VLAN?

Ответить | Правка | Наверх | Cообщить модератору

5. "OpenVPN, будет ли работать такая схема?"  +/
Сообщение от danswano (?), 05-Июн-24, 13:53 

> Свитчи без поддержки VLAN?

Обычные неуправляемые

Ответить | Правка | Наверх | Cообщить модератору

13. "OpenVPN, будет ли работать такая схема?"  +/
Сообщение от Andrey (??), 07-Июн-24, 09:18 
>> Свитчи без поддержки VLAN?
> Обычные неуправляемые

Я правильно понимаю, что вы не знаете что у вас происходит на физическом уровне (ошибки, коллизии и т.д.), но при этом пытаетесь решить проблему программным образом, пробрасывая сегмент сети через среду с неизвестными параметрами, и ожидая что пробрасываемый сегмент будет работать стабильно?

Если нет возможности проверить состояние портов на свитчах и выделить отдельный VLAN, кто мешает проверить работу сети собрав статистику длительным пингом пакетами размером 1500 байт и прогнать iperf между проблемным клиентом и сервером(или до хоста, который наиболее близок к серверу)?
Хотя-бы логи на проблемном хосте посмотрите.

Ответить | Правка | Наверх | Cообщить модератору

6. "OpenVPN, будет ли работать такая схема?"  +/
Сообщение от arachnid (ok), 05-Июн-24, 14:55 
>> вам нужно раскрыть, что вы понимаете под "физической невозможностью"
>> ну и как вы представляете себе работу openvpn на канальном уровне? с
>> учетом того, что на этом уровне ip нет
> Клиент сейчас сидит на свитче с другими клиентами в сети 192.168.0.0/24, чтобы
> его физически переключить, надо ему тянуть отдельный кабель через три этажа.
> Интернет у клиента есть, но у него еще есть VipNet Client,
> а внутри VipNet-сети должна работать система электронного документооборота "Дело". Она
> работает через пень-колоду, нестабильно, а в сети 10.54.0.0 она работает лучше.
> Что служит причиной - пытаюсь разобраться, поэтому и задумался.

так, давайте уточним - сеть 192.168 работает через прокси. те, кто используют nat - находятся в другой подсети, для подключения к которой надо тащить кабель, поскольку свичи vlan не поддерживают. так?

еще момент - координатор vipnet находится в интернете? и нет ли пересечений по адресам, которые обслуживает vipnet (и где находится ЭДО) и ваших подсетей?

в общем то ваша идея с openvpn вполне должна работать - а вот поможет ли она вам...

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

7. "OpenVPN, будет ли работать такая схема?"  +/
Сообщение от danswano (?), 05-Июн-24, 15:07 

> так, давайте уточним - сеть 192.168 работает через прокси. те, кто используют
> nat - находятся в другой подсети, для подключения к которой надо
> тащить кабель, поскольку свичи vlan не поддерживают. так?
> еще момент - координатор vipnet находится в интернете? и нет ли пересечений
> по адресам, которые обслуживает vipnet (и где находится ЭДО) и ваших
> подсетей?
> в общем то ваша идея с openvpn вполне должна работать - а
> вот поможет ли она вам...

До, сеть 192.168 использует прокси. В сети 10.54 есть криптошлюз в интернет,наверное, с NAT, что там внутри него - неведомо. Координатор доступен в интернете и по каким-то иным адресам, вида 172.21.255.0/24, которые находятся где-то за криптошлюзом. Внутри vipnet используется сеть 11.0.0.0/8, т.е., диапазоны все разные.

Ответить | Правка | Наверх | Cообщить модератору

9. "OpenVPN, будет ли работать такая схема?"  +/
Сообщение от arachnid (ok), 06-Июн-24, 12:48 
>[оверквотинг удален]
>> тащить кабель, поскольку свичи vlan не поддерживают. так?
>> еще момент - координатор vipnet находится в интернете? и нет ли пересечений
>> по адресам, которые обслуживает vipnet (и где находится ЭДО) и ваших
>> подсетей?
>> в общем то ваша идея с openvpn вполне должна работать - а
>> вот поможет ли она вам...
> До, сеть 192.168 использует прокси. В сети 10.54 есть криптошлюз в интернет,наверное,
> с NAT, что там внутри него - неведомо. Координатор доступен в
> интернете и по каким-то иным адресам, вида 172.21.255.0/24, которые находятся где-то
> за криптошлюзом. Внутри vipnet используется сеть 11.0.0.0/8, т.е., диапазоны все разные.

11 - это чисто туннельная адресация vipnet-a, она нам не интересна. 172 - это адрес сети внутри самого координатора.
скажите, а если на шлюзе 192 сделать nat для этого единственного адреса в 10.54? собственно, ваша идея о vpn будет работать тем же самым nat-ом. почему вы вообще заговорили о канальном уровне? есть какие-то предпосылки?

Ответить | Правка | Наверх | Cообщить модератору

11. "OpenVPN, будет ли работать такая схема?"  +/
Сообщение от danswano (?), 06-Июн-24, 15:35 
> скажите, а если на шлюзе 192 сделать nat для этого единственного адреса
> в 10.54? собственно, ваша идея о vpn будет работать тем же
> самым nat-ом. почему вы вообще заговорили о канальном уровне? есть какие-то
> предпосылки?

На linux-шлюзе есть pptpd, к которому могут подключаться клиенты из 192.168, при этом выдаются адреса вида 172.16.0.х, между этой сетью 172.16.0.0/24 и адресом внешнего интерфейса шлюза 10.54.0.2 устроен NAT и через этот NAT работают все браузеры, почтовые программы и другое. Но это не убирает глюки в "ЭОС Дело", хотя в VipNet-мониторе координатор доступен через свой интернет-IP. А что ему ещё надо, никак не пойму (

Ответить | Правка | Наверх | Cообщить модератору

14. "OpenVPN, будет ли работать такая схема?"  +/
Сообщение от arachnid (ok), 07-Июн-24, 16:28 
>> скажите, а если на шлюзе 192 сделать nat для этого единственного адреса
>> в 10.54? собственно, ваша идея о vpn будет работать тем же
>> самым nat-ом. почему вы вообще заговорили о канальном уровне? есть какие-то
>> предпосылки?
> На linux-шлюзе есть pptpd, к которому могут подключаться клиенты из 192.168, при
> этом выдаются адреса вида 172.16.0.х, между этой сетью 172.16.0.0/24 и адресом
> внешнего интерфейса шлюза 10.54.0.2 устроен NAT и через этот NAT работают
> все браузеры, почтовые программы и другое. Но это не убирает глюки
> в "ЭОС Дело", хотя в VipNet-мониторе координатор доступен через свой интернет-IP.
> А что ему ещё надо, никак не пойму (

а попробуйте попинговать сам адрес этого ЭОС (который должен иметь адрес из приватных диапазонов). особенно большими пакетами. кстати, а не требует ли подобная работе внесение изменений в файл hosts? ну и возможно, что стоит написать в ТП ЭОС с объяснением ситуации - что бы они посмотрели со своей стороны, что происходит, потому как vipnet - это таки достаточно темный ящик - и что там внутри происходит - вы просто не увидите.

Ответить | Правка | Наверх | Cообщить модератору

2. "OpenVPN, будет ли работать такая схема?"  +/
Сообщение от pavel_simple. (?), 05-Июн-24, 07:44 
> Всем привет.
> Есть шлюз с прокси и NAT, с одной стороны локалка 192.168.0.0/24 через
> интерфейс lan0. С другой стороны сеть с интернетом 10.54.0.0/24 через интерфейс
> ext0. Клиенты из локалки пользуются прокси, отдельные машины работают через NAT
> для обновления КонсультантаПлюс, например. В локалке есть клиент, которого нужно подключить
> к сети 10.54.0.0/24, но физически это сделать невозможно. Можно ли такую
> схему реализовать с OpenVPN на уровне L2? На шлюзе Debian 10,
> на клиенте - Win10 64-битная.

если нужен только ip -- то проще простого, на шлюзе ставим pppoe (как самый простой для клиента, pptp тоже можно но херня, можно наверное даже ipsec в тунельном режиме, типа без vpn'а как такового но с vpn'ом), на клиенте подкючаемся и получаем ip из сети 10.54.0.0/24, этот ip исключаем из nat'а и разрешаем форвардинг.

если нужна нормальная работа винды в домене -- нужен l2 уровень. там надо смотреть в что винда научилась, GENEVE/vxlan, если сеть тупая, наверное даже vlan можно сделать

Ответить | Правка | Наверх | Cообщить модератору

8. "OpenVPN, будет ли работать такая схема?"  +/
Сообщение от _ (??), 05-Июн-24, 17:05 
> если нужна нормальная работа винды в домене -- нужен l2 уровень.

Хотелось бы грязных подробностей.
А то вот без него работает, наверное я что то неправильно сделал? И вообще - все вокруг кого знаю :-)


Ответить | Правка | Наверх | Cообщить модератору

10. "OpenVPN, будет ли работать такая схема?"  +/
Сообщение от Viktor_1509 (ok), 06-Июн-24, 15:06 
> Всем привет.
> Есть шлюз с прокси и NAT, с одной стороны локалка 192.168.0.0/24 через
> интерфейс lan0. С другой стороны сеть с интернетом 10.54.0.0/24 через интерфейс
> ext0. Клиенты из локалки пользуются прокси, отдельные машины работают через NAT
> для обновления КонсультантаПлюс, например. В локалке есть клиент, которого нужно подключить
> к сети 10.54.0.0/24, но физически это сделать невозможно. Можно ли такую
> схему реализовать с OpenVPN на уровне L2? На шлюзе Debian 10,
> на клиенте - Win10 64-битная.

Да, вы можете реализовать такую схему с помощью OpenVPN на уровне L2. Для этого вам понадобится настроить мост между интерфейсами lan0 и ext0 на вашем шлюзе Debian 10, а затем использовать OpenVPN для создания L2 VPN-туннеля между клиентом на Windows 10 и вашим шлюзом.

Вот общий план действий:

Настройка моста между интерфейсами lan0 и ext0: Это позволит объединить две сети в одну и передавать пакеты между ними.

Установка и настройка OpenVPN на шлюзе Debian 10: Настройте OpenVPN для работы на уровне L2 (Ethernet bridging mode) и настройте его для подключения клиента.

Установка и настройка OpenVPN на клиенте Windows 10: Установите OpenVPN на клиентской машине и настройте его для подключения к серверу OpenVPN на вашем Debian 10 шлюзе.

Настройка маршрутизации: Убедитесь, что маршруты настроены правильно на обоих концах туннеля, чтобы пакеты могли правильно передаваться между сетями.

Тестирование и отладка: После завершения настройки протестируйте подключение и убедитесь, что все работает корректно. При необходимости выполните отладку для выявления и устранения возможных проблем.

Помните, что безопасность должна быть вашим приоритетом при настройке OpenVPN, убедитесь, что используете надежные методы аутентификации и шифрования.

Ответить | Правка | Наверх | Cообщить модератору

12. "OpenVPN, будет ли работать такая схема?"  +/
Сообщение от danswano (?), 06-Июн-24, 15:39 

> Вот общий план действий:
> Настройка моста между интерфейсами lan0 и ext0: Это позволит объединить две сети
> в одну и передавать пакеты между ними.

Может быть, между tap0 и ext0? Между lan0 и ext0 настроен форвардинг средствами iptables.

> Установка и настройка OpenVPN на шлюзе Debian 10: Настройте OpenVPN для работы
> на уровне L2 (Ethernet bridging mode) и настройте его для подключения
> клиента.
> Установка и настройка OpenVPN на клиенте Windows 10: Установите OpenVPN на клиентской
> машине и настройте его для подключения к серверу OpenVPN на вашем
> Debian 10 шлюзе.
> Настройка маршрутизации: Убедитесь, что маршруты настроены правильно на обоих концах туннеля,
> чтобы пакеты могли правильно передаваться между сетями.

Шлюз имеет адрес на ext0 10.54.0.2, роутер, через который идёт интернет - 10.54.0.1. При подключении по openvpn сервер отдаёт клиенту в качестве шлюза свой IP. Можно ли как-то сделать, чтобы он отдавал IP роутера (10.54.0.1)?

> Тестирование и отладка: После завершения настройки протестируйте подключение и убедитесь,
> что все работает корректно. При необходимости выполните отладку для выявления и
> устранения возможных проблем.
> Помните, что безопасность должна быть вашим приоритетом при настройке OpenVPN, убедитесь,
> что используете надежные методы аутентификации и шифрования.

В общих чертах, я сейчас так и пытаюсь сделать.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру