In openvpn, ai 2 modele de lucru ca sa zic asa(zice si in DOC): 1. pe UDP, in care conexiunile sunt punct la punct(local-remote), deci nu exista notiunea de server 2. pe TCP, ..........................................................(local-remote), in care exista notiunea de client/server
Deci daca ai mai multe LAN-ri care se conecteaza intre ele printr-un gateway(GW) la INET, pe fiecare GW vei avea openvpn, daca ai 3 GW(A,B,C), at. trebe sa ai 2 tunele A-B, A-C. Mai departe cum rutezi LAN-le e alta poveste! Daca ai mai facut routare trebe sa te prinzi! ,Iulian Postfix wrote: >Hello all, > >De citeva zile ma tot documentez si inca nu am gasit raspuns la toate >intrebarile, asa ca m-am gindit sa intreb aici. > >Iata datele probemei. > >Se da urmatorul segment de retea: > >Statii Lan1-------eth1 IP Privat (192.168.0.1/24)----|GR1|-----eth0 IP >Public 82.75.32.12/24 > >In Lan1 este un mediu non eterogen (statii *nix, windows, mac osx) >Masina GR1 activeaza ca router/gateway pentru reteaua locala pe care se >face SNAT, transparent proxy pentru http/https, server de wins pentru LAN1. > >O configuratie asemanatoare am pentru inca N segmente de retea, unde N>3 > >Restrictii pentru fiecare din IP-urile publice de pe fiecare GR: >- nu se accepta protocolul 47 (GRE), AH sau ESP (50, 51) sau alte >protocoale in afara de TCP si UDP (exclus free/openswan, pptp, si alte >solutii de acest gen) >- toate serviciile sunt filtrate (eg: dinspre Internet catre GR1 nu este >permisa nici o conexiune iar din LAN catre Internet, numai citeva >servicii standard) asa ca deschiderea unui range port pe interfata >externa a GR-ului este exclusa din start! >- optional (nu insa si recomandat), este permisa deschiderea numai a >unui singur port pe interfata externa, cu acces permis numai de la >adresele de IP ale celorlalte GR-uri > >Am decis ca trebuie sa folosesc OpenVPN (stie de NAT transversal), >lucreaza pe un singur port (default 1194/UDP), are clienti de Windows, >Mac, Linux si Solaris, adica exact ceea ce-mi trebuia. Ca tip de >configuratie va fi ROUTED si NU BRIDGED VPN. > >M-am gindit ca in acest caz, pot plasa o alta masina in Internet, pe >care o voi configura ca VPN server (o voi numi in continuare VPNS) >pentru a lega intre ele toate cele N segmente (in acest caz evit si >partea legata de restrictiile legate de portul 1194, pentru masinile GR). > >Ce am facut pina acum: > >- Am configurat firewall-ul pe GR-uri pentru a permite conexiuni de pe >statiile din LAN1 cu VPNS >- Testat functionare client LAN1 - server samba (WINS) instalat pe VPNS. > >De aici incolo treaba devine tot mai incilcita. Toate exemplele date pe >net sunt pentru legarea a 2 retele sau de tip road-warrior (a unui >calcuter pe dial-up cu LAN1), chestii care nu ma intereseaza absoult >deloc. Nimic concret legat de cum se leaga N retele, cum pun rutele >(ping pentru toate statiile din VPN). > >As dori un exemplu pentru 3 retele + VPNS: >LAN1---- eth1---|GR1|-----eth0 >IP Public eth0 82.75.32.12/24 >IP Privat eth1 192.168.1.1/24 >LAN1: 192.168.1.0/24 > >LAN2---- eth1---|GR2|-----eth0 >IP Public eth0 82.75.32.13/24 >IP Privat eth1 192.168.2.1/24 >LAN1: 192.168.2.0/24 > >LAN3---- eth1---|GR3|-----eth0 >IP Public eth0 82.75.32.14/24 >IP Privat eth1 192.168.3.1/24 >LAN1: 192.168.3.0/24 > >VPNS (o singura placa de retea) >IP Public: 82.75.32.100/24 > >Pe o statie WIN din spatele GR1, am urmatorul fisier de configurare: >remote 82.75.32.100 >dev tap >ifconfig 10.3.0.2 255.255.255.0 >secret key >ping 10 >verb 3 >mute 10 >comp-lzo >dev-node tap-vpn > >Pe VPNS am conful: >remote 82.75.32.12 >dev tap >ifconfig 10.3.0.1 255.255.255.0 >secret key >ping 10 >verb 3 >mute 10 >comp-lzo > >Treaba merge, dar asta nu e o configuratie de tip server, ci una buna >pentru test, punct la punct. Eu vreau ca: >- pe VPNS sa dau prin DHCP adrese statiilor remote dintr-un pool din >clasa 10.3.0.0/24 >- sa pun rutele pentru fiecare client din cele N Lanuri >- sa nu redirectez traficul internet (serviciile deja existente) prin >tunelul nou creat >- sa pot ajunge de pe VPNS cu ssh-ul pe fiecare statie GR (sau invers) > >Are cineva un exemplu clar, un link catre un HOWTO (in afara de cele >date pe site la OPENVPN pe care le-am citit si nu m-au edificat deloc) >sau putin timp pentru o discutie pe tema aceasta? > >Regards, >Alex > > > > > > >--- >Detalii despre listele noastre de mail: http://www.lug.ro/ > > > > > --- Detalii despre listele noastre de mail: http://www.lug.ro/
