OpenVPN: помогите настроить
нужно на ней поднять openvpn, чтобы клиенты были в локалке 192.168.1.0/24, или имели транспарентный доступ к машинам из сети 192.168.1.0/24какие именно клиенты имеются в виду?
Да, без проблем. Поднимаешь сервер на той, что с внешним ипом, в семпловом конфиге клиента и сервера меняешь только tun на tap (в случае tun для каждого клиента отдельная подсеть будет выделяться, а tap поместит их в одну) и пишешь скрипт up.sh:
#!/bin/sh
route add -net 192.168.1.1/24 gw 192.168.0.1
На сервере появляется интерфейс tap0 с ip 192.168.0.1
В сети 192.168.1.1/24 прописать обратный маршрут на сеть 192.168.0.1/24
Ну и наконец надо сказать серверу, что он теперь маршрутизатор.
Это делается в зависимости от системы например так:
echo 1 > /proc/sys/net/ipv4/ip_forward
ну или так:
echo 'gateway_enable="YES"' >> /etc/rc.conf
#!/bin/sh
route add -net 192.168.1.1/24 gw 192.168.0.1
На сервере появляется интерфейс tap0 с ip 192.168.0.1
В сети 192.168.1.1/24 прописать обратный маршрут на сеть 192.168.0.1/24
Ну и наконец надо сказать серверу, что он теперь маршрутизатор.
Это делается в зависимости от системы например так:
echo 1 > /proc/sys/net/ipv4/ip_forward
ну или так:
echo 'gateway_enable="YES"' >> /etc/rc.conf
внешние - из своих домов по интернету, заходят в корпоративную сеть...
2 : винда.... 2003 серв
2 : винда.... 2003 серв
ну ССЗБ, ботай routing and remote access. 
ты, кстати не указал, что тап нужно сбриджить с сетевым интерфейсом на сервере..
и мне это весьма и весьма непонятно как это сделать и не уронить сеть - к машине доступ только удалённый, лезть к ней в серверную очень не хочется..
и мне это весьма и весьма непонятно как это сделать и не уронить сеть - к машине доступ только удалённый, лезть к ней в серверную очень не хочется..
Что значить сбриджить? Нужно чтобы сервер маршрутизировал пакеты между реальным и виртуальным интерфейсом, это я указал.
В винде, насколько я помню, это делается через RRAS.
В винде, насколько я помню, это делается через RRAS.
чтобы тап заработал, его надо объединить в бридж с существующей сетевухой.
для туннеля не нужно. для тапа - нужно
для туннеля не нужно. для тапа - нужно
Я настраивал openvpn десятки раз, в том числе и на винде (ну на ней само собой только клиента причём практически всегда на tap. Никаких мостов использовать не приходилось. Что я делаю не так?
В винде после установки появляется виртуальная сетевая карта, которая при подключении vpn делает вид, что в неё воткнули кабель
Может конечно если делать сервер на винде этот мост зачем-то и нужен, но как-то сомнительно, так как совершенно непонятно зачем.
В винде после установки появляется виртуальная сетевая карта, которая при подключении vpn делает вид, что в неё воткнули кабель
Может конечно если делать сервер на винде этот мост зачем-то и нужен, но как-то сомнительно, так как совершенно непонятно зачем.
ты в точности описываешь поведение, когда стоит
dev tun
для dev tap прямо написано в документации:
# "dev tun" will create a routed IP tunnel,
# "dev tap" will create an ethernet tunnel.
# Use "dev tap0" if you are ethernet bridging
# and have precreated a tap0 virtual interface
# and bridged it with your ethernet interface.
# If you want to control access policies
# over the VPN, you must create firewall
# rules for the the TUN/TAP interface.
# On non-Windows systems, you can give
# an explicit unit number, such as tun0.
# On Windows, use "dev-node" for this.
# On most systems, the VPN will not function
# unless you partially or fully disable
# the firewall for the TUN/TAP interface.
...
# Configure server mode for ethernet bridging.
# You must first use your OS's bridging capability
# to bridge the TAP interface with the ethernet
# NIC interface. Then you must manually set the
# IP/netmask on the bridge interface, here we
# assume 10.8.0.4/255.255.255.0. Finally we
# must set aside an IP range in this subnet
# (start=10.8.0.50 end=10.8.0.100) to allocate
# to connecting clients. Leave this line commented
# out unless you are ethernet bridging.
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
Ну наконец-то я понял о чём ты. 
Директива server-bridge как в дефолтной конфигурации, так и у меня закоменчена. Она нужна если тебе ну очень хочется закинуть клиентов впна в ту же подсеть, что и соседние компы сервера. Тебе, судя по первому посту, это не нужно. А tap замечательно работает вместо tun, без всяких мостов. Видимо в документации tap употребляется вместе с bridged просто потому, что только для bridged нужно обязательно использовать tap, а остальные фичи работают с обоими вариантами интерфейсов.
Директива server-bridge как в дефолтной конфигурации, так и у меня закоменчена. Она нужна если тебе ну очень хочется закинуть клиентов впна в ту же подсеть, что и соседние компы сервера. Тебе, судя по первому посту, это не нужно. А tap замечательно работает вместо tun, без всяких мостов. Видимо в документации tap употребляется вместе с bridged просто потому, что только для bridged нужно обязательно использовать tap, а остальные фичи работают с обоими вариантами интерфейсов.
Оставить комментарий
yolki
// ip не настоящие.есть машина с двумя ip на одной сетевухе:
91.141.100.5 с маской 255.255.255.240, шлюзом .100.1
192.168.1.83 с маской 255.255.255.0, шлюзом .1.1
100.5 - виден из интернета, трафик на него идёт через 100.1
1.83 - локалка за NAT-ом от другой машины, .1.1
обе машины (100.1 и 1.1) находятся в одной физической сети (воткнуты в один свич).
эта машина маршрутизацию не осуществляет.
нужно на ней поднять openvpn, чтобы клиенты были в локалке 192.168.1.0/24, или имели транспарентный доступ к машинам из сети 192.168.1.0/24
возможно ли это?