• Advertisement
vps, vds, регистрация доменов

и снова Net2Net VPN

Вопросы, обсуждение каналов связи в Endian

Модератор: Модераторы форума

и снова Net2Net VPN

Сообщение EndianUser » 24 дек 2012, 15:48

Добрый день!
бьюсь целый день, но сам решения найти так и не смог.
Постараюсь подробно в картинках выложить настройки, заодно, возможно, удасться построить рабочий FAQ

итак
цель: объединить несколько филиальных сетей посредством VPN

Я вижу это так: из сети 1 с любой машины, например(192.168.1.20) я могу достать, допустим пингом в сеть 2 на любую машину, например (192.168.2.30), будто бы мы в одной подсети. (Поправьте меня, если Net2Net VPN - это что-то другое)

После неудачных попыток объединения на рабочей системе собрал тестовую. Все настройки проводятся на ней

платформа: 2 ПК Windows XP. + VirtualBox 4.2.6-82870-Win. На виртуальную машину установлен Endian Firewall community 2.5.1-201201261800
Физическая машина (XP) связана с Endian через виртуальную сетевую карту VirtualBox Host-Only network.
Red интерфейс Endian настроен как Bridge на реальную сетевую карту ПК.
2 физических ПК соединены кроссовером.
Если использовать Endian просто как шлюз/фаерволл, то такая конфигурация на виртуальной машине работает 100%. Поэтому предлагаю считать, что "косяков" VirtualBox-а нет

топологию сети можно условно представить так:

(ПК1) 192.168.1.20 -----LAN1----- 192.168.1.15 (Endian-1-VPN-server) ser.ver.int.ip ======якобы интернет======= cli.ent.int.ip (Endian-2-VPN-client) 192.168.2.15 ------LAN2-------192.168.2.30 (ПК2)

Что далал:

1) Установил эндиан на обе виртуалки, сконфигурировал сеть.
2) Сделал настройки Gw2Gw, как описано здесь: http://help.endian.com/entries/20059443 ... connection
2.1) Настройка сервера VPN: меню VPN -> сервер openVPN -> конфигурация сервера -> галки VPN включен и объединена мостом (что, всетаки, в данном контексте дает галка "объединена мостом" ?). связать с Green, пулл адресов 192.168.1.100 - 192.168.1.110
2.1.1) После запуска сервера VPN сохранил CA сертификат

2.2) учеттная запись: меню VPN -> сервер openVPN -> учетные записи -> добавить учетную запись -> имя пользователя = client; пароль = client; сеть позади клиента = 192.168.2.0/24
2.3) дополнительно: меню VPN -> сервер openVPN -> дополнительно -> порт = 1194 (по-умолчанию); протокол = UDP (по-умолчанию); блокировать DHCP = да; не блокировать трафик между клиентами = да. остальное по-умолчанию
2.4) настройка клиента VPN: на Endian-2: VPN - Клиент openVPN (Gw2Gw) -> добавить конфигурацию туннеля
2.4.1) имя = client-server; адрес = ser.ver.int.ip; сертификат добавляю сохраненный с сервера. Имя пользователя = client; пароль = client.
2.4.2) расширенные настройки: Тип устройства = TAP; блокировать DHCP = да; тип подключения = Routed (вот снова вопрос про мост. не очень понятно что тут должно быть. Насколько я понял, правильнее сделать TUN, чтобы меньше служебного трафа в канал бегало. Но, для начала делал все по инструкции).

В результате, н клиенте написано - "установленно" на сервере видно соединение, но противолежащая подсеть не пингуется.
Вложения
adv1.JPG
дополнительно
adv1.JPG (50.61 KiB) Просмотров: 4080
server-akk.JPG
настройка учетной записи
server-akk.JPG (49.11 KiB) Просмотров: 4080
server-main.JPG
настройка сервера VPN
server-main.JPG (38.43 KiB) Просмотров: 4080
Последний раз редактировалось EndianUser 27 дек 2012, 10:41, всего редактировалось 1 раз.
EndianUser
 
Сообщений: 45
Зарегистрирован: 24 дек 2012, 14:57

Re: и снова Net2Net VPN

Сообщение EndianUser » 24 дек 2012, 15:59

3) на обоих Endian включаю VPN Firewall и добавляю правило Any to Any Any Allow (пробовал и Allow with IPS). Результат тот же.
В ходе ковыряний 1 раз мне удалось поймать tracert 192.168.2.30 с ПК 192.168.1.20 ()

1) Почему не бегают пакеты?

2) Как правильно настроить VPN, чтобы была достаточная масштабируемость, и минимальная нагрузка на сеть (я так понимаю, всетаки должен быть TUN)
т.к. планируется, что филлиалов будет достаточно много.

3) Что означает режим "мост"? если в настройках сервера VPN его убрать, то там предлагается задать vpn-подсеть. в моем случае, когда 2 подсети 192.168.1.0/24 за сервером и 192.168.2.0/24 за клиентом, что нужно там писать? возможно более широкую подсеть 192.168.0.0/16?
Вложения
server-connected.JPG
впн-сервер. соединение установлено
server-connected.JPG (20.9 KiB) Просмотров: 4079
vpn-firewall.JPG
vpn-firewall
vpn-firewall.JPG (53.57 KiB) Просмотров: 4079
EndianUser
 
Сообщений: 45
Зарегистрирован: 24 дек 2012, 14:57

Re: и снова Net2Net VPN

Сообщение Sindrom » 24 дек 2012, 17:12

Выбор TAP/TUN будет зависеть от целей объединения. Что вы планируете передавать через туннели?
/dev/urandom
Teamviewer help
Аватар пользователя
Sindrom
 
Сообщений: 1098
Зарегистрирован: 12 янв 2011, 10:45

Re: и снова Net2Net VPN

Сообщение EndianUser » 25 дек 2012, 07:34

Изначально планируется RDP, чтобы работала 1с в терминале. Возможно на базе RemoteApp
небольшие файлы
но потребности всегда растут
Возможно, захочу авторизацию в удаленном домене

Можете на пальцах раскидать где применим TUN а где TAP (опять же bridged и routed)?
EndianUser
 
Сообщений: 45
Зарегистрирован: 24 дек 2012, 14:57

Re: и снова Net2Net VPN

Сообщение EndianUser » 25 дек 2012, 07:50

и еще, всетаки, почему не бегают пакеты в той схеме, которую я собрал?
ведь должно же работать

неправильно настроен фаерволл? тогда как правильно? ибо как настройки сервера / клиента не крути, они почти всегда соединяются, а вот пакеты не бегают
EndianUser
 
Сообщений: 45
Зарегистрирован: 24 дек 2012, 14:57

Re: и снова Net2Net VPN

Сообщение EndianUser » 25 дек 2012, 08:08

и еще вопрос
в моей схеме я подключался в режиме моста.
тут
http://openvpn.net/index.php/open-sourc ... ation.html
пишут (да и в подключениях я вижу), что в этом режиме vpn-клиенту выдается ip-адрес из подсети сервера (в моем случае 192.168.1.100). А как предполагается доступ к компьютерам за VPN-клиентом? они тоже должны получить IP-адреса из подсети VPN-сервера?
Тогда без изменения топологии сети сервера мы получаем ограничение в 254 пк в общей сети. Это не интересно. Мы же планируем расти =)
Или каждый vpn-клиент получит по 1 IP из подсети сервера, а сеть за ним будет маршрутизироваться? в таком случае подключение 10 филиалов отъест только 10 адресов подсети сервера.

какой вариант правильный?
EndianUser
 
Сообщений: 45
Зарегистрирован: 24 дек 2012, 14:57

Re: и снова Net2Net VPN

Сообщение Sindrom » 25 дек 2012, 11:05

Можете на пальцах раскидать где применим TUN а где TAP (опять же bridged и routed)?

Если использовать TAP - происходит как-бы эмуляция сетевой карты. Т.е. по сетке ходит весь обычный трафик ( с довольно большой составляющей служебного трафика). Работает это всё дело на 2-м уровне (как свич). Плюсы - почти без всяких органичений на передачу чего-бы то ни было (можно например трафик smb передавать).
В режиме TUN ходит только самое необходимое, соотв. вы не забиваете сеточку избыточными служебными данными. TUN работает на 3-м уровне (как роутер).

и еще, всетаки, почему не бегают пакеты в той схеме, которую я собрал?

Я сейчас попробую сэмулировать такую ситуацию, посмтрю, где может быть засада.
/dev/urandom
Teamviewer help
Аватар пользователя
Sindrom
 
Сообщений: 1098
Зарегистрирован: 12 янв 2011, 10:45

Re: и снова Net2Net VPN

Сообщение EndianUser » 25 дек 2012, 11:22

вот я сижу, перебираю галочки и смотртю, что получается
из web console при настройке из инструкции пингуется с сервера - вся подсеть клиента
с клиента - только адрес зеленого интерфейса сервера
из-за клиента пингуется вплоть до шлюза
из-за сервера не пингуется даже IP, выделенный клиенту. в моем случае 192.168.1.100


Если VPN Firewall выключен, значит разрешены все пакеты? или ни одного?


и всетаки, как должны видеться кампы за клиентом? как участники той же подсети, что и сервер, или только Endian-клиент подучит адрес подсети сервера?

ПС. надеюсь никто не успел прочитать, я поправил текствоку
Последний раз редактировалось EndianUser 25 дек 2012, 11:32, всего редактировалось 1 раз.
EndianUser
 
Сообщений: 45
Зарегистрирован: 24 дек 2012, 14:57

Re: и снова Net2Net VPN

Сообщение EndianUser » 25 дек 2012, 11:29

сейчас мне уже более интересно разобраться в настройках, чтобы пакеты начали ходить.
у меня будет время поиграться с tun/tap и выбрать то, что подходит мне. главное - суметь настроить.
EndianUser
 
Сообщений: 45
Зарегистрирован: 24 дек 2012, 14:57

Re: и снова Net2Net VPN

Сообщение Sindrom » 25 дек 2012, 13:36

При использовании Gw2Gw все участники туннеля должны видеть друг друга, как со стороны сервера, так и клиента.
/dev/urandom
Teamviewer help
Аватар пользователя
Sindrom
 
Сообщений: 1098
Зарегистрирован: 12 янв 2011, 10:45

След.

Вернуться в VPN, VLAN, Каналы связи

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron
Каталог@Mail.ru - каталог ресурсов интернет