Версия для печати темы

Автор: GarryGraf Среда, 31 Августа 2005, 13:19

Уважаемые Гуру.
Подскажите как правильно организовать маршрутизацию в OpenVPN.
Я имею в виду, может ли клиент видеть так же сеть через соединение VPN как если бы он был подключен просто к сети?

Автор: kenm Среда, 31 Августа 2005, 14:26

Вопрос не очень понятен, ибо то что вы спрашиваете и является основной функцией программы.
Возможно вам интересно можно ли сделать так что-бы в сети предприятия 192.168.0.0/24 клиент имел к примеру адрес 192.168.0.22 и работал бы как на рабочей станции этой сети?? Да такое вполне я думаю можно сделать, только по многим причинам это будет совершенно неправильно.

Автор: GarryGraf Среда, 31 Августа 2005, 15:32

Вопрос не очень понятен, ибо то что вы спрашиваете и является основной функцией программы.
Возможно вам интересно можно ли сделать так что-бы в сети предприятия 192.168.0.0/24 клиент имел к примеру адрес 192.168.0.22 и работал бы как на рабочей станции этой сети?? Да такое вполне я думаю можно сделать, только по многим причинам это будет совершенно неправильно.

[/quote]

Так вот как раз маршрутизация и не получается.
Тоесть подсеть у меня 192.168.0.0 VPN настроен на 10.10.0.0
я могу подключится к сетевым дискам сервера накотором стоит VPN, а вот могу ли я видеть саму сеть и другие машины в этой сети, вот в чем вопрос?

Автор: kenm Среда, 31 Августа 2005, 16:01

>>а вот могу ли я видеть саму сеть и другие машины в этой сети, вот в чем вопрос?
Да, сможете.
На VPN-сервере включите маршрутизацию
в конфиге сервера укажите
push "route 192.168.0.0 255.255.255.0"
если Vpn-сервер не является для сети 192.168.0.0 шлюзом необходимо на шлюзе прописать статический маршрут
route add -p 10.10.0.0 mask 255.255.255.0 vpn_server_ip ( если icmp route-redirect не поддерживается, такой маршрут придется прописать на всех машинах 192.168.0.0/24)

Автор: GarryGraf Среда, 31 Августа 2005, 16:30

Спасибо за разъяснение.
Если можно попытаюсь объяснить как у меня настроена сеть, может так понятнее будет так как у меня не вышло.
Есть сервер 2000 на нем стоит VPN с конфигурацией сервера
Сетвеой интерфейс имеет настройки 192.168.0.8 mask 255.255.255.0 VPN настроен 10.10.0.1 mask 255.255.255.252
конфигурация сервреной части
# тип интерфейса
dev tun

# имя интерфейса (должно совпадать с названием интерфейса в виндовс) - необязательный параметр
dev-node "vpn"

# Указываем серверу, что работать будем по протоколу TCP
proto udp
# Порт 8888
port 5000

# признак серверной конфигурации
tls-server

#укажем ip сервера в vpn сети (иными словами – виртуальное адресное пространство между клиентом и сервером)
server 10.10.0.0 255.255.255.0

# Включаем сжатие
comp-lzo

# Метод добавления маршрута (актуально только для Windows)
route-method exe
# маршрут для сервера, чтобы видеть сети 192.168.60.x и 192.168.50.x
# однако, чтобы клиенты из этой подсети видели сеть за сервером, необходимо прописать
# разрешающее правило для самого клиента в директории ccd
#route 192.168.0.0 255.255.255.0 10.10.0.2

# маршрут, который добавляется в таблицу КАЖДОГО клиента, чтобы видеть сеть за сервером
# здесь он закомментирован, т.к. использовались персональные файлы клиентов
# push "route 192.168.0.0 255.255.255.0"

# push "dhcp-option DNS 10.10.0.1"
# push "dhcp-option WINS 10.10.0.1"


# Разрешает vpn-клиентам видеть друг друга
client-to-client

# Каталог с конфигурациями пользователей
# Должен быть задан предварительно
client-config-dir C:\\OpenVPN\\config\\ccd
# Файл с описанием vpn-сетей между клиентом и сервером
# Если при старте сервера он не существует, то создается автоматически
ifconfig-pool-persist C:\\OpenVPN\\config\\ccd\\ipp.txt

# Указываем пути для сертификатов сервера
# Сертификат для шифровки установки соединения
dh C:\\OpenVPN\\ssl\\dh1024.pem
# Сертификат центра сертификации
ca C:\\OpenVPN\\ssl\\ca.crt
# Сертификат сервера
cert C:\\OpenVPN\\ssl\\ServerVPN.crt
# Ключ сервера
key C:\\OpenVPN\\ssl\\ServerVPN.key

# Использование интерфейса и ключа при рестарте сервера
persist-tun
persist-key

# Защита от DOS атак (для сервера, после пути к ключу, ставим 0)
tls-auth C:\\OpenVPN\\ssl\\ta.key 0
# Время жизни неактивной сессии
keepalive 10 120

# Пути к логам
# Лог состояния (перезаписывается ежеминутно)
status C:\\OpenVPN\\log\\openvpn-status.log
# Системный лог
log C:\\OpenVPN\\log\\openvpn.log

# Количество отладочной информации (от 0 до 9) в логах
verb 3

настройка C:\OpenVPN\config\ccd

# маршрут для клиента Admin, чтобы видеть сеть за сервером, т.е. 192.168.0.0/24
# route 192.168.0.0 255.255.255.0 10.10.0.2
push "route 192.168.0.0 255.255.255.0"
# iroute 192.168.0.0 255.255.255.0
# Отключить пользователя (для этого нужно раскомментировать параметр disable)
# disable

Вот практически и все, хотя есть еще нюанс на ружу смотрит Linux на нем настроен проброс портов на сервер 192.168.0.8
Вот как быть при такой схеме, что делаю не так.
И еще вопрос в настройки TAP-Win32 Adapter V8 интерфейса, нужно все руками прописывать или само должно работать (я прописывал руками, так как если ни чего не писать ему присваивается какой то левый IP)

Автор: GarryGraf Вторник, 06 Сентября 2005, 17:05

Народ, так что ни кто не в курсе, как с этим бороться?