Настройка OpenVPN

[fisher74]

Тут 2 варианта:
1. Клиентам показать путь до сети vpn
2. Замаскарадить сеть VPN

В свою очередь первый вариант делится тоже на несколько решений:
a. На нужных клиентских машинах прописывается постоянный маршрут на сеть VPN
b. на дефолтном шлюзе добавить маршрут до VPN-сети

[serg138]

Спасибо. Вариант b интересен. В настройках сервера openvpn у меня обозначена сеть как "server 10.10.10.0 255.255.255.0". Значит vpn сеть у меня 10.10.10.0. Команда ifconfig показывает вот что.

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.10.10.1  P-t-P:10.10.10.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:12940 errors:0 dropped:0 overruns:0 frame:0
          TX packets:22192 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:627841 (627.8 KB)  TX bytes:9149735 (9.1 MB)

redline@ubuntu:~$

Получается что у сервера vpn адрес 10.10.10.1 . Кстати не понял что еще за адрес P-t-P:10.10.10.2 .
Адрес 10.10.10.1 пингуется только с тех компов, гд шлюзом идет openvpn, соответсвенно.

Далее, дефолтный шлюз второй это "железка" от netgear. Где указан этот шлюз, там 10.10.10.1 не пингуется. Значит на netgear мне надо прописать подобный маршрут? Метрика 1?

[fisher74]

В качестве Gateway-адреса укажите IP-адрес сетевой карты сервера, смотрящей в локалку. Метрика, да - 1, хотя и 10 тоже будет работать.

[serg138]

Вообщем, все так и вписал,и да вместо 10.10.10.1 вбил локальный адрес eth сервера openvpn. Метрика -2. Метрику 1 он не предложил даже. Теперь 10.10.10.1 пингуется со всех компов где этот шлюх указан. Что же теперь осталось проверить буду ли иметь доступ к этим компьютерам из дома.

Кстати, из дома я подключился, но это схема и подойдет для соединения двух офисов? Просто прописать сетки обоих концов. А если создать нового клиента дополнительно , то надо сгенерировать ключи для него и передать ему.

[fisher74]

это схема и подойдет для соединения двух офисов? Просто прописать сетки обоих концов.

Конечно подойдёт, для того и пользуют.
Нужно будет прописать маршруты на сеть VPN и на филиалы.

А если создать нового клиента дополнительно , то надо сгенерировать ключи для него и передать ему.

Совершенно верно

[serg138]

Из дома все оказалось не так. Из дома я теперь пингую шлюз сети ,а вот компы с этим шлюзом по прежнему не пингуются.

[fisher74]

Код: [Выделить]

sysctl net.ipv4.ip_forward?

[serg138]

вышла цифра 1
Пользователь решил продолжить мысль 15 Августа 2012, 15:55:51:Набросал схему того, что мне надо получить. С компьютера windows7 через openvpn получить пинг на компьютер 192.168.1.200, который висит на шлюзе 192.168.1.50. Пока с компьютера через openvpn пингую лишь сам сервер openvpn 192.168.1.10 и шлюз 192.168.1.50. С самого сервера openvpn пингуется, естественно, любой адрес. Может быть какие маршруты надо на самом сервер openvpn прописать?Не в настройках openvpn , а в самом системе ubuntu?

[fisher74]

таблицу маршрутизации на 1.200 можно глянуть?

[serg138]

Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0    192.168.1.50     192.168.1.200       10
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.1.0    255.255.255.0      192.168.1.200     192.168.1.200       10
      192.168.1.200  255.255.255.255        127.0.0.1       127.0.0.1       10
    192.168.1.255  255.255.255.255      192.168.1.200     192.168.1.200       10
        224.0.0.0        240.0.0.0      192.168.1.200     192.168.1.200       10
  255.255.255.255  255.255.255.255      192.168.1.200     192.168.1.200       1
Основной шлюз:       192.168.1.50
===========================================================================
Постоянные маршруты:
  Отсутствует

Пользователь решил продолжить мысль 15 Августа 2012, 22:31:01:Разобрался, вообщем отлично все работает. Я так понимаю не имея ключей клиента никто не подключится к этому серверу?
И еще интересно как можно добиться такой вещи. Подключаясь из дома с windows добиться отображения компьютеров в сетевом окружении компьютеров второй сети?

[fisher74]

если iptables не игрались, то смотреть настройки клиента сети на машинах в плане диапазона адресов. Там вроде по дефолту ограничена только локальной сетью.

[serg138]

Поиск выдавал, что надо сервер настраивать в режиме моста и тогда компьютеры появятся якобы в сетевом окружении.

[fisher74]

Придётся согрешить.


Это семёрка. Как видно ограничивается только локальной сетью. В Вашем случае сеть VPN выходит за её рамки.
В хрюше есть подобная настройка брандмауэра.