Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: OpenVPN gateway+bridge  (Прочитано 1553 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Lasovchik

  • Автор темы
  • Новичок
  • *
  • Сообщений: 43
    • Просмотр профиля
OpenVPN gateway+bridge
« : 04 Ноябрь 2013, 03:50:16 »
Доброго времени суток уважаемые. Не будете ли вы так любезны подсказать, как перенастроить OpenVPN таким образом, что бы для клиента№1 сервер выступал в роли шлюза в интернет. А для клиентов №2...№Х в роли моста? Сейчас gateway для всех. Заранее спасибо

Пользователь решил продолжить мысль 04 Ноябрь 2013, 12:47:32:
Лично мне на ум приходят две идеи реализации:
1. Статика клиентам и шаманство с IPTABLES
2. Поднять еще TAP интерфейс и подключение клиентов 2...Х к нему.(но как заставить работать сервер с двумя конфигами?)

Быть может я все сильно усложняю и есть более грациозные решения?
В общем, надеюсь на понимание и помощь
« Последнее редактирование: 04 Ноябрь 2013, 13:08:50 от Lasovchik »

Оффлайн ArcFi

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: OpenVPN gateway+bridge
« Ответ #1 : 04 Ноябрь 2013, 15:57:31 »
Быть может я все сильно усложняю и есть более грациозные решения?
Вполне вероятно.
Опишите исходную задачу подробно.

Оффлайн Lasovchik

  • Автор темы
  • Новичок
  • *
  • Сообщений: 43
    • Просмотр профиля
Re: OpenVPN gateway+bridge
« Ответ #2 : 04 Ноябрь 2013, 16:12:53 »
Цитировать
Опишите исходную задачу подробно.
Есть VPSка, на ней настроен OpenVPN сервер по этому ману http://habrahabr.ru/post/153855/
Все работает нормально, все клиенты при подключении выходят в мир с IP адреса VPS. Нужно сделать так, что бы один из клиентов выходил в мир через эту ВПСку, а другие могли только друг с другом в сети быть(для расшаривания ресурсов и игр по LAN) и выходить в инет своими собственными IP.

Наглядно:
« Последнее редактирование: 04 Ноябрь 2013, 16:33:08 от Lasovchik »

Оффлайн Aeooe

  • Участник
  • *
  • Сообщений: 158
    • Просмотр профиля
    • Компания БИТ
Re: OpenVPN gateway+bridge
« Ответ #3 : 04 Ноябрь 2013, 16:35:55 »
Не силен в теории openvpn но помойму можно создать 2 конфига сервера(2 интерфейса tap) и к ним уже коннектить разных клиентов. Одни будут в локалке vpn другие в нете. :) пните если не прав.

PS или вообще использовать tun + iptables

Оффлайн Kirill Atanaguzin

  • Новичок
  • *
  • Сообщений: 1
    • Просмотр профиля
Re: OpenVPN gateway+bridge
« Ответ #4 : 04 Ноябрь 2013, 17:07:34 »
Смотрел в файлах-примерах. Вроде нет никаких вариантов настройки через клиентскую конфигурацию.
Остается только через iptables.

Оффлайн ArcFi

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: OpenVPN gateway+bridge
« Ответ #5 : 04 Ноябрь 2013, 17:13:40 »
Нужно сделать так, что бы один из клиентов выходил в мир через эту ВПСку, а другие могли только друг с другом в сети быть(для расшаривания ресурсов и игр по LAN) и выходить в инет своими собственными IP.
Очень просто: надо настроить iptables filter/FORWARD.
Второй экземпляр сервиса не нужен.

Оффлайн Lasovchik

  • Автор темы
  • Новичок
  • *
  • Сообщений: 43
    • Просмотр профиля
Re: OpenVPN gateway+bridge
« Ответ #6 : 04 Ноябрь 2013, 17:18:44 »
Цитировать
Через iptables надо настроить filter/FORWARD.
Можно поподробнее? Как сервер узнает кого из клиентов форвардить?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27655
    • Просмотр профиля
Re: OpenVPN gateway+bridge
« Ответ #7 : 04 Ноябрь 2013, 17:19:36 »
Вы ему скажете об этом.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн ArcFi

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: OpenVPN gateway+bridge
« Ответ #8 : 04 Ноябрь 2013, 17:26:07 »
Lasovchik, на сервере в каталоге ccd выполняется привязка common-name сертификата клиента к IP-адресу.

Оффлайн Lasovchik

  • Автор темы
  • Новичок
  • *
  • Сообщений: 43
    • Просмотр профиля
Re: OpenVPN gateway+bridge
« Ответ #9 : 04 Ноябрь 2013, 17:30:45 »
Цитировать
на сервере в каталоге ccd выполняется привязка common-name сертификата клиента к IP-адресу.
ipp.txt Я правильно понял?

Оффлайн ArcFi

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: OpenVPN gateway+bridge
« Ответ #10 : 04 Ноябрь 2013, 17:36:23 »

Оффлайн Lasovchik

  • Автор темы
  • Новичок
  • *
  • Сообщений: 43
    • Просмотр профиля
Re: OpenVPN gateway+bridge
« Ответ #11 : 04 Ноябрь 2013, 18:00:55 »
Если я правильно понимаю буржуинский язык, сначала присваиваем категориям пользователей подсеть, а затем силами iptables разделяем котлеты от мух?

Оффлайн ArcFi

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: OpenVPN gateway+bridge
« Ответ #12 : 04 Ноябрь 2013, 18:02:12 »
Lasovchik, можно обойтись и одной сетью, если пользователей немного.

Оффлайн Lasovchik

  • Автор темы
  • Новичок
  • *
  • Сообщений: 43
    • Просмотр профиля
Re: OpenVPN gateway+bridge
« Ответ #13 : 04 Ноябрь 2013, 18:11:06 »
Как то это все не эститично на первый взгляд. То есть пакеты от клиента до адресата будут туда-сюда летать через пол земного шара?( Хотелось, что бы клиенты при открытии сайта ya.ru не обращались к серверу ВПН. Может я уже туплю? Подобная схема реализована в HAMACHI, TeamViewer. И как адекватно при таком раскладе будет работать бродкаст? Возможно целесообразнее развить мысль с двумя интерфейсами?
« Последнее редактирование: 04 Ноябрь 2013, 18:17:42 от Lasovchik »

Оффлайн ArcFi

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: OpenVPN gateway+bridge
« Ответ #14 : 04 Ноябрь 2013, 18:22:33 »
Хотелось, что бы клиенты при открытии сайта ya.ru не обращались к серверу ВПН.
Дык, не меняйте у них дефолтный шлюз, и они не будут к нему обращаться.

Подобная схема реализована в HAMACHI, TeamViewer.
O RLY? =)

 

Страница сгенерирована за 0.093 секунд. Запросов: 25.