openvpn TP-LINK Archer C1200

Sziasztok!

Adott két hely. Mindkettő alhálózata 192.168.3.0
Egyik debian 11 (egy miniPC, itt kliens fut - MT router mögött), másik tp-link ac1200 (itt megy az openvpn szerver) MT és TP címe más (192.168.3.1 és 192.168.3.5)
Szeretném openvpn-nel összekötni, hogy mindkét oldal mindenkit lásson. Ja, és a címek "fixek", pl. MQTT brókeré a 192.168.3.x beépített Shelly 1-be (fizikailag bony. átírni)
Win 10 alól megy simán - ugyanabba a netbe; a win alól a tplinkes hálón pingelhetem -, de debian mintha a route-ot teljesen elvesztené?!)
Most nézem win alatt a logba, de mégis megy... Options error: option 'route' cannot be used in this context ([PUSH-OPTIONS]) - 5-6 sorba is.

Kliens konfig:
client
dev tun
proto udp
float
nobind
cipher AES-128-CBC
comp-lzo adaptive
resolv-retry infinite
persist-key
persist-tun
remote x.x.x.x 1194
route 192.168.3.0 255.255.255.0
route 192.168.4.1
route-nopull
<ca>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
...
-----END PRIVATE KEY-----
</key>
 

Mi lehet?

Hozzászólások

tehát hogy értsük:

- van két neted, 192.168.3.x mindkettőnek a subnetje.

- tudod garantálni hogy ne legyen ip cím ütközés a hálózatok között sem

Akkor össze kellene bridgelni a két hálózatot (dev tap kéne)

A route-okat el kéne hagyni.

Ha mindenképpen route-olni akarsz akkor azt tudhatod csinálni hogy elfelezed a networköt és /25-ös netmaszkot használsz.

Ehhez persze az egyik hálózaton az IP-ket el kell mozgatni a felső tartományba.

Gábriel Ákos

nem fog menni ha mindkét oldalon ugyanaz a subnet.

Attól, hogy ugyanaz a subnet, még nem kell kategórikusan kijelenteni, hogy nem fog menni. De, megoldható. Csak nem a klasszikus felállás - ergo bocsolultabb és a konfigurálásához esélyesen nincs grafikus felület. Lépések:
- az openvp nem tun, hanem tap interface-t használ,
- a tap interface nem önállő IP címmel rendelkező interface, hanem bridge member,
- cserébe a belső hálózati interface-t is bele kell barkácsolni a bridge-be,
- ennek megfelelően mindenképp kell egy if-up script, ami elvégzi a brctl addif nemes műveletét,
- kliens oldalon ezen felül illő levenni a tap interface-ről az openvpn által automatikusan felhúzott IP címet.

A megoldás ugyan működik, de ennek vannalk olyan jutalmai, amelyek megfotolandóak:
- mivel alsóbb rétegen csomóztuk össze a két hálózatot, nem az IPv4 lesz az egyetlen protokoll, ami átmegy rajta,hanem minden más is: IPX, NetBeu. AppleTalk, IPv6, ....
- ennek megfelelően egy ARP kérés is (jogosan) átmegy. Meg minden broadcast is (logikus).
Kérdés, hogy ez mennyire probléma?

Ha nincs tap driver, akkor valóban macera a bridge megvalósítása.

Amikor még behívós nettel játszottam a cégnél, a pppd tudott olyat, hogy a ppp0 interface IP ugyanaz volt, mint az eth0 Ip címe. A túloldalra is ugyanebből a subnetből osztott IP címet és a pppd megkapta a -proxy-arp kapcsolót. Innen kezdve a túloldali masina a helyi háló tagjává vált.
Kérdés, hogy ez nálad mennyire lehet játékos? De gyanús, hogy ez sem lenne annyira egyszerű, mert a pppd esetén egyetlen helyen egyetlen IP-ről kellett füllenteni - itt most két helyen és több IP-ről is tudni kéne azt mondani, hogy "itt vagyok, nekem küldd", majd a kapott csomagot átlőni a kapcsolaton a túloldalnak, ahol szintén tovább kell dobni a valós címzettnek.

Szerkesztve: 2022. 09. 25., v – 11:49

Azt látom, hogy így ezzel a felállással nem lesz bridge.
Pár dolgot elengedek, a nyomtató fix ip címét fizikailag DHCP-re kell írni.
Normál esetben, az egyik háló - amin van a tp-link openvpn szerver - más alhálós címben lesz, de a kliens is és a szerver elhálója egymást
látni fogja? (szerver a default tun)
egyik háló 192.168.3.xx (ovpn kliens), másik 192.168.4.yy (ovpn server), Openvpn tun: 192.168.10.zz
R.

Olyat is csinálhatsz, hogy az iptables/nftables NETMAP target-jével NAT-olod a cél routeren hálózati címeket. Nekem is van két ilyen hálózatom (site-to-site) VPN-nel összekötve, mindkettő 192.168.0.0/24, és a "másik" hálózatra 192.168.254.0/24-ként hivatkozok (pl. a 192.168.0.1-es gépet 192.168.254.1-ként írom).