Sziasztok! Adott egy Zentyal 7.0.5 telepítés, ezen fut egy OpenVPN szerver. A Zenytal képes arra hogy két Zentyal telepítés között Site-2-Site VPN kapcsolatot alakítson ki egymás között, a routing információkat RIP protokollon, Quagga / Zebra segítségével adja át. (Megadható szerver és kliens oldalon is hogy melyik alhálózatok információit cserélje ki egymás között.) Ez tökéletesen működik is. A problémám: szeretnék egy PfSense-t is bekötni ebbe a hálózatba. Addig eljutottam hogy felcsatlakozik a PfSense VPN kliens, azokat a route-okat amiket push-al elküld a szerver szépen át is veszi, minden szuper. Nekem viszont kellene a szerver oldalon is pár routing szabály, hogy a csomagok vissza is találjanak. Mivel a kliens nem Zentyal, a szerveren futó RIP szervert kellene valahogyan "értesítenem" arról, hogy "hahó, itt van az x.y.z.q alhálózat, ezt route-old kérlek az a.b.c.x IP-re". Szeretném a PfSense széttúrása nélkül, elegánsan megoldani a feladatot. Rendelkezésemre áll pl. Docker ebben az alhálózatban, ebben kb. bármit lehet bepakolni. Ti hogyan oldanátok meg elegánsan ezt a feladatot, hogy a RIP szerver létrehozza a megfelelő route-okat a VPN szerver oldalon?
- 144 megtekintés
Hozzászólások
Nem elegáns, de ha kliens oldalon csak kliensek vannak, NAT-olj (masquerade) :), elég, ha a PFSense-t látja a Zentyal szerver, a mögötte csücsülő hálókkal már nem kell foglalkozni :)
Színes vászon, színes vászon, fúj!
Kérem a Fiátot..
- A hozzászóláshoz be kell jelentkezni
Kell a Site-To-Site funkcionalitás oda-vissza, így a NAT nem játszik. Összesen van három hely ahol dolgozom (székhely, iroda, és az épülő új ház). Előbbi kettő tökéletesen össze van állítva Zentyal-al mindkét végén. Az új helyre már PfSense lett, ezt kellene a meglévő hálózatba beilleszteni. Annyi minden köréjük van drótozva hogy sem a szoftverek, sem a hardverek cseréje nem jöhet szóba. Ilyenekre gondoltam még:
OpenVPN client connect / disconnect szkript írása: Zentyal alatt felül lehet írni az egyes konfigurációs fájl sablonokat, azaz lehet beléjük új elemeket tenni, módosítani, akármi. Elvileg megoldható lenne ezzel az, hogy amikor az adott VPN szerverre feljön egy kliens, csináljak ezt-azt, pl.:
# client connected to VPN server
client-connect "script/client_connect.sh"
# client disconnected from VPN server
client-disconnect "script/client_disconnect.sh"https://openvpn.net/community-resources/reference-manual-for-openvpn-2-…
Elvileg a környezeti változókból ki tudok szedni mindent, és ha a nekem szükséges kliens jön fel, ROUTE ADD, stb. Ez sem szép megoldás, de ha nem marad más, lehet erre megyek tovább. Mégis úgy érzem szebb lenne a beépített megoldást használni, és a RIP szervert megszólítani.
- A hozzászóláshoz be kell jelentkezni
Siker!
Ezzel sikerült:
https://redmine.pfsense.org/issues/11130
https://github.com/pfsense/FreeBSD-ports/commits/devel/net/pfSense-pkg-…
- A hozzászóláshoz be kell jelentkezni