Open VPN kérdés

[quote:68edc033f9="Prophet"]Sziasztok,

a következő feladathoz kellene egy kis segitség;

Adott egy cég, aminek van kb. 10 telephelye. Ezeket a telephelyeket kellene összekötni OpenVPN-el a központi irodához. Átnéztem, egy nagy csomó oldlat ezzel kapcsolatban,
viszont ott csak 2 telephely összekötéséről találtam infót.
A rendszer egyebkeént a következő képpen épül fel:
A minden telephelyen és az irodában is Linux osztja meg a netet. Ezekre a gépekre kellene felraknom az OpenVPn-t és a belső gépek ezen keresztül érnék el a központi irodát és visszafelé.

Hát 10 telephely összekötésében nincs tapasztalatom, de kettőnél több alhálót már kötöttem össze. Én ezt úgy oldottam meg, hogy minden linuxos routernek kapott egy 10.80-as ip-t, és amögé lett beroutolva a 192.168.akármis helyi alháló. Minden router kliensnek volt egy saját config file-ja a ccd dir-ben, onnan kapta a 10.80-as ip-jét (statikusan), illetve abban volt benne az iroute parancs, ami az alháló láthatóságáért felel. A központi server configban felvettem minden alhálónak egy route opciót, illetve mindegyik mellé hozzátettem egy ifconfig-push "route subnet" opciót is, hogy minden kliens csatlakozáskor megkapja kötelezően a többi alháló route adatait. Ezek után pedig más tennivaló nincs is, mint belépni minden kliens routerrel, és elvileg él is a vpn és mindenki lát mindenkit. Remélem sikerült érhetően leírnom a műveletet, de az openvpn oldalából is ki lehet hámozni mindent szükséges infot, bár szerintem nem estek túlzásba a dokumentálással... :D

# Uncomment this directive to allow different
# clients to be able to "see" each other.
# By default, clients will only see the server.
# To force clients to only see the server, you
# will also need to appropriately firewall the
# server's TUN/TAP interface.
client-to-client

hasonlot csinaltam.

nekem egy kozponti szerverem volt, es ket másik szamitogep, amik egyszerre vagy kulon kulon is fellephettek a szerverre es mind a szervert, mind pedig egymast latni szerettek volna.

egy kiemelt gepre, ami a halozat elejen a router-tuzfal mogott csucsul telepitettem az openvpn-t
legeneraltam hozzajuk a szukseges kulcsokat, atmasoltam amit kellett a kliensekre, majd a beallitasokat is elvegeztem.

mukodik.

cat /etc/openvpn/server.conf
local 192.168.2.3
port 1179
proto tcp
dev tun
ca keys/ca.crt
cert keys/server.crt
key keys/server.key
dh keys/dh2048.pem
server 192.168.129.0 255.255.255.0
client-to-client
keepalive 10 120
tls-auth keys/ta.key 0
comp-lzo
max-clients 2
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log-append openvpn.log
verb 3

mivel nekem csak az szamit, hogy a cliens lassa (1 gep ) a kozpont halozatat ezert nem teszek bele halozat routeolast a szerver-configjaba, de csakugy mint lent a client-nel itt is be lehet allitani

cat /etc/openvpn/client.conf
client
dev tun
proto tcp
remote valahol.net 1179
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
ca keys/ca.crt
cert keys/client1.crt
key keys/client1.key
tls-auth keys/ta.key 1
ns-cert-type server
cipher DES-EDE3-CBC # Triple-DES
comp-lzo
verb 4
route 192.168.2.0 255.255.255.0 192.168.129.9

egyebkent mindez fent van az openvpn honlapjan a FAQ-k kozott.
Sot! meg iptables szabalyok is vannak ott hozza.
Elvileg ezzel csillag topologia jon letre, (virtualisan) 1 szerver N kliens a kliensek egymast latják.

de akkor mi a gond? :)
még majd a szervernél levő hálózat és az openvpn hálózatok forgalmát pedig át kell engedni a FORWARD -ban.
$IPTABLES -t filter -A FORWARD -i $INTIF -o $OVPNIF -j ACCEPT
$IPTABLES -t filter -A FORWARD -o $INTIF -i $OVPNIF -j ACCEPT