OpenVPN Site to Site

Hálózatok általános

Sziasztok két irodánk között kellene VPN kapcsolatot kialakítani. Valahogy így néz ki:

  • {INTERNET}
    • FIX_IP-ROUTER_NAT-192.168.0.1)
      • (192.168.0.2-Win_2003_SBS_ISA_2004-10.0.1.2)--{Iroda 1.}
      • (192.168.0.3-CentOS5-10.0.1.3)--{Iroda 1.}
  • {INTERNET}
    • FIX_IP-ROUTER_NAT-192.168.0.1)
      • (192.168.0.2-Win_2003_SBS_ISA_2004-10.0.1.2)--{Iroda 2.}
      • (192.168.0.3-CentOS5)

Mivel mindkét Win 2003 SBS fájl-, a CentOS5-os gépek pedig HTTP, MySQL, Subversion szerverként üzemelnek nem szeretnénk közvetlen a NET-re tenni őket. Emiatt 2 NAT van mire az irodai belső hálókat (10.0.1.x és 10.0.0.x) elérjük:
- INTERNET fordítás a 192.168.0.x
- 192.168.0.x és a 10.0.x.x

VPN-es kapcsolatot szeretnék a két iroda közé. Nem vagyok tapasztalt hálózatos szakember, programozóként elvállaltam, hogy megoldom, mert érdekel a dolog. Ami eltérés a két iroda között, hogy a 2. helyen nincs benn a 10.0.0.x-es hálózatban a CentOS5-t futtató gép. Az 1. irodában pedig jelenleg ki van kapcsolva az ip_forward parameter a CentOS5 alatt. Ezt biztos be kell kapcsolni.

Én "ethernet bridge"-re gondoltam. Csak nem tudom hova milyen címeket állítsak, hogy a két irodában lássuk a két Win 2003-s domaint és egymás gépeit. A két iroda SUBNET-jét már én állítottam át SUBNET-MASK-ot 255.255.0.0-ra raktam... Jó ez így? De hogyan tovább? Kell-e virtuális TUN/TAP a CentOS alatt? Ha igen, milyen SUBNET-tel? Kell-e IP maszkolás az első irodában az CentOS5-ön?

Perger Attila

  • 2719 megtekintés

( zsolt3220 | 2008. 09. 17., sze – 20:50 )

en nemreg lottem ossze 2 telepet openvpn-nel debian alatt
az ip_forward nalam is kellett + iptables
a CentOS5-os gepek az atjarok? mert ha igen, akkor mind a 2-nek kell egy 10.0.0.x cim amine keresztul csatiznak + a vpn configban be kell allitani, hogy mi a masik oldal belso ip tartomanya/mask + ip_forward
a ket oldalon csak ugy nem lehet ugyanaz az ip-je az atjaronak, mert akkor honnan tudja egy gep, hogy A telep 192-je, vagy B telep 192-je van epp megszolita, DE asszem ezt igy is be lehet allitani, csak komplikaltabb
hat egyenlore ennyi :)

( zsolt3220 | 2008. 09. 17., sze – 20:53 )

apropó: valaki tudja esetleg, hogy site 2 site modban lehet elegansan is 2-nél több telephelyet vpn-nel osszekotni, vagy marad a mindenkit mindenkivel osszekotok modszer fejenkent 5 config-file :)
vagy legyen a client-server modell?

( andrej_ v | 2008. 09. 17., sze – 21:42 )

Azt ugye látod, hogy ha ua. a lokális hálózat mindkét helyen akkor se bridge se route nem lesz igazán nyerő. A windows domainnel meg az a problema hogy látni nehéz lesz, mert a két DC össze fog egymással veszni szerintem.

Szia...

Rosszul látod. Működik. A szervek egyoldalon történő címtartományom belüli módosításával (10.0.0.2 -> 10.0.0.130, 10.0.0.3 -> 10.0.0.131, a 192-es tartományban semmi nem változott). A többi gép érintetlenül maradt! Az irodákban senkinek nincs szüksége OpenVPN-re. A képek most készültek itthonról!

Képek:
http://pergersoft.hu/store/vpn01.jpg
http://pergersoft.hu/store/vpn02.jpg
http://pergersoft.hu/store/vpn03.jpg
http://pergersoft.hu/store/vpn04.jpg

Csak 1 helyre kell bejelentkezni a többi gép már látja egymást. Az irodák is. Jelenleg jogosultági dolgokat kell megoldanom!

Attila, Perger
-----------------------------------------------------
"Az a szoftver, amelyiket nem fejlesztik, az halott!"

"10.0.0.2 -> 10.0.0.130, 10.0.0.3 -> 10.0.0.131"
ez miert extra?
"Az irodákban senkinek nincs szüksége OpenVPN-re."
ezt ugy erted, hogy a kliens gepeknek? mert az tenyleg minek, ha van 2 szerveres vpn
a br0 miert kellett? nalam egyszertu tun-nal + route latja egymast a ket telephely

A két iroda gépei mind 10.0.0.0/255.255.255.0-ás alhálózatban vannak. Át akartam tenni őket a 10.0.0.0/255.255.0.0-ás alá de nem volt rá szükség (első node).

A bridge-re azért van szükség, hogy ne csak a két szerver lássa egymást. A klienseken nem lett módosítva semmi a hálózati beállításokban. PING, SAMBA, BROADCAST, stb... működnek. A két szerverben van beállítva az IPTABLES-sel, hogy melyik portra nyomja rá (át) a belső hálóról jövő forgalmat ha a cél a másik oldalon lévő 10.0.0.0-ás alhálózat.

Hogy ne legyen címkeveredés a DHCP szerverek a két oldalon 130 alatti és feletti címeket osztanak ki.

Cikk 1/2
Cikk 2/2

Így úgy működik a létrehozott bridge, mintha a két iroda egy hosszú kábellel össze lenne kötve egy közös ethernet switch-be.

Ja.. és a titkosítás sem elhanyagolható, ill. a két iroda egy porton van összekötve!!!

Attila, Perger
-----------------------------------------------------
"Az a szoftver, amelyiket nem fejlesztik, az halott!"

"Így úgy működik a létrehozott bridge, mintha a két iroda egy hosszú kábellel össze lenne kötve egy közös ethernet switch-be."
azt vágom, csak azért kérdezem, mert nekem simán az openvpn szerver config-ba beirom, hogy route utana az ip es mask es mukodik a ket telephely klientura bridge nelkul is es kliens modositas nelkul
"Ja.. és a titkosítás sem elhanyagolható, ill. a két iroda egy porton van összekötve!!!"
nalam ez van beirva cipher BF-CBC
keysize 512

Szia,

Nem próbáltam a bridge nélkül, de a következő sorok miatt használom, ahogy a linkelt cikkben van:

"
The brctl commands make a new ethernet bridge, and then bind eth1 to that bridge. This means br0 is now acting like an unmanaged switch on your LAN, and eth1 is 'plugged into' that switch
"

Attila, Perger
-----------------------------------------------------
"Az a szoftver, amelyiket nem fejlesztik, az halott!"