OpenVPN nat mögötti gépre, hálózati nyomtatáshoz

Microsoft Windows

Egy eddig belső hálózaton lógó gép kiköltözik egy lakásba. Megy rajta egy könyvelőprogram, ami eddig a belső hálózati nyomtatóra printelt.
A gép korábban belül a 192.168.9.111 címen volt. A nyomtató megosztott hálózati nyomtató.
Létrehoztunk egy OpenVPN kapcsolatot a lakásba költözött gép és egy másik belső gép (192.168.9.101) között. Az OpenVPN-el 10.1.1.2 és 10.1.1.1 Tap címeket hoztunk létre, egyiket a lakás gépen másikat a belsőn.
A lakásban levő gépen azt kellene beállítani, hogy 192.168.9.x címek esetében a VPN-es 10.1.1.2 interfészen keresztül a 10.1.1.1-es címet használja default route-nak.
Linuxban ez route add -net 192.168.9.0 netmask 255.255.255.0 gw 10.1.1.1 lenne.

A belső hálózati routeren nincs vpn funkció, ezért van ez a kerülő megoldás. A baj csak az, hogy most csak a 192.168.9.101 gépre jut be a kinti gép. A cél, hogy ezen keresztül érje el a belső hálót, de a többi adatforgalmat továbbra is a UPC modemen bonyolítsa közvetlenül.
Mit kell állítani Windows XP-n, hogy 192.168.9.x címeknél ezen a VPN-es címen keresztül route-oljon??

  • 2019 megtekintés

( nagysa v | 2010. 01. 14., cs – 10:00 )

Szia!
Nem tudsz aludni? :)

"A nyomtató megosztott hálózati nyomtató."
Ezt pontosíts kérlek! Nekem a megosztott azt jelenti, hogy egy munkaállomásra telepített nyomtatót el lehet érni a hálózatról és
lehet rá nyomtatni.
A hálózati nyomtatónak van saját ip címe és azon keresztűl elérhető.

"Linuxban ez route add -net 192.168.9.0 netmask 255.255.255.0 gw 10.1.1.1 lenne."
Windowsban (paracssorban): route add 192.168.9.0 mask 255.255.255.0 10.1.1.1
Ha csak beírod, hogy route kiírja a helpet példákkal. Figyelj a "-p" kapcsolóra! Ez reboot után is megtartja a routot.

"Mit kell állítani Windows XP-n, hogy 192.168.9.x címeknél ezen a VPN-es címen keresztül route-oljon??"

Google: windows xp as router
Első találat:http://www.home-network-help.com/ip-forwarding.html
De ez nem fogja megoldani az összes problémádat, mert a 192.168.9.0 hálózat összes gépén módosítanod kell a route táblát, hogy a csomagok vissza is találjanak a vpn-es gépre.

Még nem ismerve teljesen a feladatot a következőt javaslom:
A másik belső gépen (ami benne van a vpn-ben) oszd meg a nyotatót (ha hálózati ezt akkor is megteheted) és a "a lakás gépen" telepítsd fel.
Így tudsz nyomtatni és kész.

üdv.
nagysa

A belső gép ami fogadja a VPN-t XP Professional. Ott úgy állítottuk be a hálót, hogy a valós ethernet inteface megosztja a hálózatot a többi rá csatlakozó gépről. Ezért megosztja a hálózatot a VPN Tap felé is, nem? Ez nem elég, hogy vissza is jussanak a csomagok a Tap-on keresztül a kinti gépre?
A
route add 192.168.9.0 mask 255.255.255.0 10.1.1.1
sajnos nem elég. Még így sem látja a többi benti gépet, csak azt amire csatlakozik.

Hamachi ezt alapból megoldaná, de jobb szeretnénk inkább OpenVPN-t.

Összefoglalva: a Hamachit (ami most ideiglenesen megoldja a feladatot) szeretnénk lecserélni OpenVPN-re.

A Hamachi out-of-box megoldás, az OpenVPN nem. De feltételezem azzal is megoldható a távoli nyomtatás (elsődleges feladat). Illetve a 'My Network Places'-ben a belső megosztott mappák elérése (másodlagos fontosságú feladat).

( dj | 2010. 01. 14., cs – 19:54 )

Én inkább távoli asztalt használnék, de ha paranoia is bejátszik akkor valamelyik vnc. Mindkettőnél ajánlott az alapértelmezett port megváltoztatása egy kellemesen nagy random port-ra.

Nálunk a kliens és a ''szerver'' is Windows XP pro. Normális esetben a benti router intézné a VPN kapcsolatot. De ez a router nem tud ilyet és nem lehet kicserélni másra. Ezért jobb híján két mezei Windows gép között hozzuk létre az OpenVPN kapcsolatot. Ez rendben létre is jött, lehet VNC kapcsolatot csinálni a két gép között VPN-en keresztül. Vagy lehet ftp kapcsolatot is, ha elindítunk a belső gépen egy windowsos ftp kiszolgáló programot. De nekünk nem csak addig a belső gépig kell kapcsolat (10.1.1.0), hanem tovább is az ottani belső hálózatig (192.168.9.0) is kell, hogy lásson.
Ez a leírás jó, csak nálunk nem Linux a fogató szerver, és azt sem akarjuk, hogy minden adatcsomag a továbbiakban ami a kinti gépről ki vagy bemegy a VPN kapcsolaton keresztül menjen.

A belső Windows gép megosztja az ''internetet'' a többi rácsatlakozó felé. Ha a Tap interface nem egy virtuális cuccos lenne, hanem egy másik valódi ethernet kártya, akkor ha arra kötnénk egy notebookot, akkor az látná az internetet és a teljes belső hálózatot is. A különbség csak az, hogy itt VPN-en keresztül lóg a kinti gép és nem kell minden adatot ezen keresztül forgalmaznia.
Szerintem csak a kinti gépen kell állítani. Tudatnunk kell vele, hogy a 192.168.8.0 felé irányuló adatforgalmat a 10.1.1.1 című gateway-en keresztül kell folytatnia.

( Hijaszu | 2010. 01. 15., p – 10:19 )

Mivel még mindenki csak minden másra válaszolt mint a kérdésre, ezért:

A man openvpn-ből tudsz tájékozódni, de amit te keresel a következő:

ccd alapján (a tanusítvány common name részéhez) létre kell hozni a gép számára egy egyedi konfigurációt (a VPN configjában a ccd-t engedélyezni kell és újraindítani), majd a ccd állományban az különböző push opciókat használni.

Például ha elég, hogy a kliens VPN IP címét fixálod, akkor ifconfig-push <kliens IP> <szerver IP>. Az útvonalválasztást is le lehet így küldeni a kliensnek.

Hijaszu