- OpenVPN, будет ли работать такая схема?,
 arachnid, 19:25 , 04-Июн-24 (1)вам нужно раскрыть, что вы понимаете под "физической невозможностью"
ну и как вы представляете себе работу openvpn на канальном уровне? с учетом того, что на этом уровне ip нет
- OpenVPN, будет ли работать такая схема?, danswano, 13:42 , 05-Июн-24 (3)
> вам нужно раскрыть, что вы понимаете под "физической невозможностью"
> ну и как вы представляете себе работу openvpn на канальном уровне? с
> учетом того, что на этом уровне ip нет Клиент сейчас сидит на свитче с другими клиентами в сети 192.168.0.0/24, чтобы его физически переключить, надо ему тянуть отдельный кабель через три этажа. Интернет у клиента есть, но у него еще есть VipNet Client, а внутри VipNet-сети должна работать система электронного документооборота "Дело". Она работает через пень-колоду, нестабильно, а в сети 10.54.0.0 она работает лучше. Что служит причиной - пытаюсь разобраться, поэтому и задумался.
- OpenVPN, будет ли работать такая схема?, Andrey, 13:51 , 05-Июн-24 (4)
>> вам нужно раскрыть, что вы понимаете под "физической невозможностью"
>> ну и как вы представляете себе работу openvpn на канальном уровне? с
>> учетом того, что на этом уровне ip нет
> Клиент сейчас сидит на свитче с другими клиентами в сети 192.168.0.0/24, чтобы
> его физически переключить, надо ему тянуть отдельный кабель через три этажа.
> Интернет у клиента есть, но у него еще есть VipNet Client,
> а внутри VipNet-сети должна работать система электронного документооборота "Дело". Она
> работает через пень-колоду, нестабильно, а в сети 10.54.0.0 она работает лучше.
> Что служит причиной - пытаюсь разобраться, поэтому и задумался.Свитчи без поддержки VLAN?
- OpenVPN, будет ли работать такая схема?, danswano, 13:53 , 05-Июн-24 (5)
> Свитчи без поддержки VLAN?Обычные неуправляемые
- OpenVPN, будет ли работать такая схема?, Andrey, 09:18 , 07-Июн-24 (13)
>> Свитчи без поддержки VLAN?
> Обычные неуправляемые Я правильно понимаю, что вы не знаете что у вас происходит на физическом уровне (ошибки, коллизии и т.д.), но при этом пытаетесь решить проблему программным образом, пробрасывая сегмент сети через среду с неизвестными параметрами, и ожидая что пробрасываемый сегмент будет работать стабильно? Если нет возможности проверить состояние портов на свитчах и выделить отдельный VLAN, кто мешает проверить работу сети собрав статистику длительным пингом пакетами размером 1500 байт и прогнать iperf между проблемным клиентом и сервером(или до хоста, который наиболее близок к серверу)?
Хотя-бы логи на проблемном хосте посмотрите.
- OpenVPN, будет ли работать такая схема?, arachnid, 14:55 , 05-Июн-24 (6)
>> вам нужно раскрыть, что вы понимаете под "физической невозможностью"
>> ну и как вы представляете себе работу openvpn на канальном уровне? с
>> учетом того, что на этом уровне ip нет
> Клиент сейчас сидит на свитче с другими клиентами в сети 192.168.0.0/24, чтобы
> его физически переключить, надо ему тянуть отдельный кабель через три этажа.
> Интернет у клиента есть, но у него еще есть VipNet Client,
> а внутри VipNet-сети должна работать система электронного документооборота "Дело". Она
> работает через пень-колоду, нестабильно, а в сети 10.54.0.0 она работает лучше.
> Что служит причиной - пытаюсь разобраться, поэтому и задумался.так, давайте уточним - сеть 192.168 работает через прокси. те, кто используют nat - находятся в другой подсети, для подключения к которой надо тащить кабель, поскольку свичи vlan не поддерживают. так? еще момент - координатор vipnet находится в интернете? и нет ли пересечений по адресам, которые обслуживает vipnet (и где находится ЭДО) и ваших подсетей? в общем то ваша идея с openvpn вполне должна работать - а вот поможет ли она вам...
- OpenVPN, будет ли работать такая схема?, danswano, 15:07 , 05-Июн-24 (7)
> так, давайте уточним - сеть 192.168 работает через прокси. те, кто используют
> nat - находятся в другой подсети, для подключения к которой надо
> тащить кабель, поскольку свичи vlan не поддерживают. так?
> еще момент - координатор vipnet находится в интернете? и нет ли пересечений
> по адресам, которые обслуживает vipnet (и где находится ЭДО) и ваших
> подсетей?
> в общем то ваша идея с openvpn вполне должна работать - а
> вот поможет ли она вам...До, сеть 192.168 использует прокси. В сети 10.54 есть криптошлюз в интернет,наверное, с NAT, что там внутри него - неведомо. Координатор доступен в интернете и по каким-то иным адресам, вида 172.21.255.0/24, которые находятся где-то за криптошлюзом. Внутри vipnet используется сеть 11.0.0.0/8, т.е., диапазоны все разные.
- OpenVPN, будет ли работать такая схема?, arachnid, 12:48 , 06-Июн-24 (9)
>[оверквотинг удален]
>> тащить кабель, поскольку свичи vlan не поддерживают. так?
>> еще момент - координатор vipnet находится в интернете? и нет ли пересечений
>> по адресам, которые обслуживает vipnet (и где находится ЭДО) и ваших
>> подсетей?
>> в общем то ваша идея с openvpn вполне должна работать - а
>> вот поможет ли она вам...
> До, сеть 192.168 использует прокси. В сети 10.54 есть криптошлюз в интернет,наверное,
> с NAT, что там внутри него - неведомо. Координатор доступен в
> интернете и по каким-то иным адресам, вида 172.21.255.0/24, которые находятся где-то
> за криптошлюзом. Внутри vipnet используется сеть 11.0.0.0/8, т.е., диапазоны все разные. 11 - это чисто туннельная адресация vipnet-a, она нам не интересна. 172 - это адрес сети внутри самого координатора.
скажите, а если на шлюзе 192 сделать nat для этого единственного адреса в 10.54? собственно, ваша идея о vpn будет работать тем же самым nat-ом. почему вы вообще заговорили о канальном уровне? есть какие-то предпосылки?
- OpenVPN, будет ли работать такая схема?, danswano, 15:35 , 06-Июн-24 (11)
> скажите, а если на шлюзе 192 сделать nat для этого единственного адреса
> в 10.54? собственно, ваша идея о vpn будет работать тем же
> самым nat-ом. почему вы вообще заговорили о канальном уровне? есть какие-то
> предпосылки?На linux-шлюзе есть pptpd, к которому могут подключаться клиенты из 192.168, при этом выдаются адреса вида 172.16.0.х, между этой сетью 172.16.0.0/24 и адресом внешнего интерфейса шлюза 10.54.0.2 устроен NAT и через этот NAT работают все браузеры, почтовые программы и другое. Но это не убирает глюки в "ЭОС Дело", хотя в VipNet-мониторе координатор доступен через свой интернет-IP. А что ему ещё надо, никак не пойму (
- OpenVPN, будет ли работать такая схема?, arachnid, 16:28 , 07-Июн-24 (14)
>> скажите, а если на шлюзе 192 сделать nat для этого единственного адреса
>> в 10.54? собственно, ваша идея о vpn будет работать тем же
>> самым nat-ом. почему вы вообще заговорили о канальном уровне? есть какие-то
>> предпосылки?
> На linux-шлюзе есть pptpd, к которому могут подключаться клиенты из 192.168, при
> этом выдаются адреса вида 172.16.0.х, между этой сетью 172.16.0.0/24 и адресом
> внешнего интерфейса шлюза 10.54.0.2 устроен NAT и через этот NAT работают
> все браузеры, почтовые программы и другое. Но это не убирает глюки
> в "ЭОС Дело", хотя в VipNet-мониторе координатор доступен через свой интернет-IP.
> А что ему ещё надо, никак не пойму ( а попробуйте попинговать сам адрес этого ЭОС (который должен иметь адрес из приватных диапазонов). особенно большими пакетами. кстати, а не требует ли подобная работе внесение изменений в файл hosts? ну и возможно, что стоит написать в ТП ЭОС с объяснением ситуации - что бы они посмотрели со своей стороны, что происходит, потому как vipnet - это таки достаточно темный ящик - и что там внутри происходит - вы просто не увидите.
- OpenVPN, будет ли работать такая схема?, pavel_simple., 07:44 , 05-Июн-24 (2)
> Всем привет.
> Есть шлюз с прокси и NAT, с одной стороны локалка 192.168.0.0/24 через
> интерфейс lan0. С другой стороны сеть с интернетом 10.54.0.0/24 через интерфейс
> ext0. Клиенты из локалки пользуются прокси, отдельные машины работают через NAT
> для обновления КонсультантаПлюс, например. В локалке есть клиент, которого нужно подключить
> к сети 10.54.0.0/24, но физически это сделать невозможно. Можно ли такую
> схему реализовать с OpenVPN на уровне L2? На шлюзе Debian 10,
> на клиенте - Win10 64-битная.если нужен только ip -- то проще простого, на шлюзе ставим pppoe (как самый простой для клиента, pptp тоже можно но херня, можно наверное даже ipsec в тунельном режиме, типа без vpn'а как такового но с vpn'ом), на клиенте подкючаемся и получаем ip из сети 10.54.0.0/24, этот ip исключаем из nat'а и разрешаем форвардинг. если нужна нормальная работа винды в домене -- нужен l2 уровень. там надо смотреть в что винда научилась, GENEVE/vxlan, если сеть тупая, наверное даже vlan можно сделать
- OpenVPN, будет ли работать такая схема?, _, 17:05 , 05-Июн-24 (8)
> если нужна нормальная работа винды в домене -- нужен l2 уровень.Хотелось бы грязных подробностей.
А то вот без него работает, наверное я что то неправильно сделал? И вообще - все вокруг кого знаю :-)
- OpenVPN, будет ли работать такая схема?, Viktor_1509, 15:06 , 06-Июн-24 (10)
> Всем привет.
> Есть шлюз с прокси и NAT, с одной стороны локалка 192.168.0.0/24 через
> интерфейс lan0. С другой стороны сеть с интернетом 10.54.0.0/24 через интерфейс
> ext0. Клиенты из локалки пользуются прокси, отдельные машины работают через NAT
> для обновления КонсультантаПлюс, например. В локалке есть клиент, которого нужно подключить
> к сети 10.54.0.0/24, но физически это сделать невозможно. Можно ли такую
> схему реализовать с OpenVPN на уровне L2? На шлюзе Debian 10,
> на клиенте - Win10 64-битная.Да, вы можете реализовать такую схему с помощью OpenVPN на уровне L2. Для этого вам понадобится настроить мост между интерфейсами lan0 и ext0 на вашем шлюзе Debian 10, а затем использовать OpenVPN для создания L2 VPN-туннеля между клиентом на Windows 10 и вашим шлюзом. Вот общий план действий: Настройка моста между интерфейсами lan0 и ext0: Это позволит объединить две сети в одну и передавать пакеты между ними. Установка и настройка OpenVPN на шлюзе Debian 10: Настройте OpenVPN для работы на уровне L2 (Ethernet bridging mode) и настройте его для подключения клиента. Установка и настройка OpenVPN на клиенте Windows 10: Установите OpenVPN на клиентской машине и настройте его для подключения к серверу OpenVPN на вашем Debian 10 шлюзе. Настройка маршрутизации: Убедитесь, что маршруты настроены правильно на обоих концах туннеля, чтобы пакеты могли правильно передаваться между сетями. Тестирование и отладка: После завершения настройки протестируйте подключение и убедитесь, что все работает корректно. При необходимости выполните отладку для выявления и устранения возможных проблем. Помните, что безопасность должна быть вашим приоритетом при настройке OpenVPN, убедитесь, что используете надежные методы аутентификации и шифрования.
- OpenVPN, будет ли работать такая схема?, danswano, 15:39 , 06-Июн-24 (12)
> Вот общий план действий:
> Настройка моста между интерфейсами lan0 и ext0: Это позволит объединить две сети
> в одну и передавать пакеты между ними.Может быть, между tap0 и ext0? Между lan0 и ext0 настроен форвардинг средствами iptables. > Установка и настройка OpenVPN на шлюзе Debian 10: Настройте OpenVPN для работы
> на уровне L2 (Ethernet bridging mode) и настройте его для подключения
> клиента.
> Установка и настройка OpenVPN на клиенте Windows 10: Установите OpenVPN на клиентской
> машине и настройте его для подключения к серверу OpenVPN на вашем
> Debian 10 шлюзе.
> Настройка маршрутизации: Убедитесь, что маршруты настроены правильно на обоих концах туннеля,
> чтобы пакеты могли правильно передаваться между сетями. Шлюз имеет адрес на ext0 10.54.0.2, роутер, через который идёт интернет - 10.54.0.1. При подключении по openvpn сервер отдаёт клиенту в качестве шлюза свой IP. Можно ли как-то сделать, чтобы он отдавал IP роутера (10.54.0.1)? > Тестирование и отладка: После завершения настройки протестируйте подключение и убедитесь,
> что все работает корректно. При необходимости выполните отладку для выявления и
> устранения возможных проблем.
> Помните, что безопасность должна быть вашим приоритетом при настройке OpenVPN, убедитесь,
> что используете надежные методы аутентификации и шифрования. В общих чертах, я сейчас так и пытаюсь сделать.
|
Версия для распечатки
OpenVPN, будет ли работать такая схема?, 
