- OpenVPN, будет ли работать такая схема?, arachnid, 19:25 , 04-Июн-24 (1)
вам нужно раскрыть, что вы понимаете под "физической невозможностью" ну и как вы представляете себе работу openvpn на канальном уровне? с учетом того, что на этом уровне ip нет
- OpenVPN, будет ли работать такая схема?, danswano, 13:42 , 05-Июн-24 (3)
> вам нужно раскрыть, что вы понимаете под "физической невозможностью" > ну и как вы представляете себе работу openvpn на канальном уровне? с > учетом того, что на этом уровне ip нет Клиент сейчас сидит на свитче с другими клиентами в сети 192.168.0.0/24, чтобы его физически переключить, надо ему тянуть отдельный кабель через три этажа. Интернет у клиента есть, но у него еще есть VipNet Client, а внутри VipNet-сети должна работать система электронного документооборота "Дело". Она работает через пень-колоду, нестабильно, а в сети 10.54.0.0 она работает лучше. Что служит причиной - пытаюсь разобраться, поэтому и задумался.
- OpenVPN, будет ли работать такая схема?, Andrey, 13:51 , 05-Июн-24 (4)
>> вам нужно раскрыть, что вы понимаете под "физической невозможностью" >> ну и как вы представляете себе работу openvpn на канальном уровне? с >> учетом того, что на этом уровне ip нет > Клиент сейчас сидит на свитче с другими клиентами в сети 192.168.0.0/24, чтобы > его физически переключить, надо ему тянуть отдельный кабель через три этажа. > Интернет у клиента есть, но у него еще есть VipNet Client, > а внутри VipNet-сети должна работать система электронного документооборота "Дело". Она > работает через пень-колоду, нестабильно, а в сети 10.54.0.0 она работает лучше. > Что служит причиной - пытаюсь разобраться, поэтому и задумался.Свитчи без поддержки VLAN?
- OpenVPN, будет ли работать такая схема?, danswano, 13:53 , 05-Июн-24 (5)
> Свитчи без поддержки VLAN?Обычные неуправляемые
- OpenVPN, будет ли работать такая схема?, Andrey, 09:18 , 07-Июн-24 (13)
>> Свитчи без поддержки VLAN? > Обычные неуправляемые Я правильно понимаю, что вы не знаете что у вас происходит на физическом уровне (ошибки, коллизии и т.д.), но при этом пытаетесь решить проблему программным образом, пробрасывая сегмент сети через среду с неизвестными параметрами, и ожидая что пробрасываемый сегмент будет работать стабильно? Если нет возможности проверить состояние портов на свитчах и выделить отдельный VLAN, кто мешает проверить работу сети собрав статистику длительным пингом пакетами размером 1500 байт и прогнать iperf между проблемным клиентом и сервером(или до хоста, который наиболее близок к серверу)? Хотя-бы логи на проблемном хосте посмотрите.
- OpenVPN, будет ли работать такая схема?, arachnid, 14:55 , 05-Июн-24 (6)
>> вам нужно раскрыть, что вы понимаете под "физической невозможностью" >> ну и как вы представляете себе работу openvpn на канальном уровне? с >> учетом того, что на этом уровне ip нет > Клиент сейчас сидит на свитче с другими клиентами в сети 192.168.0.0/24, чтобы > его физически переключить, надо ему тянуть отдельный кабель через три этажа. > Интернет у клиента есть, но у него еще есть VipNet Client, > а внутри VipNet-сети должна работать система электронного документооборота "Дело". Она > работает через пень-колоду, нестабильно, а в сети 10.54.0.0 она работает лучше. > Что служит причиной - пытаюсь разобраться, поэтому и задумался.так, давайте уточним - сеть 192.168 работает через прокси. те, кто используют nat - находятся в другой подсети, для подключения к которой надо тащить кабель, поскольку свичи vlan не поддерживают. так? еще момент - координатор vipnet находится в интернете? и нет ли пересечений по адресам, которые обслуживает vipnet (и где находится ЭДО) и ваших подсетей? в общем то ваша идея с openvpn вполне должна работать - а вот поможет ли она вам...
- OpenVPN, будет ли работать такая схема?, danswano, 15:07 , 05-Июн-24 (7)
> так, давайте уточним - сеть 192.168 работает через прокси. те, кто используют > nat - находятся в другой подсети, для подключения к которой надо > тащить кабель, поскольку свичи vlan не поддерживают. так? > еще момент - координатор vipnet находится в интернете? и нет ли пересечений > по адресам, которые обслуживает vipnet (и где находится ЭДО) и ваших > подсетей? > в общем то ваша идея с openvpn вполне должна работать - а > вот поможет ли она вам...До, сеть 192.168 использует прокси. В сети 10.54 есть криптошлюз в интернет,наверное, с NAT, что там внутри него - неведомо. Координатор доступен в интернете и по каким-то иным адресам, вида 172.21.255.0/24, которые находятся где-то за криптошлюзом. Внутри vipnet используется сеть 11.0.0.0/8, т.е., диапазоны все разные.
- OpenVPN, будет ли работать такая схема?, arachnid, 12:48 , 06-Июн-24 (9)
>[оверквотинг удален] >> тащить кабель, поскольку свичи vlan не поддерживают. так? >> еще момент - координатор vipnet находится в интернете? и нет ли пересечений >> по адресам, которые обслуживает vipnet (и где находится ЭДО) и ваших >> подсетей? >> в общем то ваша идея с openvpn вполне должна работать - а >> вот поможет ли она вам... > До, сеть 192.168 использует прокси. В сети 10.54 есть криптошлюз в интернет,наверное, > с NAT, что там внутри него - неведомо. Координатор доступен в > интернете и по каким-то иным адресам, вида 172.21.255.0/24, которые находятся где-то > за криптошлюзом. Внутри vipnet используется сеть 11.0.0.0/8, т.е., диапазоны все разные. 11 - это чисто туннельная адресация vipnet-a, она нам не интересна. 172 - это адрес сети внутри самого координатора. скажите, а если на шлюзе 192 сделать nat для этого единственного адреса в 10.54? собственно, ваша идея о vpn будет работать тем же самым nat-ом. почему вы вообще заговорили о канальном уровне? есть какие-то предпосылки?
- OpenVPN, будет ли работать такая схема?, danswano, 15:35 , 06-Июн-24 (11)
> скажите, а если на шлюзе 192 сделать nat для этого единственного адреса > в 10.54? собственно, ваша идея о vpn будет работать тем же > самым nat-ом. почему вы вообще заговорили о канальном уровне? есть какие-то > предпосылки?На linux-шлюзе есть pptpd, к которому могут подключаться клиенты из 192.168, при этом выдаются адреса вида 172.16.0.х, между этой сетью 172.16.0.0/24 и адресом внешнего интерфейса шлюза 10.54.0.2 устроен NAT и через этот NAT работают все браузеры, почтовые программы и другое. Но это не убирает глюки в "ЭОС Дело", хотя в VipNet-мониторе координатор доступен через свой интернет-IP. А что ему ещё надо, никак не пойму (
- OpenVPN, будет ли работать такая схема?, arachnid, 16:28 , 07-Июн-24 (14)
>> скажите, а если на шлюзе 192 сделать nat для этого единственного адреса >> в 10.54? собственно, ваша идея о vpn будет работать тем же >> самым nat-ом. почему вы вообще заговорили о канальном уровне? есть какие-то >> предпосылки? > На linux-шлюзе есть pptpd, к которому могут подключаться клиенты из 192.168, при > этом выдаются адреса вида 172.16.0.х, между этой сетью 172.16.0.0/24 и адресом > внешнего интерфейса шлюза 10.54.0.2 устроен NAT и через этот NAT работают > все браузеры, почтовые программы и другое. Но это не убирает глюки > в "ЭОС Дело", хотя в VipNet-мониторе координатор доступен через свой интернет-IP. > А что ему ещё надо, никак не пойму ( а попробуйте попинговать сам адрес этого ЭОС (который должен иметь адрес из приватных диапазонов). особенно большими пакетами. кстати, а не требует ли подобная работе внесение изменений в файл hosts? ну и возможно, что стоит написать в ТП ЭОС с объяснением ситуации - что бы они посмотрели со своей стороны, что происходит, потому как vipnet - это таки достаточно темный ящик - и что там внутри происходит - вы просто не увидите.
- OpenVPN, будет ли работать такая схема?, pavel_simple., 07:44 , 05-Июн-24 (2)
> Всем привет. > Есть шлюз с прокси и NAT, с одной стороны локалка 192.168.0.0/24 через > интерфейс lan0. С другой стороны сеть с интернетом 10.54.0.0/24 через интерфейс > ext0. Клиенты из локалки пользуются прокси, отдельные машины работают через NAT > для обновления КонсультантаПлюс, например. В локалке есть клиент, которого нужно подключить > к сети 10.54.0.0/24, но физически это сделать невозможно. Можно ли такую > схему реализовать с OpenVPN на уровне L2? На шлюзе Debian 10, > на клиенте - Win10 64-битная.если нужен только ip -- то проще простого, на шлюзе ставим pppoe (как самый простой для клиента, pptp тоже можно но херня, можно наверное даже ipsec в тунельном режиме, типа без vpn'а как такового но с vpn'ом), на клиенте подкючаемся и получаем ip из сети 10.54.0.0/24, этот ip исключаем из nat'а и разрешаем форвардинг. если нужна нормальная работа винды в домене -- нужен l2 уровень. там надо смотреть в что винда научилась, GENEVE/vxlan, если сеть тупая, наверное даже vlan можно сделать
- OpenVPN, будет ли работать такая схема?, _, 17:05 , 05-Июн-24 (8)
> если нужна нормальная работа винды в домене -- нужен l2 уровень.Хотелось бы грязных подробностей. А то вот без него работает, наверное я что то неправильно сделал? И вообще - все вокруг кого знаю :-)
- OpenVPN, будет ли работать такая схема?, Viktor_1509, 15:06 , 06-Июн-24 (10)
> Всем привет. > Есть шлюз с прокси и NAT, с одной стороны локалка 192.168.0.0/24 через > интерфейс lan0. С другой стороны сеть с интернетом 10.54.0.0/24 через интерфейс > ext0. Клиенты из локалки пользуются прокси, отдельные машины работают через NAT > для обновления КонсультантаПлюс, например. В локалке есть клиент, которого нужно подключить > к сети 10.54.0.0/24, но физически это сделать невозможно. Можно ли такую > схему реализовать с OpenVPN на уровне L2? На шлюзе Debian 10, > на клиенте - Win10 64-битная.Да, вы можете реализовать такую схему с помощью OpenVPN на уровне L2. Для этого вам понадобится настроить мост между интерфейсами lan0 и ext0 на вашем шлюзе Debian 10, а затем использовать OpenVPN для создания L2 VPN-туннеля между клиентом на Windows 10 и вашим шлюзом. Вот общий план действий: Настройка моста между интерфейсами lan0 и ext0: Это позволит объединить две сети в одну и передавать пакеты между ними. Установка и настройка OpenVPN на шлюзе Debian 10: Настройте OpenVPN для работы на уровне L2 (Ethernet bridging mode) и настройте его для подключения клиента. Установка и настройка OpenVPN на клиенте Windows 10: Установите OpenVPN на клиентской машине и настройте его для подключения к серверу OpenVPN на вашем Debian 10 шлюзе. Настройка маршрутизации: Убедитесь, что маршруты настроены правильно на обоих концах туннеля, чтобы пакеты могли правильно передаваться между сетями. Тестирование и отладка: После завершения настройки протестируйте подключение и убедитесь, что все работает корректно. При необходимости выполните отладку для выявления и устранения возможных проблем. Помните, что безопасность должна быть вашим приоритетом при настройке OpenVPN, убедитесь, что используете надежные методы аутентификации и шифрования.
- OpenVPN, будет ли работать такая схема?, danswano, 15:39 , 06-Июн-24 (12)
> Вот общий план действий: > Настройка моста между интерфейсами lan0 и ext0: Это позволит объединить две сети > в одну и передавать пакеты между ними.Может быть, между tap0 и ext0? Между lan0 и ext0 настроен форвардинг средствами iptables. > Установка и настройка OpenVPN на шлюзе Debian 10: Настройте OpenVPN для работы > на уровне L2 (Ethernet bridging mode) и настройте его для подключения > клиента. > Установка и настройка OpenVPN на клиенте Windows 10: Установите OpenVPN на клиентской > машине и настройте его для подключения к серверу OpenVPN на вашем > Debian 10 шлюзе. > Настройка маршрутизации: Убедитесь, что маршруты настроены правильно на обоих концах туннеля, > чтобы пакеты могли правильно передаваться между сетями. Шлюз имеет адрес на ext0 10.54.0.2, роутер, через который идёт интернет - 10.54.0.1. При подключении по openvpn сервер отдаёт клиенту в качестве шлюза свой IP. Можно ли как-то сделать, чтобы он отдавал IP роутера (10.54.0.1)? > Тестирование и отладка: После завершения настройки протестируйте подключение и убедитесь, > что все работает корректно. При необходимости выполните отладку для выявления и > устранения возможных проблем. > Помните, что безопасность должна быть вашим приоритетом при настройке OpenVPN, убедитесь, > что используете надежные методы аутентификации и шифрования. В общих чертах, я сейчас так и пытаюсь сделать.
|