openvpn и одна и та же подсеть, но на разных концах, Возможно ли такое?

[skeletor]

На одном конце настроен openvpn сервер. Есть внутренняя подсеть, допустим 10.10.10.0/24. Есть удалённый клиент. Нужно, что бы у него была та же внутренняя подсеть, то есть 10.10.10.0/24. Возможно ли такое сделать на openvpn'e или нужно что-то другое?
Вот небольшая схема:

[2Casp]

Да можно:
Настройка OpenVPN Linux->Windows
Тут тоже можно почерпнуть

[AnViar]

Я не уверен, но мне кажется, что не сработает - банально у вас в пределах одной подсети метрика должна равняться единице...

Да можно:
Настройка OpenVPN Linux->Windows
Тут тоже можно почерпнуть

а это тут при чем? :crazy:

[2Casp]

а это тут при чем?

Как вопрос понял...что значит в пределах одной подсети, насколько я понял "Есть удалённый клиент. " Он уже не в одной подсети

[skeletor]

а это тут при чем?

Как вопрос понял...что значит в пределах одной подсети, насколько я понял "Есть удалённый клиент. " Он уже не в одной подсети

Удалённый, не значит не в одной. Удалённый, значит, есть внешний IP, и нужно ему дать VPN.

[AnViar]

а это тут при чем?

Как вопрос понял...что значит в пределах одной подсети, насколько я понял "Есть удалённый клиент. " Он уже не в одной подсети

когда у тебя клиент с отдельным выданным ip, то в таблице маршрутизации прописано явно где его искать, за каким шлюзом (ну если это сделано). а к соседнему хосту по подсети пакет не полетит через шлюз, а будет его искать локально. так понятно?

[2Casp]

сорь, не прально вопрос понял

[KiWi]

когда у тебя клиент с отдельным выданным ip, то в таблице маршрутизации прописано явно где его искать, за каким шлюзом (ну если это сделано). а к соседнему хосту по подсети пакет не полетит через шлюз, а будет его искать локально. так понятно?

Имея мосты на оба VPN-соединения -- всё должно полететь.

[skeletor]

а это тут при чем?

Как вопрос понял...что значит в пределах одной подсети, насколько я понял "Есть удалённый клиент. " Он уже не в одной подсети

когда у тебя клиент с отдельным выданным ip, то в таблице маршрутизации прописано явно где его искать, за каким шлюзом (ну если это сделано). а к соседнему хосту по подсети пакет не полетит через шлюз, а будет его искать локально. так понятно?

Вполне, только вот как быть с обраткой? У клиента будет в таблице маршрутизации сетка 10.10.10.0/24 висеть на интерфейсе, и тут же она будет висеть ещё и в маршрутах на удалёнку. У пакета при такой маршрутизации может снести голову Вот, например

Код: Выделить всё

10.10.10.0/24        link#1             U           3   240730    rl0
10.10.10.0/24        link#2             U           3   240730    tun0

когда у тебя клиент с отдельным выданным ip, то в таблице маршрутизации прописано явно где его искать, за каким шлюзом (ну если это сделано). а к соседнему хосту по подсети пакет не полетит через шлюз, а будет его искать локально. так понятно?

Имея мосты на оба VPN-соединения -- всё должно полететь.

А обязательно ли на обоих сторонах мосты? Можно ли обойтись одним мостом?

[KiWi]

А обязательно ли на обоих сторонах мосты? Можно ли обойтись одним мостом?

А здесь -- стоит выражать свои мысли яснее.
Если у вас есть внутренняя сеть, к которой необходимо подключить клиента(то есть 10.10.10.0/24 -- это сеть, которая используется внутри VPN-соединения), то второй мост не нужен, а первый на сервере реализуется через openvpn.conf -> server-bridge(раздача адресов, а не сам мост).
А если это ещё какая-то сеть -- то обязательно.

[samtro]

Я что то все равно не врубился. Как пакеты клиентов разделенных туннелем будут попадать друг к друг. Как клиент различит, что вот этот адрес 10.10.10.1 у него локальный, а к 10.10.10.2 нужно пакет передать к мосту?

[KiWi]

Я что то все равно не врубился. Как пакеты клиентов разделенных туннелем будут попадать друг к друг. Как клиент различит, что вот этот адрес 10.10.10.1 у него локальный, а к 10.10.10.2 нужно пакет передать к мосту?

Тогда стоит начать с изучения самых основ -- как работают хабы, свитчи, мосты, arp-протокол и т.д. и т.п.

[Alex2ndr]

Я что то все равно не врубился. Как пакеты клиентов разделенных туннелем будут попадать друг к друг. Как клиент различит, что вот этот адрес 10.10.10.1 у него локальный, а к 10.10.10.2 нужно пакет передать к мосту?

Тогда стоит начать с изучения самых основ -- как работают хабы, свитчи, мосты, arp-протокол и т.д. и т.п.

Т е широковещательные arp запросы будут передаваться по мостам через VPN тунель? Я понимаю что в теории это работать может - а на практике это работает? Да и что если откликнутся оба адреса? Что-то я тоже ничего не понимаю.

[ALexhha]

Тогда стоит начать с изучения самых основ -- как работают хабы, свитчи, мосты, arp-протокол и т.д. и т.п.

честно говоря, сам не до конца понял. У нас есть в ДНС запись вида

www.local.net IN A 10.10.10.2.

Этот веб ресурс есть в двух офисах.

Клиент в сети офиса 1 набирает в проводнике это имя на какой ресурс он попадет в таком случае? Или как ему попасть на этот же ресурс во втором офисе?

[KiWi]

Т е широковещательные arp запросы будут передаваться по мостам через VPN тунель? Я понимаю что в теории это работать может - а на практике это работает? Да и что если откликнутся оба адреса? Что-то я тоже ничего не понимаю.

Что такое оба адреса? В одной подсети может быть ровно 1 компьютер с 1 IP-адресом. Иначе -- конфликт IP-адресов ещё на этапе настройки сети.

[ALexhha]

Судя по постановке задачи совпадающие ip адреса явно есть.

[Alex2ndr]

Т е широковещательные arp запросы будут передаваться по мостам через VPN тунель? Я понимаю что в теории это работать может - а на практике это работает? Да и что если откликнутся оба адреса? Что-то я тоже ничего не понимаю.

Что такое оба адреса? В одной подсети может быть ровно 1 компьютер с 1 IP-адресом. Иначе -- конфликт IP-адресов ещё на этапе настройки сети.

А кто сказал про одну подсеть? В условии задачи явно указаны 2 подсети с одинаковым адресным диапазоном - значит и наличие совпадающих машин там не исключено. Я так понимаю эта ситуация возникла не про прихоти, а потому что наверно поменять диапазон сложно по каким-то причинам(может быть административным). Соответственно когда мы провесим мосты и широковещательная arp рассылка станет общей на обе подсети то мы получим множественный конфликт адресов - или не очень множественный - как повезет с совпадающими адресами.

[mandreika]

На сколько я знаю - iptables позволяет делать network mapping

тоесть сетку 192.168.1.0 перекросировать в 192.168.111.0

Либо ручками

iptables -t nat -A POSTROUTING -s 192.168.1.N -o ppp0 -j SNAT --to-source 192.168.111.N
iptables -t nat -A PREROUTING -s 192.168.111.N -i ppp0 -j DNAT --to-destination 192.168.1.N

И так N раз =)

[ALexhha]

И при чем тут это?

[mandreika]

Каждая из подсетей будет видеть другую не как 10.10.10.0/24 а скажем 10.20.10.0/24

Тут можно как посмотреть:

Из сети A - хост 10.10.10.5 приходит пакет в сеть B хост 10.10.10.6
Куда будет отдавать ответы хостВ ? В свитч - тоесть уже другому лже 10.10.10.5

Посему только маскировать пакеты на граничных маршрутизаторах (VPN)

-----
Либо VPN в режиме bridge в контексте OpenVPN tun tap
И не пересекающиеся множества IP

[Alex2ndr]

На сколько я знаю - iptables позволяет делать network mapping

тоесть сетку 192.168.1.0 перекросировать в 192.168.111.0

Либо ручками

iptables -t nat -A POSTROUTING -s 192.168.1.N -o ppp0 -j SNAT --to-source 192.168.111.N
iptables -t nat -A PREROUTING -s 192.168.111.N -i ppp0 -j DNAT --to-destination 192.168.1.N

И так N раз =)

То что вы предлагаете называется (по терминологии циски) Статический NAT (т е не в диапазон портов а в диапазон адресов).
Не совсем понятно зачем DNAT - это будет работать в обратную сторону только если ручками прописать эти 2 правила для всех машин до единой. Итак сделать для обоих подсетей. Также нужно настроить маршрутизацию на "новые" подсети. Не совсем просто и очевидно - но как вариант работать наверно будет.

[KiWi]

DNAT заменить на NETMAP и будет проще.

[skeletor]

Всем спасибо, настроил. Если кому интересно, то здесь описал, что и как настраивал.

[Alex2ndr]

Всем спасибо, настроил. Если кому интересно, то здесь описал, что и как настраивал.

Я так понял что вы использовали вариант с мостом (и соответственно пересылкой arp запросов). Тогда поясните нам как решилась ситуация с одинаковыми адресами в разных сетях - или их не было?

[skeletor]

Да, использовал бридж. Одинаковых адресов нет (и не должно быть), есть одна подсеть, адреса из которой встречаются по обе стороны. Если более подробно, то вот куски arp-таблиц на обеих шлюзах:

Код: Выделить всё

[root@gw1 /scripts]# arp -a
? (10.55.0.1) at 00:1c:c0:41:7c:a1 on vlan51 permanent [vlan]
? (10.55.0.101) at 00:80:1e:10:77:63 on vlan51 [vlan]
? (10.55.0.178) at 00:04:a1:15:77:43 on vlan51 [vlan]

[root@gw2 /usr/local/etc/openvpn]# arp -a
? (10.55.0.1) at 00:bd:26:0f:00:00 on vlan52 [vlan]
? (10.55.0.101) at 00:80:1e:10:77:63 on vlan52 permanent [vlan]
? (10.55.0.178) at 00:04:a1:15:77:43 on vlan52 [vlan]

адрес 10.55.0.178 сейчас находится под одну сторону со шлюзом gw1, но если его перекинуть в в другую сторону, то ситуация не изменится. Получается, что сами arp-талицы просто дублируются на обеих шлюзах.
На vlan'ы не обращайте внимание: просто у каждого сервака по одной сетевухе и нужно как-то было выходить из ситуации.

[mandreika]

Тривиально и не интересно - вот если бы на NAT долбанул

[skeletor]

Да ты я смотрю, вообще нетривиальный и с такими советами нужно рот закрыть и не показываться на форуме. Да и мало того, что читать не умеешь тему, заголовок ну и ещё понятия не имеешь, о чём пишешь , особенно улыбнули правила iptables которые вообще непонятно, что тут делают. Хоть бы сначала спросил, что у меня за ОС, а так сразу по воробьям, так и с пушки.
Вообщем, нетривиальный ты наш, иди учи матчасть: не можешь помочь, так лучше не пиши всякой гадости, а то умные слова услышал, и понеслось.

2Модераторы: не хотел никого обидеть, просто ситуация такая, и требовала выразить свои мысли.

[mandreika]

Да ты я смотрю, вообще нетривиальный и с такими советами нужно рот закрыть и не показываться на форуме. Да и мало того, что читать не умеешь тему, заголовок ну и ещё понятия не имеешь, о чём пишешь , особенно улыбнули правила iptables которые вообще непонятно, что тут делают. Хоть бы сначала спросил, что у меня за ОС, а так сразу по воробьям, так и с пушки.
Вообщем, нетривиальный ты наш, иди учи матчасть: не можешь помочь, так лучше не пиши всякой гадости, а то умные слова услышал, и понеслось.

2Модераторы: не хотел никого обидеть, просто ситуация такая, и требовала выразить свои мысли.

Отвечу по пунктам
1)Не груби
2)В своих сообщениях - ты говоришь - ip могут повторяться.
3)Ты пишешь в linux форуме - а значит у тебя не винда и не бсдя.
4)В твоем дистре есть iptables
5)Я дал намек - если не можешь думать твои проблемы.
6)Решения openvpn в режиме бриджа обмусолено по всему инету.
7)Решение с iptables будет работать даже если ip адреса дублируются.

[mandreika]

------
Пусть R1 сервер слева(см рисунок)
Пусть R2 сервер справа

Присваиваем (в уме) сетке слева ip 10.1.10.0/24 а сетке справа ip 10.2.10.0/24

Движение пакета между ip 10.10.10.6(слева) к ip 10.2.10.6 (которая для левой сети будет выглядеть так)

10.10.10.6 - 10.2 .10.6
R1(SNAT) 10. 1.10.6 - 10.2 .10.6
R2(DNAT) 10. 1.10.6 - 10.10.10.6
-----
Для движения пакетов справа налево - аналогично.

P.S. Хочешь делать бриджом - делай (просто бывают случаи когда надо подключить клиентский машины на оборудовании клиента, и бридж не всегда возможно сделать)

[skeletor]

------
Пусть R1 сервер слева(см рисунок)
Пусть R2 сервер справа

Присваиваем (в уме) сетке слева ip 10.1.10.0/24 а сетке справа ip 10.2.10.0/24

Движение пакета между ip 10.10.10.6(слева) к ip 10.2.10.6 (которая для левой сети будет выглядеть так)

10.10.10.6 - 10.2 .10.6
R1(SNAT) 10. 1.10.6 - 10.2 .10.6
R2(DNAT) 10. 1.10.6 - 10.10.10.6
-----
Для движения пакетов справа налево - аналогично.

P.S. Хочешь делать бриджом - делай (просто бывают случаи когда надо подключить клиентский машины на оборудовании клиента, и бридж не всегда возможно сделать)

Условие задачи-то такое: одна и та же подсеть, но по разные стороны. Причём тут

Присваиваем (в уме) сетке слева ip 10.1.10.0/24 а сетке справа ip 10.2.10.0/24

???

Да ты я смотрю, вообще нетривиальный и с такими советами нужно рот закрыть и не показываться на форуме. Да и мало того, что читать не умеешь тему, заголовок ну и ещё понятия не имеешь, о чём пишешь , особенно улыбнули правила iptables которые вообще непонятно, что тут делают. Хоть бы сначала спросил, что у меня за ОС, а так сразу по воробьям, так и с пушки.
Вообщем, нетривиальный ты наш, иди учи матчасть: не можешь помочь, так лучше не пиши всякой гадости, а то умные слова услышал, и понеслось.

2Модераторы: не хотел никого обидеть, просто ситуация такая, и требовала выразить свои мысли.

Отвечу по пунктам
1)Не груби
2)В своих сообщениях - ты говоришь - ip могут повторяться.
3)Ты пишешь в linux форуме - а значит у тебя не винда и не бсдя.
4)В твоем дистре есть iptables
5)Я дал намек - если не можешь думать твои проблемы.
6)Решения openvpn в режиме бриджа обмусолено по всему инету.
7)Решение с iptables будет работать даже если ip адреса дублируются.

1 - это была ответная реакция на фразу, да тут всё элементарно!
2 - не говорил я такого!!! где написано это? Ты вообще различаешь понятия сеть/подсеть и адрес?
3 - тут вообще-то есть подфорумы по bsd, а не только линукс. Кстати, у меня всё это на FreeBSD.
4 - нету!
5 - намёк???? ну-ну
6 - вообще, нет слов. что ж ты тогда делаешь здесь, если всё есть в инете? зачем тебе форум, если всё уже обмусолено?
7 - не будет! поставь 2 одинаковых ip и проверь.
Ну и последнее: где тут одинаковые ip по обе стороны?

Код: Выделить всё

iptables -t nat -A POSTROUTING -s 192.168.1.N -o ppp0 -j SNAT --to-source 192.168.111.N
iptables -t nat -A PREROUTING -s 192.168.111.N -i ppp0 -j DNAT --to-destination 192.168.1.N

я здесь вижу не одну подсеть, а 2. а ты? при условии, что маска 24.
Так что, прежде чем давать такие советы, изучи матчасть.