Muff's website forum

Пожалуйста, войдите или зарегистрируйтесь.

Расширенный поиск  

Новости:

SMF - Just Installed!

Просмотр сообщений

В этом разделе можно просмотреть все сообщения, сделанные этим пользователем.

Сообщения - Goffanon

Страницы: [1] 2
1
Вводная:
Есть 2 сети, соединены OpenVPN,трафик ходит отлично, маршурты прописаны. если надо могу показать выводы и конфиги.
Пробросы портов в пределах своих сетей работают без проблем. А вот проброс порта в другую сеть не фурычит. Не могу победить эту проблему.
Использую PF

Одна сеть:
Внешинй IP x.x.x.x
Внутренняя сеть 192.168.1.0/24

Вторая сеть:
Внешинй IP y.y.y.y
Внутренняя сеть 192.168.4.0/24

Необходимо, что бы трафик приходящий на порт 9999 на адрес х.х.х.х перенаправлялся на адрес во второй сети 192.168.4.10 на порт 9999

Перенаправляю правилом rdr в pf.conf, но вот соединения не получается. Думал что проблема в маршруте возврата, и прописывал на конечном компьютере маршрут для определенной сети обратно через другой шлюз.
Не помогло. Подскажите куда смотреть?

2
Добрый день.
Работают 2 филиала настроенные при использовании этой статьи.
http://muff.kiev.ua/content/openvpn-postroenie-tunelya


Возникла необходимость подключить к общей сети еще и третий филиал (сразу думаю что будет при настройке большего количества филиалов.) Так что бы если отваливался один из серверов другие друг друга продолжали видеть.
Временно для тестирования реализовал работу путем создания дополнительных конфигураций. Т.е. получается с каждого сервера создаются 2 подключения к 2 другим серверам. Маршруты прописаны, все работает. Но такая реализация "кривая", т.к. при ребуте сервера бывает один из маршрутов не поднимается. Да и как в таком случае добавлять другие филиалы в будущем? Руками делать каналы, это бред сумасшедшего.

Серфинг сети дал ссылку на эту статью у "лисяры" http://www.lissyara.su/articles/freebsd/security/openvpn+pkcs-12/, прошу прощения за линк на сторонний ресурс.
Статья еще от 10 года, потому есть несколько вопросов. Насколько написанная реализация хороша на текущий момент? Не могли бы вы ее прокомментировать? Какие альтернативный реализации есть и каким бы методом вы решили данный вопрос? И я понимаю что в данном случае отказ OpenVPN Сервера приведет к отсутствию связи между клиентами.

Думаю о реализации 2 Сервера VPN (или OpenVPN) подключенный между собой, и остальные клиенты которые подключаются к одному серверу и если он недоступен то к другому.

ЗЗЫ Вопросы адресованы muff'у, но любая другая информация по знающих людей приветствуется.

3
Немного некропостинга.
Получилось добавить маршрут без дополнительного ПО.
Возможно было бы интересно упомянуть это в статье.
В самом openvpn.conf можно прописать строку типа

route <сеть> <маска> <шлюз>

ЗЫ вот что значит "курить" маны невнимательно изначально.

4
:) фришки в другой фирме админю, а на основном месте работы ща завал и времени нет. Так что домой приду вечером спокойно с кружечкой чая сяду поставлю все и попробую.

5
Хех... ну чтож попробуем зебру, заодно и разберемся что же это за африканский зверь такой :)
В ночь попробую, утром расскажу о результатах.

6
Тоннель есть, а маршрут через rc.conf не поднимается :( может скриптом его в крон засунуть? Если еще какие нить варианты есть? И как вообще посмотреть причину того что не создается маршрут? В каком логе будет об этом запись?

7
Сегодня в ночь проверю, поэкспериментирую.

8
Настройте зебру из пакета quagga и не выносите себе мозг.
http://muff.kiev.ua/content/quagga-prevrashchenie-servera-v-polnofunktsionalnyi-marshrutizator#zebra

Читал. Но мне пока надо соединить просто 2 сетки... хотелось бы обойтись просто записью пары маршрутов на обоих серверах. Расширение в ближайшие несколько лет не планируется поэтому и такой мощный инструмент для маршрутизации как quagga и не требуется.
У меня есть подозрение что маршрут не прописывается автоматом из за того что тунель не успевает подняться. Можно ли как либо прописать маршруты через конфиг OpenVPN что бы они прописывались именно после создания туннеля? Или еще каким либо образом "задержать" запись маршрута?

9
:) Все разобрался.
Я дуб :)
Если конкретнее, то стояли семерки в сетях, и в настройках было запрещено сетевое обозрение. Так что проблема была в конечных точках.
Сегодня для чистоты эксперимента подключил две ВинХП. Полет нормальный. Все отлично.

Однако всплыла другая проблема, статический маршрут.
Если прописываю руками маршруты все отлично, а если добавляю в rc.conf то маршрут не появляется.

В rc.conf прописал такие строки:
BSD1
static_routes="lan2"
route_lan2="-net 192.168.1.0/24 192.168.2.20"

BSD2
static_routes="lan1"
route_lan1="-net 192.168.0.0/24 192.168.2.10"

Почему автоматически маршруты не прописываются пока не могу понять, ковыряюсь дальше.

10
Да вот настройки в сетях:

Для сети 192.168.0.0/24 маршрутизатор 192.168.0.250 (шлюз, Днс кеширующий, все тут висит)
Для сети 192.168.1.0/24 маршрутизатор 192.168.1.250 (шлюз, Днс кеширующий)

Адреса внутренних интерфейсов с серверов в обе стороны пингуются, т.е. с BSD1 пингую внутренний адрес BSD2 и наоборот...

""Послушайте" tcpdump-ом трафик, как он ходит." завтра проверю, разницы нет на каком сервере слушать?

11
Добрый вечер.
Настроил туннель посредством OpenVPN (статья http://muff.kiev.ua/content/openvpn-postroenie-tunelya)

Возникла проблема маршрутизации.
данные BSD1
Внешний IP vr0 параметры значения не имеют
Внутренняя виртуальная точка туннеля 192.168.2.10
Внутренний интерфейс fx0 192.168.0.250

данные BSD2
Внешний IP vr0 параметры значения не имеют
Внутренняя виртуальная точка туннеля 192.168.2.20
Внутренний интерфейс fx0 192.168.1.250

Точки туннеля пингуются обе с обоих машин.
Фаерволл стоит открытый, НАТ на внешних интерфейсах висит.

Прописываю маршруты так:

На BSD1
route add -net 192.168.1.0/24 192.168.2.20

На BSD2
route add -net 192.168.0.0/24 192.168.2.10

с BSD1 пингую внутренний адрес BSD2 192.168.1.250
с BSD2 пингую внутренний адрес BSD1 192.168.0.250

А вот компьютеры в сетях 192.168.0.0 и 192.168.1.0 не пингуются :(

ЗЫ может я полный дуб, но не пойму в чем проблема.

12
Soft / Re: Squid+SAMS
« : Мая 18, 2012, 12:55:31 pm »
Угу.
Сейчас групповой политикой на ИЕ везде принудительно прописывается прокси, хотел от этого уйти... но видимо не получится.

13
Soft / Re: Squid+SAMS
« : Мая 18, 2012, 12:46:16 pm »
Частично. Стоит в главном офисе циска, на этажах свичи. (не я за них отвечаю, но знаю что точно часть не управляемые)

14
Soft / Re: Squid+SAMS
« : Мая 18, 2012, 12:05:19 pm »
Да как бы можно, но компов много и многие разбросаны по подразделениям, все время что то меняется. Сквид нужен что бы ограничить пользователей по потреблению интернет трафика, пользователей более 300. И заниматься привязкой пользователя к конкретной машине, сам понимаешь не вариант.

15
Soft / Re: Squid+SAMS
« : Мая 18, 2012, 07:37:19 am »
Прочитал.
Вот здесь http://www.samba.org.ua/articles/?section=10&articleid=28
наткнулся на строку "1. Авторизация при прозрачном кэшировании НЕВОЗМОЖНА!"
И понял что все грустно...

Что то не верится что не никто не решил эту проблему.

Страницы: [1] 2

Страница сгенерирована за 0.27 секунд. Запросов: 24.