OpenVPn Redes Iguais
-
Pessoal, me surgiu uma dúvida sobe um possível cenário.
|
| – Usuario 1
|
| -- Usuario 2
|
| -- Usuario 3
|
OPENVPN SERVER (PFSense)
LAN 192.168.0.0/24 |
| -- Usuario 4
|
| -- Usuario 5
|
| -- Usuario 6
|Imagine um servidor OPenVPN sendo utilizado para centenas de conexões.
E com certeza alguma rede (LAN) de algum usuário seja identica a rede (LAN) do servidor?
Qual a solução para isso!? Pois mudar a LAN onde encontra-se o server seria um pouco inviável.
Obrigado
att,
-
Não entendi a sua dúvida. mas já antecipo que openvpn necessariamente ente site-to-site tem que está em
redes de diferentes:exemplo:
matriz: 192.168.1.0/24
filial: 192.168.2.0/24 ou 10.0.0.1Se for cliente-to-site. vc deve colocar os usuários em outra faixa diferente.
-
Modelo
Cliente-to-Site
Exemplo simples
Cliente 192.168.0.0/24
Site 192.168.0.0/24Cara mudar a rede é uma das soluções. Mas deve existir outra.
Imagine um grande cenário, seria inviável mudar a rede!Obrigado
att,
-
Cliente que vc fala é usuários conectando via openvpn.. ??
então coloque eles (clientes) numa faixa diferente..cliente: 10.0.0.X/24
site: 192.168.0.X/24não tem jeito.. isso posso garantir que openvpn é obrigatoriamente trabalhar em faixas diferentes. Opção é usar IPSEC.
-
Cara mudar a rede é uma das soluções. Mas deve existir outra.
Perfeitamente ccesario… Embora seja desaconselhável (por questões óbvias), tecnicamente é possível sim fazer com que as "redes iguais" (em termos de endereçamento IPV4, claro) se comuniquem pelo túnel VPN.
Não é muito elegante, mas como você mesmo citou, as vezes pode ser inevitável. Se este for o caso, você pode remapear a rede de destino para "enganar" as rotas/sistema operacional.
Para saber mais, pesquise sobre binat no FreeBSD/pfSense! ;)
Abraços!
Jack -
Pq não usar Ipsec já que existe este problema ??
explicando
cliente-to-site = usuarios se conectando em servidor
site-to-site = servidores com servidores. -
usando o openvpn com client to site o ip do usuario jah nao fica em uma faixa que nao da conflito com a parte server do tunel?
um /24 ou /25 para centenas de usuarios pode conflitar com uma parte da rede do cliente.
se voce usar uma faixa pouco comum, o risco eh menor ainda.10.238.200/24 parece bem razoavel pra mim :)
-
Obrigado pelos esclarecimentos pessoal!
Estarei verificando cada uma das idéias e sugestões.
[]s
-
10.238.200/24 parece bem razoavel pra mim :)
É isso mesmo marcelloc… se a viabilidade de alterar a faixa IPv4 existe, então o problema deixa de existir!
A idéia de remapear a rede de destino, em geral, não deve ser a primeira opção! ;)