Нужен совет
-
Есть такая топология сети (все "точки" ходят в интренет а что то ходит по VPN (сервер терминалов, программа по бухгалтерии и прочие))
Нужно объединить этим все точки по ВПН (для пары программа для бухучёта) , но чтоб в интернет они ходили не по ВПН
(Щас вся это сеть работает на kerio , керио мне оч не нравится по разным причинам)
спс
-
Я правильно понял?
Есть 4 территориально разделенных сети (192.168.[2..5].0/24).
Задача:
Объеденить их все через VPN. Сети должны видеть друг друга.
Решение:
Выделяем сеть где будет находится основной сервер OpenVPN, настраиваем его.
Остальные сети настраиваем как клиентов.То что работает во внутренней сети будет работать по OpenVPN остальное согласно правилам на своем шлюзе.
-
спасибо ! осталось только найти как настраивать ! :)
-
если можно подросьте мне ссылки :) буду презнателен.
-
тема подробно рассмотрена на форуме
раз) http://forum.pfsense.org/index.php/topic,22839.0.html
два) http://wiki.lissyara.su/wiki/PfSense:_Tutorials
три) http://doc.pfsense.org/index.php?title=Special%3ASearch&search=openvpn&go= -
Полусилось настроить как написано здесь http://forum.pfsense.org/index.php/topic,32662.msg168997.html#msg168997
и p2p shared key
подскажите какой тип(server mode: remote access или p2p) сервера openvpn мне использовать для соединения офисов ?
Скажем с помощью p2p mode я смогу с каждого офиса попасть в любой из них и как примерно должен выглядеть конфиг.
И есть ли документация про то как правльно настраивать клиента на pfsense. (openvpn клиент я настроил быстро через export )
Спасибо.
-
В openVPN есть сервер к которому клиенты инициализируют туннель, т.е. центральный офис это server node
Филиал remote access, топология звезда (туннели поднимаются в одностороннем порядке от филиала)
Для того чтобы компы в сетевом окружении все друг друга видели нужен WINS сервер (самый оптимальный вариант, чтобы броадкастов было минимум) к которому клиенты будут обращаться для разрешения имен. Тип ноды: h-node, галка Enable NetBIOS over TCP/IP установлена.
Маршруты передаешь с сервера иначе весь трафик пойдет либо в ВПН либо мимо:
На сервере Advanced: route 2.2.2.2 255.255.255.0 22.22.22.22
Где 2.2.2.2 255.255.255.0 подсеть филиала, 22.22.22.22 ИП серевера филиала в ВПНКогда создавались сертификаты филиалов должно быть указано правильное FQDN имя сервера (например filial.domain.com). По этому имени можно задать Client Specific Override, создаем filial.domain.com в секции Advanced: указываем ifconfig-push 22.22.22.22 255.255.255.0 так мы зафиксируем ИР сервера филиала чтобы маршруты были правильными. Ну и ессно подсети ЦО и филиалов должны быть разными.
З.Ы. Некоторое время назад я отказался от OpenVPN и перевел все на IPSEC, так как он лишен недостатка односторонней инициализации и маршруты там поднимаются при поднятии туннеля любой стороной.
-
А я отказываюсь от IPSEC по причине того, что как-то хреново оно работает. Сессия постоянно виснит - показывает что активна, а трафик не ходит. У одной стороны ADSL. ДА и поднимается/разрывается он долговато уж. С OpenVPN пока на тестах перестройка маршрутов занимает секунд 30 (и то упирается в таймаут ECHO запроса BGP)